云虛擬化平臺可信證明技術(shù)研究綜述

涂碧波，程杰，夏豪駿 ,張坤，孫瑞娜,3

（1.中國科學(xué)院信息工程研究所，北京 100093；2.中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3.新疆財經(jīng)大學(xué)信息管理學(xué)院，新疆 烏魯木齊 830012）

1 引言

隨著互聯(lián)網(wǎng)的普及和業(yè)務(wù)數(shù)據(jù)的激增，云計算[1]因其高性能、低成本的優(yōu)勢得到飛速發(fā)展。Amazon、Google、阿里、華為等國內(nèi)外知名的大型互聯(lián)網(wǎng)公司都擁有獨立的云計算平臺及云計算推進戰(zhàn)略規(guī)劃，政府部門、事業(yè)單位也將部分業(yè)務(wù)遷移到云上。Gartner 數(shù)據(jù)顯示，截至2019 年，全球云計算市場規(guī)模已達到1 883 億美元，增速為20.86%。2020 年，線上辦公、線上會議等應(yīng)用爆發(fā)式增長，催生了“云經(jīng)濟”，不少企業(yè)加快數(shù)字化轉(zhuǎn)型的進程。除此之外，新基建提出的“加快5G 網(wǎng)絡(luò)、數(shù)據(jù)中心等基礎(chǔ)設(shè)施建設(shè)”為云計算的發(fā)展奠定了政策基調(diào)。目前，我國的云計算發(fā)展已經(jīng)進入了一個躍升的階段。

云計算飛速發(fā)展的同時，云安全問題也日益突出。在云計算環(huán)境下，用戶失去了對計算和數(shù)據(jù)的完全控制[2]能力，造成了信任缺失，虛擬化技術(shù)擴展了軟件棧、增加了新的攻擊面，底層資源的共享可能引發(fā)同駐攻擊，解決云安全問題迫在眉睫。然而，傳統(tǒng)的被動防護策略難以抵御新的漏洞和攻擊，同時安全產(chǎn)品自身的安全性也相當(dāng)脆弱，容易被攻擊者利用而成為新的攻擊面。

可信計算是一種前瞻性的安全技術(shù)，它將防護前置以主動的方式彌補被動防護的不足。目前，用“可信計算構(gòu)筑網(wǎng)絡(luò)安全”已成為一種共識，基于可信計算技術(shù)構(gòu)建新一代的安全結(jié)構(gòu)也成為國際的主流。同時，可信計算作為云安全體系的重要技術(shù)之一，是解決云安全問題的有效手段[3]。對我國來說，安全市場對可信的需求也在不斷攀升，2019 年發(fā)布和實施的等級保護2.0[4]的云安全的相關(guān)標(biāo)準(zhǔn)中，強化了可信計算技術(shù)的使用，從一級到四級都提出了可信驗證的防護要求。

可信證明是可信計算的重要的技術(shù)特征之一。隨著云虛擬化平臺下可信計算的發(fā)展，對可信證明技術(shù)的研究也在不斷深入。本文對云虛擬化平臺可信證明的關(guān)鍵技術(shù)進行分析和總結(jié)，以期為研究人員對此研究進展有個總體把握，對未來研究提供借鑒。

2 背景

2.1 云計算

云計算是目前互聯(lián)網(wǎng)時代信息基礎(chǔ)設(shè)施與應(yīng)用服務(wù)模式的重要形態(tài)，它依托于虛擬化技術(shù)，為信息系統(tǒng)的軟硬件資源提供按需共享的應(yīng)用方式。云計算提供了多樣的服務(wù)模式，包括基礎(chǔ)設(shè)施即服務(wù)（IaaS,infrastructure as a service）、平臺即服務(wù)（PaaS,platform as a service）、軟件即服務(wù)（SaaS,software as a service），甚至X 即服務(wù)（XaaS,X as a service）。其中，IaaS 具有高度虛擬化、動態(tài)伸縮性和龐大規(guī)模的技術(shù)特征，是其他服務(wù)模式的基礎(chǔ)，也是整個云平臺建設(shè)的基石。本文的研究重點也在IaaS 云。

2.2 可信證明的定義

不同的組織對可信有不同的定義。其中，可信計算組（TCG,trusted computing group）的定義得到了普遍的認可。TCG 認為，若實體是可信的，則它的行為總是以預(yù)期的方式朝著預(yù)期的目標(biāo)發(fā)展。即若一個實體可信，則其行為、能力符合預(yù)期并且可驗證其符合預(yù)期。

對于證明，TCG 規(guī)范中的定義是證明是一種報告機制，證明方將其平臺的身份以及軟硬件配置信息報告給挑戰(zhàn)方。挑戰(zhàn)方驗證成功后，相信證明方提供的身份信息和報告是正確、可靠的。美國國家安全局對證明的定義[5]則是證明是證明方向挑戰(zhàn)方提供證據(jù)而表明其具備某些特性的行為。文獻[6]在這2 個定義的基礎(chǔ)上重新定義證明，并給出形式化描述。其認為證明是證明方通過提供證據(jù)和（或）邏輯推理向挑戰(zhàn)方表明自己具有某種屬性的過程。形式化表示為

其中，S表示證明方，C表示挑戰(zhàn)方；E(S)表示獲取證明信息的操作，R(S,r)表示邏輯推理的操作；evidence 表示證據(jù)的結(jié)果，I(evidence)表示驗證證據(jù)結(jié)果的操作，P表示證明方具有的屬性。

結(jié)合可信和證明的定義，可信證明的定義如定義1 所示。

定義1可信證明是證明方向挑戰(zhàn)方提供可信相關(guān)的證據(jù)，挑戰(zhàn)方驗證可信證據(jù)是否符合預(yù)期來判斷證明方是否可信的過程。

根據(jù)可信證明的定義，可信證明應(yīng)包括2 個基本步驟：一是證明方提供與可信相關(guān)的可信證據(jù)，這些可信證據(jù)包括證明方的平臺身份信息、證明方平臺軟硬件配置的完整性信息等；二是挑戰(zhàn)方收到可信證據(jù)后，驗證其是否符合預(yù)期，并根據(jù)驗證結(jié)果推理證明方是否具備可信性。

3 云虛擬化平臺可信證明

本節(jié)首先介紹物理平臺可信證明的關(guān)鍵技術(shù)，并在此基礎(chǔ)上，分析將可信證明技術(shù)應(yīng)用到虛擬平臺時面臨的問題和解決思路。

3.1 物理平臺可信證明

根據(jù)可信證明的定義，可信證明的過程分為可信憑證的獲取和可信憑證的驗證。根據(jù)可信憑證類型的不同，將可信證明分為平臺身份證明和平臺狀態(tài)證明。

