基于TCM的国产化虚拟可信计算平台研究.doc

2011 年 12 月December 2011计算机工程Computer Engineering第 37 卷Vol.37增刊Supplementary Issue文献标识码：A·软件技术与数据库·文章编号：10003428(2011)增刊006304中图分类号：TP311基于的国产化虚拟可信计算平台研究何 慧，江 水，李立号，桑 耘(中国电子科技集团公司第三十二研究所，上海 200233)TCM摘 要：传统可信计算技术在提高计算平台自身安全免疫能力的同时，对计算平台上可以使用的应用软件添加了诸多限制，影响了平台功能的多样性和用户使用的方便性。为此，将虚拟化技术引入到可信计算平台中，利用虚拟化技术的平台隔离性，实现可信计算平台和普通 开放式计算平台在同一物理平台上的隔离，使之既能满足安全的需要，也不影响系统的可用性。以国产 TCM 可信芯片、国产处理器为硬 件基础，国产麒麟操作系统为底层软件，构建国产化虚拟可信平台，适用于构建安全的自主可控计算平台。 关键词：国产化；虚拟化；可信密码模块；虚拟计算平台；可信链Research on Localized Virtual Trusted Computing PlatformBased on TCMHE Hui, JIANG Shui, LI Li-hao, SANG Yun(The 32nd Research Institute of China Electronics Technology Group Corporation, Shanghai 200233, China)【Abstract】Trusted computing technology provides a new idea to solve the safety problem of the computing platform by improving the immunityof platforms own security, but versatility and convenience of the platform are affected because lots of restrictions on application software are set. Virtualization is introduced to solve this problem in this passage for it can be used to isolated trusted computing platform and common open computing platform. Localized virtual trust platform based on domestic TCM chip, domestic processor and operation system suggests an effective solution self-control secure computing platform.【Key words】localization; virtualization; trusted cryptography module; virtual computing platform; certificate chain1 概述随着信息技术的发展，各行业的信息化程度不断提高， 计算机网络的应用日益深入广泛，网络安全成为计算机科学 领域的研究热点。传统的由防火墙、入侵检测和病毒防范为主要构成的信息安全系统，只能在系统外部被动的抵抗攻击，对于源自系统内部的威胁却无法做出处理。究其原因，主要 是由于现有的终端平台软硬件结构简单，导致资源可以被任 意占用，终端平台对执行代码不检查一致性，对合法用户缺 乏严格的访问控制，病毒程序可以轻易将代码嵌入到可执行 代码中，黑客利用被攻击系统的漏洞窃取超级用户权限，从 而导致了各类信息安全和网络安全事件的层出不穷。如果可 以从终端平台的源头实施高级防范，这些不安全的因素可以 被有效控制1。针对这种情况，业界提出了可信计算的概念，实现贯穿 计算系统硬件和底层软件的安全措施，从根本上解决现有的 安全问题，可信计算实现了不同于防火墙、入侵检测和杀毒 软件等从外解决的方案，是一种从内的、主动的、全新的安 全解决方案。