一种检测虚拟机启动安全的方法及装置制造方法及图纸

本发明专利技术公开了一种检测虚拟机启动安全的方法，通过虚拟机对应的虚拟TPM模块度量虚拟机加载项的度量值，并由安全中心将度量值和基准度量值进行对比，最终确认虚拟机的加载项是否正确，如果正确，虚拟机可以安全启动。本发明专利技术中每个虚拟机都有一个对应的虚拟TPM模块，可以在几个虚拟机同时需要启动时，分别检测各个虚拟机的加载项，对各个虚拟机的度量过程互不干涉，提高了检测效率，检测虚拟机加载项正确后，保证了虚拟机以及整个系统的安全性，有利于提高系统运行的性能。

Method and device for detecting startup security of virtual machine

The invention discloses a method for detecting the virtual machine is running safety, through the virtual TPM module corresponding to the measurement of the virtual machine virtual machine add value, and by the security center will measure and benchmark metric values are compared, finally confirmed the virtual machine load is correct, if correct, the virtual machine can secure boot. In the invention, each virtual machine has a corresponding virtual TPM module, can be used in several virtual machines also need to start, respectively add each virtual machine, non-interference of measurement process of each virtual machine, improve the detection efficiency, detection of the virtual machine load correctly, ensure the safety the virtual machine and the whole system, to improve the system performance.

