虛擬域可信鏈的設(shè)計與實現(xiàn).pdf

1、信息技術(shù)的發(fā)展推進(jìn)了人類社會的現(xiàn)代化進(jìn)程，而信息系統(tǒng)的安全問題卻給人們的工作和生活帶來了諸多麻煩。關(guān)注信息系統(tǒng)的安全，首先就要關(guān)注計算機(jī)終端的安全?；诩冘浖陌踩珯C(jī)制具有一定的局限性，不能有效防范攻擊事件的發(fā)生。為此，可信計算組織提出通過修改計算機(jī)的體系結(jié)構(gòu)、增強(qiáng)硬件功能等措施實現(xiàn)對系統(tǒng)的保護(hù)。即從一個可信根開始，按照系統(tǒng)控制權(quán)的轉(zhuǎn)換順序逐級進(jìn)行完整性度量并形成可信鏈，最后通過對可信鏈的分析以判斷該計算平臺是否可信。這種設(shè)計思想與虛擬

2、化技術(shù)相結(jié)合可以為虛擬機(jī)提供安全保障。使虛擬域在保持合理、高效利用資源優(yōu)點的同時，還增強(qiáng)了虛擬域操作系統(tǒng)的安全性。但是由于虛擬化設(shè)計模式的不同，虛擬域可信鏈建立的方式也不相同。 本文首先分別針對Xen虛擬機(jī)全虛擬和半虛擬兩種模式提出了可信鏈的設(shè)計方案。然后設(shè)計并實現(xiàn)了建立可信鏈所需支撐技術(shù)，包括修改虛擬TPM設(shè)備軟件中部分TPM指令的實現(xiàn)，增添了映射特權(quán)域的平臺信息和加載外部度量結(jié)果的功能；通過分析半虛擬域操作系統(tǒng)的引導(dǎo)過程，設(shè)