本发明专利技术公开了一种虚拟化TPM设备的系统、方法、虚拟机及可读存储介质,应用于KVM虚拟化平台,包括加载模块,用于预先确定一块虚拟机磁盘镜像文件,还用于在接收到确定指令后加载vnvram驱动,使虚拟机磁盘镜像文件初始化为虚拟机的vnvram;监测模块,用于在监测到虚拟机磁盘镜像文件后生成确定指令;创建模块,用于在接收到用户发送的自定义参数后创建VTPM设备;度量模块,用于调用虚拟机的BIOS,并对BIOS进行度量得到相应的度量值和拓展值,还用于将BIOS的度量值和拓展值记录到vnvram中。本发明专利技术可以有效地防止非法用户对虚拟机的恶意访问,而且虚拟机可以迁移到任意可信任的物理服务器上。
Virtual TPM device system, method, virtual machine and readable storage medium
【技术实现步骤摘要】
虚拟化TPM设备的系统、方法、虚拟机及可读存储介质
本专利技术涉及虚拟化领域,特别是涉及一种虚拟化TPM设备的系统、方法、虚拟机及可读存储介质。
技术介绍
近年来随着云计算的发展,KVM(Kernel-basedVirtualMachine,基于内核的虚拟机)虚拟化技术得到了大量应用,随着大量业务迁移到KVM虚拟化平台,越来越多的第三方恶意者向虚拟机内植入恶意代码、病毒、木马等,造成虚拟机的损坏和数据的丢失。在现有技术中,一般是将物理服务器上的TPM(TrustedPlatformModule,可信赖平台)设备透传给虚拟机使用,使虚拟机直接使用TPM设备来完成各项与可信计算相关的功能,其中,TPM设备具有存储功能和度量功能,可以有效地防止非法用户对虚拟机的恶意访问。但是采用上述方法,虚拟机会直接使用TPM设备,导致物理服务器不能再使用此TPM设备,使得物理服务器的可信度降低;在实际应用中,每个物理服务器只包括一块TPM设备,且每块TPM设备只能透传给一台虚拟机使用,而KVM虚拟化平台中一般会有多台虚拟机同时运行,所以无法保证每台虚拟机都可以分配到一块TPM设备,也就不能保证每台虚拟机的安全度和可信度;虚拟机有迁移功能,若想将虚拟机从物理服务器A迁移到物理服务器B上,由于虚拟机使用的TPM设备是和物理服务器A绑定的,因此无法将此TPM设备一同迁移到物理服务器B上,从而限制了虚拟机的迁移功能。因此,如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。
技术实现思路
本专利技术的目的是提供一种虚拟化TPM设备的系统、方法、虚拟机及可读存储介质,在不降低物理服务器的可信度的同时,又可以有效地防止非法用户对虚拟机的恶意访问,虚拟机可以迁移到任意可信任的物理服务器上,不受TPM设备绑定物理服务器的限制。为解决上述技术问题,本专利技术提供了一种虚拟化TPM设备的系统,应用于KVM虚拟化平台,包括:加载模块,用于预先确定一块虚拟机磁盘镜像文件,还用于在接收到确定指令后加载虚拟非易失性随机访问存储器vnvram驱动,使所述虚拟机磁盘镜像文件初始化为虚拟机的vnvram,其中,所述vnvram包括一个调用接口,以便虚拟可信赖平台VTPM设备调用所述vnvram;监测模块,用于在监测到所述虚拟机磁盘镜像文件后生成所述确定指令;创建模块,用于在接收到用户发送的自定义参数后创建所述VTPM设备;度量模块,用于调用所述虚拟机的基本输入输出系统BIOS,并对所述BIOS进行度量得到相应的度量值和拓展值,还用于将所述BIOS的度量值和拓展值记录到所述vnvram中。优选的,所述虚拟机磁盘镜像文件为qcow2类型的虚拟磁盘镜像文件。优选的,所述创建模块包括:tpm-tis模块,用于为所述VTPM设备分配及初始化所述虚拟机的内存空间;tpm-nvram模块,用于调用所述vnvram的调用接口,以便所述VTPM设备实现存储功能;tpm-libtpms模块,用于调用libtpms库,以便所述VTPM设备实现度量功能。优选的,所述度量模块还用于对所述虚拟机的系统文件进行度量得到相应的度量值和拓展值,并将所述系统文件的度量值和拓展值记录到所述vnvram中。优选的,所述度量模块还用于对所述虚拟机的硬件设备进行度量得到相应的度量值和拓展值,并将所述硬件设备的度量值和拓展值记录到所述vnvram中。为解决上述技术问题,本专利技术还提供了一种虚拟化TPM设备的方法,应用于KVM虚拟化平台,包括:加载模块预先确定一块虚拟机磁盘镜像文件;监测模块监测到所述虚拟机磁盘镜像文件后生成确定指令;所述加载模块在接收到所述确定指令后加载虚拟非易失性随机访问存储器vnvram驱动,使所述虚拟机磁盘镜像文件初始化为虚拟机的vnvram,其中,所述vnvram包括一个调用接口,以便虚拟可信赖平台VTPM设备调用所述vnvram;创建模块在接收到用户发送的自定义参数后创建所述VTPM设备;度量模块调用所述虚拟机的基本输入输出系统BIOS,并对所述BIOS进行度量得到相应的度量值和拓展值,然后将所述BIOS的度量值和拓展值记录到所述vnvram中。优选的,所述虚拟机磁盘镜像文件为qcow2类型的虚拟磁盘镜像文件。优选的,所述创建模块在接收到用户发送的自定义参数后创建所述VTPM设备的过程具体为:创建模块在接收到用户发送的自定义参数后为所述VTPM设备分配及初始化所述虚拟机的内存空间;调用所述vnvram的调用接口,以便所述VTPM设备实现存储功能;调用libtpms库,以便所述VTPM设备实现度量功能。为解决上述技术问题,本专利技术还提供了一种虚拟机,应用于KVM虚拟化平台,包括如上述任意一项所述的虚拟化TPM设备的系统。为解决上述技术问题,本专利技术还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述方法的步骤。本专利技术提供了一种虚拟化TPM设备的系统,应用于KVM虚拟化平台,包括加载模块,用于预先确定一块虚拟机磁盘镜像文件,还用于在接收到确定指令后加载虚拟非易失性随机访问存储器vnvram驱动,使虚拟机磁盘镜像文件初始化为虚拟机的vnvram,其中,vnvram包括一个调用接口,以便虚拟可信赖平台VTPM设备调用vnvram;监测模块,用于在监测到虚拟机磁盘镜像文件后生成确定指令;创建模块,用于在接收到用户发送的自定义参数后创建VTPM设备;度量模块,用于调用虚拟机的基本输入输出系统BIOS,并对BIOS进行度量得到相应的度量值和拓展值,还用于将BIOS的度量值和拓展值记录到vnvram中。可见,在实际应用中,本专利技术所提供的虚拟化TPM设备的系统可以实现和TPM设备相同的存储功能及度量功能,每台虚拟机均可以按上述方案配置一个虚拟化TPM设备的系统,在不降低物理服务器的可信度的同时,又可以有效地防止非法用户对虚拟机的恶意访问,而且采用本专利技术的方案,虚拟机可以迁移到任意可信任的物理服务器上,不受TPM设备绑定物理服务器的限制。本专利技术还提供了一种虚拟化TPM设备的方法、虚拟机及可读存储介质,具有和上述系统相同的有益效果。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术所提供的一种虚拟化TPM设备的系统的结构示意图;图2为本专利技术所提供的一种虚拟化TPM设备的系统的一种实施例的流程图;图3为本专利技术所提供的一种虚拟化TPM设备的系统的另一种结构示意图;图4为本专利技术所提供的一种虚拟化TPM设备的系统的另一种实施例的流程图;图5为本专利技术所提供的一种虚拟化TPM设备的方法的流程图。具体实施方式本专利技术的核心是提供一种虚拟化TPM设备的系统、方法、虚拟机及可读存储介质,在不降低物理服务器的可信度的同时,又可以有效地防止非法用户对虚拟机的恶意访问,虚拟机可以迁移到任意可信任的物理服务器上,不受TPM设备绑定物理服务器的限制。为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技本文档来自技高网...
【技术保护点】
一种虚拟化TPM设备的系统,应用于KVM虚拟化平台,其特征在于,包括:加载模块,用于预先确定一块虚拟机磁盘镜像文件,还用于在接收到确定指令后加载虚拟非易失性随机访问存储器vnvram驱动,使所述虚拟机磁盘镜像文件初始化为虚拟机的vnvram,其中,所述vnvram包括一个调用接口,以便虚拟可信赖平台VTPM设备调用所述vnvram;监测模块,用于在监测到所述虚拟机磁盘镜像文件后生成所述确定指令;创建模块,用于在接收到用户发送的自定义参数后创建所述VTPM设备;度量模块,用于调用所述虚拟机的基本输入输出系统BIOS,并对所述BIOS进行度量得到相应的度量值和拓展值,还用于将所述BIOS的度量值和拓展值记录到所述vnvram中。
【技术特征摘要】
1.一种虚拟化TPM设备的系统,应用于KVM虚拟化平台,其特征在于,包括:加载模块,用于预先确定一块虚拟机磁盘镜像文件,还用于在接收到确定指令后加载虚拟非易失性随机访问存储器vnvram驱动,使所述虚拟机磁盘镜像文件初始化为虚拟机的vnvram,其中,所述vnvram包括一个调用接口,以便虚拟可信赖平台VTPM设备调用所述vnvram;监测模块,用于在监测到所述虚拟机磁盘镜像文件后生成所述确定指令;创建模块,用于在接收到用户发送的自定义参数后创建所述VTPM设备;度量模块,用于调用所述虚拟机的基本输入输出系统BIOS,并对所述BIOS进行度量得到相应的度量值和拓展值,还用于将所述BIOS的度量值和拓展值记录到所述vnvram中。2.根据权利要求1所述的系统,其特征在于,所述虚拟机磁盘镜像文件为qcow2类型的虚拟磁盘镜像文件。3.根据权利要求1所述的系统,其特征在于,所述创建模块包括:tpm-tis模块,用于为所述VTPM设备分配及初始化所述虚拟机的内存空间;tpm-nvram模块,用于调用所述vnvram的调用接口,以便所述VTPM设备实现存储功能;tpm-libtpms模块,用于调用libtpms库,以便所述VTPM设备实现度量功能。4.根据权利要求1-3任意一项所述的系统,其特征在于,所述度量模块还用于对所述虚拟机的系统文件进行度量得到相应的度量值和拓展值,并将所述系统文件的度量值和拓展值记录到所述vnvram中。5.根据权利要求4所述的系统,其特征在于,所述度量模块还用于对所述虚拟机的硬件设备进行度量得到相应的度量值和拓展值,...
【专利技术属性】
技术研发人员:韩春超,
申请(专利权)人:浪潮北京电子信息产业有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。