虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质制造方法及图纸

本发明专利技术提供一种虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质，该管理系统包括：vTPM管理器，用于管理vTPM；TPM模拟器，用于处理指令；VMM透传模块，用于截获VM的硬件访问请求，转换成I/O请求发送给所述vTPM管理器；接收所述vTPM管理器的响应，返回给VM。本发明专利技术中采用vTPM管理器，TPM模拟器，VMM透传模块三个部分，实现对VM虚拟机提供vTPM，TPM模拟器能够模拟物理TPM对VM虚拟机进行服务，VMM透传模块处于中间位置，能够传递VM与vTPM管理器之间的消息，实现消息传递。从而能够提供vTPM给每个VM使用，进而保证每个VM的运行环境可信。

Virtual platform vTPM management system, trust chain construction method and device, storage medium

The invention provides a virtual vTPM platform management system, trust chain construction method and device, storage medium, including the management system: vTPM manager for the management of vTPM; TPM simulator for processing instructions; VMM transparent transmission module, used to intercept VM hardware access request is converted into a I/O request to the vTPM manager; in response to receiving the vTPM manager, returned to the VM. The vTPM manager, the invention of the TPM simulator, VMM pass through three parts module, provide vTPM of VM virtual machine, TPM simulator can simulate the physical TPM service of the VM virtual machine, VMM transmission module in the middle position, can be transmitted between the VM and the vTPM manager message, message communication. This enables vTPM to be used for each VM, thereby ensuring that the running environment of each VM is trusted.

【技术实现步骤摘要】
虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质
本专利技术涉及计算机安全领域，特别涉及一种虚拟平台vTPM(VirtualTrustedPlatformModule，虚拟可信平台模块)管理系统、信任链构建方法及装置、存储介质。
技术介绍
虚拟化技术是云计算中重要的组成部分。虚拟化技术实现了IT(InformationTechnology，信息技术)资源的逻辑抽象和统一表示，也是支撑云计算商业模式最重要的技术基石。其中，KVM(Kernel-basedVirtualMachine，系统虚拟化模块)虚拟平台是应用最为广泛的虚拟化方案。云计算应用中不可避免要涉及KVM虚拟平台。基于KVM虚拟化技术构建的云计算平台虽然减少了IT运营的成本，具备按需分配，动态拓展及分布式的优点，但是也带来各种层面的安全隐患。同时，基于虚拟化技术构建的信息系统相比较传统IT系统更具有不可见，不可控，不可信的安全问题。因此，如何在KVM虚拟平台下，保证VM(VirtualMachine，虚拟机)的运行环境可信，是本领域技术人员亟待解决的问题。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质，能够在KVM虚拟平台下，保证VM的运行环境可信。其具体方案如下：一方面，本专利技术提供一种虚拟平台vTPM管理系统，包括：vTPM(TrustedPlatformModule，可信平台模块)管理器，用于管理vTPM；TPM模拟器，用于处理指令；VMM透传模块，用于截获VM的硬件访问请求，转换成I/O(input/output，输入/输出)请求发送给所述vTPM管理器；接收所述vTPM管理器的响应，返回给VM。优选地，所述vTPM管理器，包括：创建部，用于当未分配vTPM的VM发起请求时，创建vTPM供对应的VM使用；初始化部，用于当已分配vTPM的VM发起初始化请求时，初始化对应的vTPM；销毁部，用于当已分配vTPM的VM关闭时，销毁对应的vTPM；迁移部，用于当有已分配vTPM的VM迁移时，利用迁移密钥加密对应的vTPM。优选地，所述创建部，包括：创建接收组件，用于接收VMM透传模块截获并转发的VM访问硬件资源的请求；判断创建组件，用于判断发起请求的VM是否有对应的vTPM，如果没有，则创建相应的vTPM。优选地，所述指令包括：数据加密和/或数字签名和/或安全存储和/或密码杂凑和/或身份标识和/或完整性存储和报告。优选地，所述TPM模拟器，包括：命令接收部，用于接受vTPM命令字；判断授权部，用于判断所述命令字是否需要访问TPM获取关键授权，如果需要则获取授权，如果不需要则直接进行业务处理；虚拟设备部，用于生成虚拟设备供VM使用。第二方面，本专利技术提供一种虚拟平台信任链构建方法，应用于上述系统，包括：以TPM为信任根建立物理硬件层到虚拟平台的信任链；以vTPM为信任根建立VM内部的信任链。优选地，所述以TPM为信任根根建立物理硬件层到虚拟平台的信任链，包括：CPU上电后，所述CPU度量BIOS(BasicInputOutputSystem，基本输入输出系统)，所述BIOS度量物理硬件，所述物理硬件度量MBR(MainBootRecord，主引导记录)，所述MBR度量OSLoader(OperatingSystemloader，操作系统加载器)，逐级存储度量结果到所述TPM；所述OSLoader度量VMM(VirtualMachineMonitor，虚拟机监控器)加载项，所述VMM加载项度量HostOS(HostOperatingSystem，主操作系统)，所述HostOS度量VMM启动项，逐级存储度量结果到所述TPM。优选地，所述以vTPM为信任根建立虚拟机内部的信任链，包括：所述VMM启动后，所述VMM度量VMBIOS，所述VMBIOS度量VM硬件，所述VM硬件度量VMMBR，所述VMMBR度量VMOSLoader，逐级存储度量结果到所述vTPM。第三方面，本专利技术提供一种虚拟平台信任链构建装置，应用于上述系统，包括：TPM信任链构建模块，用于以TPM为信任根根建立物理硬件层到虚拟平台的信任链；vTPM信任链构建模块，用于以vTPM为信任根建立VM内部的信任链。第四方面，本专利技术提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述信任链构建方法的步骤。本专利技术提供一种虚拟平台vTPM管理系统，包括：vTPM管理器，用于管理vTPM；TPM模拟器，用于处理指令；VMM透传模块，用于截获VM的硬件访问请求，转换成I/O请求发送给所述vTPM管理器；接收所述vTPM管理器的响应，返回给VM。本专利技术中采用vTPM管理器，TPM模拟器，VMM透传模块三个部分，实现对VM虚拟机提供vTPM，TPM模拟器能够模拟物理TPM对VM虚拟机进行服务，VMM透传模块处于中间位置，能够传递VM与vTPM管理器之间的消息，实现消息传递。从而能够提供vTPM给每个VM使用，保证每个VM的运行环境可信。本专利技术提供的虚拟平台信任链构建方法及装置、存储介质，也具有上述有益效果，不再赘述。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术第一种具体实施方式所提供的一种虚拟平台vTPM管理系统的组成示意图；图2为一种具体实施方式中vTPM供VM使用的实现过程图；图3为本专利技术第二种具体实施方式的一种虚拟平台信任链构建方法的流程图；图4为本专利技术第二种具体实施方式的一种虚拟平台信任链构建方法的具体流程图；图5为本专利技术具体实施方式提供一种虚拟平台信任链构建装置的组成示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。请参考图1，图1为本专利技术第一种具体实施方式所提供的一种虚拟平台vTPM管理系统的组成示意图。在本专利技术的第一种具体实施方式中，本专利技术提供一种虚拟平台vTPM管理系统100，包括：vTPM管理器101，用于管理vTPM；TPM模拟器102，用于处理指令；VMM透传模块103，用于截获VM的硬件访问请求，转换成I/O请求发送给所述vTPM管理器；接收所述vTPM管理器的响应，返回给VM。虚拟平台一般主要包括3个层次：物理硬件层、虚拟平台层、虚拟机层。在物理硬件层加入了可信平台模块(trustedplatformmodule，TPM)模块，因为TPM是构建可信平台的前提，并且它还能提供所需的密码服务，正如图3所示，为了安全起见尽量避免使用背书密钥(endorsementkey，EK)，而是用身份认证密钥(attestationidentitykey，AIK)来代替EK提供平台的证明，并且在一个安全平台上可以根据不同的目的创建多个AIK。在虚拟本文档来自技高网...

