一种基于可信UEFI固件引导虚拟机启动的方法及系统技术方案

本发明专利技术提出了一种基于可信UEFI固件引导虚拟机启动的方法及系统，在UEFI的SEC阶段，对PEI签名的合法性进行验证，若合法，则进入PEI阶段；在UEFI的PEI阶段，对虚拟硬件进行初始化，对vTPM进行自测和使能；在UEFI的DEX阶段，对初始化后的虚拟硬件进行度量获得虚拟硬件的度量值，将所述虚拟硬件的度量值进行扩展得到度量扩展值，并将所述度量扩展值写入vTPM的PCR中；在UEFI的BDS阶段，根据所述度量扩展值与基准度量值验证虚拟硬件是否具有完整性，若具有完整性，则引导虚拟机启动，若不具有完整性，则虚拟机不能启动。与现有技术相比，本发明专利技术通过检测虚拟硬件的合法性和完整性，进而引导虚拟机安全启动，提高了虚拟化平台的安全性。

A Method and System of Booting Virtual Machine Based on Trusted UEFI Firmware

The invention proposes a method and system for booting virtual machine based on trusted UEFI firmware, verifies the validity of PEI signature in SEC phase of UEFI, enters PEI phase if it is valid, initializes virtual hardware in PEI phase of UEFI, self-tests and enables vTPM, and obtains virtual hardware by measuring initialized virtual hardware in DEX phase of UEFI. In the BDS phase of UEFI, the integrity of the virtual hardware is verified according to the measurement expansion value and the benchmark measurement value. If it has integrity, the virtual machine is booted. If it does not have integrity, the virtual machine cannot start. Compared with the prior art, the invention improves the security of the virtualization platform by detecting the legitimacy and integrity of the virtual hardware, thereby guiding the safe start of the virtual machine.

【技术实现步骤摘要】
一种基于可信UEFI固件引导虚拟机启动的方法及系统
本专利技术涉及信息安全的可信计算
，具体地说是一种基于可信UEFI固件引导虚拟机启动的方法及系统。
技术介绍
随着虚拟化技术的逐渐成熟，越来越多的数据中心业务迁移到虚拟化平台下，虚拟化平台虽然具有按需扩展、动态调整、升级便捷等优点，但也出现更多的安全问题，虚拟化平台构建的虚拟硬件是否完整，虚拟硬件是否被恶意管理员篡改，虚拟机硬件是否被恶意软件攻击等问题也日益突出。目前，基于Legency(合法)BIOS(BasicInputOutputSystem，基本输入输出系统)有检测虚拟化平台硬件完整的方案，但由于BIOS本身的一些天然缺陷，如：扩展性差，安全性低、不支持大于2TB的地址引导，所以越来越多的企业和组织，正在寻求采用符合UEFI(统一的可扩展固件接口)的启动引导固件来代替LegencyBIOS。
技术实现思路
针对上述问题，本专利技术提出一种基于可信UEFI固件引导虚拟机启动的方法及系统，通过检测虚拟硬件的合法性和完整性，能够及时发现构建的虚拟硬件被恶意篡改或者攻击，提高了虚拟化平台的安全性。一方面，本专利技术提供了一种基于可本文档来自技高网...

【技术保护点】
1.一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，包括以下步骤：验证PEI签名的合法性，在签名合法时进入PEI阶段；对虚拟硬件进行初始化，对vTPM进行自测和使能；度量初始化后的虚拟硬件得到度量值，将所述度量值进行扩展得到度量扩展值，并将所述度量扩展值写入vTPM的PCR中；对比所述度量扩展值与虚拟硬件的基准度量值，验证虚拟硬件的完整性，在满足完整性要求时，引导虚拟机启动。

【技术特征摘要】
1.一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，包括以下步骤：验证PEI签名的合法性，在签名合法时进入PEI阶段；对虚拟硬件进行初始化，对vTPM进行自测和使能；度量初始化后的虚拟硬件得到度量值，将所述度量值进行扩展得到度量扩展值，并将所述度量扩展值写入vTPM的PCR中；对比所述度量扩展值与虚拟硬件的基准度量值，验证虚拟硬件的完整性，在满足完整性要求时，引导虚拟机启动。2.根据权利要求1所述的一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，验证PEI签名的合法性之前还包括：给虚拟机配置虚拟硬件；收集虚拟硬件的基准度量值。3.根据权利要求2所述的一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，所述虚拟硬件包括CPU、芯片和主板。4.根据权利要求2所述的一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，虚拟化管理平台收集PCR中的基准度量值，并将基准度量值写入vTPM的NVRAM中，所述基准度量值包括八个值，分别保存在八个度量扩展寄存器PCR0-PCR7中。5.根据权利要求4所述的一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，虚拟硬件的度量值有八个，对每个度量值分别进行扩展，得到八个度量扩展值，获取初始化后虚拟硬件的其一度量值，将度量值进行扩展得到度量扩展值，并将所述度量扩展值写入vTPM的PCR中的具体过程是：计算初始化后的虚拟硬件的哈希值，作为虚拟硬件的度量值；读取PCR中当前哈希值；将当前哈希值和度量值连接成一个总值；对总值做哈希运算得到度量扩展值，将度量扩展值写入vTPM的PCR中。6.根据权利要求5所述的一种基于可信UEFI固件引导虚拟机启动的方法，其特征是，对比所述度量扩展值与虚拟硬件的基准度量值，验证虚拟...

【专利技术属性】
技术研发人员：刘海伟，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41