虚拟平台环境中一种新的可信证书链扩展方法

摘要

利用可信计算技术构建可信虚拟平台环境时,如何合理地将底层物理的可信平台模块(TPM,trusted platform module)的证书信任扩展延伸到虚拟机环境是值得关注的问题.目前,已有的证书信任扩展方案均不完善,有的方案存在违背TCG规范的情况,有的方案增加密钥冗余和Privacy CA性能负担,有的方案甚至不能进行证书信任扩展.因此,提出了一种新的可信证书链扩展方法.首先,在TPM中新增一类证书——VMEK(virtual machine extension key),并构建对VMEK的管理机制,该证书的主要特点是其密钥不可迁移,且可对TPM内和TPM外的数据进行签名和加密.其次,利用证书VMEK对vTPM的vEK签名构建底层TPM和虚拟机vTPM的证书信任关系,实现可信证书链在虚拟机中的延伸.最后,在Xen中实现了VMEK证书及其管理机制和基于VMEK的证书信任扩展.实验结果表明,所提方案可以有效地实现虚拟平台的远程证明功能.