CN107545184A - 云主机的可信度量系统及方法 - Google Patents
云主机的可信度量系统及方法 Download PDFInfo
- Publication number
- CN107545184A CN107545184A CN201710705807.9A CN201710705807A CN107545184A CN 107545184 A CN107545184 A CN 107545184A CN 201710705807 A CN201710705807 A CN 201710705807A CN 107545184 A CN107545184 A CN 107545184A
- Authority
- CN
- China
- Prior art keywords
- virtual
- credible
- metric
- machine
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种云主机的可信度量系统及方法,在虚拟环境中配置虚拟可信平台模块,通过可信平台模块对物理环境进行可信度量,通过虚拟可信平台模块对虚拟环境进行可信度量,构建了从物理机到虚拟机的完整的可信链,能够实现对云主机的物理环境与虚拟环境的可信完整性验证;所构建的可信链不依赖于物理机的可信平台模块,因而,在虚拟机迁移时,首先在目的宿主机的虚拟PCR寄存器中划分用于保存该虚拟机的度量值的空间,然后将目的宿主机的物理机的各度量值拷贝到虚拟PCR寄存器的相应位,虚拟机启动时,再对该虚拟机进行度量,将度量值保存于虚拟PCR寄存器的相应位,即完成了迁移后虚拟机的可信链重构,可移植性极佳,适于广泛应用于云计算平台。
Description
技术领域
本发明涉及一种云主机的可信度量系统及方法,属于信息安全技术领域。
背景技术
目前,云计算平台成为了主要的基础计算平台,云主机包括物理机构建的物理环境与虚拟机构建的虚拟环境。为保证云计算平台的可信性,需要同时保证物理环境和虚拟环境的可信性,这样,对云计算平台的完整性度量既包括物理环境的可信度量,又包括虚拟环境的可信度量。申请号为201510513472.1的中国发明专利申请,公开了一种虚拟化的可信服务器信任链的构建方法,其以可信平台模块为信任根,对物理机和虚拟机的各组件进行完整性度量,以保证云主机系统的完整可靠性。
上述已公开的技术方案,完全依靠可信平台模块对云主机的物理机和虚拟机进行完整性度量,当虚拟机需要进行迁移等操作时,将破坏信任链的完整性,无法保证虚拟机的可信性,不具有可移植性,在云计算平台中不具有广泛适用性。
发明内容
鉴于上述原因,本发明的目的在于提供一种云主机的可信度量系统及方法,通过可信平台模块对物理环境进行可信度量,通过虚拟可信平台模块对虚拟环境进行可信度量,构建物理机到虚拟机的可信链,能够保证云主机物理环境与虚拟环境的可信完整性,且具有可移植性,适用范围广。
为实现上述目的,本发明采用以下技术方案:
一种云主机的可信度量系统,云主机包括物理机和虚拟机,物理机配置有可信平台模块,包括:
虚拟可信平台模块,配置于虚拟机运行的虚拟化软件中,多个虚拟机对应一个虚拟可信平台模块,该虚拟可信平台模块的虚拟寄存器中保存有各虚拟机分别对应的一组度量值,每组度量值对应相应的虚拟机的从物理机到虚拟机的完整可信链。
所述物理机可信启动,将启动过程中生成的各度量值保存于所述可信平台模块的寄存器中。
所述虚拟机启动,首先从所述寄存器中将所述物理机的各度量值拷贝到所述虚拟寄存器的相应位作为基础度量值,虚拟机可信启动,对虚拟机的各组件进行度量,将生成的各度量值保存于所述虚拟寄存器的相应位。
所述物理机可信启动过程中,依序对各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于所述寄存器的相应位;从所述寄存器的相应位将物理机的各度量值拷贝到所述虚拟寄存器的对应位;所述虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于所述虚拟寄存器的相应位。
所述虚拟机迁移到目的宿主机,该目的宿主机在其虚拟可信平台模块的虚拟寄存器中划分用于保存该虚拟机的度量值的空间,然后从其可信平台模块中读取物理机的各度量值,将其物理机的各度量值拷贝到该空间的对应位,该虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的各度量值分别与前一位度量值进行哈希运算后,依序保存于该空间的相应位。
所述物理机的操作系统上安装虚拟机监视器,用于支持所述虚拟化软件的运行,所述虚拟化软件用于配置支持虚拟机的运行;所述物理机的操作系统配置可信平台模块软件库,其用于支持所述虚拟可信平台模块具有加解密处理,保存度量值功能。
所述虚拟可信平台模块通过第三方系统获取密钥。
