一種可信虛擬平臺底層環(huán)境驗證方案

孫浩男 鶴榮育 郭 麗

1(解放軍信息工程大學(xué) 河南 鄭州 450001)2(河南省工業(yè)技術(shù)學(xué)校 河南 鄭州 450001)

0 引 言

虛擬化技術(shù)增強了計算資源的利用率，提供強大的隔離能力，能夠同時為多個用戶提供不同服務(wù)。但是在虛擬化平臺中，缺少對平臺以及客戶虛擬機的完整性度量，使得虛擬環(huán)境的安全性難以得到保證?？尚庞嬎慵夹g(shù)為計算平臺增加可信平臺模塊TPM(Trusted Platform Module)，為平臺提供軟、硬件保護機制，保障計算平臺的完整性。通過虛擬化技術(shù)同可信計算結(jié)合，創(chuàng)建虛擬化可信平臺模塊vTPM，建立可信虛擬化平臺，可為客戶虛擬機提供完整性保護機制和密碼服務(wù)。

虛擬可信平臺通過物理平臺狀態(tài)寄存器PCR到虛擬平臺狀態(tài)寄存器vPCR的映射關(guān)系將信任鏈延伸至客戶虛擬域，并通過一定的簽證手段將證書鏈延伸至虛擬域，由此客戶虛擬機能夠應(yīng)用TPM安全機制和密碼服務(wù)。虛擬可信平臺的用戶在啟動虛擬機后，需要先進行遠(yuǎn)程證明服務(wù)，在確定本機和底層環(huán)境可信的狀態(tài)下，方可使用虛擬機。然而在復(fù)雜的虛擬化環(huán)境中，往往面臨著眾多的安全威脅，如惡意用戶、外來入侵等?？尚庞嬎慵夹g(shù)能夠為虛擬環(huán)境提供完整性保護機制，但目前的vTPM構(gòu)建方式(如IBM的vTPM構(gòu)建方案)對平臺的底層環(huán)境具有一定的威脅?，F(xiàn)階段，直接將PCR映射至vPCR的方式和虛擬機的遠(yuǎn)程證明機制會將底層平臺配置信息直接泄露，為攻擊者提供方便，使得平臺更易遭受攻擊。另外，除了確定底層環(huán)境可信，客戶虛擬機還需要知道在平臺中是否存在來自其他客戶機的威脅、平臺有哪些保護機制、平臺是否符合規(guī)范等問題。而為獲取用戶的信任，將平臺配置信息和安全策略配置信息直接發(fā)送用戶同樣會造成平臺安全隱患。

針對現(xiàn)階段可信虛擬平臺存在的問題，本文從平臺隱私保護出發(fā)，以XEN為虛擬平臺，參照IBM的vTPM構(gòu)建方案進行改進，改變物理PCR與vPCR映射方式，增加可信驗證模塊和訪問控制策略，提供平臺內(nèi)部的底層平臺完整性和安全策略的靜態(tài)、動態(tài)驗證服務(wù)，建立虛擬機用戶對底層環(huán)境的信任關(guān)系，從而構(gòu)建具有平臺隱私保護的可信虛擬平臺。本文方法僅適用于類似XEN的具有獨立控制域的虛擬化環(huán)境。

1 相關(guān)內(nèi)容

1.1 遠(yuǎn)程認(rèn)證

在可信平臺中，最基本的遠(yuǎn)程證明方法是由TCG提出的二進制遠(yuǎn)程證明方法[1-2]，但是在可信虛擬平臺中，虛擬機直接使用該方法驗證整個信任鏈(如IBM的vTPM構(gòu)建方案)，會暴露可信平臺軟硬件配置。對于該問題，Sadeghi等[3]提出了基于屬性的認(rèn)證方法(PBA),通過可信第三方頒發(fā)屬性證書的方式保證平臺的隱私性，但存在屬性證書被惡意轉(zhuǎn)發(fā)、吊銷困難的問題，靈活性較差，且具有可信第三方或平臺與可信第三方交互過程中泄露平臺隱私的風(fēng)險。在虛擬化可信平臺中，環(huán)境配置多變、信任關(guān)系復(fù)雜，為保證底層平臺完整性和相關(guān)安全策略可信且對用戶以及平臺外部不可見，基于屬性的認(rèn)證方法并不完全適用于虛擬化平臺底層環(huán)境的遠(yuǎn)程證明。

