面向云计算模式动态可信平台模块研究

杨峰

摘要：在当前云计算模式下，云服务器并不能向客户证明其充分可信，也不能自我证明其自己的安全性，为了增强云服务器的可信性，该文提出了一种面向云计算模式的动态可信平台模块构造方法，在可信平台模块的基础上，使用虚拟隔离技术构建动态虚拟可信平台模块（Dynamic virtual Trusted Platform Module：DVTPM），实现信任链在虚拟机中的延伸，虚拟机可以有效地利用TPM提供的相关功能，从而达到提高云服务器可信性，保护客户数据的目的，同时使用通用可组合协议分析方法论述了该模型的安全性，并且在XEN平台下构建了云计算模式下动态虚拟可信平台模块构。

关键词：云计算；可信计算；动态虚拟可信平台模块；通用可组合协议

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2015）25-0172-04

1 引言

2006年亚马逊首先推出了弹性计算云EC2（Elastic Computing Cloud）和简单存储服务S3（Simple Storage Service）[1]，企业可以根据其自身的特点购买其计算和存储服务。随后，Google，微软以及IBM相继推出自己的云计算模式，Google推出了GFS、Map Reduce和Bitable[2]， IBM推出了“蓝云”云计算平台[3]。微软于2008年10月推出了Windows Azure[4]操作系统。Azure通过在互联网架构上构建云计算平台，让Windows真正由PC延伸到互联网上。

云计算以互联网为中心，提供安全、快速、便捷的数据存储和网络计算服务，让互联网成为每一个用户的数据中心和计算中心，云计算模式中，用户所需的应用程序并不运行在用户的个人计算机、手机等终端设备上， 而是运行在互联网上大规模的服务器集群中。云计算可包括IaaS、PaaS和SaaS三个层次的服务[5]，云计算以互联网为中心具有虚拟化、通用性、高可扩展性、按需服务、数据共享方便等特点。

云计算给用户带来巨大方便的同时，同时产生了相应的安全问题。云服务是从云计算实体化而来的，用户的程序和数据存储将全部转移到“云” 里。也就是说用户的应用程序并不需要运行在用户的个人电脑、PDA等终端设备上，而是运行在云端服务器中，用户所处理的数据也并不存储在本地，而是保存在云的数据中心，通常，用户都希望自己所存放的数据时私密的，是把数据交给云服务器之后，数据掌控者的已不再是用户本身，而是云服务商，理想状态下云服务商不应具备查看、修改、删除、泄露这些数据的权利，但实际操作中却具有这些操作的能力。如此一来，就不能排除数据被泄露出去的可能性。除了云服务商之外，还有大量黑客们觊觎云计算数据，同时互联网上充斥着大量的病毒木马以及恶意程序，甚至只需一个账号便可打开所有程序和数据。

简而言之，当前用户并不能充分信任云服务器，同时云服务器也不能自我证明其自己的安全性，为了增强云服务器的安全性，本文提出了一种云服务器动态可信平台模块构造方法，在可信平台模块的基础（Trusted Platform Module）之上，使用虚拟隔离技术构建动态虚拟可信平台模块（Dynamic virtual Trusted Platform Module：DVTPM）同时采用无干扰信任链传递机制，从而达到提高云服务器可信性，保护客户数据的目的， 本文第2节介绍可信计算关键技术以及相关理论；第3节提出云计算模式下动态可信平台模块的构建模型；4节基于虚拟机实现了一个非传递无干扰原型系统；第5节给出结论和下一步研究重点。

2 相关研究

1）可信平台模块（Trusted Platform Module）

TPM的架构如图所示：

TPM由计算引擎、非易失性存储器、输入/输出模块、随机数产生器、RSA计算引擎、SHA-1计算引擎、平台配置寄存器（Platform Configuration Register， PCR）和嵌入式操作系统等部件组成。TPM的嵌入式系统支持TPM规范所制定的功能，接收相关的参数，然后返回相应的处理结果。

2）虚拟化可信平台模块技术

当前可信平台模块虚拟化技术分为三种，分别为TPM软件虚拟化，TPM硬件环境扩展虚拟化[7]，TPM的半虚拟化[8]。TPM通过扩展TPM环境上下文实现硬件环境扩展虚拟化；TPM半虚拟化方式需要更改少数的设备接口；而TPM虚拟化通过软件的形式则更接近于真实硬件TPM，而且TPM软件虚拟化与硬件平台无关。因此，目前大多数应用主要采用软件式TPM虚拟化方式[9]-[12]。

