2020年“数智时代”的来临使得云计算这种高价值计算系统^[1]的应用与需求场景变得更加广泛与深入, 为了应对云计算技术在社会各领域深层次的下沉与应用带来的安全风险, 国家在等保2.0^[2]中提出了对包括云计算在内的重要信息系统都要进行可信验证的要求. 云计算模式下, 由于用户对于托管在云端的私人数据缺乏有效的直接控制能力^[3,4], 且云服务提供商拥有云环境中数据优先访问权^[5], 导致用户与云服务提供商在云环境是否可信的问题上难以达成共识. 虚拟机作为用户使用云计算服务的直接载体^[6], 其运行环境的可信是云平台获取用户信任的关键. 基于可信计算技术, 将可信启动技术应用到云环境中构建虚拟机可信运行环境^[7], 从而促使云计算技术向更深层次领域发展与应用, 已经成为社会各界的共识.

针对虚拟机可信启动, 研究人员多从虚拟机安全^[8,9]、节点可信执行环境构建^[10]、虚拟机完整性^[11]等角度提及, 缺少专门针对虚拟机可信启动的研究. 且涉及虚拟机可信启动的相关研究方案多采用基于可信计算组织TCG (trusted computing group)^[12]所定义的装载前度量的方式, 通过将物理计算节点可信启动“逐级度量, 逐级信任”的链式信任传递模式应用到虚拟环境中来解决虚拟机的可信启动问题, 面临着如下挑战.

(1)虚拟机启动过程的特殊性. 云环境中, qemu-kvm模式下, KVM (kernel-based virtual machine)虚拟机在物理节点中是以Linux常规进程的形式存在的^[13], 其利用软件模拟来实现的BIOS (baisc input output syatem)、BootLoader等过程属于qemu-kvm进程运行过程的一部分.装载前度量模式“先度量, 后执行”的机制更侧重于通过对系统相关静态组件被加载执行前的完整性度量来保证可信性, 并不能保证qemu-kvm进程生命周期内的运行时可信.

(2)静态对象表征动态可信的局限性. 虚拟机启动是qemu-kvm进程运行的动态过程, 其可信体现为qemu-kvm进程运行过程中的行为符合预期. qemu-kvm进程模拟虚拟机启动过程, 加载的主要静态对象包括: SeaBIOS文件、虚拟机增量镜像文件等, 由于仅针对静态对象(如虚拟BIOS、镜像文件等)进行装载前的可信度量, 未考虑动态行为, 得到的可信结果不能有效表征虚拟机进程的动态可信, 也不符合“实体行为符合预期”的可信本质.

(3)缺乏对云环境中多虚拟域间非预期干扰排除的考量. 云计算模式下, 同一物理节点存在有多个虚拟节点启动或运行. 虚拟机启动过程容易受到同一物理节点环境下其他虚拟节点的非预期(恶意)干扰.

为应对上述挑战, 从保证KVM虚拟机进程运行时可信的角度出发, 本文基于无干扰理论, 提出了一种虚拟机可信启动研究方案, 主要特点如下.

(1)无干扰理论通过清除对安全域非预期的干扰来保证系统行为符合预期, 和“行为符合预期”的实体可信定义在数学上的等价性, 使得保证虚拟机启动过程的动态可信成为可能. 因此, 基于无干扰理论, 提出了虚拟机进程的运行时可信定理, 进一步地, 给出了虚拟机可信的定义并证明了虚拟机可信启动判定定理.

(2)本文依据虚拟机可信启动判定定理, 从系统调用层面入手, 一方面通过建立符合进程可信运行行为的系统调用行为白名单, 防止异常的系统调用行为执行; 另一方面对虚拟机启动过程加载的关键客体数据进行可信度量, 保证被加载数据的完整性. 综合考虑动态行为和静态对象, 有效阻止了恶意进程的非预期干扰, 共同保证了多虚拟机进程间的隔离性, 能够有效解决虚拟机启动过程的不可信问题.

本文第1节对可信的概念及应用、无干扰理论、可信启动的相关技术研究及可信云的相关研究进行了简单介绍. 第2节介绍了本文工作的理论基础及相关基本符号及定义. 第3节基于无干扰理论和虚拟机进程运行时可信定理, 提出了虚拟机可信启动研究方案, 并对相关判定定理进行了证明. 第4节对虚拟机可信启动研究方案原型系统的基本思想做了介绍, 并给出了原型系统的总体框架设计. 第5节对原型系统相关功能进行了实验与分析. 第6节对本文工作进行简单的总结与展望.

1 相关技术研究 1.1 可信的概念及应用

可信计算将人类社会中较为成熟完善的成功管理经验引入到计算系统平台中, 其以密码学为基础, 以可信芯片为信任源头, 通过在计算系统平台中构建一个作为平台信任起点的信任根, 并借助于信任链将信任关系从底层硬件平台逐步扩展至上层应用, 从而保证整个计算环境从下而上的可信^[14-16], 它的提出为解决计算平台的安全问题提供了一种新思路. 目前, 主流的可信定义有以下几种.

(1) TCG用实体行为的预期性来定义可信, 即如果实体的行为总是以预期的方式, 实现预期的目标, 则该实体是可信的^[17].

(2)沈昌祥院士结合人类免疫系统的理念提出了可信计算新的理论阐述^[18], 即计算全程可测可控、不被干扰, 是一种以密码为基因抗体, 具有身份识别、状态度量、保密存储等功能, 运算和防护并存的主动免疫的新计算模式. 其特点是计算运算的同时开启对系统本身的安全防护, 为网络系统培育免疫能力, 使操作和过程行为在任意条件下的计算结果总是与预期一致.

可信密码模块TCM (trusted cryptography module)是一个具备密码引擎、随机数发生器和物理安全计算环境的可信平台基础支撑部件^{[ 14,19]}, 是可信思想在工程领域的具体实现. TCM采用椭圆曲线密码算法和对称密码算法为基础^[20], 为计算平台可信环境的建立提供密码技术上的支撑, 其结构如图1所示.

1.2 无干扰理论研究及应用

1982年Goguen等人^[21]最早以状态机的形式提出了基于信息流的无干扰思想, 其基本思想是: 一组用户A, 使用一组命令集合 $\alpha $ 操作之后, 如果对另一组用户B所能观察到的结果没有影响, 则称用户组A对用户组B是无干扰的. Rushby^[22]为无干扰理论建立了标准的数学模型并给出了策略安全的约束条件, 该模型使得从动作符合预期的角度去研究可信成为了可能; 但是该模型仅从状态变迁会导致状态差异的角度来观察系统, 并未对观察者是否能够同时观察到所执行的不同动作的差异进行研究. 随后van der Meyden^[23]总结Rushby模型的不足之处, 并重新定义了安全约束更强的TA-Security和TO-Security. Eggert等人^[24]对传递无干扰、非传递无干扰、TA-Security、TO-Security这4种无干扰属性的时间和空间复杂度进行了推演. 随后, 针对Eggert并未给出相关属性验证算法这一问题, 张帆等人^[25]基于无干扰理论对云环境中的动作行为进行了可信性分析, 提出了基于状态递归等价的行为可信的充要条件, 解决了目前尚无有效的行为可信性验证方法的问题.

