面向云計(jì)算模式動態(tài)可信平臺模塊研究

楊峰

摘要：在當(dāng)前云計(jì)算模式下，云服務(wù)器并不能向客戶證明其充分可信，也不能自我證明其自己的安全性，為了增強(qiáng)云服務(wù)器的可信性，該文提出了一種面向云計(jì)算模式的動態(tài)可信平臺模塊構(gòu)造方法，在可信平臺模塊的基礎(chǔ)上，使用虛擬隔離技術(shù)構(gòu)建動態(tài)虛擬可信平臺模塊（Dynamic virtual Trusted Platform Module：DVTPM），實(shí)現(xiàn)信任鏈在虛擬機(jī)中的延伸，虛擬機(jī)可以有效地利用TPM提供的相關(guān)功能，從而達(dá)到提高云服務(wù)器可信性，保護(hù)客戶數(shù)據(jù)的目的，同時(shí)使用通用可組合協(xié)議分析方法論述了該模型的安全性，并且在XEN平臺下構(gòu)建了云計(jì)算模式下動態(tài)虛擬可信平臺模塊構(gòu)。

關(guān)鍵詞：云計(jì)算；可信計(jì)算；動態(tài)虛擬可信平臺模塊；通用可組合協(xié)議

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）25-0172-04

1 引言

2006年亞馬遜首先推出了彈性計(jì)算云EC2（Elastic Computing Cloud）和簡單存儲服務(wù)S3（Simple Storage Service）[1]，企業(yè)可以根據(jù)其自身的特點(diǎn)購買其計(jì)算和存儲服務(wù)。隨后，Google，微軟以及IBM相繼推出自己的云計(jì)算模式，Google推出了GFS、Map Reduce和Bitable[2]， IBM推出了“藍(lán)云”云計(jì)算平臺[3]。微軟于2008年10月推出了Windows Azure[4]操作系統(tǒng)。Azure通過在互聯(lián)網(wǎng)架構(gòu)上構(gòu)建云計(jì)算平臺，讓W(xué)indows真正由PC延伸到互聯(lián)網(wǎng)上。

云計(jì)算以互聯(lián)網(wǎng)為中心，提供安全、快速、便捷的數(shù)據(jù)存儲和網(wǎng)絡(luò)計(jì)算服務(wù)，讓互聯(lián)網(wǎng)成為每一個用戶的數(shù)據(jù)中心和計(jì)算中心，云計(jì)算模式中，用戶所需的應(yīng)用程序并不運(yùn)行在用戶的個人計(jì)算機(jī)、手機(jī)等終端設(shè)備上， 而是運(yùn)行在互聯(lián)網(wǎng)上大規(guī)模的服務(wù)器集群中。云計(jì)算可包括IaaS、PaaS和SaaS三個層次的服務(wù)[5]，云計(jì)算以互聯(lián)網(wǎng)為中心具有虛擬化、通用性、高可擴(kuò)展性、按需服務(wù)、數(shù)據(jù)共享方便等特點(diǎn)。

云計(jì)算給用戶帶來巨大方便的同時(shí)，同時(shí)產(chǎn)生了相應(yīng)的安全問題。云服務(wù)是從云計(jì)算實(shí)體化而來的，用戶的程序和數(shù)據(jù)存儲將全部轉(zhuǎn)移到“云” 里。也就是說用戶的應(yīng)用程序并不需要運(yùn)行在用戶的個人電腦、PDA等終端設(shè)備上，而是運(yùn)行在云端服務(wù)器中，用戶所處理的數(shù)據(jù)也并不存儲在本地，而是保存在云的數(shù)據(jù)中心，通常，用戶都希望自己所存放的數(shù)據(jù)時(shí)私密的，是把數(shù)據(jù)交給云服務(wù)器之后，數(shù)據(jù)掌控者的已不再是用戶本身，而是云服務(wù)商，理想狀態(tài)下云服務(wù)商不應(yīng)具備查看、修改、刪除、泄露這些數(shù)據(jù)的權(quán)利，但實(shí)際操作中卻具有這些操作的能力。如此一來，就不能排除數(shù)據(jù)被泄露出去的可能性。除了云服務(wù)商之外，還有大量黑客們覬覦云計(jì)算數(shù)據(jù)，同時(shí)互聯(lián)網(wǎng)上充斥著大量的病毒木馬以及惡意程序，甚至只需一個賬號便可打開所有程序和數(shù)據(jù)。