当前软件TPM软件虚拟化技术取得了巨大的进展，比较有代表性的包括瑞士苏黎士技术联合研究所[10]的软件式TPM模拟器、Berger[11]提出的多映像TPM虚拟化方法以及Frederic[12]提出的可信虚拟平台构建方案，瑞士苏黎士技术联合研究所的方案虽然实现了TPM的绝大部分功能，但TPM模拟器仅面向单个平台环境，并不能虚拟出多个TPM以供每个虚拟机专用；Berger在此基础上，提出了TPM虚拟化的方法，能够将一个物理TPM映射成多个vTPM（virtual TPM），Berger提出了四种构建vTPM证书链的设计思路，但他并没有做出进一步的实现。随后，Frederic提出了一种构建可信虚拟平台方案，并实现了vTPM和物理TPM的绑定以及vTPM证书链的构建，但该方案在构建证书链的过程中直接采用物理平台的身份证明密钥AIK（Attestation Identity Key，AIK）证书对虚拟平台的vAIK（virtual AIK）进行签名操作，与TCG的TPM Main规范中AIK密钥只能进行密钥认证（Certify）与引证（Quote）操作相冲突，因而可能存在兼容性问题。

3）Xen虚拟技术

Xen是运行于X86上的遵循GNU许可的开源VMM，它支持多个客户操作系统（Operation System，OS），性能接近直接在硬件上运行的操作系统和支持隔离性以及同时运行。Xen直接运行在硬件上，并采用了半虚拟化技术 ，要求对客户OS进行修改，但不要求改变系统调用接口，结果应用程序不需要修改。

3 DVTPM在云端服务器的实现

本文在基于开源的虚拟机监视器（VMM）系统Xen[13]上.实现了一个云计算可信环境的实例，首先在云端服务器将一个物理TPM映射成多个DVTPM，DVTPM可为每个虚拟机提供一个专用的基于软件的信任根；同时为了使DVTPM具备远程证明等能力，实现了DVTPM和物理TPM的绑定。

在云服务器使用XEN平台实现DVTPM，XEN为每一个用户创建一个DVTPM，用户以DVTPM为基础构建可信虚拟环境，下图XEN服务器位用户创建DVTPM的示意图，DVTPM实例与客户虚拟机一一对应，为用户提供绑定、密封、密钥存储等一系列与物理TPM 相同的功能。DVTPM 永久存储区（Persistent Storage， PS）用来保护每个DVTPM 实例的状态结构DVTPM-SS（vTPM State Structure），其中保存了DVTPM 的永久状态信息。DVTPM管理器负责DVTPM实例的创建与管理，为客户虚拟机与DVTPM 实例间以及DVTPM 实例与物理TPM 间提供了通信信道。虚拟TPM 管理器便会产生一个DVTPM实例并将其与新建的虚拟机关联。它通过监听虚拟TPM驱动的后端（Back-End），将来自虚拟机的TPM命令转发至与它相关联的DVTPM实例中。

DVTPM创建流程可以描述如下：

假设[XEN]总共需要创建和启动[N]个虚拟机，标记为[VM1，VM2........VMn]， 为方便起见， 每个用户的服务单独运行在一个由[DVTPM]为可信基的虚拟机中，Xen为这些虚拟机提供隔离。

（1）Xen作为通信介质，作为用户和用户的虚拟机，以及[DVTPM]和[TPM]之间通信的桥梁。

（2）每个VM 都有一个虚拟网络接口， 被称为XenVMNIC，用于和用户进行通信

（3）各[VM]通过其XenVMNIC互联成一个计算机网络，称为XenVMNet。

（4） [VM]有两个虚拟网络接口：一个是连接Xen的宿主机的网络接口，该接口用于和TPM通信；另一个是XenVMNIC，与其他[VM]相连。

4 动态可信平台模块的构建模型

4.1 模型描述

传统的可信计算是在用户终端上构建可信环境，而在云计算模式下，用户不需要在本机构建可信环境，可信环境在云端构建，当用户使用云服务的时候，云服务器给用户动态的建立一个可信环境，当用户服务结束，云服务器撤销用户在云端可信环境，在这个过程中云端服务器不应具备查看、修改、删除、泄露用户数据的权利，云服务器应该仅仅是一个管理者，只能为用户建立和撤销用户的可信环境，因此每个用户的可信执行环境逻辑上应该相互隔离，而每个用户当且仅当通过安全的数据链路访问其自身的可信执行环境，该执行环境如图3所示，该模型的可以描述如下：

