VIMA:面向容器化环境的隐私保护完整性度量架构

本文提出VIMA框架,通过嵌套Merkle树和双树架构解决传统Linux IMA在容器环境中的局限性。该架构支持系统级与容器级细粒度完整性验证,结合零知识证明实现隐私保护,性能测试显示其开销可控且具备优化潜力。

VIMA:面向容器化环境的隐私保护完整性度量架构

摘要

完整性验证与证明在容器化环境中至关重要,而传统Linux完整性度量架构(IMA)因缺乏容器特定上下文支持存在不足。这些缺陷会削弱容器自治性、加剧隐私风险并阻碍细粒度完整性检查。为解决这些问题,本文提出虚拟IMA(VIMA),该创新框架改进Linux IMA原理以支持容器化场景。通过嵌套Merkle树,VIMA的双树架构(2TA)可实现系统级整体树与独立容器树的细粒度完整性评估。结合Merkle树与零知识(ZK)证明,VIMA成为安全且隐私保护的验证与证明方案。对比分析与初步原型测试表明,VIMA以最小性能开销显著优于传统IMA,并具有巨大优化空间。

关键词

完整性度量架构、容器化、Linux

作者信息

  • Omar Jarkas(昆士兰大学,澳大利亚布里斯班)
  • Ryan K L Ko(昆士兰大学,澳大利亚布里斯班)
  • Naipeng Dong(昆士兰大学,澳大利亚布里斯班)
  • Redowan Mahmud(科廷大学,澳大利亚珀斯)

技术核心

架构设计

VIMA采用双树架构(2TA),通过嵌套Merkle树实现两级完整性度量:

  • 系统级 monolithic tree:全局完整性监控
  • 容器级独立树:按容器隔离的完整性验证

隐私保护机制

集成零知识证明技术,确保验证过程中敏感信息不被泄露,同时满足容器环境的自治需求。

性能表现

原型测试显示,VIMA在保持与传统IMA兼容性的同时,性能开销可控,为后续优化奠定基础。

出版信息

  • 期刊:IACR Transactions on Cryptographic Hardware and Embedded Systems
  • 卷期:2025年第4卷
  • 页码:1053-1076
  • DOI:https://doi.org/10.46586/tches.v2025.i4.1053-1076
  • 发布日期:2025年9月5日
  • 版权声明:本文采用知识共享署名4.0国际许可协议
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次