收稿日期:20130702;修回日期:20130805
作者简介:姜路(1990),男,安徽蒙城人,硕士研究生,主要研究方向为云计算、虚拟机隔离(849148146@qq.com);鹤荣育(1966),河南遂平
人,教授,硕导,主要研究方向为信息安全、云计算
.
云计算中动态完整性传递模型研究
姜 路,鹤荣育
(解放军信息工程大学,郑州 450000)
摘 要:针对云平台中虚拟机动态完整性难以保证的问题,基于完整性度量机制,提出了一种虚拟机间动态完
整性传递模型。该模型在虚拟机监视器中设计了一个验证模块,验证输入者及输入数据的完整性,保证了虚拟
机之间在传输数据或指令时的动态完整性,且传递的消息完整性也得到验证。基于无干扰理论对模型可信性进
行了证明,最后用两组实例验证了该模型的可用性。实验结果表明,该模型对不可信输入和不可信平台都有较
好的抵御能力。
关键词:云计算;可信计算;动态完整性;信任链;无干扰
中图分类号:TP309 文献标志码:A 文章编号:10013695(2014)05150304
doi:10.3969/j.issn.10013695.2014.05.053
Researchofdynamicintegritytransmitmodelincloud
JIANGLu,HERongyu
(PLAInformationEngineeringUniversity,Zhengzhou 450000,China)
Abstract:FortheproblemofVM’sdynamicintegritysupporting,andusingintegritymeasurementmechanisms,thispaper
proposedadynamicintegritytransmitmodelinVMs.Themodeldesignedaverificationmoduleinvirtualmachinemonitorto
verifytheimporter
’sandtheinputdata’sintegrity.ThustheVM’sinstantintegritywouldbeensuredandtheinputdata’s
integritybeverifiedaswell.Usingnoninterferencetheoryitprovedthemodel’scredibility.Finally,itvalidatedtwoexam
plesoftheavailabilityofthemodel.Experimentalresultsshowthatthemodelcanagainstuntrustedinputoruntrustedplat
form.
Keywords:cloudcomputing;trustedcomputing;dynamicintegrity;trustchain;noninterference
!
引言
随着云计算的发展与广泛应用,云安全越来越受到业界的
关注。云计算通过虚拟化技术在一台计算机上模拟出多个隔
离的计算环境,这些隔离的虚拟计算环境被称为虚拟机。云计
算平台中的虚拟机需要严格隔离,以保证云平台安全。为保证
各虚拟机可信与可控,需要保证各虚拟机的完整性。可信计
算
[1~3]
给云安全带来了全新的解决方案,把可信计算应用到云
计算已经越来越成为业界的热点
[4]
。通过对可信计算技术的
虚拟化能够构建可信云平台
[5,6]
。可信云平台通过 TPM的虚
拟化,为虚拟机建立虚拟机的完整性。
可信云平台基于虚拟 TPM(vTPM)
[7]
度量与报告机制,保
证启动时,信任链从可信平台模块(TPM)
[3]
中的 CRTM扩展到
vTPM到每个虚拟机。但由于 vTPM在系统启动后,就不再不断
检查系统的完整性,所以它只能保证虚拟机的静态完整性。
仅确保虚拟机静态完整性对虚拟机安全来说远远不够,一
个安全虚拟机必须能够抵御来自其他虚拟机的通信与数据流
通中带来的威胁。强隔离不能正确控制程序间通信和数据流
通,也不能有效地进行访问控制
[8]
。尽管一个虚拟机的资源
被隔离在一个安全的隔离区,但后门程序还是可以通过向其注
入非法输入,从而影响该程序的完整性。如果此程序从网络上
获取输入,那么输入很可能被窃听或者被操作系统层恶意软件
更改。
在信任的传递方面,很多学者在各个级别作了很多研究。
在
TCG规范中
[1]
,规定信任是从可信度量根 CRTM一直延续
到应用软件,形成一条完整的信任链。但在云计算平台中,由
于应用了虚拟化技术,可信的传递已经受到了传统平台上传递
的限制。当信任链传递到虚拟机监视器的时候,再继续传递到
客户虚拟机将是一个挑战性工作,并且在虚拟机之间不存在信
任链,不能保证虚拟机通信时可信。文献[9]提出了基于无干
扰模型的信任链传递模型,指出只有在不存在非预期干扰的情
况下,
TCG规定的信任链传递才是有效的,并提出了形式化的
模型及证明。但其具体实现的方法并没有给出详细的方案。
文献[10]设计的 SecureBus致力于在进程级别检测输入
的可信性,SecureBus位于进程与操作系统内核之间,并做到对
上层进程和下层内核的通明性。然而 SecureBus只是针对于普
通平台,在云平台上的应用还有待进一步研究。
文献[11]提出了基于进程级别的系统的可信条件,从可
信定义出发,证明了一个系统运行时的可信条件。然而运行时
的可信方案也没有给出。文献[5]提出了一种 TCTVM模型,
给出了信任链从虚拟机监视器到用户虚拟机的解决方案,并给
出了面向用户的 vTPM。但运行时 的 可 信 没 有 给 出,在模 型
TCTVM中也没有考虑虚拟机之间的相互干扰问题。
本文在 TCTVM模型基础上,针对虚拟机的动态完整性问
题,提出了虚拟机间信息传递完整性模型。此模型通过在虚拟
第 31卷第 5期
2014年 5月
计 算 机 应 用 研 究
ApplicationResearchofComputers
Vol.31No.5
May2014
资源评论
