53 最佳实践-安全最佳实践-虚拟机可信启动

最新推荐文章于 2026-03-05 00:12:54 发布
原创 最新推荐文章于 2026-03-05 00:12:54 发布 · 1.1k 阅读 · 0
标签
#KVM #云计算 #开源软件 #运维 #linux
本文介绍了虚拟机可信启动的概念,强调了度量启动的重要性,包括信任根和信任链。通过配置vTPM设备,详细阐述了在openEuler 22.03 LTS中启用度量启动的步骤,如安装swtpm和libtpms软件,设置虚拟机配置,并验证度量启动的成功。

文章目录

53 最佳实践-安全最佳实践-虚拟机可信启动

53.1 概述

可信启动包含度量启动和远程证明。其中虚拟化组件主要提供度量启动功能,远程证明由用户自己在虚拟机中安装相关软件(RA client)及搭建远程证明服务器(RA server)进行使能。

度量启动的两个基本要素是信任根和信任链,其基本思想是首先在计算机系统中建立一个信任根,信任根的可信性由物理安全、技术安全和管理安全共同确保,即CRTM(Core Root of Trust for Measurement)。然后建立一条信任链,从信任根开始到BIOS/BootLoader、操作系统、再到应用,一级度量认证一级,一级信任一级,最终把这种信任扩展到整个系统。上述过程看起来如同一根链条一样环环相扣,因此称之为“信任链”。

CRTM是度量启动的根,是系统启动的首个组件,没有其它代码来检查CRTM本身的完整性。所以,作为信任链的起点,必须保证它是绝对可信的信任源。因此,技术上需要将CRTM设计成一段只读或更新严格受限的代码,抵御BIOS攻击,防止远程注入恶意代码或在操作系统上层修改启动代码。通常物理主机中由CPU中的微码作为CRTM,在虚拟化环境中,一般选择vBIOS的sec部分为CRTM。

启动过程中,前一个部件度量(计算HASH值)后一个部件,然后把度量值扩展入可信存储区例如TPM的PCR中。CRTM度量BootLoader把度量值扩展到PCR中,BootLoader度量OS把度量值扩展到PCR中。