1.2 IBM的vTPM方案

對于可信虛擬平臺的實現(xiàn)，IBM提出了基于XEN構(gòu)建vTPM的方案。方案為客戶虛擬機創(chuàng)建vTPM實例，使其能夠提供硬件TPM保護功能，甚至能夠進行遠(yuǎn)程證明服務(wù)[6]。在IBM的vTPM方案中，通過物理PCR到vPCR的映射，上層客戶虛擬機能夠進行虛擬環(huán)境的二進制遠(yuǎn)程證明。如圖1所示，物理PCR[0-8]位存儲BIOS、Bootloader、VMM的度量值，以此作為vTPM的可信基(TCB)，將PCR[0-8]位映射至vPCR，用戶虛擬機對vPCR[0-8]可讀、vPCR其余位可讀寫，vPCR[9]存儲虛擬機的OS度量值，其余交由用戶使用，可以存儲虛擬機上層應(yīng)用、文件等度量值。在虛擬機進行二進制遠(yuǎn)程證明時，可以通過vPCR的低、高位存儲值驗證底層環(huán)境完整性和其自身虛擬機的完整性。

圖1 IBM方案:物理PCR-vPCR映射

IBM的vTPM方案，能夠很好地擴展證書鏈、信任鏈，但是該方案在虛擬機進行遠(yuǎn)程證明的過程中，在獲取和提交vPCR的低、高位存儲值時，會導(dǎo)致底層平臺的隱私信息泄露。

2 可信虛擬環(huán)境驗證方案

本文以XEN[4]為虛擬化平臺建立可信虛擬環(huán)境，如圖2所示，在原有IBM的可信虛擬平臺的架構(gòu)上增加可信驗證模塊，并制定一系列機制，從而構(gòu)建具有平臺配置信息保護能力的可信虛擬平臺。XEN平臺中，XEN內(nèi)核代碼運行于ring0層，操作系統(tǒng)代碼運行于ring1層，應(yīng)用運行于ring3層。本文在特權(quán)管理域Dom0中設(shè)計可信驗證模塊，在Dom0啟動后首先啟動該模塊。

圖2 可信虛擬環(huán)境驗證模型

本文應(yīng)用IBM方案中平臺身份認(rèn)證密鑰AIK(Attestation Identity Keys)簽發(fā)vTPM的虛擬平臺身份認(rèn)證密鑰vAIK(Attestation Identity Keys)證書的方式擴展可信證書鏈，使vTPM具有良好的平臺關(guān)聯(lián)性；改變建立PCR到vPCR映射關(guān)系，保護底層配置信息；結(jié)合XEN安全模塊XSM(Virtual Xen Security Modules)，增加強制訪問控制策略；以可信驗證模塊為核心進行底層環(huán)境的完整性和安全策略驗證，并與用戶交互，在對底層平臺配置信息隱私保護的基礎(chǔ)上建立用戶對底層平臺的信任關(guān)系。

2.1 平臺隱私保護

根據(jù)TCG規(guī)范，物理TPM的PCR的0～7位中存放BIOS和物理硬件的度量值。如圖3所示，本文在PCR第8位中存放虛擬機監(jiān)控器VMM(Virtual Machine Monitor)和dom0的度量值，在PCR第9位中存放可信驗證模塊的度量值，在PCR第10位中存放vTPM管理器和vTPM實例的度量值。PCR其余位可按需存放其他組件度量值，本文在PCR第11位存放XEN網(wǎng)絡(luò)配置文件度量值，在PCR第12位存放安全策略配置文件度量值。

圖3 PCR-vPCR映射

為了保護平臺底層配置信息，不再將物理PCR中全部平臺度量值映射到vPCR中，而只將PCR第9位(可信度量模塊度量值)映射至vPCR?？蛻籼摂M機只能獲取可信驗證模塊度量值和度量日志。由此，虛擬客戶機能夠直接驗證可信度量模塊的完整性，但無法獲取底層平臺的配置信息，達到平臺隱私保護的目的。