簡而言之，當(dāng)前用戶并不能充分信任云服務(wù)器，同時(shí)云服務(wù)器也不能自我證明其自己的安全性，為了增強(qiáng)云服務(wù)器的安全性，本文提出了一種云服務(wù)器動態(tài)可信平臺模塊構(gòu)造方法，在可信平臺模塊的基礎(chǔ)（Trusted Platform Module）之上，使用虛擬隔離技術(shù)構(gòu)建動態(tài)虛擬可信平臺模塊（Dynamic virtual Trusted Platform Module：DVTPM）同時(shí)采用無干擾信任鏈傳遞機(jī)制，從而達(dá)到提高云服務(wù)器可信性，保護(hù)客戶數(shù)據(jù)的目的， 本文第2節(jié)介紹可信計(jì)算關(guān)鍵技術(shù)以及相關(guān)理論；第3節(jié)提出云計(jì)算模式下動態(tài)可信平臺模塊的構(gòu)建模型；4節(jié)基于虛擬機(jī)實(shí)現(xiàn)了一個非傳遞無干擾原型系統(tǒng)；第5節(jié)給出結(jié)論和下一步研究重點(diǎn)。

2 相關(guān)研究

1）可信平臺模塊（Trusted Platform Module）

TPM的架構(gòu)如圖所示：

TPM由計(jì)算引擎、非易失性存儲器、輸入/輸出模塊、隨機(jī)數(shù)產(chǎn)生器、RSA計(jì)算引擎、SHA-1計(jì)算引擎、平臺配置寄存器（Platform Configuration Register， PCR）和嵌入式操作系統(tǒng)等部件組成。TPM的嵌入式系統(tǒng)支持TPM規(guī)范所制定的功能，接收相關(guān)的參數(shù)，然后返回相應(yīng)的處理結(jié)果。

2）虛擬化可信平臺模塊技術(shù)

當(dāng)前可信平臺模塊虛擬化技術(shù)分為三種，分別為TPM軟件虛擬化，TPM硬件環(huán)境擴(kuò)展虛擬化[7]，TPM的半虛擬化[8]。TPM通過擴(kuò)展TPM環(huán)境上下文實(shí)現(xiàn)硬件環(huán)境擴(kuò)展虛擬化；TPM半虛擬化方式需要更改少數(shù)的設(shè)備接口；而TPM虛擬化通過軟件的形式則更接近于真實(shí)硬件TPM，而且TPM軟件虛擬化與硬件平臺無關(guān)。因此，目前大多數(shù)應(yīng)用主要采用軟件式TPM虛擬化方式[9]-[12]。

當(dāng)前軟件TPM軟件虛擬化技術(shù)取得了巨大的進(jìn)展，比較有代表性的包括瑞士蘇黎士技術(shù)聯(lián)合研究所[10]的軟件式TPM模擬器、Berger[11]提出的多映像TPM虛擬化方法以及Frederic[12]提出的可信虛擬平臺構(gòu)建方案，瑞士蘇黎士技術(shù)聯(lián)合研究所的方案雖然實(shí)現(xiàn)了TPM的絕大部分功能，但TPM模擬器僅面向單個平臺環(huán)境，并不能虛擬出多個TPM以供每個虛擬機(jī)專用；Berger在此基礎(chǔ)上，提出了TPM虛擬化的方法，能夠?qū)⒁粋€物理TPM映射成多個vTPM（virtual TPM），Berger提出了四種構(gòu)建vTPM證書鏈的設(shè)計(jì)思路，但他并沒有做出進(jìn)一步的實(shí)現(xiàn)。隨后，F(xiàn)rederic提出了一種構(gòu)建可信虛擬平臺方案，并實(shí)現(xiàn)了vTPM和物理TPM的綁定以及vTPM證書鏈的構(gòu)建，但該方案在構(gòu)建證書鏈的過程中直接采用物理平臺的身份證明密鑰AIK（Attestation Identity Key，AIK）證書對虛擬平臺的vAIK（virtual AIK）進(jìn)行簽名操作，與TCG的TPM Main規(guī)范中AIK密鑰只能進(jìn)行密鑰認(rèn)證（Certify）與引證（Quote）操作相沖突，因而可能存在兼容性問題。

