CN103559436A - 虚拟化启动的认证方法和装置 - Google Patents
虚拟化启动的认证方法和装置 Download PDFInfo
- Publication number
- CN103559436A CN103559436A CN201310517648.1A CN201310517648A CN103559436A CN 103559436 A CN103559436 A CN 103559436A CN 201310517648 A CN201310517648 A CN 201310517648A CN 103559436 A CN103559436 A CN 103559436A
- Authority
- CN
- China
- Prior art keywords
- authentication information
- startup
- virtual
- authentication
- obtaining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种虚拟化启动的认证方法和装置,其中,该方法包括:在进行虚拟化的启动情况下,获取启动对象的认证信息;将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比;根据对比结果判断启动对象是否安全。本发明通过在虚拟化启动的时候,对比启动对象的认证信息与预先存储的与所述启动对象对应的认证信息,避免启动对象存在可靠性问题,从而降低了虚拟化启动情况的风险,弥补了虚拟化启动情况缺少信息认证的空白,增强了虚拟系统的可靠性。
Description
技术领域
本发明涉及计算机领域,并且特别地,涉及一种虚拟化启动的认证方法和装置。
背景技术
在物理计算机的主板上集成的TCM(trusted cryptopraphy module,可信密码模块)或者TPM(trusted platform module,可信平台模块)可以作为BIOS、操作系统、应用程序的可信根(即root of trust,也称为信任根)。一般情况下,TCM或TPM设置在芯片上,物理计算机在启动过程或者应用程序的启动过程中,将启动信息发送到可信芯片的可信根中进行认证,只有通过认证才能正常启动计算机或者启动应用程序。以通过可信根认识的方式启动计算机或者应用程序可以避免计算机或应用程序中感染病毒、木马,或者避免人为恶意地篡改关键数据和程序。
现有技术只能在物理计算机中实现可信根,在虚拟化环境中,由于所使用的虚拟服务器不一定具有传统的可信芯片,所以不能够构成虚拟机的可信根,以至于没有通过可信认证就启动虚拟机系统或者虚拟应用程序,存在一定风险。
针对相关技术中在虚拟化启动的情况下缺少可信根认证过程,导致虚拟化启动情况存在风险的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中在虚拟化启动的情况下缺少可信根认证过程,导致虚拟化启动情况存在风险的问题,本发明提出一种虚拟化启动的认证方法和装置,能够对启动对象的认证信息进行认证,保证了启动对象的安全,从而降低了虚拟化启动情况的风险,增强虚拟系统的可靠性。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种虚拟化启动的认证方法。
上述虚拟化启动的认证方法包括:
在进行虚拟化的启动情况下,获取启动对象的认证信息;
将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比;
根据对比结果判断启动对象是否安全。
其中,上述获取的启动对象的认证信息包括:
获取启动对象的全部或部分启动信息,将获取的信息作为认证信息。
而且,根据对比结果判断启动对象是否安全包括:
在对比结果为相同或相符的情况下,判断启动对象为安全。
可选地,在启动对象为虚拟机的情况下,则认证信息为虚拟机的系统文件。
可选地,在启动对象为虚拟程序的情况下,则认证信息为虚拟程序对应的虚拟文件。
此外,预先存储的与启动对象对应的认证信息为该认证信息的hash计算结果,在将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比之前,上述认证方法进一步包括:
对启动信息hash计算,并且将计算结果与预先存储的hash计算结果进行比较。
根据本发明的一个方面,提供了一种虚拟化启动的认证装置。
上述虚拟化启动的认证装置包括:
获取模块,用于在进行虚拟化的启动情况下,获取启动对象的认证信息;
对比模块,用于将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比;
判断模块,用于根据对比结果判断启动对象是否安全。
其中,获取的启动对象的认证信息包括:
获取启动对象的全部或部分启动信息,将获取的信息作为认证信息。
可选地,在启动对象为虚拟机的情况下,则认证信息为虚拟机的系统文件。
此外,预先存储的与启动对象对应的认证信息为该认证信息的hash计算结果,在将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比之前,上述认证装置进一步包括:
计算模块,用于对启动信息hash计算,并且将计算结果与预先存储的hash计算结果进行比较。
本发明通过在虚拟化启动的时候,对比启动对象的认证信息与预先存储的与所述启动对象对应的认证信息,避免启动对象存在可靠性问题,从而降低了虚拟化启动情况的风险,弥补了虚拟化启动情况缺少信息认证的空白,增强了虚拟系统的可靠性。
附图说明
