本发明专利技术公开了一种虚拟机启动方法,该方法包括以下步骤:通过QEMU度量单元获得目标虚拟机的TBIOS可信固件;确定TBIOS可信固件是否可信;如果是,则加载TBIOS可信固件进行目标虚拟机的虚拟硬件的初始化操作,确定虚拟硬件是否可信;如果是,则加载可信系统启动程序TGRUB进行目标虚拟机的操作系统内核的引导操作,确定操作系统内核是否可信;如果是,则加载操作系统内核,启动目标虚拟机。应用本发明专利技术实施例所提供的技术方案,只有当可信固件、虚拟硬件、操作系统内核均完整时,才允许虚拟机启动,确保虚拟机启动时的完整性,提高虚拟机安全性。本发明专利技术还公开了一种虚拟机启动装置、设备及存储介质,具有相应技术效果。
【技术实现步骤摘要】
一种虚拟机启动方法、装置、设备及存储介质
本专利技术涉及计算机应用
,特别是涉及一种虚拟机启动方法、装置、设备及存储介质。
技术介绍
随着云计算技术的快速发展,虚拟化技术也得到了快速发展。通过资源虚拟化可以高效利用昂贵的硬件资源,并且可以隔离硬件体系结构和软件系统之间的依赖关系,改进系统的安全性能,提高计算资源的利用率。在实际应用中,实体物理机可作为虚拟化主机,虚拟化技术可以将虚拟化主机底层的物理资源整合虚拟出不同配置的虚拟机,为用户提供所需计算资源。随着虚拟化技术的发展和深入研究,虚拟机将逐渐取代实体物理机成为企业各种业务运行环境。如何保证和提高虚拟机的安全性成为本领域技术人员急需解决的技术问题。
技术实现思路
本专利技术的目的是提供一种虚拟机启动方法、装置、设备及存储介质,以保证和提高虚拟机的安全性。为解决上述技术问题,本专利技术提供如下技术方案:一种虚拟机启动方法,包括:在达到设定的启动触发条件时,通过QEMU度量单元获得目标虚拟机的TBIOS可信固件;确定所述TBIOS可信固件是否可信;如果是,则加载所述TBIOS可信固件进行所述目标虚拟机的虚拟硬件的初始化操作,确定所述虚拟硬件是否可信;如果是,则加载可信系统启动程序TGRUB进行所述目标虚拟机的操作系统内核的引导操作,确定所述操作系统内核是否可信;如果是,则加载所述操作系统内核,启动所述目标虚拟机。在本专利技术的一种具体实施方式中,所述确定所述TBIOS可信固件是否可信,包括:对所述TBIOS可信固件进行度量,获得第一度量值;将所述第一度量值与预存的TBIOS基准值进行比对,确定是否相同;如果是,则确定所述TBIOS可信固件可信。在本专利技术的一种具体实施方式中,所述确定所述虚拟硬件是否可信,包括:对所述虚拟硬件进行度量,获得第二度量值;将所述第二度量值与预存的虚拟硬件基准值进行比对,确定是否相同;如果是,则确定所述虚拟硬件可信。在本专利技术的一种具体实施方式中,所述确定所述操作系统内核是否可信,包括:对所述操作系统内核进行度量,获得第三度量值;将所述第三度量值与预存的操作系统基准值进行比对,确定是否相同;如果是,则确定所述操作系统内核可信。在本专利技术的一种具体实施方式中,还包括:在确定所述TBIOS可信固件不可信时,输出第一告警信息;和/或,在确定所述虚拟硬件不可信时,输出第二告警信息;和/或,在确定所述操作系统内核不可信时,输出第三告警信息。一种虚拟机启动装置,包括:可信固件获得模块,用于在达到设定的启动触发条件时,通过QEMU度量单元获得目标虚拟机的TBIOS可信固件;可信固件可信确定模块,用于确定所述TBIOS可信固件是否可信;如果是,则触发虚拟硬件可信确定模块;所述虚拟硬件可信确定模块,用于加载所述TBIOS可信固件进行所述目标虚拟机的虚拟硬件的初始化操作,确定所述虚拟硬件是否可信;如果是,则触发内核可信确定模块;所述内核可信确定模块,用于加载可信系统启动程序TGRUB进行所述目标虚拟机的操作系统内核的引导操作,确定所述操作系统内核是否可信;如果是,则触发启动模块;所述启动模块,用于加载所述操作系统内核,启动所述目标虚拟机。在本专利技术的一种具体实施方式中,所述可信固件可信确定模块,具体用于:对所述TBIOS可信固件进行度量,获得第一度量值;将所述第一度量值与预存的TBIOS基准值进行比对,确定是否相同;如果是,则确定所述TBIOS可信固件可信。在本专利技术的一种具体实施方式中,所述虚拟硬件可信确定模块,具体用于:对所述虚拟硬件进行度量,获得第二度量值;将所述第二度量值与预存的虚拟硬件基准值进行比对,确定是否相同;如果是,则确定所述虚拟硬件可信。一种虚拟机启动设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述任一项所述虚拟机启动方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述虚拟机启动方法的步骤。应用本专利技术实施例所提供的技术方案,在达到设定的启动触发条件时,通过QEMU度量单元获得目标虚拟机的TBIOS可信固件,在确定TBIOS可信固件可信后,加载TBIOS可信固件进行目标虚拟机的虚拟硬件的初始化操作,在确定虚拟硬件可信后,加载TGRUB进一步进行目标虚拟机的操作系统内核的引导操作,并在确定操作系统内核可信后,加载操作系统内核,启动目标虚拟机。逐级传递虚拟机启动时的信任链,只有当可信固件、虚拟硬件、操作系统内核均完整时,才允许虚拟机启动,确保KVM虚拟化平台下虚拟机启动时的完整性,提高虚拟机安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种虚拟机启动方法的实施流程图;图2为本专利技术实施例中一种虚拟机启动装置的结构示意图;图3为本专利技术实施例中一种虚拟机启动设备的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参见图1所示,为本专利技术实施例所提供的一种虚拟机启动方法的实施流程图,该方法可以包括以下步骤:S110:在达到设定的启动触发条件时,通过QEMU度量单元获得目标虚拟机的TBIOS可信固件。本专利技术实施例所提供的技术方案应用于KVM虚拟化平台,KVM,即Kernel-basedVirtualMachine,基于内核的系统虚拟化模块,在KVM虚拟化平台下可运行多个虚拟机(VirtualMachine,VM)。在本专利技术实施例中,可以预先设定虚拟机的启动触发条件,比如,在接收到外部的启动指令时,认为达到了启动触发条件,或者在达到设定的时间间隔时,认为达到了启动触发条件。在达到设定的启动触发条件时,可以通过QEMU度量单元获得目标虚拟机的TBIOS可信固件。目标虚拟机为KVM虚拟化平台下任意一台虚拟机。QEMU为KVM虚拟化平台下开源的I/O虚拟化解决方案TBIOS,即TrustedBasicInputOutputSystem,可信固件接口。TBIOS可信固件即可执行文件包含虚拟机启动参数相关信息,如果被篡改,可能会导致虚拟机无法正常启动和运行。在获得目标虚拟机的TBIOS可信固件后,可以继续执行步骤S120的操作。S120:确定TBIOS可信固件是否可信。在本专利技术实施例中,可以通过QEMU度量单元对TBIOS可信固件进行解析,确定TBIOS可信固件是否可信。在确定TBIOS可信固件可信时,可以继续执行步骤S130的操作,在确定TBIOS可信固件不可信时,目标虚拟机启动失败,可以输出第一告警信息,以便管理人员及时进行问题排查。具体的,在确定TBIOS可信固件不可信时,可以通过告警指示灯、信息显示界面、短信、电话、邮件等方式输出第一告警信息,第一告警信息中可以携带不可信本文档来自技高网...
【技术保护点】
1.一种虚拟机启动方法,其特征在于,包括:在达到设定的启动触发条件时,通过QEMU度量单元获得目标虚拟机的TBIOS可信固件;确定所述TBIOS可信固件是否可信;如果是,则加载所述TBIOS可信固件进行所述目标虚拟机的虚拟硬件的初始化操作,确定所述虚拟硬件是否可信;如果是,则加载可信系统启动程序TGRUB进行所述目标虚拟机的操作系统内核的引导操作,确定所述操作系统内核是否可信;如果是,则加载所述操作系统内核,启动所述目标虚拟机。
【技术特征摘要】
1.一种虚拟机启动方法,其特征在于,包括:在达到设定的启动触发条件时,通过QEMU度量单元获得目标虚拟机的TBIOS可信固件;确定所述TBIOS可信固件是否可信;如果是,则加载所述TBIOS可信固件进行所述目标虚拟机的虚拟硬件的初始化操作,确定所述虚拟硬件是否可信;如果是,则加载可信系统启动程序TGRUB进行所述目标虚拟机的操作系统内核的引导操作,确定所述操作系统内核是否可信;如果是,则加载所述操作系统内核,启动所述目标虚拟机。2.根据权利要求1所述的虚拟机启动方法,其特征在于,所述确定所述TBIOS可信固件是否可信,包括:对所述TBIOS可信固件进行度量,获得第一度量值;将所述第一度量值与预存的TBIOS基准值进行比对,确定是否相同;如果是,则确定所述TBIOS可信固件可信。3.根据权利要求1所述的虚拟机启动方法,其特征在于,所述确定所述虚拟硬件是否可信,包括:对所述虚拟硬件进行度量,获得第二度量值;将所述第二度量值与预存的虚拟硬件基准值进行比对,确定是否相同;如果是,则确定所述虚拟硬件可信。4.根据权利要求1所述的虚拟机启动方法,其特征在于,所述确定所述操作系统内核是否可信,包括:对所述操作系统内核进行度量,获得第三度量值;将所述第三度量值与预存的操作系统基准值进行比对,确定是否相同;如果是,则确定所述操作系统内核可信。5.根据权利要求1至4之中任一项所述的虚拟机启动方法,其特征在于,还包括:在确定所述TBIOS可信固件不可信时,输出第一告警信息;和/或,在确定所述虚拟硬件不可信时,输出第二告警信息;和/或,在确定所述操作系统内核不可信时,输出第三告警信息。6.一种...
【专利技术属性】
技术研发人员:刘海伟,
申请(专利权)人:浪潮北京电子信息产业有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。