CN110347479A - 一种可信链的构建方法及系统 - Google Patents
一种可信链的构建方法及系统 Download PDFInfo
- Publication number
- CN110347479A CN110347479A CN201910620917.4A CN201910620917A CN110347479A CN 110347479 A CN110347479 A CN 110347479A CN 201910620917 A CN201910620917 A CN 201910620917A CN 110347479 A CN110347479 A CN 110347479A
- Authority
- CN
- China
- Prior art keywords
- virtual
- metric
- machine
- chain
- platform module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种可信链的构建方法及系统,可信链的构建方法包括:基于可信平台模块,获取起始度量值,所述可信平台模块配置于物理机中;根据所述起始度量值,通过虚拟可信平台模块,建立虚拟机的可信链;其中,所述虚拟机运行在所述物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。本发明的一种可信链的构建方法及系统,通过物理可信平台模块和虚拟可信平台模块,建立了虚拟机的可信链,保证了虚拟机所构建的虚拟运行环境的可信性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种可信链的构建方法及系统。
背景技术
在计算机中,虚拟化是一种资源管理技术,是将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源,这些资源的虚拟部分不受现有资源的架设方式,地域或物理组态所限制,一般虚拟化资源包括计算能力和资料存储。
虚拟机是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。随着虚拟机技术的广泛应用,通过虚拟机所构建的虚拟运行环境的安全也显得愈发重要。目前可信计算技术通过物理的可信平台模块作为可信根,解决了物理机运行环境的可信构建问题,但由于通过虚拟机构建的虚拟运行环境缺乏可信赖的信任根,使得目前虚拟机构建的虚拟运行环境的可信性无法得到保证。
发明内容
为了解决上述技术问题,本发明提供了一种可信链的构建方法及系统,解决了虚拟机构建的虚拟运行环境的可信性无法得到保证的问题。
依据本发明的第一个方面,提供了一种可信链的构建方法,包括:
基于可信平台模块,获取起始度量值,所述可信平台模块配置于物理机中;
根据所述起始度量值,通过虚拟可信平台模块,建立虚拟机的可信链;其中,所述虚拟机运行在所述物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。
可选的,基于可信平台模块,获取起始度量值的步骤,包括:
基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块;
由可信的所述vSRTM对自身文件进行度量,获得所述起始度量值。
可选的,基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM的步骤,包括:
基于可信平台模块,对所述物理机的各组件进行完整性度量验证,获得可信的所述物理机;
根据可信的所述物理机对所述vSRTM进行完整性度量验证,获得可信的所述虚拟静态可信度量根vSRTM。
可选的,根据所述起始度量值,通过虚拟可信平台模块,建立所述虚拟机的可信链的步骤,包括:
将所述起始度量值作为对所述虚拟机进行度量的度量基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量,建立所述虚拟机的可信链。
可选的,将所述起始度量值作为度量的基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量的步骤,包括:
通过所述虚拟可信平台模块,依次对所述虚拟机的各组件进行完整性度量,依次获得第i个组件对应的第i个度量值;其中,i为正整数;
当i为1时,由所述vSRTM对所述虚拟机的第1个组件进行度量,生成第1个度量值,所述第1个组件为所述虚拟机的基本输入输出系统BIOS;
将所述第i个度量值以第i-1个扩展值为基础进行扩展运算,获得第i个度量值对应的第i个扩展值;
当i为1时,将所述第1个度量值以所述起始度量值为基础进行扩展运算,获得第1个度量值对应的第1个扩展值;
将所述第i个扩展值按度量顺序依次保存在所述虚拟机所对应的第二可信存储区中。
可选的,所述方法还包括:
检测所述物理机的可信状态;
在所述物理机的可信状态发生变更时,迁移所述物理机上运行的所述虚拟机。
可选的,检测所述物理机的可信状态,包括:
获取通过所述可信平台模块对所述物理机进行完整性度量所生成的一组度量值;
根据所述一组度量值,获得所述物理机的可信状态。
可选的,所述方法还包括:
检测所述虚拟机的可信状态;