可信计算组织定义“可信”2为：“实体以可预期的行为 达到可预期的目标”，计算平台的可信具体可以从以下 4 个方 面理解3：(1)用户身份的唯一性证明，是对使用者的信任； (2)平台软硬件配置的正确性，体现了使用者对平台运行环境 的信任；(3)应用程序的完整性和合法性，体现了应用程序运 行的可信；(4)平台之间的可验证性，指网络环境下平台之间 的相互信任。可信计算平台实现的基本思想4是：首先构建一个信任 根，信任根的可信性由物理安全和管理安全保证；再建立一条信任链，从信任根开始到硬件平台，到操作系统，再到应用，一级认证一级，一级信任一级，把这种信任扩展到整个 计算机系统，从而确保整个计算机系统的可信。作为可信源 头的信任根由启动过程中不可更改被认为绝对可信的代码 CRTM(Core Root of Trust Module)和防篡改具有独立计算引 擎的芯片(TPM/TCM)共同提供，防止外部恶意的攻击。对于 计算系统的每个部件都预先定义了期望值，在启动之前都要 进行验证，验证通过后，才可获得平台控制权。从而，可信 计算平台实现了从硬件、底层软件到上层应用的由底向上的 主动防御体系。可信计算平台的一大特点5就是在可信计算平台上使用 的所有应用程序必须是经过授权和认证的，任何不符合要求 的应用都无法在平台上使用。这在一定程度上降低了系统的 可用性，满足不了用户对计算系统功能丰富多样性的需求。 而虚拟化技术的引进，为弥补这个不足提供了新的思路。在虚拟化计算平台结构中，在虚拟机监控器上运行着相 互隔离互不影响的虚拟机，运行在不同虚拟机中的服务和应 用因而处于隔离的状态，彼此之间不会相互影响。在不同的 虚拟机内可以分别运行开放的系统或者封闭的系统。开放的 系统跟普通的计算系统一样，可以由用户随意配置使用；封 闭的系统则实现可信的功能，在其中只能运行可信的软件， 执行授权的操作，既保证了平台的安全可信，又不影响一般 应用软件的使用。与通用的系统虚拟化架构有所不同，国产化虚拟计算平作者简介：何 慧(1987)，女，硕士研究生，主研方向：软件工程，可信计算；江 水，高级工程师；李立号，硕士；桑 耘，学士收稿日期：2011-11-16E-mail：huihe04特权域，用来控制、启动其他的虚拟域，特权域启动完成后，持全虚拟化；特权域和虚拟域中运行的操作系统则是国产麒再启动其他的虚拟域。国产化虚拟计算平台要结合拥有自主知识产权的 TCM 芯片，实现由硬件到虚拟机管理器到特权 域再到虚拟域的完整的可信链。本文在已有的可信计算平台研究成果的基础上，借鉴开源的可信计算技术，展开对国产化虚拟可信计算平台的研究 与实施。2相关研究成果2.1 Terra由斯坦福大学提出的 Terra6结构，是虚拟可信计算方面的代表。Terra 结构如图 1 所示。麟操作系统。Hypervisor 层，不同于一般虚拟机监控器作为硬件和操作系统之间的软件层，而是作为固件层存在。在启动过程中，起到 BIOS 和虚拟机监控器的作用，既要为各个虚拟域分配CPU、内存及磁盘空间，同时要为各个虚拟域与特权域提供 通信链路。在 Hypervisor 上运行了多个虚拟域，其中有一个特殊的虚拟域是特权域。特权域负责创建、删除、管理各个虚拟域，同时沟通各虚拟域与 IO 资源。各种 IO 资源都挂在特权域上。特权域对各个 IO 资源都进行虚拟化，从而控制各个虚拟 域对 IO 资源的使用。虚拟域则是用户自行配置运行的程序和软件的执行环 境，各个虚拟域彼此隔离，互不影响，从而能够保证平台应 用之间的相互隔离的特性。并且减少由单一操作系统支持用 户各种应用所带来的复杂性，降低可信环境保证的难度以及 软件运行时产生缺陷的风险。4 国产化虚拟可信计算平台国产化虚拟可信计算平台将国产虚拟计算平台与可信计算技术有机结合起来，实现系统安全性与可信性的平衡。虚 拟计算平台的隔离性，即既可以运行安全要求高封闭系统， 也可以为满足用户需求运行开放的系统。同时国产化虚拟可 信计算平台结合了物理可信芯片 TCM，为计算平台的可信提 供了物理可信根，弥补了 Terra 由软件保证平台安全可信的 不足。国产化虚拟可信计算平台，选用可信密码模块 TCM，作 为可信计算的核心部件，为密码运算引擎提供加解密运算服 务，其内部拥有用于存储敏感数据的安全存储单元。TCM 结 构如图 3 所示8。图 1 Terra 结构Terra 是基于可信虚拟机监控器(Trusted Virtual Machine Monitor, TVMM)的一种可信虚拟化平台的体系结构，通过虚 拟化硬件资源，使许多虚拟机能独立并发地运行，除此以外， 它还提供额外的安全性能。