平臺身份證明是通過提供與平臺相關(guān)的身份證書來驗證平臺是一個可信的實體。在物理平臺，作為可信根的可信平臺模塊（TPM,trusted platform module）中都有一個唯一的背書密鑰（EK,endorsement key）來標(biāo)識平臺的身份。若直接采用EK 來進行平臺身份證明，會暴露平臺的真實身份。對此，在TPM v1.1 規(guī)范中提出了基于隱私CA（PCA,privacy CA）的平臺身份證明方案。該方案引入一個可信第三方（PCA），通過驗證TPM內(nèi)EK 的正確性來為證明方頒發(fā)身份密鑰（AIK,attestation identity key）證書；當(dāng)證明方向挑戰(zhàn)方請求驗證平臺身份的可信性時，證明方提供AIK證書作為平臺的身份信息，挑戰(zhàn)方驗證AIK 證書的正確性來確定平臺身份的可信性。該方案雖然在一定程度上避免了身份的泄露，但是AIK 證書的請求和驗證都需要PCA 的參與，PCA 的安全性和性能可能成為該方案的瓶頸。TPM v1.2 提出的直接匿名證明（DAA,direct anonymous attestation）的平臺身份證明方案[7]采用群簽名和零知識證明等密碼學(xué)技術(shù)解決了平臺匿名問題，提高了平臺身份的隱私保護，但是該方案使用的簽名技術(shù)長度過長，導(dǎo)致計算量過大、效率不高。對此，一些學(xué)者提出了改良的DAA 方案[8]，如基于橢圓曲線及雙線性映射對的優(yōu)化的DAA 方案，有效降低了傳統(tǒng)DAA 方案中長度過長和計算量大的問題，提高通信和計算性能。

在平臺狀態(tài)證明方面，證明方向挑戰(zhàn)方報告平臺軟硬件配置的狀態(tài)信息用于驗證平臺的可信性。基于二進制的證明是其他證明方法的基礎(chǔ)。該方法是證明方在平臺自啟動時，從硬件可信根TPM 開始，遵循“先度量，再驗證，最后跳轉(zhuǎn)”的思想，逐級度量啟動序列上實體的完整性，并將度量結(jié)果的哈希值存儲到TPM 的平臺配置寄存器（PCR,platform configuration register）內(nèi)，如實地獲取了系統(tǒng)從BIOS 到操作系統(tǒng)各層次的完整性狀態(tài)信息，再將這些度量信息報告給挑戰(zhàn)方驗證。在此基礎(chǔ)上，文獻[9]提出了完整性度量框架（IMA,integrity measurement architecture），該框架將完整性度量擴展到了應(yīng)用層，實現(xiàn)應(yīng)用程序加載時的完整性度量。IMA 將可信證明研究工作向前推進一大步，為實現(xiàn)系統(tǒng)的完整性度量提供了參考意義。隨后，文獻[10]在IMA 的基礎(chǔ)上提出了一種基于信息流完整性的證明方法（PRIMA,policy-reduced IMA）。該方法通過增加信息流完整性約束，簡化了系統(tǒng)完整性證明的范圍。上述基于二進制的證明方法存在易泄露平臺配置信息、擴展性差、效率低、TOCTOU（time-of-check to time-of-use）等問題[11]。對此，有些學(xué)者開始基于屬性證明（PBA,property-based attestation）方法的研究。PBA 是將系統(tǒng)的某些配置映射為具體的安全屬性，然后證書中心頒發(fā)相應(yīng)的安全屬性證書，挑戰(zhàn)方通過驗證屬性證書來判斷證明方是否可信。PBA 不再直接驗證配置信息的哈希值，一定程度上保護了平臺的隱私和提高了可擴展性。IBM 公司提出了基于屬性的證明框架[12]，隨后有學(xué)者提出相應(yīng)的證明方案和具體的證明協(xié)議。文獻[13]提出了基于組件的屬性證明方法，利用證書權(quán)威機構(gòu)頒發(fā)各種組件屬性證書，證明方根據(jù)配置的組件屬性證書和TPM 的完整性度量值向挑戰(zhàn)方證明其配置的狀態(tài)滿足一定的安全屬性，實現(xiàn)了細粒度的可信證明。

物理平臺可信證明的框架如圖1 所示。該框架中包含3 個實體：擁有TPM 的證明方、挑戰(zhàn)方以及證書頒發(fā)方。證明方負責(zé)基于TPM 獲取平臺的身份或狀態(tài)信息（如平臺配置、軟件特征、系統(tǒng)狀態(tài)等），并將這些可信信息通過驗證代理報告給挑戰(zhàn)方。挑戰(zhàn)方又稱為驗證者，負責(zé)請求證明方的可信信息，并根據(jù)相應(yīng)的驗證策略驗證證明方的身份或平臺的狀態(tài)，從而判斷其可信性。證書頒發(fā)方負責(zé)頒發(fā)證明方的身份證書或者屬性證書，并在驗證時提供證書的有效性的驗證。3 個實體相互合作，共同實現(xiàn)物理平臺的可信證明。

圖1 物理平臺可信證明框架

3.2 虛擬平臺可信證明

由于虛擬化平臺高度虛擬化、動態(tài)伸縮、規(guī)模龐大的特征，直接將物理平臺的可信證明技術(shù)應(yīng)用于虛擬機平臺存在一些問題，一些學(xué)者對此展開了研究，如圖2 所示。

圖2 虛擬平臺可信證明關(guān)鍵技術(shù)概括

1) 可信根虛擬化技術(shù)。在物理平臺下，每個證明方都擁有一個硬件防篡改的物理可信根TPM，用于提供平臺的身份信息，存儲平臺的可信度量值，以及遠程證明等。但在虛擬化平臺，由于資源的高度虛擬化，一臺云服務(wù)器上可以同時部署多臺虛擬機，而單個物理可信根無法同時為多臺虛擬機提供可信服務(wù)，難以滿足云平臺可信的需求。因此需要可信根虛擬化技術(shù)，為虛擬機提供可信證明的基礎(chǔ)。

2) 虛擬平臺的身份證明技術(shù)。對于物理平臺，其物理TPM擁有一個唯一且可信的EK標(biāo)識平臺的身份。但對于虛擬機，由于可信根虛擬化技術(shù)，無法提供一個硬件可信的虛擬EK（vEK,virtual EK）標(biāo)識虛擬機的身份。因此需要建立一條從物理TPM到虛擬TPM 的證書鏈，將信任從物理平臺擴展到虛擬機。除此之外，PCA 和DAA 的平臺身份證明方法，因為其對隱私CA 的過度依賴或計算量過大等問題，難以適應(yīng)大規(guī)模的云虛擬化環(huán)境?；诃h(huán)簽名的身份證明技術(shù)為解決大規(guī)模身份證明提供思路。

