虛擬平臺環境中一種新的可信證書鏈擴展方法

譚良，齊能，胡玲碧

（1. 四川師范大學計算機科學學院，四川 成都 610101；2. 中國科學院計算技術研究所，北京 100190）

1 引言

IT資源服務化是云計算中最重要的外部特征[1-4]，云端虛擬平臺包括物理硬件層、虛擬化管理層和客戶虛擬機層，其中，客戶虛擬機是資源服務化的直接依托環境。因此，云端虛擬平臺和客戶虛擬機的可信是云安全中最為核心的問題，是解決云租戶與云服務提供商之間相互信任的基礎[5-9]。文獻[5-9]均認為，解決云端虛擬平臺和客戶虛擬機的可信問題是推動云計算在更廣的范圍內擴展、沿拓的重大安全問題。而可信計算[10-11]是保障計算平臺可信的基礎手段，它通過提供數據保護、身份證明以及完整性測量、存儲與報告等功能以提高計算平臺整體的可信性。因此，將可信計算技術融入云端虛擬平臺已成為云安全研究領域的一大熱點[12-16]，其中，可信平臺模塊（TPM, trusted platform model）的虛擬化是可信計算和虛擬化結合的關鍵技術之一[17-24]。

目前，TPM的虛擬化可以采用3種方式：軟件仿真型TPM虛擬化、硬件共享型TPM虛擬化和聚合型TPM虛擬化。所謂軟件仿真型TPM虛擬化，就是指虛擬平臺為每一個需要為用戶提供可信執行環境的虛擬機創建一個軟件仿真型虛擬TPM實例。所謂硬件共享型TPM虛擬化，就是各虛擬機分時訪問物理TPM。所謂聚合型TPM虛擬化，即在一個TPM 內聚合出多個 TPM 虛擬功能（VF, virtual function）——vTPM，然后將 vTPM 直接分配或調度給需要的客戶虛擬機使用。TPM無論采用何種虛擬化方式，均需向虛擬機提供一個具有TPM功能的邏輯實體——vTPM。在云環境中，通過vTPM為客戶虛擬機提供可信保障，使每個客戶虛擬機在邏輯上都能擁有單個“獨有”的TPM，就像擁有一個真實的物理 TPM 一樣。客戶虛擬機環境可以使用vTPM提供的度量、存儲和報告等功能，特別是可通過vTPM的完整性校驗功能實現客戶虛擬機環境的信任鏈傳遞，也可通過vTPM的數據保護功能實現客戶虛擬機數據的密封存儲，還可通過vTPM的遠程證明功能實現客戶虛擬機環境的身份證明。

然而，在虛擬環境下，當客戶虛擬機進行遠程證明時，不僅需要向挑戰者證明頂層虛擬機環境的可信，還必須向挑戰者證明底層虛擬平臺的可信，因此，必須建立從物理TPM到vTPM的證書鏈，構建物理平臺、虛擬平臺到客戶虛擬機平臺的綁定關系[17]。目前，在如何將底層物理TPM 的證書鏈擴展延伸到虛擬機方面已有多種方案，包括vTPM vEK to hTPM AIK Binding[17]、TPM AIK signs vTPM vAIK[17]、vEK Certificate Signing CA[17]、vTPM vEK to hTPM EK Binding[25]、vTPM vAIK to hTPM SK Binding[26]和 hTPM EPS Product vEK[27]等，但以上這些方面均不完善，有的方案存在違背 TCG規范的情況，有的方案增加密鑰冗余，有的方案增加Privacy CA的性能負擔，有的方案甚至不能進行證書信任擴展。

針對這一問題，本文提出了對應的解決方案，并通過實驗驗證其功能，具體實現思路及實驗方案將在后續篇章做詳細介紹。

2 相關工作

所謂vTPM的證書信任擴展，是指如何將物理TPM的證書信任關系擴展到vTPM，構造TPM到vTPM的證書信任鏈關系。

目前，國內外對vTPM的證書信任擴展進行了大量研究。文獻[17]在研究中提出了4種構建vTPM證書鏈的設計思路，但最后一種與特殊硬件有關，為不失一般性，本文不討論第4種，只討論前3種。

1) vTPM vEK to hTPM AIK Binding

如圖1所示，此方法中vEK和vAIK均由vTPM產生，vEK由TPM的AIK簽名綁定，vAIK由Privacy CA 的私鑰簽名，驗證方用Privacy CA的公鑰進行驗證。此方法不僅將底層的證書信任擴展到了虛擬機，而且vTPM的證書結構與TPM一致，便于理解和已有成果的移植，但缺點包括2個方面，一是用TPM的AIK對vEK簽名，違背了TCG規范，AIK只能對TPM內部產生的信息進行簽名，而vEK是TPM的外部信息；二是AIK的有效期通常很短，AIK的失效導致對vEK的簽名失效，從而導致vAIK失效，需要頻繁向Privacy CA重新申請vAIK，因此，Privacy CA的性能負擔重。

2) hTPM AIK signs vTPM vAIK

如圖2所示，此方法用TPM的AIK直接對vTPM的vAIK進行簽名，不需要Privacy CA。此方法不僅將底層的證書信任擴展到了虛擬機，而且降低了Privacy CA的負擔。但該方法依賴于TPM的AIK對vAIK簽名，不僅同樣違反了TCG規范，而且AIK的失效同樣會導致其對vAIK的簽名失效，從而會頻繁更新AIK對vAIK的簽名，增加性能負擔。

圖1 vTPM vEK to hTPM AIK Binding

圖2 hTPM AIK signs vTPM vAIK

3) Local CA issue vEK Certificate

即由本地證書機關（注：不是Privacy CA）為vTPM發布vEK，如圖3所示。本文方案的優點是vEK相對穩定，不會隨著底層虛擬平臺和TPM的變化而變化，缺點是不僅需要增加額外的證書機關，而且與TPM沒發生綁定關系，即TPM的可信證書擴展沒有傳遞到vTPM。

文獻[25]提出了vTPM vEK to hTPM EK Binding方案，即vEK由TPM的EK簽名綁定，如圖4所示。這個方案的優點是避免由于AIK的失效導致對vEK簽名的失效，而且與TPM的綁定關系清楚、簡單，將底層的TPM證書信任擴展到了虛擬機。但缺點是違反了TCG規范，即EK證書不能用于簽名。

圖3 Local CA issue vEK Certificate

圖4 vTPM vEK to hTPM EK Binding

另外，為了對上述方案進行改進，文獻[26]提出了vTPM vAIK to hTPM SK Binding方案，即引入了簽名密鑰SK作為中介，實現了AIK對vAIK的間接簽名，使AIK不再對TPM外部數據進行簽名，更好地滿足TCG規范，而且vAIK的生成不依賴于Privacy CA，降低了Privacy CA的負擔，如圖5所示。但該方案不僅增加了生成vAIK證書的復雜性，且沒有解決AIK失效會導致vAIK失效的問題，而重構vAIK需要重新生成SK，從而帶來新的性能負擔。另外，每一個vAIK證書對應一個SK，會產生大量的密鑰冗余。

文獻[27]結合TPM 2.0的新特性，提出hTPM EPS Product vEK方案，如圖6所示。在該方案中，vTPM的身份證書vAIK由EPS推導產生的vEK向Privacy CA驗證生成。文中認為，基于vEK和EPS的映射關系，就能夠較為直接地標識虛擬機中的真實物理身份，建立從物理平臺到虛擬平臺的信任鏈，但實際上是不行的。EPS僅僅是Endorsement Key的基礎密鑰種子，用KDF算法生成Endorsement Key，雖然簡單、容易，但僅僅是生成了vEK的密鑰對而已，不存在信任擴展和傳遞的問題，外界不能通過這個密鑰對的公鑰推導出該公鑰是底層TPM的EPS產生的。vTPM證書信任鏈的擴展仍然需要將EPS產生的vEK的密鑰公鑰、底層虛擬化平臺的簽名信息和vTPM的相關信息傳遞給Privacy CA生成vEK證書，再由vEK證書向Privacy CA生成vAIK來實現。

圖5 vTPM vAIK to hTPM SK Binding

圖6 hTPM EPS Product vEK

從上面的分析可以看出，無論采用什么方式，將底層物理TPM的證書信任關系擴展到vTPM證書均不完善，有的方案存在違背TCG規范的情況，有的方案增加密鑰冗余，有的方案增加Privacy CA的性能負擔，有的方案甚至不能進行證書信任擴展。這將降低用戶使用的方便性和信任度。

3 TPM新證書——VMEK的設計

為了解決以上問題，本文特為 TPM 增加一種可選的新證書——VMEK（virtual machine extension key），該證書由TPM擁有者通過PCA生成并激活，私鑰由SRK保護，不可遷移，可對TPM內和TPM外的數據進行簽名和加密，只用于虛擬機證書信任擴展和虛擬機遷移（或 vTPM 遷移）。由于本文只研究證書信任擴展，因此，在設計 VEMK時不討論遷移問題。

3.1 VMEK證書結構與屬性

TPM 中每種證書均要設定特定操作的數據段信息，包括背書證書、一致性證書、平臺證書、確認證書和身份證書。VMEK證書的數據段如表1所示，包含VMEK公鑰、TPM制造商、TPM模塊、TPM一致性參考、平臺類型、平臺制造商、發布者、簽名值、TPM規范、PCR值、源VMEK證書、有效期、策略參考和其他。

表1 VMEK證書的數據結構

其中，設置PCR值數據段的目的是通過該證書可以驗證虛擬平臺的可信性，通常包含PCR[0]～PCR[15]，源 VMEK 證書數據段存放的是虛擬機遷移之前的虛擬平臺VMEK，設置該數據段的目的是通過該證書回溯原虛擬平臺。

VEMK密鑰具有不可遷移性，在加密方面，具有與存儲密鑰相同的作用；在簽名方面，具有與簽名密鑰相同的作用。具體比較如表2所示。

表2 VMEK證書的密鑰屬性與簽名密鑰和存儲密鑰的比較

3.2 VMEK證書與TPM其他證書之間的關系

表3是VMEK與背書證書、一致性證書、平臺證書、確認證書、AIK證書和 VMEK證書這 6種證書的比較。

VMEK證書與EK證書、平臺證書和一致性證書之間還存在著一定的相互聯系和相互制約關系，具體如圖7所示。

VMEK證書包括EK證書里的信息，如 TPM制造商、TPM 模塊等；VMEK證書也包括平臺證書里的信息，如平臺類型、平臺制造商等；VMEK證書還包括一致性證書。VMEK證書并不涉及EK公鑰部分、平臺證書公鑰部分、一致性證書公鑰部分等的私有敏感信息。

3.3 VMEK證書管理

VMEK證書管理包括2個方面的內容，一方面是VMEK證書的生成和使用，另一方面是VMEK證書的存儲。

對于 VMEK證書的生成和使用，本文定義 4個接口，分別是 TPM_CreateVMEKKeyPair、TPM_ActiveVMEK、TPM_VMEKLoad和TPM_VMEK_Signing。特別需要說明的是，為了節省篇幅和便于理解閱讀，接口中出現的類型、符號常量等與TPM規范一致。敘述中只定義與VMEK相關的接口和關鍵數據結構。

表3 TPM中證書功能比較

圖7 VMEK證書與其他證書之間的關系

定義1 TPM_Result TPM_CreateVMEKKeyPair (

TPM_ENCAUTH *VMEKAuth, //輸入參數，VMEK的加密授權數據

TPM_CHOSENID_HASH *labelPrivCADigest,//輸入參數，PCA身份標簽摘要

TPM_KEY *VMEKKeyParams, //輸入參數，VMEK密鑰的所有相關參數

TPM_AUTH *auth1, //輸入輸出參數，授權協議參數1

TPM_AUTH *auth2, //輸入輸出參數，授權協議參數2

TPM_KEY *VMEKKey, //輸出參數，創建的VMEK密鑰對

UINT32 *VMEKBindingSize, //輸出參數，用VMEK簽名的內容長度

BYTE **VMEKBinding //輸出參數， VMEK對TPM_VMEK_CONTENTS的簽名值

)；

該接口用于創建 VMEK公私鑰對（長度至少是2 048 bit）。如果執行成功，返回TPM_SUCCESS；否則，返回 TPM錯誤代碼。具體流程如圖 8所示。

首先，TPM owner使用TPM_Create VMEKKeyPair命令生成一對VMEK公私鑰對（長度至少是2 048 bit），同時產生一個TPM_VMEK_ CONTENTS結構，該結構中包括剛生成的VMEK的公鑰部分以及TPM的一些標識信息。然后，使用 VMEK的私鑰部分對剛產生的TTPM_VMEK_ CONTENTS進行簽名。最后，將簽名值、TPM_VMEK_CONTENTS、背書證書、平臺證書和一致性證書等一起發送給一個Privacy CA并等待其接受請求后生成VMEK證書，而VMEK的私鑰部分則通過SRK加密保存在TPM內部。

其中，TPM_VMEK_CONTENTS定義如下。

struct TPM_VMEK _CONTENTS {

TPM_STRUCT_VER ver;//版本

UINT32 ordinal; //序號

TPM_CHOSENID_HASH labelPrivCADigest;// PCA身份標簽摘要

TPM_PUBKEY VMEKPubKey; //VMEK公鑰

}；

圖8 TPM_CreateVMEKKeyPair接口實現流程

隨后，Privacy CA產生一個會話密鑰，并使用這個密鑰對剛生成的 VMEK證書進行加密，然后使用用戶TPM的EK公鑰對該會話加密，產生一個TPM_ASYM_CA_ ATTESTATION結構，其中，包括被加密的會話密鑰、被加密的證書以及一些加密算法參數等。最后，Privacy CA將TPM_ASYM_CA_ATTESTATION發送給TPM。

定義2 TPM_Result TPM_ActiveVMEK (

TPM_KEY_HANDLE VMEKKeyHandle, //輸入參數，VMEK密鑰句柄

UINT32 blobSize, //輸入參數，來自PCA的TPM_SYM_CA_ATTESTATION的長度

BYTE *blob, //輸入參數，來自 PCA的TPM_SYM_CA_ATTESTATION

TPM_AUTH *auth1, //輸入輸出參數，授權協議參數1

TPM_AUTH *auth2, //輸入輸出參數，授權協議參數2

TPM_SYMMETRIC_KEY *symmetricKey //輸出參數，和PCA交互的會話密鑰

)；

該接口的主要作用是獲取 VMEK證書，并激活。如果執行成功，返回TPM_SUCCESS；否則，返回TPM錯誤代碼。具體流程如圖9所示。

圖9 TPM_ActiveVMEK實現流程

首先，TPM owner驗證從 PCA接收到的TPM_VMEK_CA_ATTESTATION是否為當前自己申請的VMEK證書結構；然后，使用自己的vEK私鑰解密加密證書的會話密鑰；最后，使用該會話密鑰解密證書密文，獲得VMEK證書。

定義3 TPM_Result TPM_VMEKLoad (

TPM_KEY_HANDLE SRKHandle, // 輸入參數，SRK的密鑰句柄

TPM_KEY *inVMEK, //輸入參數，VMEK的私鑰和公鑰部分

TPM_AUTH *auth1, //輸入輸出參數，授權協議參數

TPM_KEY_HANDLE *inVMEKHandle, //輸出參數，TPM內部的VMEK句柄

)；

該接口的主要作用是加載VMEN私鑰到TPM內。如果執行成功，返回TPM_SUCCESS；否則，返回TPM錯誤代碼。具體流程如圖10所示。

圖10 TPM_VMEKLoad實現流程

首先，確保執行此操作是經過授權的；然后，驗證準備加載的密鑰的父密鑰是否是 SRK，并用SRK對該密鑰進行解密；接著，驗證解密后密鑰的屬性；最后，把密鑰裝載到 TPM 內部存儲器，并根據TPM規則給裝載的密鑰分配句柄。

