29、构建可信虚拟计算环境：TRIOB系统解析

构建可信虚拟计算环境：TRIOB系统解析

1. 背景与挑战

在云计算环境中，用户往往需要从云平台的IaaS服务获取虚拟机（VM）来运行安全敏感型应用。然而，他们通常不信任云平台，尤其是其内部存储资源，更倾向于租赁虚拟计算环境（如Xen中的DomainU），并将其虚拟存储设备与本地物理机上的存储资源绑定。

为了构建基于Xen的可信虚拟计算环境，需要确保两个基本属性：可信的存储资源和安全的运行时计算环境（TRIOB - DomainU）。但在此过程中，面临着以下挑战：
- 存储资源绑定 ：如何将TRIOB - DomainU与用户的远程存储资源安全绑定？传统的NFS技术虽能挂载远程存储镜像文件到Domain0，但存在安全风险，因为Domain0可直接访问挂载镜像文件的内容。所以需要设计一种新的安全远程I/O绑定机制。
- 运行状态控制 ：怎样让用户控制TRIOB - DomainU的运行状态？DomainU应与其他VM绝对隔离，用户需重新划分Xen、Domain0和DomainU之间的权限，同时DomainU要具备监控Domain0部分内存区域完整性的能力，且不能让攻击者利用DomainU的权限破坏Domain0。
- 异常感知 ：如何让用户及时察觉云计算平台中的异常，如针对VM内核的攻击？需要有人动态监控和测量Domain0的内存完整性，同时确定验证任务的负责人。

2. TRIOB系统架构

TRIOB系统由两部分组成：数据中心的计算环境和用户物理节点上的存储资源。从功能角度看，它包含三个子系统：
-