3）Xen虛擬技術(shù)

Xen是運(yùn)行于X86上的遵循GNU許可的開源VMM，它支持多個客戶操作系統(tǒng)（Operation System，OS），性能接近直接在硬件上運(yùn)行的操作系統(tǒng)和支持隔離性以及同時(shí)運(yùn)行。Xen直接運(yùn)行在硬件上，并采用了半虛擬化技術(shù) ，要求對客戶OS進(jìn)行修改，但不要求改變系統(tǒng)調(diào)用接口，結(jié)果應(yīng)用程序不需要修改。

3 DVTPM在云端服務(wù)器的實(shí)現(xiàn)

本文在基于開源的虛擬機(jī)監(jiān)視器（VMM）系統(tǒng)Xen[13]上.實(shí)現(xiàn)了一個云計(jì)算可信環(huán)境的實(shí)例，首先在云端服務(wù)器將一個物理TPM映射成多個DVTPM，DVTPM可為每個虛擬機(jī)提供一個專用的基于軟件的信任根；同時(shí)為了使DVTPM具備遠(yuǎn)程證明等能力，實(shí)現(xiàn)了DVTPM和物理TPM的綁定。

在云服務(wù)器使用XEN平臺實(shí)現(xiàn)DVTPM，XEN為每一個用戶創(chuàng)建一個DVTPM，用戶以DVTPM為基礎(chǔ)構(gòu)建可信虛擬環(huán)境，下圖XEN服務(wù)器位用戶創(chuàng)建DVTPM的示意圖，DVTPM實(shí)例與客戶虛擬機(jī)一一對應(yīng)，為用戶提供綁定、密封、密鑰存儲等一系列與物理TPM 相同的功能。DVTPM 永久存儲區(qū)（Persistent Storage， PS）用來保護(hù)每個DVTPM 實(shí)例的狀態(tài)結(jié)構(gòu)DVTPM-SS（vTPM State Structure），其中保存了DVTPM 的永久狀態(tài)信息。DVTPM管理器負(fù)責(zé)DVTPM實(shí)例的創(chuàng)建與管理，為客戶虛擬機(jī)與DVTPM 實(shí)例間以及DVTPM 實(shí)例與物理TPM 間提供了通信信道。虛擬TPM 管理器便會產(chǎn)生一個DVTPM實(shí)例并將其與新建的虛擬機(jī)關(guān)聯(lián)。它通過監(jiān)聽虛擬TPM驅(qū)動的后端（Back-End），將來自虛擬機(jī)的TPM命令轉(zhuǎn)發(fā)至與它相關(guān)聯(lián)的DVTPM實(shí)例中。

DVTPM創(chuàng)建流程可以描述如下：

假設(shè)[XEN]總共需要創(chuàng)建和啟動[N]個虛擬機(jī)，標(biāo)記為[VM1，VM2........VMn]， 為方便起見， 每個用戶的服務(wù)單獨(dú)運(yùn)行在一個由[DVTPM]為可信基的虛擬機(jī)中，Xen為這些虛擬機(jī)提供隔離。

（1）Xen作為通信介質(zhì)，作為用戶和用戶的虛擬機(jī)，以及[DVTPM]和[TPM]之間通信的橋梁。

（2）每個VM 都有一個虛擬網(wǎng)絡(luò)接口， 被稱為XenVMNIC，用于和用戶進(jìn)行通信

（3）各[VM]通過其XenVMNIC互聯(lián)成一個計(jì)算機(jī)網(wǎng)絡(luò)，稱為XenVMNet。

（4） [VM]有兩個虛擬網(wǎng)絡(luò)接口：一個是連接Xen的宿主機(jī)的網(wǎng)絡(luò)接口，該接口用于和TPM通信；另一個是XenVMNIC，與其他[VM]相連。

