7.2 虛擬可信根

7.2.1 功能要求

除5.2節所描述的基本要求外，虛擬可信根還應滿足如下要求：

a) 具備全局唯一標識；

b) 包含可用于證實其對應VM可信狀態的信息；

c) 提供與物理可信根相同的服務接口；

d) 虛擬可信根中的虛擬可信報告vRTR、虛擬可信存儲根vRTS、虛擬可信根度量vRTM應基于物理可信根密碼機制來實現；

e) 對虛擬可信根中敏感信息和狀態數據提供保護機制；

f) 若虛擬可信根基于軟件實現，還應滿足如下要求：

1) 在約定的位置定義擴展資源（如vPCRs）的分配方式和要求；

2) 提供防回滾機制，防止虛擬可信根在非授權情況下回滾到歷史狀態；

3) 具備數據備份恢復功能；

4) 具備版本升級功能；

5) 虛擬可信根在版本升級過程中應完成如下操作：

維護并確保永久性狀態數據的可用性和完整性；

維護并確保敏感數據的機密性與完整性。

7.2.2 生命周期管理

虛擬可信根的生命周期管理是指在VM創建、啟動、運行、關閉、掛起、銷毀、遷移等七種狀態切換時對虛擬可信根的運行狀態的管理，如圖3所示。

虛擬可信根的生命周期管理的功能要求包括：

a) 創建階段，應完成如下操作：

1) 對虛擬可信根及狀態信息進行初始化，為虛擬可信根分配資源；

2) 若虛擬可信根基于軟件實現，還應完成如下操作：

l 初始化虛擬可信根生產商信息和默認標志位等基本信息；

l 為虛擬可信根創建數據加密密鑰。

b) 啟動階段，應完成如下操作：

1) 啟動虛擬可信根前，驗證虛擬可信根及其數據的完整性；

2) 啟動虛擬可信根前，驗證本次啟動時所使用數據的有效性；

3) 啟動虛擬可信根，使虛擬可信根功能接口可用；

4) 虛擬機啟動過程中，存儲vRTM的度量結果到虛擬可信根vPCRs。

c) 運行階段，應提供如下功能：

1) 提供物理可信根運行時所有對外功能；

2) 及時備份存儲虛擬可信根狀態數據。

d) 關閉階段，應完成如下操作：

1) 對虛擬可信根實施常規可信根關閉操作；

2) 保存虛擬可信根中相關資源、狀態信息，禁用虛擬可信根；

3) 記錄虛擬可信根關閉時的時間；

4) 確保虛擬可信根敏感信息的機密性；

5) 提供虛擬可信根時鐘計數器有效性保障機制。

e) 遷移階段，應完成如下操作：

1) 遷移開始前，保存虛擬可信根狀態數據；

2) 遷移結束后，銷毀虛擬可信根，并釋放其所使用的資源。

f) 銷毀階段，應銷毀虛擬機對應虛擬可信根及其包含的所有數據；

g) 掛起階段，應以安全的方式存儲虛擬可信根當前狀態數據，包括PCR值、虛擬內存中相關數據、敏感信息等。

7.2.3 虛擬可信度量根

VM初始化代碼在執行前應通過虛擬可信度量根對其進行完整性度量，并擴展度量值到虛擬可信根中的vPCR中。虛擬可信度量根實現方式可參考附錄B。

7.2.4　密鑰與證書要求

虛擬可信根密鑰管理應滿足如下要求：

a) 虛擬可信根背書密鑰應是可認證的；

b) 若虛擬可信根基于軟件實現，還應提供防止虛擬可信根密鑰被復制的機制。

7.2.5　安全性要求

虛擬可信根應滿足以下安全性要求：

a) 當虛擬可信根運行或關閉時，應保護虛擬可信根的敏感信息，防止篡改或暴露；

b) 當虛擬可信根不再被使用時，應加密存儲虛擬可信根中的數據；

c) 虛擬可信根運行期間，應提供訪問控制機制，防止非授權訪問虛擬可信根敏感信息；

d) 將虛擬可信根與非可信組件進行隔離；

e) 虛擬可信根中敏感信息離開受保護區域時（如數據備份、遷移等場景），應被加密；

f) 確保VM只能通過VM中的可信基礎組件接口訪問虛擬可信根；