CN101599022B - 用于虚拟机系统的可信计算基裁剪方法 - Google Patents
用于虚拟机系统的可信计算基裁剪方法 Download PDFInfo
- Publication number
- CN101599022B CN101599022B CN2009100630857A CN200910063085A CN101599022B CN 101599022 B CN101599022 B CN 101599022B CN 2009100630857 A CN2009100630857 A CN 2009100630857A CN 200910063085 A CN200910063085 A CN 200910063085A CN 101599022 B CN101599022 B CN 101599022B
- Authority
- CN
- China
- Prior art keywords
- territory
- domain
- sensitive data
- data access
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了用于虚拟机系统的可信计算基防泄露裁剪方法。所述虚拟机系统中包括有硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建模块、内核和敏感数据访问策略;虚拟可信平台模块管理器、域创建模块、内核和敏感数据访问策略处于特权域;其特征在于:建立一个与特权域隔离的特殊用户域,将虚拟可信平台模块管理器、域创建模块和敏感数据访问策略迁置于特殊用户域中,内核保留于特权域中;特权域与特殊用户域之间建立通信;硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建模块和敏感数据访问策略构成可信计算基。本发明提供了一种可信计算基裁剪方案,不仅保留了传统可信计算基方案的优势,而且增强了可信虚拟机系统的安全性和启动速度。
Description
技术领域
本发明涉及计算机信息安全技术领域,主要涉及用于虚拟机系统的可信计算基防泄露裁剪方法。
背景技术
国家信息安全测评认证中心的调查结果表明:在众多的攻击行为和事件中,信息泄漏事件是主要的安全事故,已给企业带来了巨大的经济损失。现有的数据防泄漏系统主要在操作系统内嵌入一定的安全模块或通过限制网络边界的方法加以实现,但操作系统的可信性无法确保以及各种恶意软件对敏感数据计算系统的侵害,故而现有防泄漏机制的可用性受到严重影响,从而危害敏感数据安全。
基于虚拟机监视器(Virtual Machine Monitor,VMM)的虚拟机系统通过系统隔离特性可以解决以上威胁。参见图1,虚拟机系统的VMM层直接运行于硬件层之上,通过虚拟化技术为客户操作系统提供硬件环境一致的运行条件,各客户操作系统运行于VMM层(VMM层)之上,形成了多个客户机1、客户机2...客户机n,每个客户机都包括自己的应用和内核。客户机1、客户机2...客户机n分别处于自己的用户域,即域1、域2、...域n。从技术层面上讲,就是通过系统软件技术虚拟出多个和底层硬件系统一致的虚拟计算机接口,在一台物理机器上可以同时运行多个操作系统实例,这层运行在硬件层(包括CPU、内存、外设)上的系统软件就是VMM层。该体系结构下,有且仅有一个特权域,标记为域0。特权域负责创建、管理和销毁其他用户域,因此其中设有域创建模块(Domain Builder)。
VMM虚拟化技术确保了每个虚拟机实例都处于完全隔离保护状态,允许用户自由隔离不受信任的程序代码,从而降低恶意代码给系统带来的危害和损失。因此,利用VMM提供的域之间的隔离特性,对敏感数据防泄漏提供了新的思路。可参见张献涛.系统虚拟机关键技术及相关安全问题研究[D].武汉:武汉大学,2008。以及Derek G.M,Grzegorz M,Steven H.Improving Xen Security throughDisaggregation[C].Proceedings of the fourth ACM SIGPLAN/SIGOPS internationalconference on Virtual execution environments.March 05-07,2008,Seattle,WA,USA,2008:151-160。
此外,可信平台模块(Trusted Platform Module,TPM)整个可信虚拟机系统的度量验证的可信根的安全功能,能提供诸如平台身份证明、平台完整性证明、密钥管理、密封存储等各项安全服务,从硬件层次保证平台的安全性和可靠性。可信平台模块作为虚拟机系统的度量验证的可信根。在虚拟机系统中,可以在虚拟机的特权域中设置虚拟可信平台模块管理器(vTPM管理器),通过虚拟TPM管理器为每个客户机分别建立虚拟TPM实例并且管理这些虚拟TPM实例。所建立的虚拟TPM实例模拟物理TPM,为客户机提供物理TPM的功能,实现虚拟TPM。参见图2,在这种虚拟机系统的半虚拟化体系结构下,安全模型通常视可信计算基(Trusted Computing Base,TCB)的范围包涵整个域0,即包括域0内的vTPM管理器、域创建模块(Domain Builder)、内核(Kernel)、敏感数据访问策略等。然而可信计算基过大将导致特区域内恶意行为给具有敏感数据的虚拟机构成泄漏威胁,故需进行特权域的特权功能的分解,降低特权域内恶意行为对客户虚拟机的影响程度。此外,特权域用户或管理程序的更新变化,不利于现有的静态信任链的构建,从而影响对具有敏感数据的虚拟机环境(虚拟机及可信计算基)的可信验证实施。
