虛擬域可信鏈的設計與實現(xiàn).pdf

1、信息技術的發(fā)展推進了人類社會的現(xiàn)代化進程，而信息系統(tǒng)的安全問題卻給人們的工作和生活帶來了諸多麻煩。關注信息系統(tǒng)的安全，首先就要關注計算機終端的安全。基于純軟件的安全機制具有一定的局限性，不能有效防范攻擊事件的發(fā)生。為此，可信計算組織提出通過修改計算機的體系結構、增強硬件功能等措施實現(xiàn)對系統(tǒng)的保護。即從一個可信根開始，按照系統(tǒng)控制權的轉換順序逐級進行完整性度量并形成可信鏈，最后通過對可信鏈的分析以判斷該計算平臺是否可信。這種設計思想與虛擬

2、化技術相結合可以為虛擬機提供安全保障。使虛擬域在保持合理、高效利用資源優(yōu)點的同時，還增強了虛擬域操作系統(tǒng)的安全性。但是由于虛擬化設計模式的不同，虛擬域可信鏈建立的方式也不相同。 本文首先分別針對Xen虛擬機全虛擬和半虛擬兩種模式提出了可信鏈的設計方案。然后設計并實現(xiàn)了建立可信鏈所需支撐技術，包括修改虛擬TPM設備軟件中部分TPM指令的實現(xiàn)，增添了映射特權域的平臺信息和加載外部度量結果的功能；通過分析半虛擬域操作系統(tǒng)的引導過程，設