基于無證書環簽名的虛擬機可信證明方案

榮 星，趙 勇

(1.信息工程大學，鄭州 450004; 2.北京工業大學 信息學部，北京 100124)

(*通信作者電子郵箱royafly@126.com)

基于無證書環簽名的虛擬機可信證明方案

榮 星1,2，趙 勇2

(1.信息工程大學，鄭州 450004; 2.北京工業大學 信息學部，北京 100124)

(*通信作者電子郵箱royafly@126.com)

由于虛擬環境的復雜性和動態性，使用傳統方法證明其安全狀態時會出現運算效率低下的情況；而環簽名具有運算效率高、匿名性強的特點，利用無證書公鑰系統可解決密鑰管理問題。為此，提出一種采用無證書環簽名機制的虛擬機可信證明方案。私鑰生成中心(PKG)驗證平臺物理環境的狀態可信后，由PKG和虛擬可信平臺模塊(vTPM)管理器利用無證書算法共同生成vTPM簽名密鑰，虛擬機對外證明時采用環簽名機制，將證明者的信息隱藏在環成員列表中，從而實現虛擬機對外的匿名身份證明和狀態證明。在完成證明準備工作后，虛擬機不需要在每次證明和遷移時重復生成虛擬身份證明密鑰(vAIK)證書，因此大大提高了證明效率；另外方案具有很強的安全性和匿名性，適用于虛擬機數量巨大的云計算環境。

虛擬機；可信證明；無證書公鑰系統；環簽名；云計算

0 引言

虛擬化技術是云計算的核心支撐技術之一，虛擬化平臺將計算、存儲、網絡等實體資源抽象出來，實現了資源的動態分配、跨域共享、靈活調度，從而以更高效的組合方式對外提供服務，能夠顯著提高硬件資源的利用效率和軟件的可移植性，因而得到了快速的應用推廣。云計算服務中，用戶通過虛擬機使用云中的各種服務，虛擬機環境與物理環境相互隔離，不同級別的應用服務有著相互獨立的運行環境，虛擬機可根據需要遷移到云中的其他節點。面對這種將數據和程序都托管到服務器上的外包式服務，用戶環境的安全依賴于虛擬化平臺的安全，隨之而來的問題是如何對用戶正在使用的虛擬機進行標識，確保用戶能夠掌握使用的虛擬機安全狀態，并且保證虛擬機環境提供安全可靠的服務，正成為云計算安全中需要解決的重點問題之一。

可信計算(Trusted Computing)[1]技術以硬件信任根為基礎，在平臺環境中逐級構建完整的信任鏈，結合可信度量、密封存儲、遠程證明功能，可以增強虛擬化平臺的機密性和完整性。文獻[2]利用可信計算技術構造出可信虛擬化平臺Terra，通過可信的虛擬機監控器實行虛擬機之間的安全隔離，并對外提供客戶機所運行的主機平臺的安全性狀態證明。Santos等[3]提出一種可信云平臺(Trusted Cloud Computing Platform, TCCP)，通過外部的可信協調者對平臺內的服務器狀態進行認證，管理虛擬機的狀態變化，確保虛擬化平臺不被惡意篡改；另外可信協調者還可向用戶提供平臺服務安全性證明。由于可信計算技術能有效提高虛擬平臺的安全性，可信虛擬平臺的構建成為目前研究的熱點，其中可信平臺模塊(Trusted Platform Module，TPM)的虛擬化及虛擬環境的遠程證明更是可信虛擬平臺的研究關鍵。本文結合無證書和環簽名算法，設計了一種虛擬機環境遠程證明方案，在不生成身份證明密鑰(Attestation Identity Key，AIK)證書的前提下為用戶虛擬機生成證明密鑰對，實現了虛擬機環境的身份證明和完整性狀態證明，既能確保證明的可信性，又能滿足證明的匿名性要求。

1 虛擬化平臺完整性證明

1.1 可信證明方法

可信證明[4]向驗證者提供當前系統的狀態證明，為證明者和驗證者建立起信任關系，是一種構建可信的網絡計算環境的有效手段。目前常用的是可信計算組織(Trusted Computing Group, TCG)發布的Privcacy CA協議和直接匿名認證(Direct Anonymous Attestation，DAA)協議。