根据所述虚拟机的可信状态,构建可信运行的虚拟环境。
可选的,所述方法还包括:
在所述物理机启动之后,所述虚拟机启动之前,均对所述vSRTM进行度量,并将生成的度量值扩展至配置于所述物理机中的第一可信存储区中。
依据本发明的第二个方面,提供了一种可信链的构建系统,包括物理机和虚拟机,所述物理机上配置有可信平台模块,包括:
获取模块,用于基于可信平台模块,获取起始度量值;
可信链建立模块,用于根据所述起始度量值,通过虚拟可信平台模块,建立虚拟机的可信链;其中,所述虚拟机运行在所述物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。
可选的,所述获取模块包括:
第一获取子模块,用于基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块;
第二获取子模块,用于由可信的所述vSRTM对自身文件进行度量,获得所述起始度量值。
可选的,所述第一获取子模块包括:
第一获取单元,用于基于可信平台模块对所述物理机的各组件进行完整性度量验证,获得可信的所述物理机,所述可信平台模块配置与所述物理机中;
第二获取单元,用于根据可信的所述物理机对所述vSRTM进行完整性度量验证,获得可信的所述虚拟静态可信度量根vSRTM。
可选的,所述可信链建立模块,包括:
建立子模块,用于将所述起始度量值作为度量的基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量,建立所述虚拟机的可信链。
可选的,所述建立子模块,包括:
第一处理模块,用于通过所述虚拟可信平台模块,依次对所述虚拟机的各组件进行完整性度量,依次获得第i个组件对应的第i个度量值;
其中,i为正整数;
当i为1时,由所述vSRTM对虚拟机的第1个组件进行度量,生成第1个度量值,所述第1个组件为所述虚拟机的基本输入输出系统BIOS;
第二处理模块,用于将所述第i个度量值以第i-1个扩展值为基础进行扩展运算,获得第i个度量值对应的第i个扩展值;
当i为1时,将所述第1个度量值以所述起始度量值为基础进行扩展运算,获得第1个度量值对应的第1个扩展值;
第三处理模块,用于将所述第i个扩展值按度量顺序依次保存在所述虚拟机所对应的第二可信存储区中。
可选的,所述系统还包括:
第一证明中心,用于检测所述物理机的可信状态;
管理平台,用于在所述物理机的可信状态发生变更时,迁移所述物理机上运行的所述虚拟机。
可选的,所述第一证明中心,包括:
第一获取单元,用于获取通过所述可信平台模块对所述物理机进行完整性度量所生成的一组度量值;
第一检测单元,用于根据所述一组度量值,获得所述物理机的可信状态。
可选的,所述系统还包括:
第二证明中心,用于检测所述虚拟机的可信状态;
第四处理模块,用于根据所述虚拟机的可信状态,构建可信运行的虚拟环境。
可选的,所述系统还包括:
动态度量模块,用于在所述物理机启动之后,所述虚拟机启动之前,对所述vSRTM进行度量,并将生成的度量值保存至配置于所述物理机中的第一可信存储区中。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述可信链的构建方法的步骤。
本发明的实施例的有益效果是:
上述方案中,通过基于可信平台模块,获取起始度量值,根据所述起始度量值,通过虚拟可信平台模块,实现了虚拟机可信链的建立,保证了虚拟机所构建的虚拟运行环境的可信性。
附图说明
图1表示本发明实施例的可信链的方法流程图之一;
图2表示本发明实施例的可信链的方法流程图之二
图3表示本发明实施例的可信链的构建系统的结构框图;
图4表示本发明实施例的可信链的构建系统的架构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
如图1所示,本发明的实施例提供了一种可信链的构建方法,包括:
步骤11,基于可信平台模块,获取起始度量值,所述可信平台模块配置于物理机中;
步骤12,根据所述起始度量值,通过虚拟可信平台模块,建立虚拟机的可信链;其中,所述虚拟机运行在物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。
该实施中,可信平台模块指的是可信平台模块TPM(Trusted Platform Module,TPM)安全芯片,也可以是其他类似于TPM的可信平台模块。在可信计算体系中TPM是可信计算的核心,是一块安装在主板上的含有密码运算部件和存储部件的系统级芯片,具有生成并管理密钥,加、解密处理,保存度量值等功能。在本实施例中,基于可信平台模块,获取起始度量值,保证了起始度量值的可信性。虚拟可信平台模块vTPM(virtual TrustedPlatform Module,vTPM)配置于所述物理机的操作系统中,每个虚拟机对应配置一个虚拟可信平台模块,使虚拟机可以通过虚拟可信平台模块,建立虚拟机的可信链,实现了虚拟机计算系统的安全可信。
另外,所述虚拟机运行在所述物理机上,所述物理机的操作系统上安装有虚拟机监视器和虚拟化软件,用于支持所述虚拟机的运行。
如图2所示,在本发明一可选实施例中,步骤11,可以包括:
步骤111,基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块;
