论文部分内容阅读
将虚拟化技术与可信计算相结合构建的可信虚拟平台及其信任链模型是目前的一个研究热点。目前大部分的研究成果是采用在虚拟平台上扩展传统信任链的构建方法,不仅模型过粗且逻辑不完全合理,而且还存在底层虚拟化平台和顶层用户虚拟机两条分离的信任链问题。并且目前的无干扰理论形式化方法只定义了动作所属域,没有针对云环境下系统动作的主体等进行定义,不能完全适用于云计算环境下的信任链传递模型。为此,本文首先提出了一种具有瀑布特征的可信虚拟平台架构,该可信虚拟平台在层次上添加了可信衔接点层次,主要由虚拟机构建模块、虚拟可信平台模块构建模块、虚拟机和其虚拟可信平台模块绑定模块组成。当可信虚拟平台启动时,不仅可以以静态度量方式参与底层虚拟化平台的启动,也可以和虚拟可信模块共同作为虚拟机启动动态度量的虚拟可信根。在该可信虚拟平台中,可信衔接点具有承上启下的瀑布特征,把底层虚拟化平台的启动输出作为了虚拟机启动的度量输入,类似于软件设计中的瀑布特征。然后基于上述可信虚拟平台架构构建了信任链模型,该模型以硬件TPM为起点,在底层虚拟化平台和顶层用户虚拟机信任链之间加入可信衔接点。当信任链从底层虚拟化平台传递到可信衔接点时,由可信衔接点负责对用户虚拟机的v TPM进行度量,之后将控制权交给v TPM,由v TPM负责对用户虚拟机启动的组件及应用进行度量。该模型中可信衔接点具有承上启下的瀑布特征,能满足虚拟化环境的层次性和动态性特征,保证了整个可信虚拟平台的可信性。基于Xen的信任链构建的实验结果表明本信任链传递方法可以保证可信虚拟化环境在整个运行过程是安全可信的。然后,为了在理论上证明本文提出的信任链模型的可信性,本文采用了适合可信计算系统的安全逻辑的形式化分析方法,分别对底层物理平台、可信衔接点等层次的本地验证以及远程证明的形式分析,证明了本文信任链模型的可靠性和安全性。最后,为更准确的针对云计算环境下信任链模型进行形式化分析,本文提出了一种扩展无干扰的信任链形式化方法。该方法针对目前的非传递无干扰理论均没有考虑到云计算运行中时的安全域、动作所属主体以及动作对安全域和系统状态的影响进行详细的说明,对无干扰理论在安全域动作所属主体等进行详细的扩展,并定义了云计算环境下的非传递无干扰安全定理,结合上述可信虚拟平台和信任链对无干扰进行了实例验证。