华中科技大学博士学位论文基于虚拟机架构的可信计算环境构建机制研究姓名：程戈申请学位级别：博士专业：计算机系统结构指导教师：金海2010-12-23华中科技大学博士学位论文摘要通过软件和可信硬件平台相结合的方式构建可信计算环境为解决计算机安全面临的挑战提供了新的途径。基于虚拟机架构构建可信计算环境能为上层应用提供强有力的安全保证。可信计算领域国内外都处于技术超前于理论的状况这使基于虚拟机架构的可信计算环境构建缺乏理论指导。现有的研究将虚拟机监控器作为信任链中的一环这使现有的操作系统无法支持应用程序级的完整性度量和认证。同时基于虚拟机架构的计算环境大多采用通用的虚拟机监控器这使基于虚拟机架构构建可信计算环境具有较大虚拟化开销。结合可信计算在虚拟机系统中实施强制访问控制策略可信虚拟域能够管理通过授权的公开通道传递的信息流却不能够控制通过隐形通道传递的具有潜在风险的信息流。针对这些问题需要对基于虚拟机架构的可信计算环境进行构建理论和构建机制研究。信任链模型和可信虚拟域隔离模型是基于虚拟机架构可信计算环境构建的支持理论。基于实体间的依赖关系提出一个具有普遍意义的信任链模型。该模型给出可信状态、信任根、信任度量的形式化定义并对基于静态可信度量根和动态可信度量根的信任链进行统一建模。该模型为评估现有的可信计算环境提供理论依据并为构建基于虚拟机架构的可信计算环境提供理论支撑。针对可信虚拟域中的隐形流问题提出一种在可信虚拟域间用于控制隐形流的优先中国墙模型。优先中国墙模型具有和传统中国墙模型不同的访问规则该模型通过建立联盟关系实现对利益冲突关系的动态扩展从而构建访问区域。该模型用于隐形流控制时既拥有类似中国墙策略依据主体访问需要进行选择的灵活性又拥有类似格策略能够将客体分成不同的访问集便于实施的优点。基于上述模型提出三种基于虚拟机架构的可信计算环境构建机制：基于虚拟机架构的透明信任链机制、基于轻量级虚拟化的动态可信执行环境构建机制和可信虚拟域间隐形流控制机制。基于虚拟机架构的透明信任链机制能够构建对操作系统I华中科技大学博士学位论文透明的应用级信任链可以在用户期望的可信计算环境遭到破坏时保护其敏感数据并使普通的商用平台具有类似IBM4758安全协处理器平台的完整性和机密性特征。基于轻量级虚拟化的动态可信执行环境构建机制利用动态可信度量根和硬件虚拟化技术在运行的操作系统下插入一个轻量级的虚拟机监控器并使用该监控器为目标程序选择的内存页提供隔离的安全运行空间从而实现细粒度的访问控制和灵活的内存保护。该机制是基于动态可信度量根技术的首个虚拟化实现它拥有更小的可信基及启动和运行开销并可以保护现有商用操作系统上很大范围的遗留程序。可信虚拟域间隐形流控制机制在每个节点建立从信任根到虚拟机监控器的信任链然后相互验证并扩展信任链于整个分布式系统从而形成联合可信基。该机制在联合可信基上实施优先中国墙策略依据用户的安全需求消除可信虚拟域间的隐形流。可信虚拟域间隐形流控制机制能满足虚拟机架构中企业的高安全需要确保敏感的信息不会泄露给竞争对手。关键词：虚拟机架构信任链模型动态可信度量根可信执行环境隐形流控制IIAbstractTrustedcomputingenvironmentprovidesanewarenatoaddressthechallengesofcomputersecuritybycombiningsoftw