发明内容
本发明目的在于解决现有技术不足,提供实现虚拟机系统数据防泄露的可信计算基裁剪方法。
本发明技术方案为一种用于虚拟机系统的可信计算基裁剪方法,所述虚拟机系统中包括有硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建模块、内核和敏感数据访问策略;虚拟可信平台模块管理器、域创建模块、内核和敏感数据访问策略处于特权域;建立一个与特权域隔离的特殊用户域,将虚拟可信平台模块管理器、域创建模块和敏感数据访问策略迁置于特殊用户域中,内核保留于特权域中;特权域与特殊用户域之间建立通信;硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建模块和敏感数据访问策略构成可信计算基。
而且,将域创建模块迁置于特殊用户域中的实现方式为,连接特殊用户域的操作系统到特权域中包含域创建模块代码的库,通过该连接将域创建模块代码迁移到特殊用户域中。
本发明提供了一种可信计算基裁剪方案,不仅保留了传统可信计算基方案的优势,而且增强了可信虚拟机系统的安全性和启动速度。据此分解方法,Domain0的kernel可以排除在TCB之外,实现了TCB的最小化,不仅提供了Domain Builder、vTPM和敏感数据访问策略的隔离保护,防止特权域Domain0管理员恶意或无意的操作对其造成篡改或破坏,降低了敏感数据泄漏风险,此外,高可信的敏感数据计算环境是泄漏防范的必要条件,该方法降低可信计算机安全启动时硬件可信计算平台模块(Hardware Trusted Platform Module,HW-TPM)度量的时间,从而改善了可信计算环境构建方法
附图说明
图1现有基于VMM模型的虚拟机系统的结构示意图;
图2现有可信计算基结构示意图;
图3本发明的可信计算基结构示意图;
图4本发明实施例的信任链建立过程示意图;
图5本发明实施例中特殊用户域和特权域的通信机制示意图;
图6本发明实施例中物理TPM与虚拟TPM的调用关系示意图。
具体实施方式
本发明提出了一种用于虚拟机系统的可信计算基裁剪方法。现有技术中的可信计算基包括有硬件层(包括CPU、BIOS等)、VMM层、vTPM管理器、Domain Builder、内核和敏感数据访问策略。本发明将vTPM管理器、DomainBuilder和敏感数据访问策略置于一个与域0相隔离的域中。按照虚拟机技术,特权域以外的域都属于用户域,但本发明建立的域是为了安全防泄露目的,因此称为特殊用户域,实施例中记为域B。为了支持Domain Builder的工作,需要实现Domain Builder所在域B和域0的通信机制。参见图3,在本发明的裁剪方案下,可信计算基包含5个部分:硬件层、VMM层、vTPM管理器、Domain Builder和敏感数据访问策略。域B以某个操作系统为基础,加入Domain Builder。除此之外,将原本在域0中的vTPM管理器和敏感数据访问策略也放入DomainBuilder所在的域中。这样,在特权域中的管理员就无法直接访问到vTPM管理器和敏感数据访问策略,保证了这两个关键模块对管理员的隔离,进而保证了它们的安全。这五个部分均由物理TPM进行度量验证,保证它们的安全可信。
可信计算基主要由vTPM管理器、Domain Builder和敏感数据访问策略组成。为了便于实施参考,本发明提供实施例的主要实施步骤说明:
(1)将MiniOS作为域B的操作系统,通过将MiniOS连接上libxc,实现把Domain Builder从域0中迁移出来。
MiniOS是实现了事件通道等半虚拟化特征的简单操作系统实例,属于现有技术,实施例直接将其作为域B的操作系统。现有技术中,Domain Builder通过特权域中包括Domain Builder代码的库Libxc实现。通过将Domain Builder代码转移到域B中并使MiniOS连接上libxc,就可以使用libxc中已经提供的函数来实施创建、销毁域等操作。这样MiniOS就可以直接使用libxc的函数,从而不需要重新在域B中重写代码。
vTPM管理器和敏感数据访问策略可以作为MiniOS的内核模块,其代码也可以作为MiniOS内核源码的一部分,因此同样可以通过连接从域0中迁移到域B。
(2)在MiniOS和域0中实现事件通道机制,用于域0和域B之间的通信。利用在域0中的xend即可控制Domain Builder。Xend是特权域对其它域进行管理的工具,属于现有技术。
在Domain Builder分解出来后,域0对域B要进行控制和操作就需要进行通信。在本实施例中采取事件通道机制,具体实施时还可以用共享内存等其他机制。事件通道就是在两个域之间建立的一条通信途径,通道两端分别连接两个域的端口,一个域可以在本地端口发送一个信号,另一个域便可以在自己的本地端口接收信号。接收信号有同步和异步两种方式,采用任一方式均可。
(3)在MiniOS和域0中实现授权表共享内存机制,用于传输新建的其他用户域中所需操作系统kernel镜像、RAMDisk(内存盘,其中包含了Linux启动所需的驱动程序)等。
