证书ubuntu安装mysql

软件学报ISSN1000-9825,CODENRUXUEWE-mail:jos@iscas.
ac.
cnJournalofSoftware,2017,28(10):27822796[doi:10.
13328/j.
cnki.
jos.
005174]http://www.
jos.
org.
cn中国科学院软件研究所版权所有.
Tel:+86-10-62562563虚拟可信平台模块动态信任扩展方法余发江1,2,陈列1,张焕国1,21(武汉大学计算机学院,湖北武汉430072)2(软件工程国家重点实验室(武汉大学),湖北武汉430072)通讯作者:余发江,E-mail:fjyu@whu.
edu.
cn摘要:将可信计算技术应用到虚拟计算系统中,可以在云计算、网络功能虚拟化(networkfunctionvirtualization,简称NFV)等场景下,提供基于硬件的可信保护功能.
软件实现的虚拟可信平台模块(virtualtrusedplatformmodule,简称vTPM)基于一个物理TPM(physicalTPM,简称pTPM),可让每个虚拟机拥有自己专属的TPM,但需要将对pTPM的信任扩展到vTPM上.
现有方法主要采用证书链来进行扩展,但在虚拟机及其vTPM被迁移后,需要重新申请vTPM的身份密钥证书,可能会存在大量的短命证书,成本较高,且不能及时撤销旧pTPM对vTPM的信任扩展,也不能提供前向安全保证.
提出了一种vTPM动态信任扩展(dynamictrustextension,简称DTE)方法,以满足虚拟机频繁迁移的需求.
DTE将vTPM看作是pTPM的一个代理,vTPM每次进行远程证明时,需从一个认证服务器(authenticaitonserver,简称AS)处获得一个有效的时间令牌.
DTE在vTPM和pTPM之间建立了紧密的安全绑定关系,同时又能明显区分两种不同安全强度的TPM.
在DTE里,vTPM被迁移后,无需重新获取身份秘钥证书,旧pTPM可及时撤销对vTPM的信任扩展,而且DTE可提供前向安全性.
从原型系统及其性能测试与分析来看,DTE是可行的.
关键词:可信计算;可信平台模块(TPM);虚拟可信平台模块(vTPM);信任扩展中图法分类号:TP309中文引用格式:余发江,陈列,张焕国.
虚拟可信平台模块动态信任扩展方法.
软件学报,2017,28(10):27822796.
http://www.
jos.
org.
cn/1000-9825/5174.
htm英文引用格式:YuFJ,ChenL,ZhangHG.
Virtualtrustedplatformmoduledynamictrustextension.
RuanJianXueBao/JournalofSoftware,2017,28(10):27822796(inChinese).
http://www.
jos.
org.
cn/1000-9825/5174.
htmVirtualTrustedPlatformModuleDynamicTrustExtensionYUFa-Jiang1,2,CHENLie1,ZHANGHuan-Guo1,21(SchoolofComputer,WuhanUniversity,Wuhan430072,China)2(StateKeyLaboratoryofSoftwareEngineering(WuhanUniversity),Wuhan430072,China)Abstract:Theintegrationoftrustedcomputingintovirtualcomputingsystemcanenablethehardware-basedprotectionoftrustworthinessinapplicationareassuchascloudcomputingandnetworkfunctionvirtualization(NFV).
Inaphysicaltrustedplatformmodule(pTPM)basedvirtualtrustedplatformmodule(vTPM),eachvirtualmachine(VM)canbeviewedashavingitsownprivateTPM.
However,itisnecessarytoextendthetrustworthinessofpTPMtovTPMsothatachallengercanbelievethevTPMistherootoftrustoftheVM.
TheexistingtechniquesmainlyuseacertificatechaintobuildatrustlinkfrompTPMtovTPM.
ButifthesetechniquesweredeployedinthescenariowithfrequentvTPMmigrations,therewouldbeveryhighcostofreacquiringnewcertificatesforthemigratedvTPM,moreover,pTPMcouldn'trevokeitstrustextensioninrealtime,andtheycouldn'tprovideforwardsecurity.
ThispaperpresentsanapproachofvTPMdynamictrustextension(DTE)tosatisfytherequirementsoffrequentmigrations.
WithDTE,vTPMisadelegationofthecapabilityofsigningattestationdatafromtheunderlyingpTPM,withonevalidtimetokenissuedbyanauthenticationserver(AS).
基金项目:国家重点基础研究发展计划(973)(2014CB340600);国家自然科学基金(61772384)Foundationitem:NationalBasicResearchProgramofChina(973)(2014CB340600);NationalNaturalScienceFoundationofChina(61772384)收稿时间:2016-07-25;修改时间:2016-09-29;采用时间:2016-10-27余发江等:虚拟可信平台模块动态信任扩展方法2783DTEmaintainsastrongassociationbetweenvTPManditsunderlyingpTPM,andhascleardistinguishabilitybetweenvTPMandpTPMbecauseofthedifferentsecuritystrengthofthetwotypesofTPM.
InDTE,thereisnoneedforvTPMtore-acquireidentitykey(IK)certificate(s)aftermigration,andpTPMcanhaveatrustrevocationinrealtime.
Furthermore,DTEcanprovideforwardsecurity.
PerformancemeasurementsandanalysisofitsprototypedemonstratethatDTEisfeasible.
Keywords:trustedcomputing;trustedplatformmodule(TPM);virtualtrustedplatformmodule(vTPM);trustextension1引言可信计算以一个硬件安全模块——可信平台模块(trustedplatformmodule,简称TPM)作为可信根,为宿主计算机提供平台身份认证、完整性保护和安全存储功能.
除个人计算机外,TPM被集成到服务器上,正变得越来越普遍,如DELLPowerEdgeR530机架式服务器和CiscoUCSB200M4刀片式服务器.
将可信计算技术应用到基于服务器的虚拟计算系统中,可以在云计算、网络功能虚拟化(networkfunctionvirtualization,简称NFV)等场景下,提供基于硬件的可信保护功能.
在非虚拟化环境中,TPM与宿主算机的比例是一比一[1].
虚拟化技术允许多个虚拟计算机相互独立地运行在同一个物理平台上,由于资源有限,一个物理TPM(physicalTPM,简称pTPM)不能同时供多个虚拟机使用.
一种解决方案就是,为每个虚拟机提供一个软件实现的虚拟TPM(virtualTPM,简称vTPM)[2,3].
对每个虚拟机而言,它们会觉得自己拥有一个专属的TPM.
pTPM是整个平台的可信根,用户对pTPM的信任来源于对可信计算技术的认可,权威机构也对pTPM产品进行认证,确保其具体实现与技术规范相一致.
软件实现的vTPM会被动态地创建和销毁,权威机构不可能对每个运行的vTPM实例进行一致性测评与认证,他们能做的只是对某个vTPM软件实现进行测评.
对具体运行的vTPM实例的测评,可由配置有pTPM的宿主计算机来完成,一旦测评过,就需要将用户对pTPM的信任扩展到vTPM实例上,用户才会认可vTPM是虚拟机的可信根.
现有扩展方法主要是运用证书链来构建pTPM对vTPM的信任担保.
