CN108255579A - 一种基于kvm平台的虚拟机管理方法及装置 - Google Patents
一种基于kvm平台的虚拟机管理方法及装置 Download PDFInfo
- Publication number
- CN108255579A CN108255579A CN201810026228.6A CN201810026228A CN108255579A CN 108255579 A CN108255579 A CN 108255579A CN 201810026228 A CN201810026228 A CN 201810026228A CN 108255579 A CN108255579 A CN 108255579A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- vtpm
- request
- management method
- kvm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于KVM平台的虚拟机管理方法,包括:接收虚拟化管理系统发送的请求;当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定,使得每个虚拟机均具有对应的vTPM;同时,根据包含硬件TPM安全芯片处理逻辑的vTPM动态库生成的vTPM能够避免虚拟机被恶意篡改和攻击,为每个虚拟机提供了有效的安全保障,也方便了虚拟机的迁移和后期维护,节约了维护成本。相应地,本发明公开的一种基于KVM平台的虚拟机管理装置、设备及计算机可读存储介质,也同样具有上述技术效果。
Description
技术领域
本发明涉及虚拟化技术领域,更具体地说,涉及一种基于KVM平台的虚拟机管理方法、装置、设备及计算机可读存储介质。
背景技术
随着云计算技术的日益成熟,越来越多的企业利用云计算平台构建企业内的云数据中心。
目前,KVM虚拟化技术是云计算中常用的虚拟化技术,通过KVM虚拟化平台构建云数据中心具有按需扩展,动态调整,升级维护便捷等优点。但是,基于KVM虚拟化技术构建的虚拟硬件平台存在被恶意管理员篡改、被恶意软件攻击的安全问题。对此,可信计算技术中的可信赖平台模块——TPM安全芯片可以为硬件平台提供有效的安全保障,从而使得宿主机安全可信。但是宿主机中的TPM安全芯片是唯一的,无法同时提供给宿主机之上的多个虚拟机使用。
因此,如何在管理硬件平台上的多个虚拟机时,为其同时提供安全保障,是本领域技术人员需要解决的问题。
发明内容
本发明的目的在于提供一种基于KVM平台的虚拟机管理方法、装置、设备及计算机可读存储介质,以实现在虚拟机的管理过程中,为硬件平台上的多个虚拟机同时提供安全保障。
为实现上述目的,本发明实施例提供了如下技术方案:
一种基于KVM平台的虚拟机管理方法,包括:
接收虚拟化管理系统发送的请求;
当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定。
其中,当所述请求为迁移所述虚拟机的请求时,还包括:
判断所述虚拟机的源主机和要迁移到的目的主机是否可信;
若是,则通过所述源主机和所述目的主机的数据通道,将所述虚拟机和所述vTPM迁移至所述目的主机。
其中,当所述请求为删除所述虚拟机的请求时,还包括:
调用预设的vTPM生命周期配置文件,将所述虚拟机和所述vTPM进行解绑,并删除所述虚拟机和所述vTPM。
其中,所述将所述vTPM与所述虚拟机进行绑定之后,还包括:
当接收到所述虚拟机调用所述vTPM的请求时,判断所述vTPM动态库是否符合预设的第一度量值;
若是,则允许所述虚拟机调用所述vTPM。
其中,所述允许所述虚拟机调用所述vTPM之前,还包括:
判断虚拟机模拟器是否符合预设的第二度量值;
若是,则判断所述虚拟机的可信固件接口是否符合预设的第三度量值;
若是,则判断所述虚拟机的引导程序是否符合预设的第四度量值;
若是,则加载所述引导程序,并度量所述虚拟机的操作系统中的配置文件,形成所述虚拟机的信任链。
其中,所述将所述vTPM与所述虚拟机进行绑定之后,还包括:
启动所述虚拟机,将所述硬件TPM安全芯片中的非易失性数据存储至所述vTPM。
其中,所述接收虚拟化管理系统发送的请求之后,还包括:
将所述请求的数据格式解析为与预设的函数库相匹配的数据格式。
一种基于KVM平台的虚拟机管理装置,包括:
接收模块,用于接收虚拟化管理系统发送的请求;
执行模块,用于当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定。
一种基于KVM平台的虚拟机管理设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任意一项所述的基于KVM平台的虚拟机管理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的基于KVM平台的虚拟机管理方法的步骤。
通过以上方案可知,本发明实施例提供的一种基于KVM平台的虚拟机管理方法,包括:接收虚拟化管理系统发送的请求;当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定。