(4)域B中加入原来处于域0的物理TPM驱动和vTPM管理器。在现有可信计算基中,为了给客户机提供虚拟TPM,可以设定虚拟TPM实例通过vTPM管理器与物理TPM交互,因此在域0中设置物理TPM驱动,以实现vTPM管理器与硬件层中物理TPM的通信。本发明实施例将物理TPM驱动也随vTPM管理器置入域B。
参见图6,在虚拟机环境下,虚拟TPM实例由vTPM管理器创建。当新的用户域创建好之后,新域调用在域B中的vTPM管理器创建虚拟TPM实例。度量的时候,vTPM管理器调用物理TPM驱动,物理TPM驱动直接与TPM交互,调用物理TPM来完成度量过程。
(5)修改信任链,加入vTPM管理器度量域0的kernel这一环节。
参见图4,在本发明的裁剪方案下,实施例中信任链的建立过程如下:
1)虚拟机系统启动时,由物理TPM度量图4中粗线黑框所包括的部分,即本发明中的可信计算基,度量验证通过后启动VMM和MiniOS;
2)域B的MiniOS调用域0中的vTPM管理器代码,用vTPM管理器度量域0的kernel,度量验证通过后启动域0的kernel;
3)域0的kernel度量域0用户空间(User)中的各个进程(app),如xend;度量验证通过后启动xend进程;
4)此时信任链建立完毕,特权域管理员可以应用域0中的xend工具对虚拟机进行操作。
在本发明所提供的裁剪方案下,建立一个新虚拟机的过程将发生一定的改变,为了便于实施参考,提供实施例的具体建立过程参见图5:
1)xend向Domain Builder发出一个IVMC call(IVMC:Inter-VMCommunication虚拟机间通信,IVMC call:请求信号),请求建立一个新虚拟机;
2)Domain Builder向域0的vfsback(虚拟文件系统的后台管理程序)发送File request(请求发送文件的信号)请求获得一个kernel镜像;
3)域0的vfsback向Domain Builder分发kernel的镜像(即图中的File data传输文件数据);
4)Domain Builder为新的用户域分配物理内存;
5)Domain Builder将kernel镜像拷贝到新的客户机中;
6)Domain Builder为新的客户机安装并初始化页表;
7)Domain Builder启动新的客户机;
8)Domain Builder通过向域0发回IVMC return(返回信号)将新客户机的控制权交给域。
以上过程中,主要是域B中的Domain Builder进行作用。
Claims (1)
1.一种用于虚拟机系统的可信计算基裁剪方法,所述虚拟机系统中包括有硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建模块、内核和敏感数据访问策略;虚拟可信平台模块管理器、域创建模块、内核和敏感数据访问策略处于特权域;其特征在于:建立一个与特权域隔离的特殊用户域,将虚拟可信平台模块管理器、域创建模块和敏感数据访问策略迁置于特殊用户域中,内核保留于特权域中;特权域与特殊用户域之间建立通信;硬件层、虚拟机监视器层、虚拟可信平台模块管理器、域创建模块和敏感数据访问策略构成可信计算基;
将域创建模块迁置于特殊用户域中的实现方式为,连接特殊用户域的操作系统到特权域中包含域创建模块代码的库,通过该连接将域创建模块代码迁移到特殊用户域中;
将虚拟可信平台模块管理器和敏感数据访问策略迁置于特殊用户域中的实现方式为,将虚拟可信平台模块管理器和敏感数据访问策略作为特殊用户域的操作系统的内核模块,或者将虚拟可信平台模块管理器和敏感数据访问策略的代码作为特殊用户域的操作系统内核源码的一部分。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100630857A CN101599022B (zh) | 2009-07-07 | 2009-07-07 | 用于虚拟机系统的可信计算基裁剪方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100630857A CN101599022B (zh) | 2009-07-07 | 2009-07-07 | 用于虚拟机系统的可信计算基裁剪方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599022A CN101599022A (zh) | 2009-12-09 |
| CN101599022B true CN101599022B (zh) | 2012-07-04 |
Family
ID=41420477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100630857A Expired - Fee Related CN101599022B (zh) | 2009-07-07 | 2009-07-07 | 用于虚拟机系统的可信计算基裁剪方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599022B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102332069B (zh) * | 2011-08-05 | 2014-02-26 | 道里云信息技术(北京)有限公司 | 虚拟机全生命周期安全管理方法及系统 |