步骤112,由可信的所述vSRTM对自身文件进行度量,获得所述起始度量值。
该实施例中,基于可信平台模块,获取可信的所述vSRTM,实现对所述vSRTM的可信可追溯到可信平台模块,即实现所述vSRTM的可信是通过可信平台模块保证的。进一步通过可信的所述vSRTM对自身文件进行度量并获得所述vSRTM的度量值,将所述vSRTM的度量值作为所述起始度量值,所述起始度量值用于对虚拟机进行完整性度量的度量基础值。
在本发明一可选实施例中,步骤111,还可以进一步包括:
基于可信平台模块,对所述物理机的各组件进行完整性度量验证,获得可信的所述物理机,所述可信平台模块配置与所述物理机中;
根据可信的所述物理机对所述vSRTM进行完整性度量验证,获得可信的所述虚拟静态可信度量根vSRTM。
该实施中,通过所述可信平台模块对所述物理机的各组件进行完整性度量验证,保证所述物理机的各组件的可信状态,所述可信平台模块为所述物理机的可信链的建立提供可信根,通过对完整性度量技术实现可信认证和信任传递,将信任由TPM传导到整个物理机系统,实现所述物理机的可信启动和可信运行。在所述物理机可信的基础上,为保证将可信传递至虚拟机,进一步对所述vSRTM进行完整性度量认证,其中,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块,通过对所述vSRTM进行完整性度量验证,获得可信的所述vSRTM。
如图2所示,在本发明一可选实施例中,步骤12,可以包括:
步骤121,将所述起始度量值作为对所述虚拟机进行度量的度量基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量,建立所述虚拟机的可信链。
该实施例中,所述起始度量值是通过对可信的所述vSRTM进行度量获得的,对所述vSRTM的可信度量验证是在基于可信平台模块构建物理机可信链的过程中进行的,即通过可信平台模块建立的可信链通过完整性度量验证将信任传递至了所述vSRTM,为了继续将可信传递至所述虚拟机的各组件,实现所述虚拟机的可信链的建立,本实施例中将所述起始度量值作为对所述虚拟机进行度量的度量基础值,继续对所述虚拟机的其他各组件进行完整性度量验证,以实现信任的传导。另外,本实施例中,所述虚拟机的可信链的构建基于所述虚拟可信平台模块vTPM进行,所述虚拟可信平台模块vTPM是支持可信平台模块功能的虚拟设备,虚拟可信平台模块配置于物理机的操作系统中,此外物理机的操作系统中还配置有可信平台模块软件库,基于可信平台模块软件库,使得对于虚拟机来说,所述虚拟可信平台模块具备所述可信平台模块的各项功能。基于虚拟可信平台模块建立的虚拟机的可信链,不依赖于物理机的所述可信平台模块,方便对所述虚拟机进行迁移操作。
在本发明一可选实施例中,步骤121,还可以进一步包括:
通过所述虚拟可信平台模块,依次对所述虚拟机的各组件进行完整性度量,依次获得第i个组件对应的第i个度量值;其中,i为正整数;
当i为1时,由所述vSRTM对所述虚拟机的第1个组件进行度量,生成第1个度量值,所述第1个组件为所述虚拟机的基本输入输出系统BIOS;
将所述第i个度量值以第i-1个扩展值为基础进行扩展运算,获得第i个度量值对应的第i个扩展值;
当i为1时,将所述第1个度量值以所述起始度量值为基础进行扩展运算,获得第1个度量值对应的第1个扩展值;
将所述第i个扩展值按度量顺序依次保存在所述虚拟机所对应的第二可信存储区中。
该实施例中,从对所述虚拟机的BIOS开始度量验证,进而通过BIOS度量验证下一个组件,如此一级验证一级,一级信任一级,将可信从对所述vSRTM的可信传递至所述虚拟机的整个系统的可信,建立所述虚拟机的信任链。作为一种实现方式,对所述虚拟机的各组件进行度量可以为:
基于所述可信平台模块,通过完整性度量验证,实现物理机可信链的建立和物理机及物理机的操作系统的可信启动。在物理机可信链的建立过程中,通过对虚拟静态可信度量根vSRTM进行可信度量验证,将可信传导至所述vSRTM,其中,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块。在所述物理机可信的基础上,虚拟化软件启动所述虚拟机,初始化所述虚拟可信平台模块的地址空间,首先通过所述vSRTM对自身文件进行度量,获得用于对所述虚拟机进行度量的基础度量值,进一步通过所述vSRTM度量验证所述虚拟机的BIOS,在所述BIOS可信的情况下,再通过BIOS度量验证所述虚拟机的主引导程序,如此一级信任一级,依次对所述虚拟机的操作系统装载程序、操作系统内核、虚拟机配置进行度量。在所述虚拟机的操作系统启动时,再依次对所述虚拟机的操作系统的可执行代码、载入的内核模块以及执行的应用程序进行度量。如此通过完整性度量验证,实现将可信传递至整个所述虚拟机,建立了所述虚拟机的可信链。进一步地,将对虚拟机的各组件进行度量所生成的所述第i个度量值以第i-1个扩展值为基础进行扩展运算,获得第i个度量值对应的第i个扩展值,将所述第i个扩展值按度量顺序依次保存在所述虚拟机所对应的第二可信存储区中。其中,将所述第1个度量值以所述起始度量值为基础进行扩展运算,获得第1个度量值对应的第1个扩展值,实现了将对所述物理机的可信扩展到了对所述虚拟机的可信链的构建,通过扩展运算操作实现了所述虚拟机的可信链的完整性。此外,该实施例中,所述第二可信存储区可以为所述虚拟可信平台模块中的虚拟PCR寄存器,也可为操作系统可信的内存空间或其他安全存储空间。
