本发明专利技术提供一种基于可信计算的虚拟机准入方法及装置,该方法包括:将待迁移虚拟机置于隔离加固池中,并获取所述虚拟机的基本信息,根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息,根据所述准入请求信息,判断所述虚拟机是否准入通过,如果是,将所述虚拟机迁移至可信计算池,如果否,在所述隔离加固池中对所述虚拟机进行加固处理,然后执行所述根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息。该装置包括:操作单元、检测单元、判断单元及执行单元。本方案能够提高虚拟机的安全性。
【技术实现步骤摘要】
本专利技术涉及计算机领域,特别涉及一种基于可信计算的虚拟机准入方法及装置。
技术介绍
随着计算机技术的不断发展和进步,为了提高服务器资源的利用率、简化系统管理、实现服务器整合,出现了服务器虚拟化技术,即将服务器物理资源抽象成逻辑资源,让一台服务器变成几台甚至上百台相互隔离的虚拟服务器。其中虚拟机迀移技术是服务器虚拟化技术的重要表征,是指在源物理主机上运行的虚拟机操作系统及应用程序移动到目标物理主机上或虚拟机上,并且在目标主机上能够正常运行。目前,针对虚拟机的迀移方法包括很多种类,包括冷迀移和热迀移等方法,但是各种虚拟机的迀移方法都是直接将虚拟机迀移到目标主机上。针对现有技术的虚拟机迀移方法,在对虚拟机迀移之前,不对虚拟机的完整性和安全性进行检查,很可能将不安全的虚拟机迀移到安全的运行环境中去,使整个运行环境受到威胁,从而虚拟机的安全性较低。
技术实现思路
本专利技术提供一种基于可信计算的虚拟机准入方法及装置,能够提高虚拟机的安全性。本专利技术实施例提供了一种基于可信计算的虚拟机准入方法,包括:将待迀移虚拟机置于隔离加固池中,并获取所述虚拟机的基本信息;根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息;根据所述准入请求信息,判断所述虚拟机是否准入通过;如果是,将所述虚拟机迀移至可信计算池,如果否,在所述隔离加固池中对所述虚拟机进行加固处理,然后执行所述根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息。优选地,所述隔离加固池包括:至少一台可信服务器。优选地,所述可信计算池包括:至少一台用于运行虚拟机的可信服务器。优选地,所述虚拟机的基本信息包括:所述虚拟机的UUID、IP地址、MAC地址中的任意一个或多个。优选地,所述对所述虚拟机进行度量和检测包括:对所述虚拟机的主机OS Loader、主机OS Kernel及Hypervisor模块进行度量,对所述虚拟机的Guest OS Kernel及虚拟机加固套件进行度量,对所述虚拟机是否包括虚拟机安全基线、软件白名单、HIPS及审计倒查功能进行检测中的任意一个或多个。优选地,所述准入请求信息包括:所述虚拟机的主机OS Loader、主机OS Kernel及Hypervisor模块的度量值,所述虚拟机Guest OS Kernel、虚拟机加固套件的度量值,以及虚拟机安全基线、软件白名单、HIPS、审计倒查功能的包括情况中的任意一个或多个。优选地,所述在所述隔离加固池中对所述虚拟机进行加固处理包括:根据所述判断结果,确定导致所述虚拟机不允许准入的危险因素,根据所述危险因素,对该不允许准入虚拟机进行相应的修改或安装缺少的软件,消除所述不允许准入虚拟机的危险因素。本专利技术实施例还提供了一种基于可信计算的虚拟机准入装置,包括:操作单元,用于将待迀移虚拟机置于隔离加固池中,并获取所述虚拟机的基本信息;检测单元,用于根据所述操作单元获取的虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息;判断单元,用于根据所述检测单元获取的准入请求信息,判断所述虚拟机是否准入通过;执行单元,用于根据所述判断单元的判断结果,如果是,将所述虚拟机迀移至可信计算池,如果否,在所述隔离加固池中对所述虚拟机进行加固处理,然后所述检测单元执行所述根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息。优选地,所述操作单元,用于获取所述虚拟机的UUID、IP地址、MAC地址中的任意一个或多个。优选地,所述检测单元,用于对所述虚拟机的主机OS Loader、主机OS Kernel及Hypervisor模块进行度量,对所述虚拟机的Guest OS Kernel及虚拟机加固套件进行度量,对所述虚拟机是否包括虚拟机安全基线、软件白名单、HIPS及审计倒查功能进行检测中的任意一个或多个。优选地,所述执行单元,用于根据所述判断结果,确定导致所述虚拟机不允许准入的危险因素,根据所述危险因素,对该不允许准入虚拟机进行相应的修改或安装缺少的软件,消除所述导致不允许准入的危险因素。本专利技术实施例提供了一种基于可信计算的虚拟机准入方法及装置,当要将虚拟机迀移到可信计算池时,首先将虚拟机置于隔离加固池,获取该虚拟机的基本信息,根据该基本信息对虚拟机进行度量和检测,并根据度量和检测结果获取该虚拟机的准入请求信息,根据该准入请求信息判断该虚拟机是否准入通过,对于通过的虚拟机迀移至可信计算池进行相应的任务,对于不通过的虚拟机,则在隔离加固池中进行加固处理,处理完成后再次执行度量和检测的步骤,直至该虚拟机准入通过,通过这种方法,在对虚拟机进行迀移之前,首先对待迀移的虚拟机进行度量和检测,确保转入可信计算池中的虚拟机是完整和安全的,避免将不安全的虚拟机迀移到安全的可信计算池中使其他虚拟机受到破坏,从而提高了虚拟机的安全性。【附图说明】图1是本专利技术一个实施例提供的一种基于可信计算的虚拟机准入方法流程图;图2是本专利技术另一个实施例提供的一种基于可信计算的虚拟机准入方法流程图;图3是本专利技术一个实施例提供的一种基于可信计算的虚拟机准入装置示意图。【具体实施方式】下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,本专利技术一个实施例提供了一种基于可信计算的虚拟机准入方法,包括:步骤101:将待迀移虚拟机置于隔离加固池中,并获取所述虚拟机的基本信息;步骤102:根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息;步骤103:根据所述准入请求信息,判断所述虚拟机是否准入通过;步骤104:根据所述判断结果,如果是,将所述虚拟机迀移至可信计算池,并结束当前流程;步骤105:根据所述判断结果,如果否,在所述隔离加固池中对所述虚拟机进行加固处理,然后执行步骤102。本专利技术实施例提供了一种基于可信计算的虚拟机准入方法,当要将虚拟机迀移到可信计算池时,首先将虚拟机置于隔离加固池,获取该虚拟机的基本信息,根据该基本信息对虚拟机进行度量和检测,并根据度量和检测结果获取该虚拟机的准入请求信息,根据该准入请求信息判断该虚拟机是否准入通过,对于通过的虚拟机迀移至可信计算池进行相应的任务,对于不通过的虚拟机,则在隔离加固池中进行加固处理,处理完成后再次执行度量和检测的步骤,直至该虚拟机准入通过,通过这种方法,在对虚拟机进行迀移之前,首先对待迀移的虚拟机进行度量和检测,确保转入可信计算池中的虚拟机是完整和安全的,避免将不安全的虚拟机迀移到安全的可信计算池中使其他虚拟机受到破坏,从而提高了虚拟机的安全性。在本专利技术一个实施例中,隔离加固池由一台或多台可信服务器构成,将待迀移的虚拟机首先置于隔离加固池中,起到缓冲的作用。在本专利技术一个实施例中,可信计算池由一台或多台可信服务器构成,在可信计算池中包括至少一个虚拟机,可信计算池中的虚拟机都是经过可信度量和检测的,可信计算池是一个相对安全的运行环境,其中包括的虚拟机运行关键的任务,保证关键任务的正常运行。在本专利技术一个实施当前本文档来自技高网...
【技术保护点】
一种基于可信计算的虚拟机准入方法,其特征在于,包括:将待迁移虚拟机置于隔离加固池中,并获取所述虚拟机的基本信息;根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息;根据所述准入请求信息,判断所述虚拟机是否准入通过;如果是,将所述虚拟机迁移至可信计算池,如果否,在所述隔离加固池中对所述虚拟机进行加固处理,然后执行所述根据所述虚拟机的基本信息,对所述虚拟机进行度量和检测,并获取准入请求信息。
【技术特征摘要】
【专利技术属性】
技术研发人员:蔡一兵,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。