针对虚拟可信平台模块的国密算法扩展技术研究

摘要

为了规避使用外国密码算法带来的法律风险,满足中国《商用密码管理条例》的合规性要求,响应网络空间安全的自主可控要求,促进虚拟可信计算技术在国内云计算业务的大规模应用,本文对虚拟可信平台模块(virtual trusted platform module,vTPM)和虚拟机信任链相关组件添加了对中国国家商用密码算法(国密算法)的支持。首先,在vTPM中添加对密码算法工具包GmSSL(GM/T secure sockets layer)中散列密码算法(SM3)和对称密码算法(SM4)的调用接口,并利用GmSSL的大数运算模块实现国密算法中的非对称密码算法(SM2)的调用接口,从而为上层应用提供基于国密算法的可信计算功能。其次,在虚拟机信任链相关组件中添加SM3算法的实现代码,达成建立基于国密算法的虚拟机信任链的目标。最后,验证vTPM中调用接口的正确性和建立的虚拟机信任链的有效性,对比基于SM3算法和SHA-1算法虚拟机信任链的虚拟机开机时间。实验结果表明,添加的调用接口正确且有效,并且和基于SHA-1算法虚拟机信任链的虚拟机相比,基于SM3算法虚拟机信任链的虚拟机开机时间只增加3%,在安全性提升的同时其性能损耗在可接受范围。