| CN102289620A (zh) * | 2011-08-12 | 2011-12-21 | 华南理工大学 | 一种基于Xen安全计算机可信设备虚拟化系统及方法 |
| IN2014DN03052A (zh) | 2011-10-21 | 2015-05-08 | Hewlett Packard Development Co | |
| WO2013058768A1 (en) | 2011-10-21 | 2013-04-25 | Hewlett-Packard Development Company, L.P. | Web-based interface to access a function of a basic input/output system |
| CN102592102B (zh) * | 2011-12-31 | 2014-09-17 | 深信服网络科技(深圳)有限公司 | 一种终端防泄密控制方法及终端 |
| CN103902884B (zh) * | 2012-12-28 | 2017-03-15 | 中国电信股份有限公司 | 虚拟机数据保护系统和方法 |
| CN104951694B (zh) * | 2014-03-24 | 2018-04-10 | 华为技术有限公司 | 一种管理虚拟机的隔离方法及装置 |
| CN103996003B (zh) * | 2014-05-20 | 2016-08-24 | 金航数码科技有限责任公司 | 一种虚拟化环境中的数据擦除系统及方法 |
| CN104468712B (zh) * | 2014-10-31 | 2018-05-29 | 中标软件有限公司 | 轻量级可信计算平台及其通信方法、信任链建立方法 |
| CN104598309B (zh) * | 2014-12-31 | 2017-12-22 | 中科创达软件股份有限公司 | 基于os虚拟化的多模式os的系统和其创建、切换方法 |
| CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
| CN105701400A (zh) * | 2016-01-12 | 2016-06-22 | 中国人民解放军信息工程大学 | 一种虚拟机平台的安全控制方法及装置 |
| CN107038128B (zh) * | 2016-02-03 | 2020-07-28 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| CN107179936A (zh) * | 2016-03-11 | 2017-09-19 | 中国电子科技集团公司电子科学研究院 | 一种基于特权分离的虚拟化隔离方法 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| CN107563224B (zh) * | 2017-09-04 | 2020-07-28 | 浪潮集团有限公司 | 一种多用户物理隔离方法及装置 |
| CN108596598A (zh) * | 2018-04-27 | 2018-09-28 | 北京可信华泰信息技术有限公司 | 一种可信软件列表的更新方法 |
| CN113868636A (zh) * | 2020-06-30 | 2021-12-31 | 华为技术有限公司 | 内核和任务隔离的方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997955A (zh) * | 2004-06-24 | 2007-07-11 | 英特尔公司 | 提供可信平台模块的安全虚拟化的方法和装置 |
| CN101350044A (zh) * | 2008-09-02 | 2009-01-21 | 中国科学院软件研究所 | 一种虚拟环境信任构建方法 |
-
2009
- 2009-07-07 CN CN2009100630857A patent/CN101599022B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997955A (zh) * | 2004-06-24 | 2007-07-11 | 英特尔公司 | 提供可信平台模块的安全虚拟化的方法和装置 |
| CN101350044A (zh) * | 2008-09-02 | 2009-01-21 | 中国科学院软件研究所 | 一种虚拟环境信任构建方法 |
Non-Patent Citations (1)
| Title |
|---|
| 孟璟,徐宁,罗芳等.一种基于Xen的可信虚拟机系统的构建与应用.《计算基安全》.2008,(第11期),第2-6页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599022A (zh) | 2009-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101599022B (zh) | 用于虚拟机系统的可信计算基裁剪方法 | |
| RU2679721C2 (ru) | Аттестация хоста, содержащего доверительную среду исполнения | |
