虚拟环境下可信证书链扩展新方法：VMEK机制

"虚拟平台环境中一种新的可信证书链扩展方法" 本文主要探讨了在虚拟化环境中，如何通过可信计算技术将底层物理硬件的可信平台模块（TPM, Trusted Platform Module）的信任度有效扩展到虚拟机（VM）环境，特别是在面对现有方案存在的问题时，如违背TCG（Trusted Computing Group）规范、增加密钥冗余和 Privacy CA（Private Certificate Authority）性能负担，以及无法进行证书信任扩展等挑战。 作者谭良、齐能和胡玲碧提出了一个创新的可信证书链扩展方法。他们首先在TPM中引入了一种新类型的证书，称为VMEK（Virtual Machine Extension Key）。VMEK的独特之处在于其密钥不可迁移，同时能够对TPM内部和外部的数据进行签名和加密，这增加了安全性和灵活性。 接着，他们利用VMEK证书对虚拟TPM（vTPM）的vEK（Virtual Endorsement Key）进行签名，从而建立起底层TPM与虚拟机vTPM之间的证书信任关系。这一过程确保了证书信任链能够顺畅地在虚拟环境中延伸，强化了虚拟平台的安全认证。 为了实现这一方案，研究人员在Xen虚拟化平台上实现了VMEK证书的管理机制以及基于VMEK的证书信任扩展功能。实验结果显示，该方法成功地实现了虚拟平台的远程证明功能，证明了方案的有效性。 此研究的关键贡献在于提供了一种克服现有问题的新方法，使得虚拟机能够在保持可信性的前提下，充分利用可信计算技术。通过VMEK的引入和管理，不仅解决了证书信任扩展的难题，也避免了对TCG规范的违背和性能上的负面影响。这种方法对于构建安全可靠的虚拟化环境具有重要意义，特别是在云计算和数据中心等对安全性有高要求的场景中。 关键词：可信计算、虚拟平台、可信平台模块、vTPM、证书链扩展 中图分类号：TP309 文献标识码：A doi:10.11959/j.issn.1000-436x.2018090