在国内, 无干扰理论被广泛应用到可信计算领域, 用于解决可信测评^[26]、信任链可信^[27]、进程可信^[28]和终端隔离等方面的实际问题^[29]. 在可信防护领域, 基于无干扰理论的研究工作多是理论推导及安全性证明, 面临着难以实践验证的难题. 张兴等人^[30]基于无干扰理论模型提出了一种分析和判定可信计算平台信任链传递的方法, 即只有组件间信息的流动符合严格的非传递无干扰安全策略的时候, 信任链才是有效的. 但是该方案无条件信任虚拟机监视器, 安全隔离依赖于虚拟机监视器, 具有不确定性; 同时该方案将虚拟机作为一个整体进行校验, 存在着监控较为粗粒度、缺乏动态性等问题. 赵佳等人^[31]从动态的角度建立了基于无干扰理论的可信链模型, 并通过内核执行时前一进程校验后一进程的静态完整性度量方式来实现Linux内核的可信引导. 但是, Linux内核引导过程是一个复杂的过程, 相关进程存在并行执行的情况, 因此该方案存在安全性不足的问题. 张兴等人^[28]借鉴信息流的基本无干扰理论对进程运行的可信进行了形式化定义, 给出并证明了系统运行的可信判定定理. 其是国内将无干扰理论应用到可信计算领域的早期代表性研究方案, 但是该方案仅进行了理论推导, 缺乏实验验证. 陈亮等人^[32]从进程的角度提出了一种基于无干扰理论的信任传递模型, 该模型将系统状态的变化视为执行动作、发出动作的进程共同作用的结果, 从系统行为的层面对系统运行时的可信进行验证. 但是, 该方案仅进行了形式化定义及安全性证明, 缺乏工程实践验证. 张帆等人^[29]通过无干扰模型来判断软件真实行为与预期行为间的一致性, 实现了软件运行过程中的实时可信度量与主动防护, 是无干扰理论应用到可信防护领域的一次工程实践尝试. Zhang等人^[33]通过分析云平台存在的威胁, 基于无干扰理论提出了一种可信域层次模型, 给出了云用户可信域可信运行的约束条件及可信行为的决策定理, 实现了云租户工作负载的完整性和安全性保护, 有效阻止了租户间的非预期干扰.

相比之下, 本文所提出的基于无干扰理论的虚拟机可信启动研究方案, 将虚拟机的启动过程视为qemu-kvm进程运行的动态过程. 通过无干扰理论建立数学模型, 提出并证明了虚拟机可信启动的判定定理, 基于系统调用刻画虚拟机进程运行过程的预期行为, 具备动态性、细粒度性, 也更符合可信定义的本质. 同时, 实验证明方案能够有效对虚拟机启动过程进行动态监控, 保证虚拟机启动过程的动态可信性, 且具备较小的性能损耗.

因此, 综合国内外主流的可信定义^[17,18]及国内应用无干扰解决可信计算领域问题的实践^[28-32], 应用无干扰理论模型去刻画行为符合预期实体可信是极具研究价值的.

1.3 可信启动相关研究

随着云计算技术在社会各行业领域的深层次下沉, 虚拟机计算环境及运行数据的安全性、可用性愈发受到用户关注, 利用可信启动技术为虚拟机构建信任基础^[34,35], 成为了研究虚拟机可信的热门领域. 可信启动是可信计算技术中用于保证计算节点可信的技术之一^[36], 其借用可信计算组织TCG“信任链”和“可信度量”的理念, 从一个初始的“信任根”出发, 采用装载前度量的方式将源于物理可信根TPM (trusted platform module)的信任关系扩展到整个计算平台(其过程如图2所示), 被广泛应用于多种主流操作系统中, 如Linux平台的IMA (integrity measurement architecture)架构^[32].

近年来, 针对虚拟机可信启动的相关研究多采用静态的装载前度量方式来将源于信任根的信任关系通过可信度量转移到虚拟机内部, 可信转移过程如图3所示. 例如, Srivastava等人^[8]采用基于TPM对用户虚拟机运行状态信息进行静态度量方式来保证虚拟机的可信启动; 王庆飞等人^[9]从虚拟机镜像的存储加解密及虚拟机镜像关键组件的静态可信度量两个方面来进行研究, 保证IaaS云虚拟机启动过程的可信; Jin等人^[37]为了将源于硬件TPM的信任链传递到云虚拟机中, 提出了一种利用虚拟机监视器度量虚拟机BIOS及OS Loader的方案, 保证虚拟机的可信启动, 从而建立一个基于硬件可信根的初始信任. 尽管上述方案保证虚拟机可信启动的方式有所不同, 但本质上都是采用“先度量, 后执行”的装载前度量的方式将源于可信根的信任关系逐级扩展到整个虚拟计算平台. 在早期云平台相对轻量级且攻击手段较为单一时, 装载前的静态度量方式不失为解决虚拟机启动过程可信的一种有效方案, 但对于云虚拟机启动过程的高动态性而言, 静态度量方式仍然存在易受TOC-TOU (time of check-time of use)攻击、缺乏实时性等问题.

随着云计算技术的成熟, 云平台逐渐朝着复杂化、高动态方向发展, 由于虚拟节点是以进程的形式存在于物理节点, 其启动过程的相关阶段是利用软件仿真来实现, 一些学者开始注意到虚拟机启动过程面临的动态可信问题. 例如, 刘川意等人^[10]从保证虚拟机执行环境可信的角度提出了一种将可信启动和可信审计技术结合起来的用户可信运行环境构建与实时审计方案, 但针对虚拟机启动相关阶段采用周期性度量的方式进行可信度量, 仍存在动态性不足的问题; 同时所选取的被度量对象为静态代码, 存在有被度量对象特征过于简单, 无法有效表征动态可信性. 林杰等人^[38]提出了一种基于虚拟机自省的完整性度量方案, 通过采用组件独立度量的方式进行动态可信度量, 但度量触发机制为周期性触发, 仍然面临着动态性不足的问题. 上述方案均未从虚拟机启动过程实体行为的角度研究虚拟机动态可信度量, 不符合“实体行为符合预期”的可信本质.

云是一种多域虚拟化环境, 各虚拟域间存在着干扰性问题, 且虚拟机域的状态受虚拟机行为的影响. 如周振吉等人^[39]针对云计算虚拟环境多域并发的特点, 提出了一种树状可信度量模型. 该方案将管理域和用户域间的信任关系分离, 通过管理域的完整性度量及用户域系统调用行为的可信度量来共同保证用户域启动及运行过程的可信性, 但该方案未考虑多虚拟机域间的相互干扰性给虚拟机的启动带来非预期的干扰性问题.

