CN111831609A - 一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统 - Google Patents
一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统 Download PDFInfo
- Publication number
- CN111831609A CN111831609A CN202010559247.2A CN202010559247A CN111831609A CN 111831609 A CN111831609 A CN 111831609A CN 202010559247 A CN202010559247 A CN 202010559247A CN 111831609 A CN111831609 A CN 111831609A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- file
- value
- metric
- code page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000005259 measurement Methods 0.000 claims abstract description 87
- 230000008569 process Effects 0.000 claims description 18
- 238000002372 labelling Methods 0.000 claims description 11
- 230000008676 import Effects 0.000 claims description 5
- 230000005012 migration Effects 0.000 claims description 5
- 238000013508 migration Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 3
- 238000000691 measurement method Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
- G06F16/137—Hash-based
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。该方法中,支持统一生成不同类型二进制文件的度量值;支持对不同类型二进制文件的度量值的存储;支持由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值,虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。采用本发明,管理人员/普通用户可以在虚拟化环境对不同类型二进制文件度量值进行管理和分发;虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。
Description
技术领域
本发明属于计算机安全技术领域,特别涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。
背景技术
随着云计算的不断发展,虚拟化技术也越发得到广泛应用,越来越多的服务都在往云端迁移。虚拟化技术存在诸多优势,首先,虚拟化技术为了提高资源的利用率,将资源池和物理资源进行动态共享;其次,虚拟化技术对资源的供应做出了改进,虚拟化技术用小于单个物理资源单位的单元对资源进行分配;最后,虚拟化技术为了增加使用灵活性,将资源进行重配置和动态部署,用来符合日益更新的业务需求。
如上所述使用虚拟化技术,为大批的互联网使用群体提供了迅速和方便的服务。云计算可以明显对网络服务提供商的维护和部署的成本进行缩减,已有越来越多的网络服务部署在云上。其中安全问题也备受关注,云计算的引入,引入了新的安全风险,希望能够保证部署在云端虚拟机中的服务不被篡改。尽管可以进行防病毒软件的部署、开启防火墙等方式来抵抗已知的漏洞,但未知漏洞恶意代码的注入对二进制文件的篡改对云计算的安全都造成了威胁,在虚拟机监控器中实现的二进制完整性校验机制能够为租户提供更强的安全保证。
二进制完整性检验是根据其度量值进行校验,云计算的发展导致虚拟机的数量不断攀升,需要进行完整性校验的二进制文件的数量庞大类型多,虚拟机还可以对启动的操作系统进行切换。为了对大量的不同类型的二进制文件度量值统一生成、管理和分发,当前在云环境中没有任何一个二进制文件度量值的管理和分发的方法可以对不同类型的二进制文件度量值进行统一管理和分发。有必要设计二进制文件度量值的统一管理平台,实现二进制文件的度量值的集中生成、分发和管理。
发明内容
本发明提供了一种虚拟化环境中二进制文件度量值统一管理和分发的方法,该方法在虚拟化管理平台中集中管理不同类型二进制文件的度量值,支持向多个虚拟机管理器(VMM)进行统一推送。一方面,统一生成不同类型二进制文件的度量值,对不同类型二进制文件的度量值进行存储。另一方面,由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值;虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。
具体来说,本方案的技术方案如下:
一种虚拟化环境中二进制文件度量值统一管理和分发的方法,包括以下步骤:
生成不同类型二进制文件的度量值;
对不同类型二进制文件的度量值进行存储;
虚拟化管理平台向各个虚拟机管理器推送二进制文件的度量值。
