面向虛擬機系統(tǒng)的可信驗證模型研究

◆田 楠 賈源泉 王樂東

面向虛擬機系統(tǒng)的可信驗證模型研究

◆田 楠 賈源泉 王樂東

（中國人民解放軍91977 部隊 北京 100841）

虛擬機系統(tǒng)提高了計算的效率，但同時也存在很多安全問題?？尚庞嬎慵夹g(shù)中對計算機系統(tǒng)的可信驗證需要物理可信根作為基礎(chǔ)。在虛擬機系統(tǒng)中，如何基于單物理可信根，實現(xiàn)對多個用戶虛擬機的可信驗證是本文研究的重點。本文基于硬件虛擬化技術(shù)，提出了一種面向虛擬機系統(tǒng)的可信驗證模型，分析了在該模型下的可信驗證流程，為解決虛擬機系統(tǒng)的安全問題提供了一種解決思路。

虛擬機；可信驗證；硬件虛擬化

虛擬機系統(tǒng)提高了計算資源的使用效率，但同時引入了新的安全問題[1]。不同用戶共享物理計算資源，存在跨虛擬機非授權(quán)訪問數(shù)據(jù)等一系列安全問題，傳統(tǒng)的安全防護手段在虛擬機環(huán)境下難以完全發(fā)揮作用。

可信計算[2]作為一種新型安全防護技術(shù)，通過可信根，在系統(tǒng)中建立一套完整的可信驗證機制，監(jiān)控系統(tǒng)的運行狀態(tài)和用戶行為，區(qū)分可信和非可信的狀態(tài)，可以從根本上解決系統(tǒng)的安全問題。

在傳統(tǒng)計算機系統(tǒng)中，可信驗證的實現(xiàn)以可信密碼模塊（trusted cryptography module，TCM）作為可信根[3]。虛擬機環(huán)境下不同用戶系統(tǒng)共享同一套物理計算資源，由于密碼資源的分割性和獨立性，單個可信根不能為多虛擬用戶提供物理支撐。圍繞這一問題，國內(nèi)外學者開展了一系列研究[4][5]，這些研究大多采用軟件虛擬的方式，通過為每一臺虛擬機分配一個虛擬的可信密碼模塊（virtual trusted cryptography module ，vTCM），實現(xiàn)TCM的全部功能，這樣做在一定程度上能夠為虛擬機提供可信支撐，但是受限于vTCM的軟件特性，仍然存在一些問題：

（1）安全性。vTCM中的密碼資源缺乏硬件保護，即使對vTCM中的密碼資源進行加密保護，但是在使用時仍會明文暴露于內(nèi)存中，存在泄密風險。

（2）效率。vTCM中的密碼算法都是以軟件形式實現(xiàn)，計算效率與硬件實現(xiàn)相比要低得多，無法滿足高效計算的需求。

本文基于硬件虛擬化技術(shù)提出了一種基于虛擬TCM硬件的可信驗證模型，為虛擬環(huán)境下應(yīng)用可信驗證解決虛擬機安全問題提供了解決思路。

1 可信計算

可信計算的目標是保障計算機系統(tǒng)按照預期的狀態(tài)運行，其技術(shù)手段是在計算機正常工作時，由可信度量部件對系統(tǒng)的狀態(tài)和行為進行度量，根據(jù)度量值來判斷系統(tǒng)是否按照預期情況運行，從而拒絕各種非預期行為對系統(tǒng)的干擾。其防御機理類似于人體的免疫系統(tǒng)，免疫系統(tǒng)能夠在不影響人體正常工作的情況下，排斥進入人體的有害物質(zhì)，從而保證人體的安全。

可信計算的基礎(chǔ)是可信根，可信根由控制芯片和密碼芯片組成，能實現(xiàn)對系統(tǒng)的可信度量，可信存儲等功能?？尚鸥目尚判允窍到y(tǒng)可信的基礎(chǔ)?；诳尚鸥目尚?，可信度量部件首先對系統(tǒng)的BIOS進行度量，在BIOS可信的基礎(chǔ)上，再對系統(tǒng)的boot loader進行度量，然后是對操作系統(tǒng)內(nèi)核進行度量，最后對上層的應(yīng)用進行度量，一級驗證一級，一級信任一級，從而最終把這種可信性擴展到整個系統(tǒng)，構(gòu)成可信的計算環(huán)境。圖1顯示了可信驗證的過程。

