【分　 类】 信息科技
【关 键 词】 TCP；可信JVM；远程动态验证
【来 　源】 互联网
【收　 录】 中文学术期刊网

正文：
【摘要】本文综合己有的可信JVM系统架构提出了一种基于TCP的可信JVM系统架构，利用内嵌可信芯片在通用平台上构建了可信JVM远程动态验证系统.该系统支持类属性验证、类行为监控、安全策略继承配置，提供动态远程认证、远程能力测试、唯一主机标识、自身免疫功能，提供实时完整性度量功能。实现了在通用平台上利用可信JVM进行可信计算的远程动态验证。
关键词: TCP；可信JVM；远程动态验证
The investigation of a remote-trusted computing dynamic authenticating system by TCP-based-trusted JVM
【Abstract】This paper give a kind of TCP based trusted computing JVM Framework by synthesizing a few existed ,and witch  utilized a trusted chip build-in to build a trusted computing dynamic authenticating system .This system has the ability of the class-property-authenticating ,the class-action-monitor-and-control ,the security-policy-config , the  dynamic remote authenticating ,the  remote ability testing , the only host identifier ,self immunity , the realtime integrality measurement .And built a remote-trusted computing dynamic authenticating system by TCP-based-trusted JVM , witch ensure the system’s reliability.
Keywords: TCP ;rusted JVM ; remote-trusted computing dynamic authenticating

1.引言

在现代网络计算环境中，如何实时远程验证一个计算机系统或其上的程序运行状态，以便相信它是按照预期运行是一个基础性问题。没有人敢于完全信任程序，因为它太容易被被篡改;也因此，人们不可能完全信任操作系统。但是如果能够动态验证一个系统或其上的程序运行状态则可以大大改善这种现状^[1]。
本文构建了一个利用集成在PC中的基于TCG可信计算标准的安全芯片在通用开放平台上实现可信验证的基于TCP构架的可信JAVA虚拟机（TrustedJVM）远程验证系统。该系统实现TCP安全框架，构建了一个可信计算远程动态验证平台，在很大程度上保证系统的可信度。

2.可信JVM研究

有大量的科研人员在从事可信计算领域的研究，但是现在还没有任何人做出开放平台上合适的关于远程验证机制的精确、动态并独立于平台的系统。
T.Garfinkel等已经提出的TerraVM的虚拟机监控器架构^[2]可以与潜在的可信硬件接口通信。该架构提供两个虚拟机管理器的抽象概念―openbox虚拟机管理器和closedbox虚拟机管理器。Openbox虚拟机管理器简单的提供了一个遗留下来的不可信接口,它允许老的操作系统和软件不需任何修改运行于其上。Closedbox虚拟机管理器提供了一个与潜在的可信硬件的接口，可以使用新的软件。大量的虚拟机管理器能直接在硬件上运行，他们被强制隔离并拥有自己的加密存储器。
B. Chen and R. Morris.等提出的Cerium系统^[3]的目标是提供明确的反篡改执行机制。其使用反篡改CPU执行所有的代码，而并不是使用一个协处理器来提供物理级保护。该构架还使用软件加密所有数据（包括加密写入主存的cache数据）。
数字分布式系统安全构架^[4]已经具有一些当今TCPA规范的特征，包括安全启动验证，使用哈希签名远程认证系统软件。Aegis系统提供了安全启动验证。从硬件开始软件的每一层都使用存储的哈希值来验证。只有当控制流未被篡改时才能够通过。
可信计算组织已经制作出应用于PC的硬件可信模型规范--可信计算平台模块（TPM）,实际上就是当前的可信计算芯片。常用的普通可信计算就是结合该可信计算芯片和软件提供的安全启动以及强隔离性来实现的。IBM ThinkPad 笔记本电脑就包括了相似的模型；武汉瑞达可信安全计算机也是在计算机的平台上，增加一个嵌入式安全控制模块（ESM）来提升其安全性能，但对程序行为没有监控；联想推出的“恒智”安全芯片,提供完整性度量、唯一主机平台身份识别、硬件级的密钥保护三大功能，目前联想同样使用该芯片来实施可信计算。
尽管如此，以上所有的系统构架都没有集中于研究如何改进远程验证机制。我们利用集成在PC中的基于TCG可信计算标准的安全芯片在通用开放平台上实现基于TCP构架的用于远程动态可信验证的可信JAVA虚拟机（TrustedJVM）远程验证系统。该系统在很大程度上实现TCP安全框架，构建了一个可信计算远程动态验证平台，保证了系统的可信，并且不局限于特定的操作系统，对于打破特定可信操作系统，特别是对关系到国家安全的可信操作系统的垄断具有积极的意义。
基于以上原因，我们提出了可信JAVA虚拟机（TrustedJVM）架构，它部分类似和TerraVM有很大不同，虽然TerraVM提供了与实际硬件的接口， TrustedJVM却提供了一个更高级别的接口，执行平台独立的代码。TrustedJVM的目标是提供为远程认证提供更好的特性。

3.远程验证系统实现

3.1.远程验证系统工作原理

传统远程验证方法存在很大缺陷，基本原因是：真正需要的是证明远程计算机上程序的行为，而不是现在得到的被运行程序的一个特殊的二进制状态^[5]。现阶段已经存在或正在研发的技术均采用验证程序HASH值的静态方式来远程验证。
基于TrustedJVM的动态远程认证系统结构利用现有TCP技术、硬件平台、JVM和操作系统的技术基础，构建一个可大幅提高操作系统上基于可信操作的大量应用的可信性、安全性和免疫能力的虚拟机软件运行和验证环境，解决传统可信远程认证方法中没有解决的，在包含了大量不同软硬件平台的开放系统上，同一程序有不同的执行状态时，在可信平台上运行的程序的相互鉴别问题。
如下图1所示:
 
 

硬件平台

安全芯片

可信虚拟机监控器(TVMM)

操作系统

私鈅加密数据

可信JVM

可信软件

不可信软件

签名模块

签名模块

远程验证数据流

 1/3    1 2 3 下一页 尾页