Privcacy CA協議中TPM為每次認證生成不同的簽名密鑰AIK，隱私CA根據其簽署密鑰(Endorsement Key，EK)證書認證后發放新的AIK證書，通過一次一密的方式來達到認證的匿名性。由于所有TPM的每次認證都要經過隱私CA，隱私CA成為認證效率的瓶頸，不適于云計算等大規模網絡環境下應用，一旦出現隱私CA和驗證者合謀串通情況，TPM的信息就會完全暴露。

DAA協議[5]將零知識證明轉換為非交互式知識簽名，協議中TPM生成一個密鑰并向發布者申請這個密鑰的DAA證書，TPM直接可以用這個密鑰對新生成的AIK公鑰進行DAA簽名，后面的證明過程中不再需要發布方的參與。DAA協議雖然解決了可信第三方的局限性問題，但由于其本身較為復雜，導致其可能存在潛在的安全漏洞；另外大量的雙線性對運算使得執行起來效率很低。

環簽名(Ring Signature)方案[6-7]是一種不需要管理者的簡化類群簽名，簽名者可自由選擇環成員列表，從而將自己的身份隱藏于成員之中。該算法實現簡單，用戶自身就能完成簽名，無需第三方的協助和驗證，既符合匿名認證的要求，又解決了零知識證明帶來的效率過低問題，對平臺配置要求較低，適用于虛擬環境遠程證明的需求，因而在云平臺可信證明中得到了應用。文獻[8]提出了基于TPM的遠程匿名證明(Remote Anonymous Attestation, RAA)機制，利用環簽名方法和EK證書來生成新的AIK證書，將簽名者的信息隱藏在環成員列表中，從而實現AIK證書的可信性和認證的匿名性。文獻[9]提出了一種基于環簽名的云服務資源遠程證明方法，證明方法和RAA類似，適用于已有TPM證書的平臺，不適用于依賴物理TPM生成vTPM證書的虛擬化平臺；另外證明中使用EK密鑰加密，根據規定EK只能用于解密TPM所有者的授權數據和生成AIK相關的數據，不能用作其他數據的加密和簽名。文獻[10]對TCCP平臺進行了改進，提出了基于屬性的可信云匿名證明方案，但未說明TPM的簽名密鑰類型，且計算過程中包含雙性對運算，驗證時計算任務量較大。

1.2 vTPM密鑰證書的生成

虛擬化平臺中客戶虛擬機對外提供遠程證明服務時，首先要在平臺中建立起從物理TPM到虛擬TPM(virtual TPM，vTPM)完整的信任鏈和證書鏈，vTPM實例的可信計算基(Trusted Computing Platform, TCB)包括底層的物理固件、運行環境及建立vTPM實例的軟件組件，其中運行環境指的是虛擬機監控器(Virtual Machine Monitor, VMM)與特權管理域，如圖1所示。虛擬平臺中信任鏈從平臺TCB擴展到VM中，必須將vTPM與底層的TCB進行綁定，保證vTPM運行環境的完整性。

圖1 可信虛擬化平臺架構

現有的vTPM密鑰體系大多通過物理TPM的EK或AIK證書為虛擬機生成證書，生成方法依賴于物理平臺TPM的密鑰體系。文獻[11]認為EK證書是確認云平臺身份的有效依據，鑒于EK證書的重要性，每個虛擬機中的vTPM應該有自己的vEK證書，提出EK-AIK-vEK-vAIK的證書鏈生成方法，每次vEK、vAIK的生成都需要隱私CA參與，隱私CA仍是證明效率的瓶頸。文獻[12]提出了一種利用AIK密鑰對虛擬機信息和平臺配置寄存器(Platform Configuration Register, PCR)信息簽名直接生成vAIK證書的方法，vTPM管理器本身就能生成vAIK證書，不需要隱私CA的參與，但AIK密鑰的生命周期短，vAIK密鑰隨時有失效的可能。文獻[13]指出，根據TCG的規范，AIK密鑰只能對TPM內部的PCR、狀態信息、其他密鑰等進行簽名，不能對外部的數據簽名，因此利用AIK密鑰對虛擬機中的vAIK簽名生成vAIK證書的方法不符合TPM規范，并提出在TPM內部引入了一種新密鑰——簽名密鑰(Signature Key, SK)，通過AIK認證SK，SK認證vAIK的方法生成VAIK證書，但vAIK密鑰的有效性在時間上仍不能得到保證。

