私有云上虚拟TPM的可信热迁移方案研究

针对当前基于内核的虚拟机(Kernel-based Virtual Machine,KVM)平台下的开源组件虚拟化仿真软件(Quick Emulator,QEMU)中的虚拟可信平台模块(virtual Trusted Platform Module,vTPM)热迁移的实现缺少安全性考虑的问题,提出了一种新的安全的v TPM虚拟机热迁移协议和实际的实现方法。首先,设计了一种基于物理可信平台模块(physical Trusted Platform Module,pTPM)的vTPM虚拟证书链扩展方法,避免了vTPM迁移后的密钥再生。其次,利用这种密钥结构构建了一套私有云场景下的安全的v TPM热迁移协议,有效减轻了在v TPM迁移阶段遭受的拒绝服务攻击。此外,所提协议中的双向远程可信证明方法和vTPM迁移数据过程中的安全防护都基于pTPM实现,能为vTPM热迁移提供基于硬件的信任根的安全强度。