进一步地,为操作系统内核文件生成度量值的步骤包括:根据操作系统内核系统文件、操作系统类型、内核版本、操作系统内核数据结构和符号地址映射关系,确定各个代码段的偏移和大小;对操作系统内核文件进行解压缩,并对解压缩后文件中的代码段按页进行Hash运算,不足一页时进行补零;记录操作系统类型、内核版本、各个代码页偏移、各个代码页大小、Hash值作为度量值,并标注入口点所在代码页。
进一步地,为内核模块文件生成度量值的步骤包括:模拟目标平台中内核模块的加载过程,确定各个代码段的偏移和大小;对各个代码段按页进行Hash运算,计算过程中不足一页时进行补零并将代码中重定位地址设置为0;记录内核模块名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注各个代码段的在文件中的段偏移。
进一步地,为应用态程序文件生成度量值的步骤包括:模拟目标平台中应用态程序的加载过程,记录其确定其所使用的动态链接库名称和版本;根据应用态程序中包含的入口点地址、节大小、对齐大小和偏移地址,按页为单位计算Hash值,计算过程根据对齐规则对代码页进行填充、不足一页的进行补零,并将重定位地址设置为0;记录应用态程序名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注各个代码段的在文件中的段偏移。
进一步地,为动态链接库文件生成度量值的步骤包括:按页为单位计算Hash值,计算过程根据对齐规则对代码页进行填充、不足一页的进行补零,并将重定位地址设置为0;记录动态链接库名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值。
进一步地,虚拟化管理平台直接集成二进制文件度量值生成功能,并将相应的二进制文件度量值相关信息存储在存储系统中;或者,虚拟化管理平台提供二进制文件度量值导入功能,将外部提供的二进制文件度量值相关信息导入到存储系统。
进一步地,虚拟化管理平台能够将度量值通过管理通道向各个虚拟机管理器主动推送,或者根据虚拟机信息按需推送;
所述主动推送包括:将所有或部分二进制文件度量值向全部虚拟机管理器推送;将新增二进制文件度量值向全部虚拟机管理器推送;将不再允许执行的二进制文件度量值从相应的虚拟机管理器中删除;
所述按需推送包括:根据人工设置或者根据虚拟机操作系统信息向指定虚拟机管理器推送;在虚拟机管理器注册、虚拟机启动、虚拟机迁移阶段向虚拟机管理器进行推送。
一种虚拟化环境中二进制文件度量值统一管理和分发的系统,该系统包括以下三个部分:度量值生成子系统、度量值存储子系统、度量值分发子系统。
度量值生成子系统:部署于虚拟化管理平台的中心,对于不同类型的二进制文件,操作系统内核文件、内核模块、应用态程序和动态链接库,设计了度量值生成子系统,对不同类型的二进制文件生成标准散列值库。度量值生成子系统根据二进制文件类型的不同分为四种方法:
(1)针对操作系统内核文件生成度量值。在为操作系统内核文件生成度量值时,对内核文件进行两步的工作:第一个步骤,根据操作系统内核系统文件、操作系统类型、内核版本、操作系统内核数据结构和符号地址映射关系,根据操作系统内核文件中的段表成员段偏移和段长度确定各个代码段的偏移和大小。第二个步骤,对操作系统内核文件进行解压缩,并对解压缩后文件中的代码段按页进行Hash运算,不足一页时进行补零,记录操作系统类型、内核版本、各个代码页偏移、各个代码页大小、Hash值作为度量值,并标注入口点所在代码页。
(2)针对内核模块文件生成度量值。在为内核模块生成度量值时,模拟目标平台中内核模块的加载过程,确定各个代码段的偏移和大小;对各个代码段按页进行Hash运算,计算过程中不足一页时进行补零并将代码中重定位地址设置为0,记录内核模块名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注入口点所在代码页。
(3)针对应用态程序生成度量值。在为应用态程序进行完整性度量时,模拟目标平台中应用态程序的加载过程,记录其确定其所使用的动态链接库名称和版本,在其程序源文件中读取其节表头信息。在节表头信息中获取二进制节的信息,包括加载到内存中的入口点地址,节大小,对齐大小和在程序源文件中的偏移。然后根据这些信息,将.text整个节内容读出,按页为单位计算Hash值,计算过程根据对齐规则对代码页进行填充、不足一页的进行补零,并将重定位地址设置为0,记录应用态程序名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注各个代码段的在文件中的段偏移。记录该应用程序所使用的所有动态链接库。
(4)针对动态链接库生成度量值。在为动态链接库进行完整性度量时,在为动态链接库进行完整性度量时,按页为单位计算Hash值,计算过程根据对齐规则对代码页进行填充、不足一页的进行补零,并将重定位地址设置为0,记录动态链接库名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值。
度量值存储子系统:虚拟化管理平台可直接集成二进制文件度量值生成功能,并将相应的二进制文件度量值相关信息存储在度量值存储子系统中;虚拟化管理平台也可提供二进制文件度量值导入功能,将外部提供的二进制文件度量值相关信息导入到度量值存储子系统。度量值存储子系统将这些二进制文件度量值相关信息按照计算顺序保存在散列值库中,同时保存其偏移量,文件名,对齐信息和入口点地址信息。保存入口点地址信息是为了加速,除了记录标准散列值和文件信息外,所有的重定位位置信息也被记录到标准散列值库中。对于文件的类型也将其与上述信息一同保存在度量值存储子系统中。
