一種可配置的虛擬機啟動完整性維護的方法*

鄢 斌

(海軍計算技術研究所 北京 100841)

?

一種可配置的虛擬機啟動完整性維護的方法*

鄢 斌

(海軍計算技術研究所 北京 100841)

針對虛擬化環(huán)境自身體系結構和虛擬機啟動過程的特點,提出一種用戶可配置的保護和恢復虛擬機啟動過程中系統(tǒng)和用戶自定義程序/文件的方法,完成對這些程序/文件的完整性備份、檢測和恢復,在保證虛擬機啟動過程可靠性和安全性的同時,增強虛擬機啟動完整性管理的可維護性和可擴展性。

虛擬計算平臺; 可信計算; 可信平臺模塊; 虛擬機啟動; 完整性維護

Class Number TP309.1

1 引言

隨著信息技術的發(fā)展和人們對計算機資源要求的不斷提高,云計算已經(jīng)成為當前計算機技術研究的熱點。云計算使用虛擬化技術對底層計算、網(wǎng)絡和存儲資源進行封裝,通過建立虛擬機并在其中運行操作系統(tǒng)和應用程序的形式,將這些資源提供給遠程用戶。因此,虛擬機作為用戶直接使用的環(huán)境,其內部的系統(tǒng)和用戶程序及文件容易受到來自網(wǎng)絡的攻擊和篡改。

在云計算虛擬化平臺上,虛擬機管理器(Virtual Machine Monitor,VMM)[1]是整個系統(tǒng)的核心部件。在通常情況下,VMM直接運行在硬件平臺之上,以軟件方式模擬物理硬件的核心功能,建立多個虛擬機,并且為運行在這些虛擬機之上的操作系統(tǒng)和應用程序提供與訪問物理硬件相同的訪問接口。與普通計算機相同,虛擬機提供服務需要經(jīng)歷啟動和運行兩個階段,其中虛擬機啟動時加載的操作系統(tǒng)和應用程序是虛擬機運行時的基本環(huán)境。由此可見,如何確保虛擬機安全啟動直接影響到虛擬機能否安全運行。

為了解決虛擬機安全啟動的問題,已有研究人員借鑒普通計算機基于可信計算技術[2～8]的啟動過程,在虛擬環(huán)境[9～10]中引入可信計算體系結構[11]。一方面,由可信平臺模塊(Trusted Platform Module,TPM)向虛擬計算平臺提供相關密碼功能的保障主要;另一方面,由VMM對虛擬機啟動過程中依次運行的部件進行完整性度量,并將所有度量值依次存入TPM的平臺寄存器(Platform Configuration Register,PCR)當中,在虛擬機運行時PCR中存儲的這些度量值用于證明虛擬機啟動過程的完整性。但是,傳統(tǒng)計算機的可信啟動和證明過程往往只能說明虛擬機啟動過程是否可信,不能有效地恢復被破壞的虛擬機啟動過程中各個部件,也不能對系統(tǒng)中用戶自定義的程序和相關文件進行有效地保護和恢復。

本文針對虛擬化環(huán)境自身體系結構的特點,結合虛擬機啟動的過程,提供用戶配置的接口,完成虛擬機啟動過程中重要程序和文件的完整性維護,實現(xiàn)這些程序和文件的備份、度量和恢復,從而保證虛擬機啟動過程中重要系統(tǒng)程序/文件和用戶自定義文件的完整性。

2 體系架構

本文實現(xiàn)的可配置的虛擬機啟動完整性維護體系架構如圖1所示。

圖1 可配置的虛擬機啟動完整性維護體系架構

首先,虛擬機管理器通過虛擬機啟動完整性配置顯示模塊(以下簡稱完整性配置顯示模塊)接收并存儲用戶自定義需要保護的程序/文件列表。

然后,完整性配置顯示模塊調用虛擬機啟動完整性維護模塊(以下簡稱完整性維護模塊)完成對虛擬機啟動過程中重要程序/文件和用戶指定程序/文件的備份,形成相關度量基準值,并存儲在本地磁盤以供在虛擬機啟動完整性檢測和恢復過程使用。