图1是根据本发明实施例的虚拟化启动的认证方法的流程图;
图2是实施本发明的虚拟化启动的认证方法所用装置的框图;
图3是根据本发明实施例的虚拟化启动的认证装置的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种虚拟化启动的认证方法。
如图1所示,根据本发明实施例的虚拟化启动的认证方法包括:
步骤S101,在进行虚拟化的启动情况下,获取启动对象的认证信息,其中,启动对象的认证信息包括:获取启动对象的全部或部分启动信息,将获取的信息作为认证信息;
步骤S103,将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比;
步骤S105,根据对比结果判断启动对象是否安全,在对比结果为相同或相符的情况下,判断启动对象为安全。
根据本发明的一个实施例,在启动对象为虚拟机的情况下,则认证信息为虚拟机的系统文件。获取虚拟机的系统文件作为认证信息,然后将系统文件与预先存储的与虚拟机对应的系统文件进行比较,对比结果相同或相符的情况下,判断虚拟机为安全,允许启动虚拟机。
根据本发明的另一个实施例,在启动对象为虚拟程序的情况下,则认证信息为虚拟程序对应的虚拟文件。获取虚拟程序的系统文件作为认证信息,然后将虚拟文件与预先存储的与虚拟程序对应的虚拟文件进行比较,对比结果相同或相符的情况下,判断虚拟程序为安全,允许启动虚拟程序。
此外,根据本发明的又一个实施例,预先存储的与启动对象对应的认证信息为该认证信息的hash计算结果,在将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比之前,根据本发明实施例的虚拟化启动的认证方法可以进一步包括:对启动信息hash计算,并且将计算结果与预先存储与启动对象对应的认证信息的hash计算结果进行比较。
其中,启动对象可以包括上述实施例中的虚拟机、虚拟程序、BIOS或其它可以进行虚拟启动的对象,则认证信息也可以包括上述实施例中系统文件、虚拟文件、BIOS或其它进行虚拟启动的对象对应的认证信息。
根据本发明的技术方案,如图2所示,可以通过以下方式在实际应用中实现本发明的技术方案。
本发明的技术方案可以采用统一的可信根,对所有的虚拟机提供可信服务。换言之,在整个云计算环境中,可以仅配置一台可信服务器,作为整个云计算环境中所有虚拟机(图2仅示意性地示出了虚拟机1,实际上可以存在多台虚拟机)的可信根。可信服务器包含一个可信芯片,由可信芯片提供可信服务,作为这个可信服务器的可信根。可信服务器上预先存储虚拟机中的BIOS、虚拟操作系统、虚拟应用程序均经过可信芯片认证,以保证提供的可信服务可信度。此外,可以进一步对预先存储的虚拟机中的BIOS、虚拟操作系统、虚拟应用程序的对应文件进行hash算法得出摘要,从而作为启动信息存储在可信芯片中。
在所有虚拟化的启动过程中,对虚拟机中的BIOS、虚拟操作系统、虚拟应用程序进行hash计算得到摘要,然后将得到的摘要与可信芯片中预先存储的与虚拟启动情况对应的启动信息进行认证交互,虚拟机中的BIOS、虚拟操作系统、虚拟应用程序是经过认证的、安全可靠的。
根据本发明的一个方面,提供了一种虚拟化启动的认证装置。
如图3所示,根据本发明实施例的虚拟化启动的认证装置包括:
获取模块31,用于在进行虚拟化的启动情况下,获取启动对象的认证信息,可以可选地获取启动对象的全部或部分启动信息,将获取的信息作为认证信息。;
对比模块32,用于将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比;
判断模块33,用于根据对比结果判断启动对象是否安全。
其中,在启动对象为虚拟机的情况下,则认证信息为虚拟机的系统文件,可选地,在启动对象为虚拟程序的情况下,则认证信息为虚拟程序对应的虚拟文件。
此外,预先存储的与启动对象对应的认证信息为该认证信息的hash计算结果,在将得到的认证信息与预先存储的与启动对象对应的认证信息进行对比之前,根据本发明实施例的虚拟化启动的认证装置可以进一步包括:
计算模块(未示出),用于对启动信息hash计算,并且将计算结果与预先存储的hash计算结果进行比较。在比较结果相同或相符的情况下,判定启动信息安全,进而判定启动对象的安全。
综上所述,借助于本发明的上述技术方案,本发明通过在虚拟化启动的时候,对比启动对象的认证信息与预先存储的与所述启动对象对应的认证信息,避免启动对象存在可靠性问题,从而降低了虚拟化启动情况的风险,弥补了虚拟化启动情况缺少信息认证的空白,增强了虚拟系统的可靠性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种虚拟化启动的认证方法,其特征在于,包括:
在进行虚拟化的启动情况下,获取启动对象的认证信息;
将得到的所述认证信息与预先存储的与所述启动对象对应的认证信息进行对比;
根据对比结果判断所述启动对象是否安全。
2.根据权利要求1所述的认证方法,其特征在于,获取的所述启动对象的认证信息包括:
获取所述启动对象的全部或部分启动信息,将获取的信息作为所述认证信息。
3.根据权利要求1所述的认证方法,其特征在于,根据所述对比结果判断所述启动对象是否安全包括:
在所述对比结果为相同或相符的情况下,判断所述启动对象为安全。
4.根据权利要求1所述的认证方法,其特征在于,在所述启动对象为虚拟机的情况下,则所述认证信息为所述虚拟机的系统文件。
5.根据权利要求1所述的认证方法,其特征在于,在所述启动对象为虚拟程序的情况下,则所述认证信息为所述虚拟程序对应的虚拟文件。