4 動態(tài)可信平臺模塊的構(gòu)建模型

4.1 模型描述

傳統(tǒng)的可信計(jì)算是在用戶終端上構(gòu)建可信環(huán)境，而在云計(jì)算模式下，用戶不需要在本機(jī)構(gòu)建可信環(huán)境，可信環(huán)境在云端構(gòu)建，當(dāng)用戶使用云服務(wù)的時(shí)候，云服務(wù)器給用戶動態(tài)的建立一個可信環(huán)境，當(dāng)用戶服務(wù)結(jié)束，云服務(wù)器撤銷用戶在云端可信環(huán)境，在這個過程中云端服務(wù)器不應(yīng)具備查看、修改、刪除、泄露用戶數(shù)據(jù)的權(quán)利，云服務(wù)器應(yīng)該僅僅是一個管理者，只能為用戶建立和撤銷用戶的可信環(huán)境，因此每個用戶的可信執(zhí)行環(huán)境邏輯上應(yīng)該相互隔離，而每個用戶當(dāng)且僅當(dāng)通過安全的數(shù)據(jù)鏈路訪問其自身的可信執(zhí)行環(huán)境，該執(zhí)行環(huán)境如圖3所示，該模型的可以描述如下：

在這個云可信虛擬執(zhí)行環(huán)境中，動態(tài)可信平臺模塊構(gòu)成了用戶可信執(zhí)行環(huán)境的可信基（ TCB）等概念，運(yùn)服務(wù)器由DVTPM開始為用戶構(gòu)建可信執(zhí)行環(huán)境。

定義 4-1 云可信環(huán)境

云可信環(huán)境[E]由[（VTCB，I，O，AP，D）]組成，其中[VTCB]是虛擬可信基，[I]是用戶的輸入，[O]為環(huán)境[E]的輸出，[D]是該環(huán)境所隸屬的域，[AP]為用戶應(yīng)用程序集合。

定理 4-1 動態(tài)可信平臺模塊是一個確定性多帶圖靈機(jī)

證明：由于[VTCB]在執(zhí)行環(huán)境中為[DVTPM]，而[DVTPM]邏輯上具有物理[TPM]的一切功能，其擁有多個輸入和輸出，所以[DVTPM]為確定性多帶圖靈機(jī)

4.2模型安全性定義

由于云動態(tài)可信平臺模塊的構(gòu)建本質(zhì)上一簇協(xié)議的執(zhí)行過程，因此該模型的安全性等同于協(xié)議的安全性因此可以使用通用可組合協(xié)議分析方法分析該模型的安全性。

Ran Canetti提出了一種新的協(xié)議安全性的公理證明框架[9]，這種證明體系能夠用一種統(tǒng)一的同步框架定義密碼協(xié)議的安全性，而且在這個框架里可以使用作協(xié)議復(fù)合理論來證明復(fù)雜協(xié)議的安全性。

定義4-3理想函數(shù)Ideal Function：

理想函數(shù)可以定義為實(shí)際協(xié)議功能的理想世界的映像，其作為一個可信方[T]，接受誠實(shí)方和被入侵方以及攻擊者的輸入，并把得到的輸入運(yùn)算后的輸出結(jié)果給環(huán)境Z，理想函數(shù)在模型中是不可攻破的。

定義 4-4 偽隨機(jī)函數(shù)[14]

令[H={Hn}n∈N]為[l]比特的函數(shù)族，一個[l]比特[F={Fn}n∈N]是偽隨機(jī)的當(dāng)且僅當(dāng)對任何[PPT]的攻擊者存在一個可忽略的概率[vA]，對于足夠大的[k]，

[|Pr[AFn（1n）=1]-Pr[AHn（1n=1）]≤vA（k）]

定理 4-4獨(dú)立協(xié)議的安全性定理[15]：

如果存在協(xié)議[π]，功能函數(shù)[f]以及運(yùn)行環(huán)境[Z]，實(shí)際模型的攻擊者[A]，以及理想模型的攻擊者[SA]，有[Idealf，SA，Z≡cEXECπ，A，Z]成立，協(xié)議[π]是安全的，記做[π] UC-realize [f]。

定理 4-5復(fù)合協(xié)議的安全性定理[14]：

給定安全參數(shù)[k]，[n∈k]，[π] UC-realize [g] ，如果協(xié)議[π]執(zhí)行過程中需要調(diào)用輔助計(jì)算函數(shù)[f1，f2...fn]，如果存在協(xié)議[ρ1，ρ2...ρn] UC-realize[f1，f2...fn]，那么有[πρ1，ρ2，.....ρn] UC-realize [g]。

由以上定理可以得出密碼協(xié)議安全性證明框架圖，如下圖所示：

圖 4 復(fù)合協(xié)議安全性證明框架模型

如圖中所示，攻擊者是非自適應(yīng)的，它所控制的入侵方在協(xié)議執(zhí)行前就被確定了，計(jì)算能力是概率多項(xiàng)式級的，協(xié)議運(yùn)行環(huán)境[Z]可以觀察到誠實(shí)方和攻擊者的輸出。