定義4 TPM_Result TPM_VMEK_Signing (TPM_KEY_HANDLE VMEKHandle, //輸入參數，VMEK密鑰句柄

TPM_NONCE *extrnalData, //輸入參數，現時nonce

UINT32 vEKbolb Size, //輸入參數，vEK密鑰長度

TPM_PRIKEY *vEK, //輸入參數，vEK私鑰

TPM_AUTH *auth1, //輸入參數，授權協議參數

UINT32 *sigSize, //輸出參數，簽名值長度

BYTE **sig//輸出參數，簽名值

)；

該接口的主要作用是用VMEK私鑰對vEK簽名。如果執行成功，返回TPM_SUCCESS；否則，返回TPM錯誤代碼。具體流程如圖11所示。

圖11 TPM_VMEK_Signing實現流程

首先，確保執行 TPM_VMEK_Signing操作是經過授權的；其次，確認 VMEK的私鑰是用作簽名的；接著，創建TPM_Sign_INFO結構，記為Q1，并對Q1做hash運算；最后，用VMEK的私鑰對此hash結果簽名，返回簽名結果。

另外，VMEK證書私鑰的存儲和使用如圖 12所示。從圖12可以看出，VMEK私鑰存放在系統存儲區，受SRK保護，TPM owner可以通過相關命令使用VMEK私鑰，應用程序則可以通過TCS使用VMEK私鑰。特別需要指出的是，VMEK的

簽名和加密可以由用戶的應用程序調用實施。

4 基于VMEK的vTPM證書信任擴展

本節主要介紹基于VMEK的證書信任鏈擴展，稱為vTPM vEK to hTPM VMEK Binding方案，并和已有6種方案進行比較。

4.1 vTPM vEK to hTPM VMEK Binding

對于 vTPM 的證書信任擴展，本文采用 hTPM VMEK signs vTPM vEK，即基于VMEK的vTPM證書信任擴展，如圖13所示。該方案首先利用底層TPM的VMEK調用TPM_VMEK_Signing接口對vTPM的vEK簽名，將底層信任傳遞到vTPM，然后再由vTPM調用相關接口和Privacy CA一起生成vAIK。本文方案的實質是用VMEK來替代AIK，有以下2個優點，一是VMEK可以對TPM內外部信息進行簽名，而AIK不能，不存在違反TCG規范的情況；二是相比AIK，VMEK不會頻繁失效，從而不會引起其簽名的失效，因而不會帶來多余的性能負擔。

具體的實施流程如下。

1) TPM首先調用 TPM_CreateVMEKKeyPair生成VEMK密鑰對，然后調用TPM_ActiveVMEK生成VMEK證書，并激活。此步驟TPM owner只需操作一次。

2) 當虛擬平臺產生新的vTPM時，會為vTPM生成vEK，此時TPM調用TPM_VMEK_ Signing對vEK進行簽名，將底層TPM的證書信任擴展到vTPM。

3) vTPM owner調用TPM_MakeIdentity命令生成一對vAIK公私鑰對（長度至少是2 048 bit）。

圖12 VMEK證書私鑰的存儲和使用

4) vTPM owner再調用TPM_ActivateIdentity，獲得vAIK證書。

圖13 vTPM vAIKto hTPM VMEK Binding

4.2 本文方案與其他方案的比較分析

從4.1節可以看出，本文方案由于采用vTPM vEK to hTPM VMEK Binding方式進行證書信任擴展具有以下4個優點。

1) 不存在違背TCG規范的情況。

2) 沒有產生密鑰冗余。

3) 沒有增加Privacy CA的性能負擔。

4) 通過VMEK對vTPM的vEK進行簽名，實現了底層TPM證書信任擴展到vTPM。

vTPM vEK to hTPM AIK Binding與本文方案相比，由于vTPM vEK to hTPM AIK Binding方案用AIK對vEK簽名，存在違背TCG規范中AIK不能對TPM外部信息簽名的要求，另外，AIK容易失效，會導致AIK對vEK簽名的失效，從而導致需重新向Privacy CA申請vAIK，增加了Privacy CA的負擔。而本文方案既不存在違背 TCG規范的情況，也沒有增加Privacy CA的負擔。顯然本文方案優于vTPM vEK to hTPM AIK Binding。

hTPM AIK signs vTPM vAIK與本文方案相比，由于hTPM AIK signs vTPM vAIK方案仍然用AIK對 vAIK簽名，同樣存在違背 TCG規范和增加Privacy CA負擔的問題。顯然本文方案優于hTPM AIK signs vTPM vAIK。

Local CA issue vEK Certificate與本文方案相比，由于Local CA issue vEK Certificate方案采用的是本地證書機關發放vEK證書，與TPM沒發生綁定關系，即 TPM 的證書信任擴展沒有傳遞到vTPM，而本文方案不存在此類不足。

vTPM vEK to hTPM EK Binding與本文方案相比，由于vTPM vEK to hTPM EK Binding方案用EK對vEK簽名，違反了TCG對EK的使用規范，而本文方案不存在此類不足。

vTPM vAIK to hTPM SK Binding與本文方案相比，由于vTPM vAIK to hTPM SK Binding方案需生成SK替代AIK對vAIK簽名，這需要SK與AIK一一對應，當AIK失效時，需要生成新的SK，帶來較大的密鑰冗余，增加了 TPM 的性能負擔，而本文方案不存在此類不足。

hTPM EPS Product vEK與本文方案相比，由于hTPM EPS Product vEK方案僅僅是通過TPM中的種子密鑰ESP產生vTPM的vEK，不存在信任擴展和傳遞的問題，即底層 TPM 的證書信任并沒有通過ESP產生vEK傳遞到頂層的vTPM和虛擬機，而本文方案不存在此類不足。

表4是本文方案與其他6種方案的比較統計結果。

表4 本文方案與其他6種方案的比較統計結果

5 在Xen平臺中的實現

目前，在Xen 4.4.0實現了基于VMEK證書的信任鏈擴展。其中，特權管理域 Domain0為Ubuntu14.04 LTS，客戶虛擬機操作系統為Ubuntu14.04 LTS，并且為保證實驗的可靠性和可操作性，選擇TPM_Emulator-0.7.4對TPM環境進行仿真，TSS軟件棧為最新版本 TrouSerS0.3.14，并結合IBM發布的IBM's TPM 2.0 TSS，對實驗參數進行參考和調整。具體的實驗設備配置如表5所示。

表5 物理平臺（Dom0）和用戶虛擬機（DomU-Ubuntu）配置信息

5.1 VMEK的實現

為了實現VMEK及其管理，對TPM_Emulator-0.7.4和Xen的源碼做出了相應的增加，添加了相關的數據結構及管理接口。限于篇幅，本文僅列出數據結構和接口增加的具體位置，具體實現流程和接口功能描述可詳見第3節和第4節。主要的實現如表6所示。

其中，在實現過程中涉及的一些輔助實現函數本文不再贅述。具體的實現步驟描述如下。

1) 在tpm_emulator-0.7.4/tpm/tpm_structures.h的TPM_KEY_USAGE中新增一種證書類型符號常量。

2) 在tpm_emulator-0.7.4/tpm/tpm_structures.h中添加VMEK證書，結構用于描述VMEK證書。

3) 在tpm_emulator-0.7.4/tpm/tpm_structures.h中定義數據結構TPM_VMEK_CONTENTS。

4) 在 tpm_emulator-0.7.4/tpm/tpm_structures.h中新增函數TPM_CreateVMEKKeyPair、TPM_Active-VMEK、TPM_VMEKLoad和TPM_VMEK_Signing的接口定義。

5) 在 tpm_emulator-0.7.4/tpm/tpm_identity.c和tpm_emulator-0.7.4/tpm/tpm_vmekref.c實現了TPM_CreateVMEKKeyPair、TPM_ActiveVMEK、TPM_VMEKLoad和TPM_VMEK_Signing函數。

6) 在Xen中//xen-4.4.0/xen/include/public/ xen.h，在虛擬機的信息結構體中添加 VMEK的相關標識。

7) 在//xen-4.4.0/stubdom/下的vtpm和vtpmmgr中添加VMEK字段。

至此，TPM_Emulator-0.7.4和 Xen中 VMEK及其管理實現完成。

5.2 基于VMEK的證書信任鏈擴展的實現

在TrouSerS0.3.14中對TPM_CreateVMEKKey Pair、TPM_VMEKLoad、TPM_ActiveVMEK 和TPM_VMEK_Signing進行了封裝。主要實現的接口如表7所示。

表6 VMEK在Xen中的實現

表7 擴展vTPM管理器的TSS接口

其中，VTPM_CreateVMEKKeyPair函數用于在應用層創建 VMEK公私鑰對；VTPM_TPM_VMEKLoad函數用于在應用層獲取VMEK證書，并激活；VTPM_ActiveVMEK函數用于在應用層加載VMEN私鑰到TPM內；VTPM_VMEK_Signing函數用于在應用層用VMEK私鑰簽名。

6 虛擬平臺環境的遠程證明測試

為驗證 VMEK設計和實現的有效性，本節對虛擬平臺環境進行遠程證明測試，主要分 VMEK的生成、VMEK對vEK證書的簽名、vAIK證書的生成和遠程證明中證明方平臺有效性驗證 4個方面。具體的物理平臺配置參考表5。

首先，測試了 VMEK的生成，更改./tpm_emulator-0.7.4/tpm/tpm_testing.c下的測試代碼，測試VMEK的生成，實驗結果如圖14和圖15所示。

圖14 VMEK相關函數測試

圖15 VMEK證書部分內容（加密后）

其次，測試VMEK對vEK證書的簽名，利用TPM_VMEK_Signing()接口函數，對vEK進行簽名，返回執行結果，如圖16所示。

圖16 VMEK簽名vEK測試

第三，vAIK證書的生成時間，并與物理AIK證書的生成時間做對比，其中，物理AIK證書的簽發使用隱私CA測試網站，具體實驗結果如表8所示。

表8 生成AIK證書與vAIK證書時間對比

最后，本節在虛擬計算環境下進行了遠程證明實驗，結果如圖 17所示。該遠程證明采用基于二進制的直接模型，流程如圖18所示。

驗證方通過以下步驟確認證明方平臺的可信性。

1) 通過驗證VMEK對vEK的簽名，可知vAIK是可信的，并且是由vTPM提供的。

2) 通過VMEK對SK的簽名，可知vTPM是可信的，并且是受到物理TPM保護的。

圖17 虛擬平臺下的遠程證明實現

圖18 遠程證明流程

3) 通過驗證VMEK證書，證明物理TPM真實可信。

4) 通過驗證物理平臺的Quote可知，當前虛擬平臺的運行環境（VMM及特權域）是真實可信的。

5)驗證客戶虛擬域Domain U的Quote簽名，以驗證當前虛擬執行環境的可信性。

值得說明的是，在TCG規范中，TPM共定義了5種證書，學術界認為其過于復雜，在我國的可信計算標準規范中，已減少到3種證書。本文又增加了一種新的證書，現任提升了管理的復雜度。不過，本文提出的 VMEK證書主要針對虛擬平臺環境，是一種可選的證書，因此，對非虛擬化平臺環境，只要用戶屏蔽不用，幾乎沒有額外負擔。

7 結束語

通過新增一類證書——VMEK，解決了在虛擬平臺環境中可信證書鏈擴展時存在的違背 TCG規范、增加密鑰冗余或Privacy CA的性能負擔問題。

下一步的工作是將 VMEK應用到 vTPM 或TPM的密鑰遷移中。TPM或vTPM允許其可遷移密鑰從一個平臺遷移到另一個平臺，在遷移過程中，VMEK可以用來確保該可遷移密鑰公鑰的正確性和安全性。