7.3 虛擬可信根管理器

7.3.1　功能要求

虛擬可信根管理器是負責管理同一虛擬可信組件中所有虛擬可信根實例的組件，并建立和維護虛擬可信根與虛擬機一一綁定的對應關系。虛擬可信根管理器應滿足如下要求：

a) 虛擬可信根管理器應具備如下功能：

1) 提供虛擬可信根可引證性保障機制；

2) 提供物理可信根訪問控制機制，防止虛擬可信根在訪問物理可信根中敏感信息或受限資源；

3) 根據用戶配置，為新建的虛擬機創建一個虛擬可信根實例；

4) 當虛擬機銷毀時，刪除該虛擬機對應的虛擬可信根實例；

5) 當虛擬機遷移時，刪除該虛擬機在源服務器可信支撐平臺中對應虛擬可信根實例；

6) 若虛擬可信根基于軟件實現，還應具備如下功能：

l 在虛擬可信根創建時，負責初始化虛擬可信根中的基本信息（如廠商信息等）；

l 為虛擬可信根中的vEK提供可被認證的機制；

l 維護其所在服務器可信支撐平臺上所有虛擬可信根當前數據的完整性信息。

b) 虛擬可信根管理器設計、實現和使用過程中應滿足如下要求：

1) 確保同一服務器可信支撐平臺上只有一個虛擬可信根管理器；

2) 是可被認證的。

7.3.2　密鑰與證書要求

密鑰與證書應滿足如下要求：

a) 虛擬可信根管理器標識密鑰應由物理可信根產生；

b) 虛擬可信根管理器數據加密密鑰應由物理可信根保護。

7.3.3　安全性要求

虛擬可信根管理器應滿足如下安全要求：

a) 基于服務器可信支撐平臺信任鏈機制保障虛擬可信根管理器的完整性；

b) 提供虛擬可信根管理器敏感信息保護機制；

c) 支持遠程證明；

d) 提供評估虛擬可信根管理器及虛擬可信組件的身份合法性及可信狀態的機制。