4.3 動態(tài)TPM安全性分析

理想函數(shù)在[UC]框架中有著非常重要的地位，理想函數(shù)扮演著一個不可攻陷的可信第三方的角色， 能夠完成協(xié)議所執(zhí)行的特定功能目前己經(jīng)定義了多個最基本的理想函數(shù)， 如認(rèn)證消息傳輸[FAUTH]、密鑰交換[FKE]、公鑰加解密[FPKE]、簽名[FSIG]、承諾[FCOM]、零知識證明[FZK]、不經(jīng)意傳輸[FOT]、匿名[Hash]認(rèn)證[FCRED]和可否認(rèn)認(rèn)證[FCDA]等。

定義4-5 理想函數(shù)[FCDVTPM]

本文所提出的動態(tài)TPM需要由虛擬機(jī)創(chuàng)建完成，設(shè)[FCDVTPM]為動態(tài)TPM創(chuàng)建的理想函數(shù)，在 [FDVTPM]中，[（DVTPM Created，sid， ⊥）]表示云服務(wù)器為用戶DVTPM創(chuàng)建失敗，[（DVTPM Created，sid ，sk）]表示創(chuàng)建DVTPM成功，用戶和云服務(wù)器之間的會話密鑰為[sk]，設(shè)云服務(wù)器的授權(quán)用戶集合為[Lcset]，一個用戶只有滿足[u∈Lcset]，云服務(wù)器才能為這個用戶建立動態(tài)TPM理想函數(shù)。

[FCDVTPM]設(shè)授權(quán)用戶集合為[Lcset]，云服務(wù)器為[Cserver]，DVTPM虛擬機(jī)為[VM]，安全參數(shù)為[k]，用戶為[u]

當(dāng)[VM]收到[（DVTPM Creat Request，sid， u，Cserver，VM）]

記錄[VM]為active，給[Cserver]發(fā)送

[（DVTPM Creat Request，sid， u，Cserver，VM）]

當(dāng)[Cserver]收到[（DVTPM Creat Response，sid， u，Cserver，VM）]，

標(biāo)記[Cserver]為active，發(fā)送

[（DVTPM Creat Response，sid， u，Cserver，VM）]給[VM]

如果[FCDVTPM]從攻擊者收到

[（DVTPM Creat Request，sid， u，p，sk）]，

其中[p∈{VM，Cserver}]且[p]為active，則存在以下情形：

1.存在[sk]，然后[（DVTPM Created，sid ，sk）]給[p]

2.如果攻擊者控制[VM]，則記錄[sk']，[（DVTPM Created，sid ，sk'）]給[p]

3.如果[u∈Lcset]，然后再[{0，1}k]計(jì)算一個[sk]，然后[（DVTPM Created，sid ，sk）]給[p]

4.如果1，2，3均不成立則輸出[（DVTPM Created，sid， ⊥）]給[p]

理想函數(shù)[FCDVTPM]滿足用戶認(rèn)證的基本需求，如果未被攻陷的隊(duì)是非授權(quán)用戶， 即[u?Lcset]，那么用戶認(rèn)證不會成功， [FDVTPM]輸出[（DVTPM Created，sid， ⊥）]，即僅當(dāng)一個[u∈Lcset]，云服務(wù)器才可以為用戶建立可信執(zhí)行環(huán)境。攻擊者只能偽裝攻擊和攻陷服務(wù)器，除此之外攻擊者沒有其他有效的攻擊手段，[FDVTPM]使用[u∈Lcset]完成用戶認(rèn)證，然后[FDVTPM]生成一個會話密鑰。

定理 4-2 虛擬機(jī)安全創(chuàng)建了動態(tài)TPM

證明：設(shè)[A]為真實(shí)環(huán)境下的攻擊者，通過構(gòu)造理想環(huán)境的攻擊者[S]，使得任何環(huán)境[Z]都以可以忽略的概率區(qū)分虛擬動態(tài)可信TPM及攻擊者[A]組成的現(xiàn)實(shí)環(huán)境以及[FCDVTPM]和攻擊者[S]組成的理想環(huán)境。以下是攻擊者[S]的操作：