6.根据权利要求1所述的认证方法,其特征在于,预先存储的与所述启动对象对应的认证信息为该认证信息的hash计算结果,在将得到的所述认证信息与预先存储的与所述启动对象对应的认证信息进行对比之前,所述认证方法进一步包括:
对所述启动信息hash计算,并且将计算结果与预先存储的hash计算结果进行比较。
7.一种虚拟化启动的认证装置,其特征在于,包括:
获取模块,用于在进行虚拟化的启动情况下,获取启动对象的认证信息;
对比模块,用于将得到的所述认证信息与预先存储的与所述启动对象对应的认证信息进行对比;
判断模块,用于根据对比结果判断所述启动对象是否安全。
8.根据权利要求7所述的认证装置,其特征在于,获取的所述启动对象的认证信息包括:
获取所述启动对象的全部或部分启动信息,将获取的信息作为所述认证信息。
9.根据权利要求7所述的认证装置,其特征在于,在所述启动对象为虚拟机的情况下,则所述认证信息为所述虚拟机的系统文件。
10.根据权利要求7所述的认证装置,其特征在于,预先存储的与所述启动对象对应的认证信息为该认证信息的hash计算结果,在将得到的所述认证信息与预先存储的与所述启动对象对应的认证信息进行对比之前,所述认证装置进一步包括:
计算模块,用于对所述启动信息hash计算,并且将计算结果与预先存储的hash计算结果进行比较。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310517648.1A CN103559436A (zh) | 2013-10-28 | 2013-10-28 | 虚拟化启动的认证方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310517648.1A CN103559436A (zh) | 2013-10-28 | 2013-10-28 | 虚拟化启动的认证方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103559436A true CN103559436A (zh) | 2014-02-05 |
Family
ID=50013682
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310517648.1A Pending CN103559436A (zh) | 2013-10-28 | 2013-10-28 | 虚拟化启动的认证方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103559436A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104899107A (zh) * | 2014-03-05 | 2015-09-09 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
CN112988333A (zh) * | 2021-04-26 | 2021-06-18 | 武汉深之度科技有限公司 | 一种容器应用认证方法、系统、计算设备及可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1991779A (zh) * | 2005-12-30 | 2007-07-04 | 联想(北京)有限公司 | 基于安全芯片的防病毒方法 |
CN102025744A (zh) * | 2010-12-20 | 2011-04-20 | 北京世纪互联工程技术服务有限公司 | 一种云计算中虚拟机镜像导入和导出系统 |
CN102110197A (zh) * | 2009-12-25 | 2011-06-29 | 中国科学院计算技术研究所 | 多核处理器的计算环境中实现tmp的方法及其系统 |
CN102202046A (zh) * | 2011-03-15 | 2011-09-28 | 北京邮电大学 | 面向网络化操作系统的可信任虚拟运行平台 |
CN102244684A (zh) * | 2011-07-29 | 2011-11-16 | 电子科技大学 | 基于usbkey的efi可信云链引导方法 |
CN102289631A (zh) * | 2011-08-12 | 2011-12-21 | 无锡城市云计算中心有限公司 | 一种虚拟安全计算环境的实现方法 |
CN102968595A (zh) * | 2012-12-20 | 2013-03-13 | 曙光云计算技术有限公司 | 虚拟机系统的保护方法和装置 |
CN103064706A (zh) * | 2012-12-20 | 2013-04-24 | 曙光云计算技术有限公司 | 虚拟机系统的启动方法和装置 |
-
2013
- 2013-10-28 CN CN201310517648.1A patent/CN103559436A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1991779A (zh) * | 2005-12-30 | 2007-07-04 | 联想(北京)有限公司 | 基于安全芯片的防病毒方法 |
CN102110197A (zh) * | 2009-12-25 | 2011-06-29 | 中国科学院计算技术研究所 | 多核处理器的计算环境中实现tmp的方法及其系统 |
CN102025744A (zh) * | 2010-12-20 | 2011-04-20 | 北京世纪互联工程技术服务有限公司 | 一种云计算中虚拟机镜像导入和导出系统 |