【技术实现步骤摘要】
一种检测虚拟机启动安全的方法及装置
本专利技术涉及虚拟机领域，特别是涉及一种检测虚拟机启动安全的方法及装置。
技术介绍
随着云计算技术的发展，实现了IT资源的统一表示和逻辑抽象，其具备按需分配、动态拓展的特点，减少了IT运营的成本。虚拟机是云计算技术的应用一个方面，是指一种特殊的软件，他可以在计算机平台和终端用户之间创建一种环境，而终端用户则是基于这个软件所创建的环境来操作软件，相互独立操作、互不干扰。但是现有的虚拟机软件在实际应用过程中，由于支持虚拟机运行的硬件资源在本地不可见，在数据传输或加载时易遭受篡改和攻击，导致虚拟机不能安全启动。
技术实现思路
本专利技术的目的是提供一种检测虚拟机启动安全的方法，解决了虚拟机不能够安全启动的问题，保障了虚拟机启动时的安全性，本专利技术的另一目的是提供一种检测虚拟机启动安全的装置。为解决上述技术问题，本专利技术提供一种检测虚拟机启动安全的方法，包括：在辅助模块监测到虚拟机启动加载项时，虚拟TPM管理模块查找并启动所述虚拟机对应的虚拟TPM模块，其中，所述虚拟TPM模块是所述虚拟TPM管理模块预先创建的模块，且每个所述虚拟机均有一个对应的所述TPM模块；所述虚拟TPM模块度量所述虚拟机加载项的度量值；在所述虚拟机的加载项启动完毕时，所述虚拟TPM模块将所述度量值发送至安全中心；所述安全中心判断所述度量值是否符合预设的基准度量值，如果是，则生成所述虚拟机的启动安全的判断结果。其中，在辅助模块监测到虚拟机启动加载项之前还包括：在创建所述虚拟机时，所述虚拟TPM管理模块以TPM模拟模块为模板创建与所述虚拟机对应的所述虚拟TPM模块，并以加密的方式保存所述虚拟TPM模块的数据到本地磁盘。其中，在辅助模块监测到虚拟机启动加载项之前，还包括：所述虚拟TPM模块度量所述虚拟机的加载项，获得并发送度量值至所述安全中心，作为基准度量值。其中，在启动虚拟TPM模块之后还包括：所述虚拟TPM管理器按预设周期，以加密的方式保存所述虚拟TPM模块的数据到本地磁盘。其中，所述虚拟TPM管理模块查找所述虚拟机是否存在对应的虚拟TPM模块包括：所述虚拟TPM管理模块根据所述虚拟机的标识信息查找对应的所述虚拟TPM模块。其中，所述虚拟TPM模块度量虚拟机加载项的度量值包括：所述虚拟TPM模块将所述虚拟机加载项的数据经过Hash算法运算后，获得所述的度量值。本专利技术还提供了一种检测虚拟机启动安全的系统，包括：虚拟TPM管理模块，用于在辅助模块监测到虚拟机启动加载项时，虚拟TPM管理模块查找并启动所述虚拟机对应的虚拟TPM模块，其中，所述虚拟TPM模块是所述虚拟TPM管理模块预先创建的模块，且每个所述虚拟机均有一个对应的所述TPM模块；虚拟TPM模块，用于所述虚拟TPM度量所述虚拟机加载项的度量值；在所述虚拟机的加载项启动完毕时，所述虚拟TPM模块将所述度量值发送至安全中心；所述安全中心判断所述度量值是否符合预设的基准度量值，如果是，则生成所述虚拟机的启动安全的判断结果。其中，所述虚拟TPM管理模块还用于：在辅助模块监测到虚拟机启动加载项之前，在创建所述虚拟机时，所述虚拟TPM管理模块以TPM模拟模块为模板创建与所述虚拟机对应的所述虚拟TPM模块，并以加密的方式保存所述虚拟TPM模块的数据到本地磁盘。其中，所述虚拟TPM管理模块还用于：在启动虚拟TPM之后，所述虚拟TPM管理模块按预设周期，以加密的方式保存所述虚拟TPM模块的数据到本地磁盘。其中，所述虚拟TPM模块用于：所述虚拟TPM模块将所述虚拟机加载项的数据经过Hash算法运算后，获得所述的度量值。本专利技术所提供的一种检测虚拟机启动安全的方法，在虚拟机启动时，通过虚拟TPM管理模块查找虚拟机对应的虚拟TPM模块，运用虚拟TPM模块度量虚拟机的加载项，将获得的度量值与预先设定的基准度量值对比，从而实现该虚拟机的加载项是否遭受攻击和篡改的判断，且本专利技术中每个虚拟机均有一个对应的虚拟TPM模块，如果多个虚拟机在同一时间内都需要启动时，各个虚拟TPM模块都可以在同一时间内对各个虚拟机的加载项进行度量，从而判断虚拟机是否可以安全启动，提高了在虚拟机启动之前检测虚拟机的效率，且本专利技术的检测程序简单有效，能够相对较准确的保障在虚拟机启动时的安全性，提高了虚拟机的使用性能。附图说明为了更清楚的说明本专利技术实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的检测虚拟机启动安全的一种具体实施方式的流程图；图2为本专利技术提供的创建虚拟机对应虚拟TPM模块的一种具体实施方式流程图；图3为本专利技术实施例提供的检测虚拟机启动安全的系统的结构框图。具体实施方式为了使本
的人员更好地理解本专利技术方案，下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术提供的检测虚拟机启动安全的一种具体实施方式的流程图，如图1所示，该方法可以包括：步骤S101：在辅助模块监测到虚拟机启动加载项时，虚拟TPM管理模块查找并启动所述虚拟机对应的虚拟TPM模块。具体的，TPM又称为可信根平台，是一种实体的物理芯片，可用于检测某些设备或程序的安全性。而虚拟TPM模块是所述虚拟TPM管理模块根据实体的TPM创建的预先模块，可以在虚拟环境下检测某些虚拟设备的安全性，且每个虚拟机都对应有一个虚拟TPM模块，用以度量虚拟机的加载项度量值，如果有多个虚拟机在某一时间段内，都需要启动，可以使用各自的虚拟TPM模块，互不影响，有利于提高检测效率。需要说明的是，对于虚拟TPM管理模块所具有的功能，可以是一个独立的功能模块所实现的功能，也可以是在某个功能模块内置的一项功能，但是当虚拟TPM管理模块的所具有的功能属于某个功能模块的一项内置功能时，该功能模块可能还需要完成其他的一些功能操作，会影响到本专利技术中相关功能的操作，从而影响虚拟机启动之前的检测的效率，从而影响整个系统中虚拟机的启动效率。所以比较优选的方案是是虚拟TPM管理模块作为一个独立的功能模块实现本专利技术中的相关操作，但这并不是本专利技术的必要技术特征。步骤S102：所述虚拟TPM模块度量所述虚拟机加载项的度量值。步骤S103：在所述虚拟机的加载项启动完毕时，所述虚拟TPM模块将所述度量值发送至安全中心。具体的，虚拟机的加载项相关数据，例如，文件系统，操作系统以及其他类似的数据一般是集中存放在硬件资源中，但是硬件资源对于本地的虚拟机时不可见的，如果直接从硬件资源中读取相关的数据，而该数据存在被攻击或篡改的情况,虚拟机如果照常启动就会存在无法启动或者启动后无法正常工作甚至对设备带来病毒入侵等危害，所以需要启动虚拟机时，需要对加载项中的数据逐项度量，最终根据度量值确定虚拟机是否能够安全启动。另外，本专利技术中的一种具体实施例中，虚拟TPM模块的具体可以包括三部分：虚拟可行度量根、虚拟可信存储根和虚拟可信报告根本文档来自技高网...