53.2 配置vTPM设备,使能度量启动
了解本专栏 订阅专栏 解锁全文 超级会员免费看
可信板级启动 (Trusted Board Boot)
Linux内核架构师
09-12 946
ARM可信启动机制TBBR详解 摘要:ARM可信板级启动(TBB)机制通过PKCS标准认证固件镜像,确保安全启动。文章详细解析了信任链构建过程,包括ROTPK哈希验证、X.509证书体系及各级引导程序验证流程。重点介绍了BL1/BL2及各BL3x镜像的证书验证机制,密钥证书与内容证书的对应关系,以及证书生成工具cert_create的工作原理。同时说明了可选固件加密功能及encrypt_fw工具的使用方法,为ARM平台安全启动提供完整解决方案。(149字)
移动终端安全-ATF中bl1可信启动源码分析
taylorswift的博客
07-07 4415
一、目标 本报告分析ATF中bl1可信启动的源代码,源代码位于arm-trusted-firmware-master\bl1和arm-trusted-firmware-master\include\arch。二、核心服务原理分析1.bl1模块的运行原理 系统上电之后首先会运行ChipRom,之后会跳转到ATF的bl1中继续执行。bl1主要初始化CPU、设定异常向量、将bl2的镜像加载到安全RAM中,然后跳转到b2中开始运行。Bl1的主要代码存放在bl1目录中,bl1的链接文件是bl1/bl1.ld.s文件,
(07)ATF安全启动
qq_16106195的博客
07-05 1475
安全启动的目的是保证系统从上电运行开始,到最终的操作系统加载启动完成,所有的固件均经过完整性和真实性验证,保证系统的可信性。
【技术解析】可信计算技术及可信启动介绍
sinat_34953318的博客
08-13 1941
目前,关于可信根具体实现有国内外两套标准,国内标准为可信密码模块(Trusted Cryptography Module,TCM)标准,国外为TCG主导的可信平台模块(Trusted Platform Module,TPM)标准。国外TCG(Trusted Computing Group,可信计算组织)关于可信的定义为:一个可信的实体意味着它的行为总是以预期的方式、达到预期的目标。可信根中资源由不同的控制域管理,密钥、存储等资源在创建时需要归属到具体的域中,不同域中的资源相互隔离。图 可信根密钥管理体系。
可信启动安全启动:SGX、TrustZone、SecureEnclave
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-18 7643
(最安全的还是在硬件中保护)
可信计算笔记(1)
weixin_43684562的博客
12-30 1780
国科大《系统与网络安全》课程学习整理。
可信启动Trusted Board Boot
qq_16106195的博客
06-21 2100
Trusted Board Boot(TBB)对所有固件镜像(包括普通世界的bootloader)进行身份验证,以防止恶意固件在平台上运行。TBB使用公钥加密标准 (PKCS)来建立信任链(Chain of Trust)。
【可信计算】第六次课:可信平台控制模块(TPCM)
热门推荐
Godam
05-12 1万+
可信平台控制模块 可信平台控制模块与外部的交互 可信平台控制模块功能组成 TPCM模块是一个逻辑概念,由功能组件、基础软件和硬件组成。 可信平台控制模块接口 计算机引导过程 BIOS:Basic Input Output System, 可以理解为写死在主板上或者硬件上的一段程序, 当然后来也可以升级(修改), 机器开机之后运行的第一个程序就是BIOS, BIOS加载CMOS上的参数,并寻找第一个可启动的设备(磁盘)。 MBR:Mast Boot Record, 主引导分区,位置就是
Linux 可信启动深度解析:从UEFI到操作系统的信任链
明月朗,潇水寒
09-08 971
本文系统梳理了从UEFI固件到Linux内核的可信启动链。核心要点包括:1)信任链始于UEFI的SEC阶段(静态信任根),通过PCR扩展记录各阶段代码哈希;2)UEFI通过Secure Boot验证GRUB签名,并将度量值存入PCR;3)GRUB加载时会度量内核和initramfs,记录到PCR[8-10];4)Linux内核通过TPM子系统验证PCR值,完成信任传递。整个过程依靠TPM的PCR防篡改特性,形成完整的信任链验证机制。(150字)
实验3 vTPM相关
冲击
12-31 1587
1.了解vTPM原理和相关知识;2.创建具备vTPM的虚拟机;3.加深对可信计算技术的理解。
【ACPI探索】ACPI 安全全景深度解析:从可信启动链到运行期防护的体系化剖析
就聊这个了,window/linux 嵌入式驱动
09-27 999
摘要: ACPI作为硬件与操作系统的关键配置接口,虽非独立安全模块,但直接影响平台安全。其安全性依赖于固件可信性、启动链路的完整性保护(如TPM度量、Secure Boot)及OS阶段的访问控制。ACPI表(如DSDT、TPM2、IORT等)传递硬件安全能力,若被篡改可导致DMA攻击、恶意AML代码执行等风险。防护需结合硬件信任根(Boot ROM、熔丝密钥)、内存只读保护、IOMMU隔离及ACPI静态分析,确保从固件生成到OS解析的全链路防篡改。启动过程中,ACPI表被纳入TPM度量链,与Secure B
可信引导
Trust Bo
07-10 7660
1 可信引导的提出 可信计算组织TCG提出了“信任链”和“信任度量”的概念,认为如果从一个初始的“信任根”出发,在平台计算环境的每一次转换时,这种信任可以通过传递的方式保持下去不被破坏,那么可信环境下的各种操作也是可信任的,不存在不被信任的实体,这样就不会破坏平台本身的完整性,从而可以很好的保证平台及应用的安全。 可信引导确保了系统按照经过严格验证的路径进行引导。它对主引导记录、操作系统装载器
节点主动可信监控机制
weixin_30763455的博客
06-05 739
节点主动监控机制一般是通过调用在操作系统、虚拟机监视器(VMM)、底层函数和中间件中的钩子函数来实现对上层行为的监控。监控过程过程可抽象为可信度量、可信决策、可信控制。同时,对系统中已有的安全机制,可信软件也可以通过策略输出和审计接入将它们纳入系统的可信保障体系架构中,并向这些安全机制提供可信支撑。 钩子机制原理 钩子机制是windows、linux等同样操作系统以及虚拟机、中间...
怎么禁用计算机的可信执行,计算机上设置的开机启动项怎么设置禁止
weixin_35642839的博客
06-26 1436
计算机上设置的开机启动项怎么设置禁止今天给大家介绍一下计算机上设置的开机启动项怎么设置禁止的具体操作步骤。1. 我们需要下载一个电脑管家软件,小编以360安全卫士为例。打开软件,进入主页面后,点击上方的【优化加速】选项,然后在页面左下角点击【启动项】,然后就会打开启动项列表,找到想要禁止的应用,点击右侧的【禁止启动】即可。2. 然后在页面上方切换到开机时间选项,如图,可以看到开机时间为16.46秒...
TPM2.0与TCM实战指南:如何在KeyarchOS上配置可信启动(附详细步骤)
最新发布
weixin_29314405的博客
03-05 233
本文是一份面向系统管理员和运维工程师的实战指南,详细讲解了在KeyarchOS操作系统上配置硬件级可信启动的完整流程。文章从硬件检查、驱动部署入手,逐步指导如何利用TPM2.0或国密TCM芯片构建从硬件到操作系统的可信度量链,并最终通过定制initramfs将可信策略集成到系统启动流程中,实现基于可信根的安全防护。
6、 可信启动:构建安全计算的基础
weixin_36212459的博客
06-06 154
本文深入探讨了可信启动技术,包括静态信任根和动态信任根的工作原理及其在现代计算环境中的应用。同时介绍了TPM的局部性概念以及位置证明流程,并通过AMD可信虚拟机的实际案例展示了如何构建安全的计算环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值