3) 虛擬平臺的狀態(tài)證明技術(shù)。物理平臺從可信根開始構(gòu)建信任鏈，通過逐級度量的方式獲得平臺的可信狀態(tài)信息，并通過基于二進制或?qū)傩缘姆绞竭M行平臺的狀態(tài)驗證。對于虛擬平臺，虛擬機的可信憑證不僅可以利用虛擬可信根通過構(gòu)建信任鏈的方式獲取，還可以利用虛擬機外度量技術(shù)。此外，對于云虛擬化平臺，由于其動態(tài)的特性，進一步研究了基于行為的平臺狀態(tài)證明方法，以期實現(xiàn)對虛擬機動態(tài)、實時的可信證明。

4) 虛擬機的可信證明框架。在物理平臺下，挑戰(zhàn)方僅需與物理平臺（證明方）建立可信連接以驗證其可信性。但對于虛擬平臺，虛擬機監(jiān)視器（VMM,virtual machine monitor）和底層宿主機的可信性可能影響虛擬機的可信性。因此，在對虛擬機進行可信證明時，也需要證明底層平臺的可信性。此時驗證的對象發(fā)生了變化，可信證明框架也隨之改變。

下一節(jié)將從這4 個方面梳理虛擬平臺可信證明的研究現(xiàn)狀。

4 關(guān)鍵技術(shù)

4.1 可信根虛擬化

虛擬化技術(shù)是云計算的核心技術(shù)之一，其使一臺云服務(wù)器上同時運行多臺虛擬機。但是在可信證明中，單個物理可信根無法為每臺虛擬機提供唯一的身份信息；并且，虛擬機的動態(tài)特性可能使通過構(gòu)建信任鏈獲取可信度量值的方案產(chǎn)生信任環(huán)路；此外，多臺虛擬機的可信度量值的存儲可能造成可信根資源訪問沖突，降低可信性。為滿足虛擬平臺可信的需求，文獻[14]提出了虛擬可信平臺模塊（vTPM,virtual trusted platform module）的概念，每臺虛擬機都擁有獨立的vTPM。vTPM 通過模擬物理TPM 的功能，為虛擬機提供身份憑證、存儲可信度量值、保護敏感信息等，實現(xiàn)了多臺虛擬機對TPM 資源的共享和復(fù)用。

對于vTPM 的實現(xiàn)方式，國內(nèi)外展開了大量的研究，本文接下來將按照虛擬化類型和虛擬機監(jiān)視器類型2 種分類方式展開分析，并進一步介紹我國物理可信根及其虛擬化技術(shù)的研究現(xiàn)狀。

4.1.1 基于虛擬化類型的vTPM

根據(jù)虛擬化類型，vTPM 的實現(xiàn)方式可以分為軟件vTPM、硬件vTPM 和半虛擬化vTPM。圖3顯示了Xen 平臺下的這3 種實現(xiàn)方式。

圖3 Xen 平臺下vTPM 實現(xiàn)方式

軟件vTPM 是通過軟件模擬的方式為每臺虛擬機提供一個與物理TPM 相同功能的vTPM 實例，如圖3(a)所示。文獻[14]首次提出了基于Xen 平臺的軟件vTPM 實現(xiàn)方案，并介紹了在通用TPM 和IBM 的PCIXCC 外部卡2 種情況下的vTPM 實現(xiàn)框架。該方案是由Dom0 中的TPM 管理器為每臺虛擬機創(chuàng)建一個vTPM 實例，并利用Xen 平臺的通信機制和隔離特性使虛擬機能夠使用對應(yīng)的vTPM 實例構(gòu)建自身的可信環(huán)境。同時，底層的物理平臺利用物理TPM 構(gòu)建可信的運行環(huán)境，vTPM 與TPM協(xié)同保證這個平臺的可信。此外，文獻[15]提出了一個云租戶可配置的軟件的vTPM 實現(xiàn)方案。該方案接收用戶的安全策略，并根據(jù)策略為用戶的虛擬機提供一個μTPM，確保云服務(wù)提供商可以為用戶提供一個滿足其安全需求的可信虛擬機。

軟件vTPM 的實現(xiàn)方案可同時為多臺虛擬機提供虛擬可信根，可用性較高。但是也存在一些明顯的問題：首先，軟件模擬的方式導(dǎo)致存儲的敏感信息不再受硬件保護，并且軟件vTPM 的安全性也無法保證；其次，由于vTPM 實例運行在Dom0 中，利用內(nèi)存泄露等方式便可竊取vTPM 實例中的數(shù)據(jù)，增加了新的攻擊面；再者，vTPM 與虛擬機間的綁定關(guān)系是明文配置，攻擊者可以據(jù)此獲得敏感的數(shù)據(jù)。

為了提高軟件vTPM 的安全性，文獻[16]提出將vTPM 置于CPU 的系統(tǒng)管理模式（SMM,system management mode）中運行，實現(xiàn)了強隔離，保證了vTPM 的安全。然而進入SMM 模式需要掛起其他所有的CPU 內(nèi)核，性能開銷大。文獻[17]基于Intel SGX 技術(shù)的隔離特性設(shè)計了一個新的可信安全組件eTPM（enclave TPM），通過將eTPM 的代碼數(shù)據(jù)放在SGX（software guard extensions）的隔離區(qū)域enclave 中運行，確保eTPM 運行時的安全。

硬件vTPM 是通過修改物理TPM，使之可以運行多個vTPM 實例，從而為每臺虛擬機提供獨立的vTPM，如圖3(b)所示。

文獻[18]基于Intel VT-x 技術(shù)提出了一個硬件輔助vTPM 方案。該方案中擴展了TPM 命令集，為每臺VM 提供一個TPM 控制結(jié)構(gòu)（TPMCS,TPM control structure），并為每臺VM 保存和加載單獨的vTPM 上下文，并且利用基于硬件保護的保護環(huán)隔離vTPM 的上下文。當(dāng)特定VM 使用其vTPM 時，vTPM 的前端驅(qū)動調(diào)用TPM 命令加載到TPM 對應(yīng)的TPMCS 中，實現(xiàn)了多臺VM 共用物理TPM 的資源。該方案允許每臺VM 使用完整的TPM 的功能，好像每臺VM 都擁有屬于自己的TPM，并且由硬件保護虛擬機的敏感信息，可信性和安全性高。但是該方案需要硬件輔助虛擬化的支持，并且需要修改物理TPM，對于已經(jīng)部署TPM 的環(huán)境改動較大。此外，該方案無法支持多臺虛擬機的并發(fā)訪問，可用性不高，無法不適用于大規(guī)模的云虛擬化平臺。