1.[S]從[FCDVTPM]收到

[（DVTPM Creat Request，sid， u，Cserver，VM）]，仿真[A]從[VM]到[Cserver]傳遞的信息[（DVTPM Creat Response，sid， u，Cserver，VM）]，當(dāng)[S]從[FCDVTPM]收到[（DVTPM Creat Response，sid， u，Cserver，VM）]，[S]仿真[A]從[Cserver]到[VM]的信息

[（DVTPM Creat Response，sid， u，Cserver，VM）]。

2.當(dāng)[A]由[VM]給[Cserver]發(fā)送信息[（DVTPM Created，sid ，sk）]，[S]從[VM]給[Cserver]發(fā)送信息[（DVTPM Created，sid ，sk）]。

3.當(dāng)[p∈{VM，Cserver}]輸出信息[（DVTPM Created，sid ，sk'）]，攻擊者[S]將會發(fā)送[（DVTPM Created，sid ，sk'）]給[FCDVTPM]。

4.當(dāng)[A]發(fā)送[（Corrupt-platform，sid ，p）]，[S]將會發(fā)送[（Corrupt-platform，sid ，p）]給[FDVTPM]。

根據(jù)攻擊者[S]，可以得出，當(dāng)[VM]攻陷時(shí)，攻擊者[S]可以完美仿真攻擊者[A]此時(shí)[Real]和[Ideal]是不可區(qū)分的，當(dāng)[Cserver]被攻陷時(shí)候，[Real]和[Ideal]此時(shí)建立動態(tài)TPM都會失敗，所以[Real]和[Ideal]也是不可區(qū)分的，當(dāng)動態(tài)TPM建立成功時(shí)，由[Real]過程中的會話密鑰是根據(jù)TPM中隨機(jī)數(shù)生成數(shù)生成的，而TPM隨機(jī)數(shù)生成器是偽隨機(jī)數(shù)生成器，而[Ideal]過程中密鑰是由[FCDVTPM]使用真隨機(jī)數(shù)生成，如果環(huán)境Z能夠區(qū)分TPM和[FCDVTPM]生成的隨機(jī)數(shù)，而這與定義3-4矛盾，因此[Ideal]和[Real]不可區(qū)分，因此根據(jù)定理 3-4，虛擬機(jī)安全創(chuàng)建了動態(tài)TPM。

可信平臺模塊為計(jì)算平臺提供了三個基本功能：數(shù)據(jù)保護(hù)（可信存儲），平臺身份證明，平臺完整性保護(hù)，數(shù)據(jù)保護(hù)依靠加密實(shí)現(xiàn)，而平臺身份證明通過對平臺狀態(tài)信息的簽名對外證明自身的可信性，而平臺完整性保護(hù)通過哈希函數(shù)完成，因此定義了理想加密函數(shù)[FEDVTPM]，理想簽名函數(shù)[FSDVTPM]，以及理想的哈希函數(shù)[FHDVTPM]，如果動態(tài)TPM能夠在UC框架下安全實(shí)現(xiàn)這三個函數(shù)，那么根據(jù)定理3-5動態(tài)TPM在UC框架下安全實(shí)現(xiàn)了TPM的數(shù)據(jù)保護(hù)，平臺身份證明以及平臺完整性保護(hù)的三大基本功能。

定義 4-6理想加密函數(shù)[FEDVTPM]

在 [FEDVTPM]中，存在三個實(shí)體，分別是加密者[E]，解密者[D]以及敵手[A]，敵手[A]負(fù)責(zé)生成加密算法和機(jī)密算法[（e，d）]，[（e，d）]為概率多項(xiàng)式復(fù)雜度（[PPT]）的算法。

設(shè)[M]為明文消息域，令[u∈M]為給定的明文消息。

理想函數(shù) [FEDVTPM]

密鑰生成：當(dāng)[FEDVTPM]從[D]收到[（keyGen，sid）]請求，[FEDVTPM]驗(yàn)證[sid=（D，sid'）]，如果[sid≠（D，sid'）]，[FEDVTPM]忽略這個請求，否則將[（keyGen，sid）]交給敵手[A]，當(dāng)[FEDVTPM]從敵手收到[（Algorithms，sid，e，d）]，將[（EncryptionAlgorithms，sid，e）]給[D].