在这个云可信虚拟执行环境中，动态可信平台模块构成了用户可信执行环境的可信基（ TCB）等概念，运服务器由DVTPM开始为用户构建可信执行环境。

定义 4-1 云可信环境

云可信环境[E]由[（VTCB，I，O，AP，D）]组成，其中[VTCB]是虚拟可信基，[I]是用户的输入，[O]为环境[E]的输出，[D]是该环境所隶属的域，[AP]为用户应用程序集合。

定理 4-1 动态可信平台模块是一个确定性多带图灵机

证明：由于[VTCB]在执行环境中为[DVTPM]，而[DVTPM]逻辑上具有物理[TPM]的一切功能，其拥有多个输入和输出，所以[DVTPM]为确定性多带图灵机

4.2模型安全性定义

由于云动态可信平台模块的构建本质上一簇协议的执行过程，因此该模型的安全性等同于协议的安全性因此可以使用通用可组合协议分析方法分析该模型的安全性。

Ran Canetti提出了一种新的协议安全性的公理证明框架[9]，这种证明体系能够用一种统一的同步框架定义密码协议的安全性，而且在这个框架里可以使用作协议复合理论来证明复杂协议的安全性。

定义4-3理想函数Ideal Function：

理想函数可以定义为实际协议功能的理想世界的映像，其作为一个可信方[T]，接受诚实方和被入侵方以及攻击者的输入，并把得到的输入运算后的输出结果给环境Z，理想函数在模型中是不可攻破的。

定义 4-4 伪随机函数[14]

令[H={Hn}n∈N]为[l]比特的函数族，一个[l]比特[F={Fn}n∈N]是伪随机的当且仅当对任何[PPT]的攻击者存在一个可忽略的概率[vA]，对于足够大的[k]，

[|Pr[AFn（1n）=1]-Pr[AHn（1n=1）]≤vA（k）]

定理 4-4独立协议的安全性定理[15]：

如果存在协议[π]，功能函数[f]以及运行环境[Z]，实际模型的攻击者[A]，以及理想模型的攻击者[SA]，有[Idealf，SA，Z≡cEXECπ，A，Z]成立，协议[π]是安全的，记做[π] UC-realize [f]。

定理 4-5复合协议的安全性定理[14]：

给定安全参数[k]，[n∈k]，[π] UC-realize [g] ，如果协议[π]执行过程中需要调用辅助计算函数[f1，f2...fn]，如果存在协议[ρ1，ρ2...ρn] UC-realize[f1，f2...fn]，那么有[πρ1，ρ2，.....ρn] UC-realize [g]。

由以上定理可以得出密码协议安全性证明框架图，如下图所示：

图 4 复合协议安全性证明框架模型

如图中所示，攻击者是非自适应的，它所控制的入侵方在协议执行前就被确定了，计算能力是概率多项式级的，协议运行环境[Z]可以观察到诚实方和攻击者的输出。

4.3 动态TPM安全性分析

理想函数在[UC]框架中有着非常重要的地位，理想函数扮演着一个不可攻陷的可信第三方的角色， 能够完成协议所执行的特定功能目前己经定义了多个最基本的理想函数， 如认证消息传输[FAUTH]、密钥交换[FKE]、公钥加解密[FPKE]、签名[FSIG]、承诺[FCOM]、零知识证明[FZK]、不经意传输[FOT]、匿名[Hash]认证[FCRED]和可否认认证[FCDA]等。

定义4-5 理想函数[FCDVTPM]

本文所提出的动态TPM需要由虚拟机创建完成，设[FCDVTPM]为动态TPM创建的理想函数，在 [FDVTPM]中，[（DVTPM Created，sid， ⊥）]表示云服务器为用户DVTPM创建失败，[（DVTPM Created，sid ，sk）]表示创建DVTPM成功，用户和云服务器之间的会话密钥为[sk]，设云服务器的授权用户集合为[Lcset]，一个用户只有满足[u∈Lcset]，云服务器才能为这个用户建立动态TPM理想函数。