基于上述云主机的可信度量系统实现的可信度量方法,
通过可信平台模块对物理机进行度量,通过虚拟可信平台模块对虚拟机进行度量,构建从物理机到虚拟机的完整可信链;
其中,多个虚拟机对应一个虚拟可信平台模块,该虚拟可信平台模块的虚拟寄存器中保存有各虚拟机分别对应的一组度量值,每组度量值对应相应的虚拟机的从物理机到虚拟机的完整可信链。
所述物理机可信启动过程中,依序对各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于物理机的寄存器的相应位;从该寄存器的相应位将物理机的各度量值拷贝到虚拟可信平台模块的虚拟寄存器的对应位;所述虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于该虚拟寄存器的相应位。
所述虚拟机迁移到目的宿主机,该目的宿主机在其虚拟可信平台模块的虚拟寄存器中划分用于保存该虚拟机的度量值的空间,然后从其可信平台模块中读取物理机的各度量值,将其物理机的各度量值拷贝到该空间的对应位,该虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的各度量值分别与前一位度量值进行哈希运算后,依序保存于该空间的相应位。
本发明的优点是:
1、本发明的系统及方法,通过可信平台模块对物理环境进行可信度量,通过虚拟可信平台模块对虚拟环境进行可信度量,构建了从物理机到虚拟机的完整的可信链,能够保证云主机物理环境与虚拟环境的可信完整性;
2、本发明的系统及方法,构建的完整可信链,不依赖于物理机的可信平台模块,虚拟机迁移时,仅需将目的宿主机的物理机的各度量值拷贝到虚拟可信平台模块的相应位,在此基础上对虚拟机进行度量,即可完成迁移后虚拟机的可信链重构,可移植性极佳,适于广泛应用于云计算平台。
附图说明
图1是本发明的系统结构框图。
图2是本发明的可信度量方法流程图。
图3是本发明的PCR寄存器的数据结构示意图。
图4是本发明的虚拟PCR寄存器的数据结构示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的说明。
如图1所示,云主机包括物理机和虚拟机,物理机配置有可信平台模块(TPM:Trusted Platform Module),可信平台模块中设置有PCR(platform configurationregister)寄存器,可信平台模块具有生成并管理密钥,加、解密处理,保存度量值等功能。物理机启动过程中,通过可信平台模块对物理机的各组件进行度量,以验证物理机的完整性。可信启动过程为:在物理机的启动过程中,对要执行部分的代码或数据进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信平台模块的PCR寄存器中,物理机启动完成,得到启动过程的多个度量值,建立了从BIOS到BootLoader最后到操作系统的一条完整的可信链,能够反应物理机的完整性信息。
物理机操作系统上安装虚拟机监视器,用于支持虚拟化软件的运行,虚拟化软件用于配置支持虚拟机的运行。为实现虚拟机的可信度量,虚拟化软件层配置虚拟可信平台模块,物理机操作系统配置可信平台模块软件库,该可信平台模块软件库包括若干C函数文件和一个入口函数,每个C函数文件包括可信平台模块命令的处理函数,入口函数用于接收经虚拟化软件传递的虚拟机发出的命令;基于该可信平台模块软件库,使得虚拟可信平台模块具有加、解密处理,保存度量值等功能,为保证虚拟机迁移后的可信完整性,虚拟可信平台模块不具有生成密钥的功能,其可通过第三方系统(如,密钥管理服务器、远程认证服务器等)获取密钥,对于虚拟机,虚拟可信平台模块具备可信平台模块的各项功能。
如图1-4所示,云主机的可信度量系统构建可信链的方法包括:
1、构建物理环境的可信链
1)物理机操作系统启动之前,由可信引导模块负责物理环境可信链的建立。具体包括:对物理机的BIOS进行度量,并将度量值保存于可信平台模块的PCR寄存器的起始位(PCR0),作为物理环境可信度量的起始度量值;之后,对BIOS配置(如,设置主板密码等配置)进行度量,为了保证可信链的传递,将该度量值与起始度量值做哈希运算,生成第二度量值,保存于PCR寄存器的第二位(PCR1);以此类推,依次对物理机的ROM、ROM配置、IPL(Initial Program Loader)代码、IPL配置、附加配置I(例如,唤醒机制的配置)、附加配置II(例如,物理机基础设施规范相关配置)、Grub(GRand Unified Bootloader)配置、vmlinuz(内核引导文件)和initramfs文件进行可信度量,将生成的度量值分别与前一位度量值做哈希运算,将生成的度量值分别保存于PCR寄存器的相应位(PCR2-PCR10)。