度量值分发子系统:部署于虚拟化管理平台的中心,度量值分发子系统分为两个方面,分别为主动分发和请求响应。一方面,虚拟化管理平台可将所有二进制文件度量值向全部虚拟机管理器推送;将新增二进制文件度量值向全部虚拟机管理器推送。另一方面,根据虚拟机信息按需推送,包括根据人工设置或者根据虚拟机操作系统信息向指定虚拟机管理器推送;虚拟化管理平台可在虚拟机管理器注册、虚拟机启动、虚拟机迁移等阶段向虚拟机管理器进行推送。
一种二进制文件完整性度量方法,应用于虚拟机管理器,包括以下步骤:
接收虚拟化管理平台采用本发明方法推送的二进制文件度量值;
根据二进制文件度量值,对虚拟机中运行程序的完整性进行度量。
进一步地,虚拟机管理器在进行二进制文件完整性度量时分为以下四个部分:
(1)虚拟机管理器在对操作系统内核进行完整性度量时,虚拟机管理器根据操作系统信息,获取相关的入口点代码页度量值,将度量结果与度量值存储子系统中存储的度量值进行比较完成完整性度量,并确定随后对应的代码页度量值,完成对操作系统内核的完整性度量;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
(2)虚拟机管理器在对内核模块进行完整性度量时,虚拟机管理器根据内核模块的名称,确定相应的内核模块入口点代码页度量值,将度量结果与度量值存储子系统中存储的度量值进行比较完成完整性度量,并确定随后对应的相应代码页度量值,完成对内核模块的完整性度量值;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
(3)虚拟机管理器在对应用态程序进行完整性度量值时,虚拟机管理器根据应用程序信息,获取相关的入口点代码页的度量值,将度量结果与度量值存储子系统中存储的度量值进行比较完成完整性度量,并确定随后对应的代码页度量值,完成对应用态程序的完整性度量;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
(4)虚拟机管理器在对动态链接库进行完整性度量时,虚拟机管理器根据动态链接库的名称、当前应用程序中所包含的动态链接库程序的虚拟地址、应用程序的语义信息,确定对应的代码页度量值,将度量结果与度量值存储子系统中存储的度量值进行比较完成对动态链接库的完整性度量;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
本发明的有益效果和优点是:
1)在当前虚拟化环境中,该二进制文件度量值管理和分发方法做到了在虚拟化管理平台中集中管理不同类型二进制文件的度量值,支持向多个VMM进行统一推送。
2)本发明可以使虚拟机管理平台在虚拟机管理器注册、虚拟机启动、虚拟机迁移等阶段向虚拟机管理器进行主动推送或根据虚拟机信息按需推送。
附图说明
图1为在虚拟化环境中二进制文件度量值统一管理和分发方法架构示意图。
图2(1)为实施例中操作系统内核文件度量值生成架构示意图。
图2(2)为实施例中内核模块度量值生成架构示意图。
图2(3)为实施例中应用态程序度量值生成架构示意图。
图2(4)为实施例中动态链接库度量值生成架构示意图。
图3为实施例中度量值分发子系统架构示意图。
具体实施方式
本发明对于QEMU-KVM、Xen等虚拟化管理平台适用,为使本说明的上述目的,特征和优点能够更加明显易懂,下面通过具体实施例,对本发明做进一步说明。
图1为系统架构的示意图,包括度量值生成子系统,存储系统和分发系统。本实施例是一个在QEMU-KVM平台下提供二进制文件度量值统一管理和分发的实例。
图2(1)~图2(4)分别为度量值生成子系统中操作系统内核文件度量值生成架构、内核模块度量值生成架构、应用态程序度量值生成架构、动态链接库度量值生成架构的示意图。该子系统的目标是获取二进制文件的相关信息,对不同类型的二进制文件进行按页Hash值计算,生成二进制文件的度量值。
本例中度量值生成子系统根据二进制文件的不同类型,对度量值的生成设计了四个步骤:
第一步需要对二进制文件进行分类,包括操作系统内核文件、内核模块、应用态程序和动态链接库;
第二步,度量值生成子系统从二进制文件中读取文件的节表头信息,在节表头信息中直接获取节的信息,包括加载到内存中的入口点地址,节大小,对齐大小和在二进制源文件中的偏移,然后根据以上信息,度量值生成子系统将代码段整个节内容读出;
第三步,其中要注意的是,在节的边缘可能要根据对齐规则对其进行填充,存在重定位信息的二进制文件类型重定位地址设置为0,将各个需要计算的代码段按页进行Hash运算获得度量值进行保存;
第四步,将相应文件信息和hash值存储于度量值存储子系统。
度量值存储子系统,该子系统的目标是对二进制文件的度量值进行安全的存储。本例的度量值存储子系统融合于虚拟化管理平台的存储系统部分。度量值存储子系统中存储着不同类型二进制文件的度量值和相关信息:
(1)二进制文件类型为操作系统内核文件时,存储操作系统类型、内核版本、各个代码页偏移、各个代码页大小、Hash值作为度量值,标注入口点所在的代码页。
(2)二进制文件类型为内核模块文件时,存储内核模块名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,标注各入口点。
(3)二进制文件类型为应用态程序文件时,存储应用态程序名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注各个代码段的入口点。重定位信息在动态链接库加载时发挥重要作用。
(4)动态链接库的代码段可直接加载到进程的地址空间中。为了正确的调用动态链接库中的函数,其函数在代码段中的偏移位置和符号信息分别记录在了重定位节和符号节中。二进制文件类型为动态链接库文件时,动态链接库名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,记录重定位信息。度量值存储内容字段如表1、表2、表3和表4所示。