[FCDVTPM]设授权用户集合为[Lcset]，云服务器为[Cserver]，DVTPM虚拟机为[VM]，安全参数为[k]，用户为[u]

当[VM]收到[（DVTPM Creat Request，sid， u，Cserver，VM）]

记录[VM]为active，给[Cserver]发送

[（DVTPM Creat Request，sid， u，Cserver，VM）]

当[Cserver]收到[（DVTPM Creat Response，sid， u，Cserver，VM）]，

标记[Cserver]为active，发送

[（DVTPM Creat Response，sid， u，Cserver，VM）]给[VM]

如果[FCDVTPM]从攻击者收到

[（DVTPM Creat Request，sid， u，p，sk）]，

其中[p∈{VM，Cserver}]且[p]为active，则存在以下情形：

1.存在[sk]，然后[（DVTPM Created，sid ，sk）]给[p]

2.如果攻击者控制[VM]，则记录[sk']，[（DVTPM Created，sid ，sk'）]给[p]

3.如果[u∈Lcset]，然后再[{0，1}k]计算一个[sk]，然后[（DVTPM Created，sid ，sk）]给[p]

4.如果1，2，3均不成立则输出[（DVTPM Created，sid， ⊥）]给[p]

理想函数[FCDVTPM]满足用户认证的基本需求，如果未被攻陷的队是非授权用户， 即[u?Lcset]，那么用户认证不会成功， [FDVTPM]输出[（DVTPM Created，sid， ⊥）]，即仅当一个[u∈Lcset]，云服务器才可以为用户建立可信执行环境。攻击者只能伪装攻击和攻陷服务器，除此之外攻击者没有其他有效的攻击手段，[FDVTPM]使用[u∈Lcset]完成用户认证，然后[FDVTPM]生成一个会话密钥。

定理 4-2 虚拟机安全创建了动态TPM

证明：设[A]为真实环境下的攻击者，通过构造理想环境的攻击者[S]，使得任何环境[Z]都以可以忽略的概率区分虚拟动态可信TPM及攻击者[A]组成的现实环境以及[FCDVTPM]和攻击者[S]组成的理想环境。以下是攻击者[S]的操作：

1.[S]从[FCDVTPM]收到

[（DVTPM Creat Request，sid， u，Cserver，VM）]，仿真[A]从[VM]到[Cserver]传递的信息[（DVTPM Creat Response，sid， u，Cserver，VM）]，当[S]从[FCDVTPM]收到[（DVTPM Creat Response，sid， u，Cserver，VM）]，[S]仿真[A]从[Cserver]到[VM]的信息

[（DVTPM Creat Response，sid， u，Cserver，VM）]。

2.当[A]由[VM]给[Cserver]发送信息[（DVTPM Created，sid ，sk）]，[S]从[VM]给[Cserver]发送信息[（DVTPM Created，sid ，sk）]。

3.当[p∈{VM，Cserver}]输出信息[（DVTPM Created，sid ，sk'）]，攻击者[S]将会发送[（DVTPM Created，sid ，sk'）]给[FCDVTPM]。

4.当[A]发送[（Corrupt-platform，sid ，p）]，[S]将会发送[（Corrupt-platform，sid ，p）]给[FDVTPM]。

根据攻击者[S]，可以得出，当[VM]攻陷时，攻击者[S]可以完美仿真攻击者[A]此时[Real]和[Ideal]是不可区分的，当[Cserver]被攻陷时候，[Real]和[Ideal]此时建立动态TPM都会失败，所以[Real]和[Ideal]也是不可区分的，当动态TPM建立成功时，由[Real]过程中的会话密钥是根据TPM中随机数生成数生成的，而TPM随机数生成器是伪随机数生成器，而[Ideal]过程中密钥是由[FCDVTPM]使用真随机数生成，如果环境Z能够区分TPM和[FCDVTPM]生成的随机数，而这与定义3-4矛盾，因此[Ideal]和[Real]不可区分，因此根据定理 3-4，虚拟机安全创建了动态TPM。