1.4 可信云相关研究

随着云计算在社会各行业领域的深层次下沉与应用, 云计算平台自身的安全问题愈发突出, 将可信计算技术应用到云计算环境中构建可信云环境^[7], 是解决云安全问题的一种新思路.

在多虚拟计算节点的云环境中, 将物理可信根虚拟化从而为云虚拟计算节点提供可信锚点是构建可信云环境的重要基础. 可信根虚拟化最早源于2006年IBM基于Xen架构所提出的TPM虚拟化方案^[40], 但该方案存在两个重大缺点: 首先, 其充当云平台虚拟计算节点可信支撑的vTPM只是一个运行在特权虚拟机 Dom0 中的纯软件应用, 并没有与底层的硬件TPM建立起信任关系; 其次, 该方案中特权虚拟机 Dom0 若是被攻击, 则运行在特权虚拟机中的 vTPM 就会失去其可信性. 从而导致虚拟机的不可信. 文献[41, 42]利用隔离的思想将vTPM实例运行在安全的隔离域中, 提高了虚拟根系统的安全性.

在云环境中, 虚拟可信根作为云虚拟计算节点可信源点, 其纯软应用的本质使得自身的安全性无法得到有效保障.因此基于虚拟机自省VMI (virtual machine introspection)^[43]技术使用安全虚拟机来监控云环境中目标虚拟计算节点的方案被提出.文献[44, 45]等基于安全虚拟机对运行中的系统进行动态防护, 利用物理内存虚拟化方法实时拦截目标虚拟机系统异常行为, 但面临着频繁陷入虚拟机管理层导致性能损耗较大的难题. Du等人^[46]提出了VMI和事件捕获技术的动态完整性度量模型DIMM, 该模型基于虚拟可信根vTPM提出了通过自修改动态测量策略, 降低了可信度量带来的性能开销.

对于宿主机而言, 云虚拟计算节点与Linux普通进程没有区别^[47], 其启动过程具有高动态性, 仅针对虚拟计算节点启动不同阶段进行完整性校验无法防止基于控制流劫持的代码重用攻击^[48]. 文献[49]为应用程序提出了一个轻量级的控制流完整性保护方案TZMCFI, 能够防止应用在运行过程中受到如ROP^[50]等为代表的控制流劫持攻击. 文献[51]指出从虚拟节点级别去监视系统调用行为足以检测到针对虚拟节点的大部分攻击, 提出了一种IaaS环境下KVM虚拟机入侵检测方法, 在基于Linux环境下通过实验和统计分析证明了该方案的可行性和有效性.

2 工作基础 2.1 理论场景

本文以一个小型的OpenStack^[52]私有云环境作为场景示例, 包括1个控制节点、1个计算节点, 且控制节点和计算节点都是具备物理可信根的可信节点, 架构如图4所示.

从Linux 2.6.20开始, KVM被集成到标准Linux内核中, 负责CPU和内存的虚拟化, 使得Linux内核成为一个轻量级的虚拟机监视器. 在用户空间, KVM与修改后的QEMU协同工作, 用于虚拟机的创建、管理和必要设备的模拟^[47]. 在宿主机操作系统看来, 虚拟机与其使用的虚拟CPU都以常规Linux进程的形式存在, 且由Linux内核的调度程序进行管理^[13]. 值得指出的是, 若无特殊说明, 文中所述虚拟机均指qemu-kvm模式下创建的虚拟机, 在文中统一简称为KVM虚拟机.

因此, 在图4所示场景中, 可信的计算节点 $ {{{C}}_{{\text{Node}}}} $ 在可信控制节点 $ {{{T}}_{{\text{Node}}}} $ 的控制下创建并运行多个KVM虚拟机, 且每个KVM虚拟机在可信计算节点 ${{{C}}_{{\text{Node}}}}$ 中都是以qemu-kvm进程的形式存在. 其中KVM虚拟机A运行在可信计算节点中, 且该虚拟机拥有与之唯一对应且绑定的虚拟可信根 ${{\mathit{Tru}}_{\text{A}}}$ .

基于上述场景, 虚拟机A在可信计算节点 $ {{{C}}_{{\text{Node}}}} $ 中是以qemu-kvm^[52]进程的形式存在的, qemu-kvm进程能够完成虚拟计算节点A启动阶段的硬件仿真模拟. 与普通Linux进程不同的是, qemu-kvm进程利用ioctl系统调用通过字符设备/dev/kvm调用底层KVM模块完成CPU和内存的虚拟化, 支持虚拟机运行. 映射给虚拟机的内存实际上是映射到qemu-kvm进程的虚拟内存, 通过对qemu-kvm进程进行监控, 能够有效发现虚拟机启动过程的恶意攻击. 对于qemu-kvm进程而言, 其运行时可信应从两方面考虑, 即动态行为的可信和静态客体文件的可信. 其中, 动态行为表现为系统调用的执行, 对虚拟机进程运行过程中系统调用行为的监控能够有效排除其他进程对其的恶意干扰. 因此, 从虚拟机进程的角度去保证虚拟机的启动过程满足“实体行为”符合“预期”的可信定义是极具可行性的.

云计算使用虚拟化技术实现对底层计算、网络和存储资源的封装, 并以虚拟机的形式提供给远程, 是一种多域虚拟化环境. 多虚拟机进程同时启动或运行的情况下, 如何保障目标虚拟机启动过程不受其他虚拟机进程的非预期干扰是本文关注的重点之一. 基于信息流的无干扰理论通过清除动作序列中来自其他进程的非预期或恶意干扰因素, 从保证系统运行结果符合预期的角度建立安全策略模型, 和“实体行为符合预期”的可信定义在数学上是等价的. 因此, 结合无干扰理论对虚拟机进程运行过程行为是否符合预期进行研究是具备理论优越性及可行性的.

2.2 基本符号定义

本文基于系统“行为”在运行过程中总是符合“预期”且提供可信赖的服务的可信定义, 沿用文献[22]的部分符号定义将虚拟机启动系统形式化描述为进程、动作及状态输出的有限集合.

定义1. 系统 ${{M = (S, P, A, Q}}, O, {{F)}}$ , 包含如下元素.

(1)系统状态集 ${{S = (}}{s_0}, {s_1}, \ldots , {s_n})$ , 其中 ${{{s}}_0}$ 为初始状态.

(2)系统进程集 $ {{P = (}}{p_0}, {p_1}, \ldots , {p_m}) $ , 其中单个进程使用 $ {{p}} $ 表示.

(3)进程客体对象集 ${{{\mathit{Sub}} = (}}su{b_0}, su{b_1}, \ldots , su{b_s})$ .

(4)动作行为集 $ {{A = (}}{a_0}, {a_1}{\text{, }} \ldots {\text{, }}{a_k}) $ .