本例中的所有存储系统都是基于管理平台的存储系统建立的。本例中度量值存储子系统为两种情况下的度量值存储提供了生成接口:二进制文件度量值生成子系统将相应的二进制文件度量值相关信息存储在存储系统中;导入接口,将外部提供的二进制文件度量值相关信息导入到存储系统。
图3为实施例中度量值分发子系统架构示意图。度量值分发子系统的目标是主动分发度量值和根据请求返回相应的度量值。
本例的度量值分发子系统部署在虚拟化平台管理中心。二进制文件度量值存储于存储子系统,分发子系统与存储子系统集成,向所有虚拟机管理器推送二进制文件度量值,当二进制文件度量值更新时也进行所有虚拟机管理器推送;根据虚拟机信息按需推送,包括根据人工设置或者根据虚拟机操作系统信息向指定虚拟机管理器推送;分发子系统监测虚拟机管理器注册、虚拟机启动、虚拟机迁移等阶段,发现有以上过程时分发子系统向虚拟机管理器进行二进制文件度量值推送。虚拟机上允许运行的程序增加或者删除时,度量值分发子系统对分发的度量值进行相应的增加或删除。
表1.二进制文件信息存储内容字段表
表2.代码页信息存储内容字段表
表3.代码页中存在重定位的重定位信息表
| 存储字段内容 | 字段名 | 备注 |
| 重定位信息编号 | RelocationId | 重定位信息唯一标识 |
| 代码页编号 | PageId | 指示该重定位信息对应的代码页 |
| 重定位地址 | RelocationAddress | 表示每个需要被重定位的位置 |
表4.应用态程序所使用的动态链接库信息表
| 存储字段内容 | 字段名 | 备注 |
| 二进制文件标识 | FileId | 应用态程序标识 |
| 代码页编号 | PageId | 动态链接库标识 |
本例的具体操作流程如下:
1)将系统维护的二进制文件输入至度量值生成子系统,生成度量值后存储于度量值存储子系统,最后将度量值统一分发给所有虚拟机管理器。虚拟机根据虚拟机管理器提供的度量值进行二进制完整性检验。
2)当二进制文件发生变化时,重新进行度量值的生成,度量值存储子系统中对发生变化的二进制文件的度量值进行相应的更新,并将度量值统一分发给所有虚拟机管理器。虚拟机根据虚拟机管理器提供的度量值进行二进制完整性检验。
3)当虚拟机管理器注册、虚拟机启动或者迁移时,度量值分发子系统将度量值分发给更新的虚拟机管理器。虚拟机根据虚拟机管理器提供的度量值进行二进制完整性检验。
本发明也可以基于其他虚拟环境,以上实例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (14)
1.一种虚拟化环境中二进制文件度量值统一管理和分发的方法,其特征在于,包括以下步骤:
生成不同类型二进制文件的度量值;
对不同类型二进制文件的度量值进行存储;
虚拟化管理平台向各个虚拟机管理器推送二进制文件的度量值。
2.根据权利要求1所述的方法,其特征在于,所述不同类型二进制文件,包括操作系统内核文件、内核模块文件、应用态程序文件和动态链接库文件,根据二进制文件格式自动地生成二进制文件的度量值。
3.根据权利要求2所述的方法,其特征在于,为操作系统内核文件生成度量值的步骤包括:根据操作系统内核系统文件、操作系统类型、内核版本、操作系统内核数据结构和符号地址映射关系,确定各个代码段的偏移和大小;对操作系统内核文件进行解压缩,并对解压缩后文件中的代码段按页进行Hash运算,不足一页时进行补零;记录操作系统类型、内核版本、各个代码页偏移、各个代码页大小、Hash值作为度量值,并标注入口点所在代码页。
4.根据权利要求2所述的方法,其特征在于,为内核模块文件生成度量值的步骤包括:模拟目标平台中内核模块的加载过程,确定各个代码段的偏移和大小;对各个代码段按页进行Hash运算,计算过程中不足一页时进行补零并将代码中重定位地址设置为0;记录内核模块名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注各个代码段的在文件中的段偏移。
5.根据权利要求2所述的方法,其特征在于,为应用态程序文件生成度量值的步骤包括:模拟目标平台中应用态程序的加载过程,记录其确定其所使用的动态链接库名称和版本;根据应用态程序中包含的入口点地址、节大小、对齐大小和偏移地址,按页为单位计算Hash值,计算过程根据对齐规则对代码页进行填充、不足一页的进行补零,并将重定位地址设置为0;记录应用态程序名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值,并标注各个代码段的在文件中的段偏移。
6.根据权利要求2所述的方法,其特征在于,为动态链接库文件生成度量值的步骤包括:按页为单位计算Hash值,计算过程根据对齐规则对代码页进行填充、不足一页的进行补零,并将重定位地址设置为0;记录动态链接库名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值。
7.根据权利要求1所述的方法,其特征在于,虚拟化管理平台直接集成二进制文件度量值生成功能,并将相应的二进制文件度量值相关信息存储在存储系统中;或者,虚拟化管理平台提供二进制文件度量值导入功能,将外部提供的二进制文件度量值相关信息导入到存储系统。
8.根据权利要求1所述的方法,其特征在于,虚拟化管理平台能够将度量值通过管理通道向各个虚拟机管理器主动推送,或者根据虚拟机信息按需推送;
所述主动推送包括:将所有或部分二进制文件度量值向全部虚拟机管理器推送;将新增二进制文件度量值向全部虚拟机管理器推送;将不再允许执行的二进制文件度量值从相应的虚拟机管理器中删除;
所述按需推送包括:根据人工设置或者根据虚拟机操作系统信息向指定虚拟机管理器推送;在虚拟机管理器注册、虚拟机启动、虚拟机迁移阶段向虚拟机管理器进行推送。
