【技术实现步骤摘要】
一种云环境内信任链的建立方法及系统
本专利技术涉及虚拟云安全领域,具体涉及一种云环境内信任链的建立方法及系统。
技术介绍
目前,针对现有云安全方案存在的一系列安全方面的问题,通过可信计算技术加强云环境安全机制的可信性,保障云安全机制的可靠运行,已经成为国内外云产品开发商、云安全开发商和云架构规范制定者的共识。可信计算是近二十年来兴起的一种新型安全技术,其核心思想是:从物理上安全的可信根出发,在计算环境中构筑从可信根到应用的完整可信链条,以向系统中的安全机制提供可信度量、可信存储、可信报告等可信支撑功能,支持安全机制的可信运行。对云环境的物理机节点而言,信任根一般使用镶嵌在系统主板上,有物理保护功能的安全芯片。信任链的传递则是以密码技术为基础,以信任根为可信源头,可信主板为平台,可信基础支撑软件为核心,实现信任链从信任根到整个网络环境的扩展。云环境的物理机节点具备完整的信任链,而对云环境的虚拟机节点而言,依然无法保障虚拟机环境的可信性,如何将物理机节点的信任链传递到虚拟机节点内部,以保障虚拟机环境的可信性是目前需要解决的技术问题。
技术实现思路
针对现有技术中存在的缺陷...
【技术保护点】
1.一种云环境内信任链的建立方法,其特征在于,包括:S1、以TPCM为起始点,建立宿主机的信任链;S2、当所述宿主机上运行的虚拟机启动时,通过虚拟机监视器调用所述虚拟机对应的虚拟TPCM作为所述虚拟机的可信根,建立所述虚拟机的信任链;S3、将所述宿主机的信任链与每个所述虚拟机的信任链进行连接。
【技术特征摘要】
1.一种云环境内信任链的建立方法,其特征在于,包括:S1、以TPCM为起始点,建立宿主机的信任链;S2、当所述宿主机上运行的虚拟机启动时,通过虚拟机监视器调用所述虚拟机对应的虚拟TPCM作为所述虚拟机的可信根,建立所述虚拟机的信任链;S3、将所述宿主机的信任链与每个所述虚拟机的信任链进行连接。2.根据权利要求1所述的一种云环境内信任链的建立方法,其特征在于,步骤S1包括:S11、在所述宿主机加电后,所述宿主机的BIOS启动之前,所述TPCM对所述BIOS的代码及其配置信息进行度量,度量通过后将控制权转移给所述BIOS;S12、当控制权转移给所述BIOS之后,执行所述BIOS,所述BIOS对所述宿主机的OSLoader代码进行度量,度量通过后将控制权转移给所述宿主机的OSLoader;S13、当控制权转移给所述宿主机的OSLoader代码之后,执行所述宿主机的OSLoader代码,所述宿主机的OSLoader代码对所述宿主机的操作系统内核进行度量,度量通过后将控制权转移给所述宿主机的操作系统;S14、当控制权转移给所述宿主机的操作系统之后,执行所述宿主机的操作系统,所述宿主机的操作系统对所述宿主机的可信软件基进行度量,度量通过后将控制权转移给所述宿主机的可信软件基;S15、当控制权转移给所述宿主机的可信软件基之后,所述宿主机的可信软件基对所述宿主机的后续组件、应用及各种类型的可执行文件进行度量,所述宿主机的信任链建立完成。3.根据权利要求1所述的一种云环境内信任链的建立方法,其特征在于,步骤S2包括:S21、当虚拟机启动时,通过虚拟机监视器调用所述虚拟机对应的虚拟TPCM,所述虚拟TPCM对所述虚拟机的BIOS的代码和内存区域进行度量,度量通过后将控制权转移给所述虚拟机的BIOS;S22、当控制权转移给所述虚拟机的BIOS之后,执行所述虚拟机的BIOS,所述虚拟机的BIOS对所述虚拟机的OSLoader代码进行度量,度量通过后将控制权转移给所述虚拟机的OSLoader;S23、当控制权转移给所述虚拟机的OSLoader代码之后,执行所述虚拟机的OSLoader代码,所述虚拟机的OSLoader代码对所述虚拟机的操作系统进行度量,度量通过后将控制权转移给所述虚拟机的操作系统;S24、当控制权转移给所述虚拟机的操作系统之后,执行所述虚拟机的操作系统,所述虚拟机的操作系统对所述虚拟机的可信软件基进行度量,度量通过后将控制权转移给所述虚拟机的可信软件基;S25、当控制权转移给所述虚拟机的可信软件基之后,所述虚拟机的可信软件基对所述虚拟机的后续组件、应用及各种类型的可执行文件进行度量,所述虚拟机的信任链建立完成。4.根据权利要求1所述的一种云环境内信任链的建立方法,其特征在于,步骤S3包括:S31、在虚拟机启动之前,所述宿主机的可信软件基对所述虚拟机监视器的代码进行度量,度量通过后将控制权转...
【专利技术属性】
技术研发人员:孙瑜,杨秩,王涛,王强,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。