(5)动作行为序列集 ${{Q}} = ({\alpha _0}, {\alpha _1}, \ldots , {\alpha _l})$ , 其中 ${\alpha _{i} \; (1 \leqslant i \leqslant l)}$ 为动作行为集A中多个元素的集合, 可以表示为: ${\alpha _{{{i}}(1 \leqslant i \leqslant l)}}{\text{ = }} {a_0} \circ {a_1} \circ \ldots \circ {a_i}$ ; 其中, 动作或动作序列为空时, 使用 $ \wedge $ 表示.

(6)进程运行输出结果集 $ O $ .

函数集合F:

(7)动作-进程映射函数 $ dom:A \to P $ , 返回一个原子动作 $ a \in A $ 所属的进程 $ dom(a) $ ;

(8)单步函数 $ step:S \times A \to S $ , 系统M的某一状态 ${S_{{i}}}$ 经过执行单个原子动作 ${a_{{i}}} \in A$ 后所达到的新状态 ${S_{{{i}} + 1}}$ .

(9)多步运行函数 $ process:S \times Q \to S $ , 表示系统M从某一状态经过一个动作序列 $ \alpha $ 后所达到的新的状态.

(10)观测函数 $observe:A \to {\mathit{Sub}}$ 表示在系统状态 ${s_i} \in S$ 下, 所观察到的当前进程执行动作 ${a_i} \in A$ 时所加载的客体对象 $su{b_i} \in {\mathit{Sub}}$ .

(11)执行结果函数 $execute:S \times {\mathit{Sub}} \to O$ ; 表示系统在某状态 $ {s_i} \in S $ 下, 进程执行动作 $ {a_{\text{i}}} \in A $ 所调用的客体对象 $su{b_i} \in {\mathit{Sub}}$ 后产生的结果 $ o \in O $ , 也是发出动作 $ {a_{\text{i}}} \in A $ 的进程 $ p $ 对此时系统状态的观测结果.

关系集合R:

(12)干扰关系 ${\sim \gt }$ : 进程 $ p $ 在运行的过程中, 如果受到进程 $ q $ 发出的动作的影响, 则认为进程 $ q $ 对进程 $ p $ 具有干扰性, 记为 $ q\sim \gt p $ .

(13)无干扰关系 ${{\not \sim \gt }}$ : 和干扰关系互为补集, $ q\not \sim \gt p $ 表示进程 $ q $ 对进程 $ p $ 无干扰性.

(14)进程观察等价关系: $ s\mathop {\text{ = }}\limits^p t $ 表示从进程p的角度观察系统状态s和状态t是等价的.

定义2. 清除函数 $ pure:Q \times P \to P $ : 对于 $ \forall p \in P $ 和 $\alpha \in {{Q}}$ , $ pure(\alpha , p) $ 表示将所有对进程p有正常干扰关系的进程发出的动作保留, 从动作序列 $ \alpha $ 中将对进程p无干扰关系的进程产生的动作删除, 表示如下:

$ pure( \wedge , p) = \wedge $

(1)

$ pure(a \circ \alpha , p) = \left\{ {\begin{array}{l} {\begin{array}{*{20}{c}} {a \circ pure(\alpha , p), }&{{\rm{if}}}\; {dom(a)\sim \gt p} \end{array}} \\ {\begin{array}{*{20}{c}} {pure(\alpha , p), }&\quad\;{{\rm{otherwise}}} \end{array}} \end{array}} \right. $

(2)

定义2的清除函数目的是对一个进程运行过程中的原始动作序列进行简化, 将原始动作序列中对该进程没有干扰的动作删除, 只保留能够使该进程状态发生预期跃迁的干扰动作.

3 虚拟机可信启动研究方案 3.1 基于无干扰理论的虚拟机进程可信判定

定义3. 根据第1.1节中操作可预测、结果符合预期的可信定义, 满足下式的进程 $ p = dom(a) $ 是运行可信的:

$ execute(process({s_0}, \alpha ), observe(a)) = execute(process({s_0}, pure(\alpha , dom(a))), observe(a)) $

(3)

在进程观察等价的条件下, 把公式(3)的左右两边分别视为等价自动机EMA (equivalent machine’s automaton)和预期等价自动机EEMA (expect equivalent machine’s automaton). EMA表示进程p从初始可信状态 $ {s_0} $ 经过动作序列 $ \alpha $ 达到实际状态 $ process({s_0}, \alpha ) $ 后, 利用测试动作 $ a \in A $ 从进程P的角度观察到的系统真实输出结果. EEMA则代表一个相对严格控制信息流动的安全策略的控制下, 排除掉动作序列中对进程没有干扰的动作而得到的预期执行结果(该结果在策略控制下的理论预期执行结果, 是可信的). 若等式成立, 表明从进程p的角度对系统进行观察, 无论针对进程的攻击方式如何多变( $ \forall a $ ), 进程的实际执行状态总是与预期状态保持一致, 说明进程 $ p = dom(a) $ 没有受到潜在的、非预期的干扰, 即进程p是可信的.

定理1 (进程可信运行定理). 如果一个进程 $dom(a)$ 满足以下性质:

(1)输出隔离性, $ s\mathop = \limits^{dom(a)} t \Rightarrow execute(s, observe(a)) = execute(t, observe(a)) $ ;

(2)单步隔离性, $ s\mathop = \limits^{dom(a)} t \Rightarrow step(s, a)\mathop = \limits^{dom(a)} step(t, a) $ ;

(3)局部无干扰性, $dom(a)\not \sim \gt p \Rightarrow s\mathop = \limits^p step(s, a)$ ,

则进程 $ dom(a) $ 是运行时可信的.

证明: 首先假设进程p满足上述3个性质, 要证明进程p可信, 则进程p必须满足定义3中公式(3). 因为进程p满足输出隔离性, 所以只要证明进程p在具有观察等价性质的系统内满足公式(4)即可.

$ s\mathop = \limits^p t \Rightarrow process(s, \alpha )\mathop = \limits^p process(t, pure(\alpha , p)) $

(4)

(1)当 $ \alpha $ 为 $ \wedge $ 时, 式(4)成立.

(2)当 $ \alpha $ 不为 $ \wedge $ 时, 采用假设归纳法进行证明.

首先, 假设动作序列 $ \alpha $ 长度为n时, 公式(4)成立. 那么当动作序列长度为(n+1)时, 设动作序列 $ \alpha '{\text{ = }}a \circ \alpha $ .

对于公式(4)左边:

$ process(s, \alpha ') = process(s, a \circ \alpha ) = process(step(s, a), \alpha ) $

(5)

对于公式(4)右边:

$ process(t, pure(\alpha ', p)) = process(t, pure(a \circ \alpha , p)) $

(6)

对于公式(6)分两种情况进行讨论.