如果将现有方法应用在vTPM频繁迁移的情景中,被迁移后的vTPM需重新获取证书,可能存在大量的短命证书,成本高昂.
旧平台上的pTPM不能及时撤销它对vTPM的信任扩展,现有方法也不能提供前向安全保证.
我们提出一种vTPM动态可信扩展(dynamictrustextension,简称DTE)方法,以消除现有方法的弊端.
本文的主要贡献如下:(1)提出了一种适用于频繁迁移情况的vTPM动态可信拓展方法DTE.
DTE在vTPM和pTPM之间建立了紧密的安全关联,DTE将vTPM看作是pTPM进行虚拟机远程证明的代理,该代理权限的执行基于一个有效的时间令牌,令牌则需从一个认证服务器(authenticaitonserver,简称AS)处获取.
DTE能够明显地区分两种不同的TPM,vTPM和pTPM拥有不同的安全强度.
当迁移发生时,旧pTPM可及时撤销对vTPM的信任授权,vTPM无需重新获取身份秘钥(identitykey,简称IK)证书.
同时,DTE能够提供前向安全性.
(2)基于OpenStack实现了针对TPM1.
2和TPM2.
0的DTE原型系统,从性能测试及分析结果来看,DTE方法是可行的.
本文第2节介绍现有的vTPM信任扩展方法,分析其缺陷,提出DTE要达到的目标.
第3节描述基于信任关系和可信测评的信任扩展模型.
第4节描述DTE的详细过程和算法.
第5节分析DTE的安全性.
第6节介绍DTE原型系统的建立和性能测试与分析.
第7节介绍相关工作.
最后,第8节总结全文.
2现有方法和DTE的目标现有方法主要是运用证书链来对vTPM进行信任扩展.
Berger等人[2]用证书链将vTPM与pTPM相关联.
他们提出的第1种机制,是在vTPM申请背书秘钥(endorsementkey,简称EK)证书时,用pTPM的身份秘钥IK证书进行担保.
第2种机制,是使用pTPMIK证书担保vTPMIK证书.
在一些场景里,为平衡计算资源,虚拟机可能会在不同的物理宿主机上进行迁移.
当一个虚拟机被迁移到新的宿主机时,与之相关联的vTPM也被迁移.
同时,也必须建立新pTPM到vTPM的信任扩展,而旧pTPM与vTPM之间的信任扩展需被撤销.
若采用Berger等人2784JournalofSoftware软件学报Vol.
28,No.
10,October2017提出的第1种机制,迁移后的vTPM须基于新pTPM的IK证书重新申请vTPMEK证书,然后再申请vTPMIK证书.
若使用第2种机制,迁移后的vTPM须基于新pTPM的IK证书,重新申请vTPMIK证书.
目前还没有(certificateauthority,简称CA)专业提供平台EK和IK证书,我们假设平台证书的价格等同于(securesocketlayer,简称SSL)证书.
在本文准备期间,我们查询了几个主要提供商的SSL证书价格,见表1.
若虚拟机频繁迁移,vTPM也将频繁地获取IK证书,成本高昂.
迁移之后,之前的证书将被遗弃,可能还远未到其过期时间,会有很多短命证书存在,是一种很大的浪费.
另外,为了保护隐私,一个vTPM可能存在多个IK证书,这会带来更高的代价.
Table1TheSSLcertificatepricecomparison表1SSL证书价格对比提供商及证书类型1年期价格2年期价格3年期价格RapidSSL证书$49USD$86USD$122USDThawteSSL123证书$149USD$259USD$369USDDigiCertSSLPlus$175USD$315USD$419USDGeoTrustTrueBusinessID$199USD$348USD$498USDSymantecSecureSite$399USD$695USD$995USDDanev等人[4]提出了一种vTPM密钥层次结构,该结构有一个pTPM和vTPM之间的中间层,由一组pTPM的签名密钥(signingkey,简称SK)构成,用以连接pTPMIK和vTPMIK.
该方法也在vTPM和pTPM之间建立了绑定关系,但pTPMSK不能被迁移,故vTPM迁移之后,新的pTPM须重新生成SK,vTPM同样须重新获取IK证书.
在虚拟可信平台架构规范[3]中,可信计算组织(trustedcomputinggroup,简称TCG)并没有明确定义如何创建pTPM和vTPM之间的连接关系,但TCG提出了一个"深度认证(deepattestation)"的概念.
在远程实体完成对虚拟机的认证后,可能会继续认证其下层的虚拟机监控器(virtualmachinemonitor,简称VMM)和虚拟机宿主平台,以确定它们是否足够可信,不会去破坏运行在其上的虚拟机.
为了实现深度认证,远程实体需从vTPMIK证书扩展项中获取底层平台的信息,如IP地址或者统一资源标识符(uniformresourceidentifier,简称URI).
当虚拟机迁移发生时,vTPM也需要获取新的IK证书,以包含新的宿主平台信息.
在前述的几种vTPM信任扩展方法中,vTPM迁移后,它原来的EK/IK证书需被废除.
废除证书最常用的方法就是证书撤销列表(certificaterevocationlist,简称CRL).
当vTPM被迁移时,与之关联的原pTPM便通知CA,CA将vTPM原有证书信息添加到CRL中,并对更新之后的CRL重新进行签名.
在远程实体验证vTPM的远程证明报告时,先下载CRL,检查vTPM当前使用的证书是否在CRL中.
CRL通常相当冗长,不会被频繁地下载.
例如,1周或者1个月被下载1次.
因此,vTPM的原有证书可能在迁移发生1个月之后才会被真正废除.
在此期间,迁移后的vTPM仍然可以代表原pTPM,生成虚拟机的证明报告,这是现有信任扩展方法的又一明显缺陷,pTPM不能及时撤销它对vTPM的信任扩展.
另外,一旦vTPM原有证书被加入到CRL中,即使在迁移之前由vTPM所生成的签名都将无效,故现有方法也不能提供前向安全性.
如果将现有扩展方法应用到虚拟机频繁迁移的场景中:(1)将会造成大量的短命证书存在,成本高昂,浪费巨大;(2)pTPM不能及时撤销它对vTPM的信任扩展;(3)不能提供前向安全保证.
我们提出的新方法——vTPM动态信任扩展(DTE),应消除现有方法的这些弊端.
DTE的主要目标如下:(1)在vTPM和pTPM之间建立紧密的安全关联;(2)严格区分vTPM和pTPM,这两种类型的TPM具有不同的安全强度;(3)迁移后的vTPM无需重新获取EK/IK证书;(4)pTPM可及时撤销对vTPM的信任扩展;(5)提供前向安全性;(6)是可行的.
3基于可信测评的信任扩展模型3.
1信任关系与可信测评定义1(信任关系).
实体1E信任2,E记作1Tru2.
EE信任关系具有如下性质.
(1)自信任.
1Tru1.
EE(2)传递性.
若1Tru2,EE且2Tru3,EE则有1Tru3.
EE余发江等:虚拟可信平台模块动态信任扩展方法2785定义2(可信测评).
E2E1,E2Con1Tru2,EviCriEE其中,E1,E2Cri表示1E判断2E是否可信的标准,E2Evi表示与2E相关的证据,Con表示证据与标准相符.
3.
2基于证书链的vTPM信任扩展模型基于证书链的机制里所涉及的实体有权威机构,认证中心,旧pTPM,新pTPM和vTPM以及验证者.
初始时,Tru,Tru.
首先,权威机构对旧/新pTPM/进行可信测评.
标准为可信计算相关技术规范Spec,,{}{},CriSpecCriSpecEviEvi则由对/分析和测试得到.
若有ConEvi{}TruCon{}Tru,SpecEviSpec向/颁发符合性证书,Cert/,Cert.
权威机构对vTPM进行可信测评,标准为技术规范Spec,{},CriSpecEvi则由对分析和测试得到.
若有Con{}Tru,EviSpec则颁发参考值,Ref.
旧/新pTPM在宿主机上开始运行后,向认证中心申请IK证书,对旧/新pTPM进行可信测评.
因为Tru,根据旧/新pTPM所提供的符合性证书,Cert/,Cert,可得Tru/Tru,颁发IK证书.
vTPM在旧pTPM宿主机上运行,通过代理对进行度量,度量值为,.
Mea向申请IK证书,对进行可信测评.
因为有Tru,认可,Ref作为的可信标准.
因为有Tru,认可,Mea作为的证据.
故若有,,{}Con{}Tru,MeaRef则颁发IK证书.
进行远程证明时,使用IK签名,可得TruTru,验证者认可为可信报告根.
vTPM被迁移到新pTPM宿主机后,通知取消旧IK证书,向新申请IK证书,同样可得TruTru,认可迁移后的为可信报告根.
3.
3vTPM动态信任扩展模型与基于证书链的机制相比,vTPM动态信任扩展DTE增加了一个新实体——认证服务器.
初始时,Tru,T,ruTru,Tru,Tru.
权威机构对旧/新pTPM//进行可信测评,与基于证书链的机制相同.
/向申请IK证书,对旧/新pTPM进行可信测评,与基于证书链的机制相同.
vTPM第1次向申请IK证书,对进行可信测评,与基于证书链的机制相同.
vTPM在旧pTPM宿主机上运行,通过代理对进行度量,度量值为,.
Mea对进行可信测评.
因为有T,ru认可,Ref作为的可信标准.
故若有,{}MeaCon,{}Tru,Ref则向颁发授权书,.
w进行远程证明时,向申请时间令牌,t,对进行可信测评.
因为Tru,Tru,根据授权书,,w可得Tru,颁发,t.
因为TruTru,TruTru,验证者根据正确的IK签名,,w和,,t可得TruTruTru,TruTruTru,只有两条路径同时存在,才认可为可信报告根.
被迁移时,通知取消对的授权,重新对授权,同样可得TruTruTru,TruTruTru,认可为可信报告根.
4vTPM动态信任扩展DTEDTE的基本思想如下:引入一个新实体——认证服务器AS,在DTE的整体架构里包含CA、AS、pTPM、vTPM和远程验证者Challenger这5个实体.
为了签署完整性报告,vTPM须先从AS那里获取一个时间令牌,该令牌与Challenger发送的随机nonce相关.
只有在pTPM签署授权给vTPM后,vTPM才能获得有效的令牌.
当vTPM发生迁移时,旧宿主机上的pTPM就通知AS停止颁发令牌给迁走的vTPM.
AS维护着一个pTPM给vTPM签署的授权书列表.
为便于系统可扩展,一个CA可对应多个AS,每个AS又为多个pTPM和vTPM提供服务.
每个vTPM实例2786JournalofSoftware软件学报Vol.
28,No.
10,October2017所在虚拟机上还可能有多个用户,针对不同的应用场景,使用vTPM来进行远程证明.
时间令牌与每一个远程证明相关,将时间令牌的发放设定为一个原子操作,确保其不被干扰.
在vTPM频繁迁移时,DTE里会出现大量的短命pTPM授权书,但授权书并不是CA证书,成本较低.
AS采用授权书白名单机制,大量撤销的短命授权书不会增加AS的负担,且能保证实时撤销和前向安全特性.
DTE包含如下5个过程:(1)参数设置;(2)信任授权;(3)令牌获取;(4)远程证明;(5)撤销授权.
DTE的总体过程及消息序列如图1所示,将在后续小节中描述其更多细节.
Fig.
1TheproceduresandmessagesequencesofvTPMdynamictrustextension图1DTE的总体过程及消息序列余发江等:虚拟可信平台模块动态信任扩展方法27874.
1参数设置系统参数主要包括pTPM、vTPM以及AS的参数.
就非对称密码算法而言,TPM1.
2支持RSA,中国的可信密码模块(trustedcryptographymodule,简称TCM)支持SM2(一种椭圆曲线密码算法ECC,ellipticcurvecryptography),TPM2.
0可灵活支持不同的算法.
考虑到RSA和ECC的广泛应用,DTE主要支持这两种算法.
在模块同时支持RSA和ECC的情况下,具体使用哪种算法,视具体的部署环境而定.
为了描述方便,除可能会导致混淆的特殊情况外,后文将TPM1.
2、TPM2.
0和TCM统称为TPM.
1)pTPM生成IK,pmpm,,secIkpubIk从CA处获取对应的证书pm.
ikCert2)vTPM生成IK,vmvm,,secIkpubIk向CA申请对应的证书vm.
ikCertCA在颁发证书之前,首先验证其底层pTPM所签署的远程证明报告,判断vTPM实例与标准的一致性.
3)AS生成IK,asas,,secIkpubIk从CA获取对应的证书as.
ikCert我们假定AS也是一个可信计算平台(trustedcomputingplatform,简称TCP),AS生成IK及获取证书的操作都和pTPM相同.
IK的格式见公式(1).
为了保护隐私,pTPM和vTPM可能有多个IK及与之对应的证书.
每个证书含有一个与之绑定的身份.
id,,,,RSA(pm,vm,as),ECCxxxxxxxxxendnxdQdGsecIkpubIk(1)4.
2信任授权为了将信任扩展到vTPM上,1)pTPM对vTPM实例进行一致性检测,获取vTPM的IK证书vm.
ikCert2)pTPM创建授权书w,包含vTPM的身份信息vmid、pTPM的身份信息pmid、授权的有效期T以及其他限制性条件,res表示为pmvm,,,,wTididres其中,pmid来自于pm,ikCertvmid来自于vm.
ikCert3)pTPM获取AS的IK证书as.
ikCert4)pTPM用其IK私钥对授权书w签名,vmaspmwwSignH‖‖pubIkpubIksecIk函数Sign的定义见公式(2).
vmpubIk来自于vm,ikCertaspubIk来自于as.
ikCert若pmsecIk是ECC私钥,则w是ECCSchnorr签名,表示为,.
wwwrs5)pTPM发送消息delMsgVm给vTPM,pmas,,,wwdelMsgVmikCertikCert;pTPM发送消息delMsgAs给AS,pmvm,,,.
wwdelMsgAsikCertikCertRSAECCxxRSASignSignECCSchSign私钥是私钥是secIksecIk(2)接收到消息delMsgVm后,1)vTPM检查pmikCert和as,ikCert从pmikCert中提取pm,pubIk从asikCert中提取as.
pubIk2)vTPM检查授权书签名,vmaspmwwVerifyH‖‖Y/NpubIkpubIkpubIkVerify的定义见公式(3).
RSAECCxxRSAVerifyVerifyECCSchVerify公钥公钥是是pubIkpubIk(3)接收到消息delMsgAs后,1)AS检查pmikCert和vm,ikCert从pmikCert中提取pm,pubIk从vmikCert中提取vm.
pubIk2)vTPM检查授权书签名,vmaspmwwVerifyH‖‖Y/NpubIkpubIkpubIk若w是正确的,则AS就存储授权书w.
一旦授权到期,AS可删除其列表中的授权书,故DTE中AS授权书列表不会无限增加,这有别于其他普通的白名单或者黑名单方法.
4.
3令牌获取如果远程验证者无法确定vTPM签名的准确时间,那么授权书的有效期也没有用处.
DTE用时间令牌来解2788JournalofSoftware软件学报Vol.
28,No.
10,October2017决这个问题,并且使pTPM能够及时撤销其对vTPM的信任扩展.
若vTPM收到一个来自于远程验证者带随机数nonceN的证明请求,在其对报告数据进行签名之前,须先从AS处获取一个针对该nonce的特定时间令牌.
1)vTPM生成一个与随机数nonce相关的签名,pmvmvmNNwSignH‖‖‖pubIkpubIksecIk2)vTPM向AS发送令牌请求消息,pmvm,,,,NNReqTkMsgidid其中,pmid从pmikCert中提取.
接收到消息ReqTkMsg后,1)AS查询是否存在与pmvm,idid相匹配的授权书,如果找到授权书w,则AS确定它是否在有效期内.
2)AS找到与pmid对应的pm,ikCert从中提取出pm;pubIk找到与vmid对应的vm,ikCert从中提取出vm.
pubIk3)AS验证令牌请求消息的签名N,pmvmvmNNwVerifyH‖‖‖YNpubIkpubIkpubIk4)AS计算pmvmastNwtSignH‖‖‖‖pubIkpubIkpubIk其中,t是当前时间.
5)AS发送令牌响应消息给vTPM,,.
ttRspTkMsg接收到消息RspTkMsg后,vTPM验证,tpmvmastNwtVerifyH‖‖‖‖YNpubIkpubIkpubIk若t是正确的,vTPM就可代表pTPM对虚拟机报告数据签名,进行远程证明.
4.
4远程证明接收到正确的时间令牌后,1)vTPM计算pmvmvmNtwwNtAttSignpubIkpubIkpcrVsecIk函数AttSign的定义见算法1,其中,pcrV为所选定的vTPM中平台配置寄存器(platformconfiguraionregister,简称PCR)的当前值.
2)vTPM将证明消息发送给远程验证者,pmvmaswtNtwtAttMsgikCertikCertikCertpcrV接收到证明消息AttMsg后,1)远程验证者首先检查pmikCert、vmikCert和as,ikCert从pmikCert中提取pm,pubIk从vmikCert中提取vm,pubIk从asikCert中提取as.
pubIk2)验证者检查t的正确性,pmvmastNwtVerifyH‖‖‖‖YNpubIkpubIkpubIk3)验证者检查Nt的正确性,pmvmaswNtwNtAttVerifyYNpubIkpubIkpubIkpcrV函数AttVerify的定义见算法2.
算法1.
pmvmvmNtwwNtAttSignpubIkpubIkpcrVsecIk1:ifvmsecIk是一个RSA私钥&w是一个RSA签名then2:pmvmvmNtwNwtRSAPrivateEncEncodeH‖‖‖‖‖pubIkpubIkpcrVsecIk3:else4:ifvmsecIk是一个ECC私钥&w是一个ECCSchnorr签名then5:vmvmmodwwsrnsecIksecIk6:vmvmGpubIksecIkG是所选定椭圆曲线上的一个加法循环子群的生成元,n是该子群的阶7:pmvmvmvmNtNtrsNwtECCSchSignHpubIkpubIkpcrVpubIksecIk8:vm,,NtNtNtrspubIk9:endif10:endif算法2.
pmvmaswNtwNtAttVerifyYNpubIkpubIkpubIkpcrV1:ifvmpubIk是一个RSA公钥&pmpubIk是一个RSA公钥then余发江等:虚拟可信平台模块动态信任扩展方法27892:vmpmvm()(,()wNtNwtRSAPublicDecEncodeH‖‖‖‖‖pubIkpubIkpubIkpcrV3:vmaspmwwRSAVerifyH‖‖RpubIkpubIkpubIk4:returnR5:else6:ifvmpubIk是一个ECC公钥&pmpubIk是一个ECC公钥then7:vmpmvmrrwxyrpubIkpubIkpubIk8:ifvmas(())!
rwwxrHH‖‖‖pubIkpubIk9:returnR10:endif11:pmvmvmvmNtNtNwtrsECCSchVerifyHRpubIkpubIkpcrVpubIkpubIk12:returnR13:endif14:endif4.
5撤销授权当vTPM及其对应的虚拟机被迁移到新的宿主机之后,旧主机上的pTPM即可撤销对vTPM的信任授权.
1)pTPM计算rwpmvmpmSignH‖pubIkpubIksecIk2)pTPM发送消息RevMsg给AS,请求删除相应的授权书,rwpmvm,,.
RevMsgidid接收到消息RevMsg后,1)AS查询其列表中是否存在与pmvm,idid相匹配的授权书,若存在,则有2)AS找到与pmid对应的pm,ikCert从中提取出pm;pubIk找到与vmid对应的vm,ikCert从中提取出vm.
pubIk3)AS验证rw的正确性,pmvmrwpmVerifyH‖YNpubIkpubIkpubIk4)AS删除找到的授权书.
当AS收到一个vTPM的时间令牌请求时,若没有可匹配的授权书,则该vTPM没有被授权、授权已过期或已经被撤销,AS会拒绝该请求.
没有时间令牌,vTPM就不能对报告数据进行签名,故pTPM可及时撤销对vTPM的信任扩展.
5安全性分析本节我们将分析DTE可以确保正确性和满足如下安全特征:秘密依赖、不可伪造、可验证、可识别、不可否认、可撤销、严格区分vTPM和pTPM这两种不同安全强度的TPM和前向安全.
5.
1正确性DTE的正确性定义:若CA、AS、pTPM、vTPM和远程验证者Challenger都是诚实的,那么,对于vTPM签名的完整性报告,Challenger会以百分百的概率通过验证.
DTE除使用了AttSign、AttVerify两个特殊函数外,其余都是普通的RSA和ECC签名、验证算法.
普通RSA、ECC算法的正确性可以得到保证,我们着重分析AttSignAttVerify、的正确性.
若选用RSA算法,验证者在执行AttVerify函数时,首先会计算vm(,).
ntRSAPublicDecpubIk其中,nt是由vTPM在执行AttSign时所计算出来的,pmvm(((ntwnwtRSAPrivateEncEncodeH‖‖‖‖‖pubIkpubIkvm)),),pcrVsecIk故有vmpmvmvmpmvmntwntwHnwtHnwtRSAPublicDecEncodeRSAPublicDecEncode‖‖‖‖‖‖‖‖‖‖pubIkpubIkpubIkpcrVpubIkpubIkpubIkpcrV因而等式ww成立,vmaspmwwRSAVerifyH‖‖pubIkpubIkpubIk的返回值应为.
Y2790JournalofSoftware软件学报Vol.
28,No.
10,October2017若选用ECC算法,验证者在执行AttVerify函数时,首先会计算vmpmvm(),wrpubIkpubIkpubIkvmpubIk是由vTPM在执行AttSign时所计算出来的,vmvmvmvm,wwwwGsGrGsGrpubIksecIksecIkpubIk故有vmpmvmvmpmvmpmwwwwwwrsGrrsGrpubIkpubIkpubIkpubIkpubIkpubIkpubIk从ECCSchnorr签名算法可以得知,授权书签名,,wwwrsvmas(()),wwrwxHH‖‖‖pubIkpubIkwwskpmmod.
wrnsecIk故有vmpmvmpmpm().
wwwwwrkGrGrkGpubIkpubIkpubIksecIkpubIk因而rrwwxyxy等式vmas(())rwwxrHH‖‖‖pubIkpubIk成立,AttVerify的返回值应为.
Y5.
2安全性秘密依赖.
基于pTPM的IK私钥,生成一个新秘密,再生成远程证明签名.
Nt从计算远程证明签名Nt的算法1AttSign中可见,若DTE采用RSA,在计算RsaPrivateEnc时,会用到授权书签名;w若DTE采用ECC,在计算临时私钥vmsecIk时,会用到授权书签名,.
wwwrsw的生成都需要用到pTPM的IK私钥pm.
secIk不可伪造.
一个vTPM只有在获得一个pTPM授权经过信任扩展之后,才可生成一个合法的远程证明签名.
Nt从计算远程证明签名Nt的算法1AttSign中可见,若DTE采用RSA,在计算RsaPrivateEnc时,会用到授权书签名w和vTPMIK私钥vm;secIk若DTE采用ECC,在计算临时私钥vmsecIk时,会用到授权书签名,wwwrs和vTPMIK私钥vm.
secIkw的生成都需要用到pTPM的IK私钥pm.
secIk任何实体,包括pTPM,在不知道vmsecIk和pmsecIk的情况下,不能伪造一个有效的认证签名.
Nt无论RSA还是ECC,从公钥计算出私钥,都是困难问题.
可验证.
验证者收到一个vTPM发送的远程证明消息,AttMsgAttMsg中含有签名,Nt若验证其合法,可确信远程证明经过了一个pTPM的同意.
DTE远程证明消息AttMsg含有授权书w和pTPM对其的签名,ww中有pTPM的身份标识pm,idw的生成都需要用到pTPM的IK私钥pm.
secIk验证者在执行AttVerify时,会用到pTPM的IK公钥pm.
pubIk这些都可让验证者确信vTPM所发起的远程证明经过了pTPM的授权同意.
可识别.
验证者依据一个合法的DTE远程证明消息,可确定一个vTPM身份.
DTE远程证明消息AttMsg含有授权书w和vTPMIK公钥证书vm,ikCertw和vmikCert中都含有vTPM的身份标识vm.
id在算法1AttSign中计算远程证明签名Nt时,会用到vTPMIK私钥vm.
secIk验证者在执行AttVerify时,需使用vmikCert中的vTPMIK公钥vm.
pubIk这些都可让验证者确定vTPM的身份.
不可否认.
在pTPM授权后,一旦vTPM创建了一个合法的远程证明签名,NtpTPM和vTPM都不可否认.
在算法1AttSign中计算远程证明签名Nt时,会用到授权书签名w和vTPMIK私钥vm,secIkw的生成需要用到pTPMIK私钥pm.
secIk验证者在执行AttVerify时,需使用pmikCert中的vTPMIK公钥pmpubIk和vmikCert中的vTPMIK公钥vm.
pubIkpTPM和vTPM皆无法否认一个合法的远程证明签名.
Nt可撤销.
pTPM可实时撤销对vTPM的信任扩展,在撤销之后,vTPM不能再进行合法的远程证明.
DTE远程证明消息AttMsg含有时间令牌t和AS对其的签名,t在算法1AttSign中计算远程证明签名Nt时,会用到时间令牌t.
只有在pTPM对vTPM的授权书w未过期、未被撤销的情况下,AS才会向vTPM发送时间令牌,且t与远程证明请求nonceN相关.
pTPM可通知AS撤销对vTPM的授权,即pTPM可实时撤销对vTPM的信任扩展.
区分.
在DTE中,vTPM所提交的远程证明信息包括授权书及其签名、时间令牌及其签名、平台配置完整性值、DTE认证签名以及pTPM、vTPM和AS的IK证书.
TCGpTPM所提交的远程证明信息包括平台配置完整性值、引用签名以及pTPMIK证书.
验证这两种不同类型的报告,需要使用不同的方法.
验证vTPM的报告,需要vTPM的IK公钥vmpubIk、pTPM的IK公钥pmpubIk和授权书w;而验证pTPM的报告,只需要它的IK公钥pm.
pubIk根据报告的不同格式和验证的不同程序,远程验证者就可区分出vTPM和pTPM.
CA在给vTPM颁发IK证书时,可加注其是vTPM的说明.
前向安全.
假设vTPM在迁移之前,已生成有一个远程证明签名,NtO经过了旧宿主机pTPM的授权.
出于某余发江等:虚拟可信平台模块动态信任扩展方法2791种原因,远程验证者在vTPM迁移完成之后,才收到了其提交的证明信息,wtNtOOwOOtOOAttMsgpmvmas,,.
OikCertikCertikCert由于在DTE中,无需旧的pTPM通知CA将vmikCert加入到CRL中,以撤销信任扩展,故vmikCert不在CA的CRL中,验证者仍然可以从vmikCert中提取出vm.
pubIk验证者也可以获取pmpubIk和as,pubIk可以正常完成对tO和NtO的验证.
因此,DTE可提供前向安全保证.
6原型系统与性能测试为了测试DTE的性能,我们在OpenStack基础上建立了一个DTE原型系统,包含一个控制节点和两个计算节点.
控制节点和计算节点的系统都是Ubuntu14.
04.
2LTSServer(64位).
在控制节点上安装了网络时间协议(networktimeprotocol,简称NTP)服务、MySQL数据库、RabbitMQ消息代理服务、身份服务、镜像服务、计算服务和传统nova网络模块.
在计算节点上安装了NTP服务、计算服务、传统nova网络模块、QEMU-KVM虚拟机管理程序(支持KVM全虚拟化的QEMU).
NTP服务用来在AS、pTPM、vTPM和验证者之间同步时间.
6.
1原型系统计算节点被配置为一个可信虚拟平台(trustedvirtualizedplatform,简称TVP),包含一个pTPM代理和vTPM代理.
AS被部署在控制节点上,为了方便使用TPM的签名和验签功能,控制节点被配置为一个可信计算平台TCP.
为了简单起见,计算节点的物理平台充当验证者的角色.
另外,在原型系统中没有CA,不存在证书操作,我们假设公钥不会被篡改.
为了测试对不同非对称密码算法的兼容性,我们分别建立了针对TPM1.
2和TPM2.
0两个不同版本的原型系统,其中,基于TPM1.
2的原型系统如图2所示.
Fig.
2ThearchitectureoftheDTEprototypeforTPM1.
2图2针对TPM1.
2的DTE原型系统在控制节点和计算节点上,都配置有TPM1.
2模拟器[5]、设备驱动和TSS1.
2软件栈TrouSerS[6].
在计算节点上还配置有libtpms[7]、基于软件的TPM模拟器(software-basedTPMemulator,简称SWTPM)[8]和SeaBIOS,设定QEMU-KVM,以支持vTPM1.
2.
我们创建了一个集成有TPM1.
2设备驱动和TSS1.
2软件栈TrouSerS的虚拟机镜像,系统为Ubuntu12.
04.
5LTSServer(64位).
在构建针对TPM2.
0的原型系统时,我们遇到了一些困难.
(1)TSS2.
0[9]的实现尚不完整,只包含资源管理器层(resourcemanager,简称RM)、TPM访问代理层(TPM2792JournalofSoftware软件学报Vol.
28,No.
10,October2017accessbroker,简称TAB)、TPM命令传输接口层(TPMcommandtransmissioninterface,简称TCTI)和系统API(systemapplicationprograminterface,简称SysAPI),缺少特征API(featureAPI).
(2)没有用以创建QEMUTPM实例的TPM2.
0软件实现.
(3)QEMU-KVM不支持TPM2.
0设备.
(4)虚拟机中的SeaBIOS不支持TPM2.
0扩展.
考虑到这些困难,我们直接在控制节点、计算节点物理平台和虚拟机上运行Linux版的TPM2.
0模拟器[10].
AS程序、pTPM代理和vTPM代理都使用TSS2.
0SysAPI接口,通过套接字驱动访问各自对应的TPM2.
0模拟器.
针对TPM2.
0的原型系统如图3所示.
Fig.
3ThearchitectureoftheDTEprototypeforTPM2.
0图3针对TPM2.
0的DTE原型系统6.
2功能接口调用性能测试AS、pTPM代理、vTPM代理和验证者的大多数功能,都可通过调用TSS1.
2TSPI或TSS2.
0SysAPI来实现,但有些功能没有现成的TSSAPI可用,我们转而调用OpenSSL接口,例如,RSA_Verify或者直接在代理程序中用代码实现,例如.
SchnorrEccDTE的性能测试,可以通过这些调用接口或函数所花费的时间来衡量,测试结果见表2.
表中的时间是10次测试结果的平均值.
在我们的实验中,控制节点和计算节点都是运行在VMWare上的虚拟机,每个虚拟机都被分配一个处理器和1GB(gigabytes)内存空间.
运行VMWar的计算机,处理器是IntelCorei3-4020Y@1.
50GHZ,内存是4GB,系统是Windows8.
1.
计算节点上的虚拟机所分配的内存大小为768MB(megabytes).
余发江等:虚拟可信平台模块动态信任扩展方法2793Table2TheperformanceofAS,pTPM,vTPMandChallenger表2AS、pTPM、vTPM和验证者Challenger的性能测试结果实体过程TSS1.
2TSPI时间(μs)(RSA)TSS2.
0SysAPI时间(μs)(RSA)时间(μs)(ECC)AS创建IKTspi_TPM_CollateIdentityRequest199832Tss2_Sys_Create810336120692pTPM196143997353125436vTPM4594121030989130336pTPM授权书签名Tspi_Context_LoadKeyByUUID32998Tss2_Sys_Load278956289147Tspi_TPM_Quote13722Tspi_Context_LoadKeyByUUID38579Tss2_Sys_Quote430269425078Tspi_TPM_Quote211334AS验证授权书签名RSA_verify253Tss2_Sys_LoadExternal280937280103Tss2_Sys_VerifySignature417147419750vTPMRSA_verify336Tss2_Sys_LoadExternal302661298289Tss2_Sys_VerifySignature457471418122vTPM令牌请求消息签名Tspi_Context_LoadKeyByUUID789352Tss2_Sys_Load364291291580Tspi_TPM_Quote207373Tspi_Context_LoadKeyByUUID710007Tss2_Sys_Quote450861436086Tspi_TPM_Quote2201887AS验证令牌请求签名RSA_verify191Tss2_Sys_LoadExternal293320284083Tss2_Sys_VerifySignature419880417992AS时间令牌签名Tspi_Context_LoadKeyByUUID43015Tss2_Sys_Load281112279623Tspi_TPM_Quote6361Tspi_Context_LoadKeyByUUID28668Tss2_Sys_Quote422678432271Tspi_TPM_Quote221279vTPM验证令牌签名RSA_verify441Tss2_Sys_LoadExternal293898299854Tss2_Sys_VerifySignature418649436756vTPM远程证明签名RSA_private_encrypt12911RSA_private_encrypt66458EcDaa48EcPointMultiply819SchnorrEcc4955验证者验证证明签名RSA_public_decrypt127RSA_public_decrypt139RSA_verify152Tss2_Sys_LoadExternal355003Tss2_Sys_VerifySignature441208ValidateSignatureEcSchnorr2201ValidateSignatureEcSchnorr13235我们使用*Quote*对授权书、时间令牌及其请求消息进行签名,把签名对象当作外部数据,选定相对固定的PCR值OpenSSL接口直接在代理程序中实现的函数,参考了部分TPM2.
0模拟器的代码从表2可见,调用TSS2.
0SysAPI所用时间大约是TSS1.
2TSPI的10倍,主要原因是TSS2.
0有一个中间层RM,RM管理着上下文,负责TPM对象、会话和一些队列的现场缓存与恢复,以扩展TPM非常有限的内存,花费了额外时间.
RM也几乎消除了TPM2.
0中RSA和ECC的效率差异.
另外,由于swtpm1.
2实例直接运行在宿主机上,vTPM代理和swtpm1.
2之间的交互必须经过QEMU-KVM,故vTPM代理调用Tspi_Conext_LoadKeyByUUID及Tspi_TPM_Quote的时间是pTPM和AS所用时间的20倍左右.
另外,还可以看到,调用OpenSSL接口和在代理程序中直接编程实现的函数,所用时间比TSSAPI要少.
6.
3与TCG可信虚拟平台两层深度认证的性能对比在DTE中,pTPM对vTPM进行一次信任扩展,vTPM即可签署多次远程证明,故我们主要考虑令牌获取和远程证明的时间,以此来衡量DTE的性能,并与TCGTVP的两层深度认证作对比,结果见表3.
TCGTVP进行一次深度认证,验证者可确定虚拟机及其宿主机的安全状况.
在DTE里,若将pTPM的平台配置寄存器(platformconfigureregister,简称PCR)映射到vTPM中,vTPM进行一次远程证明,则验证者也可确定虚拟机及其宿主平台的安全状况.
2794JournalofSoftware软件学报Vol.
28,No.
10,October2017Table3ThecomparisonofDTEperformancewithTCGtwolayersdeepattestation表3DTE和TCG可信虚拟平台两层深度认证性能对比动态信任扩展DTETCG可信虚拟平台两层深度认证过程子过程时间(μs)(1.
2RSA)时间(μs)(2.
0RSA)时间(μs)(2.
0ECC)子过程时间(μs)(1.
2RSA)时间(μs)(2.
0RSA)时间(μs)(2.
0ECC)生成完整性报告vTPM签名令牌请求消息954309815152727666生成第N层完整性报告954309815152727666AS验签令牌请求消息191713199702075AS签名时间令牌49661703790711894vTPM验签时间令牌441712547736610生成第N1层完整性报告48317709225714225vTPM签名完整性报告12911664585822合计101751330111462884067合计100262615243771441891验证报告验签时间令牌109718726713452验证第N层报告109718726713452验签完整性报告2797963495436验证第N1层报告109718726713452合计3881515075718888合计21814374521426904等于表2中调用".
.
.
UUID,.
.
.
_Quote"和"2.
.
.
UUID,.
.
.
_Quote"所用时间的平均值,DTE其他时间为表2中对应接口或函数所用时间之和生成第N层完整性报告所用时间等同于表2中vTPM签名令牌请求消息所用时间,生成第N1层完整性报告所用时间等同于表2中pTPM签名授权书所用时间等同于表2中验证者验签令牌所用时间从表3可见,针对TPM1.
2RSA,DTE生成完整性报告所用时间与TCGTVP深度认证大约相同.
针对TPM2.
0RSA和ECC,DTE生成完整性报告所用时间约是TCGTVP深度认证的2倍.
若vTPM对完整性报告的签名由vTPM实例自己完成,而非像原型系统由vTPM代理程序完成,那么生成报告需要使用更多的时间.
但在AS验签时间令牌请求消息和vTPM验签时间令牌的操作,可不调用TSSAPI,而是由代理程序直接使用公钥在外部完成,以加速操作.
针对TPM1.
2和2.
0RSA,DTE验证完整性报告所用时间与TCGTVP深度认证大约相同.
针对TPM2.
0ECC,DTE验证完整性报告所用时间甚至比TCGTVP还少,这主要是因为在DTE原型系统中,代理程序直接使用公钥在外部完成验签操作.
6.
4vTPM频繁迁移时的性能分析增加vTPM状态管理模块和迁移模块,在基于KVM的两个计算节点之间,实现vTPM与虚拟机相绑定的动态迁移,保证迁移后vTPM的可用性和安全状态的一致性.
为了分析DTE在vTPM频繁迁移时的性能状况,我们假设vTPM在两个计算节点之间迁移了m次,每次迁移完成后,vTPM进行p次远程证明,并与基于传统证书链的信任扩展进行对比分析,结果见表4.
每次迁移发生时,在DTE里,有vTPM获取新pTPM授权书的过程,尽管基于证书链的信任扩展机制没有这一过程,但需要重新向CA获取IK证书.
获取CA证书所用时间受到CA服务器性能、网络等诸多因素的影响,在此,我们假设CA签署IK证书所用时间与pTPM对授权书签名相同,vTPM验证IK证书所用时间与验证授权书相同.
故获取新pTPM授权,并不会增加DTE的时间负担.
此外,在迁移时,若旧的授权书未过期,则DTE需要旧pTPM告知AS撤销授权,但基于证书链的信任扩展机制也需要告知CA将旧的IK证书加入到CRL中.
故撤销旧pTPM授权,也不会增加DTE的时间负担.
在迁移完成后,vTPM每次进行远程证明时,DTE需要向AS获取时间令牌,而基于证书链的信任扩展机制没有这一过程.
DTE获取令牌与vTPM签署证明报告所用时间之和,与基于证书链的信任扩展机制里签署两层完整性报告所用时间的对比,以及两种机制里验证报告所用时间的对比,在第6.
3节中已有分析.
从功能接口调用性能测试结果、与TCGTVP深度认证的对比以及对vTPM进行频繁迁移时的性能分析来看,DTE是可行的.
另外,还可通过简化TPM上下文缓存管理来提高DTE的性能.
余发江等:虚拟可信平台模块动态信任扩展方法2795Table4TheDTEperformancewithfrequentvTPMmigrations表4vTPM频繁迁移时DTE的性能表现动态信任扩展DTE基于证书链的信任扩展过程次数时间(μs)(1.
2RSA)时间(μs)(2.
0RSA)时间(μs)(2.
0ECC)过程次数时间(μs)(1.
2RSA)时间(μs)(2.
0RSA)时间(μs)(2.
0ECC)授权书签名m48317709225714225CA签署IK证书m48317709225714225vTPM验证授权书m336760132716411验证IK证书m336760132716411令牌获取mp100460229446882878245无0000vTPM签署报告mp12911664585822生成两层报告mp100262615243771441891验证报告*mp3881515075718888验证两层报告mp21814374521426904等于表2中pTPM对授权书签名调用".
.
.
UUID,.
.
.
_Quote"和"2.
.
.
UUID,.
.
.
_Quote"所用时间的平均值为表3中vTPM签名令牌请求消息、AS验签令牌请求消息、AS签名时间令牌、vTPM验签时间令牌所用时间之和为表3中生成第N层、第N1层完整性报告以及验证第N层、第N1层完整性报告所用时间之和*为表3中验签时间令牌、验签完整性报告所用时间之和7相关工作Berger等人[2]还提出了第3种机制,建立一个本地CA,用以给vTPM颁发证书.
TCG在可信虚拟平台TVP规范[3]里也提出了一种类似的机制,在特权虚拟机或者虚拟机监控程序里建立本地CA,用以给vTPM颁发证书.
但是,这两种机制都没有描述本地CA与全局CA和pTPM之间的关系,vTPM和pTPM之间并没有建立可信关联.
IBM公司定义过一些TPM虚拟化命令[11],使用这些命令以基于pTPM创建、删除、挂起、还原、迁移vTPM实例.
England等人[12]和Stumpf等人[13]都提出了相似的方法,让多个虚拟机通过一个控制结构体安全地共享一个pTPM.
Sadeghi等人[14]提出了一种基于属性设计的vTPM,以提高其可维护性和适用性.
Aziz等人[15]提出通过一个远程服务器,为虚拟机提供TPM功能.
Liu等人[16]提出了一种vTPM云架构,没有TPM模块的平台可以访问TPM云,以获得TPM功能.
这些工作都主要集中在如何为虚拟机提供TPM功能上,并没有考虑如何将pTPM的信任扩展到vTPM或者在没有pTPM的情况下如何构建可信根.
8总结本文提出了一种适用于vTPM频繁迁移的动态可信拓展方法DTE.
DTE将vTPM看作是pTPM的一个代理,利用从AS处获得的时间令牌,进行虚拟机的远程证明.
DTE在vTPM和pTPM之间建立了紧密的安全关联,但又能明显区分这两种不同安全强度的TPM.
当vTPM发生迁移时,旧宿主机上的pTPM通知AS,停止授予令牌给vTPM,可及时撤销信任扩展.
迁移完成之后,新宿主机上的pTPM会对vTPM进行新的信任授权,vTPM无需生成新的IK、申请新的IK证书,而且在旧宿主机上生成的完整性报告签名依然有效.
从原型系统的性能测试结果来看,DTE远程证明的签名与验签操作均可在可接受的时间内完成.
在DTE中,vTPM是pTPM对认证数据进行签名的一个代理.
DTE是代理签名的一种实际应用,代理签名最早由Masahiro等人[17,18]在1996年提出.
尽管DTE的过程和算法已在本文中有详细的阐述,但仍有一些问题值得探讨.
例如:(1)若vTPM已被迁移到新的宿主机上,该主机与旧主机对应不同的AS,那么DTE在这种跨AS的情况下应如何工作;(2)如何将DTE与PCR扩展事件日志传输、验证者检查平台部件完整性与标准值符合性相结合;(3)DTE如何支持直接匿名验证DAA(directanonymousattestation).
这些都是我们后续的工作.
References:[1]TrustedComputingGroup(TCG).
TCGSpecificationArchitectureOverviewpecificationRevision1.
4.
2007.
https://www.
trustedcomputinggroup.
org/wp-content/uploads/TCG_1_4_Architecture_Overview.
pdf[2]BergerS,CáceresR,GoldmanKA,PerezR,SailerR,vanDoornL.
VTPM:Virtualizingthetrustedplatformmodule.
In:Proc.
ofthe15thUSENIXSecuritySymp.
,Security2006.
Berkeley:USENIXAssociation,2006.
305–320.
https://www.
usenix.
org/legacy/event/sec06/tech/full_papers/berger/berger.
pdf2796JournalofSoftware软件学报Vol.
28,No.
10,October2017[3]TrustedComputingGroup(TCG).
Virtualizedtrustedplatformarchitecturespecificationversion1.
0revision0.
26.
2011.
http://www.
trustedcomputinggroup.
org/wp-content/uploads/TCG_VPWG_Architecture_V1-0_R0-26_FINAL.
pdf[4]DanevB,MastiRJ,KarameGO,CapkunS.
EnablingsecureVM-VTPMmigrationinprivateclouds.
In:Proc.
ofthe27thAnnualComputerSecurityApplicationsConf.
,ACSAC2011.
NewYork:ACM,2011.
187–196.
[doi:10.
1145/2076732.
2076759][5]StrasserM.
PeterHuewetpm-emulatorv0.
7.
4.
ThefamousTPM-emulator.
2014.
https://github.
com/PeterHuewe/tpm-emulator[6]Int'lBusinessMachinesCorp(IBM).
TrouSerS0.
3.
13.
Anopen-sourceTCGsoftwarestackimplementation.
2014.
https://sourceforge.
net/projects/trousers/[7]Int'lBusinessMachinesCorp(IBM).
LibTPMsv0.
5.
2.
1.
AlibrarythattargetstheintegrationofTPMfunctionalityintohypervisors,primarilyintoqemu.
2015.
https://github.
com/stefanberger/libtpms[8]Int'lBusinessMachinesCorp(IBM).
Software-BasedTPMEmulator(SWTPM)0.
7.
4.
ThepackageprovidessocketinterfacesandtheLinuxcuseinterfacetoLibTPMsforthecreationofmulitplenative/dev/vtpm*devices.
2011.
https://sourceforge.
net/projects/tpm-emulator.
berlios/[9]Intel.
TPM2.
0-TSS0.
97.
Trustedplatformmodule2.
0softwarestack.
2015.
https://github.
com/01org/TPM2.
0-TSS[10]Int'lBusinessMachinesCorp(IBM).
IBM'sSoftwareTPM2.
0477.
ItisbasedontheTPMspecificationparts3and4sourcecodedonatedbymicrosoft,withadditionalfilestocompletetheimplementation.
2015.
https://sourceforge.
net/projects/ibmswtpm2/[11]InternationalBusinessMachinesCorporation(IBM).
TPMmainpart3IBMcommandsspecificationversion1.
2revision36.
2008.
http://researcher.
watson.
ibm.
com/researcher/files/us-kgoldman/mainP3IBMCommandsrev36.
pdf[12]EnglandP,LoeserJ.
Para-VirtualizedTPMsharing.
In:LippP,SadeghiAR,KochKM,eds.
TrustedComputing-ChallengesandApplications,theProc.
ofthe1stInt'lConf.
onTrustedComputingandTrustinInformationTechnologies,Trust2008.
LNCS4968,Berlin,Heidelberg:Springer-Verlag,2008.
119–132.
[doi:10.
1007/978-3-540-68979-9_9][13]StumpfF,EckertC.
Enhancingtrustedplatformmoduleswithhardware-basedvirtualizationtechniques.
In:Proc.
ofthe2ndInt'lConf.
onEmergingSecurityInformation,SystemsandTechnologies(SECUWARE2008).
IEEEComputerSociety,2008.
1–9.
[doi:10.
1109/SECURWARE.
2008.
23][14]SadeghiAR,StübleC,WinandyM.
Property-BasedTPMvirtualization.
In:WuTC,LeiCL,RijmenV,LeeDT,eds.
Proc.
ofthe11thInt'lConf.
,ISC2008.
LNCS5222,Berlin,Heidelberg:Springer-Verlag,2008.
1–16.
[doi:10.
1007/978-3-540-85886-7_1][15]AzizNA,KhalidPS.
UtilizingTPMfunctionalitiesonremoteserver.
In:YeoSS,PanY,LeeYS,ChangHB,eds.
ComputerScienceanditsApplications,CSA2012.
LNEE203,SpringerNetherlands,2012.
3–12.
[doi:10.
1007/978-94-007-5699-1_1][16]LiuD,LeeJ,JangJ,NepalS,ZicJ.
Acloudarchitectureofvirtualtrustedplatformmodules.
In:Proc.
ofthe8thIEEE/IFIPInt'lConf.
onEmbeddedandUbiquitousComputing(EUC).
Washington:IEEEComputerSociety,2010.
804–811.
[doi:10.
1109/EUC.
2010.
125][17]MasahiroM,UsudaK,OkamotoE.
Proxysignatures:Delegationofthepowertosignmessages.
IEICETrans.
onFundamentalsofElectronicsCommunicationsandComputerSciences,1996,E79-A(9):1338–1354.
[18]MasahiroM,UsudaK,OkamotoE.
Proxysignaturesfordelegatingsigningoperation.
In:Proc.
ofthe3rdACMConf.
onComputerandCommunicationsSecurity,CCS'96.
NewYork:ACM,1996.
48–57.
[doi:10.
1145/238168.
238185]余发江(1980-),男,重庆人,博士,副教授,CCF专业会员,主要研究领域为可信计算,系统安全,密码应用.
张焕国(1945-),男,教授,博士生导师,CCF高级会员,主要研究领域为信息安全,可信计算,密码学.
陈列(1991-),男,学士,主要研究领域为可信计算,云计算.