2)物理机操作系统启动时,物理环境可信链建立的控制权由可信引导模块交给操作系统的完整性度量模块。完整性度量模块通过在内核中执行patch命令,实现当应用程序运行、动态链接库加载、内核模块加载时,对用到的代码和关键数据(如,配置文件和结构化数据)进行可信度量。度量方法与前述1)相同,为保证可信链的传递,对操作系统中运行的虚拟化软件和虚拟可信平台模块进行可信度量,将生成度量值与前一位度量值(PCR10)做哈希运算,将生成的度量值保存于PCR寄存器的相应位(PCR11)。至此,物理环境的可信链建立完成。
物理机上的应用程序执行时,对应用程序进行度量,将生成的度量值与前一位度量值进行哈希运算,将生成的度量值保存于PCR寄存器的相应位(PCR12-PCR23用于保存物理机应用程序的度量值)。
2、构建虚拟环境的可信链
1)虚拟化软件启动虚拟机,初始化虚拟可信平台模块地址空间,为了保证从物理环境到虚拟环境可信链的完整扩展,从物理机的可信平台模块的PCR寄存器的相应位(PCR0至PCR11)读取物理环境的各个度量值,拷贝到虚拟可信平台模块的虚拟PCR寄存器的对应位(vPCR0至vPCR11),作为虚拟环境可信度量的基础度量值;
2)虚拟机操作系统启动之前,由虚拟可信引导模块负责虚拟环境可信链的建立。首先对虚拟机的启动程序进行可信度量,将生成的度量值与前一位度量值(vPCR11)做哈希运算,将生成的度量值保存于虚拟可信平台模块的虚拟PCR寄存器的相应位(vPCR12);之后,虚拟可信引导模块依次对虚拟机操作系统的内核镜像文件、打开的文件进行度量,将生成的度量值分别与前一位度量值做哈希运算,将生成的度量值保存于虚拟PCR寄存器的相应位(vPCR13、vPCR14)。
3)在虚拟机操作系统启动时,虚拟环境可信链建立的控制权由虚拟可信引导模块交给操作系统的虚拟完整性度量模块。虚拟完整性度量模块依次对虚拟机操作系统的可执行代码、载入的内核模块以及执行的应用程序进行度量,将生成的度量值分别与前一位度量值做哈希运算,将生成的度量值分别保存于虚拟PCR寄存器的相应位(vPCR15到vPCR17)。至此,虚拟环境的可信链建立完成。
虚拟机上的应用程序执行时,对应用程序进行度量,将生成的度量值与前一位度量值进行哈希运算,将生成的度量值保存于虚拟PCR寄存器的相应位(PCR18-PCR23用于保存虚拟机应用程序的度量值)。
上述过程结束,建立完成依次从物理机硬件、物理机内核、物理机操作系统,到虚拟化软件、虚拟机内核、虚拟机操作系统的完整的可信链,将可信链从物理环境扩展到了虚拟环境,保证了云主机的完整可信性。
本发明的可信度量系统及方法,具有良好的可移植性,即使虚拟机进行迁移等操作,通过可信链的重构,即可保证虚拟机的可信性。具体的说:
多个虚拟机对应一个虚拟可信平台模块,该虚拟可信平台模块的虚拟PCR寄存器中,每个虚拟机对应一组度量值,该组度量值对应该虚拟机的完整的可信链。虚拟机迁移时,仅需迁移虚拟机即可,无需同时迁移虚拟可信平台模块,具体过程是:虚拟机迁移时,直接将虚拟机拷贝到目的宿主机,在目的宿主机的虚拟可信平台模块的虚拟PCR寄存器中,划分用于保存该虚拟机的度量值的空间,从目的宿主机的可信平台模块中,将物理机的各度量值拷贝到虚拟PCR寄存器中为该虚拟机分配的空间的相应位,该虚拟机启动,对其进行度量,依据前述度量方法,将生成的度量值保存于虚拟PCR寄存器中为该虚拟机分配的空间的对应位,完成迁移后的虚拟机的完整可信链的建立。
本发明的云主机的可信度量系统及方法,在虚拟环境中配置虚拟可信平台模块,通过可信平台模块对物理环境进行可信度量,通过虚拟可信平台模块对虚拟环境进行可信度量,构建了从物理机到虚拟机的完整的可信链,能够实现对云主机的物理环境与虚拟环境的可信完整性验证;所构建的可信链不依赖于物理机的可信平台模块,这样,在虚拟机迁移时,首先在目的宿主机的虚拟PCR寄存器中划分用于保存该虚拟机的度量值的空间,然后将目的宿主机的物理机的各度量值拷贝到虚拟PCR寄存器的相应位,虚拟机启动时,再对虚拟机进行度量,将度量值保存于虚拟PCR寄存器的相应位,即完成了迁移后虚拟机的可信链重构,可移植性极佳,适于广泛应用于云计算平台。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。
Claims (10)
1.云主机的可信度量系统,云主机包括物理机和虚拟机,物理机配置有可信平台模块,其特征在于,包括:
虚拟可信平台模块,配置于虚拟机运行的虚拟化软件中,多个虚拟机对应一个虚拟可信平台模块,该虚拟可信平台模块的虚拟寄存器中保存有各虚拟机分别对应的一组度量值,每组度量值对应相应的虚拟机的从物理机到虚拟机的完整可信链。
2.根据权利要求1所述的云主机的可信度量系统,其特征在于,所述物理机可信启动,将启动过程中生成的各度量值保存于所述可信平台模块的寄存器中。