1) $ dom(a)\sim > p $

公式(6)转换为公式(7)结果:

$ process(t, a \circ pure(\alpha , p)) = {{pro}}cess(step(t, a), pure(\alpha , p)) $

(7)

又因为进程p满足单步隔离性, 所以 $ {{ste}}p(s, a)\mathop = \limits^p step(t, a) $ . 因此, 在关于进程p的观察等价条件下, 根据归纳假设总有公式(8)成立:

$ process(step(s, a), \alpha )\mathop = \limits^p process(step(t, a), pure(\alpha , p)) $

(8)

综合公式(5), 公式(7)和公式(8), 由假设条件可得, $ process(s, a \circ \alpha )\mathop = \limits^p process(t, pure(a \circ \alpha , p)) $ 成立.

2) $ dom(a)\not \sim \gt p $

公式(6)转换为公式(9)结果:

$ process(t, pure(a \circ \alpha , p)){\text{ = }}process(t, pure(\alpha , p)) $

(9)

又因为进程p满足局部无干扰性, 所以 $ s\mathop = \limits^p step(s, a) $ , 又因为 $ s\mathop = \limits^p t $ , 所以 $ step(s, a)\mathop = \limits^p t $ 成立. 因此, 在关于进程p的观察等价条件下, 根据归纳假设总有公式(10)成立:

$ process(step(s, a), \alpha )\mathop = \limits^p process(t, pure(\alpha , p)) $

(10)

综合公式(5), 公式(9)和公式(10), 由假设条件可得, $ process(s, a \circ \alpha )\mathop = \limits^p process(t, pure(a \circ \alpha , p)) $ 成立.

综合(1)和(2), 对任意序列长度, 公式(6)均成立. 证毕.

定理1的本质是: 对于满足输出隔离性、单步隔离性、局部无干扰性的进程p而言, 其进程运行过程中的实际行为和预期行为在同步执行任意动作或动作序列后总是能够保证状态等价性, 体现了进程运行过程中的动态可信性. 其中, 隔离性表示进程的状态只与预期的动作相关.

3.2 虚拟机可信启动判定定理

定义4. 当虚拟机启动过程满足以下条件时:

(1)系统的初始状态 $ {s_0} $ 是可信的;

(2)虚拟机进程运行时可信,

则称虚拟机启动过程是可信的.

定义5 (可预期状态). KVM虚拟机中, 虚拟机进程从初始可信状态 $ {s_0} $ 执行预期的系统调用行为序列后所达到的状态为虚拟机启动过程的可预期状态.

定理2 (状态可预期判定定理). 从虚拟机进程 $ p $ 的角度观察, 对任意虚拟机状态 $ {s_i} = (p, {\alpha _i}) $ , 其中 $ {s_i} \in S $ , $ {\alpha _i} \in Q $ ;若 $ {\alpha _{\text{i}}} $ 对公式(11)恒成立:

$ process({s_0}, {\alpha _i})\mathop = \limits^p process({s_0}, pure({\alpha _i}, p)) $

(11)

则认为状态 $ {s_i} $ 是可预期的.

证明: (反证法)假设 $ {s_i} = (p, {\alpha _i}) $ 是不可预期的, 则对于进程p而言, 其从 $ {s_0} $ 到 $ {s_i} \in S $ 的状态跃迁过程中必定受到了非预期的干扰. 即 $ \exists a \in A $ 是动作序列 $ {\alpha _i} $ 的单个动作, 使得 $ dom(a) $ 对p产生非预期的干扰. 那么对于 $ {\alpha _i}{\text{ = }}{\alpha '_{\text{i}}} \circ a $ 而言, 显然 $ pure({\alpha _i}, p) = a \circ pure({\alpha '_i}, p) $ , 所以 $ process({s_0}, pure({\alpha _i}, p)){\text{ = }}process(step({s_0}, a), pure({\alpha '_i}, p)) $ 一定成立.而在 $ {s_i} = (p, {\alpha _i}) $ 是符合预期的情况下 $ process({s_0}, pure({\alpha _i}, p)){\text{ = }}process(pure({\alpha '_i}, p)) $ . 显然, $ process(pure({\alpha '_i}, p)) \ne $ $process (step({s_0}, a), pure({\alpha '_i}, p))$ .

定义6. 进程状态跃迁是通过系统调用行为来体现的, 因此对于任意可预期状态 $ {s_i} \in S $ 执行符合预期的单个系统调用行为 $ {a_i} \in A $ 会到达下一个可预期状态 $ {s_{i{\text{ + }}1}} \in S $ .

定义7. 验证函数: $verify:S \times S \to \left\{ {{\rm{true}}, {\rm{false}}} \right\}$ . 若 $ {s_i} \in S $ 满足 $ process({s_0}, {\alpha _i})\mathop = \limits^p process({s_0}, pure({\alpha _i}, p)) $ , 且对于 $ {s_{i{\text{ + }}1}} \in S{\text{ = }}step({s_i}, {a_i}) $ 而言, $ {a_i} $ 符合预期且 $ observe({a_i}) $ 完整性未受到破坏, 则认为状态 $ {s_i} $ 和 $ {s_{i{\text{ + }}1}} $ 间的转移是可信的, 即 $ verify({s_i}, {s_{i{\text{ + }}1}}){\text{ = true}} $ .

定理3 (虚拟机可信启动判定定理). 当虚拟机启动过程满足如下条件时:

(1)虚拟机启动过程基于可信根开始运行.

(2)对 $ \forall {s_i} \in S $ 为可预期状态, $ \exists {a_i} \in A $ 使得 $ verify({s_i}, {s_{i + 1}}){\text{ = }}{\rm{true}} $ .

则虚拟机启动过程是可信的.

证明: 要证明定理3成立, 只需要证明虚拟机的启动过程满足定义4中的两个条件即可.

(1)利用虚拟化技术为虚拟机配置唯一绑定且对应的虚拟可信根vtpcm (virtual trusted platform control module), 虚拟可信根先于虚拟机的启动而初始化, 为虚拟机的启动、运行提供可信支撑. 虚拟可信根的可信性由位于宿主机底层的物理可信芯片保证, 是一种无条件可信, 无法从进程可信和动作序列推出, 满足定义4中的条件(1). 接下来只需证明定理3的条件(2)满足定义4中的条件(2)即可.

(2)对于任意可预期状态 ${s_i} \in S$ , 由定理2可知, 总有公式(12)成立:

$ process({s_0}, {\alpha _i})\mathop = \limits^p proccess({s_0}, pure({\alpha _i}, p)) $

(12)

由 $ verify({s_i}, {s_{i + 1}}){\text{ = }}{\rm{true}} $ 及定义7可知, $ \exists {a_i} \in A $ 为符合预期的系统调用行为, 则对于 $ {s_{i+1}}{\text{ = }}step({s_i}, {a_i}) $ :

1) $ {a_i} \in A $ 为对虚拟机启动过程产生干扰的预期行为, 则 $ pure({\alpha _{i + 1}}, p){\text{ = }}pure({\alpha _i} \circ {a_i}, p) = {a_i} \circ pure({\alpha _i}, p) $ , 所以,

$ proccess({s_0}, pure({\alpha _{i{\text{ + }}1}}, p)){\text{ = }}proccess({s_0}, pure({\alpha _i}, p) \circ {a_i}) = step(process({s_0}, pure({\alpha _i}, p)), {a_i}){\text{ = }}process({s_0}, {\alpha _{i + 1}}). $

2) $ {a_i} \in A $ 为对虚拟机启动过程无干扰的预期行为, 则 $ pure({\alpha _{i + 1}}, p){\text{ = }}pure({\alpha _i} \circ {a_i}, p) = pure({\alpha _i}, p) $ , 所以,

$ proccess({s_0}, pure({\alpha _{i{\text{ + }}1}}, p)){\text{ = }}proccess({s_0}, pure({\alpha _i}, p)) = process({s_0}, {\alpha _i}) $ .

又因为 $ {a_i} \in A $ 对虚拟机进程无干扰, 所以由局部无干扰性可知 ${s_i}\mathop = \limits^p step({s_i}, {a_i}) = {s_{i + 1}}$ , 所以 $ proccess({s_0}, pure({\alpha _{i{\text{ + }}1}}, p)) = process({s_0}, {\alpha _i}){\text{ = }} process({s_0}, {\alpha _{i{\text{ + }}1}}) $ 成立.

综上, 对 $ \forall {s_i} \in S $ 为可预期状态, 且 $ verify({s_i}, {s_{i + 1}}){\text{ = }}{\rm{true}} $ 时, 状态s满足 $ process({s_0}, \alpha )\mathop {\text{ = }}\limits^p proccess({s_0}, pure(\alpha , p)) $ .

令s=t=t₀, 总有公式(13)成立:

$ process(s, \alpha )\mathop {\text{ = }}\limits^p proccess(t, pure(\alpha , p)) $

(13)

又因为 $ observe({a_i}) $ 完整性未受到破坏, 则在 $ s\mathop {\text{ = }}\limits^p t $ 等价观察条件下, 必有公式(14)成立:

$ execute(s, observe({a_i}))\mathop {\text{ = }}\limits^p execute(t, observe({a_i})) $

(14)

因此, 虚拟机进程满足输出隔离性. 由定理1可得, 满足输出隔离性且满足公式(12)的进程是运行时可信的.

综上所述, 得证.

定理3在定理1的理论基础之上给出了虚拟机启动过程的可信判定定理, 该定理给出了虚拟机进程运行过程中系统的实际状态与预期状态总是在同步执行的情况下保持等价的条件, 即一个从可信初始状态 $ {s_0} $ 开始运行的虚拟机进程, 保证任意可预期状态到下一个状态间的转移过程是可信的, 且在状态转移过程中系统调用的客体对象是可信的, 就能够有效保证虚拟机进程运行过程中的输出隔离、单步隔离、局部无干扰, 是定理1的实际应用.

4 总体架构 4.1 基本思想

基于第2.1节构造场景: 云环境中, 多虚拟机进程共同运行在同一物理节点上, 虚拟机进程系统调用的执行会导致虚拟机进程状态发生跃迁. 目标虚拟机启动时, 该虚拟机进程运行时可能会受到不可信虚拟机进程的非预期干扰. 通过系统调用攻击正常虚拟机进程势必会导致虚拟机启动过程的不可信, 从而导致目标虚拟机状态的不可控. 通过系统调用攻击虚拟机进程, 主要有两种方式: 一是修改正常系统调用序列实现攻击目的; 二是系统调用重定向.

本文基于无干扰理论, 从保证虚拟机进程运行时可信的角度出发, 选择虚拟机进程系统调用作为原子动作, 在计算节点 $ {{{C}}_{{\text{Node}}}} $ 中利用ptrace命令实时获取虚拟机进程相关的系统调用, 通过分析系统调用, 排除对虚拟机启动相关无干扰的系统调用行为, 建立虚拟机进程可信运行产生预期干扰的系统调用行为白名单. 同时以Linux操作系统作为原型环境, 基于Linux安全模块LSM (Linux security module)^{[53, 54]}机制, 利用SELinux^[55]在宿主机操作系统内核层通过重写钩子函数的方式来对虚拟机的启动过程的重点系统调用做主动控制, 并通过系统调用的相应接口函数对虚拟机启动过程加载的目标客体文件做主动度量. 根据第3.2节中的定理3, 对相应度量监测结果进行实时判定, 综合考量虚拟机进程状态的跃迁是否符合预期, 从而对虚拟机启动过程可信状态进行评估.

值得指出的是, 虽然本文捕获系统调用的方式是通过修改Linux内核实现, 但是基于Linux内核本身集成的安全框架, 不会对内核的运行造成过大负担.

4.2 总体框架设计

基于无干扰理论的虚拟机可信启动研究方案总体架构如图5所示, 主要包括: 根据定理3对虚拟机状态进行评估的可信管理模块, 对虚拟机启动命令进行监控的监测机制, 结合可信管理模块的判定结果对虚拟机进程相关系统调用执行进行管控的控制机制.

(1)监测机制: 对用户层的虚拟机启动命令进行监测, 并在监测到虚拟机启动命令后调用控制机制对虚拟机进程在内核层的系统调用行为进行拦截控制.

(2)控制机制: 是监测机制发挥作用的入口, 接受监测机制的调用, 基于Linux内核的LSM通用框架实现对虚拟机进程运行过程中的系统调用行为进行控制, 主要控制过程包括捕获系统调用行为, 获取行为相关的客体、操作等信息, 将其发送至可信管理模块进行处理, 并根据判定机制对虚拟机进程运行状态的可信判定结果管控虚拟机相关系统调用的执行.

(3)可信管理模块: 对虚拟机进程运行过程中的动态行为及加载的静态客体进行可信判定, 并将判定结果发送至控制机制.

● 度量机制: 响应控制机制的服务请求, 在虚拟可信根的支持下, 对虚拟机进程运行过程中加载的重要客体文件进行可信度量, 并将度量结果发送至判定机制. 例如: 当用户层的虚拟机启动命令发出后, 虚拟机进程会通过ioctl系统调用进入KVM内核层, 完成虚拟机的相关初始化工作后, 跳转到虚拟BIOS的代码入口处去执行, 然后通过系统调用加载镜像数据. 此时需要对虚拟BIOS、增量镜像数据等文件进行可信度量, 防止被修改过的数据载入内存.

● 匹配机制: 响应控制机制的服务请求, 对虚拟机进程运行过程中的重要系统调用行为与系统调用行为白名单进行匹配, 并将结果发送至判定机制.

● 判定机制: 接收度量机制及匹配机制发送的结果, 根据定理3实时判定虚拟机启动过程是否可信, 并将判定结果发送至控制机制.

虚拟机可信判定算法伪代码如算法1所示.

算法1. 虚拟机可信判定算法.

输入: 系统调用行为匹配结果(Result_Syscall), 客体文件度量结果(Ob_measurment), 判定策略(定理3: Theorem 3), 虚拟机初始状态( ${{\boldsymbol{s}}_0}$ );

输出: 虚拟机状态Result_state (false代表不可信, true代表可信).