CN102202046A (zh) * | 2011-03-15 | 2011-09-28 | 北京邮电大学 | 面向网络化操作系统的可信任虚拟运行平台 |
CN102244684A (zh) * | 2011-07-29 | 2011-11-16 | 电子科技大学 | 基于usbkey的efi可信云链引导方法 |
CN102289631A (zh) * | 2011-08-12 | 2011-12-21 | 无锡城市云计算中心有限公司 | 一种虚拟安全计算环境的实现方法 |
CN102968595A (zh) * | 2012-12-20 | 2013-03-13 | 曙光云计算技术有限公司 | 虚拟机系统的保护方法和装置 |
CN103064706A (zh) * | 2012-12-20 | 2013-04-24 | 曙光云计算技术有限公司 | 虚拟机系统的启动方法和装置 |
Non-Patent Citations (1)
Title |
---|
房晶等: "《云计算的虚拟化安全问题》", 《电信科学》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104899107A (zh) * | 2014-03-05 | 2015-09-09 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
CN112988333A (zh) * | 2021-04-26 | 2021-06-18 | 武汉深之度科技有限公司 | 一种容器应用认证方法、系统、计算设备及可读存储介质 |
CN112988333B (zh) * | 2021-04-26 | 2021-09-03 | 武汉深之度科技有限公司 | 一种容器应用认证方法、系统、计算设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106452783B (zh) | 计算机系统及安全执行的方法 | |
US10382426B2 (en) | Authentication context transfer for accessing computing resources via single sign-on with single use access tokens | |
EP3123692B1 (en) | Techniques to operate a service with machine generated authentication tokens | |
JP5904616B2 (ja) | リモートサーバーに対するセキュアなユーザ認証および証明 | |
US9509720B2 (en) | Techniques for improved run time trustworthiness | |
US9749141B2 (en) | Secure boot devices, systems, and methods | |
US10057254B2 (en) | Mobile terminal for providing one time password and operating method thereof | |
EP3343424B1 (en) | Control board secure start method, and software package upgrade method and device | |
CN102244684B (zh) | 基于usbkey的efi可信云链引导方法 | |
US11475107B2 (en) | Hardware security | |
WO2017133559A1 (zh) | 安全启动方法及装置 | |
CN105608385A (zh) | 基于嵌入式可信计算模块的嵌入式设备可信启动方法 | |
CN104200165A (zh) | 一种基于国产cpu的主动可信度量方法 | |
US9396134B2 (en) | Authorization logic in memory constrained security device | |
JP7100201B2 (ja) | トラステッドコンピューティング方法およびサーバ | |
CN106973054B (zh) | 一种基于可信平台的操作系统登录认证方法和系统 | |
CN110555309A (zh) | 启动方法、装置、终端以及计算机可读存储介质 | |
CN109977679A (zh) | 一种基于tcm芯片的工控安全设备升级包安装方法 | |
US10771462B2 (en) | User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal | |
CN105786588A (zh) | 一种净室可信虚拟机监控器的远程认证方法 | |
CN109240771A (zh) | 一种系统启动方法及装置 | |
CN103559436A (zh) | 虚拟化启动的认证方法和装置 | |
CN102694776A (zh) | 一种基于可信计算的认证系统及方法 | |
US9286459B2 (en) | Authorized remote access to an operating system hosted by a virtual machine | |
CN105468964B (zh) | 计算机系统以及计算机系统操作方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140205 |