可信平台模块为计算平台提供了三个基本功能：数据保护（可信存储），平台身份证明，平台完整性保护，数据保护依靠加密实现，而平台身份证明通过对平台状态信息的签名对外证明自身的可信性，而平台完整性保护通过哈希函数完成，因此定义了理想加密函数[FEDVTPM]，理想签名函数[FSDVTPM]，以及理想的哈希函数[FHDVTPM]，如果动态TPM能够在UC框架下安全实现这三个函数，那么根据定理3-5动态TPM在UC框架下安全实现了TPM的数据保护，平台身份证明以及平台完整性保护的三大基本功能。

定义 4-6理想加密函数[FEDVTPM]

在 [FEDVTPM]中，存在三个实体，分别是加密者[E]，解密者[D]以及敌手[A]，敌手[A]负责生成加密算法和机密算法[（e，d）]，[（e，d）]为概率多项式复杂度（[PPT]）的算法。

设[M]为明文消息域，令[u∈M]为给定的明文消息。

理想函数 [FEDVTPM]

密钥生成：当[FEDVTPM]从[D]收到[（keyGen，sid）]请求，[FEDVTPM]验证[sid=（D，sid'）]，如果[sid≠（D，sid'）]，[FEDVTPM]忽略这个请求，否则将[（keyGen，sid）]交给敌手[A]，当[FEDVTPM]从敌手收到[（Algorithms，sid，e，d）]，将[（EncryptionAlgorithms，sid，e）]给[D].

加密：当[FEDVTPM]从加密请求者收到[（Encrypt，sid，m，e'）]，如果[m?M]输出一个错误信息给[E]，否则如果[e≠e']，说明[D]被敌手控制，此时令[c=e'（m）]，如果[D]未被敌手控制令[c=e'（u）]，[FEDVTPM]记录[（m，c）]，将[（Ciphertext，sid，c）]给[E]

解密：当[FEDVTPM]从[D]收到[（Decrypt，sid，c）]，如果[FEDVTPM]存在记录[（m，c）]，输出[（Plaintext，m）]给[D]，如果[FEDVTPM]不存在记录[（m，c）]，说明[D]被敌手控制，输出[（Plaintext，d（c））]给[D]

动态TPM安全实现了加密函数[FEDVTPM]

证明：设[A]为真实环境下的攻击者，通过构造理想环境的攻击者[S]，使得任何环境[Z]都以可以忽略的概率区分动态可信TPM及攻击者[A]、加密者[E]以及解密者[D]组成的现实环境以及[FEDVTPM]和攻击者[S]、加密者[E]以及解密者[D]组成的理想环境。以下是攻击者[S]的操作：

1.[S]从[FEDVTPM]收到[（keyGen，sid）]，仿真[A]传递到[D]的信息[（Algorithms，sid，e）]。

2.[S]从[FEDVTPM]收到[（Encrypt，sid，m，e'）]，访真[A]传递到[E]的信息[（Ciphertext，sid，c）]。

3.[S]从[FEDVTPM]收到[（Decrypt，sid，c）]，仿真[A]传递到[D]的信息[（Plaintext，d（c））]。

根据攻击者[S]，可以得出，当[D]攻陷时，攻击者[S]可以完美仿真攻击者[A]此时[Real]和[Ideal]是不可区分的，当[E]被攻陷时候，[Real]和[Ideal]此时加密的密文是一致的，所以[Real]和[Ideal]也是不可区分的，当[D]，[E]都没有被攻陷由[Real]过程中的会话密钥是根据TPM中RSA算法生成，如果环境Z能够区分TPM和[FEDVTPM]的密文，意味着攻击者[A]破解了RSA大模数问题而这TPM使用的RSA算法的安全性相背，因此[Ideal]和[Real]不可区分，因此根据定理 3-4，虚拟机安全实现了加密函数[FEDVTPM]。

定义 4-7理想签名函数[FSDVTPM]

在 [FSDVTPM]中，存在三个实体，分别是签名者[S]，验证者[V]以及敌手[A]，敌手[A]负责生成签名算法和验证算法[（s，v）]，[（s，v）]为概率多项式复杂度（[PPT]）的算法。

设[M]为消息域，令[m∈M]为给定的明文消息。

理想函数 [FSDVTPM]

密钥生成：当[FSDVTPM]从[S]收到[（keyGen，sid）]请求，[FEDVTPM]验证[sid=（S，sid'）]，如果[sid≠（S，sid'）]，[FSDVTPM]忽略这个请求，否则将[（keyGen，sid）]交给敌手[A]，当[FSDVTPM]从敌手收到[（Algorithms，sid，s，v）]，将[（VerificationAlgorithms，sid，v）]给[S].

