| 发明名称 | 一种基于信任根的虚拟机安全管理方法 | ||
| 摘要 | 本发明提供了一种基于信任根的虚拟机安全管理方法,包括如下步骤:步骤S1:加载应用层后端驱动,生成模拟设备vTPM;步骤S2:启动虚拟化监视器;步骤S3:创建虚拟TPM的监听线程;步骤S4:为QEMU创建虚拟TPM;步骤S5:加载前端驱动;步骤S6:启用安全管理线程,并加载安全策略;步骤S7:处理来自Hypervisor的TPM指令。本发明提供的基于信任根的虚拟机安全管理方法,对传统的TPM实现虚拟化的能力;在虚拟化系统之上对客户机进行完整性保护、隔离;在hypervisor之上实现对虚拟机的安全管理。 | ||
| 申请公布号 | CN105574415A | 申请公布日期 | 2016.05.11 |
| 申请号 | CN201510901627.9 | 申请日期 | 2015.12.08 |
| 申请人 | 中电科华云信息技术有限公司 | 发明人 | 杨飞 |
| 分类号 | G06F21/57(2013.01)I;G06F9/455(2006.01)I | 主分类号 | G06F21/57(2013.01)I |
| 代理机构 | 上海汉声知识产权代理有限公司 31236 | 代理人 | 郭国中 |
| 主权项 | 一种基于信任根的虚拟机安全管理方法,其特征在于,包括如下步骤:步骤S1:加载TPM后端驱动:在特权域中加载TPM后端驱动,并生成虚拟TPM设备;步骤S2:启动虚拟TPM设备管理器:初始化虚拟TPM设备管理器的虚拟化监视器的全局配置来存储虚拟TPM相关信息,并且根据物理TPM创建一个根虚拟TPM,该根虚拟TPM是拥有最高权限的TPM实例,记为Ring‑O;步骤S3:启动虚拟TPM设备管理器的监听线程;该监听线程用于:‑监听虚拟化监视器实例的启动;‑监听并响应虚拟化监视器传来的TPM指令请求;‑作为安全管理线程;步骤S4:为模拟处理器创建虚拟TPM实例;步骤S5:加载前端驱动:在KVM虚拟机中加载虚拟TPM前端驱动,并与步骤S1中生成的虚拟TPM设备通过应用层前端驱动及内核驱动建立可信链接通道;步骤S6:启用安全管理线程,并加载安全策略;步骤S7:处理来自虚拟化监视器的TPM指令:虚拟化监视器出TPM指令,该TPM指令由虚拟TPM的监听线程处理后,并将处理后的TPM指令交给根虚拟TPM,完成一个完整的TPM指令请求与响应。 | ||
| 地址 | 200231 上海市徐汇区华泾路509号7幢552室 | ||