研究机构:北京智能交通安全与隐私重点实验室,北京交通大学网络空间科学与技术学院
论文出处:IEEE Transactions on Network Science and Engineering
2.论文总结
基于可信执行环境(TEE)的可信虚拟机(CVM)在公共云中部署时,目前缺乏对其运行状态的可验证信任证明,这削弱了远程用户对其的信任。虽然可以利用虚拟可信平台模块(vTPM)技术为CVM生成此类证明,但现有的基于vTPM的方法存在三个主要弱点:缺乏明确定义的信任根、缺乏vTPM保护以及缺乏vTPM的信任证明。因此,这些方法难以生成代表远程用户CVM状态的可验证信任证明。
本文提出了一种名为T3CVM的方法,该方法利用vTPM为基于AMD SEV的远程用户CVM生成可验证的信任证明。T3CVM包含三个组件和一个可信启动方案,以克服现有最先进技术的局限,从而增强用户对信任证明的信心。该方法支持基于可信计算的应用程序在可信 CVM 中无缝运行,并可以扩展到基于其他虚拟机TEE技术(如Intel TDX)的CVM。作者正式分析了T3CVM的安全性,并通过原型实现评估了其性能。
3.安全目标
本节分别介绍了安全需求、威胁模型与敌手能力之间的关系。
4.相关工作
本节重点探讨基于可信执行环境(TEE)的设备信任链建立方案、云服务提供商为其CVM服务提供的vTPM解决方案,以及基于SEV系列CVM的信任链构建研究,上述方案的对比分析如下列图表所示。
5.方案设计
本节将详细阐述作者所提出的方法,包括T3CVM的总体架构、核心组件、安全通信机制、可信启动方案以及所构建的信任链。
6.实现
基于既定设计方案,实现了如图所示的原型系统。该系统包括运行在Linux服务器上的TR-Manager服务、CN- TPMCVM 以及部署在支持AMD SEV 的服务器上的 ACVM ,后者作为基于AMD SEV 的CVM运行。
7.评价总结
本文介绍了T3CVM,这是一种构建完整信任链的方法,结合明确定义的根信任,生成基于AMD SEV 的云虚拟机在不可信云节点上运行的信任证明。T3CVM解决了现有方案中的关键局限性,包括缺乏明确定义的根信任、vTPM保护不足以及缺少vTPM的信任证明。对T3CVM的形式化分析展示了其安全性,而原型实现表明,它以最小的开销实现了可信的 CVM 部署。
本文重点研究了为基于AMD SEV 的可信虚拟机建立完整的信任链,下一步的研究方向是扩展至基于vTPM的信任链,用于 SEV -SNP的可信虚拟机。最近的研究在 SEV -SNP的可信虚拟机中引入了飞地,作者的目标是将这种方法扩展到这些场景,这种扩展将使现有的可信计算应用能够无缝地在这些场景中运行。此外,该方法还为机密计算环境中的各种可信执行环境提供了统一的可信计算支持。通过建立明确定义的运行时和安全的vTPM,增强了下一代机密计算架构的安全性和可信度。