TVMM 是 Terra 的核心，将单一 的通用平台划分成多个相互隔离的虚拟机。TVMM 提供 2 种虚拟机的抽象：(1)明箱虚拟机，提供目 前开放平台所能够提供的功能，即具有和传统的操作系统一 样的策略，允许运行不同来源的应用程序；(2)暗箱虚拟机， 执行封闭式平台的功能，需要远程方对该平台上的软件进行 认证，以此决定软件是否可以运行。Terra 结构为真正通用可信计算平台奠定了坚实的基础。 但它没有结合物理“可信根”。没有硬件支持，很难检测出 系统中的恶意代码，所有试图在软件中检测恶意变化的方法 都有可能被恶意软件回避。2.2 NGSCB由微软提出的 NGSCB7(Next Generation Secure ComputingBase) 旨在为可 信软件提供软 件和操作系统 的支持，基于 NGSCB 的可信计算机框架可以分为 3 层：最底层为硬件支持 层，SSC(Secure Support Component)模块；运行在其上的是与操作系统内核同处于同一个层次的核心模块，通过该模块提供对 SSC 的访问，同时提供各种安全功能支持，称为 nexus； 再上面是应用层，由称为 NCA(Nexus Computing Agent)的代 理来执行。NGSCB 系统，有底层硬件的支持，并将计算平台划分为 可信与非可信部分，非可信部分运行一般的 Windows 操作系 统，而 可信部分运行 准用的可信 操作系统 (nexus) 。虽然 NGSCB 由硬件的可信支持，但是，NGSCB 的可信需要微软专有的可信操作系统支持，并采用专有的硬件存储保证机制 保证操作系统的可信，缺乏足够的灵活性和隔离性。3国产化虚拟计算平台的体系结构国产化虚拟计算平台的体系结构如图 2 所示。图 3 可信密码模块 TCM 结构TCM 结构各模块功能如下：(1)I/O：TCM 的输入输出硬件接口。(2)SMS4 引擎：执行 SMS4 对称密码运算的单元。(3)SM2 引擎：产生 SM2 密钥对和执行 SM2 加/解密、签 名运算的单元。(4)SM3 引擎：执行杂凑运算的单元。(5)随机数产生器：生成随机数的单元。(6)HMAC 引擎：基于 SM3 引擎的计算消息认证码单元。(7)执行引擎：TCM 的运算执行单元。(8) 非易失性存储器：存储永久数据的存储单元；分为3 个部分，程序存储单元存放主控制程序；数据存储单元存 放密钥、证书和其他保密数据；可信寄存器组包括模块标识 寄存器存放识别 TCM 的标识信息，使用状态寄存器记录图 2 国产化虚拟计算平台的体系结构何 慧，江 水，李立号，等：基于 TCM 的国产化虚拟可信计算平台研究第 37 卷 增刊65TCM 当前状态处于部署状态、工作状态还是出错状态，平台绑定寄存器存放可信计算平台的唯一标识信息，用户管理寄 存器存放用户管理信息。(9)易失性存储器：TCM 运行临时数据的存储单元；其中 包括平台配置寄存器 PCR 和各种运算过程中开辟的数据缓冲区。TCM 内部设置 28 个受保护的 PCR，用于存储完整性度量值。TCM 和其他 I/O 资源一样，挂载在特权域。国产化虚拟 可信计算平台构建的核心，就是形成以国产硬件为安全基础 的可信链，将计算平台的各个部件纳入可信链中，从而保证 计算平台的可信性。以 Hypervisor 和 TCM 提供的可信根为 基础，依次度量计算平台中的 Hypervisor、操作系统装载器、 特权域和虚拟域，前一级验证通过才将控制权交给后一级， 这样形成完整的可信链9，如图 4 所示。该清晰可分。同时要为虚拟 TCM 建立虚拟 TCM 管理器10，用于创建 和管理各个虚拟域对应的虚拟 TCM，实现 TCM 命令的存储 和转发，实现虚拟域与虚拟 TCM 之间的通信。在虚拟域中 配置客户端驱动用来接收 TCM 命令，通过 Hyperviosr 提供 的通信管道，传送至特权域的虚拟 TCM 管理器，虚拟 TCM 管理器根据其维护的虚拟域与虚拟 TCM 的映射表，将命令 传送给相应的虚拟 TCM，命令执行过后，将结果由虚拟 TCM 管理器传回虚拟域，其实现机制如图 5 所示。图 5 可信链扩展到虚拟域的实现机制5国产化虚拟可信计算平台可信链的实现 国产化虚拟可信计算平台可信链的实现包括 4 个环节： (1) 实现 Hypervisor 与 TCM 的通信， 启动并 初始化TCM。