Vol.36 No.2
92
舰船电子工程
Ship Electronic Engineering
虚拟计算平台可信平台模块构建技术研究
郑志蓉
（海军计算技术研究所北京100841）
总第260期 2016年第2期
摘要对虚拟计算平台的引导过程进行了分析，提出了可信平台模块虚拟构建和物理扩展构建的基本原理和流程可信平台模块虚拟构建方式采用单一物理可信平台模块通过虚拟机管理器为虚拟机提供逻辑独立的可信安全服务。可信平台模块物理构建方式采用多个物理可信平台模块为虚拟机提供物理独立的可信安全服务。
关键词可信平台模块：虚拟计算平台；虚拟可信平台模块
中图分类号TP309.1
DOI:10.3969/i.issn.1672-9730.2016.02.025
Construction Technology of Trust Platform Module
in the Virtual Computing Platform
ZHENG Zhirong
(Computer Technology Institute of Navy , Beijing100841)
Abstract The boot way of the virtual computing platform is analyzed . The principle and the process of the virtual trust platform module and the real trust platform module construction are put forward. The virtual trust platform module gives logical service for every virtual machine using single real trust platform . The real trust platform module gives physical service for every virtual machine using many real trust platforms .
Key Wordstrust computing platform module, virtual trust computing platform,virtual trust computing platform module Class NumberTP309.1
1引言
虚拟计算平台采用的虚拟化技术包括指令
级虚拟化、硬件抽象级虚拟化和操作系统级虚拟化，目前研究最广泛的虚拟化技术是硬件抽象级虚拟化。硬件抽象级虚拟化中的混合模式充分利用了操作系统已有的设备驱动实现虚拟机的设备模型，是一种高效和相对安全的虚拟化实现模式。
在虚拟计算平台中构建可信平台模块（TPM)2~8) 充分利用虚拟化技术的优势，以TPM为信任根，建立信任链，保证虚拟机运行环境及其上层操作系统的完整性，能确保整个虚拟计算平台的安全可信。
2虚拟计算平台的引导过程
虚拟计算平台加电后，BIOS会对机器的硬件
设备进行加电自检，BIOS初始化完成后为虚拟机管理程序（Hypervisor）提供变量相关、时间、唤醒、虚拟内存服务、重启关机、时钟、交换信息等硬件相关服务。随后BIOS启动Hypervisor和虚拟机主控制域（Domiano），Hypervisor负责虚拟机的执行。Domaino控制物理I/o资源，并同时与其他运行于该平台上的虚拟机交互[9-10]。
DomainO启动其它虚拟机用户虚拟域（Do mainU）。Domaino包含了两个驱动，支持来自于其它虚拟机的网络和本地磁盘请求。由于Hyper-visor和Domino先于用户虚拟域操作系统（Guest OS)启动，虚拟机系统中GuestOS是不能直接通过访间BIOS来获取启动时所需要的硬件信息的。为了使GuestOS能够得到BIOS提供的硬件信息，虚拟机系统通过启动信息页的方式向Guest OS提供硬件信息，使用共享信息页用于在Guest
*收稿日期：2015年8月6日，修回日期：2015年9月24日
作者简介：郑志蓉，女，博士，高级工程师，研究方向：信息安全。