虛擬化與密碼技術應用: 現狀與未來*

付 裕, 林璟鏘, 馮登國

1.中國科學技術大學 網絡空間安全學院, 合肥 230027

2.中國科學院 軟件研究所, 北京 100190

1 引言

虛擬化技術是一種典型的資源管控技術, 將計算機系統的計算、存儲等資源抽象成為隔離的運行環境,供多個獨立運行的用戶態程序或客戶虛擬機使用.利用虛擬化技術, 計算機系統可以按需為不同的任務分配資源, 使其共同運行在同一硬件設備上.狹義的虛擬化技術, 通常指虛擬機監控器Hypervisor 為客戶虛擬機提供的隔離運行環境; 本文所闡述的技術范圍, 是廣義的虛擬化, 泛指在計算機系統中, 高特權級組件對計算、存儲等資源抽象成為隔離的運行環境, 供低特權組件運行使用, 既包括Hypervisor 提供的虛擬化運行環境, 也包括操作系統提供的用戶態程序運行環境.進一步, 利用CPU 硬件安全特性創建的多種可信執行環境(trusted execution environment, TEE) 也可視為由廣義的虛擬化技術創建的運行環境.相比普通用戶態程序或虛擬機的運行環境, 可信執行環境具有更多特性, 包括內存加密、完整性驗證、遠程證明等基于密碼學原理的安全特性, 能夠防范更多攻擊威脅.基于以上考慮, 本文討論的范圍包括了操作系統、虛擬化系統和可信執行環境的相關密碼應用安全技術研究.

本文從不同方面系統地梳理了虛擬化與密碼技術應用的結合研究: 正如第2 節所述, 一方面是使用密碼技術緩解虛擬化系統面臨的安全風險, 另一方面, 虛擬化技術也給密碼技術應用帶來……