发明名称 |
一种基于信任根的虚拟机安全管理方法 |
摘要 |
本发明提供了一种基于信任根的虚拟机安全管理方法,包括如下步骤:步骤S1:加载应用层后端驱动,生成模拟设备vTPM;步骤S2:启动虚拟化监视器;步骤S3:创建虚拟TPM的监听线程;步骤S4:为QEMU创建虚拟TPM;步骤S5:加载前端驱动;步骤S6:启用安全管理线程,并加载安全策略;步骤S7:处理来自Hypervisor的TPM指令。本发明提供的基于信任根的虚拟机安全管理方法,对传统的TPM实现虚拟化的能力;在虚拟化系统之上对客户机进行完整性保护、隔离;在hypervisor之上实现对虚拟机的安全管理。 |
申请公布号 |
CN105574415A |
申请公布日期 |
2016.05.11 |
申请号 |
CN201510901627.9 |
申请日期 |
2015.12.08 |
申请人 |
中电科华云信息技术有限公司 |
发明人 |
杨飞 |
分类号 |
G06F21/57(2013.01)I;G06F9/455(2006.01)I |
主分类号 |
G06F21/57(2013.01)I |
代理机构 |
上海汉声知识产权代理有限公司 31236 |
代理人 |
郭国中 |
主权项 |
一种基于信任根的虚拟机安全管理方法,其特征在于,包括如下步骤:步骤S1:加载TPM后端驱动:在特权域中加载TPM后端驱动,并生成虚拟TPM设备;步骤S2:启动虚拟TPM设备管理器:初始化虚拟TPM设备管理器的虚拟化监视器的全局配置来存储虚拟TPM相关信息,并且根据物理TPM创建一个根虚拟TPM,该根虚拟TPM是拥有最高权限的TPM实例,记为Ring‑O;步骤S3:启动虚拟TPM设备管理器的监听线程;该监听线程用于:‑监听虚拟化监视器实例的启动;‑监听并响应虚拟化监视器传来的TPM指令请求;‑作为安全管理线程;步骤S4:为模拟处理器创建虚拟TPM实例;步骤S5:加载前端驱动:在KVM虚拟机中加载虚拟TPM前端驱动,并与步骤S1中生成的虚拟TPM设备通过应用层前端驱动及内核驱动建立可信链接通道;步骤S6:启用安全管理线程,并加载安全策略;步骤S7:处理来自虚拟化监视器的TPM指令:虚拟化监视器出TPM指令,该TPM指令由虚拟TPM的监听线程处理后,并将处理后的TPM指令交给根虚拟TPM,完成一个完整的TPM指令请求与响应。 |
地址 |
200231 上海市徐汇区华泾路509号7幢552室 |