2.2 安全策略

XEN本身具備一定的安全措施，如：通過配置XSM的強制訪問控制安全模塊(SHype/ACM)[5]和Flask模塊等方式，可對虛擬域等內(nèi)容進行強制訪問控制管理。本文在XEN平臺上基于XSM的Flask模塊配置強制訪問控制策略，為用戶提供一定的訪問控制保障。

1988年，Brewer等[7]根據(jù)現(xiàn)實的商業(yè)策略提出了Chinese Wall安全模型。Chinese Wall模型是一種混合型安全模型，試圖對相互競爭關(guān)系的客戶進行保護。本文采用Chinese Wall安全模型的簡單安全性規(guī)則，為虛擬平臺提供粗粒度的訪問控制，對虛擬機的啟動進行控制。收集用戶虛擬機的單位信息，根據(jù)用戶虛擬機之間關(guān)系為其劃分利益沖突類、公司數(shù)據(jù)集、客體。

客體：單個公司信息項(虛擬機)。例如某公司的數(shù)據(jù)庫虛擬機、管理員虛擬機、員工虛擬機等。

公司數(shù)據(jù)集：一個公司的所有客體集合。

利益沖突類：有利益沖突的公司數(shù)據(jù)集的集合。

定義1O為客體集合(o∈O)，L為安全標(biāo)簽(x,y)，每個標(biāo)簽對應(yīng)一個客體，x代表利益沖突集，y代表公司數(shù)據(jù)集。

簡單安全性[8]：簡單安全性讀訪問規(guī)則是允許一個用戶訪問與他曾經(jīng)訪問過的公司的沒有利益沖突的公司信息。初始時，一個主體可以自由訪問任意的某公司信息，不存在訪問控制限制。一旦初始訪問確定，則主體不能再訪問該公司數(shù)據(jù)集的利益沖突類中的其他公司數(shù)據(jù)集。

本文中應(yīng)用Chinese Wall安全策略，為客戶虛擬機提供粗粒度的訪問控制保護，主體為管理虛擬機啟動/關(guān)閉的Dom0特權(quán)域，將訪問的概念換為啟動，在啟動階段進行限制，避免同一利益沖突類的不同公司數(shù)據(jù)集同時啟動。

2.3 可信驗證模塊

可信驗證模塊是驗證底層環(huán)境、保護平臺隱私的核心模塊。該模塊經(jīng)過Seal密封存儲(與PCR[0-8]期望值綁定)、可信啟動，并能夠為用戶驗證底層環(huán)境完整性和安全策略，且保護配置信息使其不外泄，是建立用戶對整個平臺信任關(guān)系的關(guān)鍵模塊。

2.4 二級遠(yuǎn)程證明

與IBM通過對PCR[0-8]到vPCR[0-8]的底層度量數(shù)據(jù)完全映射、由虛擬機進行遠(yuǎn)程證明的方案不同，本文采用虛擬機與底層分離的方式進行二級證明。如圖4所示，由可信驗證模塊驗證底層平臺的完整性，由用戶虛擬機與可信第三方交互驗證上層虛擬機的完整性和平臺身份，確保底層平臺的配置信息不外泄。

圖4 二級遠(yuǎn)程證明

2.4.1 客戶虛擬機驗證

客戶機將自己的vTPM實例當(dāng)作真實TPM，進行客戶虛擬域的完整性二進制度量，記錄度量日志?？蛻籼摂M機與第三方認(rèn)證中心CA(Certificate Authority)交互，確認(rèn)vTPM身份無誤后進行完整性的驗證。通過遠(yuǎn)程驗證，得到平臺身份是否可信、虛擬域是否可信的結(jié)果。

2.4.2 平臺底層環(huán)境驗證

可信度量模塊雖然經(jīng)過seal處理(與PCR[0-8]期望值綁定)，但是并未綁定到上層的vTPM管理器和vTPM實例(PCR[10])，其次，客戶虛擬機信任可信度量模塊，但并不直接信任底層的全部組件是可信啟動的。因此須由可信度量模塊對底層環(huán)境進行完整性二進制驗證，并將驗證結(jié)果簽名返回用戶。