签名：当[FSDVTPM]从签名请求者收到[（Sign，sid，m）]，令[σ=s（m）]，然后验证[v（m，s）=1]，如果[v（m，s）=1]输出[（Signature，sid，m，σ）]给[S]，[FSDVTPM]记录[（m，σ）]，否则将输出一个错误信息给[S]，并且停止签名运算。

验证：当[FSDVTPM]从[V]收到[（Verify，sid，m，σ，v'）]，如果[v'=v]，签名者[S]没有被攻击者控制[v（m，s）=1]，如果[FSDVTPM]不存在[（m，σ）]这条记录，否则将输出一个错误信息给[S]，并且停止验证运算，否则输出[（Verified，sid，m，v'（m，σ））]给[V]

动态TPM安全实现了签名函数[FSDVTPM]

证明：设[A]为真实环境下的攻击者，通过构造理想环境的攻击者[S]，使得任何环境[Z]都以可以忽略的概率区分动态可信TPM及攻击者[A]、签名请求者[S]以及签名验证者[V]组成的现实环境以及[FEDVTPM]和攻击者[S']、签名请求者[S]以及签名验证者[V]的理想环境。以下是攻击者[S]的操作：

1. [S']从[FEDVTPM]收到[（keyGen，sid）]，仿真[A]传递到[S]传递的信息[（VerificationAlgorithms，sid，v）]。

2.[S']从[FEDVTPM]收到[（Sign，sid，m）]，访真[A]传递到[S]传递的信息[（Signature，sid，m，σ）]。

3. [S']从[FEDVTPM]收到[（Verify，sid，m，σ，v'）]，仿真[A]传递到[V]信息[（Verified，sid，m，v'（m，σ））]。

根据攻击者[S]，可以得出，当[S]攻陷时，攻击者[S']可以完美仿真攻击者[A]此时[Real]和[Ideal]是不可区分的，当[V]被攻陷时候，[Real]和[Ideal]验证过程一致，所以[Real]和[Ideal]也是不可区分的，[S]，[V]都没有被攻陷由[Real]过程中的签名密钥以及加密密钥对是根据TPM中RSA算法生成，如果环境Z能够区分TPM和[FEDVTPM]的签名，意味着攻击者[A]破解了RSA大模数问题而这TPM使用的RSA算法的安全性相背，因此[Ideal]和[Real]不可区分，因此根据定理 3-4，虚拟机安全实现了加密函数[FEDVTPM]。

由于动态TPM安全实现了加密函数[FSDVTPM]，动态TPM安全实现了签名函数[FSDVTPM]，根据定理3-5复合协议安全性定理，动态TPM安全在UC安全框架下实现了TPM的功能。

5 结论

本文当前云计算存在的问题，提出了一种云服务器中动态可信平台模块的构建方法，在可信平台模块的基础上，基于虚拟隔离技术构建动态虚拟可信平台模块（Dynamic virtual Trusted Platform Module：DVTPM），以DVTPM构建动态可信平台模块，从而达到提高云服务器可信性，保护客户数据的目的，同时使用通用可组合协议分析方法论述了模型的安全性，并且在XEN实现了云计算模式下可信环境的一个实例。

参考文献：

[1] PUSKA H， SAARN ISAAR IH， IINATTI J. Serial search code acquisition using smart antennas with single correlator or matched filter [J].IEEE Transact ions on Communications， 2008， 56（2）： 299- 307.

[2] Soltis， Steven R； Erickson， Grant M； Preslan， Kenneth W （1997）， “The Global File System： A File System for Shared Disk Storage”， IEEE Transactions on Parallel and Distributed Systems

[3] Sims K.IBM introduces ready-to-use cloud computing collaboration services get clients started with cloud computing. http：//www-03.ibm.com/press/us/en/pressrelease/22613.wss，

2007.