可信度量的功能實現(xiàn)需要密碼的支持，可信根中存儲的密碼主要有背書密鑰（endorsement key，EK）、存儲根密鑰（storage root key，SRK）、平臺身份密鑰（platform identity key，PIK）等，其中背書密鑰具有唯一性，它代表了每個平臺的真實身份，用于生成以及授權(quán)PIK密鑰。對于虛擬機平臺的多用戶，可由背書密鑰授權(quán)生存多個PIK密鑰。

圖1 系統(tǒng)可信驗證過程

2 TCM硬件虛擬化

2.1 I/O硬件虛擬化

I/O虛擬化[6]是虛擬化技術(shù)的重要組成部分，在虛擬化技術(shù)領(lǐng)域，計算虛擬化（如CPU和內(nèi)存虛擬化）已經(jīng)日趨成熟，但是， I/O虛擬化技術(shù)的發(fā)展相對比較滯后。當前，主流的I/O虛擬化技術(shù)有三種：軟件模擬、設(shè)備直通和單根I/0虛擬化（Single Root I/O Virtualization，SR-IOV）。這三種虛擬化技術(shù)在不同程度上實現(xiàn)了I/O設(shè)備的虛擬化功能。其中，軟件模擬是通過虛擬化Hypervisor層模擬虛擬設(shè)備，實現(xiàn)與物理設(shè)備完全一樣的接口，虛擬機操作系統(tǒng)無須修改就能直接驅(qū)動虛擬設(shè)備，其最大的缺點是性能相對較差；設(shè)備直通方式支持虛擬機繞過Hypervisor層，直接訪問物理I/O設(shè)備，具有最高的性能，但是，在同一時刻，同一I/O設(shè)備只能被一個虛擬機獨享；SR-IOV是Intel在2007年提出的解決虛擬化I/O硬件的技術(shù)方案，該技術(shù)不僅有設(shè)備直通方式的高性能優(yōu)勢，而且同時支持物理I/O設(shè)備的跨虛擬機共享，具有較好的應(yīng)用前景。

SR-IOV引入了兩個新的功能類型：PF（Physical Function，物理功能）和VF（Virtual Function，虛擬功能），一個PF可以擴展出若干個VF，每個VF都具有一個PCI-E內(nèi)存空間，用于映射其寄存器集，VF設(shè)備驅(qū)動程序可以通過PF的總線、設(shè)備和功能編號訪問各個VF的PCI-E配置空間，對寄存器集進行操作以啟用其功能，并且顯示為實際存在的PCI-E設(shè)備。創(chuàng)建VF后，可以直接將其指定給虛擬機用戶。此功能使得虛擬機可以共享物理設(shè)備，并在沒有CPU和虛擬機管理程序軟件開銷的情況下執(zhí)行I/O。這樣不僅增強了各VF之間的隔離性，使虛擬機環(huán)境更加安全，其通信效更能接近真實物理設(shè)備。

2.2 TCM硬件虛擬化

TCM虛擬化的硬件結(jié)構(gòu)設(shè)計如圖2所示，其主要結(jié)構(gòu)包括多通道DMA，計算部件和存儲部件。

多通道DMA支持各vTCM同時進行I/0數(shù)據(jù)的交換，發(fā)送和接收的數(shù)據(jù)被存儲在緩沖區(qū)中各自的獨立空間中，相互之間不會影響。計算部件包括多個算法核，為了提高計算能力，各算法核可以同時執(zhí)行不同的密碼計算任務(wù)。存儲部件與傳統(tǒng)的TCM相同，分為易失性存儲區(qū)和非易失性存儲區(qū)。易失性存儲區(qū)為每個vTCM提供一個PCR寄存器，用于存儲可信度量的度量值，非易失性存儲區(qū)中，存儲vTCM的密碼資源，vTCM中的vAIK和vSRK分別由存儲在pTCM中的EK和SRK生成。

圖2 TCM虛擬化硬件設(shè)計

3 可信防護模型

3.1 架構(gòu)設(shè)計

圖3所示是在虛擬機環(huán)境下應(yīng)用虛擬硬件TCM進行安全防護的架構(gòu)圖。在虛擬機系統(tǒng)的底層除了真實的pTCM之外，還有若干個虛擬vTCM，pTCM負責為宿主機/特權(quán)域提供可信驗證服務(wù)。在宿主機/特權(quán)域中，除了虛擬機管理器之外，維護有一個vTCM管理器，它負責vTCM的創(chuàng)建、收回和管理。當系統(tǒng)創(chuàng)建一個虛擬機時，vTCM管理器會相應(yīng)創(chuàng)建一個vTCM，并完成vTCM密鑰分配、初始化、與虛擬機綁定等功能，vTCM基于硬件實現(xiàn)被獨立地分配給對應(yīng)的虛擬機使用，不需要虛擬機管理器管理。

圖3 基于虛擬硬件TCM的架構(gòu)圖

3.2 可信驗證流程

與傳統(tǒng)計算機系統(tǒng)相比，虛擬機系統(tǒng)中的可信驗證包括兩部分：宿主機/特權(quán)域的可信驗證和用戶虛擬機的可信驗證。

（1）宿主機/特權(quán)域的可信驗證

宿主機/特權(quán)域的可信驗證過程與傳統(tǒng)計算機系統(tǒng)相同，在系統(tǒng)上電后，首先啟動TCM對BIOS、boot loader 進行驗證，驗證了硬件平臺的可信后，平臺啟動操作系統(tǒng)內(nèi)核，對操作系統(tǒng)內(nèi)核進行可信度量?？尚诺挠布涂尚诺牟僮飨到y(tǒng)共同構(gòu)建了可信的計算環(huán)境，為上層的應(yīng)用環(huán)境提供了可信計算基礎(chǔ)（Trusted Computing Base，TCB）。

（2）用戶虛擬機的可信驗證

按照傳統(tǒng)可信模型，可信驗證應(yīng)該是從硬件開始，對應(yīng)到用戶虛擬機，應(yīng)該先啟動vTCM，對虛擬BIOS和虛擬boot loader進行驗證。但是在虛擬機系統(tǒng)中，vTCM是分配給用戶虛擬機的PCI-E設(shè)備，在用戶虛擬機內(nèi)核啟動前，用戶虛擬機并不具備調(diào)用PCI-E設(shè)備的能力。因此，對用戶虛擬機系統(tǒng)不能使用vTCM來完成啟動階段的可信驗證。

為了解決可信需求與虛擬機體系結(jié)構(gòu)的矛盾，用戶虛擬機的可信驗證被分設(shè)計為兩個階段。啟動階段，用戶虛擬機的虛擬BIOS和虛擬boot loade等硬件平臺可信仍然由物理TCM進行驗證，可信度量信息和相關(guān)日志文件保存在TCM中。用戶虛擬機內(nèi)核加載完成后，啟動vTCM從TCM中讀取用戶虛擬機啟動階段的可信度量信息和相關(guān)日志文件，vTCM接替TCM對虛擬操作系統(tǒng)內(nèi)核和應(yīng)用程序進行驗證，構(gòu)建最終的可信計算環(huán)境。其可信驗證流程如圖4所示。

圖4 虛擬機系統(tǒng)可信驗證流程

4 結(jié)論

本文基于硬件虛擬化技術(shù)，提出了基于單物理可信根的虛擬機系統(tǒng)可信驗證模型，通過虛擬TCM硬件，將信任關(guān)系從物理環(huán)境擴展到虛擬機系統(tǒng)，能夠滿足虛擬化環(huán)境的高安全可信應(yīng)用需求。

[1]LUO S， LIN Z， CHEN X， et al. Virtualization security for cloud computing service[C]. Internatio-nal Conference on Cloud and Service Computing.

[2]Washington D.C：IEEE Computer Society，2011：174-179.

[3]沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J].中國科學：信息科學，2010，40（2）：139-166.

[4]Luo J，Yan F，Yu F J，et al. Research on cryptology mechanism of trusted computing platform module[J]. Computer Applications，2008，28（8）：1907–1915.羅捷，嚴飛，余發(fā)江等.可信計算平臺模塊密碼機制研究[J].計算機應(yīng)用，2008，28（8）：1907-1915.

[5]BERGER S， CERES R， GOLDMAN K A， et al. vTPM： virtualizing the trusted platform module[C]// Conference on Usenix Security Symposium. USENIX Association， 2006：21.

[6]STEFAN B， RAMóN C， KENNETH A G， et al. vTPM： virtualizing the trusted platform module[J]. Usenix Security， 2007，15：305-320.

[7]DONG Y，YANG X，LI X，et al. High perfor-mance network virtualization with SR-IOV[C]. High Performance Computer Architecture（HPCA），2010 IEEE 16thInternational Symposium on， Wash-Ington D.C：IEEE Computer Society，2010：1-10.

[8]王麗娜，高漢軍，余榮威，等.基于信任擴展的可信虛擬執(zhí)行環(huán)境構(gòu)建方法研究[J].通信學報，2011，32（9）：1-8.