3 可信驗證模塊

在可信虛擬平臺ring1層的特權(quán)域dom0中增加可信驗證模塊。該模塊是可信虛擬環(huán)境驗證方案的核心模塊，負(fù)責(zé)建立上層用戶對底層平臺的信任關(guān)系。主要具有可信啟動、驗證底層平臺完整性、平臺策略驗證機制。

如圖5所示，可信驗證模塊由信息采集代理、驗證代理、用戶接口以及期望值庫組成，各組件具體說明如表1所示。

圖5 可信驗證模塊組件

組件說明信息采集代理采集用戶信息、底層平臺完整性度量和策略配置相關(guān)信息驗證代理對完整性、策略進行驗證計算用戶接口為用戶提供服務(wù)接口期望值庫存儲完整性度量期望值、安全策略配置標(biāo)準(zhǔn)值

3.1 可信啟動

(1) 啟動前平臺環(huán)境自檢:通過TPM將可信驗證模塊做seal操作，將PCR[0-8]期望值與其綁定，在VMM和dom0啟動后進行unseal解封操作，如果模塊能被釋放，那么表示當(dāng)前對應(yīng)的PCR符合期望，可信驗證模塊能夠確認(rèn)底層環(huán)境安全。

(2) 啟動可驗證:在成功unseal操作后TPM度量可信驗證模塊，將度量值存在PCR第9位，啟動可信驗證模塊。在客戶虛擬機需要通過可信驗證模塊驗證底層環(huán)境時，能夠通過vPCR第9位和度量日志中可信驗證模塊的內(nèi)容判斷可信驗證模塊是否可信啟動。

3.2 底層環(huán)境靜態(tài)驗證

3.2.1 底層平臺完整性驗證

客戶虛擬機在信任可信度量模塊后，可進行底層平臺二進制完整性驗證?？尚膨炞C模塊執(zhí)行本地底層環(huán)境的完整性驗證，身份驗證交由虛擬客戶端完成。如圖6所示。

圖6 底層平臺完整性驗證模型

底層平臺完整性驗證如下：

(1) 客戶虛擬機通過用戶接口發(fā)送驗證請求和隨機數(shù)nonce到可信驗證模塊；

(2) 信息采集代理獲取度量日志SML()；

(3) 信息采集代理請求并獲取TPM使用AIK簽名的PCR[0-10]；

(4) 信息采集代理獲取在TPM存儲區(qū)域的AIK身份證書；

(5) 驗證代理根據(jù)收集到的SML()、PCR()驗證SML()是否被篡改，并參照期望值庫驗證度量結(jié)果是否符合預(yù)期；

(6) 信息采集代理向TPM發(fā)送驗證結(jié)果和隨機數(shù)并請求獲取AIK對其簽名；

(7) 可信驗證模塊返回AIK簽名過的驗證結(jié)果和隨機數(shù)給用戶虛擬機；

(8) 用戶驗證隨機數(shù)，并與CA交互，驗證AIK證書，在確認(rèn)本次會話以及平臺身份無誤后查看可信驗證模塊返回的驗證結(jié)果，從而確定底層平臺是否可信。

3.2.2 平臺策略驗證

在可信度量模塊對底層環(huán)境度量結(jié)果進行驗證通過后，可確認(rèn)啟動度量日志、安全策略配置文件未被篡改?？尚膨炞C模塊根據(jù)用戶的身份信息，結(jié)合虛擬域之間的關(guān)系，對訪問控制策略進行驗證：

(1) 信息采集代理、驗證模塊通過訪問和檢驗平臺啟動引導(dǎo)配置文件，判斷平臺是否具有強制訪問控制安全策略并已配置為強制啟動。

(2) 信息采集代理收集具體客戶虛擬機的身份信息、策略要求，驗證代理通過期望庫中的平臺配置訪問控制策略判斷平臺能否為當(dāng)前客戶虛擬機提供安全的訪問控制保障。