接下來,在每次虛擬機啟動時,完整性維護模塊根據(jù)相關用戶配置文件和度量基準值對虛擬機啟動過程相關文件進行完整性檢測。

最后,當完整性檢測出現(xiàn)問題時,完整性維護模塊將相關信息顯示在完整性配置顯示模塊上,由用戶根據(jù)信息選擇是否進行恢復操作。完整性配置顯示模塊將用戶選擇信息傳遞給完整性維護模塊,如果用戶選擇進行恢復操作,完整性維護模塊調用存儲在本地磁盤上的備份,對相關程序/文件進行恢復操作;如果用戶選擇不進行恢復操作,則正常啟動虛擬機。

3 實現(xiàn)方法

基于圖1所示的體系架構,可配置的虛擬機啟動完整性維護實現(xiàn)方法包括:在基于VMM架構的虛擬計算平臺上,位于VMM內的虛擬機啟動完整性配置顯示模塊接收用戶的配置和操作信息,根據(jù)這些信息,位于VMM內虛擬機啟動完整性維護模塊實現(xiàn)對虛擬機啟動過程中系統(tǒng)程序/文件和用戶指定程序/文件完整性的備份、檢測和恢復。本章分節(jié)介紹具體的配置、備份、檢測和恢復方法。

3.1 配置過程

如圖1所示,虛擬機完整性配置顯示模塊接收并存儲用戶自定義需要保護的程序/文件列表,具體實現(xiàn)方法如下。

1) 完整性配置顯示模塊以B/S模式提供界面和配置功能,界面提供可配置的選項包括:虛擬機啟動完整性維護使能標識(以下簡稱使能標識)和用戶指定程序/文件在虛擬機內的路徑及文件名,其中使能標識表示相應虛擬機啟動時VMM是否對其進行完整性維護;

2) 用戶通過網(wǎng)絡和瀏覽器連接并通過輸入用戶名和口令登錄完整性配置顯示模塊,進行虛擬機啟動完整性配置工作包括:標記或取消標記使能標識、輸入用戶指定程序/文件的路徑和文件名;

3) 完整性配置顯示模塊在接收到用戶的配置信息后,形成相關虛擬機啟動完整性維護的用戶配置文件(以下簡稱用戶配置文件),并存儲在本地磁盤上以供完整性維護模塊使用,用戶配置文件包括:用戶指定程序/文件的路徑及文件名列表和對應虛擬機使能標識。

3.2 備份過程

如圖2所示,虛擬機啟動完整性維護分為備份、度量和恢復三個過程。其中,備份過程是由完整性維護模塊對虛擬機啟動過程中系統(tǒng)程序/文件和用戶指定程序/文件進行備份并形成相關度量基準值,具體實現(xiàn)方法如下。

圖2 可配置的虛擬機啟動完整性維護流程

1) 完整性配置顯示模塊調用完整性維護模塊,開始進行虛擬機內相關程序/文件的備份工作;

2) 完整性維護模塊讀取用戶配置文件中用戶指定文件列表,獲取用戶指定文件在虛擬機內的路徑和文件名;

3) 完整性維護模塊解析虛擬機鏡像,從虛擬機鏡像中獲取虛擬機啟動過程需要的系統(tǒng)程序/文件,包括MBR、系統(tǒng)引導程序和系統(tǒng)內核文件。其中,MBR是虛擬機鏡像前512字節(jié);系統(tǒng)引導文件位于虛擬機MBR內硬盤分區(qū)表所指向的虛擬機鏡像內部地址,其程序實體因具體情況而異(例如:Grub程序和Windows自帶的Ntldr或bootmgr文件);系統(tǒng)內核文件因具體操作系統(tǒng)而異(例如:Linux操作系統(tǒng)的內核文件是initrd和vmlinuz文件,Windows操作系統(tǒng)的主要內核文件包括系統(tǒng)分區(qū)WindowsSystem32路徑下的ntoskrnl.exe和hal.dll等文件)。除了系統(tǒng)程序/文件,完整性維護模塊根據(jù)用戶指定的虛擬機內的路徑及文件名,獲取用戶指定需要進行完整性維護的程序/文件;