TCM 的正常启动是保证计算平台处于可信环境中的基 本前提和要求。TCM 启动流程如图 6 所示。加电图 4 国产化虚拟计算平台可信链传递国产化虚拟计算平台的可信链建立的基本过程如下：(1)系统加电时，首先由 TCM 获得控制权，TCM 度量 Hypervisor 的完整性后，若是 Hypervisor 检测无误，则启动 Hypervisor。(2)Hypervisor 获得控制权后，作为整个虚拟化平台的引导，为特权域和虚拟域分配 CPU，内存和硬盘空间。(3)控制权交回 TCM，TCM 检测操作系统加载器的完整 性，检测通过后，加载特权域操作系统。(4)特权域启动后，度量虚拟域的完整性。 (5)虚拟域检测无误后，引导虚拟域的启动。 在特权域操作系统启动之后，如何将可信链进一步扩展到虚拟域中，是虚拟可信计算平台实现的关键。若是各个虚拟域通过特权域与物理 TCM 进行交互，性能和效率比较低。 物理 TCM 中负责存储计算平台各部件完整性度量值的 PCR 数量有限，并且在启动 Hypervisor、操作系统装载器和特权 域的过程中有部分的 PCR 已被使用，度量虚拟域时，可能无 法为每个虚拟域提供单独的 PCR 来存储虚拟域的完整性度 量值，若是将 2 个或者几个虚拟域的完整性度量值都存储在 同一个 PCR 中， 该 PCR 就无法正确反映不同虚拟域各自的 状态。采用虚拟 TCM 的机制，即用软件实现 TCM 的功能，为 不同的虚拟域配置相应的、专有的虚拟 TCM。由虚拟 TCM 为各个虚拟域提供可信服务。虚拟 TCM 需要具有的功能如下：(1)为虚拟域中运行的操作系统提供如硬件 TCM 为其上 的操作系统提供的同样的命令集。(2)虚拟域和它的虚拟 TCM 之间的联系必须在虚拟域的 整个生命周期中都保持着。(3)虚拟 TCM 和可信计算基(包括物理 TCM、Hypervisor、 特权域)之间的联系必须保持。(4)虚拟 TCM 与物理 TCM 由于具有不同的安全属性，应N正常？YTCM进入操作状态对平台进行度量TCM进入错误状态，无法度量平台部件图 6TCM 启动流程上电时，TCM 被激活，但 TCM 还未启动。由 Hypervisor负责启动和清空 TCM。TCM 上电时，首先进入部署状态， Hypervisor 需要执行命令，TCM_CreatePlatform 对初始状态 的 TCM 模块进行个体化，将数据导入模块内部，注入 TCM 相关的预期值和和密钥。由部署状态转入工作状态首先进行 TCM 的初始化， TCM 的初始化工作从初始化命令调用开始到 TCM 启动命令开始执行为止，在初始化命令执行后，对除启动命令之外的所有请求返回错误代码，初始化工作设置 基本的标志位，并检测相关硬件资源，包括相关系统状态寄 存器、内存地址控制器、时钟控制器等；TCM_ForceClear 命 令为初始化命令，负责销毁所有密钥及相关数据，恢复平台 到初始状态，包括清空 PCR(平台配置寄存器)寄存器的值； 如果初始化失败，则设置错误标志。初始化完成以后，进行TCM 自检，TCM_SelfTestFull 检测 TCM 的功能是否正常，自检的对象包括：TCM 内部密码算法引擎，硬件设备和设计TCM自检TCM初始化TCM个体化则进入命令执行过程，开始响应外部进程发出的命令，提供sm3 命令用于对输入的文件产生摘要值，checkfile 命令用于记录需要度量的文件及其摘要值、磁盘位置等信息，并 且将摘要值传入 TCM 进行完整性验证。特权域操作系统启动后，采用开源 IMA 技术实现对动态 加载模块的完整性度量。内核加载完成之后，需要对启动过程中动态加载的组件进行完整性度量，并扩展到 PCR 中，这些组件 主要 有 内核模 块 、 可执行程 序和 脚 本等， IMA11 (Integrity Measurement Architecture)可以实现这个功能，IMA 是基于 Linux Secure Module(linux 安全模块)实现的。IMA 实 现了 LSM10接口，应用时首先将 IMA 添加到操作系统的内可信计算服务功能。Hypervisor 的功能需要进行扩展，即可以利用中断与 TCM 通信，调用 TCM 的功能，检测 TCM 的 状态。Hypervisor 开始段的代码应该具有防篡改的功能，作为可信度量根，度量并记录整个 Hypervisor 的完整性信息，使用 TCM_Extend 命令，将数据扩展到 TCM 的 PCR 中。