9.一种二进制文件完整性度量方法,应用于虚拟机管理器,其特征在于,包括以下步骤:
接收虚拟化管理平台采用权利要求1~8中任一权利要求所述方法推送的二进制文件度量值;
根据二进制文件度量值,对虚拟机中运行程序的完整性进行度量。
10.根据权利要求9所述的方法,其特征在于,虚拟机管理器在对操作系统内核进行完整性度量的步骤包括:虚拟机管理器根据操作系统信息,获取相关的入口点代码页度量值,进行完整性度量,并确定随后对应的代码页度量值,完成对操作系统内核的完整性度量;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
11.根据权利要求9所述的方法,其特征在于,虚拟机管理器在对内核模块进行完整性度量的步骤包括:虚拟机管理器根据内核模块的名称,确定相应的内核模块入口点代码页度量值,进行完整性度量,并确定随后对应的相应代码页度量值,完成对内核模块的完整性度量值;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
12.根据权利要求9所述的方法,其特征在于,虚拟机管理器在对应用态程序进行完整性度量的步骤包括:虚拟机管理器根据应用程序信息,获取相关的入口点代码页的度量值,进行完整性度量,并确定随后对应的代码页度量值,完成对应用态程序的完整性度量;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。若该应用态程序使用到动态链接库,则根据该应用程序的进程语义信息,获取动态链接库的相关信息,以验证相应动态链接库的完整性。
13.根据权利要求9所述的方法,其特征在于,虚拟机管理器在对动态链接库进行完整性度量值的步骤包括:虚拟机管理器根据动态链接库的名称、当前应用程序中所包含的动态链接库程序的虚拟地址、应用程序的语义信息,确定对应的代码页度量值,完成对动态链接库的完整性度量;若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致,则报错。
14.一种虚拟化环境中二进制文件度量值统一管理和分发的系统,其特征在于,包括:
度量值生成子系统,用于生成不同类型二进制文件的度量值;
度量值存储子系统,用于对不同类型二进制文件的度量值进行存储;
度量值分发子系统,用于虚拟化管理平台向各个虚拟机管理器推送二进制文件的度量值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010559247.2A CN111831609B (zh) | 2020-06-18 | 2020-06-18 | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010559247.2A CN111831609B (zh) | 2020-06-18 | 2020-06-18 | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111831609A true CN111831609A (zh) | 2020-10-27 |
| CN111831609B CN111831609B (zh) | 2024-01-02 |
Family
ID=72897811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010559247.2A Active CN111831609B (zh) | 2020-06-18 | 2020-06-18 | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111831609B (zh) |
Citations (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244572A1 (en) * | 2007-03-30 | 2008-10-02 | Ravi Sahita | Method and apparatus for adaptive integrity measurement of computer software |
| US20080244573A1 (en) * | 2007-03-31 | 2008-10-02 | Ravi Sahita | Method and apparatus for managing page tables from a non-privileged software domain |
| CN101488173A (zh) * | 2009-01-15 | 2009-07-22 | 北京交通大学 | 支持零宕机的可信虚拟域启动文件完整性度量的方法 |
| JP2011171973A (ja) * | 2010-02-18 | 2011-09-01 | Wakayama Univ | 経路計算装置 |
| CN103020531A (zh) * | 2012-12-06 | 2013-04-03 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及系统 |
| CN103501303A (zh) * | 2013-10-12 | 2014-01-08 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| CN103593617A (zh) * | 2013-10-27 | 2014-02-19 | 西安电子科技大学 | 基于vmm的软件完整性校验系统及其方法 |
| CN103747036A (zh) * | 2013-12-23 | 2014-04-23 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
| CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
| CN104169939A (zh) * | 2013-11-12 | 2014-11-26 | 华为技术有限公司 | 一种实现虚拟化安全的方法和系统 |
| CN104468712A (zh) * | 2014-10-31 | 2015-03-25 | 中标软件有限公司 | 轻量级可信计算平台及其通信方法、信任链建立方法 |
| CN104751048A (zh) * | 2015-01-29 | 2015-07-01 | 中国科学院信息工程研究所 | 一种预链接机制下的动态链接库完整性度量方法 |
| CN105791013A (zh) * | 2016-03-08 | 2016-07-20 | 浪潮电子信息产业股份有限公司 | 一种基于amqp的可信计算池管控系统 |
| CN105847423A (zh) * | 2016-05-16 | 2016-08-10 | 国网江苏省电力公司信息通信分公司 | 一种实现统一安全监控与管理的云平台 |
| CN106096412A (zh) * | 2016-06-21 | 2016-11-09 | 华为技术有限公司 | 完整性度量方法及装置 |
| CN106529342A (zh) * | 2016-11-02 | 2017-03-22 | 深圳前海生生科技有限公司 | 基于安全芯片的虚拟机监控器动态完整性检测方法 |
| CN106909509A (zh) * | 2017-03-01 | 2017-06-30 | 四川大学 | 一种虚拟机进程代码的无代理分页式度量系统和方法 |
| CN106951785A (zh) * | 2017-03-15 | 2017-07-14 | 湖南文盾信息技术有限公司 | 一种java虚拟机及其中的信任链延伸方法 |
| CN107392030A (zh) * | 2017-07-28 | 2017-11-24 | 浪潮(北京)电子信息产业有限公司 | 一种检测虚拟机启动安全的方法及装置 |
| CN107861793A (zh) * | 2017-11-08 | 2018-03-30 | 浪潮(北京)电子信息产业有限公司 | 虚拟硬件平台启动方法、装置、设备及计算机存储介质 |
| WO2018106604A1 (en) * | 2016-12-05 | 2018-06-14 | Intel IP Corporation | Systems, methods and devices for virtual network function virtual processor usage reporting in cellular networks |
| CN108182366A (zh) * | 2017-12-29 | 2018-06-19 | 浪潮(北京)电子信息产业有限公司 | 一种度量虚拟机的文件的方法、装置及设备 |
| CN108804203A (zh) * | 2018-06-15 | 2018-11-13 | 四川大学 | 基于标签的vTPM私密信息保护方法 |
| CN108830078A (zh) * | 2018-05-09 | 2018-11-16 | 中国船舶重工集团公司第七〇四研究所 | 一种针对工控设备的恶意代码发现方法 |
| CN109063473A (zh) * | 2018-07-02 | 2018-12-21 | 芜湖通全电子电器科技创业有限公司 | 一种基于计算机网络的便捷式家用安全监控装置和方法 |
| CN109543413A (zh) * | 2018-11-01 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种基于IMA保护Linux操作系统安全的系统和方法 |
| CN109684829A (zh) * | 2018-12-04 | 2019-04-26 | 中国科学院数据与通信保护研究教育中心 | 一种虚拟化环境中服务调用监控方法和系统 |
| CN111045743A (zh) * | 2019-12-12 | 2020-04-21 | 海光信息技术有限公司 | 操作系统安全启动方法、管理方法、装置、设备 |
-
2020
- 2020-06-18 CN CN202010559247.2A patent/CN111831609B/zh active Active
Patent Citations (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080244572A1 (en) * | 2007-03-30 | 2008-10-02 | Ravi Sahita | Method and apparatus for adaptive integrity measurement of computer software |
| US20080244573A1 (en) * | 2007-03-31 | 2008-10-02 | Ravi Sahita | Method and apparatus for managing page tables from a non-privileged software domain |
| CN101488173A (zh) * | 2009-01-15 | 2009-07-22 | 北京交通大学 | 支持零宕机的可信虚拟域启动文件完整性度量的方法 |
| JP2011171973A (ja) * | 2010-02-18 | 2011-09-01 | Wakayama Univ | 経路計算装置 |
| CN103020531A (zh) * | 2012-12-06 | 2013-04-03 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及系统 |
| CN103501303A (zh) * | 2013-10-12 | 2014-01-08 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| CN103593617A (zh) * | 2013-10-27 | 2014-02-19 | 西安电子科技大学 | 基于vmm的软件完整性校验系统及其方法 |
| CN104169939A (zh) * | 2013-11-12 | 2014-11-26 | 华为技术有限公司 | 一种实现虚拟化安全的方法和系统 |
| CN103747036A (zh) * | 2013-12-23 | 2014-04-23 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
| CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
| CN104468712A (zh) * | 2014-10-31 | 2015-03-25 | 中标软件有限公司 | 轻量级可信计算平台及其通信方法、信任链建立方法 |
| CN104751048A (zh) * | 2015-01-29 | 2015-07-01 | 中国科学院信息工程研究所 | 一种预链接机制下的动态链接库完整性度量方法 |
| CN105791013A (zh) * | 2016-03-08 | 2016-07-20 | 浪潮电子信息产业股份有限公司 | 一种基于amqp的可信计算池管控系统 |
| CN105847423A (zh) * | 2016-05-16 | 2016-08-10 | 国网江苏省电力公司信息通信分公司 | 一种实现统一安全监控与管理的云平台 |
| CN106096412A (zh) * | 2016-06-21 | 2016-11-09 | 华为技术有限公司 | 完整性度量方法及装置 |
| CN106529342A (zh) * | 2016-11-02 | 2017-03-22 | 深圳前海生生科技有限公司 | 基于安全芯片的虚拟机监控器动态完整性检测方法 |
| WO2018106604A1 (en) * | 2016-12-05 | 2018-06-14 | Intel IP Corporation | Systems, methods and devices for virtual network function virtual processor usage reporting in cellular networks |
| CN106909509A (zh) * | 2017-03-01 | 2017-06-30 | 四川大学 | 一种虚拟机进程代码的无代理分页式度量系统和方法 |
| CN106951785A (zh) * | 2017-03-15 | 2017-07-14 | 湖南文盾信息技术有限公司 | 一种java虚拟机及其中的信任链延伸方法 |
| CN107392030A (zh) * | 2017-07-28 | 2017-11-24 | 浪潮(北京)电子信息产业有限公司 | 一种检测虚拟机启动安全的方法及装置 |
| CN107861793A (zh) * | 2017-11-08 | 2018-03-30 | 浪潮(北京)电子信息产业有限公司 | 虚拟硬件平台启动方法、装置、设备及计算机存储介质 |
| CN108182366A (zh) * | 2017-12-29 | 2018-06-19 | 浪潮(北京)电子信息产业有限公司 | 一种度量虚拟机的文件的方法、装置及设备 |
| CN108830078A (zh) * | 2018-05-09 | 2018-11-16 | 中国船舶重工集团公司第七〇四研究所 | 一种针对工控设备的恶意代码发现方法 |
| CN108804203A (zh) * | 2018-06-15 | 2018-11-13 | 四川大学 | 基于标签的vTPM私密信息保护方法 |
| CN109063473A (zh) * | 2018-07-02 | 2018-12-21 | 芜湖通全电子电器科技创业有限公司 | 一种基于计算机网络的便捷式家用安全监控装置和方法 |
| CN109543413A (zh) * | 2018-11-01 | 2019-03-29 | 郑州云海信息技术有限公司 | 一种基于IMA保护Linux操作系统安全的系统和方法 |
| CN109684829A (zh) * | 2018-12-04 | 2019-04-26 | 中国科学院数据与通信保护研究教育中心 | 一种虚拟化环境中服务调用监控方法和系统 |
| CN111045743A (zh) * | 2019-12-12 | 2020-04-21 | 海光信息技术有限公司 | 操作系统安全启动方法、管理方法、装置、设备 |
Non-Patent Citations (12)
| Title |
|---|
| CHILINGIRIAN, BERJ KRIKOR: "Hashing hardware : identifying hardware during boot-time system verification", 《MIT LIBRARIES》 * |
