基于可信鏈的虛擬機可信遷移方法

侯 婕,薛 亮,王 陽

(1.海軍研究院,北京 100063;(2.江蘇自動化研究所,江蘇 連云港 222061)

隨著云計算技術的發展,應用場景愈加廣泛,云計算在極大提升資源利用率的同時，還能夠大幅度降低使用成本,且能夠根據需求彈性擴展。但是,云計算技術在帶來便利的同時,也引入了諸多的安全風險,其中以云計算核心技術—虛擬化技術為主要針對目標,虛擬化存在的安全隱患,是目前企業與個人最為關心的云安全問題。

目前，已有的針對虛擬化技術的破壞手段包括虛擬機逃逸攻擊與Rootkit攻擊,針對多租戶模式的攻擊手段包括租戶間攻擊竊取數據,與租戶共謀攻擊造成信息泄露。國內外的主要研究方向在云計算的虛擬化安全、數據安全、應用安全與基礎設施安全等方面,主要研究熱點包含數據機密性保護[1]、隱私保護[2]、存在性證明[3]、訪問控制與安全認證[4]、虛擬化安全[5]等。為了解決虛擬化安全問題,Santos 等人給出了解決方案——TCCP[6]。文獻[7-8]分別利用可信計算技術來構建類似的虛擬可信平臺。該類可信解決方案的弊端在于平臺的安全性集中在TC上,無法抵御TC與用戶或可信節點的共謀攻擊。

采用可信計算思想構建的可信鏈為云環境下解決虛擬化安全問題提供全新的方向。目前已有的虛擬機可信鏈解決方案多采用構建兩條可信鏈(宿主機可信鏈、虛擬機可信鏈)的方式,二者之間缺少安全保護措施保護其可信性,且無法實現虛擬機可信鏈的跨物理主機遷移。

本文為了解決虛擬機在不同物理平臺遷移過程中的可信鏈無法遷移問題,在Hypervisor與虛擬機VM之間增加了vTPM管理中心,通過該管理中心建立從硬件TPM出發到虛擬機上層應用的完整可信鏈。在虛擬機遷移時斷開兩條鏈,將虛擬機可信鏈同虛擬機一起遷移到目標平臺,虛擬機可信鏈與新的目標平臺可信鏈一起重新構成完整可信鏈,完成虛擬機的可信遷移。

1 總體技術方案

基于可信鏈的虛擬機可信遷移方法,核心技術在于可信鏈的構建以及可信鏈的跨物理主機遷移。為了解決可信鏈構建問題需要Hypervisor之上增加一個vTPM管理中心,用于可信存儲vTPM度量列表與vTPM實例。使用硬件TPM中的PCR組密封vTPM度量列表,如若對虛擬機進行操作,均需要宿主機硬件信息的完整才能進行解密封操作。從TPM出發,TPM度量vTPM,vTPM度量上層操作系統以及運行在操作系統之上的程序,從而構建了一條從TPM到虛擬機上層應用的完整可信鏈。

為了解決可信鏈無法跨物理主機遷移問題,可信鏈遷移解決方案將原有完整可信鏈斷開,只遷移虛擬機可信鏈,主要包含平臺可信性認證與可信鏈的遷移和恢復。可信鏈遷移過程涉及兩種底層硬件TPM,因此需要在遷移過程前斷開完整的可信鏈,將虛擬機可信鏈隨虛擬機一起遷移,遷移后再重新建立可信鏈。

2 可信鏈構建方法

完整的可信鏈由宿主機可信鏈與虛擬機可信鏈組成,如圖1所示,其分別是基于TPM的宿主機可信鏈和基于vTPM的虛擬機可信鏈。

圖1 完整的可信鏈

2.1 基于vTPM建立虛擬機可信鏈

當虛擬層開始創建虛擬機時,虛擬層首先向vTPM管理中心發送創建vTPM 實例的指令,創建一個空白的實例,如圖2所示。然后創建虛擬機,虛擬層將虛擬機的模擬硬件信息、系統軟件信息與敏感信息等傳入vTPM空白實例,模擬軟硬件信息寫入對應的PCR0-PCR7與PCR8-PCR15寄存器中,敏感信息、標示信息安全存儲在vTPM內部,然后在vTPM度量表中注冊vTPM實例完整性信息。在VM、vTPM創建完成后,需要初始化vTPM,實現vTPM到VM的點對點可信鏈接。虛擬機的安全可信由vTPM可信鏈提供。