加密：當(dāng)[FEDVTPM]從加密請求者收到[（Encrypt，sid，m，e'）]，如果[m?M]輸出一個錯誤信息給[E]，否則如果[e≠e']，說明[D]被敵手控制，此時(shí)令[c=e'（m）]，如果[D]未被敵手控制令[c=e'（u）]，[FEDVTPM]記錄[（m，c）]，將[（Ciphertext，sid，c）]給[E]

解密：當(dāng)[FEDVTPM]從[D]收到[（Decrypt，sid，c）]，如果[FEDVTPM]存在記錄[（m，c）]，輸出[（Plaintext，m）]給[D]，如果[FEDVTPM]不存在記錄[（m，c）]，說明[D]被敵手控制，輸出[（Plaintext，d（c））]給[D]

動態(tài)TPM安全實(shí)現(xiàn)了加密函數(shù)[FEDVTPM]

證明：設(shè)[A]為真實(shí)環(huán)境下的攻擊者，通過構(gòu)造理想環(huán)境的攻擊者[S]，使得任何環(huán)境[Z]都以可以忽略的概率區(qū)分動態(tài)可信TPM及攻擊者[A]、加密者[E]以及解密者[D]組成的現(xiàn)實(shí)環(huán)境以及[FEDVTPM]和攻擊者[S]、加密者[E]以及解密者[D]組成的理想環(huán)境。以下是攻擊者[S]的操作：

1.[S]從[FEDVTPM]收到[（keyGen，sid）]，仿真[A]傳遞到[D]的信息[（Algorithms，sid，e）]。

2.[S]從[FEDVTPM]收到[（Encrypt，sid，m，e'）]，訪真[A]傳遞到[E]的信息[（Ciphertext，sid，c）]。

3.[S]從[FEDVTPM]收到[（Decrypt，sid，c）]，仿真[A]傳遞到[D]的信息[（Plaintext，d（c））]。

根據(jù)攻擊者[S]，可以得出，當(dāng)[D]攻陷時(shí)，攻擊者[S]可以完美仿真攻擊者[A]此時(shí)[Real]和[Ideal]是不可區(qū)分的，當(dāng)[E]被攻陷時(shí)候，[Real]和[Ideal]此時(shí)加密的密文是一致的，所以[Real]和[Ideal]也是不可區(qū)分的，當(dāng)[D]，[E]都沒有被攻陷由[Real]過程中的會話密鑰是根據(jù)TPM中RSA算法生成，如果環(huán)境Z能夠區(qū)分TPM和[FEDVTPM]的密文，意味著攻擊者[A]破解了RSA大模數(shù)問題而這TPM使用的RSA算法的安全性相背，因此[Ideal]和[Real]不可區(qū)分，因此根據(jù)定理 3-4，虛擬機(jī)安全實(shí)現(xiàn)了加密函數(shù)[FEDVTPM]。

定義 4-7理想簽名函數(shù)[FSDVTPM]

在 [FSDVTPM]中，存在三個實(shí)體，分別是簽名者[S]，驗(yàn)證者[V]以及敵手[A]，敵手[A]負(fù)責(zé)生成簽名算法和驗(yàn)證算法[（s，v）]，[（s，v）]為概率多項(xiàng)式復(fù)雜度（[PPT]）的算法。

設(shè)[M]為消息域，令[m∈M]為給定的明文消息。

理想函數(shù) [FSDVTPM]

密鑰生成：當(dāng)[FSDVTPM]從[S]收到[（keyGen，sid）]請求，[FEDVTPM]驗(yàn)證[sid=（S，sid'）]，如果[sid≠（S，sid'）]，[FSDVTPM]忽略這個請求，否則將[（keyGen，sid）]交給敵手[A]，當(dāng)[FSDVTPM]從敵手收到[（Algorithms，sid，s，v）]，將[（VerificationAlgorithms，sid，v）]給[S].

