本发明专利技术公开了一种虚拟机安全认证方法及系统,涉及虚拟机安全认证技术领域,该方法包括以下步骤:基于virtio通用框架,分别建立宿主机与各虚拟机之间的安全认证通道,且各安全认证通道相互独立;各虚拟机进行TPM安全策略配置初始化;对各虚拟机进行可信安全认证。本发明专利技术该方法基于virtio通用框架,建立安全认证通道,为虚拟机安全认证工作提供保密可靠以及适用面广的优势。适用面广的优势。适用面广的优势。
【技术实现步骤摘要】
一种虚拟机安全认证方法及系统
[0001]本专利技术涉及虚拟机安全认证
,具体涉及一种虚拟机安全认证方法及系统。
技术介绍
[0002]随着云计算的发展,基于云化网络的各种应用和云平台的发展,基于虚拟化的云环境已经处处可见,大量的专用硬件设备被虚拟机替代,应用APP在虚拟机里运行,云化网络已经大量应用到我们日常生活当中,而云平台的安全性关系到虚拟机的安全性和用户应用数据的安全性,如何保证云平台的安全性是制约云计算和虚拟化应用的关键。
[0003]基于TPM芯片的服务器可信认证,是目前服务器虚拟化最常用的云平台可信认证方法,通过宿主机X86服务器上的TPM芯片,在HOST的BIOS和HOST内核里进行TPM的安全认证,保障X86宿主机服务器的可信启动,而虚拟机的可信启动,一般需要通过VTPM虚拟机的TPM芯片来实现,由虚拟化层为每个虚拟机提供一个虚拟的TPM芯片进行虚拟机的可信启动;
[0004]但由于云平台管理的虚拟机数量众多,需要统一管理VTPM的可信策略和可信行为,设计一个有效的基于VTPM的虚拟机安全认证系统是解决虚拟机可信安全问题的关键。
[0005]而virtio是半虚拟化hypervisor中位于设备之上的抽象层,基于virtio建立的通信通道是隔离和安全的,且其适用范围广;
[0006]因此,急需一种结合virtio的虚拟机安全认证方法来解决当前的技术问题。
技术实现思路
[0007]针对现有技术中存在的缺陷,本专利技术的目的在于提供一种虚拟机安全认证方法及系统,该方法基于virtio通用框架,建立安全认证通道,为虚拟机安全认证工作提供保密可靠以及适用面广的优势。
[0008]为达到以上目的,本专利技术采取的技术方案是:
[0009]第一方面,本专利技术公开一种虚拟机安全认证方法,所述方法包括以下步骤:
[0010]基于virtio通用框架,分别建立宿主机与各虚拟机之间的安全认证通道,且各安全认证通道相互独立;
[0011]各所述虚拟机进行TPM安全策略配置初始化;
[0012]对各所述虚拟机进行可信安全认证。
[0013]在上述技术方案的基础上,基于virtio框架,分别建立宿主机与各虚拟机之间的安全认证通道,包括宿主机端建立流程以及虚拟机端建立流程,所述宿主机端建立流程包括以下步骤:
[0014]所述宿主机加载物理TPM驱动,增加virtio初始化接口,注册virtio服务端socket初始化接口;
[0015]所述宿主机监听所述虚拟机的VTPM socket连接请求以及TPM的配置下发socket
连接请求;
[0016]所述虚拟机端建立流程包括以下步骤:
[0017]所述虚拟机加载VTPM驱动,进行VTPM设备初始化;
[0018]注册virtio客户端socket初始化接口;
[0019]向所述宿主机发送所述VTPM socket连接请求。
[0020]在上述技术方案的基础上,基于virtio框架,分别建立宿主机与各虚拟机之间的安全认证通道,还包括以下步骤:
[0021]响应于所述VTPM socket连接请求,所述宿主机与所述虚拟机连接成功,完成安全认证通道的建立;
[0022]响应于所述VTPM socket连接请求,所述宿主机与所述虚拟机连接超时,记录连接超时事件。
[0023]在上述技术方案的基础上,所述方法还包括以下步骤:
[0024]响应于所述TPM的配置下发socket连接请求,所述宿主机向所述虚拟机下发TPM安全策略配置,所述虚拟机根据所述TPM安全策略配置进行TPM安全策略初始化;
[0025]响应于所述TPM的配置下发socket连接请求,所述宿主机向所述虚拟机下发TPM安全策略配置,所述虚拟机接收所述TPM安全策略配置失败,记录配置接收失败事件。
[0026]在上述技术方案的基础上,所述对各所述虚拟机进行可信安全认证具体包括以下步骤:
[0027]将第一PCR寄存器数值与各第二PCR寄存器数值进行对比,并结合预设的安全认证策略对各所述虚拟机进行可信安全认证;
[0028]其中,所述第一PCR寄存器数值为所述宿主机的TPM的PCR寄存器的值,所述第二PCR寄存器数值为所述虚拟机的VTPM的PCR寄存器的值。
[0029]在上述技术方案的基础上,若所述第一PCR寄存器数值不小于第二PCR寄存器数值,结合预设的安全认证策略,判定所述第二PCR寄存器数值对应的虚拟机通过可信安全认证。
[0030]在上述技术方案的基础上,所述方法还包括安全认证预备流程,所述安全认证预备流程包括以下步骤:
[0031]启动安全认证数据库,其用于查询以及记录安全认证事件;
[0032]启动日志数据库,其用于记录以及查询文件下发事件;
[0033]向所述虚拟机下发所述安全认证策略。
[0034]在上述技术方案的基础上,所述方法还包括以下步骤:
[0035]响应于所述安全认证策略的下发失败,在所述日志数据库中记录安全认证策略下发失败事件。
[0036]第二方面,本专利技术还公开一种虚拟机安全认证系统,所述系统包括:
[0037]安全认证通道建立单元,其用于基于virtio通用框架,分别建立宿主机与各虚拟机之间的安全认证通道,且各安全认证通道相互独立;
[0038]TPM安全策略配置单元,其用于根据所述宿主机下发的TPM安全策略配置,对各所述虚拟机对进行TPM安全策略配置初始化;
[0039]可信安全认证单元,其用于将第一PCR寄存器数值与各所述虚拟机的第二PCR寄存
器数值进行对比,并结合预设的安全认证策略对各所述虚拟机进行可信安全认证;
[0040]其中,各所述安全认证通道相互独立,所述第一PCR寄存器数值为所述宿主机的TPM的PCR寄存器的值,所述第二PCR寄存器数值为所述虚拟机的VTPM的PCR寄存器的值。
[0041]在上述技术方案的基础上,所述安全认证通道建立单元包括:
[0042]宿主机端通道建立单元,其用于在所述宿主机内加载物理TPM驱动,增加virtio初始化接口,注册virtio服务端socket初始化接口,并监听所述虚拟机的VTPM socket连接请求以及TPM的配置下发socket连接请求;
[0043]虚拟机端通道建立单元,其用于在所述虚拟机加载VTPM驱动,进行VTPM设备初始化,并注册virtio客户端socket初始化接口,向所述宿主机发送所述VTPM socket连接请求。
[0044]与现有技术相比,本专利技术的优点在于:
[0045]本专利技术基于virtio通用框架,建立安全认证通道,为虚拟机安全认证工作提供保密可靠以及适用面广的优势。
附图说明
[0046]图1为本专利技术实施例中虚拟机安全认证方法的步骤流程图;
[0047]图2为本发本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种虚拟机安全认证方法,其特征在于,所述方法包括以下步骤:基于virtio通用框架,分别建立宿主机与各虚拟机之间的安全认证通道,且各安全认证通道相互独立;各所述虚拟机进行TPM安全策略配置初始化;对各所述虚拟机进行可信安全认证。2.如权利要求1所述的方法,其特征在于,基于virtio框架,分别建立宿主机与各虚拟机之间的安全认证通道,包括宿主机端建立流程以及虚拟机端建立流程,所述宿主机端建立流程包括以下步骤:所述宿主机加载物理TPM驱动,增加virtio初始化接口,注册virtio服务端socket初始化接口;所述宿主机监听所述虚拟机的VTPM socket连接请求以及TPM的配置下发socket连接请求;所述虚拟机端建立流程包括以下步骤:所述虚拟机加载VTPM驱动,进行VTPM设备初始化;注册virtio客户端socket初始化接口;向所述宿主机发送所述VTPM socket连接请求。3.如权利要求2所述的方法,其特征在于,基于virtio框架,分别建立宿主机与各虚拟机之间的安全认证通道,还包括以下步骤:响应于所述VTPM socket连接请求,所述宿主机与所述虚拟机连接成功,完成安全认证通道的建立;响应于所述VTPM socket连接请求,所述宿主机与所述虚拟机连接超时,记录连接超时事件。4.如权利要求2所述的方法,其特征在于,所述方法还包括以下步骤:响应于所述TPM的配置下发socket连接请求,所述宿主机向所述虚拟机下发TPM安全策略配置,所述虚拟机根据所述TPM安全策略配置进行TPM安全策略初始化;响应于所述TPM的配置下发socket连接请求,所述宿主机向所述虚拟机下发TPM安全策略配置,所述虚拟机接收所述TPM安全策略配置失败,记录配置接收失败事件。5.如权利要求1所述的方法,其特征在于,所述对各所述虚拟机进行可信安全认证具体包括以下步骤:将第一PCR寄存器数值与各第二PCR寄存器数值进行对比,并结合预设的安全认证策略对各所述虚拟机进行可信安全认证;其中,所述第一PCR寄存器数值为所述宿主机的TPM的PCR寄...
【专利技术属性】
技术研发人员:邓艳山,
申请(专利权)人:武汉烽火信息集成技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。