半虛擬化vTPM 是在虛擬機監(jiān)視器中添加對物理TPM 的調(diào)度機制以及提供某些接口，為虛擬機提供中介訪問物理TPM，如圖3(c)所示。

文獻[19]在虛擬機監(jiān)視器中增加了半虛擬化模塊來實現(xiàn)VM 對TPM 的訪問，盡可能地保證所有VM 之間公平的共享一個物理TPM。該半虛擬化模塊通過一個超級調(diào)用接口來允許VM 直接調(diào)用虛擬機監(jiān)視器，并對TPM 的某些部分（如PCR 和計數(shù)器）進行了復(fù)制和分區(qū)。模塊內(nèi)的上下文管理器維護了虛擬機與vTPM 的關(guān)聯(lián)，隔離不同的VM 的TPM 上下文。此外，該半虛擬化模塊還包含了調(diào)度程序和命令過濾器等。該方案克服了軟件vTPM 局限性和對硬件輔助虛擬化的需求；實現(xiàn)了對物理TPM 的多路復(fù)用。但是同一時間內(nèi)僅允許一臺虛擬機訪問TPM，無法支持多虛擬機的并發(fā)訪問，可用性差，也尚未解決虛擬機身份密鑰的分配和管理的問題。

4.1.2 基于虛擬機監(jiān)視器類型的vTPM

基于虛擬機監(jiān)視器類型vTPM 的實現(xiàn)方式，主要分為Xen 和KVM（Kernel-based VM）2 種架構(gòu)，前文已分析了Xen 架構(gòu)下vTPM 的實現(xiàn)方式，本節(jié)將對KVM 中vTPM 的實現(xiàn)方式展開介紹。

KVM架構(gòu)下vTPM的實現(xiàn)方式主要分為以下3類：TPM passthrough、基于函數(shù)庫模擬和CUSE TPM。

TPM passthrough 是一種基于硬件的vTPM 實現(xiàn)方式。它利用I/O 虛擬化技術(shù)使虛擬機直接使用物理TPM 來實現(xiàn)vTPM 的所有計算和存儲操作。該方式將虛擬機和物理TPM 直接綁定，可信性強；但也存在物理TPM 單一時刻僅能被單臺VM 獨占的問題，制約了可用性。

基于函數(shù)庫模擬和CUSE TPM 都是軟件vTPM的實現(xiàn)。區(qū)別在于，基于函數(shù)庫模擬是在Qemu 內(nèi)部使用libtpms 函數(shù)庫模擬物理TPM，從而為每臺VM 提供vTPM 實例。CUSE TPM 是在QEMU 外部使用libtpms 函數(shù)庫模擬物理TPM，再通過宿主機提供的IOCTL 接口訪問vTPM 實例。這2 種方式具有軟件vTPM 支持虛擬機并發(fā)訪問、高可用性的優(yōu)點；但同樣存在vTPM 自身的安全性，以及存儲的敏感信息缺少安全防護的問題?；贗ntel SGX技術(shù)的物理安全隔離特性和密封功能，可以實現(xiàn)對KVM 架構(gòu)下的軟件vTPM 運行時的安全保護[20]。

4.1.3 國產(chǎn)可信根虛擬化

我國也高度重視對可信計算領(lǐng)域的研究與發(fā)展，目前已經(jīng)形成了基于使用國產(chǎn)密碼算法的可信密碼模塊（TCM,trusted cryptography module）的可信計算體系，制定了一系列相關(guān)的標(biāo)準(zhǔn)。TCM 目前已得到廣泛的應(yīng)用，多種設(shè)備等已普遍集成TCM，可支持基于TCM 的安全啟動和信任鏈的構(gòu)建。

針對TCM虛擬化的研究也受到了廣泛的關(guān)注。文獻[21]提出了基于單根設(shè)備虛擬化技術(shù)的硬件vTCM 實現(xiàn)方案。在該方案中，vTCM 是基于硬件實現(xiàn)，與VM 一一對應(yīng)，繞過了VMM，直接為VM提供可信密碼服務(wù)。這不僅提高了安全性，也進一步提高了效率，滿足高安全可信虛擬環(huán)境的需求。隨后，文獻[22]也提出了一種vTCM 方案，該方案是在底層宿主機的物理環(huán)境中增加少量的vTCM，保證物理TCM 和vTCM 可以同時運行。在vTCM的調(diào)度模塊和管理模塊的相互配合下實現(xiàn)在vTCM有限的情況下多個vTCM 的調(diào)度切換，如此一來，不僅支持為每臺虛擬機分配一個綁定的vTCM 實例，而且保證這些實例輪流在物理vTCM 場景中運行，確保了安全要求和成本之間的平衡。

無論是TPM 還是TCM 都是被動設(shè)備，其功能的實現(xiàn)依賴于上層應(yīng)用的調(diào)用。對此，我國提出了的可信平臺控制模塊（TPCM,trusted platform control module）的概念[23]，將對稱密碼和非對稱密碼相結(jié)合，以TPCM 為根對整個平臺進行主動控制和可信度量，增強了可信芯片的運算能力和控制能力，提高了平臺的安全性和效率。TPCM 不再從屬于CPU，可以進行獨立的設(shè)計，因此，其擁有比TPM 更好的性能；并且TPCM 的主動控制能力可以對云虛擬化平臺實施動態(tài)的監(jiān)控，保證運行環(huán)境實時的可信。因此，TPCM 將來很有可能成為實現(xiàn)云虛擬化平臺可信根虛擬化的一個發(fā)展方向。

4.1.4 小結(jié)

本節(jié)首先從虛擬化類型和虛擬機監(jiān)視器類型2個角度介紹了現(xiàn)有的vTPM 的實現(xiàn)方式，方案對比如表1 所示。進一步地，介紹了國內(nèi)可信根TCM 和TPCM 以及它們的虛擬化研究現(xiàn)狀。

表1 vTPM 類型對比

目前來說，可信根虛擬化技術(shù)存在一些問題。首先，軟件的vTPM 實現(xiàn)方式通過軟件模擬TPM的功能，違背了可信計算使用硬件保護敏感信息的初衷，無法保證軟件vTPM 自身的安全性以及其保護的敏感信息的可信性。現(xiàn)有的解決方案也存在引入額外性能開銷的問題。其次，硬件和半虛擬化的vTPM 實現(xiàn)方式，在某一時刻，物理TPM 僅能被單臺虛擬機獨占，嚴重影響了可用性。面對動態(tài)化、大規(guī)模、分布式的云虛擬化平臺，現(xiàn)有的可信根虛擬化方案無法滿足云平臺的大量的可信度量的需求。具有主動控制能力的TPCM 在實現(xiàn)可信計算虛擬化技術(shù)中更具有優(yōu)勢，但目前TPCM 的相關(guān)技術(shù)并不成熟，未來還需進一步的研究和探索。