由于虛擬機數量是物理平臺的倍數，加之啟動關閉頻繁，vAIK證書的生成成為影響虛擬機環境遠程證明效率的關鍵。雖然上述方法能夠將vTPM密鑰體系與物理環境中TPM密鑰體系二者關聯起來，但同時會增加對物理TPM的訪問次數，尤其在虛擬化環境中虛擬機狀態切換頻繁，勢必會大大加重系統的負擔。由可信第三方生成vAIK證書的方法使用起來簡便，而且有利于虛擬機的遷移，遷移后不需要重新生成新的密鑰。

2 基于無證書環簽名的可信證明方案

2.1 證書環簽名模型

無證書公鑰系統結合了基于證書公鑰系統和基于身份公鑰系統二者的優勢，解決了基于證書公鑰系統的證書管理問題以及基于身份公鑰系統中的密鑰托管問題，用戶的密鑰由PKG和用戶自身共同生成，從而避免了PKG對用戶密碼的完全掌控。環簽名中的任一成員都可以代表整個環簽名，驗證者只知道簽名來自哪個環，而不能確定具體的簽名者，技術本身具有無條件的匿名性。無證書環簽名方案可以將二者優點結合起來，既具有無證書簽名的特點，又符合環簽名的安全性要求。

定義1 無證書環簽名方案由六個算法構成：

1)初始化：輸入安全參數k，由PKG生成系統主密鑰mk和系統參數param。

2)部分密鑰生成：輸入用戶身份ID，系統主密鑰mk和系統參數param，由KGC生成用戶的部分私鑰DID和部分公鑰PID。

3)私鑰生成算法：輸入用戶身份ID，系統參數param，用戶的部分私鑰DID和秘密值VID，用戶自己生成完整的私鑰SKID。

4)公鑰生成算法：輸入用戶身份ID，系統參數param，用戶的部分公鑰PID和秘密值SID，用戶自己生成完整的公鑰PKID。

5)環簽名算法：輸入系統參數、要簽名的消息M，一個含有n個成員組成的環身份集合LID={ID1,ID2, …,IDn}，與之相對應的公鑰集合LPK={PKID1,PKID2, …，PKIDn}，簽名者利用其私鑰SKIDs為消息M生成環簽名σ，其中簽名者是環中的第s個成員。

6)驗證算法：當驗證者收到環簽名σ時，輸入簽名消息M，系統參數，環身份集合LID={ID1,ID2, …,IDn},以及對應的公鑰集LPK={PKID1,PKID2, …，PKIDn}，當環簽名正確時輸出“True”，否則輸出“False”。

2.2 虛擬機可信證明方法

本文基于不含對運算的無證書環簽名算法[14]，結合無證書簽名系統的安全性與環簽名算法的無條件匿名性和不可偽造性，提出了一種新的虛擬機可信證明方案，利用可信第三方為虛擬機生成證明的簽名密鑰，在對外提供證明的同時保護虛擬機的隱私信息。證明模型中有四個主體，包括含物理TPM的云平臺、驗證者verifier、隱私CA以及PKG，如圖2所示。

圖2 虛擬機可信證明模型

虛擬機可信證明包含證明準備和證明執行兩個階段。在證明準備階段，云平臺利用PrivcacyCA證明協議向PKG證明物理平臺環境的安全性，為要建立的虛擬機申請vTPM密鑰，PKG驗證通過物理平臺可信后，根據VM的ID為其生成環簽名密鑰并返回給vTPM管理器，由vTPM管理器完成vTPM的密鑰初始化工作，并進行PCR值到vPCR值的映射操作；在證明執行階段，VM使用環簽名密鑰對虛擬機的度量列表進行環簽名，驗證方通過驗證環簽名的有效性來判斷VM的可信性。