【技术保护点】
一种虚拟平台vTPM管理系统，其特征在于，包括：vTPM管理器，用于管理vTPM；TPM模拟器，用于处理指令；VMM透传模块，用于截获VM的硬件访问请求，转换成I/O请求发送给所述vTPM管理器；接收所述vTPM管理器的响应，返回给所述VM。

【技术特征摘要】
1.一种虚拟平台vTPM管理系统，其特征在于，包括：vTPM管理器，用于管理vTPM；TPM模拟器，用于处理指令；VMM透传模块，用于截获VM的硬件访问请求，转换成I/O请求发送给所述vTPM管理器；接收所述vTPM管理器的响应，返回给所述VM。2.根据权利要求1所述的系统，其特征在于，所述vTPM管理器，包括：创建部，用于当未分配vTPM的VM发起请求时，创建vTPM供对应的VM使用；初始化部，用于当已分配vTPM的VM发起初始化请求时，初始化对应的vTPM；销毁部，用于当已分配vTPM的VM关闭时，销毁对应的vTPM；迁移部，用于当有已分配vTPM的VM迁移时，利用迁移密钥加密对应的vTPM。3.根据权利要求2所述的系统，其特征在于，所述创建部，包括：创建接收组件，用于接收所述VMM透传模块截获并转发的VM访问硬件资源的请求；判断创建组件，用于判断发起请求的VM是否有对应的vTPM，如果没有，则创建相应的vTPM。4.根据权利要求1所述的系统，其特征在于，所述指令包括：数据加密和/或数字签名和/或安全存储和/或密码杂凑和/或身份标识和/或完整性存储和报告。5.根据权利要求1至4任一项所述的系统，其特征在于，所述TPM模拟器，包括：命令接收部，用于接受vTPM命令字；判断授权部，用于判断所述命令字是否需要访问TPM获取关键授权，如果需要则获取授权，如果不需要则直接进行业务处理；虚拟设备部，用于生成虚拟设备供...

【专利技术属性】
技术研发人员：刘海伟，
申请(专利权)人：浪潮北京电子信息产业有限公司，
类型：发明
国别省市：北京,11