虚拟平台环境中一种新的可信证书链扩展方法

利用可信计算技术构建可信虚拟平台环境时,如何合理地将底层物理的可信平台模块(TPM,trusted platform module)的证书信任扩展延伸到虚拟机环境是值得关注的问题。目前,已有的证书信任扩展方案均不完善,有的方案存在违背TCG规范的情况,有的方案增加密钥冗余和Privacy CA性能负担,有的方案甚至不能进行证书信任扩展。因此,提出了一种新的可信证书链扩展方法。首先,在TPM中新增一类证书——VMEK(virtual machine extension key),并构建对VMEK的管理机制,该证书的主要特点是其密钥不可迁移,且可对TPM内和TPM外的数据进行签名和加密。其次,利用证书VMEK对v TPM的v EK签名构建底层TPM和虚拟机v TPM的证书信任关系,实现可信证书链在虚拟机中的延伸。最后,在Xen中实现了VMEK证书及其管理机制和基于VMEK的证书信任扩展。实验结果表明,所提方案可以有效地实现虚拟平台的远程证明功能。

云虚拟化平台可信证明技术研究综述

伴随云计算的飞速发展,云平台的安全问题也备受关注。可信计算是云安全体系中重要支撑技术,可信证明是可信计算的一个重要特性,用于验证云虚拟化平台是否具有可信性,为保证云平台安全提供基础。现基于可信证明的定义,系统梳理虚拟化平台的可信根虚拟化、平台身份证明、平台状态证明、虚拟机的可信证明框架等关键技术的研究进展,分析并对比典型方案,探讨现有的工作的局限性,最后指出未来的研究趋势。