| JIANG, FANGJIE, ET AL: "TF-BIV: transparent and fine-grained binary integrity verification in the cloud", 《PROCEEDINGS OF THE 35TH ANNUAL COMPUTER SECURITY APPLICATIONS CONFERENCE》, pages 49 - 50 * |
| MENG XU .EL: "Toward Engineering a Secure Android Ecosystem: A Survey of Existing Techniques", 《TOWARD ENGINEERING A SECURE ANDROID ECOSYSTEM: A SURVEY OF EXISTING TECHNIQUES》 * |
| 张磊;陈兴蜀;刘亮;李辉;: "基于虚拟机的内核完整性保护技术", 电子科技大学学报, no. 01 * |
| 曲海鹏, 敖赢戈, 晏敏: "基于上下文的Android移动终端可信运行控制系统的设计与实现", 《北京交通大学学报》 * |
| 曲海鹏;敖赢戈;晏敏;于爱民;赵保华;: "基于上下文的Android移动终端可信运行控制系统的设计与实现", 北京交通大学学报, no. 05 * |
| 林杰;刘川意;方滨兴;: "IVirt:基于虚拟机自省的运行环境完整性度量机制", 计算机学报, no. 01 * |
| 盛志凡, 王东飞, 解伟: "智能电视操作系统TVOS1.0安全技术体系", 《广播与电视技术》 * |
| 胡伟, 姬东耀: "基于信息流模型的TCB完整性策略分析方法与工具", 《武汉大学学报(理学版)》 * |
| 蔡权伟: "分布式Byzantine容错系统研究", 《中国博士学位论文全文数据库》 * |
| 蔡梦娟: "基于硬件虚拟化的虚拟机进程代码分页式度量方法", 《计算机应用》, pages 305 - 309 * |
| 陈兴蜀, 王伟, 金鑫: "基于标签的vTPM私密信息保护方案", 《通信学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111831609B (zh) | 2024-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11327744B2 (en) | Equivalency of revisions on modern version control systems | |
| CN110297689B (zh) | 智能合约执行方法、装置、设备及介质 | |
| CN111240689B (zh) | 应用程序的构建方法、装置、设备及存储介质 | |
| CN110231994B (zh) | 内存分析方法、装置和计算机可读存储介质 | |
| CN109032631B (zh) | 应用程序补丁包获取方法、装置、计算机设备及存储介质 | |
| US20170161149A1 (en) | Backup management of software environments in a distributed network environment | |
| US20200379880A1 (en) | Embedded quality indication data for version control systems | |
| CN109614165A (zh) | 一种com组件的多版本并行运行方法和装置 | |
| CN114064563A (zh) | 一种基于对象存储的数据迁移方法和服务器 | |
| CN112596932A (zh) | 服务注册及拦截方法、装置、电子设备及可读存储介质 | |
| KR20210057176A (ko) | 함수 점프 구현 방법, 디바이스, 및 컴퓨터 저장 매체 | |
| CN112769706A (zh) | 组件化路由方法及系统 | |
| CN113377661A (zh) | 接口测试方法、装置、电子设备及存储介质 | |
| CN110569218B (zh) | 一种ext文件系统离线修改方法、装置及存储介质 | |
| CN115994122A (zh) | 快速缓存信息的方法、系统、设备及储存介质 | |
| US20220138023A1 (en) | Managing alert messages for applications and access permissions | |
| US20050060378A1 (en) | Method and apparatus for providing language modularization | |
| CN111352631B (zh) | 一种接口兼容性检测方法及装置 | |
| CN111831609B (zh) | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 | |
| CN116149800A (zh) | Kvm虚拟机应用层无代理cdp方法、系统及存储介质 | |
| CN114924742A (zh) | 用于虚拟机模拟软件的热补丁制作和应用方法、装置 | |
| CN115086047A (zh) | 接口鉴权方法、装置、电子设备及存储介质 | |
| CN111737964B (zh) | 表格动态处理方法、设备及介质 | |
| CN114116673A (zh) | 基于人工智能的数据迁移方法及相关设备 | |
| CN114756868A (zh) | 一种基于指纹的网络资产与漏洞关联方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |