@dyk
2015-07-12T01:12:45.000000Z
字数 2442
阅读 479
ReadingNote
ACSAC'11
可信计算与虚拟技术的结合能够完整基于硬件的隐私信息保护以及恶意原件的检测。但这这些应用都是在基于一个正确的TPM的虚拟化的实现即vTPM。目前的挑战是TPM的虚拟化实现不应该阻碍经典的平台功能,例如虚拟机迁移。
作者提出了一个安全的VM-VTPM迁移的必要田间,并且提出了一个适合与VM-vTPM迁移的密钥的结构。之后作者利用这个密钥结构实现了一个安全的VM-vTPM的迁移协议。作者提出的协议比现有协议要更加有安全保障。
作者假设攻击者A能够监听,修改,插入,删除网络中的信息。假设A为了让他能在网络中开启他自己的虚拟机,以及获取迁移虚拟机的信息,A将滥用迁移的协议。并且A能够理由远端服务器(迁移的源端或者目的端的服务器)中的软件漏洞。但是A并没有接触物理机器的权限。
安全迁移协议的要求
1. VM-vTPM的私密性以及完整性,不允许不安全的实体在VM-vTPM迁移的过程中得到任何的相关信息。所有的针对这个迁移的攻击都能被检测
2. 初始的授权,任何不可信的虚拟机没有办法迁移VM-vTPM。
3. 保存可信链,只有可信的服务器才能作为正确VM的迁移目的地。
作者的vTPM密钥结构,为了能够让迁移过程中重新生成的密钥数量尽可能的少,作者提出了在TPM与vTPM中新添加一层中间层。这个中间层由全局SRK(gSRK,对应SRK与vSRK),一组连接TPM密钥(AIKs)以及vTPM相对密钥的的签名密钥(SK)。尽管这些签名密钥gSRK与SK是不能迁移的,但是允许vSRK与vAIK的迁移,并且保持了TPM与vTPM之间的强沟耦合。使用不同的SK可以让一个TPM同时与多个vTPM进行交流。vTPM上面的vSRK以及vAIK的证书全部都是由TPM产生的。这样的设计就不要vEK了,应为vTPM的授权都是依赖与TPM的AIK。
作者进一步的将vTPM密钥划分为内部与外部密钥,内部密钥将在VM迁移的过程中保持。这些包括只在虚拟机内使用的vSRK以及加密和签名的密钥。而外部的密钥将会在迁移过程中重新的迁移。
[4,5,7] 研究的是VM-vTPM的迁移,也提出了几个协议,[9]提出了一个在Xen上面的实现。然而其中只有[4]保护了迁移过程中的完整性。而[5,7]是在迁移前度量系统的完整性。然而这些方案都没有度量迁移的发起者,也没有考虑验证迁移发起者的授权。
[28] 关于live migration的一个统计。
Boris Danev
Ramya Jayaram Masti
Ghassan Karame
Srdjan Capkun
下面的3篇文章都是第3作者的
S&P'13
安全的删除指的是如何在物理的硬件中彻底的删除,使得删除后的东西没有办法恢复。在现实中,数据默认并不是使用安全删除的。现有的很多方法都是把安全删除的功能添加在了物理的中间件接口上面。硬件的中间件接口可以分布在很多的层次上面,例如可以在用户层的应用,文件系统,设备驱动等等。基于在不同的实现层面,实现方法的性能会有很大的不一样。
本文中,作者详细调查了相关的工作,以及在物理中间件的接口方面组织现有的方法。作者还详细的调研了现有的各种攻击手段。并且系统化的分析了现有的安全删除的特点。特点包括环境的假设,例如接口是如何影响物理的中间件的,以及删除的延迟,物理的损耗。我们在许多的文件系统上面进行了各种假设条件下的实验。
ACSAC'14
对于基本的存储的系统上面内容经常的操作有拷贝,转换,以及修改。用户很快的失去了对于系统的文件分布的控制。对于一个用户来说删除一个项目相关的所有文件是十分耗费力气的一件事。
作者提出了IRCUS系统。这个系统帮助用户安全的删除所有的项目相关内容。IRCUS并不需要改变用户的操作行为,或者任何的系统组件(文件系统,内核,应用)。IRCUS透明的与现有的用户系统融合,并且在用户空间实现操作,并且将metadata和文件存放在一起。
NDSS'14
作者提出了一个新颖的基于位置的2元的智能手机的授权解决方案。作者在实际的sale事务中测试了他的解决方案,展示了这个方案如何能够有效的删除由card theft产生的欺骗性事务影响。作者使用了类似于ARM TrustZone的防止受到攻击者的攻击(例如入侵软件以及操作系统)。作者提出的方案不需要用户和现有的sale软件进行修改。该方案需要有一个注册的阶段把用户与该虚拟机的TEE绑定起来。并且支持方面的设备迁移。
之前的研究都需要对软件的架构进行修改,甚至需要改变用户的操作行为。
作者分解为内部密钥以及外部密钥的方法在回滚的过程中是否也需要这样处理?