3.根据权利要求2所述的云主机的可信度量系统,其特征在于,所述虚拟机启动,首先从所述寄存器中将所述物理机的各度量值拷贝到所述虚拟寄存器的相应位作为基础度量值,虚拟机可信启动,对虚拟机的各组件进行度量,将生成的各度量值保存于所述虚拟寄存器的相应位。
4.根据权利要求3所述的云主机的可信度量系统,其特征在于,所述物理机可信启动过程中,依序对各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于所述寄存器的相应位;从所述寄存器的相应位将物理机的各度量值拷贝到所述虚拟寄存器的对应位;所述虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于所述虚拟寄存器的相应位。
5.根据权利要求4所述的云主机的可信度量系统,其特征在于,所述虚拟机迁移到目的宿主机,该目的宿主机在其虚拟可信平台模块的虚拟寄存器中划分用于保存该虚拟机的度量值的空间,然后从其可信平台模块中读取物理机的各度量值,将其物理机的各度量值拷贝到该空间的对应位,该虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的各度量值分别与前一位度量值进行哈希运算后,依序保存于该空间的相应位。
6.根据权利要求1所述的云主机的可信度量系统,其特征在于,所述物理机的操作系统上安装虚拟机监视器,用于支持所述虚拟化软件的运行,所述虚拟化软件用于配置支持虚拟机的运行;所述物理机的操作系统配置可信平台模块软件库,其用于支持所述虚拟可信平台模块具有加解密处理,保存度量值功能。
7.根据权利要求6所述的云主机的可信度量系统,其特征在于,所述虚拟可信平台模块通过第三方系统获取密钥。
8.基于权利要求5所述的云主机的可信度量系统实现的可信度量方法,其特征在于,
通过可信平台模块对物理机进行度量,通过虚拟可信平台模块对虚拟机进行度量,构建从物理机到虚拟机的完整可信链;
其中,多个虚拟机对应一个虚拟可信平台模块,该虚拟可信平台模块的虚拟寄存器中保存有各虚拟机分别对应的一组度量值,每组度量值对应相应的虚拟机的从物理机到虚拟机的完整可信链。
9.根据权利要求8所述的可信度量方法,其特征在于,所述物理机可信启动过程中,依序对各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于物理机的寄存器的相应位;从该寄存器的相应位将物理机的各度量值拷贝到虚拟可信平台模块的虚拟寄存器的对应位;所述虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的度量值分别与前一位度量值进行哈希运算后,依序保存于该虚拟寄存器的相应位。
10.根据权利要求9所述的可信度量方法,其特征在于,所述虚拟机迁移到目的宿主机,该目的宿主机在其虚拟可信平台模块的虚拟寄存器中划分用于保存该虚拟机的度量值的空间,然后从其可信平台模块中读取物理机的各度量值,将其物理机的各度量值拷贝到该空间的对应位,该虚拟机可信启动,依序对虚拟机的各组件进行度量,将生成的各度量值分别与前一位度量值进行哈希运算后,依序保存于该空间的相应位。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710705807.9A CN107545184B (zh) | 2017-08-17 | 2017-08-17 | 云主机的可信度量系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710705807.9A CN107545184B (zh) | 2017-08-17 | 2017-08-17 | 云主机的可信度量系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107545184A true CN107545184A (zh) | 2018-01-05 |
| CN107545184B CN107545184B (zh) | 2021-08-17 |
Family
ID=60971478
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710705807.9A Active CN107545184B (zh) | 2017-08-17 | 2017-08-17 | 云主机的可信度量系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107545184B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108255579A (zh) * | 2018-01-11 | 2018-07-06 | 浪潮(北京)电子信息产业有限公司 | 一种基于kvm平台的虚拟机管理方法及装置 |