可见,所述方法通过生成与虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定,使得每个虚拟机均具有对应的vTPM;同时,根据包含硬件TPM安全芯片处理逻辑的vTPM动态库生成的vTPM能够避免虚拟机被恶意篡改和攻击,为每个虚拟机内的数据提供了有效的安全保障,也方便了虚拟机的迁移和后期维护,节约了维护成本。
相应地,本发明实施例提供的一种基于KVM平台的虚拟机管理装置、设备及计算机可读存储介质,也同样具有上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的第一种基于KVM平台的虚拟机管理方法流程图;
图2为本发明实施例公开的第二种基于KVM平台的虚拟机管理方法流程图;
图3为本发明实施例公开的第三种基于KVM平台的虚拟机管理方法流程图;
图4为本发明实施例公开的第四种基于KVM平台的虚拟机管理方法流程图;
图5为本发明实施例公开的一种基于KVM平台的虚拟机管理装置示意图;
图6为本发明实施例公开的一种基于KVM平台的虚拟机管理设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种基于KVM平台的虚拟机管理方法、装置、设备及计算机可读存储介质,以实现在虚拟机的管理过程中,为硬件平台上的多个虚拟机同时提供安全保障。
参见图1,本发明实施例提供的第一种基于KVM平台的虚拟机管理方法,包括:
S101、接收虚拟化管理系统发送的请求;
S102、当请求为创建虚拟机的请求时,根据请求创建虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与虚拟机对应的vTPM,并将vTPM与虚拟机进行绑定。
具体的,在本实施例中,虚拟化管理系统同时管理多个硬件主机,当目标硬件主机接收到虚拟化管理系统发送的请求,并判断出该请求为创建虚拟机的请求时,便根据该请求创建虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与虚拟机对应的vTPM,并将vTPM与虚拟机进行绑定,由此使得创建而得的虚拟机具有对应的vTPM,而vTPM可以保护该虚拟机的数据安全。
需要说明的是,本说明书中的vTPM均为具有硬件TPM安全芯片的处理逻辑的虚拟的TPM安全芯片。
可见,本实施例提供的第一种基于KVM平台的虚拟机管理方法,所述方法通过生成与虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定,使得每个虚拟机均具有对应的vTPM;同时,根据包含硬件TPM安全芯片处理逻辑的vTPM动态库生成的vTPM能够避免虚拟机被恶意篡改和攻击,为每个虚拟机内的数据提供了有效的安全保障,也方便了虚拟机的迁移和后期维护,节约了维护成本。
参见图2,本发明实施例提供的第二种基于KVM平台的虚拟机管理方法,包括:
S201、接收虚拟化管理系统发送的请求;
S202、当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定;
S203、当接收到虚拟机调用vTPM的请求时,判断vTPM动态库是否符合预设的第一度量值;若是,则执行S204;若否,则执行S208;
S204、判断虚拟机模拟器是否符合预设的第二度量值;若是,则执行S205;若否,则执行S208;
S205、判断所述虚拟机的可信固件接口是否符合预设的第三度量值;若是,则执行S206;若否,则执行S208;
S206、判断虚拟机的引导程序是否符合预设的第四度量值;若是,则执行S207;若否,则执行S208;
S207、加载所述引导程序,并度量所述虚拟机的操作系统中的配置文件,形成所述虚拟机的信任链,并允许所述虚拟机调用所述vTPM;
S208、发送报警消息至虚拟化管理系统。
具体的,在本实施例中,当虚拟机需要调用vTPM时,首先需要判断vTPM动态库是否符合预设的第一度量值,当vTPM动态库符合预设的第一度量值时,则判断虚拟机模拟器是否符合预设的第二度量值,当虚拟机模拟器符合预设的第二度量值时,则判断所述虚拟机的可信固件接口是否符合预设的第三度量值,当所述虚拟机的可信固件接口符合预设的第三度量值时,则判断虚拟机的引导程序是否符合预设的第四度量值,当虚拟机的引导程序符合预设的第四度量值时,则加载所述引导程序,并度量所述虚拟机的操作系统中的配置文件,形成所述虚拟机的信任链,并允许所述虚拟机调用所述vTPM。其中,若存在任意步骤不符合预设条件,则发送报警消息至虚拟化管理系统。
需要说明的是,如此一级级的度量而得的“vTPM动态库-虚拟机模拟器-可信固件接口-引导程序-操作系统中的配置文件”,为源主机至虚拟机的信任链,该信任链能够保证虚拟机的可信度。其中,所述操作系统中的配置文件包括:Kernel、initrd等配置文件。
并且,在本实施例中,均采用SHA256算法进行可信度度量,并保存每一级的度量日志及度量结果,以供技术人员后续追踪查看。当前,还可以采用其他算法进行可信度度量,如杂凑算法等。其中,对于虚拟机的引导程序的度量结果可以扩展至对于的vTPM的PCR寄存器中,度量日志保存至预设ACPI表,该ACPI表中详细记录度量对象及度量结果等信息。