4) 完整性維護模塊將獲取的系統(tǒng)程序/文件和用戶指定程序/文件發(fā)送至TPM,由TPM對這些程序/文件分別進行哈希運算,形成并將度量基準值返回給完整性維護模塊;

5) 完整性維護模塊將度量基準值存儲至本地磁盤;

6) 完整性維護模塊將相關系統(tǒng)程序/文件和用戶指定程序/文件拷貝備份至本地磁盤。

3.3 度量過程

如圖2所示,在度量過程中,每次虛擬機啟動時,完整性維護模塊根據(jù)相關用戶配置文件和度量基準值對虛擬機啟動過程相關文件進行完整性檢測,具體實現(xiàn)方法如下。

1) 在每次虛擬機啟動時,完整性維護模塊讀取用戶配置文件中用戶指定文件列表,獲取用戶指定文件在虛擬機內的路徑和文件名;

2) 完整性維護模塊解析虛擬機鏡像,依次獲取虛擬機鏡像內的MBR、系統(tǒng)引導程序和系統(tǒng)內核文件,并且根據(jù)虛擬機內的路徑和文件名獲取用戶指定文件,具體獲取方法參照步驟3);

3) 完整性維護模塊將獲取的系統(tǒng)程序/文件和用戶指定程序/文件發(fā)送至TPM,由TPM對這些程序/文件分別進行哈希運算,形成并將實時度量值返回給完整性維護模塊;

4) 完整性維護模塊從本地磁盤讀取度量基準值,并將實時度量值和度量基準值進行檢測,如果檢測一致則正常啟動虛擬機;如果檢測不一致則將檢測信息傳遞給完整性配置顯示模塊。

3.4 恢復過程

如圖2所示,在恢復過程中,完整性維護模塊將相關信息顯示在完整性配置顯示模塊上,由用戶根據(jù)信息選擇是否進行恢復操作,具體實現(xiàn)方法如下。

1) 當完整性檢測出現(xiàn)問題時,完整性維護模塊將相關信息顯示在完整性配置顯示模塊上,顯示信息包括:完整性檢測出現(xiàn)問題的程序/文件和時間,由用戶根據(jù)顯示信息選擇是否進行恢復操作;

2) 用戶通過操作界面選擇是否進行完整性恢復,完整性配置顯示模塊獲取用戶選擇信息;

3) 完整性配置顯示模塊將獲取的用戶選擇信息傳遞給完整性維護模塊,如果用戶選擇不進行恢復操作,則正常啟動虛擬機。如果用戶選擇進行以下恢復操作;

4) 完整性維護模塊讀取存儲在本地磁盤上的相應程序/文件備份;

5) 完整性維護模塊解析虛擬機鏡像,通過步驟3)的方法定位需要恢復的程序/文件,根據(jù)讀取的相應程序/文件備份,對相關程序/文件進行恢復。

4 實驗結果與分析

基于Xen 4.2.2,建立Intel Xeon CPU-2650 v2 2.60GHz雙核CPU和2G內存的虛擬機作為試驗對象,虛擬機操作系統(tǒng)為中標麒麟2.6.32和Windows Server 2008 R2。

分別在Windows Server 2008和中標麒麟虛擬機中,安裝BootRacer.exe和BootChart測試虛擬機啟動時間,虛擬機啟動計時組成分為如下階段。

1) Pre-boot階段:系統(tǒng)BIOS啟動,可信度量、可信日志記錄和可信恢復階段;

2) System Boot階段:系統(tǒng)內核及相關文件加載階段;

