基于虚拟机架构的可信计算环境构建机制研究

华中科技大学博士学位论文基于虚拟机架构的可信计算环境构建机制研究姓名：程戈申请学位级别：博士专业：计算机系统结构指导教师：金海2010-12-23华中科技大学博士学位论文I摘要通过软件和可信硬件平台相结合的方式构建可信计算环境，为解决计算机安全面临的挑战提供了新的途径。基于虚拟机架构构建可信计算环境，能为上层应用提供强有力的安全保证。可信计算领域，国内外都处于技术超前于理论的状况，这使基于虚拟机架构的可信计算环境构建缺乏理论指导。现有的研究将虚拟机监控器作为信任链中的一环，这使现有的操作系统无法支持应用程序级的完整性度量和认证。同时，基于虚拟机架构的计算环境大多采用通用的虚拟机监控器，这使基于虚拟机架构构建可信计算环境具有较大虚拟化开销。结合可信计算在虚拟机系统中实施强制访问控制策略，可信虚拟域能够管理通过授权的公开通道传递的信息流，却不能够控制通过隐形通道传递的具有潜在风险的信息流。针对这些问题，需要对基于虚拟机架构的可信计算环境进行构建理论和构建机制研究。信任链模型和可信虚拟域隔离模型是基于虚拟机架构可信计算环境构建的支持理论。基于实体间的依赖关系，提出一个具有普遍意义的信任链模型。该模型给出可信状态、信任根、信任度量的形式化定义，并对基于静态可信度量根和动态可信度量根的信任链进行统一建模。该模型为评估现有的可信计算环境提供理论依据，并为构建基于虚拟机架构的可信计算环境提供理论支撑。针对可信虚拟域中的隐形流问题，提出一种在可信虚拟域间用于控制隐形流的优先中国墙模型。优先中国墙模型具有和传统中国墙模型不同的访问规则，该模型通过建立联盟关系实现对利益冲突关系的动态扩展，从而构建访问区域。该模型用于隐形流控制时，既拥有类似中国墙策略依据主体访问需要进行选择的灵活性，又拥有类似格策略能够将客体分成不同的访问集便于实施的优点。基于上述模型，提出三种基于虚拟机架构的可信计算环境构建机制：基于虚拟机架构的透明信任链机制、基于轻量级虚拟化的动态可信执行环境构建机制和可信虚拟域间隐形流控制机制。基于虚拟机架构的透明信任链机制能够构建对操作系统华中科技大学博士学位论文II透明的应用级信任链，可以在用户期望的可信计算环境遭到破坏时保护其敏感数据，并使普通的商用平台具有类似IBM4758安全协处理器平台的完整性和机密性特征。基于轻量级虚拟化的动态可信执行环境构建机制利用动态可信度量根和硬件虚拟化技术在运行的操作系统下插入一个轻量级的虚拟机监控器，并使用该监控器为目标程序选择的内存页提供隔离的安全运行空间，从而实现细粒度的访问控制和灵活的内存保护。该机制是基于动态可信度量根技术的首个虚拟化实现，它拥有更小的可信基及启动和运行开销，并可以保护现有商用操作系统上很大范围的遗留程序。可信虚拟域间隐形流控制机制在每个节点建立从信任根到虚拟机监控器的信任链，然后相互验证并扩展信任链于整个分布式系统，从而形成联合可信基。该机制在联合可信基上实施优先中国墙策略，依据用户的安全需求消除可信虚拟域间的隐形流。可信虚拟域间隐形流控制机制能满足虚拟机架构中企业的高安全需要，确保敏感的信息不会泄露给竞争对手。关键词：虚拟机架构，信任链模型，动态可信度量根，可信执行环境，隐形流控制AbstractTrustedcomputingenvironmentprovidesanewarenatoaddressthechallengesofcomputersecuritybycombiningsoftwareandtrustedcomputinghardware.Virtualizationbasedtrustedcomputingenvironmentfurtherofferspowerfulsecurityprotectionforupperapplications.However,thedevelopmentofcurrenttrustedcomputingtechnologyadvancesitstheoreticalstudy,whichmakesvirtualizationbasedtrustedcomputingenvironmentlackoftheoreticalfoundation.Mostexistingresearchworkconsidervirtualmachinemonitor(VMM)aspartoftrustchain.Asaresult,existingoperatingsystemscannotsupportapplication-levelintegrityprotection.Meanwhile,virtualization-basedtrustedcomputingenvironmentgenerallyusesacommodityVMM,whichintroducessignificantperformanceoverheadforbuildingthetrustedcomputingenvironment.Bycombiningtrustedcomputingandmandatoryaccesscontrol(MAC)policiesinvirtualmachinesystems,trustedvirtualdomain(TVD)canmanageauthorizedovertinformationflow,howeveritcannotcontrolthepotentialrisksofcovertchannels.Tosolvetheseproblems,thisdissertationpresentstheresearchonvirtualizationbasedtrustedcomputingenvironmentfromtheoreticalandenablingmechanismaspects.Thisdissertationfirstdefinesthechainoftrustmodelintrustedcomputingenvironmentandisolationmodelintrustedvirtualdomains.Thechainoftrustmodelinthisdissertationisuniversal,whichoffersaformaldefinitionoftrustedstate,trustedrootandtrustmeasurement,andunifiedmodelingforDRTM(dynamicrootoftrustformeasurement)andSRTM(staticrootoftrustformeasurement),withtheassumptionthattheauthenticityofanentitycanmeasureitsbehaviorwithoutanyloss.Thismodelalsoprovidesatheoreticalbasisforassessingtheexistingtrustedcomputingenvironment,andofferstheoreticalsupportforthefollow-upresearchonhowtobuildamorereasonablevirtualizationbasedtrustedcomputingenvironment.Theisolationmodelintrustedvirtualdomains(PriorityChineseWall--PCW)preventscovertflowthroughcarefulresourcemanagement,andenablesuserstomitigateremainingcovertchannelsthroughconfigurationoptionswhilepreservingthefreedomofchoicecharacteristicofthetraditionalChineseWallpolicy.ItalsopartitionsVMlabelsintodifferentranges,astheCaernarvonmodeldoes.Byfollowingthesetheoreticalprinciples,thisdissertationfurtherpresentsthreetmechanismstobuildvirtualizationbasedtrustedcomputingenvironment:transparentchainoftrustinfrastructure(TCT),lightweightvirtualizationbaseddynamictrustedexecutionenvironment--Cherub,andcovertflowsconfinement(CFC)mechanismintrustedvirtualdomains(TVD).TCTaimstoextendTCGchainoftrusttoapplicationlayerinvirtualizationbasedenvironment,butmaintainthetransparencytooperatingsystem.Itcanprotectuser’ssensitivedatawhentheirintegrityoftheenvironmentisbroken.TCTsolvestheproblemthattheapplication-levelchainoftrustistoolongintraditionalvirtualizationbasedenvironment.Furthermore,itenablescommodityplatformsthecapabilitytoprotecttheintegrityandconfidentialityofapplicationsanddata,whichissimilartoIBM4758coprocessorequippedplatforms.Cherubleveragesthedynamicrootoftrustandhardwarevirtualizationtechnologytoinsertalightweightvirtualmachinemonitor(LVMM)underarunningoperatingsystem.ThroughtheLVMM,Cherubisabletoisolateatrustedexecutionenvironmentforthememorypagesselectedbythetargetprocesstoachievefine-grainedaccesscontrolandflexiblememoryprotection.CherubisthefirstVMMthatleverageslatelaunchbaseddynamicrootoftrust,whichhassmallerscaleofcodeandruntimeoverheadthanlegacyVMMs.Itcanprotectawiderangeoflegacyprogramsinexistingcommercialoperatingsystems.Covertflowconfinedmechanism(CFC)establishesthechainoftrustfromtherootoftrusttoVMMoneachnode,andthenexpandsthetrustchaintodistributedenviornmentwithmutualverification.Withthis,ajointtrustbasecanbeachieved.CFCeffectivelyconfinescovertflowsinTVDbyenforcingthePCW,whicha