字节码虚拟机的构造和验证

提出一种虚拟机构造和验证方案.给出字节码程序运行环境BVM(bytecode virtual machine)的形式化定义;采用X86机器语言构造虚拟机CertVM(certified virtual machine);并证明该虚拟机实现符合相应程序规范并和BVM之间具有模拟关系.利用辅助工具Coq给出证明,所有证明均可机器自动检查.CertVM确保在硬件环境满足其语义规范的情况下,已验证的字节码程序能够在给定虚拟机环境中正常运行.给出的方案不仅为虚拟机验证提供理论基础,而且为可信软件构造提供了一种有益的尝试.     

基于无证书环签名的虚拟机可信证明方案

由于虚拟环境的复杂性和动态性,使用传统方法证明其安全状态时会出现运算效率低下的情况;而环签名具有运算效率高、匿名性强的特点,利用无证书公钥系统可解决密钥管理问题。为此,提出一种采用无证书环签名机制的虚拟机可信证明方案。私钥生成中心（PKG）验证平台物理环境的状态可信后,由PKG和虚拟可信平台模块（vTPM）管理器利用无证书算法共同生成vTPM签名密钥,虚拟机对外证明时采用环签名机制,将证明者的信息隐藏在环成员列表中,从而实现虚拟机对外的匿名身份证明和状态证明。在完成证明准备工作后,虚拟机不需要在每次证明和迁移时重复生成虚拟身份证明密钥（vAIK）证书,因此大大提高了证明效率;另外方案具有很强的安全性和匿名性,适用于虚拟机数量巨大的云计算环境。     

一种基于Xen的可信虚拟机系统的构建与应用

基于虚拟机的可信计算平台架构系统可以解决目前可信计算技术在应用过程中所产生的一些问题。该文介绍了一个符合这种架构的具体系统,对系统的构建方法进行了研究和探讨,并利用该系统解决了针对TCG完整性度量的TOCTOU攻击问题。     

面向云计算模式运行环境可信性动态验证机制

如何为用户提供一个可证明、可验证的可信运行环境,是云计算模式面临的重要问题.提出一种动态的用户运行环境可信性验证机制TCEE（trusted cloud execution environment）.通过扩展现有可信链,将可信传递到用户虚拟机内部,并周期性地对用户运行环境的内存和文件系统进行完整性验证.TCEE引入可信第三方TTP（trusted third party）,针对用户虚拟机运行环境的可信性进行远程验证和审计,避免了由用户维护可信验证的相关信息和机制,同时也能够避免云平台敏感信息的泄露.实现了基于TCEE的原型系统,对TCEE的有效性和性能代价进行定量测试和评价.实验结果表明,该机制可以有效检测针对内存和文件系统的典型威胁,且对用户运行环境引入的性能代价较小.     

基于KVM的虚拟锁步技术

依托基于内核的虚拟机（kernel-based virtual machine , KVM ）的平台,针对虚拟机容错系统中的关键技术---虚拟锁步技术展开研究,主要研究虚拟锁步技术所采用的虚拟机同步机制（VM synchronization mechanism ）。对开源虚拟机容错软件Kemari进行架构剖析与代码分析,指出其所使用的基于数据拷贝的虚拟机同步机制在不使用共享存储进行锁步运行时,具有一定性能缺陷;以此为基础,提出相应的改进措施,设计并实现一种新的虚拟机同步机制。该机制采用事件重放的方式实现冗余虚拟机间块设备数据的同步,弥补了Kemari虚拟机同步机制的相关性能缺陷。     

云数据中心基于遗传算法的虚拟机迁移模型

提出云数据中心中基于遗传算法的虚拟机迁移模型GA-VMM（genetic algorithm based virtual machine migration）。GA-VMM在虚拟机迁移的时刻考虑的问题维度优于常见的策略,使虚拟机的分配与迁移更加合理与公平。建立了云端能量消耗与在线虚拟机迁移时间消耗数学模型,通过全局遗传算法来优化虚拟机迁移和放置策略。利用某个企业的大数据中心作为云端测试环境,对比测试GA-VMM迁移模型与已有的虚拟机迁移策略的性能。测试结果表明,GA-VMM迁移模型能够更好地减少物理主机的使用数量和虚拟机的迁移次数,SLA（service level agreement violation）违规基本处于稳定状态;GA-VMM可以降低数据中心能耗,性能优于已有的迁移策略。     