(2)特权域操作系统的引导。飞腾芯片支持 Grub 作为操 作系统的加载器。对 Grub 做出修改，实现 Grub 各个部件的 完整性度量，保证 Grub 各个部件的可信，同时对 Grub 中的 Menu.list 文件指定的操作系统内核、虚拟 RAM(initrd 文件) 和相关模块进行完整性验证，实现特权域操作系统的可信引导。Hypervisor 检测之后，TCM 将控制权交回控制平台，由 Grub 加载操作系统，对 Grub 进行修改，度量引导过程中的 关键部件，Grub 的 stage2、操作系统内核、内核模块以及加 载参数等，将度量值扩展到相应的 PCR 中。对 Grub 需要进 行如下修改：1)stage1.s 文件中需要添加对 stage2 的引导阶段的代码进行完整性度量，度量结果存储到 PCR8中。2)stage1 验证过 stage2 的启动代码后，stage2/start.s 完成 加载 stage2 的工作，修改 start.s 代码，增加检测 stage2 完整 性的功能，并将 stage2 的完整性度量值扩展到 PCR9中。3)跳转至 stage2 入口处开始执行 stage2 的功能，stage2的入口是 stage2/asm.S，asm.S 设置好运行环境，asm.S 实现 与 TCM 的交互通信，实现完整性度量，以及更新 TCM 的 PCR的功能。4)初始化完成后，跳转至 stage2/stage2.c 的 main 函数， 执行操作系统的引导。Grub 的 menu.list 中列出了需要加载的 内核镜像和相关模块，在麒麟操作系统 Grub 引导的 menu.list 文件中 kernel/vmlinuz-2.6.18-ky3.170.4 用于载入操作系统核 心，stage2 会调用 disk_io.c 中定义的 grub_open 打开文件、 grub_read 读文件、grub_close 关闭文件，在这 3 个函数中都 添加了使用 sm3 算法计算摘要的功能。5)stage2 的具 体执行过程 是 run_menu(stage2.c)->run_ script()(cmdline.c)->find_command-> 执行命令函数。其中， find_command 命令是在一个全局性 struct builtin *builtin_ table(stage2/builtin.c)变量中寻找命令函数，然后执行。将 GRUB 进行可信改造，需要添加新的功能，使用 SM3算法计算部件的摘要值，输入 TCM 检测完整是否被破坏。 在 stage2/builtin.c 中需要添加新的命令，结构如下：Static struct builtin builtin_SM3=“SM3”;/*命令名称，是搜索命令时的依据*/SM3_func;/*命令函数，是搜索匹配后调用的函数*/ BUILTIN_CMDLINE;/*功能标识*/“Calculate SM3”;/*帮助信息*/“Calculate SM3 of the given file.”;/*完整帮助信息*/Static struct builtin builtin_checkfile=“checkfile”; checkfile_func; BUILTIN_CMDLINE; “Load checkfile”;核中，系统启动时初始化 IMA 并将其注册为 LSM 安全模块，每当需要加载组件时，先判断该文件是否进行过完整性度量。如果有，则对其进行度量和标记，并扩展到 PCR12中，同时记录到安全模块列表(SML)中，如果曾经度量过，则查看该 文件是否被修改过，如果已经修改过则重新进行完整性度 量，同样记录结果。完整性度量结束后，被度量的组件才可 以运行。在被度量的可执行文件中，包括特权域中要启动的 虚拟 TCM 管理器及虚拟 TCM。物理 TCM 构建的可信链，通过虚拟 TCM 和虚拟 TCM管理器扩展到虚拟域，形成完整的虚拟可信计算平台。(3)特权域获得控制权之后，要度量其管理的虚拟域。通 过虚拟 TCM 管理器生成相应的虚拟 TCM，完成对各个虚拟 域的度量工作，然后启动各个虚拟域。虚拟 TCM 能够验证 虚拟域的安全可信性的基础是保证虚拟 TCM 所运行的基础 环境，即可信计算基是安全可信的，所以需要将虚拟 TCM 和 可信计算基之间联系起来。