簽名：當(dāng)[FSDVTPM]從簽名請求者收到[（Sign，sid，m）]，令[σ=s（m）]，然后驗(yàn)證[v（m，s）=1]，如果[v（m，s）=1]輸出[（Signature，sid，m，σ）]給[S]，[FSDVTPM]記錄[（m，σ）]，否則將輸出一個錯誤信息給[S]，并且停止簽名運(yùn)算。

驗(yàn)證：當(dāng)[FSDVTPM]從[V]收到[（Verify，sid，m，σ，v'）]，如果[v'=v]，簽名者[S]沒有被攻擊者控制[v（m，s）=1]，如果[FSDVTPM]不存在[（m，σ）]這條記錄，否則將輸出一個錯誤信息給[S]，并且停止驗(yàn)證運(yùn)算，否則輸出[（Verified，sid，m，v'（m，σ））]給[V]

動態(tài)TPM安全實(shí)現(xiàn)了簽名函數(shù)[FSDVTPM]

證明：設(shè)[A]為真實(shí)環(huán)境下的攻擊者，通過構(gòu)造理想環(huán)境的攻擊者[S]，使得任何環(huán)境[Z]都以可以忽略的概率區(qū)分動態(tài)可信TPM及攻擊者[A]、簽名請求者[S]以及簽名驗(yàn)證者[V]組成的現(xiàn)實(shí)環(huán)境以及[FEDVTPM]和攻擊者[S']、簽名請求者[S]以及簽名驗(yàn)證者[V]的理想環(huán)境。以下是攻擊者[S]的操作：

1. [S']從[FEDVTPM]收到[（keyGen，sid）]，仿真[A]傳遞到[S]傳遞的信息[（VerificationAlgorithms，sid，v）]。

2.[S']從[FEDVTPM]收到[（Sign，sid，m）]，訪真[A]傳遞到[S]傳遞的信息[（Signature，sid，m，σ）]。

3. [S']從[FEDVTPM]收到[（Verify，sid，m，σ，v'）]，仿真[A]傳遞到[V]信息[（Verified，sid，m，v'（m，σ））]。

根據(jù)攻擊者[S]，可以得出，當(dāng)[S]攻陷時(shí)，攻擊者[S']可以完美仿真攻擊者[A]此時(shí)[Real]和[Ideal]是不可區(qū)分的，當(dāng)[V]被攻陷時(shí)候，[Real]和[Ideal]驗(yàn)證過程一致，所以[Real]和[Ideal]也是不可區(qū)分的，[S]，[V]都沒有被攻陷由[Real]過程中的簽名密鑰以及加密密鑰對是根據(jù)TPM中RSA算法生成，如果環(huán)境Z能夠區(qū)分TPM和[FEDVTPM]的簽名，意味著攻擊者[A]破解了RSA大模數(shù)問題而這TPM使用的RSA算法的安全性相背，因此[Ideal]和[Real]不可區(qū)分，因此根據(jù)定理 3-4，虛擬機(jī)安全實(shí)現(xiàn)了加密函數(shù)[FEDVTPM]。

由于動態(tài)TPM安全實(shí)現(xiàn)了加密函數(shù)[FSDVTPM]，動態(tài)TPM安全實(shí)現(xiàn)了簽名函數(shù)[FSDVTPM]，根據(jù)定理3-5復(fù)合協(xié)議安全性定理，動態(tài)TPM安全在UC安全框架下實(shí)現(xiàn)了TPM的功能。

5 結(jié)論

本文當(dāng)前云計(jì)算存在的問題，提出了一種云服務(wù)器中動態(tài)可信平臺模塊的構(gòu)建方法，在可信平臺模塊的基礎(chǔ)上，基于虛擬隔離技術(shù)構(gòu)建動態(tài)虛擬可信平臺模塊（Dynamic virtual Trusted Platform Module：DVTPM），以DVTPM構(gòu)建動態(tài)可信平臺模塊，從而達(dá)到提高云服務(wù)器可信性，保護(hù)客戶數(shù)據(jù)的目的，同時(shí)使用通用可組合協(xié)議分析方法論述了模型的安全性，并且在XEN實(shí)現(xiàn)了云計(jì)算模式下可信環(huán)境的一個實(shí)例。

參考文獻(xiàn)：

[1] PUSKA H， SAARN ISAAR IH， IINATTI J. Serial search code acquisition using smart antennas with single correlator or matched filter [J].IEEE Transact ions on Communications， 2008， 56（2）： 299- 307.

[2] Soltis， Steven R； Erickson， Grant M； Preslan， Kenneth W （1997）， “The Global File System： A File System for Shared Disk Storage”， IEEE Transactions on Parallel and Distributed Systems

[3] Sims K.IBM introduces ready-to-use cloud computing collaboration services get clients started with cloud computing. http：//www-03.ibm.com/press/us/en/pressrelease/22613.wss，

2007.