可见,本实施例提供的第二种基于KVM平台的虚拟机管理方法,所述方法通过生成与虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定,使得每个虚拟机均具有对应的vTPM;同时,还形成了源主机至虚拟机的信任链,更大程度的避免了虚拟机被恶意篡改和攻击,为每个虚拟机内的数据提供了有效的安全保障,也方便了虚拟机的迁移和后期维护,节约了维护成本。
基于上述任意实施例,需要说明的是,所述将所述vTPM与所述虚拟机进行绑定之后,还包括:
启动所述虚拟机,将所述硬件TPM安全芯片中的非易失性数据存储至所述vTPM。
具体的,当虚拟机启动时,与其绑定的vTPM相应的开始启动,此时将硬件TPM安全芯片中的非易失性数据存储至所述vTPM。其中,所述非易失性数据即为:硬件TPM安全芯片中断电而不会丢失的数据,例如:持久化句柄,包括:加密密钥句柄、解密密钥句柄、会话句柄等。
基于上述任意实施例,需要说明的是,所述接收虚拟化管理系统发送的请求之后,还包括:
将所述请求的数据格式解析为与预设的函数库相匹配的数据格式。
具体的,当接收到虚拟化管理系统发送的请求后,需要将所述请求的数据格式解析为与预设的函数库相匹配的数据格式。通常虚拟化管理系统发送的请求为XML数据格式,而一般采用Libvirt函数库实现虚拟机管理,因此,需要将XML数据格式解析为Libvirt函数库内部能够识别的数据格式。
本发明实施例公开了第三种基于KVM平台的虚拟机管理方法,相对于上述实施例,本实施例对技术方案作了进一步的说明和优化。
参见图3,本发明实施例提供的第三种基于KVM平台的虚拟机管理方法,包括:
S301、接收虚拟化管理系统发送的请求;
S302、当请求为迁移虚拟机的请求时,判断虚拟机的源主机和要迁移到的目的主机是否可信;若是,则执行S203;若否,则执行S204;
S303、通过所述源主机和所述目的主机的数据通道,将所述虚拟机和所述vTPM迁移至所述目的主机;
S304、发送报警消息至虚拟化管理系统。
在本实施例中,当接收到虚拟化管理系统发送的迁移虚拟机的请求时,则需要首先判断虚拟机的源主机和要迁移到的目的主机是否可信,即分别判断虚拟机的源主机和要迁移到的目的主机的身份是否可信和即将要传输的数据是否可信,当双方身份可信且要传输的数据也可信时,则通过所述源主机和所述目的主机的数据通道,将所述虚拟机和所述vTPM迁移至所述目的主机。如此可以将与虚拟机绑定的vTPM随虚拟机同时迁移,使得虚拟机迁移更加方便快捷。
需要说明的是,当虚拟机的源主机遭遇不可抗因素,例如:突发电力中断或者遭遇宕机;或者当虚拟机的源主机需要维护或者由于业务需求等,以上均需要进行虚拟机的迁移,以便为客户提供正常服务。
可见,本实施例提供的第三种基于KVM平台的虚拟机管理方法,所述方法在接收到虚拟化管理系统发送的迁移虚拟机的请求,并判断虚拟机的源主机和要迁移到的目的主机均处于可信状态时,便将虚拟机和与其绑定的vTPM同时迁移至目的主机,极大的便利了虚拟机的迁移操作。
本发明实施例公开了第四种基于KVM平台的虚拟机管理方法,相对于上述实施例,本实施例对技术方案作了进一步的说明和优化。
参见图4,本发明实施例提供的第四种基于KVM平台的虚拟机管理方法,包括:
S401、接收虚拟化管理系统发送的请求;
S402、当请求为删除所述虚拟机的请求时,调用预设的vTPM生命周期配置文件,将虚拟机和vTPM进行解绑,并删除虚拟机和vTPM。
其中,所述预设的vTPM生命周期配置文件中记录了该虚拟机对应的vTPM生成以后的生命周期信息,包括:生成时间等。
可见,本实施例提供的第四种基于KVM平台的虚拟机管理方法,由于虚拟机和vTPM是对应存在的,因此在删除虚拟机时,需要删除相应的vTPM。如此删除虚拟机并不影响其他虚拟机上的业务处理,使得虚拟机具有独立性。
基于上述任意实施例,需要说明的是,还可以为每个源主机设置监控系统,监控该主机下的每个虚拟机的创建、迁移、删除操作及各种业务处理过程,并实时记录,当监听到异常情况时,及时发送报警消息至虚拟化管理系统。
下面对本发明实施例提供的一种基于KVM平台的虚拟机管理装置进行介绍,下文描述的一种基于KVM平台的虚拟机管理装置与上文描述的一种基于KVM平台的虚拟机管理方法可以相互参照。
参见图5,本发明实施例提供的一种基于KVM平台的虚拟机管理装置,包括:
接收模块501,用于接收虚拟化管理系统发送的请求;
执行模块502,用于当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定。
其中,还包括:
第一判断模块,用于判断所述虚拟机的源主机和要迁移到的目的主机是否可信;
迁移模块,用于当所述虚拟机的源主机和要迁移到的目的主机可信时,通过所述源主机和所述目的主机的数据通道,将所述虚拟机和所述vTPM迁移至所述目的主机。
其中,还包括:
删除模块,用于调用预设的vTPM生命周期配置文件,将所述虚拟机和所述vTPM进行解绑,并删除所述虚拟机和所述vTPM。
其中,还包括:
第二判断模块,用于当接收到所述虚拟机调用所述vTPM的请求时,判断所述vTPM动态库是否符合预设的第一度量值;
调用模块,用于当所述vTPM动态库符合预设的第一度量值时,允许所述虚拟机调用所述vTPM。