其具体实现为，可以将物理 TCM 相应 PCR 中的值映射到物理 TCM 的 PCR 上，其余的 PCR 则用来保存虚拟域内的完整信息，如系统配置、应用程序的 度量值等13。虚拟 TCM 以及虚拟 TCM 管理器用软件实现，如图 7 所 示。其模块设计为：虚拟 TCM 管理器主要包括 2 个部分， 一个模块用于检测虚拟域创建命令，为需要的虚拟域创建相 应的虚拟 TCM，同时维护虚拟域-虚拟 TCM 映射表，保证虚 拟域与虚拟 TCM 的映射关系；另一个模块用于存储转发虚 拟域发过来的 TCM 指令，利用 socket 通信监听，获得 TCM 指令后传给相应的虚拟 TCM，并将虚拟 TCM 传来的结果发 回相应的虚拟域。图 7 虚拟 TCM 及虚拟 TCM 管理虚拟 TCM 包括以下模块：参数编/解码器，用于解析由 虚拟域传过来的 TCM 命令以及将执行结果传给对应的虚拟 域；执行引擎，用于执行 TCM 命令，完成相应的功能；密码模块，用于密钥管理，实现 TCM 要求的基本的密码算法。在实现虚拟 TCM 模块的时候，在基本 TCM 指令集上，要扩(下转第 79 页)“Load checkfile containinglist of files that haveto be马若愚，高 翔：城市移动无线传感器网络定位算法的改进第 37 卷 增刊79度。对于同一区域来说，分块越精细，仿真结果越接近实际位置。在精确度上，原算法与改进后的算法有相同的表现， 所以无需对比。and Networking. S. l.: IEEE Press, 2004.Baggio A, Langendoen K. Monte Carlo Localization for MobileWireless Sensor NetworksJ. Lecture Notes in Computer Science,2006, 4325(11): 317-328.Stevens N E, Vivekanandan V, Wong V W S. Dual and Mixture Monte Carlo Localization Algorithms for Mobile Wireless Sensor NetworksC/Proc. of IEEE Wireless Communications and Networking Conference. Hong Kong, China: s. n., 2007.Baggio A, Langendoen K. Monte Carlo Localization for Wireless Sensor NetworksC/Proc. of the 2nd Intl Conf. on Mobile Ad-hoc and Sensor Networks. Hong Kong, China: Springer Verlag,2006.Bai F, Helmy A. A Survey of Mobility Modeling and Analysis in Wireless Ad-hoc NetworksM. S. l.: Kluwer Academic Publishers, 2004: 1-30.Bai F, Sadagopan N, Helmy A. Important: A Frame Work to Systematically Analyze the Impact of Mobility on Performance of Routing Protocols for Ad-Hoc NetworksC/Proc. of IEEE INFOCOM03. S. l.: IEEE Press, 2003: 825-835.Cam P T, Boleng J, Davies V A. A Survey of Mobility Models for Ad Hoc Network ResearchJ. Wireless Communication and Mobile Computing, 2002, 2(5): 483-502.Davies V A. Evaluating Mobility Models Within an Ad-hocNetworkD. S. l.: The Faculty and the Board of Trustees of theColorado School, 2000.34567图 9仿真结果与实际位置对比5结束语本文研究了城市无线传感器网络的模型，并在优化曼哈顿环模型的基础上，将蒙特卡罗思想引入，结合概率更新定 位算法，提出了蒙特卡罗概率更新定位算法。仿真结果表明 改进算法在收敛速度上有了大幅改进，且该算法依然有较好 的精确性和稳定性。在算法设计方面还有进一步研究的空间， 如用数据融合等方式，结合其他信息，进一步提高收敛速度。8910 赵 宇, 张 林, 王耀希. 城市移动无线传感器网络协同定位算法J. 电视技术, 2010, 34(11): 82-89.11 Haerri J, Filali F, Bonnet C. A Framework for Mobility Models Generation and Its Application to Inter-vehicular Networks EB/OL. 2010-05-17. http/www.eurecom.fr/util/publidownload.en.htm?id=1647.参考文献1 孙利民, 李建中, 陈渝, 等. 无线传感器网络M. 北京:清华大学出版社, 2005.2 Hu L, Evans D. Localization for Mobile Sensor NetworksC/Proc. of the 10th Annual International Conference on Mobile Computing (上接第 66 页)充 CreateTCM、CloseTCM，以及 SetupTCM 指令，用于创建、删除、启动虚拟 TCM。6 结束语本文研究了基于 TCM 的国产化虚拟可信计算平台的体系结构以及可信链的设计，提出以国产硬件为基础的国产化 虚拟可信计算平台的一种解决方案。在实现虚拟可信计算平 台启动后，还需要继续研究，在虚拟机中运行应用程序时， 实现对应用的验证，即在操作系统上层，实现 TSM(TCM 服务模块)、应用程序与 TCM 的交互，以及对外提供平台身份验证的功能。参考文献1 王 勇, 徐小琳, 吕慧勤. 可信计算技术研究综述J. 信息网 络安全, 2008, (8): 34-36.2 Trusted Computing Group. TCG Specification Architecture Overview Specification Revision 1.4EB/OL. (2007-08-25). http:/www.trustedcomputinggroup.org/specs/TPM/TCG_1_4_Arc hitecture_Overview.pdf.3 肖 政, 韩 英, 叶 蓬, 等. 基于可信计算平台的体系结构研究与应用J. 计算机应用, 2006, 26(8): 1807-1809.4 司丽敏. 可信计算平台信任链理论与技术研究D. 北京: 北京 工业大学, 2011.朱 强. 一种可信计算软件栈的设计与实现M. 北京: 北京邮电大学.2009.Pfaff B, Chow J, Rosenblum M, et al. Terra: A Virtual Machine-based Platform for Trusted ComputingC/Proc. of the Symposium on Operating Systems Principles. S. l.: IEEE Press,2003: 193-206.Microsoft. Security Model for the Next Generation Secure Computing BaseEB/OL. (2003-10-25). http:/www.microsoft. com/resources/ngsch/document/ngscb-security-module.doc.国家密码管理局. 可信计算密码支撑平台功能与接口规范Z.2007.郭卓武. 基于 TPM 的信任链传递模型及度量理论研究D.武汉: 湖北工业大学.2011.5678910 叶 波, 陈克非. 可信 Linux 关键组件验证方案的研究J. 计算机工程, 2006, 32(22): 169-171.11 刘孜文. 基于可信计算的安全操作系统研究D. 合肥: 中国科 学技术大学, 2010.12 何 帆. 一种虚拟可信平台框架的设计与实现D. 北京: 北京 交通大学, 2009.13 孙宇琼, 宋 成, 辛 阳. 可信虚拟平台中的双 AIK 签名J.计算机工程, 2011, 37(16): 114-116.y