Begin

Result_state $ \leftarrow $ false;

//把虚拟机状态假定为不可信的;

If ( ${{\boldsymbol{s}}_0}$ $ \leftarrow $ true){

//判断虚拟机初始状态是否可信

While vm_ImageFile not be load

//判断镜像文件是否完成加载

{

　if(Result_Syscall $ \subseteq $ Theorem 3&&Ob_measurment $ \subseteq $ Theorem3)

　Result_state $ \leftarrow $ True;

　//基于相关结果, 根据判定定理3, 实时判定虚拟机当前状态可信;

　else {

　　　　Result_state $ \leftarrow $ False;

　　　　//把虚拟机状态置为不可信;

　　　　break;

　}

}

　return Result_state;

}

else

　return False;

End

(4)系统调用行为白名单: 首先在可信的情况下, 利用ptrace命令对虚拟机进程的运行过程进行监测, 收集虚拟机进程运行过程中正常的系统调用行为. 通过实验分析选取对虚拟机启动过程影响较大的重要系统调用作为系统调用行为白名单的主要来源, 建立对虚拟机启动过程产生预期干扰的系统调用行为白名单. 其中, 白名单中的系统调用应包括相应的参数内容.

(5)可信基准库: 主要为度量机制提供可信基准值校验数据, 包括但不仅限于虚拟机的虚拟BIOS、增量镜像等基准值数据. 本文可信基准库的获取基于这样一个安全前提假设, 即在确保可信的宿主机平台上进行虚拟机完整启动过程监测, 并对虚拟机启动过程加载的静态数据进行完整性度量, 并获取相关度量值, 然后将度量值存储到可信基准库中.

需要指出的是本文基于国产可信根TPCM (trusted platform control module), 利用虚拟化技术为云虚拟机提供虚拟可信根vtpcm, 将信任关系从物理平台传递到云环境中, 保证虚拟机启动的初始状态 ${s_0}$ 是可信的.

5 实验分析

本文通过在局域网内搭建并运行OpenSatck平台^[52]来模拟云环境下虚拟机的运行环境, 其中包括一个控制节点及两个计算节点, 控制节点用于对OpenStack平台下的虚拟机进行管理, 计算节点用于给虚拟机提供运行环境. 本文基于可信计算北京市重点实验室开发的虚拟可信根对虚拟机的启动过程做可信支撑. 节点软硬件配置如表1所示.

5.1 安全功能分析

为了测试本文研究方案是否能够动态防护针对虚拟机进程的攻击, 我们基于两种内核级的rootkit^[57]建立两种威胁场景, 并模拟它们的攻击来对虚拟机可信启动研究方案的安全性能进行测试, 表2展示了我们在实验中选择的rootkit及其恶意攻击方式.

威胁场景假设: (1)本文假设所构造的OpenStack云场景中使用的物理计算节点是基于可信引导完成启动过程, 且具备相应的安全机制能够保证物理计算节点可信; (2) qemu-kvm进程在模拟虚拟机启动的过程中受到修改其系统调用行为的恶意攻击, 值得指出的是, 攻击能否在拥有可信根的计算节点上实施并不属于本文关注的内容; (3) 每个KVM虚拟机都视为一个Linux普通进程, 监视qemu-kvm进程的系统调用行为足以保证虚拟机应对修改其系统调用行为的攻击. 考虑两种攻击场景.

场景1: Enyelkm^[58]是一款基于可加载内核模块LKM (Linux kernel module)的内核级rootkit, 被实现为一个可加载的隐藏内核模块.其在不修改系统调用表的基础之上, 通过替换中断描述符表的system_call函数中检测系统调用号是否越界的指令无条件跳转指令的方式, 使进程运行过程所请求的系统调用都会被转向攻击者预先设定的恶意处理函数执行逻辑, 从而实现攻击.

本文使用基于Enyelkm, 通过将其函数执行逻辑替换为自定义的打印“hello world”的程序文件, 然后编译成为一个简单的内核模块lkm_example, 并在虚拟机运行时挂载该模块. 当模块lkm_example被挂载后, 能够自动隐藏不被lsmod搜索到, 此时挂载后的模块会扩充到虚拟机镜像文件的增量镜像中, 完成了对虚拟机镜像文件的恶意修改攻击行为的模拟. 本文研究方案的监测机制通过对虚拟机进程运行过程系统调用加载的重要客体文件进行可信度量, 能够及时发现恶意程序对正常系统调用的hook, 防止恶意隐藏模块被挂载, 保证虚拟机可信启动.

场景2: Knark是基于LKM的内核级rootkit, 其通过修改系统调用表将某些系统调用编号对应的服务函数替换为攻击者的恶意处理函数, 从而实现root提权、非法加载进程等非法行为. 在计算节点中, 虚拟机进程通过read系统调用加载虚拟机配置文件时, Knark通过替换该系统调用为自定义系统调用, 实现对虚拟机配置文件的修改或其他非法恶意操作行为.

本文通过对Linux系统调用函数进行劫持替换的目的来模拟Knar攻击(如图6所示), 以此来测试本方案的检测能力. 以sys_read为例, 在x86_64架构机器中展示劫持系统调用的过程: 首先, 通过kallsyms_lookup_name(“sys_call_table”)获取系统调用表地址(其中 system call table是一个数组, 可以根据下标为“ __NR_read”来找到内核具体的系统调用函数sys_read()地址), 然后将该地址替换为自定义的“恶意函数”即可. 由于系统调用表sys_call_table地址符号所对应的区域是只读的, 因此在进行函数地址替换前需要对“只读”权限进行修改. 具体的: 如果控制寄存器CR0的第16位置位, 则表示禁止系统进程写那些只有只读权限的文件, 所以在修改系统调用表sys_call_table之前先将CR0的第16位清零(具体代码见附录), 当修改完后重新恢复置位即可.

通过实时监控虚拟机进程的系统调用, 并与系统调用行为白名单进行匹配, 能够及时发现虚拟机进程执行过程中系统调用行为的异常调用, 保证虚拟机启动过程的可信.

5.2 性能开销分析

本节采用时间负载 $ \phi $ 作为本文研究方案的性能评价指标, 其中引起时间负载的因素包括3个部分: (1)捕获系统调用所用的时间 $ {t_1} $ ; (2)匹配系统调用行为白名单的时间 $ {t_2} $ ; (3)合法系统调用加载客体数据的可信度量时间 $ {t_3} $ .

在实际运行及测试中, 虚拟机启动过程中各阶段的执行流程及配置文件的读取顺序是固定不变的, 因此在qemu-kvm进程模拟虚拟机启动过程的时间段内, 启动过程的系统调用流序列呈现出局部稳定的状态. 可信启动相较于普通启动过程而言, 其差别在于系统调用执行过程的监控及可信度量行为, 因此使用系统调用执行时间和能够有效表征启动时间. 能够利用strace命令得到了系统调用的执行时间, 设虚拟机可信启动过程的所有系统调用执行时间和为 $ {t_{{\text{trust\_s}}}} $ , 虚拟机正常启动过程系统调用执行时间和为 $ {t_{{\text{normal\_s}}}} $ .

因为本文原型实验对系统调用的捕获是基于SELinux^[55]机制完成, 通过在SELinux实现的HOOK函数中添加处理逻辑, 完成对系统调用的监控. 而SELinux作为一种基于强制访问控制的LSM通用安全框架的具体实现, 属于Linux内核的一部分, 且在centOS中是默认开启的, 即正常启动时, SELinux也会对进程系统调用进行捕获, 从而通过策略规则来控制进程对内核对象进行访问. 因此认为, ${t_{{\text{trust\_s}}}}{\text{ = }}{{{t}}_{{\text{normal\_s}}}} + {t_2} + {t_3}$ . 其中, ${t_1} \in {t_{{\text{normal}}\_s}}$ .

因此,

$ \phi = \frac{{{t_{{\rm{trust\_s}}}} - {t_{{\rm{normal\_s}}}}}}{{{t_{{\rm{normal\_s}}}}}} = \frac{{{t_2} + {t_3}}}{{{t_{{\rm{normal\_s}}}}}} $

(15)

利用strace命令, 结合KVM虚拟机的启动流程对虚拟机启动过程的相关系统调用进行统计, 两次统计结果表明虚拟机不同启动过程所调用的同一类系统调用次数大致稳定, 如图7所示. 分析发现虚拟机启动各阶段主要受配置文件的读写等系统调用影响较大, 因此本文选取write、read这两类系统调用作为系统调用白名单规则的主要来源. 当上述两类系统调用被捕获并进行系统调用白名单匹配后, 根据其系统调用参数对其加载的文件进行可信度量.

(1) t₂主要是字符串比较等指针操作, 进行一次匹配所带来的性能损耗极小. 但是在虚拟机进程模拟虚拟机启动过程的这一阶段内系统调用的次数是相对较大(如表3所示), 如果每一次系统调用都进行白名单匹配, 那么会给内核带来极大的负担. 值得指出的是表3中的数据并非是稳定的数值, 表3的数据是在实验过程中多次实验得到的平均值, 每次实验的真实值围绕平均值上下浮动.

通过查阅相关文献发现, rootkit活跃期和周期时间一般都在10 s数量级以上, 只要随机时间间隔设置合理能够有效发现rootkit攻击. 因此在实际实验过程中可以采取间隔随机时间段的方式来进行白名单规则匹配, 这样虽然在一定程度上降低了安全性, 但是极大地提升了性能. 实验发现, 当随机时间间隔在[1.5, 3] ms之间时, $ {t_2} $ 在[0.7, 1.43] s之间来回浮动, 如图8所示.

(2) t₃是对重要客体文件进行完整性度量的耗时, 为了提高性能, 只对与虚拟机启动相关度较大的客体文件进行全面可信度量, 即虚拟机增量镜像文件、BIOS的模拟文件bios-256k.bin. 本实验发现调用SM3^[59]进行完整性度量所耗费的时间与被度量文件的大小呈线性正比关系, 如图9所示.

由于虚拟机进程运行时加载的BIOS模拟文件的大小是恒定不变的且数量级较小, 因此 $ {t_3} $ 主要体现在虚拟机增量镜像文件的完整性度量耗时上, 即随着虚拟机增量镜像文件不断变大, 虚拟机启动的时间开销也会逐渐变大. 表4给出了客体文件完整性度量的时间消耗, 其中虚拟机增量镜像文件完整性度量耗时最长, 总的完整性度量耗时 $ {t_3} $ 约为0.64 s. 值得指出的是, 每次重启虚拟机时, 其增量镜像大小会发生变化, 从而导致完整性度量时间发生改变.

从上面测试分别可以获取 $ {t_2} $ 和 $ {t_3} $ 的值, 为了提高测试的精确性和科学性, 进行了5次实验, 图10给出了不同启动条件下的启动过程时间开销. 根据公式(15)计算得出对虚拟机进程的可信监控给虚拟机的启动带来的性能影响在[6.8%, 9.3%]区间内徘徊, 在虚拟机实际使用过程中并不会造成过大的影响.

5.3 对比分析

通过对比分析来评估本文提出的基于非传递无干扰理论模型的虚拟机启动框架, 主要同已有的研究进行对比(表5), 对本文所提出方案的优缺点进行分析总结.

结合表5, 可以看出本文所述基于非传递无干扰理论的虚拟机可信启动方案具有以下几个方面的优势.

(1)可信支持: 本文方案采用我国自主可信平台控制模块TPCM作为底层物理可信根, 并结合虚拟化技术基于Cube架构^[56]实现了能够对云虚拟机进行可信支持的虚拟可信根vTPCM.

(2)细粒度: 本文方案从qemu-kvm进程的角度对虚拟机启动过程中系统调用行为进行监测, 能够较为细粒度地对虚拟机启动过程进行可信管控.

(3)安全性: 本方案基于SELinux设置安全监控钩子函数, 能够从系统调用的层次对虚拟机启动过程的相关行为进行管控, 同时结合对虚拟机启动过程加载的静态文件数据进行完整性校验, 能够有效防止针对系统调用的恶意攻击.

(4)动态性: 云环境中虚拟机启动过程具有高动态性, 装载时度量不能有效保证qemu-kvm进程运行时的可信性. 本文方案采用动态行为触发结合随机时间间隔的方式对虚拟机启动过程进行可信监测, 能够极大的提高可信度量的动态性, 有效防止TOC-TOU攻击.

6 结束语

将可信计算应用到云环境中保证虚拟机可信启动是解决虚拟机可信的基础, 本文从保证虚拟机进程运行时可信的角度出发, 基于无干扰理论提出了一种虚拟机可信启动研究方案. 针对云计算模式下, 虚拟机启动过程的动态性及运行在同一物理节点上的多虚拟机进程间的非预期干扰问题, 首先基于无干扰理论, 提出并证明了虚拟机可信启动判定定理; 在此基础之上, 以虚拟机进程的系统调用为原子动作, 基于Linux内核的安全框架SELinux, 设计并实现了能够监测、控制虚拟机进程运行过程的原型系统, 兼顾虚拟机进程的动态行为验证及静态组件的可信度量, 实现了对虚拟机启动过程的动态度量及控制, 避免了目标虚拟机启动时多虚拟机进程间的非预期干扰, 保证了虚拟机启动过程的动态可信. 通过实验分析, 验证了本文研究方案的有效性, 且原型系统带来的额外性能开销处于可接受范围内.

在接下来的研究中, 仍有一些工作需要进行: 针对虚拟机增量镜像数据部分的可信度量, 如何兼顾细粒度与低时间性能开销; 增加对系统调用行为不同序列及参数组合的差异性研究, 利用机器学习相关算法^[60]构造能够精准反映虚拟机进程运行符合预期的系统调用序列行为模型.