为保护虚拟机运行环境及上层服务软件的完整性、安全性,提出了一种基于信任扩展的可信虚拟执行环境的构建方法。首先,建立物理平台配置寄存器(PCR,platform configuration register)与虚拟PCR的映射关系,以此实现虚拟可信平台模块(vTPM)与底层可信计算基的绑定;其次,利用本地vTPM管理器签发证书,完成可信证书链在虚拟机中的延伸。通过物理平台至虚拟平台的信任扩展,虚拟机可以有效地利用TPM提供的相关功能(如远程证明、密封存储等),完成平台环境的证明及私密信息的安全存储,从而构建了可信虚拟执行环境。最后,实现了原型系统并进行了测试,测试结果证明本系统可以有效地实现虚拟...

• 单位
  软件工程国家重点实验室; 武汉大学