(3) 信息采集代理收集當(dāng)前已啟動虛擬機與當(dāng)前請求驗證的虛擬機之間的關(guān)系，驗證代理驗證當(dāng)前虛擬機的所處環(huán)境是否存在利益威脅：對于當(dāng)前請求驗證的虛擬機(x,y)，根據(jù)其他已啟動的虛擬機集合O的標(biāo)簽，檢測是否存在與當(dāng)前虛擬機同屬同一利益沖突集x、不同公司數(shù)據(jù)集y的虛擬機，若不存在則沒有利益沖突。

(4) 信息采集代理請求TPM使用AIK對驗證結(jié)果進行數(shù)字簽名，并附AIK證書。

3.3 底層環(huán)境動態(tài)驗證

虛擬化平臺是一個不斷掛載、關(guān)閉多個虛擬機的狀態(tài)實時變化的平臺，對于其完整性和安全策略的保障不應(yīng)只停留在虛擬機的啟動階段。對于底層平臺和某已啟動的虛擬機而言，任一時刻其他的虛擬機的掛載都會造成系統(tǒng)狀態(tài)的變化，因此需要提供實時的度量檢驗。

3.3.1 完整性動態(tài)度量驗證

在系統(tǒng)中當(dāng)有虛擬機掛載時，平臺會度量其對應(yīng)的可信根vTPM。物理PCR[10]負(fù)責(zé)記錄虛擬機的可信根:vTPM實例的度量值,在vTPM被度量啟動后，可信驗證模塊可對vTPM的度量結(jié)果進行驗證。與靜態(tài)驗證類似，由信息采集代理PCR[10]采集度量值、日志，由驗證代理驗證完整性。

對于平臺管理者而言，可以根據(jù)獲取每個虛擬機啟動時可信根的完整性檢驗結(jié)果，判定虛擬環(huán)境下由于掛載虛擬機產(chǎn)生的平臺的狀態(tài)變化是否存在威脅。通過實時驗證，能夠第一時間發(fā)現(xiàn)問題，阻止其啟動。

對于客戶虛擬機而言，能夠通過可信驗證模塊反饋的驗證結(jié)果實時地獲取當(dāng)前平臺狀態(tài)變化是否安全，并且不能獲取其他虛擬機可信根的具體啟動信息，保護各虛擬機隱私。

3.3.2 安全策略動態(tài)度量驗證

可信驗證模塊動態(tài)獲取已啟動的虛擬機的標(biāo)簽，根據(jù)標(biāo)簽判斷當(dāng)前已啟動的虛擬機之間是否存在利益沖突關(guān)系，實時驗證策略的實施情況：

(1) 根據(jù)當(dāng)前所有已啟動虛擬機之間的關(guān)系，驗證當(dāng)前環(huán)境是否存在利益威脅：遍歷所有已啟動的虛擬機集合O的標(biāo)簽，判斷對同一利益沖突集x，是否存在不同的公司數(shù)據(jù)集y，若不存在則沒有利益沖突。

(2) 使用AIK對完整性和安全策略驗證結(jié)果進行數(shù)字簽名，并附AIK證書。

4 信任傳遞

可信虛擬環(huán)境平臺通過主要通過二級遠(yuǎn)程證明方案進行信任傳遞，過程如圖7所示。(1) 虛擬機對應(yīng)vTPM的PCR[11-23]供用戶使用，記錄虛擬機映像、應(yīng)用等度量值。用戶可以使用vTPM與第三方CA進行自身的遠(yuǎn)程證明，首先判斷上層虛擬機是否可信。(2) 在遠(yuǎn)程證明的過程中，通過vAIK的證書驗證間接驗證了TPM的AIK證書，判斷了平臺身份是否可信。(3) 由于vPCR[9]映射了可信驗證模塊的度量值，用戶可驗證該模塊是否可信。(4) 在信任可信驗證模塊后，可信驗證模塊執(zhí)行底層環(huán)境完整性的驗證，用戶可根據(jù)該模塊提交的計算結(jié)果決定是否信任底層環(huán)境，底層環(huán)境包括BIOS、物理硬件(包括TPM)、VMM、Dom0、vTPM管理器、vTPM實例。(5) 驗證平臺是否強制啟動了安全策略、當(dāng)前虛擬機是否符合安全策略，建立對底層安全策略的信任關(guān)系。(6) 通過可信度量模塊的動態(tài)度量機制，進一步建立用戶對平臺完整性、安全策略的實時信任關(guān)系。由此，能夠達到在不泄露平臺配置信息的條件下，建立用戶對平臺信任關(guān)系的目的。

圖7 信任傳遞

4.1 虛擬機可信

在虛擬機操作系統(tǒng)中，vTPM提供與硬件TPM相同的功能和命令集，vPCR[11-23]存儲虛擬機度量值，且TPM-CA為vTPM頒發(fā)過vAIK證書，虛擬機具備遠(yuǎn)程證明的能力，可通過與可信第三方交互進行遠(yuǎn)程證明，驗證自身虛擬機是否可信。

4.2 平臺身份可信

物理TPM經(jīng)過平臺外部的第三方CA簽發(fā)AIK證書，TPM通過有效的AIK間接簽證vTPM的vAIK證書。在客戶虛擬機做遠(yuǎn)程驗證時，通過第三方CA驗證自身的vAIK證書的簽證源的合法性；客戶虛擬機在接收可信度量模塊的計算結(jié)果后，也通過第三方CA確認(rèn)AIK證書的合法性，從而信任計算結(jié)果發(fā)送方的身份。由此既可以驗證平臺的真實身份，也能判斷平臺是否具有真實的物理TPM模塊，而不是采用軟件模擬(如Tpm_emulator)的手段。

4.3 驗證模塊可信

可信驗證模塊的seal操作，目的在于確定模塊在啟動前的平臺環(huán)境是否可信。由此建立可信驗證模塊對其自身啟動環(huán)境(即底層環(huán)境)的信任關(guān)系。

客戶虛擬機通過獲取可信驗證模塊的啟動度量信息，能夠驗證可信驗證模塊是否是可信啟動的。由此建立客戶虛擬機到可信驗證模塊的信任關(guān)系。

4.4 底層平臺完整性可信

可信驗證模塊獲取TPM的PCR度量值和度量日志，計算啟動過程是否與預(yù)期相符?？尚膨炞C模塊能夠驗證底層環(huán)境是否可信并將結(jié)果簽名反饋給客戶虛擬機。由此建立用戶對底層環(huán)境信任關(guān)系，從而信任整個平臺環(huán)境。

4.5 平臺安全策略可信

客戶虛擬機信任整個平臺環(huán)境之后，經(jīng)過可信度量模塊對平臺檢測是否強制啟動安全策略、檢測對當(dāng)前虛擬機是否具有正確的策略配置，并根據(jù)該虛擬機與當(dāng)前的已啟動的各虛擬機利益關(guān)系判斷當(dāng)前的安全狀態(tài)。將結(jié)果簽名反饋給客戶虛擬機。

客戶虛擬機信任整個平臺環(huán)境，再根據(jù)可信度量模塊反饋的策略檢測結(jié)果，確定平臺是否對其進行了有效的訪問控制保護，且當(dāng)前是否為安全的狀態(tài)。

4.6 平臺底層環(huán)境動態(tài)可信

在平臺啟動階段靜態(tài)度量驗證結(jié)果和虛擬機啟動階段安全策略驗證結(jié)果為可信的條件下，建立用戶對平臺的靜態(tài)信任關(guān)系。

可信度量模塊在此基礎(chǔ)上對掛載虛擬機引起的虛擬平臺環(huán)境變化進行動態(tài)度量驗證，提供實時的驗證機制：

(1) 動態(tài)完整性驗證：對啟動的虛擬機的可信根vTPM的度量值進行實時驗證。

(2) 動態(tài)安全策略驗證：對所有已啟動的虛擬機進行策略的實時驗證。

通過結(jié)果簽名并反饋給用戶，可進一步建立用戶對平臺的動態(tài)信任關(guān)系。

5 實驗分析

本文對虛擬可信環(huán)境驗證方案實現(xiàn)了原型系統(tǒng)。系統(tǒng)平臺配置如下：物理TPM:STM v1.2;XEN虛擬化平臺v4.4;Dom0內(nèi)核版本:Linux 4.5.2;DomU內(nèi)核版本:Linux 3.9.1。實驗分別從PCR映射、底層平臺靜態(tài)、動態(tài)驗證進行系統(tǒng)測試。

如圖8所示，上部分為平臺TPM的PCR[0-12],下部分為虛擬機node1的vPCR[0-12]?？梢钥吹狡脚_僅將PCR[9]映射至vPCR[9]，其余位按2.1節(jié)方案存儲度量值。由此對上層用戶屏蔽平臺底層環(huán)境的度量信息。

圖8 PCR映射實驗

(1) 底層環(huán)境靜態(tài)驗證可信 底層環(huán)境靜態(tài)驗證包括在用戶虛擬機啟動時刻的底層完整性驗證和平臺安全策略驗證。圖9為虛擬機node1啟動時的驗證結(jié)果：進行靜態(tài)完整性驗證，檢測當(dāng)前已啟動虛擬機的標(biāo)簽，判斷是否對當(dāng)前虛擬機構(gòu)成利益威脅。其中標(biāo)簽vmA_r、vmB_r對應(yīng)利益沖突集，domU1_t、domU3_t對應(yīng)公司，可以看到在node1啟動時，已有node2在運行，而node2與node1屬不同利益沖突集，因此node2對node1沒有利益威脅。靜態(tài)環(huán)境驗證結(jié)果：可信。

圖9 底層環(huán)境靜態(tài)驗證

(2) 底層環(huán)境動態(tài)驗證可信 底層環(huán)境靜態(tài)驗證包括在用戶虛擬機啟動后某時刻的底層完整性驗證和平臺安全策略驗證。圖10為虛擬機node1啟動后某時刻請求動態(tài)驗證的結(jié)果?？尚膨炞C模塊與TPM交互，進行動態(tài)完整性驗證，檢測當(dāng)前所有已啟動虛擬機的標(biāo)簽，判斷虛擬機之間是否存在利益沖突其中標(biāo)簽vmA_r、vmB_r對應(yīng)利益沖突集，domU1_t、domU3_t對應(yīng)公司，可以看到有node1、node2、node3在運行，node1、node3同屬一個公司且與node2不在同一個利益沖突集內(nèi)，因此node1、node2、node3相互之間不存在利益沖突。動態(tài)環(huán)境驗證結(jié)果：可信。

圖10 底層環(huán)境動態(tài)驗證可信

(3) 底層環(huán)境動態(tài)驗證不可信 在圖10實驗基礎(chǔ)上，對安全策略進行篡改并重新加載，使得存在利益沖突的虛擬機可以同時掛載。圖11為虛擬機node1啟動后某一時刻請求動態(tài)驗證的結(jié)果。由于安全策略被篡改，則動態(tài)完整性驗證結(jié)果為不可信。標(biāo)簽vmA_r、vmB_r對應(yīng)利益沖突集，domU1_t、domU2_t、domU3_t對應(yīng)公司，此時有node1、node2、node4在運行，其中node1與node4同屬一個利益沖突集內(nèi)且隸屬于不同的公司，因此node1與node4相互之間存在利益沖突，策略的驗證結(jié)果為不可信。動態(tài)環(huán)境驗證結(jié)果：不可信。

圖11 底層環(huán)境動態(tài)驗證不可信

6 結(jié) 語

本文在IBM的vTPM方案基礎(chǔ)上，對平臺隱私保護問題進行研究，提出一種可信虛擬平臺底層環(huán)境驗證方案。通過設(shè)計物理PCR到vPCR的映射方式、提出二級遠(yuǎn)程認(rèn)證、建立可信環(huán)境驗證模塊進行底層平臺靜態(tài)和動態(tài)的完整性與安全策略驗證等工作，從而在平臺底層隱私保護的基礎(chǔ)上，建立虛擬機用戶對底層平臺環(huán)境的信任關(guān)系。對于解決可信虛擬平臺、云平臺上的用戶對平臺底層信任問題和底層隱私保護問題有一定的參考價值。