3 虛擬機可信證明的準備

3.1 系統初始化

3.2 虛擬機密鑰生成

記平臺度量日志為SML(StoredMeasurementLog)，VM中簽名密鑰生成過程如圖3所示。

圖3 虛擬機證明密鑰生成過程

1)N→PKG:{IDr,nonce}PKGpub。虛擬化平臺N生成要創建的虛擬機ID，并確保其唯一性，用PKG公鑰加密后連同隨機數發送給PKG，為VM申請環簽名密鑰。

2)PKG→N:response。PKG給予平臺N響應。

3)N→PKG:SML,sig{PCR[0-8],nonce}TPM.AIKpriv,cert(TPM.AIK)。平臺N利用TPM_Quote功能對物理PCR值和隨機數簽名，連同SML度量日志、物理平臺AIK證書發送給PKG，其中PCR[0-8]:TPM_Extend(BIOS…VMM,vTPMM)。

4)PKG:verify(PCR,SML)==TRUE。PKG接收到消息后，向隱私CA查詢AIK證書及確認數字簽名的真實性，比較隨機數的一致性，并將PCR值與SML中記錄值對比，驗證平臺N是否可信，若驗證通過，轉到5)。

6)N→vTPMM:(IDr,Wr,dr)。TPM將PKG返回的信息解密后，和要創建的虛擬機ID一同發送給vTPM管理器。

8)vTPMM→vTPM:(PKr,SKr)。vTPM管理器新建一個vTPM實例，與虛擬機號IDr綁定，并將密鑰交給vTPM。

9)Map(PCR[0-8]→vPCR[0-8])。建立虛擬機，執行vPCR的初始化操作，實現物理PCR值到vPCR值的映射。

4 虛擬機可信證明的執行與驗證

4.1 證明的執行

1)verifier→VMs:nonce，驗證者向虛擬機VMs發送一個隨機數并發起證明挑戰；

2)虛擬機VMs以身份集LID={ID1,ID2, …,IDn}(對應n個用戶成員U={U1,U2, …,Un})為環組員集，對虛擬機vPCR，nonce值進行環簽名，與之對應的公鑰集合PK={PK1,PK2, …,PKn}。證明者為其中的環成員Us(s∈{1,2,…,n})，M=vPCR‖nonce。簽名過程如下：

檢驗等式gds=WsuH1(IDs,Ws)modp是否成立，成立的話簽名繼續，否則過程終止；

證明者Us選擇a∈Zq，計算

當Rs=Ri或Rs=1時，重復此步驟；

3)VMs→verifier:(vSML,U,M,R1,R2,…,Rn,h1,h2,…,hn,σ)，虛擬機將vSML、簽名消息一并發送給驗證者。

4.2 證明的驗證

當驗證者收到證明消息時，對vSML進行TPM_Expand操作，驗證vPCR，nonce值與M是否相等，若驗證通過，對i∈{1,2,…,n}計算出hi=H2(U,M,Ri)；

5 方案分析

5.1 安全性分析

5.1.1 正確性分析

定理1 無證書可信環簽名方案是正確的。

證明

5.1.2 無條件匿名性分析

定理2 簽名方案的構造具有無條件匿名性、不可偽造性。

5.1.3 抗共謀性和不可偽造性

方案在證明準備階段時由PKG和VM共同生成vTPM密鑰對，無證書環簽名的方法使得VM對驗證者和PKG都是匿名的，因此驗證者無法與PKG串謀得到VM的身份，另外由于簽名的不可偽造性，因為只有PKG授予的簽名密鑰才能生成有效的環簽名，VM也無法與PKG合謀欺騙驗證者，故方案具有抗共謀性。

5.2 性能分析

在CPU為2.0GHz、內存為16GB、操作系統為64位的ubuntu15.10server的浪潮服務器上進行實驗，在KVM虛擬化平臺上建立兩個GuestOS為ubuntu15.10desktop的虛擬機和一個GuestOS為windowsXP的虛擬機，分別作為證書密鑰中心(同時充當隱私CA和PKG)、證明方和驗證者，通過指令在證明方虛擬機中生成/dev/vtpm0對外提供證明服務，環成員數量為30，用python2.7作為環簽名編程實現語言，簽名驗證結果如圖4所示。

