一种虚拟可信计算平台框架的设计与实现

最近虚拟化技术经历了一个快速发展的时期,他们为用户节省了大量的硬件资源的开销。这项技术为提供数据中心、网站服务器等需要大量硬件服务器的企业提高了硬件资源的利用率,并大幅度节省了成本。 然而虚拟机的安全环境令人堪忧,可信计算在虚拟机上的应用还处于起步阶段。本设计的目标是利用现有的可信计算技术手段管理多个DomainU,为每一个DomainU建立虚拟可信设备,在启动DomainU的同时注册虚拟可信设备,实现Domain0与DomainU之间的可信设备通信,记录他们的运行状态,将虚拟环境加入到安全计算机体系的可信链中。 本设计首先实现了将TPM-Emualtor的内核模块架构改为守护进程架构,实现了TPM-Emulator从系统内核的脱离。其次,本设计将TPM-Emulator实现为可以在DomainU环境下使用的、为多DomainU服务的、虚拟TPM设备管理器可以管理的虚拟TPM。最后,本设计实现了在虚拟机中添加对虚拟TPM设备的支持,编写启动脚本与虚拟TPM初始化脚本,在启动虚拟机的同时建立虚拟TPM通信管道并进行操作系统完整性校验,构建了完整的可信链,实现了一种虚拟可信计算平台框架。