3) Password Timeout階段:輸入密碼時間,該時間不計算在虛擬機啟動時間內;

4) Desktop階段:桌面應用程序及服務啟動階段。

測試結果如表1所示,可以看出在Windows和中標麒麟虛擬機中,開啟可信度量之后,系統(tǒng)啟動時間分別增加6.36%和4.11%,這表明開啟可信度量對虛擬機啟動時間影響較小。

表1 虛擬機啟動時間統(tǒng)計表(單位:s)

5 結語

本文設計并實現(xiàn)了一種可配置的虛擬機啟動完整性維護的方法,相比于傳統(tǒng)的可信啟動和證明過程僅僅記錄和出示虛擬機啟動過程的可信證據(jù)而言,虛擬機管理器能夠接收用戶對指定程序/文件的完整性維護配置,完成虛擬機啟動過程中重要程序/文件和用戶指定程序/文件的完整性備份、檢測和恢復。一方面,對虛擬機啟動過程中重要程序/文件的備份、度量和恢復保證啟動過程的可靠性和安全性;另一方面,用戶指定需要度量的程序/文件增強了虛擬機啟動完整性管理的可維護性和可擴展性。

[1] Xen. Xen Virtualization[EB/OL]. 2014. [2014-09-01]. http://www.xen.org.

[2] Ahmad Ubaidah Omar. Trusted computer system: understanding and issues[EB/OL]. 2002. [2014-09-01]. http://www.ahmad_ubaidh_omar.net/trusted_computer_system_3819.html.

[3] Trusted Computing Group. TPM Main Part 1: Design Principles Specification Version 1.2[EB/OL]. 2006. [2014-09-01]. https://www.Trustedcomputinggroup.org/developers/tpm.

[4] Trusted Computing Group. TPM Main Part 2:TPM Structures Specification version l-2[EB/OL]. 2006. [2014-09-01]. https://www.Trustedcomputinggroup.org/developers/tpm.

[5] Trusted Computing Group. TPM Main Part 3: Commands Specification Version 1.2[EB/OL]. 2006. [2014-09-01]. https://www.Trustedcomputinggroup.org/developers/tpm.

[6] Trusted Computing Group. TCG Architecture Overview[EB/OL]. 2007. [2014-09-01]. https://www.Trustedcomputinggroup.org/developers/infrastructure.

[7] Trusted Computing Group. PC Client Work Group PC Client Specific TPM Interface Specification(TIS), Version 1.2[EB/OL]. 2007. [2014-09-01]. https://www.Trustedcomputinggroup.org/developers/pc_client.

[8] Trusted Computing Group. TCG PC Client Specific Implementation Specification For Conventional BIOS[EB/OL]. 2007. [2014-09-01]. https://www.Trustedcomputinggroup.org/developers/pc_client.

[9] Xen. Users Manual Xen v3.0[EB/OL]. 2008. [2014-09-01]. http://www.cl.cam.ac.uk/research/srg/netos/xen/readmes/user/user.html.

[10] Intel. Intel virtualization technology[EB/OL]. 2009. http://www.intel.com.

[11] 王麗娜,高漢軍,等.基于信任擴展的可信虛擬執(zhí)行環(huán)境構建方法研究[J].通信學報,2011(9):1-8.

A Configurable Method for Virtual Machine Startup Integrity Maintenance

YAN Bin

(Computer Technology Institute of Navy, Beijing 100841)

Based on the virtualized environment architecture and the startup process of virtual machine, a configurable method for virtual machine startup integrity maintenance is proposed. In the method, important system and user-specific programs and files are prestored, measured and restored, which not only guarantees the integrity and reliability of the virtual machine startup process, but also enhances the configurability of virtual machine integrity maintenance.

virtual computing platform, trusted computing, trusted platform module, virtual machine startup, integrity maintenance

2015年6月1日,

2015年7月16日

鄢斌,女,高級工程師,研究方向:信息安全。

TP309.1

10.3969/j.issn.1672-9730.2015.12.035