圖4 環簽名驗證結果

本文方案中物理TPM完成證明虛擬平臺底層環境的安全狀態后，才允許PKG為要建立的vTPM生成無證書密鑰對，實現了虛擬機環境與物理平臺之間狀態的綁定。無證書環簽名方法使得vTPM密鑰在遷移時不需要重新生成，過程中不需要物理平臺EK證書的參與，且在證明時能夠很好地實現匿名性，因而遷移時只要目的主機向源主機提供可信性證明，虛擬機中vTPM完成vPCR值的重映射，虛擬機即可在遷移后的目的平臺上再次使用，在此過程中不需要重新生成無證書密鑰對。運算效率方面，假設n是環成員的個數，E表示Zp上一次模指數運算，R表示一次RSA加密或解密運算，H表示一次散列函數運算，P表示一次雙線性對運算，RSA加密或解密運算本身就是模指數運算，同等規模的散列函數運算相對模指數運算耗時要少很多，一次雙線性對運算相當于上百次的指數運算。本文方案與其他環簽名算法對比情況如表1所示，本文方案不需要進行雙線性對運算，簽名和驗證階段計算量與文獻[9]相當，驗證效率明顯優于其他兩種方案。另外環簽名密鑰建立在物理平臺的可信狀態之上，并非通過某個證書生成，一旦生成后可長期有效。

表1 方案對比

6 結語

為提高虛擬機對外證明的效率，本文基于無證書簽名和環簽名的思想，提出了無證書環簽名的虛擬機可信證明方案。方案中虛擬機的證明私鑰由用戶和PKG共同生成，解決了證書機制中的管理和安全問題，通過環簽名算法實現證明過程的無條件匿名，虛擬機在每次證明時不需要重復生成證明密鑰，遷移后原有的密鑰仍可以繼續使用。性能分析說明了方案具有很強的安全性、抗共謀性和不可偽造性，很好地滿足了虛擬化環境對外進行可信證明的需求。

)

[1]MITCHELLCJ.TrustedComputing? [M/OL].IETDigitalLibrary, 2005: 11-27 [2015- 05- 22].http://digital-library.theiet.org/content/books/10.1049/pbpc006e_ch1.

[2]GARFINKELT,PFAFFB,CHOWJ,etal.Terra:avirtualmachine-basedplatformfortrustedcomputing[J].ACMSIGOPSOperatingSystemsReview, 2003, 37(5): 193-206.

[3]SANTOSN,GUMMADIKP,RODRIGUESR.Towardstrustedcloudcomputing[C]//HotCloud’09:Proceedingsofthe2009ConferenceonHotTopicsinCloudComputing.Berkeley,CA:USENIXAssociation, 2009:ArticleNo.3.

[4] 施光源,張建標.可信計算領域中可信證明的研究與進展[J].計算機應用研究,2011,28(12):4414-4419.(SHIGY,ZHANGJB.Researchanddevelopmentoftrustworthinessattestationintrustedcomputing[J].ApplicationResearchofComputers, 2011, 28(12):4414-4419.)

[5]BRICKELLlE,CHENL,LIJ．Anewdirectanonymousattestationschemefrombilinearmaps[C]//ProceedingsoftheFirstInternationalConferenceonTrustedComputingandTrustinInformationTechnologies,LNCS4968.Berlin:Springer-Verlag, 2008: 166-178.

[6]BENDERA,KATZJ,MOSSELLIR.Ringsignatures:strongerdefinitions,andconstructionswithoutrandomoracles[J].JournalofCryptology, 2008, 22(1):114-138.

[7]BONEHD,GENTRYC,LYNNB,etal.Aggregateandverifiablyencryptedsignaturesfrombilinearmaps[C]//EUROCRYPT’03:Proceedingsofthe22ndInternationalConferenceonTheoryandApplicationsofCryptographicTechniques,LNCS2656.Berlin:Springer-Verlag, 2003: 416-432.

[8]LIUJ,ZHAOJ,HANZ.Aremoteanonymousattestationprotocolintrustedcomputing[C]//IPDPS2008:Proceedingsofthe2008IEEEInternationalSymposiumonParallelandDistributedProcessing.Piscataway,NJ:IEEE, 2008: 1-6.