| Zhang et al. | Cloudvisor: retrofitting protection of virtual machines in multi-tenant cloud with nested virtualization | |
| Champagne et al. | Scalable architectural support for trusted software | |
| US8220029B2 (en) | Method and system for enforcing trusted computing policies in a hypervisor security module architecture | |
| US9342343B2 (en) | Wrapped nested virtualization | |
| US8694781B1 (en) | Techniques for providing hardware security module operability | |
| US8839239B2 (en) | Protection of virtual machines executing on a host device | |
| Li et al. | Protecting cloud virtual machines from hypervisor and host operating system exploits | |
| US10095862B2 (en) | System for executing code with blind hypervision mechanism | |
| US10372628B2 (en) | Cross-domain security in cryptographically partitioned cloud | |
| US10719346B2 (en) | Disk encryption | |
| US10754680B2 (en) | Disk encription | |
| Zhang et al. | Security-preserving live migration of virtual machines in the cloud | |
| Patil et al. | An exhaustive survey on security concerns and solutions at different components of virtualization | |
| EP3999966A1 (en) | Secure runtime systems and methods | |
| US11442770B2 (en) | Formally verified trusted computing base with active security and policy enforcement | |
| Jithin et al. | Virtual machine isolation: A survey on the security of virtual machines | |
| Omar et al. | Biometric encryption to enhance confidentiality in Cloud computing | |
| Rama Krishna et al. | Virtualization security issues and mitigations in cloud computing | |
| Yu et al. | A trusted architecture for virtual machines on cloud servers with trusted platform module and certificate authority | |
| Mofrad et al. | SecDATAVIEW: a secure big data workflow management system for heterogeneous computing environments | |
| Huber et al. | A secure architecture for operating system-level virtualization on mobile devices | |
| Guanciale et al. | SoK: Confidential quartet-Comparison of platforms for virtualization-based confidential computing | |
| Nimgaonkar et al. | Ctrust: A framework for secure and trustworthy application execution in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20140707 |
|
| EXPY | Termination of patent right or utility model |