如图2所示,在本发明一可选实施例中,所述方法还包括:
步骤13,检测所述物理机的可信状态;进一步的,步骤13,可以包括:
获取通过所述可信平台模块对所述物理机进行完整性度量所生成的一组度量值;根据所述一组度量值,获得所述物理机的可信状态。
步骤14,在所述物理机的可信状态发生变更时,迁移所述物理机上运行的所述虚拟机。
该实施例中,可通过第三方证明中心定时获取并检测所述物理机的完整可信链的一组度量值,判断所述物理机的可信状态,当发现所述物理机的可信状态发生变更,通常由可信变为不可信时,主动上报给系统的管理平台。系统的管理平台将采取对该物理机上的虚拟机进行迁移的措施,把所述虚拟机迁移到可信节点上,系统的管理平台可以是部署在所述物理机上用于系统管理的软件平台。
如图2所示,在本发明一可选实施例中,所述方法还包括:
步骤15,检测所述虚拟机的可信状态;
步骤16,根据所述虚拟机的可信状态,构建可信运行的虚拟环境。
该实施例中,通过第三方的证明中心定时获取并检测所述虚拟机的完整可信链的一组度量值,检测并判断所述虚拟机的可信状态。这里所述第三方证明中心可以是具备远程证明功能的虚拟服务器。通过此方案,所述虚拟机用户可以实时获取虚拟机的可信状态,并采取针对的处理措施。
在本发明一可选实施例中,所述方法还包括:
在所述物理机启动之后,所述虚拟机启动之前,均对所述vSRTM进行度量,并将生成的度量值扩展至配置于所述物理机中的第一可信存储区中。
该实施例中,对物理机的完整性度量除了具备上述的静态度量功能,还具备动态度量功能。以度量虚拟静态可信度量根为例,即采用了动态度量技术。通过动态度量,结合第三方的证明中心对度量结果进行检测认证,实时掌握所述物理机的可信状态,将物理单机的可信扩展至云平台物理环境的可信。所述第一可信存储区可以为所述可信平台模块中的PCR寄存器,也可为物理机中可信的操作系统内存空间或其他安全存储空间。
如图3至图4所示,本发明实施例还提供一种用以实现上述方法的系统。
如图3所示,其示出的是本发明实施例提供的一种可信链构建系统的结构框图,所述系统300,包括物理机和虚拟机,所述物理机上配置有可信平台模块,包括:
获取模块301,用于基于可信平台模块,获取起始度量值;
可信链建立模块302,用于根据所述起始度量值,通过虚拟可信平台模块,建立所述虚拟机的可信链;其中,所述虚拟机运行在所述物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。
可选的,所述获取模块包括:
第一获取子模块,用于基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块;
第二获取子模块,用于由可信的所述vSRTM对自身文件进行度量,获得所述起始度量值。
可选的,所述第一获取子模块包括:
第一获取单元,用于基于可信平台模块,对所述物理机的各组件进行完整性度量验证,获得可信的所述物理机,所述可信平台模块配置与所述物理机中;
第二获取单元,用于根据可信的所述物理机对所述vSRTM进行完整性度量验证,获得可信的所述虚拟静态可信度量根vSRTM。
可选的,所述可信链建立模块,包括:
建立子模块,用于将所述起始度量值作为度量的基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量,建立所述虚拟机的可信链。
可选的,所述建立子模块,包括:
第一处理模块,用于通过所述虚拟可信平台模块,依次对所述虚拟机的各组件进行完整性度量,依次获得第i个组件对应的第i个度量值;
其中,i为正整数;
当i为1时,由所述vSRTM对所述虚拟机的第1个组件进行度量,生成第1个度量值,所述第1个组件为所述虚拟机的基本输入输出系统BIOS;
第二处理模块,用于将所述第i个度量值以第i-1个扩展值为基础进行扩展运算,获得第i个度量值对应的第i个扩展值;
当i为1时,将所述第1个度量值以所述起始度量值为基础进行扩展运算,获得第1个度量值对应的第1个扩展值;
第三处理模块,用于将所述第i个扩展值按度量顺序依次保存在所述虚拟机所对应的第二可信存储区中。
可选的,所述系统还包括:
第一证明中心,用于检测所述物理机的可信状态;
管理平台,用于在所述物理机的可信状态发生变更时,迁移所述物理机上运行的所述虚拟机。
可选的,所述第一证明中心,包括:
第一获取单元,用于获取通过所述可信平台模块对所述物理机进行完整性度量所生成的一组度量值;
第一检测单元,用于根据所述一组度量值,获得所述物理机的可信状态。
可选的,所述系统还包括:
第二证明中心,用于检测所述虚拟机的可信状态;
第四处理模块,用于根据所述虚拟机的可信状态,构建可信运行的虚拟环境。
可选的,所述系统还包括:
动态度量模块,用于在所述物理机启动之后,所述虚拟机启动之前,对所述vSRTM进行度量,并将生成的度量值保存至配置于所述物理机中的第一可信存储区中。
