【技术实现步骤摘要】
一种安全保护方法及电子设备
本申请涉及安全
,尤其涉及一种安全保护方法及电子设备。
技术介绍
虚拟机(VirtualMachine,VM)具有安全启动(SecureBoot)功能,虚拟机的SecureBoot功能是通过虚拟机监视模块(Hypervisor)虚拟出一个统一可扩展固件接口(UnifiedExtensibleFirmwareInterface,UEFI)固件来实现。对于虚拟机的UEFI固件(称为虚拟UEFI固件)来说,实现其SecureBoot功能的核心基础是公钥证书,然而,虚拟机的公钥证书是通过文件的形式存储在主机系统中的,该公钥证书非常容易受到攻击和篡改。一旦公钥证书被篡改,攻击者就可以在虚拟机中任意安装操作系统和驱动,后果不堪设想。
技术实现思路
本申请实施例提供了一种安全保护方法及电子设备、及计算机存储介质。本申请实施例提供的安全保护方法,包括:向物理机的主板发送创建指令,所述创建指令用于触发所述物理机的主板创建一个或多个虚拟密钥;接收所述物理机的主...
【技术保护点】
1.一种安全保护方法,所述方法包括:/n向物理机的主板发送创建指令,所述创建指令用于触发所述物理机的主板创建一个或多个虚拟密钥;/n接收所述物理机的主板发送的所述一个或多个虚拟密钥中的目标虚拟密钥,将所述目标虚拟密钥加载在虚拟机上,其中,所述目标虚拟密钥用于对通过所述虚拟机加载的对象进行安全验证。/n
【技术特征摘要】
1.一种安全保护方法,所述方法包括:
向物理机的主板发送创建指令,所述创建指令用于触发所述物理机的主板创建一个或多个虚拟密钥;
接收所述物理机的主板发送的所述一个或多个虚拟密钥中的目标虚拟密钥,将所述目标虚拟密钥加载在虚拟机上,其中,所述目标虚拟密钥用于对通过所述虚拟机加载的对象进行安全验证。
2.根据权利要求1所述的方法,其中,所述物理机的内核中设置有内核驱动模块,所述内核驱动模块用于提供虚拟密钥创建接口;
所述向物理机的主板发送创建指令,包括:
调用所述内核驱动模块提供的虚拟密钥创建接口,向物理机的主板发送创建指令。
3.根据权利要求2所述的方法,其中,所述方法还包括:
调用所述内核驱动模块提供的虚拟密钥创建接口,向物理机的主板发送删除指令,所述删除指令用于触发所述物理机的主板执行以下一种操作:
删除全部虚拟密钥;
删除指定的一个或多个虚拟密钥。
4.根据权利要求1至3中任一项所述的方法,其中,所述虚拟机的虚拟主板上具有虚拟UEFI固件;
所述将所述目标虚拟密钥加载在虚拟机上,包括:
创建虚拟机时,将所述目标虚拟密钥加载在所述虚拟机的虚拟UEFI固件上。
5.一种安全保护方法,所述方法包括:
接收虚拟机监视模块发送的创建指令;
响应所述创建指令,在物理机的主板上创建一个或多个虚拟密钥;
发送所述一个或多个虚拟密钥中的目标虚拟密钥,其中,所述目标虚拟密钥能够加载在虚拟机上,对通过所述虚拟机加载的对象进行安全验证。
6.根据权利要求5所述的方法,其中,所述物理机的内核中设置有内核驱动模块,所述内核驱动模块用于为提供虚拟密钥创建接口;
所述接收虚拟机监视模块发送...
【专利技术属性】
技术研发人员:郭双拴,闻征涛,
申请(专利权)人:联想北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。