| CN108418815A (zh) * | 2018-02-12 | 2018-08-17 | 国网浙江省电力有限公司 | 用户虚拟机数据访问证据收集方法及系统 |
| CN109062662A (zh) * | 2018-07-12 | 2018-12-21 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟可信根迁移方法、系统及电子设备和存储介质 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109255242A (zh) * | 2018-09-18 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种基于可信uefi固件引导虚拟机启动的方法及系统 |
| CN109495436A (zh) * | 2018-04-20 | 2019-03-19 | 全球能源互联网研究院有限公司 | 一种可信云平台度量系统及方法 |
| CN110012074A (zh) * | 2019-03-12 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
| CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
| CN110515699A (zh) * | 2019-08-20 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种获取虚拟机所在平台可信状态的方法和设备 |
| CN111198717A (zh) * | 2018-11-20 | 2020-05-26 | 西门子股份公司 | 计算机系统的可信启动方法、装置、电子设备和介质 |
| CN111638936A (zh) * | 2020-04-16 | 2020-09-08 | 中国科学院信息工程研究所 | 一种基于内置安全体系结构的虚拟机静态度量方法和装置 |
| CN112364343A (zh) * | 2020-11-16 | 2021-02-12 | 支付宝(杭州)信息技术有限公司 | 虚拟机监控器秘密的保护方法、装置和电子设备 |
| CN113157386A (zh) * | 2021-03-03 | 2021-07-23 | 中国科学院信息工程研究所 | 一种从物理机到虚拟机的信任链构建方法及系统 |
| CN113190853A (zh) * | 2021-03-24 | 2021-07-30 | 中国电力科学研究院有限公司 | 一种计算机可信认证系统、方法、设备及可读存储介质 |
| CN113315805A (zh) * | 2021-04-08 | 2021-08-27 | 中国科学院信息工程研究所 | 一种云基础设施可信设备的群组验证方法和系统 |
| CN113542266A (zh) * | 2021-07-13 | 2021-10-22 | 中国人民解放军战略支援部队信息工程大学 | 一种基于云模型的虚拟网元信任度量方法及系统 |
| CN114116026A (zh) * | 2021-11-12 | 2022-03-01 | 四川大学 | 一种云平台信任链分层模型构建方法 |
| CN117806777A (zh) * | 2024-02-29 | 2024-04-02 | 苏州元脑智能科技有限公司 | 虚拟环境启动完整性验证方法、装置、系统、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
| CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
| CN104298917A (zh) * | 2014-11-14 | 2015-01-21 | 北京航空航天大学 | 一种基于tpm的虚拟机内应用程序完整性度量方法 |
| CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
| CN105930199A (zh) * | 2016-04-14 | 2016-09-07 | 浪潮集团有限公司 | 一种虚拟机监控器本地完整性检测的系统及实现方法 |
-
2017
- 2017-08-17 CN CN201710705807.9A patent/CN107545184B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
| CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
