基于可信輕量虛擬機監控器的安全架構

摘要：虛擬化技術越來越多地被用于增強商用操作系統的安全性。現有的解決方案通常將虛擬機管理軟件(VMM)作為可信集，利用其作為底層架構的優勢來為上層軟件提供安全功能。這些方案都是基于通用虛擬機管理軟件，因而存在以下問題：a)虛擬化性能上開銷大；b)作為可信集相對比較龐大；c)不能提供有效的信任鏈證明自身可信性。針對上述問題，提出以輕量虛擬機監控器作為可信集的安全架構——Chemb架構，Cherub利用主流處理器的安全擴展指令和硬件輔助虛擬化技術在運行的操作系統中插入輕量級的虛擬機監控器，并利用該虛擬機監控器作為可信集用于實現多種安全目標。實驗結果證明了該架構的有效性，并具有代碼量小、動態可加載和虛擬化開銷小等優點。

關鍵詞：輕量級虛擬機監控器；信任鏈；安全架構；動態加載

中圖分類號：TP309 文獻標志碼：A 文章編號：1001－3695(2010)08－3045－05