圖2 VM-vTPM可信鏈接

2.2 基于硬件TPM建立宿主機可信鏈接

可信封裝是節點可信存儲數據的一種方式,使用可信節點內部可信根中生成的非對稱不可遷移密鑰的公鑰加密,只有回到該可信節點內才可以用私鑰解密。

vTPM的可信性需要使用硬件TPM來保護。因此需要構建硬件TPM與vTPM之間可信關聯。圖3描述了構建過程。

圖3 TPM-vTPM可信鏈接

在vTPM管理中心內部,生成一個非對稱且不可遷移密鑰K,通過K公鑰加密vTPM度量表,實現可信封裝,同時選擇PCR0-PCR7寄存器對封裝狀態進行度量。選擇PCR0-PCR7寄存器組的原因是因為這八個寄存器存放度量硬件的內容,在系統啟動過程中就把數據寫入進去,系統啟動以后無法被重置,只能夠擴展,如表1所示。該特性使得硬件條件一旦被修改,則寄存器內容被改變且無法復原,可信封裝無法解封。因此，只有在硬件條件不變時,PCR組的值保持不變,才允許能進行解密封(unseal)。此外,任何vTPM實例的操作,包含修改、增加、開啟與關閉,均需要對度量列表文件進行解密封操作,而物理主機上硬件完整性破壞時,其硬件TPM中PCR組值產生變化,解密封操作則無法完成,這樣就構建起可信關聯,保證了可信虛擬機運行環境的安全可信。

表1 硬件PCR組

3 基于可信鏈的虛擬機可信遷移

云計算一個顯著的特點就是業務可以依據負載隨時進行均衡調度,因此，經常涉及虛擬機跨平臺遷移操作。在本方案中,遷移部分包含虛擬機遷移與可信鏈遷移兩部分。若遷移目標主機已建立可信運行環境,則遷移流程為:1)認證雙方平臺的可信性;2)遷移可信虛擬機及可信鏈;3)恢復可信虛擬機,同時在目標主機上恢復可信鏈。為保障遷移過程的安全,需要確保可信虛擬機遷移的目標主機是可信主機,這需要第三方認證中心CA的介入。由于本地可信計算平臺和遠程可信計算平臺的可信硬件基礎(TPM)不同,虛擬機遷移必然破壞原主機平臺的可信基礎,因此要在虛擬機可信遷移之前,解除本地可信計算平臺的vTPM與TPM 的關聯。在虛擬機可信遷移之后,在遠程可信計算平臺上恢復vTPM與TPM的關聯,重構可信鏈,完成可信鏈的跨物理主機遷移。

3.1 平臺身份認證

平臺身份認證需要一個雙方都認可的CA作為可信第三方認證中心,認證中心存儲每一個可信計算平臺的EK公鑰,用于后續的用戶身份認證。本地與遠程平臺均有CA公鑰證書,使用CA公鑰證書本地和遠程平臺均可驗證CA簽發證書的合法性。本地可信計算平臺身份驗證如圖4所示,同理可以驗證遠程可信計算平臺的身份。

圖4 本地計算平臺身份驗證

1)本地平臺生成與身份相對應的AIK,AIK作為非對稱密鑰,私鑰存放在可信根中且不可遷移。平臺用戶使用AIK生成可信報告,向外界證明當前可信根的寄存器狀態以及可信根中密鑰的相關信息。

2)本地可信計算平臺申請AIK證書,CA使用EK公鑰加密發放的AIK證書,證書包含AIK公鑰信息以及AIK綁定的用戶與平臺信息。

3)遠程平臺使用CA公鑰證書驗證AIK公鑰證書的合法性,驗證以后提取里面包含的AIK公鑰、用戶與平臺信息,并確認三者的綁定關系。

4)本地可信平臺發送可信報告,里面包含AIK簽發的本地可信根生成密鑰公鑰的報告,遠程平臺使用AIK證書驗證,確認PCR數值與密鑰的可信性,PCR數值與可信度量值進行比對,讓遠程用戶能夠判斷本地平臺當前的可信狀態;密鑰的可信性讓遠程用戶確認該密鑰由可信根生成且私鑰無法取出,從而讓遠程用戶信任基于該密鑰的加密/簽名行為。