其中,还包括:
第三判断模块,用于判断虚拟机模拟器是否符合预设的第二度量值;
第四判断模块,用于当虚拟机模拟器符合预设的第二度量值时,判断所述虚拟机的可信固件接口是否符合预设的第三度量值;
第五判断模块,用于当所述虚拟机的可信固件接口符合预设的第三度量值时,判断所述虚拟机的引导程序是否符合预设的第四度量值;
加载模块,用于当虚拟机的引导程序符合预设的第四度量值时,加载所述引导程序,并度量所述虚拟机的操作系统中的配置文件,形成所述虚拟机的信任链。
其中,还包括:
存储模块,用于启动所述虚拟机,将所述硬件TPM安全芯片中的非易失性数据存储至所述vTPM。
其中,还包括:
解析模块,用于将所述请求的数据格式解析为与预设的函数库相匹配的数据格式。
下面对本发明实施例提供的一种基于KVM平台的虚拟机管理设备进行介绍,下文描述的一种基于KVM平台的虚拟机管理设备与上文描述的一种基于KVM平台的虚拟机管理方法及装置可以相互参照。
参见图6,本发明实施例提供的一种基于KVM平台的虚拟机管理设备,包括:
存储器601,用于存储计算机程序;
处理器602,用于执行所述计算机程序时实现上述任意实施例所述的基于KVM平台的虚拟机管理方法的步骤。
下面对本发明实施例提供的一种计算机可读存储介质进行介绍,下文描述的一种计算机可读存储介质与上文描述的一种基于KVM平台的虚拟机管理方法、装置及设备可以相互参照。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意实施例所述的基于KVM平台的虚拟机管理方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于KVM平台的虚拟机管理方法,其特征在于,包括:
接收虚拟化管理系统发送的请求;
当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定。
2.根据权利要求1所述的基于KVM平台的虚拟机管理方法,其特征在于,当所述请求为迁移所述虚拟机的请求时,还包括:
判断所述虚拟机的源主机和要迁移到的目的主机是否可信;
若是,则通过所述源主机和所述目的主机的数据通道,将所述虚拟机和所述vTPM迁移至所述目的主机。
3.根据权利要求1所述的基于KVM平台的虚拟机管理方法,其特征在于,当所述请求为删除所述虚拟机的请求时,还包括:
调用预设的vTPM生命周期配置文件,将所述虚拟机和所述vTPM进行解绑,并删除所述虚拟机和所述vTPM。
4.根据权利要求1所述的基于KVM平台的虚拟机管理方法,其特征在于,所述将所述vTPM与所述虚拟机进行绑定之后,还包括:
当接收到所述虚拟机调用所述vTPM的请求时,判断所述vTPM动态库是否符合预设的第一度量值;
若是,则允许所述虚拟机调用所述vTPM。
5.根据权利要求4所述的基于KVM平台的虚拟机管理方法,其特征在于,所述允许所述虚拟机调用所述vTPM之前,还包括:
判断虚拟机模拟器是否符合预设的第二度量值;
若是,则判断所述虚拟机的可信固件接口是否符合预设的第三度量值;
若是,则判断所述虚拟机的引导程序是否符合预设的第四度量值;
若是,则加载所述引导程序,并度量所述虚拟机的操作系统中的配置文件,形成所述虚拟机的信任链。
6.根据权利要求1所述的基于KVM平台的虚拟机管理方法,其特征在于,所述将所述vTPM与所述虚拟机进行绑定之后,还包括:
启动所述虚拟机,将所述硬件TPM安全芯片中的非易失性数据存储至所述vTPM。
7.根据权利要求1所述的基于KVM平台的虚拟机管理方法,其特征在于,所述接收虚拟化管理系统发送的请求之后,还包括:
将所述请求的数据格式解析为与预设的函数库相匹配的数据格式。
8.一种基于KVM平台的虚拟机管理装置,其特征在于,包括:
接收模块,用于接收虚拟化管理系统发送的请求;
执行模块,用于当所述请求为创建虚拟机的请求时,根据所述请求创建所述虚拟机,并根据包含硬件TPM安全芯片处理逻辑的vTPM动态库,生成与所述虚拟机对应的vTPM,并将所述vTPM与所述虚拟机进行绑定。
9.一种基于KVM平台的虚拟机管理设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1-7任意一项所述的基于KVM平台的虚拟机管理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7任意一项所述的基于KVM平台的虚拟机管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810026228.6A CN108255579A (zh) | 2018-01-11 | 2018-01-11 | 一种基于kvm平台的虚拟机管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810026228.6A CN108255579A (zh) | 2018-01-11 | 2018-01-11 | 一种基于kvm平台的虚拟机管理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108255579A true CN108255579A (zh) | 2018-07-06 |
Family
ID=62726185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810026228.6A Pending CN108255579A (zh) | 2018-01-11 | 2018-01-11 | 一种基于kvm平台的虚拟机管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108255579A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109086118A (zh) * | 2018-07-25 | 2018-12-25 | 浪潮(北京)电子信息产业有限公司 | 基于KVM的vTPM虚拟机迁移方法、装置及设备 |
| CN109101284A (zh) * | 2018-07-18 | 2018-12-28 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟机启动方法、装置、设备及存储介质 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109271179A (zh) * | 2018-09-30 | 2019-01-25 | 四川中电启明星信息技术有限公司 | 虚拟机应用程序管理方法、装置、设备及可读存储介质 |
| CN109753803A (zh) * | 2018-12-18 | 2019-05-14 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全管理系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
| CN104113574A (zh) * | 2013-04-19 | 2014-10-22 | 中国科学院计算技术研究所 | 一种广域网可信虚拟机的安全迁移方法及系统 |
| CN104866392A (zh) * | 2015-05-20 | 2015-08-26 | 浪潮电子信息产业股份有限公司 | 一种保护虚拟机安全的方法及装置 |
| CN105389513A (zh) * | 2015-11-26 | 2016-03-09 | 华为技术有限公司 | 一种虚拟可信平台模块vTPM的可信执行方法和装置 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| CN107392030A (zh) * | 2017-07-28 | 2017-11-24 | 浪潮(北京)电子信息产业有限公司 | 一种检测虚拟机启动安全的方法及装置 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
-
2018
- 2018-01-11 CN CN201810026228.6A patent/CN108255579A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104113574A (zh) * | 2013-04-19 | 2014-10-22 | 中国科学院计算技术研究所 | 一种广域网可信虚拟机的安全迁移方法及系统 |
| CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
| CN104866392A (zh) * | 2015-05-20 | 2015-08-26 | 浪潮电子信息产业股份有限公司 | 一种保护虚拟机安全的方法及装置 |
| CN105389513A (zh) * | 2015-11-26 | 2016-03-09 | 华为技术有限公司 | 一种虚拟可信平台模块vTPM的可信执行方法和装置 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| CN107392030A (zh) * | 2017-07-28 | 2017-11-24 | 浪潮(北京)电子信息产业有限公司 | 一种检测虚拟机启动安全的方法及装置 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
Non-Patent Citations (4)
| Title |
|---|
| 池亚平等: "基于KVM的可信虚拟化平台设计与实现", 《计算机工程与设计》 * |
| 郝瑞: "《基于虚拟可信平台的软件可信性研究》", 31 May 2017 * |
| 陈慧龙: "基于可信计算的虚拟化安全技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 黄宇晴等: "一种基于KVM的vTPM虚拟机动态迁移方案", 《山东大学学报(理学版)》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109101284A (zh) * | 2018-07-18 | 2018-12-28 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟机启动方法、装置、设备及存储介质 |
| CN109086118A (zh) * | 2018-07-25 | 2018-12-25 | 浪潮(北京)电子信息产业有限公司 | 基于KVM的vTPM虚拟机迁移方法、装置及设备 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109165079B (zh) * | 2018-08-07 | 2021-07-27 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
| CN109271179A (zh) * | 2018-09-30 | 2019-01-25 | 四川中电启明星信息技术有限公司 | 虚拟机应用程序管理方法、装置、设备及可读存储介质 |
| CN109271179B (zh) * | 2018-09-30 | 2022-04-12 | 四川中电启明星信息技术有限公司 | 虚拟机应用程序管理方法、装置、设备及可读存储介质 |
| CN109753803A (zh) * | 2018-12-18 | 2019-05-14 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108255579A (zh) | 一种基于kvm平台的虚拟机管理方法及装置 | |
| CN105095768B (zh) | 一种基于虚拟化的可信服务器信任链的构建方法 | |
| US10079850B1 (en) | Systems and methods for provisioning cyber security simulation exercises | |
| Xiao et al. | Security and privacy in cloud computing | |
| Bates et al. | Trustworthy {Whole-System} provenance for the linux kernel | |
| US9129108B2 (en) | Systems, methods and computer programs providing impact mitigation of cyber-security failures | |
| US10348755B1 (en) | Systems and methods for detecting network security deficiencies on endpoint devices | |
| US20210182729A1 (en) | Systems and methods for providing management of machine learning components | |
| CN109783192A (zh) | 一种虚拟机安全迁移系统 | |
| US11080371B2 (en) | Method and system of state consistency protection for Intel SGX | |
| CN109379347B (zh) | 一种安全防护方法及设备 | |
| JP2013531436A (ja) | 暗号化データにアクセスするための一度限り使用可能な認証方法 | |
| CN103139221A (zh) | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 | |
| JP6293133B2 (ja) | 被保護データー集合のネットワーク・ベース管理 | |
| CN106610863A (zh) | 虚拟机可信迁移方法及装置 | |
| CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
| JP6255336B2 (ja) | 安全なデータ格納方法およびデバイス | |
| WO2024021703A1 (zh) | 服务器的控制方法、服务器及存储介质 | |
| CN110543775B (zh) | 一种基于超融合理念的数据安全防护方法及系统 | |
| CN111143030B (zh) | 一种云环境可信虚拟机的迁移方法 | |
| CN110532761A (zh) | 一种更新虚拟机密码的方法及装置 | |
| CN112491545B (zh) | 一种可信的混合云管理平台、接入方法及系统 | |
| CN104618191B (zh) | 一种主机与裸存储块之间的通信故障检测方法和装置 | |
| JP2017204173A (ja) | データ保護プログラム、データ保護方法及びデータ保護装置 | |
| WO2020207292A1 (zh) | 数据安全处理系统、方法、存储介质、处理器及硬件安全卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180706 |
|
| RJ01 | Rejection of invention patent application after publication |