| CN104298917A (zh) * | 2014-11-14 | 2015-01-21 | 北京航空航天大学 | 一种基于tpm的虚拟机内应用程序完整性度量方法 |
| CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
| CN105930199A (zh) * | 2016-04-14 | 2016-09-07 | 浪潮集团有限公司 | 一种虚拟机监控器本地完整性检测的系统及实现方法 |
Non-Patent Citations (1)
| Title |
|---|
| 金鑫等: "《可信链跨物理主机迁移及快速恢复方法》", 《武汉大学学报(理学版)》 * |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108255579A (zh) * | 2018-01-11 | 2018-07-06 | 浪潮(北京)电子信息产业有限公司 | 一种基于kvm平台的虚拟机管理方法及装置 |
| CN108418815A (zh) * | 2018-02-12 | 2018-08-17 | 国网浙江省电力有限公司 | 用户虚拟机数据访问证据收集方法及系统 |
| CN109495436A (zh) * | 2018-04-20 | 2019-03-19 | 全球能源互联网研究院有限公司 | 一种可信云平台度量系统及方法 |
| CN109495436B (zh) * | 2018-04-20 | 2021-02-26 | 全球能源互联网研究院有限公司 | 一种可信云平台度量系统及方法 |
| CN109062662A (zh) * | 2018-07-12 | 2018-12-21 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟可信根迁移方法、系统及电子设备和存储介质 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109165079B (zh) * | 2018-08-07 | 2021-07-27 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
| CN109255242A (zh) * | 2018-09-18 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种基于可信uefi固件引导虚拟机启动的方法及系统 |
| CN111198717A (zh) * | 2018-11-20 | 2020-05-26 | 西门子股份公司 | 计算机系统的可信启动方法、装置、电子设备和介质 |
| CN110012074A (zh) * | 2019-03-12 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
| CN110012074B (zh) * | 2019-03-12 | 2021-11-30 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
| CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
| CN110515699B (zh) * | 2019-08-20 | 2021-09-07 | 苏州浪潮智能科技有限公司 | 一种获取虚拟机所在平台可信状态的方法和设备 |
| CN110515699A (zh) * | 2019-08-20 | 2019-11-29 | 苏州浪潮智能科技有限公司 | 一种获取虚拟机所在平台可信状态的方法和设备 |
| CN111638936A (zh) * | 2020-04-16 | 2020-09-08 | 中国科学院信息工程研究所 | 一种基于内置安全体系结构的虚拟机静态度量方法和装置 |
| CN112364343A (zh) * | 2020-11-16 | 2021-02-12 | 支付宝(杭州)信息技术有限公司 | 虚拟机监控器秘密的保护方法、装置和电子设备 |
| CN112364343B (zh) * | 2020-11-16 | 2022-05-06 | 支付宝(杭州)信息技术有限公司 | 虚拟机监控器秘密的保护方法、装置和电子设备 |
| CN113157386A (zh) * | 2021-03-03 | 2021-07-23 | 中国科学院信息工程研究所 | 一种从物理机到虚拟机的信任链构建方法及系统 |
| CN113190853A (zh) * | 2021-03-24 | 2021-07-30 | 中国电力科学研究院有限公司 | 一种计算机可信认证系统、方法、设备及可读存储介质 |