[9] 楊紹禹,王世卿,郭曉峰.一種基于環簽名的跨域云服務資源遠程證明方法[J].小型微型計算機系統,2014,35(2):324-328.(YANGSY,WANGSQ,GUOXF.Ring-signaturebasedremoteattestationforcross-realmresourcesincloudcomputing[J].JournalofChineseComputerSystems, 2014, 35(2): 324-328.)

[10]NINGZ-H,JIANGW,ZHANJ,etal.Property-basedanonymousattestationintrustedcloudcomputing[J].JournalofElectricalandComputerEngineering, 2014, 2014:ArticleID687158.

[11]BERGERS,CCERESR,GOLDMANKA,etal.vTPM:virtualizingthetrustedplatformmodule[C]//USENIX-SS’06:Proceedingsofthe15thConferenceonUSENIXSecuritySymposium.Berkeley,CA:USENIXAssociation, 2006, 15:ArticleNo.21.

[12]STUMPFF,BENZM,HERMANOWSKIM,etal.Anapproachtoatrustworthysystemarchitectureusingvirtualization[C]//ATC’07:Proceedingsofthe4thInternationalConferenceonAutonomicandTrustedComputing,LNCS4610.Berlin:Springer-Verlag, 2007: 191-202.

[13] 王麗娜,高漢軍,余榮威,等.基于信任擴展的可信虛擬執行環境構建方法研究[J].通信學報, 2011,32(9):1-8.(WANGLN,GAOHJ,YURW,etal.Researchofconstructingtrustedvirtualexecutionenvironmentbasedontrustextension[J].JournalonCommunications, 2011, 32(9): 1-8.)

[14] 劉金成.無證書數字簽名方案的研究[D].西安：西安理工大學,2009：42-48.(LIUJC.Reasearchoncertificatelesssignatureschemes[D].Xi’an:Xi’anUniversityofTechnology, 2009： 42-48.)

ThisworkispartiallysupportedbytheNationalHighTechnologyResearchandDevelopmentProgram(863Program)ofChina(2015AA016002).

RONG Xing, born in 1986, Ph.D.candidate.His research interests include information security, cloud computing.

ZHAO Yong, born in 1980, Ph.D., lecturer.His research interests include trusted computing, network security.

Trustworthiness attestation scheme for virtual machine based on certificateless ring signature

RONG Xing1,2, ZHAO Yong2

(1.InformationEngineeringUniversity,ZhengzhouHenan450004,China;2.CollegeofComputerScience,BeijingUniversityofTechnology,Beijing100124,China)

Due to the complexity and dynamic behavior in virtual environment, the efficiency is low when adopting traditional methods to prove the secure state of virtual machines.Ring signature has high computational efficiency and strong anonymity, so the the key management can be solved by using the certificateless public key system.A trustworthiness attestation scheme which adopted certificateless ring signature scheme in Virtual Machine (VM) was put forward.After the trusted physical environment of virtual platform was validated by the Private Key Generator (PKG), the virtual Trusted Platform Module (vTPM) signature key was generated by PKG and vTPM manager using certificateless signature algorithm, and the ring signature was employed by VM to perform remote attestation and hide attestor’s identity in ring members, which realized the attestation of VM’s anonymous identity and state.After completion of the proof preparation, the VM does not need to generate virtual Attestation Identity Key (vAIK) certificates repeatedly in the process of attestation and migration, thus greatly improving the efficiency of attestation.Consequently, the proposed scheme has strong security and anonymity, and it is suitable for the cloud computing environment with huge numbers of VMs.

Virtual Machine (VM); trustworthiness attestation; certificateless public key system; ring signature; cloud computing

2016- 09- 06;

2016- 09- 30。 基金項目:國家863計劃項目(2015AA016002)。

榮星(1986—)，男，安徽合肥人，博士研究生，主要研究方向：信息安全、云計算； 趙勇(1980—)，男，山西左權人，講師，博士，主要研究方向：可信計算、網絡安全。

1001- 9081(2017)02- 0378- 05

10.11772/j.issn.1001- 9081.2017.02.0378

TP309.7

A