基于双线性映射和属性证书的远程证明方案

针对现有TCG组织定义的远程证明机制证明过程复杂和隐私泄漏的不足,通过使用基于双线性映射的BBS’签名算法和属性证书机制代替平台配置信息的方式,提出了一种基于双线性映射和属性证书的远程证明方案（Bilinear Mappingand Property Based Attestation,BMPBA）。与已有的远程证明方案相比,BMPBA方案更好地降低了平台配置信息易泄露的风险,其使用的签名方案具有密钥与签名长度短和计算效率高的优点,从而提高了远程证明机制的运行效率。分析结果表明：利用该方案能够高效率地实现平台间的远程证明,并能较好地保证平台证明的安全性、正确性和不可伪造性。     

验证方主导的远程证明方案

可信计算组织(TCG)提出了以可信平台模块(TPM)为核心的可信计算安全体系框架.远程证明是可信计算领域重要的研究问题之一.现有的远程证明方案都是由证明方发起,度量和证明缺乏一致性和可扩展性,不能保证平台的隐私性.针对这些缺陷,引入颁发度量和证明属性证书的权威机构,提出了一种由验证方根据安全需求发起证明的远程证明方案.而证明方则按照度量属性证书和证明属性证书进行平台的度量,TPM保证平台的度量真实可信.同时对平台配置进行了抽象,对度量过程进行了形式化分析和性能测试;而且采用签名和加密实现远程证明的真实性和平台的隐私性.该远程证明方案不仅能够用于向远程方证明平台运行环境是可信的,而且还用于平台运行环境的自身检测.     

云环境中可信虚拟平台的远程证明方案研究

云环境中如何证明虚拟平台的可信,是值得研究的问题.由于云环境中虚拟平台包括运行于物理平台上的虚拟机管理器和虚拟机,它们是不同的逻辑运行实体,具有层次性和动态性,因此,现有的可信终端远程证明方案,包括隐私CA （privacy certification authority,简称PCA）方案和直接匿名证明（direct anonymous attestation,简称DAA）方案,都并不能直接用于可信虚拟平台.而TCG发布的Virtualized Trusted Platform Architecture Specification 1.0版中,可信虚拟平台的远程证明方案仅仅是个框架,并没有具体实施方案.为此,提出了一种自顶向下的可信虚拟平台远程证明实施方案——TVP-PCA.该方案是在虚拟机中设置一个认证代理,在虚拟机管理器中新增一个认证服务,挑战方首先通过顶层的认证代理证明虚拟机环境可信,然后通过底层的认证服务证明运行于物理平台上的虚拟机管理器可信,顶层和底层证明合起来确保了整个虚拟平台的可信,有效解决了顶层证明和底层证明的同一性问题.实验结果表明,该方案不仅能够证明虚拟机的可信,而且还能证明虚拟机管理器和物理平台的可信,因而证明了云环境中的虚拟平台是真正可信的.     

面向虚拟机的远程磁盘缓存

在虚拟机(virtual machine)系统中,随着虚拟机数量和应用程序需求的不断增长,内存容量已经成为应用程序性能的主要瓶颈。为了提升内存密集型和I/O密集型程序的页面交换性能,提出了虚拟机的远程磁盘缓存机制REMOCA,它允许运行在一台物理主机上的虚拟机将其他物理主机的内存作为其二级磁盘缓存。由于网络传输延迟远远小于磁盘访问,用网络传输代替磁盘访问就能够有效地降低虚拟机的平均磁盘访问延迟。REMOCA的目标就要尽可能地减少磁盘访问。REMOCA运行在虚拟机管理器中,其基本工作原理是截获并处理虚拟机的页面淘汰、磁盘访问等事件。REMOCA能够与现有的虚拟机内存管理机制(如气球技术、影子缓存)相结合,从而提供更加灵活的内存资源管理策略。实验数据表明,REMOCA能有效地降低页面抖动对虚拟机性能的影响,并在很大程度上提升虚拟机中I/O密集型应用的性能。     

IaaS环境可信证明方法研究

提出一种基于时间戳的基础设施即服务(IaaS)动态可信证明方法。通过对云节点进行实时的动态度量,并将度量结果与度量时间绑定,验证云节点的当前运行状态可信。基于该方法,结合IaaS的服务业务流程,设计云节点注册证明、虚拟机启动证明及虚拟机关闭证明等远程证明方法,证明用户虚拟机运行于状态可信的云节点上,同时保证虚拟机数据的完整性和机密性。     

身份证实证书在可信计算中的应用

证书体系在可信计算中具有基础支撑作用,它参与完成了信任传递的整个过程。该文研究身份证实证书（AIK）的内容、产生和其他证书的关系,分析其在远端主机证明的作用和过程。用可信计算技术和AIK证书加强安全套接层（SSL）协议的方法和步骤解决SSL协议中无法验证服务器程序真实性的问题。     