| CN113315805A (zh) * | 2021-04-08 | 2021-08-27 | 中国科学院信息工程研究所 | 一种云基础设施可信设备的群组验证方法和系统 |
| CN113542266A (zh) * | 2021-07-13 | 2021-10-22 | 中国人民解放军战略支援部队信息工程大学 | 一种基于云模型的虚拟网元信任度量方法及系统 |
| CN114116026A (zh) * | 2021-11-12 | 2022-03-01 | 四川大学 | 一种云平台信任链分层模型构建方法 |
| CN114116026B (zh) * | 2021-11-12 | 2023-04-07 | 四川大学 | 一种云平台信任链分层模型构建方法 |
| CN117806777A (zh) * | 2024-02-29 | 2024-04-02 | 苏州元脑智能科技有限公司 | 虚拟环境启动完整性验证方法、装置、系统、设备及介质 |
| CN117806777B (zh) * | 2024-02-29 | 2024-05-10 | 苏州元脑智能科技有限公司 | 虚拟环境启动完整性验证方法、装置、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107545184B (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107545184A (zh) | 云主机的可信度量系统及方法 | |
| US8151262B2 (en) | System and method for reporting the trusted state of a virtual machine | |
| KR100930218B1 (ko) | 소프트웨어 기반 보안 코프로세서를 제공하는 방법, 장치및 처리 시스템 | |
| US10635821B2 (en) | Method and apparatus for launching a device | |
| US9626512B1 (en) | Validating using an offload device security component | |
| US8060934B2 (en) | Dynamic trust management | |
| US11677733B2 (en) | Firmware validation for encrypted virtual machines | |
| US20090164994A1 (en) | Virtual computing management systems and methods | |
| US20110246778A1 (en) | Providing security mechanisms for virtual machine images | |
| US20110202765A1 (en) | Securely move virtual machines between host servers | |
| US10943013B2 (en) | Maintaining keys for trusted boot code | |
| Hunt et al. | Confidential computing for OpenPOWER | |
| US10211985B1 (en) | Validating using an offload device security component | |
| CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
| US20140040997A1 (en) | Self-deleting virtual machines | |
| CN102722665A (zh) | 基于tpm/vtpm的可信程序列表生成方法及系统 | |
| US10909248B2 (en) | Executing encrypted boot loaders | |
| AU2019245506A1 (en) | Secured computer system | |
| US11983275B2 (en) | Multi-phase secure zero touch provisioning of computing devices | |
| CN115203700A (zh) | 用于保护处于静止及运动的数据的灵活安全性enclave | |
| US11809568B2 (en) | Hypervisor having local keystore |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |