基于信任扩展的可信虚拟执行环境构建方法研究

为保护虚拟机运行环境及上层服务软件的完整性、安全性,提出了一种基于信任扩展的可信虚拟执行环境的构建方法.首先,建立物理平台配置寄存器(PCR,platform configuration register)与虚拟PCR的映射关系,以此实现虚拟可信平台模块(vTPM)与底层可信计算基的绑定;其次,利用本地vTPM管理器签...     

面向虚拟化平台的透明加密系统设计与实现

针对虚拟化平台下数据防泄漏系统的要求,本文结合可信平台模块(trusted platform module,TPM)的密钥管理优势,提出了一种基于eCrytpfs文件系统的透明加密系统设计与实现方法.该文件保护系统MeCryptfs(modified-eCryptfs)使用自定制TPM密钥管理模块,改善了eCryptfs用户空间的密钥管理部分,通过取消多用户模式进一步增强了整个系统的安全性.测试结果表明,该透明加密系统具有较高的性能,能够满足加解密透明性要求.     

基于VPE的可信虚拟域构建机制

针对现有可信虚拟域构建方式无法满足云计算灵活配置等特性的问题,结合云计算企业内部敏感数据的防泄漏需求,提出了基于VPE的可信虚拟域构建方法TVD-VPE。TVD-VPE利用分离式设备驱动模型构建虚拟以太网VPE,通过后端驱动截获数据分组,并进行边界安全策略检查,最后对满足策略的数据帧进行加密。同时,还设计了可信虚拟域加入/退出协议确保用户虚拟机安全加入/退出,为边界安全策略的部署设计了面向可信虚拟域的管理协议,同时为高特权用户的跨域访问设计了跨域访问协议。最后,实现了原型系统并进行了功能测试及性能测试,测试结果证明本系统可以有效地防止非法访问,同时系统对Xen的网络性能的影响几乎可以忽略。