4.2 平臺身份證明

平臺身份證明是證明方向挑戰(zhàn)方提供平臺的身份證書來證明其是可以被信任的實體。虛擬機的平臺身份證明將從證書鏈的擴展和平臺身份驗證2個方面進行歸納、分析和總結(jié)。

4.2.1 證書鏈的擴展

每個物理TPM都擁有一個唯一的EK標(biāo)識平臺的身份，但出于安全和隱私保護的目的，平臺身份證明過程并不直接使用EK，而是采用EK 的別名AIK。由于EK 是物理可信的，根據(jù)信任傳遞特性，則AIK 也是可信的，從而可以利用AIK 驗證平臺身份的可信。vTPM 的實現(xiàn)方式中，軟件vTPM 通過軟件模擬的方式為虛擬機提供類似物理TPM 的接口和功能，被廣泛應(yīng)用。但軟件vTPM 沒有硬件保護，無法提供一個可信的vEK，進而無法生成可信的虛擬AIK（vAIK,virtual AIK）。對此，虛擬機平臺身份證明時，需要將證書鏈從物理TPM 擴展到vTPM。

為了實現(xiàn)證書鏈的擴展，文獻[14]提出了EK→AIK→vEK→vAIK 的證書鏈方案。該方案中vEK和vAIK 均由vTPM 產(chǎn)生，利用物理TPM 中的AIK簽名來綁定vEK 的可信，通過PCA 驗證vEK 的可信并頒發(fā)vAIK 證書用于虛擬機的身份證明。該方案直接將信任擴展到虛擬機，TPM 和vTPM 的證書結(jié)構(gòu)一致，現(xiàn)有的物理平臺身份證明協(xié)議可以直接應(yīng)用于虛擬機，易于部署和實現(xiàn)。然而，AIK 的時效很短，AIK 的失效會導(dǎo)致vEK 簽名的失效，最終導(dǎo)致vAIK 的失效，因此需要頻繁地向PCA 申請AIK 證書、vAIK 證書，增加PCA 的負擔(dān)；并且，此方案需要使用AIK 對vEK 簽名，違背了TCG 規(guī)范中AIK 只能對TPM 內(nèi)部數(shù)據(jù)簽名的要求。

為了解決AIK 時效短的問題，文獻[24]提出了EK→vEK→vAIK 的證書鏈方案。該方案用TPM 的EK 替代AIK 對vEK 進行簽名綁定。由于EK 唯一且一直存在，因此解決了AIK 時效短的問題。但根據(jù)TCG 的規(guī)范，EK 證書同樣不能用于外部簽名。

為了減少 PCA 的負擔(dān)，文獻[25]提出了EK→AIK→vAIK 的證書鏈方案。該方案中vAIK 證書直接由AIK 簽發(fā)，從而減少了PCA 的使用。但同樣存在不符合TCG 規(guī)范的問題。

為了符合 TCG 規(guī)范，文獻[26]提出了EK→AIK→SK→vAIK 的證書鏈方案。該方案在TPM 內(nèi)引入簽名密鑰（SK,signature key），并以此為中介實現(xiàn)AIK 對vAIK 的間接簽名。但該方案需要vAIK 和SK 一一綁定，產(chǎn)生大量的密鑰冗余，并且vAIK 的重構(gòu)需要生成新的SK，也帶來新的性能壓力。文獻[27]在TPM 內(nèi)增加一類證書——VMEK（virtual machine extension key），并提出了VMEK→vEK→vAIK 的證書鏈方案。VMEK 的密鑰不可遷移，且可對TPM 內(nèi)外的數(shù)據(jù)簽名和加密。由VMEK 對vEK 簽名，實現(xiàn)了證書鏈的擴展，解決了違背TCG 規(guī)范、增加密鑰冗余和PCA 性能負擔(dān)等問題。

上述的證書鏈擴展方案中，vAIK 證書的申請都需要TPM 的支持，虛擬機狀態(tài)切換頻繁，將增加系統(tǒng)的負擔(dān)。對此，文獻[28] 提出了EK→tEK→vEK→vAIK 的證書鏈方案。該方案是在Xen 平臺下新增一個DomainT 域，該域擁有一個身份密鑰tEK。首先CA 驗證DomainT 的完整性向其簽發(fā)tEK 證書；再由DomainT 簽發(fā)vEK 證書，進而保證vAIK 證書的合法性。vAIK 證書的生成由DomainT 參與，減少了對TPM 的訪問，減輕了系統(tǒng)負擔(dān)。

綜上所述，現(xiàn)有的虛擬機證書鏈擴展方案對比如表2 所示，證書鏈的擴展方案正在向符合TCG規(guī)范，減少密鑰冗余，降低PCA 負擔(dān)，以及vAIK證書的申請避免TPM 的參與來不斷優(yōu)化和完善。

表2 虛擬機證書鏈擴展方案對比

4.2.2 平臺身份驗證

虛擬機的平臺身份證明中，先通過證書鏈擴展獲取虛擬機的可信身份證書，進一步需進行平臺身份驗證。在物理平臺中，典型的方案為PCA方案和DAA 方案。vTPM 的設(shè)計和實現(xiàn)使這些方案可以直接應(yīng)用于虛擬機的身份驗證，但是在實際應(yīng)用中面臨一些問題。首先，PCA 方案中，證明過程的各個操作都需要PCA 的參與，PCA 的安全性和性能可能成為平臺身份證明的瓶頸。在云虛擬化環(huán)境，虛擬機的數(shù)量顯著增加，更加劇了PCA 的負擔(dān)。其次，DAA 方案雖然克服了PCA 方案中PCA 瓶頸局限性，但其復(fù)雜的計算量使其無法適用于大規(guī)模的云虛擬化平臺。為此，一些學(xué)者將研究聚焦于基于環(huán)簽名[29]的平臺身份證明。

基于環(huán)簽名的平臺身份證明方案[30]是選定一個臨時的包含簽名者（證明方）的集合，簽名者利用自己的私鑰和集合中其他成員的公鑰獨立地產(chǎn)生簽名，挑戰(zhàn)方通過驗證簽名的正確性，確定證明方身份的合法性。該方案中，挑戰(zhàn)方無法知道具體的簽名者，滿足匿名性的要求；集合中的其他成員并不知道自己包含其中，成員可以動態(tài)地增減，可擴展性強；并且方案中不存在群管理員，也避免了中心節(jié)點的性能瓶頸問題。文獻[31]設(shè)計了一種基于環(huán)簽名的虛擬機遠程證明方案。該方案引入了一個私鑰生成中心（PKG,private key generation），首先云平臺采用基于PCA 的證明方案向PKG 證明物理平臺的可信性；然后PKG 和vTPM 管理器通過無證書算法共同生成了vTPM 環(huán)簽名密鑰；最后利用環(huán)簽名技術(shù)實現(xiàn)虛擬機的可信證明。

PCA 方案、DAA 方案以及基于環(huán)簽名的身份證明方案對比如表3 所示。對于大規(guī)模的云虛擬化環(huán)境，基于環(huán)簽名的方案更具有優(yōu)勢。但是環(huán)簽名的無條件匿名，很難追溯不可信的證明方，并且基于環(huán)簽名的研究相對較少，還處于起步階段，此方案的推廣和應(yīng)用還需進一步探索。

表3 平臺身份證明方案對比

4.3 平臺狀態(tài)證明

平臺狀態(tài)證明是挑戰(zhàn)方驗證證明方的平臺狀態(tài)（如軟硬件配置、系統(tǒng)狀態(tài)）的可信性的過程。本節(jié)將從狀態(tài)度量和平臺狀態(tài)驗證2 個方面來探討。

4.3.1 狀態(tài)度量

狀態(tài)度量是為了獲取證明方的可信度量憑證。從技術(shù)實現(xiàn)角度，可以將其分為虛擬機內(nèi)度量和虛擬機外度量。

1) 虛擬機內(nèi)度量

虛擬機內(nèi)度量是將度量軟件置于虛擬機內(nèi)部，通過構(gòu)建信任鏈的方式，逐級度量來獲取虛擬機的可信憑證。

基于vTPM，傳統(tǒng)物理平臺的IMA、PRIMA 等完整性度量方案可以直接用于虛擬機，實現(xiàn)虛擬機內(nèi)的平臺狀態(tài)度量。除此之外，文獻[32]在每臺虛擬機內(nèi)部以內(nèi)核模塊的形式安裝感知代理，利用此代理監(jiān)控虛擬機內(nèi)的系統(tǒng)事件，并將收集到的信息存儲到一個共享的內(nèi)存區(qū)域，最后由中心監(jiān)控軟件驗證這些信息和控制相應(yīng)的代理。

虛擬機內(nèi)度量的方式可以實時獲取虛擬機軟硬件配置的完整性度量值，直接且易于實現(xiàn)。但這種方式需要將度量軟件和被度量對象放在同一區(qū)域，度量軟件易受到不合法程序的攻擊，安全性低；其次，這種方式只能檢測虛擬機內(nèi)部的安全攻擊，對于虛擬機外部的同駐攻擊、側(cè)信道攻擊等無能為力；再者，虛擬機內(nèi)度量的方式需要云服務(wù)提供商為每臺虛擬機都提供虛擬可信根（vTCM、vTPM 等）和部署遠程證明代理，增加了部署的難度和造成資源的浪費。

2) 虛擬機外度量

虛擬機外度量的方式是通過在虛擬機外部攔截虛擬機事件，間接獲取虛擬機的可信證據(jù)。

虛擬機外度量的方式可以通過攔截系統(tǒng)調(diào)用等技術(shù)實現(xiàn)。文獻[33]提出的Patagonix 架構(gòu)就是利用虛擬機監(jiān)視器控制內(nèi)存管理單元，在所有程序執(zhí)行前度量其二進制文件內(nèi)存頁的完整性，從而驗證虛擬機是否發(fā)生rootkit攻擊；文獻[34]提出的HIMA架構(gòu)是在虛擬機監(jiān)視器內(nèi)添加鉤子，主動攔截虛擬機內(nèi)調(diào)用、中斷、異常等，阻止未授權(quán)的二進制文件的執(zhí)行，但這對虛擬機的每次系統(tǒng)調(diào)用都執(zhí)行相應(yīng)的處理，系統(tǒng)開銷較大；文獻[35]提出了OB-IMA完整性度量方案，該方案也是在虛擬機外部通過攔截系統(tǒng)調(diào)用的方式度量虛擬機內(nèi)關(guān)鍵文件的完整性，不僅度量了IMA 方案中所考慮的文件，還進一步度量了影響系統(tǒng)行為和完整性的系統(tǒng)配置文件、程序加載器和腳本解釋器等文件。在此基礎(chǔ)上，文獻[36]進一步提出了虛擬機內(nèi)度量和虛擬機外度量相協(xié)同的完整性度量方案，并在Windows 虛擬機內(nèi)實現(xiàn)了該完整性度量方案，具有可接受的性能影響。

虛擬機自省技術(shù)（VMI,virtual machine introspection）作為虛擬機外度量中最流行的一種技術(shù)，也常被用于虛擬機外的可信度量。文獻[37]在虛擬機外部通過VMI、地址轉(zhuǎn)換以及內(nèi)容定位等技術(shù)，度量虛擬機內(nèi)部運行的進程、內(nèi)核模塊以及動態(tài)鏈接庫中不變量的完整性，以此來判斷程序的可信性。針對云計算環(huán)境中加密服務(wù)調(diào)用的安全性，文獻[38]提出了En-ACCI 方案，利用VMI 技術(shù)提供的豐富的虛擬機上下文信息，更好實現(xiàn)了訪問控制和審計。但該方案僅在加密服務(wù)調(diào)用時才驗證，未對已經(jīng)驗證過的代碼頁提供任何保護，易遭受TOCTOU 攻擊。對此，文獻[39]提出了一種透明且細粒度的二進制完整性驗證方案（TF-BIV），該方案在進程創(chuàng)建時識別敏感進程，檢查與進程相關(guān)的Guest OS 內(nèi)核及依賴的二進制文件的完整性，并且利用現(xiàn)有的Intel EPT（extended page table）和MTF（monitor trap flag）機制來連續(xù)監(jiān)視對目標(biāo)進程頁和已驗證物理頁的更新，有效地滿足了二進制驗證方案需滿足的隔離性、透明性、TOCTOU 攻擊和細粒度的驗證，且性能開銷很小。

與虛擬機內(nèi)度量的方式相比，虛擬機外度量的方式將度量軟件與度量對象分離，度量軟件不易被攻擊者屏蔽，增加了安全性。但是由于無法直接獲取虛擬機內(nèi)的可信度量值，存在語義鴻溝等問題。

綜上所述，虛擬機內(nèi)度量和虛擬機外度量這2 種方式的對比如表4 所示。虛擬機內(nèi)度量的方式可以直接度量虛擬機內(nèi)的狀態(tài)的度量值，獲得豐富的語義信息，但是度量軟件與度量對象不隔離，安全性較差；虛擬機外度量的方式是在虛擬機外獲取虛擬機的可信證據(jù)，對虛擬機透明，因此安全性較高，但是語義信息空白會導(dǎo)致語義信息缺失。