3.2 密鑰可信性證明

可信根內部生成一個非對稱加密的可遷移密鑰K,為了讓遠程用戶相信該密鑰K為可信根內部生成且私鑰僅存在于可信根內部,需要對該密鑰K進行可信證明,證明過程如圖5所示。

在可信根內部生成關于K的可信報告,報告中含有K公鑰摘要值以及其他一些屬性。因為是在可信根內部生成,即使可信根屬主也無法篡改。

報告由AIK密鑰簽名,將簽名與證明發送至遠程可信計算平臺。

可遷移密鑰K的公鑰無法明文導出,只可以密文方式導出,因此，需要遠程可信計算平臺可信根生成非對稱加密密鑰K1,將K1的公鑰使用簽名發送給本地可信計算平臺,本地可信計算平臺驗證簽名的完整性并提取出公鑰K1。

圖5 密鑰可信性證明

遠程用戶使用AIK公鑰驗證簽名的完整性,確認報告的出處與可信性;對比報告中的摘要值與實際獲得的公鑰K摘要值,確認公鑰K與可信證明的一致性。

3.3 虛擬機可信遷移

在虛擬機及vTPM跨物理主機遷移過程時,容易遭受攻擊者通過偽造目標主機實施的主機欺騙攻擊。針對上述安全隱患,同時為了保護vTPM的完整性和新鮮性,設計了圖6所示的虛擬機(VM)可信遷移示意圖。

經過一、二兩步,本地可信計算平臺獲得了遠程可信計算平臺TPM內部生成的可遷移密鑰K的公鑰以及密鑰K的可信證明,并且確信K的私鑰僅存在于遠程可信計算平臺的硬件TPM內部,無法導出,因此解密操作只能在TPM內部完成。

1)驗證本地可信計算平臺TPM的PCR0-PCR7寄存器的值,解封(unseal)vTPM度量表。

圖6 虛擬機與vTPM可信遷移

2)鎖定VM示例、vTPM實例,對VM做摘要,與vTPM度量表中的摘要、本地時間戳組合一起使用帶有身份信息的AIK密鑰簽名作為Token,傳送給遠程可信計算平臺。

3)將VM、vTPM實例使用公鑰K加密,傳送給遠程可信計算平臺。

4)遠程可信計算平臺使用AIK公鑰驗證簽名Token,獲得VM、vTPM摘要值以及時間戳;使用私鑰K解密數據包獲得VM、vTPM實例。驗證時間戳可以保證可信遷移的時效性;驗證簽名保證數據來源的可靠性;驗證摘要值保證數據傳輸的安全性與一致性。

3.4 可信鏈遷移與重構

虛擬機遷移后,需要遷移可信鏈至遠程可信計算平臺,同時在遠程可信計算平臺重構可信鏈,如圖7所示。本地可信計算平臺的vTPM度量表刪除對應注冊值,刪除對應的vTPM實例,且使用PCR寄存器重新加密密封vTPM度量表。遠程可信計算平臺完成對Token的簽名驗證,提取的摘要值加入vTPM度量表,使用密鑰解密數據包并驗證VM與vTPM信息的完整性與可信性。vTPM加入實例列表,VM完成遷移,三者之間一一對應的關系沒有改變,完成可信鏈的遷移,下一步則需要完成可信鏈重構，從而保障一條完整的可信鏈。使用遠程可信計算平臺的PCR寄存器組實現對更新以后的vTPM度量列表可信封裝與密封操作。新的從硬件TPM-vTPM-VM可信鏈完成。

圖7 可信鏈遷移與重構

4 結束語

云計算采用的虛擬化技術,使得傳統的安全邊界消失,以及服務的動態性等特點,使得傳統的安全措施難以解決現有問題。可信計算的尋根溯源、從根出發的理念,能夠很好地解決一些云計算虛擬化技術帶來的諸多安全問題。隨著可信計算3.0的提出,可信計算不再是一項具體的產品,而是一種理念和新興計算模式。本文在虛擬機遷移方面引入可信計算,做出相關研究,但虛擬機遷移僅僅是虛擬化安全的一小部分,如果全方位保護虛擬化安全,還需要構建一套可信虛擬機的全生命周期防護體系,建立一個可信虛擬機全生命周期的防護,從虛擬機創建開始,到存儲、運行、遷移、撤出、銷毀,整個過程中都有相應的可信安全機制去保證虛擬機狀態的安全可信。