上述系统实现时可以采用如图4所示的架构。如图4所示,所述架构可以包括物理机、运行在所述物理机上的虚拟机、第一证明中心、第二证明中心和系统的管理平台。其中,所述物理机的硬件配置有所述可信平台模块TPM,用于基于所述可信平台模块,建立可信的所述物理机的运行环境,进一步通过所述第一证明中心对所述物理机的可信状态进行认证,将所述物理机的可信扩展至物理环境的可信。所述物理机的操作系统上安装有虚拟机监视器和虚拟化软件,用于支持所述虚拟机的运行。为实现对所述虚拟机的可信度量,所述物理机的操作系统还配置有虚拟可信平台模块和可信平台模块软件库,基于所述可信平台模块软件库,使所述虚拟可信平台模块具备所述可信平台模块的各项功能。第二证明中心是具备远程证明功能的虚拟服务器,它用于对所述虚拟机的可信状态进行远程认证,将所述虚拟机的可信扩展至云平台虚拟环境的可信。系统的管理平台是部署在所述物理机上用于对系统进行管理的软件平台,在所述物理机的可信状态发生变更时,通过所述管理平台对所述物理机上的所述虚拟机进行迁移。
上述方案中,通过基于可信平台模块对所述物理机进行可信度量,实现所述物理机的可信启动,进一步通过检测证明,实现对物理环境的可信;在物理环境可信的基础上,通过可信传导,将可信扩展至所述虚拟机,通过虚拟可信平台模块建立所述虚拟机的可信链,进一步通过第二证明中心,实现虚拟环境可信。可信链在所述虚拟机的宿主物理机层面由物理的所述可信平台模块提供可信技术,在虚拟机的虚拟化运行环境中通过虚拟可信平台模块提供可信计算技术,由于所述虚拟可信平台模块的可信链传导是由物理的所述可信平台模块传导的,故所述虚拟可信平台模块的可信级别与物理的所述可信平台模块的可信级别相同。由于所述虚拟机所对应的虚拟运行环境的可信链可追溯至物理的所述可信平台模块,故所述虚拟机内的可信度量是通过物理的所述可信平台模块保证的。通过虚拟可信平台模块构建的所述虚拟机的可信链,具有便于迁移的特点。所述虚拟机在完整性度量和可信启动的基础上,还通过虚拟化远程证明服务器功能,对虚拟化环境中的设备进行远程证明,从而保证了虚拟环境的可信运行。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述的原理前提下还可以作出若干改进和润饰,这些改进和润饰也在本发明的保护范围内。
Claims (11)
1.一种可信链的构建方法,其特征在于,包括:
基于可信平台模块,获取起始度量值,所述可信平台模块配置于物理机中;
根据所述起始度量值,通过虚拟可信平台模块,建立虚拟机的可信链;其中,所述虚拟机运行在所述物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。
2.根据权利要求1所述的可信链的构建方法,其特征在于,基于可信平台模块,获取起始度量值的步骤,包括:
基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM,所述vSRTM是所述物理机的操作系统中的用于运行所述虚拟机的程序模块;
由可信的所述vSRTM对自身文件进行度量,获取所述起始度量值。
3.根据权利要求2所述的可信链的构建方法,其特征在于,基于可信平台模块,获取可信的虚拟静态可信度量根vSRTM的步骤,包括:
基于可信平台模块,对所述物理机的各组件进行完整性度量验证,获得可信的所述物理机;
根据可信的所述物理机对所述vSRTM进行完整性度量验证,获取可信的所述虚拟静态可信度量根vSRTM。
4.根据权利要求2所述的可信链的构建方法,其特征在于,根据所述起始度量值,通过虚拟可信平台模块,建立所述虚拟机的可信链的步骤,包括:
将所述起始度量值作为对所述虚拟机进行度量的度量基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量,建立所述虚拟机的可信链。
5.根据权利要求4所述的可信链的构建方法,其特征在于,将所述起始度量值作为度量的基础值,通过虚拟可信平台模块,对所述虚拟机进行完整性度量的步骤,包括:
通过所述虚拟可信平台模块,依次对所述虚拟机的各组件进行完整性度量,依次获得第i个组件对应的第i个度量值;其中,i为正整数;
当i为1时,由所述vSRTM对所述虚拟机的第1个组件进行度量,生成第1个度量值,所述第1个组件为所述虚拟机的基本输入输出系统BIOS;
将所述第i个度量值以第i-1个扩展值为基础进行扩展运算,获得第i个度量值对应的第i个扩展值;
当i为1时,将所述第1个度量值以所述起始度量值为基础进行扩展运算,获得第1个度量值对应的第1个扩展值;
将所述第i个扩展值按度量顺序依次保存在所述虚拟机所对应的第二可信存储区中。
6.根据权利要求1所述的可信链的构建方法,其特征在于,还包括:
检测所述物理机的可信状态;
在所述物理机的可信状态发生变更时,迁移所述物理机上运行的所述虚拟机。
7.根据权利要求5所述的可信链的构建方法,其特征在于,检测所述物理机的可信状态,包括:
获取通过所述可信平台模块对所述物理机进行完整性度量所生成的一组度量值;
根据所述一组度量值,获得所述物理机的可信状态。
8.根据权利要求1所述的可信链的构建方法,其特征在于,还包括:
检测所述虚拟机的可信状态;
根据所述虚拟机的可信状态,构建可信运行的虚拟环境。
9.根据权利要求2所述的可信链的构建方法,其特征在于,还包括:
在所述物理机启动之后,所述虚拟机启动之前,均对所述vSRTM进行度量,并将生成的度量值扩展至配置于所述物理机中的第一可信存储区中。
10.一种可信链的构建系统,包括物理机和虚拟机,所述物理机上配置有可信平台模块,其特征在于,包括:
获取模块,用于基于可信平台模块,获取起始度量值,所述可信平台模块配置于物理机中;
可信链建立模块,用于根据所述起始度量值,通过虚拟可信平台模块,建立虚拟机的可信链;其中,所述虚拟机运行在所述物理机上,所述虚拟可信平台模块配置于所述物理机的操作系统中。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述可信链的构建方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910620917.4A CN110347479A (zh) | 2019-07-10 | 2019-07-10 | 一种可信链的构建方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910620917.4A CN110347479A (zh) | 2019-07-10 | 2019-07-10 | 一种可信链的构建方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110347479A true CN110347479A (zh) | 2019-10-18 |
Family
ID=68174813
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910620917.4A Pending CN110347479A (zh) | 2019-07-10 | 2019-07-10 | 一种可信链的构建方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110347479A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112860380A (zh) * | 2021-03-04 | 2021-05-28 | 中国科学院信息工程研究所 | 一种基于内置安全芯片的虚拟机可信迁移方法 |
| CN113157386A (zh) * | 2021-03-03 | 2021-07-23 | 中国科学院信息工程研究所 | 一种从物理机到虚拟机的信任链构建方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
| CN106936766A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的可信云自动部署系统及方法 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| US20180060077A1 (en) * | 2016-08-26 | 2018-03-01 | Qualcomm Incorporated | Trusted platform module support on reduced instruction set computing architectures |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109586920A (zh) * | 2018-12-05 | 2019-04-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信验证方法及装置 |
| CN109669734A (zh) * | 2017-10-13 | 2019-04-23 | 百度(美国)有限责任公司 | 用于启动设备的方法和装置 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
-
2019
- 2019-07-10 CN CN201910620917.4A patent/CN110347479A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
| CN106936766A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的可信云自动部署系统及方法 |
| US20180060077A1 (en) * | 2016-08-26 | 2018-03-01 | Qualcomm Incorporated | Trusted platform module support on reduced instruction set computing architectures |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| CN109669734A (zh) * | 2017-10-13 | 2019-04-23 | 百度(美国)有限责任公司 | 用于启动设备的方法和装置 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109586920A (zh) * | 2018-12-05 | 2019-04-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信验证方法及装置 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 刘川意,林杰,唐博: "面向云计算模式运行环境可信性动态验证机制", 《软件学报》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113157386A (zh) * | 2021-03-03 | 2021-07-23 | 中国科学院信息工程研究所 | 一种从物理机到虚拟机的信任链构建方法及系统 |
| CN112860380A (zh) * | 2021-03-04 | 2021-05-28 | 中国科学院信息工程研究所 | 一种基于内置安全芯片的虚拟机可信迁移方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111164596B (zh) | 用于证实虚拟可信平台模块的系统和方法 | |
| US20210084075A1 (en) | System and Method for Security Health Monitoring And Attestation Of Virtual Machines In Cloud Computing Systems | |
| TWI515602B (zh) | 由至少一處理器所執行的連續服務方法、連續服務設備及非暫態電腦可讀取儲存媒體 | |
| CN103270519B (zh) | 使用动态量度内核的安全应用证明 | |
| US8516481B2 (en) | Virtual machine manager system and methods | |
| CN109165079B (zh) | 基于虚拟化的云数据中心可信平台、信任链构建方法 | |
| US20140025961A1 (en) | Virtual machine validation | |
| US20150135311A1 (en) | Virtual machine validation | |
| CN104081407A (zh) | 云计算环境中的服务器和客户端的远程信任证明和地理位置 | |
| CN104239802A (zh) | 一种基于云数据中心的可信服务器设计方法 | |
| CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
| US10587411B2 (en) | Zero-knowledge verifiably attestable transaction containers using secure processors | |
| US20200099536A1 (en) | Merging multiple compute nodes with trusted platform modules utilizing provisioned node certificates | |
| US20210342162A1 (en) | Kernel space measurement | |
| CN110347479A (zh) | 一种可信链的构建方法及系统 | |
| CN109634541A (zh) | 一种基于可信计算的打印机信息安全监控方法 | |
| CN109766702A (zh) | 基于虚拟机状态数据的全过程可信启动检验方法 | |
| US20220141255A1 (en) | Security status of security slices | |
| Ozga et al. | Wawel: Architecture for Scalable Attestation of Heterogeneous Virtual Execution Environments | |
| Ozga et al. | Scalable Attestation of Virtualized Execution Environments in Hybrid-and Multi-Cloud | |
| Tsampiras et al. | Evaluating Trusted Firmware Remote Attestation on ARM and RISC-V Edge Computing Prototypes | |
| WO2012096558A1 (en) | System and method to provide integrity measurement of a machine without tpm using trusted agent | |
| CN118312946A (zh) | 主机认证方法、主机认证装置及其相关设备 | |
| Installation | Network-Based Root of Trust for Installation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191018 |