一种面向网格计算的分布式匿名协作算法

基于TCG提出的可信计算技术为网格协作安全性提出一种匿名分组身份验证算法,该算法可以非常可靠地解决网格计算平台之间的身份匿名验证问题.算法使用一个硬件模块TPM解决远程的身份验证,并通过TPM机制可以提供可靠的匿名验证和平台认证功能.算法中所有涉及的验证过程都是基于匿名机制实现的,除了实现匿名验证机制以外,算法还提供一套完整标记恶意网络实体的方法.提出了网格计算中虚拟分组的匿名认证平台架构,并在此架构基础上分成5步实现匿名验证算法,然后说明了算法在一种对等计算平台的应用实例,与GT2,GT3,GT4以及信任管理进行安全性的比较,并设计一个实验评价其性能.     

可信移动平台及其验证机制的研究

为了能保证移动设备的安全性,可信计算组(TCG)的移动工作组(MPWG)[1]在可信计算的基础上定义了一个新的结构即移动可信模块(MTM).远程证明是可信移动设备研究的一个重要部分.分析了可信移动设备的体系结构,可信移动平台的可信链及远程证明机制,最后提出了一个新的远程证明模型来确保平台的完整性.     

一种基于PCA的远程匿名证明改进方案

远程证明是可信计算的关键技术之一,可以验证平台身份和配置信息的可信性,而现有远程证明方案存在一定的缺陷。本文在分析现有基于匿名属性证书的远程匿名证明方案的基础上,提出了改进方案。针对原方案中存在的在匿名属性证书申请过程中未验证证书颁发实体的问题,对证书申请方案进行了改进,采用会话密钥对PCA签名,保证了证书颁发实体的真实性;针对远程证明协议存在恶意用户接入的问题,在改进方案中引入假名机制,即保证了用户身份的匿名性,又防止了具有不良历史记录用户的非法接入。     

基于无干扰理论的虚拟机可信启动研究

云计算作为一种新型高价值计算系统,目前被广泛应用于各行业领域;等保2.0中也提出了对其应用主动免疫可信计算技术进行动态可信验证的要求.云计算模式下,虚拟机作为用户使用云服务的直接载体,其可信启动是虚拟机运行环境可信的基础.但由于虚拟机以进程的形式运行在物理节点上,其启动过程呈现出高动态性,且多虚拟机域间存在非预期干扰等特点;而现有的虚拟机可信启动方案存在虚拟机启动过程的动态防护性不足、缺乏多虚拟域间非预期干扰性排除等问题.针对上述问题,提出一种基于无干扰理论的虚拟机可信启动研究方案.首先,基于无干扰理论,提出了虚拟机进程的运行时可信定理;进一步地,给出了虚拟机可信启动的定义并证明了虚拟机可信启动判定定理.其次,依据虚拟机可信启动判定定理,基于系统调用设计监测控制逻辑,对虚拟机启动过程进行主动动态度量与主动控制.实验结果表明所提方案能够有效排除复杂云环境下多虚拟机间非预期干扰,保证虚拟机启动过程的动态可信性,且性能开销较小.     

基于策略的语义远程认证

远程认证在可信计算中起着重要作用,它能提供可信环境存在的可靠证据。目前的方法是测量目标平台的二进制码、配置文件、属性或者安全策略等可信值。所有这些认证方法是静态的,缺乏动态行为认证并且没有对于实际的行为进行说明和规范。为了改进和完善这些认证方式,提出了一种语义远程认证策略,并对其进行了定义、规范和证明。该策略是把使用控制模型和行为结合起来,能够动态测量远程平台的行为。     

一种基于属性环签名的高效匿名证明协议

远程证明是可信计算领域中亟待突破的重要问题。结合二进制证明和基于属性的证明,应用环签名思想提出了一种简单、高效的匿名远程证明协议。该协议不需要属性证书,也不需要AIK证书,它通过借助一个离线可信第三方,应用可信计算绑定和密封机制,采用基于双线性对的属性环签名,同时实现了平台的身份证明和完整性状态证明。分析和实验表明,该协议具有不可伪造性、平台身份匿名性、配置隐私保护性和抗共谋性,并具有很高的运行效率;与现有典型的基于双线性对证明协议相比,签名长度减少了79.73%,所需验证的双线性对减少了50.00%,很好地解决了一直困扰可信计算中的远程证明和效率问题。