基于虚拟机监视器的可信计算平台研究

摘要

TCG从行为可预测性的角度给出实体可信的定义，认为“当一个实体始终沿着预期的方式(操作或行为)达到既定目标，则它就是可信的”。TCG规范通过可信根、可信传递、可信度量、可信报告等手段的实施达到系统可信的目的。 目前可信终端的研究仍停留在工程技术层面，缺乏理论模型支撑。TCG提出的可信计算平台规范定义了终端需要提供的可信计算功能。但是如何实现这些功能，仍然需要在构建理论模型，摸清机理的基础上，进行详细的研究。 可信终端体系结构研究还不成熟。目前对可信终端体系结构的研究主要集中在对主流操作系统的改进上。由于主流操作系统在设计时不是以可信计算为目标，难以从根本上满足可信计算的需要。因此，仅仅通过对主流操作系统改造来满足可信计算的要求是难以实现的。 本文紧紧围绕上述两个问题展开研究。在对可信计算目标进行形式化分析的基础上，提出了一个基于隔离主域的可信终端模型。在该模型的指导下，设计了一个基于虚拟机监视器的可信计算平台，并且对平台实现的关键技术展开了研究与实践工作。主要包括以下3个方面的成果： (1)针对可信计算对强隔离性的需要，提出了一个基于隔离主域的内核模型。并对模型如何应用于实际系统进行了分析，论证了虚拟机体系结构是最理想的实现方式。在此基础上，设计了一个基于虚拟机监视器的可信计算平台体系结构。该结构秉承了虚拟机监视器强大的隔离性、良好的应用兼容性等优点。 (2)分析了过程完整性及其存在的问题，论述了验证操作系统启动过程完整性的重要性，设计并实现了客户Linux系统的可信启动过程。通过可信启动过程验证虚拟机系统客户Linux系统的内核启动到登陆界面出现之前的过程完整性，确保这一阶段可信链被正确传递，为随后的应用提供一个可信的运行环境。 (3)分析了基于Windows平台的可信度量中的需求和技术难点，设计并实现了一种基于Windows终端的可信度量系统。该度量系统通过在终端系统上运用静态数据度量结合动态环境完整性保护的方式来确保系统的完整和可信。文章最后分析了该度量系统带来的安全增强作用及其对终端平台的性能影响。

目录

文摘

英文文摘

声明

第一章绪论

1.1引言

1.2研究背景

1.2.1可信计算的发展历程

1.2.2终端安全现状

1.2.3可信计算与安全的关系

1.3 TCG中关键技术

1.3.1 TPM体系结构

1.3.2可信链传递

1.3.3 TSS体系结构

1.4可信计算体系结构相关研究

1.4.1 LaGrande Technology

1.4.2 Bear系统介绍

1.4.3 Terra介绍

1.4.4 NGSCB介绍

1.5可信计算存在的问题

1.6研究主题和目标

1.6.1支持可信计算的内核模型研究

1.6.2可信计算平台体系结构研究

1.6.3可信平台的技术实践工作

1.7论文的组织结构

第二章基于隔离主域的内核模型

2.1问题分析

2.2无干扰理论

2.3基于隔离主域的内核模型

2.3.1模型基本定义

2.3.2模型约束条件

2.3.3证明

2.4信任域的抗干扰约束

2.4.1信任域问题分析

2.4.2补充定义

2.4.3信任域的约束条件

2.4.4证明

2.5可信计算的形式化分析

2.6模型的实现分析

2.7本章小结

第三章基于VMM的可信计算平台

3.1可信计算基础平台的选择

3.2可信计算平台的目标和设计原则

3.3 Xen VMM隔离性分析

3.3.1 Hypervisor的硬件隔离机制分析

3.3.2 Xen主域之间的通信机制分析

3.3.3 Xen虚拟机系统设备驱动的隔离性分析

3.3.4控制主域Domain 0的隔离性分析

3.4可信计算平台的体系结构

3.4.1基于虚拟机监视器的可信计算平台总体结构

3.4.2基于虚拟机监视器的可信计算平台组成

3.4.3可信度量的基本思想

3.4.4可信计算平台的度量点分析

3.4.5可信计算平台度量体系结构

3.4.6完整性度量机制

3.5本章小结

第四章可信平台安全引导研究

4.1以前的工作及其存在的问题

4.2引导系统组成

4.3 GRUB执行过程分析

4.4 sGRUB设计与实现

4.4.1完整性分析

4.4.2引导系统的总体结构

4.4.3系统实现方案

4.4.4性能分析

4.5本章小结

第五章客户操作系统的可信启动

5.1过程的完整性度量

5.1.1过程的完整性

5.1.2过程的模式

5.2 Linux启动过程的分析

5.3 Linux可信启动的设计与实现

5.3.1内核对init进程的度量

5.3.2 init进程实施的度量

5.3.3/etc/rc.d/rc.sysinit和/etc/rc.d/rc的度量

5.3.4 xinetd的度量

5.3.5 TSPL性能分析

5.4本章小结

第六章Windows客户系统可信度量研究

6.1系统完整性需求

6.2系统分析

6.2.1建立启动阶段的可信链传递机制

6.2.2对软件栈进行度量

6.2.3对系统的动态完整性进行保护

6.2.4对破坏完整性的事件响应

6.2.5系统的可用性要得到保障

6.3系统设计

6.3.1内核度量模块

6.3.2预度量模块

6.3.3应用层保护模块

6.4功能和性能分析

6.4.1防恶意代码能力分析

6.4.2性能分析

6.5结论

第七章结束语

7.1论文的主要贡献

7.2进一步研究的方向

致谢

参考文献

个人简历

攻读博士期间完成的主要工作