表4 虛擬機可信狀態(tài)度量方式對比

4.3.2 平臺狀態(tài)驗證

根據(jù)可信度量憑證的差異，可以將虛擬化平臺的平臺狀態(tài)驗證分為基于二進制的證明、基于屬性的證明以及基于行為的證明。

1) 基于二進制的證明

基于二進制的證明是在平臺狀態(tài)證明時直接用二進制哈希值表示平臺的可信憑證。

第一類是通過在服務(wù)器內(nèi)部構(gòu)建一個可信虛擬機監(jiān)視器（TVMM,trusted virtual machine monitor），為虛擬機提供一個可信的隔離執(zhí)行環(huán)境。文獻[40]提出的Terra 模型是構(gòu)建了一個TVMM，實現(xiàn)在一個高可靠的通用平臺上為用戶提供互相隔離的虛擬機底層部件，從而保護了閉盒虛擬機的隱私和完整性。文獻[41]提出了可信云計算平臺（TCCP,trusted cloud computing platform）模型。該模型引入了一個云外部可信實體——可信協(xié)調(diào)器（TC,trusted coordinator），基于二進制證明技術(shù)，TC 可以驗證云節(jié)點的可信性并控制虛擬機只能在可信節(jié)點中啟動和遷移。在TCCP 模型中，所有的安全可信操作都需要與TC 交互，當(dāng)節(jié)點規(guī)模很大時，TC 的節(jié)點管理的時間開銷也會增加，制約性能。對此，有學(xué)者提出在云平臺內(nèi)部選擇節(jié)點充當(dāng)TC 的角色[42]，有效地將TC 的任務(wù)分散，緩解TC的壓力。

第二類是基于vTPM 的實現(xiàn)，將傳統(tǒng)的物理平臺的二進制可信證明方案用于虛擬機。文獻[43]提出了雙層非平衡散列樹的遠程證明方案。該方案引入了層級的概念，構(gòu)建了雙層非平衡散列樹，將單一樹擴展為主樹和子樹，主樹和子樹分別對應(yīng)云平臺中的虛擬機和虛擬機中的度量組件，證明時僅需要提供待度量組件和認證路徑，細化了證明粒度，提高了證明效率，還提供了較好的隱私保護能力。文獻[44]提出了一種博弈論的方法來分析開源云的可信性，同時討論了可信計算對云計算的有效性。開源的軟件系統(tǒng)提高了攻擊者對軟件系統(tǒng)的了解，增加了系統(tǒng)遭受攻擊的可能性，但云租戶可以利用基于二進制的證明技術(shù)驗證底層平臺和虛擬機的可信性，增強了對云服務(wù)提供商的信任程度。

構(gòu)建TVMM 的二進制證明方式本質(zhì)上是對物理平臺進行二進制證明，在可信的物理環(huán)境的基礎(chǔ)上為虛擬機提供一個可信的隔離執(zhí)行環(huán)境，保證運行在隔離環(huán)境的虛擬機不受非法的篡改，但是無法驗證虛擬機自身的可信性。基于vTPM 的二進制證明方式是通過構(gòu)建信任鏈獲取平臺軟硬件的完整性度量值，只能驗證虛擬機的特定時刻的可信狀態(tài)，是一種靜態(tài)的證明方式。然而在云虛擬化環(huán)境中，虛擬機是動態(tài)的，其可信狀態(tài)可能由于遷移等操作而改變，基于二進制的靜態(tài)證明方式已經(jīng)不足以驗證虛擬機的可信狀態(tài)。因此，一些學(xué)者研究云虛擬化環(huán)境下基于屬性的可信證明。

2) 基于屬性的證明

基于屬性的證明是雖然平臺運行不同的組件、擁有不同的配置，但只要能提供相同的屬性，就認為其是可信的。

基于屬性的證明方式可以通過一個代理將平臺的完整性度量值轉(zhuǎn)化為相應(yīng)的屬性用于平臺狀態(tài)證明。文獻[45]根據(jù)安全屬性的需求和信任策略將平臺度量值轉(zhuǎn)換為相應(yīng)的屬性，利用轉(zhuǎn)換后的屬性驗證平臺的可信性，從而有效監(jiān)測和阻止對云基礎(chǔ)設(shè)施的攻擊，保障了租戶虛擬機的安全。文獻[46]將基于屬性的證明技術(shù)和云安全監(jiān)控系統(tǒng)CloudPass 結(jié)合，實現(xiàn)對CloudPass 系統(tǒng)的完整性驗證和平臺身份驗證。

除此之外，基于屬性的證明還可以直接利用虛擬機自身的安全屬性來驗證虛擬機的平臺狀態(tài)。文獻[47]通過租戶虛擬機流量源地址的正確性、來自租戶虛擬機的流量以及租戶虛擬機的狀態(tài)這3 個屬性驗證租戶虛擬機的行為可信，對于不可信的虛擬機可以動態(tài)隔離，甚至精細到終止服務(wù)，有效減少了租戶和客戶之間的攻擊。文獻[48]提出了一種云環(huán)境下虛擬機監(jiān)視和驗證框架（CloudMonatt），不僅驗證虛擬機在啟動和運行時的完整性，還進一步驗證虛擬機的機密性和可用性，完成對虛擬機全生命周期的可信驗證，防止了潛在的安全漏洞。

3) 基于行為的證明

為了實現(xiàn)虛擬機動態(tài)證明，還有學(xué)者提出了基于行為的證明。基于行為的證明方式是通過驗證系統(tǒng)或程序在運行時的行為變化來推理其可信性。

文獻[49]通過攔截系統(tǒng)調(diào)用和VMI 技術(shù)獲取虛擬機內(nèi)進程的上下文信息，對虛擬機的進程列表、模塊列表等的一些行為進行“行為跟蹤”，并利用這些行為變化特征驗證虛擬機在運行時的可信性。在產(chǎn)業(yè)界，阿里云結(jié)合大數(shù)據(jù)分析和機器學(xué)習(xí)技術(shù)，對白名單應(yīng)用的系統(tǒng)調(diào)用行為進行分析。搜集了用戶正常行為并建立行為規(guī)則庫，此后實時采集應(yīng)用行為數(shù)據(jù)，對比應(yīng)用行為規(guī)則庫，從而驗證應(yīng)用行為的可信性。

在平臺狀態(tài)驗證的研究中，根據(jù)可信度量憑證可以分為基于二進制的證明、基于屬性的證明、基于行為的證明，其對比如表5 所示?；诙M制的證明可以直接驗證度量組件的可信狀態(tài)信息，易于實現(xiàn)。但是二進制是靜態(tài)的驗證方式，難以應(yīng)對云計算環(huán)境虛擬化和動態(tài)化的特性?；趯傩宰C明和基于行為的證明這種方式都可以實現(xiàn)對虛擬機動態(tài)的平臺狀態(tài)驗證，大大提高了證明的靈活性。但是，就目前的研究來說，存在著可信屬性和行為特征的規(guī)范化定義不足，缺少理論支撐等問題。

表5 平臺狀態(tài)證明方式對比

4.4 虛擬機可信證明框架

在云虛擬化平臺，虛擬機監(jiān)視器負責(zé)資源的分配、虛擬機與宿主機以及管理軟件的通信。惡意的虛擬機監(jiān)視可能會破壞虛擬機的完整性，從而影響虛擬機的可信性。因此，在僅驗證虛擬機的可信性而不驗證底層平臺（虛擬機監(jiān)視器或宿主機）的情況下，虛擬機可信的結(jié)論是不準(zhǔn)確的。虛擬機的可信證明需要滿足同一性的需求，即虛擬機的可信證明應(yīng)與底層平臺的證明綁定在一起。對此，形成3 種主要的虛擬機可信證明框架，即虛實分離模式的可信證明框架、虛擬機模式的可信證明框架和宿主機模式的可信證明框架。

虛實分離模式的可信證明框架如圖4(a)所示，該框架在虛擬機和宿主機內(nèi)分別部署驗證代理，通過完整性度量和可信驗證技術(shù)，挑戰(zhàn)方分別驗證虛擬機和宿主機的可信性，2 個驗證結(jié)果最終表示整個平臺的可信性。該框架直接利用物理平臺成熟的可信證明技術(shù)，在實現(xiàn)方面改動較少；同時，對挑戰(zhàn)方而言，虛擬機和宿主機是等價的，可以平等地驗證，簡化了挑戰(zhàn)方的難度。但是，此框架需要虛擬機、虛擬機監(jiān)視器以及宿主機之間相互隔離，彼此之間沒有相互影響，在實際生產(chǎn)中無法滿足此要求；再者，虛擬機和虛擬機監(jiān)視器應(yīng)該是綁定的，挑戰(zhàn)方應(yīng)知道它們之間的綁定關(guān)系，避免同一性問題。文獻[50]利用度量聯(lián)系和MAC 地址判定解決了證明過程中的同一性問題。但在云環(huán)境中，虛擬機遷移等操作勢必會破壞綁定關(guān)系，因此帶來了綁定關(guān)系的一致性同步問題。

圖4 虛擬機可信證明框架

虛擬機模式的可信證明框架如圖4(b)所示，該框架是將宿主機的可信信息映射到虛擬機，并通過虛擬機與挑戰(zhàn)方建立的可信連接一起驗證虛擬機和宿主機的可信性。此框架將宿主機和虛擬機綁定，保證了同一性，避免了綁定更新的同步問題；然而，當(dāng)宿主機的可信憑證無法及時映射時，無法保證可信證明時可信信息的新鮮度。

這2 種框架每驗證一臺虛擬機時都需要驗證其底層的宿主機，造成了驗證的冗余；同時，需要頻繁使用TPM，TPM 的性能制約可信證明的效率；并且，每臺虛擬機都要與挑戰(zhàn)方交互，增加了平臺身份證明的負擔(dān)；再者，大量的虛擬機與挑戰(zhàn)方連接，也造成網(wǎng)絡(luò)的擁塞。綜上，這2 種框架更適用于有限數(shù)量的虛擬機的可信證明。

為了適用大規(guī)模的云虛擬化環(huán)境，支持更多數(shù)量的虛擬機的可信證明，有學(xué)者提出了宿主機模式可信證明框架[51]，如圖4(c)所示。此框架中，虛擬機不再直接與挑戰(zhàn)方交互，而是在虛擬機監(jiān)視器層增加一個代理，代理利用虛擬機外監(jiān)控技術(shù)獲取虛擬機的可信信息，并將其與宿主機的可信信息一同報告給挑戰(zhàn)方?；诖丝蚣?，文獻[52]利用VMI 技術(shù)實現(xiàn)了虛擬機的可信證明，但是該方案需要對每臺虛擬機都執(zhí)行一個很耗時的TPM_Qoute 操作，在大規(guī)模的云環(huán)境，會影響證明的可擴展性。

虛擬機的可信證明不僅要滿足MIRTE 提出的遠程證明設(shè)計時的5 項基本原則，還應(yīng)進一步滿足同一性和可擴展性的需求。現(xiàn)根據(jù)這7 項要求對上述3 種框架進行對比，如表6 所示。其中宿主機模式的可信證明框架更為完善，但現(xiàn)有的研究中仍存在TPM 性能的制約的問題，使其無法適用于大規(guī)模的云虛擬化環(huán)境。

表6 虛擬機可信證明框架對比

5 未來的研究展望

本文主要圍繞云虛擬化平臺可信證明中可信根虛擬化、平臺身份證明、平臺狀態(tài)證明、虛擬機可信證明框架4 個關(guān)鍵技術(shù)展開綜述，通過分析可知，仍存在一些問題尚未解決，未來的研究工作中，可以更多地關(guān)注以下幾個方面。

1) 適用于云虛擬化平臺的可信根虛擬化方案。根據(jù)前文所述內(nèi)容，軟件vTPM 方案存在功能缺失的問題，無法保證本身的可信性；基于硬件和半虛擬化方式的vTPM 性能不足，無法滿足大規(guī)模、動態(tài)的云平臺可信度量的需求；TPCM 可能成為適用于云平臺可信根的發(fā)展方向，但目前來說，相關(guān)技術(shù)還不成熟，亟須展開進一步的研究。

2) 適用于虛擬機運行時動態(tài)的可信度量機制?，F(xiàn)有虛擬機度量機制都僅度量虛擬機運行時關(guān)鍵不變量的完整性，片面地表示虛擬機運行時的可信狀態(tài)，其虛擬機可信的結(jié)論并不十分準(zhǔn)確。因此，需要一種新的機制，實現(xiàn)對虛擬機運行時整體的可信度量和驗證。

3) 適用于云虛擬化平臺的可信證明系統(tǒng)?，F(xiàn)有的虛擬機可信證明框架都是對虛擬機逐一驗證，云虛擬化平臺的規(guī)模在不斷擴大，逐一驗證的方式易造成網(wǎng)絡(luò)的擁塞，并且挑戰(zhàn)方的性能也會制約可信證明的效率。因此，需要從虛擬機的平臺身份證明、平臺狀態(tài)證明以及可信證明框架的多個方面進行系統(tǒng)化的設(shè)計，為大規(guī)模、動態(tài)化的云虛擬化平臺提供一個高效、靈活、可擴展的可信證明系統(tǒng)。

6 結(jié)束語

隨著云計算技術(shù)進一步成熟，隨之而來的云平臺的可信性問題也將成為未來信息安全領(lǐng)域?qū)W術(shù)界和產(chǎn)業(yè)界的關(guān)注焦點。本文結(jié)合可信證明的定義，在物理平臺的可信證明關(guān)鍵技術(shù)的基礎(chǔ)上，對虛擬機的可信證明關(guān)鍵技術(shù)進行梳理、分析和總結(jié)，為研究人員進行下一步的研究工作提供有益探索。