[发明专利]用于虚拟机系统的可信计算基裁剪方法

说明书

技术领域

本发明涉及计算机信息安全技术领域，主要涉及用于虚拟机系统的可信计 算基防泄露裁剪方法。

背景技术

国家信息安全测评认证中心的调查结果表明：在众多的攻击行为和事件中， 信息泄漏事件是主要的安全事故，已给企业带来了巨大的经济损失。现有的数 据防泄漏系统主要在操作系统内嵌入一定的安全模块或通过限制网络边界的方 法加以实现，但操作系统的可信性无法确保以及各种恶意软件对敏感数据计算 系统的侵害，故而现有防泄漏机制的可用性受到严重影响，从而危害敏感数据 安全。

基于虚拟机监视器(Virtual Machine Monitor，VMM)的虚拟机系统通过 系统隔离特性可以解决以上威胁。参见图1，虚拟机系统的VMM层直接运行于 硬件层之上，通过虚拟化技术为客户操作系统提供硬件环境一致的运行条件， 各客户操作系统运行于VMM层(VMM层)之上，形成了多个客户机1、客户 机2...客户机n，每个客户机都包括自己的应用和内核。客户机1、客户机2... 客户机n分别处于自己的用户域，即域1、域2、...域n。从技术层面上讲，就 是通过系统软件技术虚拟出多个和底层硬件系统一致的虚拟计算机接口，在一 台物理机器上可以同时运行多个操作系统实例，这层运行在硬件层(包括CPU、 内存、外设)上的系统软件就是VMM层。该体系结构下，有且仅有一个特权 域，标记为域0。特权域负责创建、管理和销毁其他用户域，因此其中设有域创 建模块(Domain Builder)。

VMM虚拟化技术确保了每个虚拟机实例都处于完全隔离保护状态，允许用 户自由隔离不受信任的程序代码，从而降低恶意代码给系统带来的危害和损失。 因此，利用VMM提供的域之间的隔离特性，对敏感数据防泄漏提供了新的思 路。可参见张献涛.系统虚拟机关键技术及相关安全问题研究[D].武汉：武汉大学， 2008。以及Derek G.M，Grzegorz M，Steven H.Improving Xen Security through Disaggregation[C].Proceedings of the fourth ACM SIGPLAN/SIGOPS international conference on Virtual execution environments.March 05-07，2008，Seattle，WA， USA，2008：151-160。

此外，可信平台模块(Trusted Platform Module，TPM)整个可信虚拟机系统 的度量验证的可信根的安全功能，能提供诸如平台身份证明、平台完整性证明、 密钥管理、密封存储等各项安全服务，从硬件层次保证平台的安全性和可靠性。 可信平台模块作为虚拟机系统的度量验证的可信根。在虚拟机系统中，可以在 虚拟机的特权域中设置虚拟可信平台模块管理器(vTPM管理器)，通过虚拟TPM 管理器为每个客户机分别建立虚拟TPM实例并且管理这些虚拟TPM实例。所 建立的虚拟TPM实例模拟物理TPM，为客户机提供物理TPM的功能，实现虚 拟TPM。参见图2，在这种虚拟机系统的半虚拟化体系结构下，安全模型通常 视可信计算基(Trusted Computing Base，TCB)的范围包涵整个域0，即包括域 0内的vTPM管理器、域创建模块(Domain Builder)、内核(Kernel)、敏感数 据访问策略等。然而可信计算基过大将导致特区域内恶意行为给具有敏感数据 的虚拟机构成泄漏威胁，故需进行特权域的特权功能的分解，降低特权域内恶 意行为对客户虚拟机的影响程度。此外，特权域用户或管理程序的更新变化， 不利于现有的静态信任链的构建，从而影响对具有敏感数据的虚拟机环境(虚 拟机及可信计算基)的可信验证实施。

发明内容

本发明目的在于解决现有技术不足，提供实现虚拟机系统数据防泄露的可 信计算基裁剪方法。

本发明技术方案为一种用于虚拟机系统的可信计算基裁剪方法，所述虚拟 机系统中包括有硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建 模块、内核和敏感数据访问策略；虚拟可信平台模块管理器、域创建模块、内 核和敏感数据访问策略处于特权域；建立一个与特权域隔离的特殊用户域，将 虚拟可信平台模块管理器、域创建模块和敏感数据访问策略迁置于特殊用户域 中，内核保留于特权域中；特权域与特殊用户域之间建立通信；硬件层、虚拟 机监视器层、虚拟可信平台模块管理器、域创建模块和敏感数据访问策略构成 可信计算基。