【技术保护点】
一种检测虚拟机启动安全的方法，其特征在于，包括：在辅助模块监测到虚拟机启动加载项时，虚拟TPM管理模块查找并启动所述虚拟机对应的虚拟TPM模块，其中，所述虚拟TPM模块是所述虚拟TPM管理模块预先创建的模块，且每个所述虚拟机均对应一个所述虚拟TPM模块；所述虚拟TPM模块度量所述虚拟机加载项的度量值；在所述虚拟机的加载项启动完毕时，所述虚拟TPM模块将所述度量值发送至安全中心；所述安全中心判断所述度量值是否符合预设的基准度量值，如果是，则生成所述虚拟机启动安全的判断结果。

【技术特征摘要】
1.一种检测虚拟机启动安全的方法，其特征在于，包括：在辅助模块监测到虚拟机启动加载项时，虚拟TPM管理模块查找并启动所述虚拟机对应的虚拟TPM模块，其中，所述虚拟TPM模块是所述虚拟TPM管理模块预先创建的模块，且每个所述虚拟机均对应一个所述虚拟TPM模块；所述虚拟TPM模块度量所述虚拟机加载项的度量值；在所述虚拟机的加载项启动完毕时，所述虚拟TPM模块将所述度量值发送至安全中心；所述安全中心判断所述度量值是否符合预设的基准度量值，如果是，则生成所述虚拟机启动安全的判断结果。2.根据权利要求1所述的方法，其特征在于，在辅助模块监测到虚拟机启动加载项之前还包括：在创建所述虚拟机时，所述虚拟TPM管理模块以TPM模拟模块为模板创建与所述虚拟机对应的所述虚拟TPM模块，并以加密的方式保存所述虚拟TPM模块的数据到本地磁盘。3.根据权利要求2所述的方法，其特征在于，在辅助模块监测到虚拟机启动加载项之前还包括：所述虚拟TPM模块度量所述虚拟机的加载项，获得并发送度量值至所述安全中心，作为所述基准度量值。4.根据权利要求1所述的方法，其特征在于，在启动虚拟TPM模块之后还包括：所述虚拟TPM管理器按预设周期以加密的方式保存所述虚拟TPM模块的数据到本地磁盘。5.根据权利要求1所述的方法，其特征在于，所述虚拟TPM管理模块查找并启动所述虚拟机对应的虚拟TPM模块包括：所述虚拟TPM管理模块根据所述虚拟机的标识信息查找对应的所述虚拟TPM模块。6.根据权利要求1至5任一项所述的方法，其特征...

【专利技术属性】
技术研发人员：刘海伟，
申请(专利权)人：浪潮北京电子信息产业有限公司，
类型：发明
国别省市：北京,11