本发明专利技术公开了一种可信虚拟机平台,包括:硬盘(11)、USBKey(10)和非特权虚拟机(6),还包括:可信硬件(1)、安全增强虚拟机监视器(2)、管理虚拟机(3)、通信虚拟机(4)和驱动虚拟机(5)。安全增强虚拟机监视器(2)分别与可信硬件(1)和管理虚拟机(3)双向连接。管理虚拟机(3)、驱动虚拟机(5)和通信虚拟机(4)均为特权虚拟机,管理虚拟机(3)创建、管理、销毁和迁移其他虚拟机;驱动虚拟机(5)提供虚拟机运行所需的驱动和虚拟可信密码模块的管理;通信虚拟机(4)负责内部虚拟机以及虚拟机平台之间的通信。本发明专利技术有效的保证了虚拟机平台运行环境的安全、可信,并实现了虚拟域间通信的有效管控。
【技术实现步骤摘要】
本专利技术涉及一种虚拟机平台,特别是一种可信虚拟机平台。
技术介绍
当前的虚拟机平台包括普通硬件平台、虚拟机监视器、一个特权虚拟机(或宿主 操作系统)和若干非特权虚拟机。但是当前的虚拟机平台多专注于功能而在安全性方面考 虑较少,给上层的应用带来很大的安全隐患。第一,当前虚拟机平台基于普通硬件平台实 现,缺乏硬件级的安全防护,物理根不可信,无法保证虚拟域的可信。第二,当前虚拟机平台 大都未采取安全防护措施,有的虽然做了安全上的考虑,但是一切安全手段都是基于软件 实现,保护能力有限。第三,整个虚拟机平台的安全过多的依赖于虚拟机监视器和特权虚拟 机的安全,而针对虚拟机监视器和特权虚拟机的安全机制明显不足。第四,缺乏虚拟机监视 器级的身份认证和权限控制,特权虚拟机的特权过于集中。第五,虚拟机之间的通信缺乏有 效的管控,一个虚拟机被攻击也可能影响至其他虚拟机。
技术实现思路
本专利技术的目的在于提供一种可信虚拟机平台,解决当前虚拟机平台安全机制不足 和虚拟域间通信缺乏有效管控的问题。一种可信虚拟机平台,包括硬盘、USBKey和非特权虚拟机,还包括可信硬件、安 全增强虚拟机监视器、管理虚拟机、通信虚拟机和驱动虚拟机;其中,可信硬件包括可信 主板、可信密码模块和可信BIOS ;安全增强虚拟机监视器包括身份认证模块、权限控制模 块、通信控制模块和虚拟机完整性度量模块;管理虚拟机包括非特权虚拟机管理模块、实 时加解密模块和完整性度量模块;驱动虚拟机包括硬件驱动模块和虚拟可信密码管理模 块;通信虚拟机包括通信管理模块、双向认证模块和数据包过滤模块;非特权虚拟机包括 通信客户端模块和虚拟可信密码模块。管理虚拟机、驱动虚拟机和通信虚拟机均为特权虚 拟机,管理虚拟机负责创建、管理、销毁和迁移其他虚拟机;驱动虚拟机负责提供虚拟机运 行所需的驱动和虚拟可信密码模块的管理;通信虚拟机负责内部虚拟机以及虚拟机平台之 间的通信。安全增强虚拟机监视器分别与可信硬件、管理虚拟机、通信虚拟机、驱动虚拟机双 向连接,可信硬件中的可信主板分别与可信密码模块、可信BIOS、USBKey和硬盘双向连接, 管理虚拟机与非特权虚拟机双向连接,管理虚拟机还可与多个非特权虚拟机双向连接;安 全增强虚拟机监视器中,身份认证模块、权限控制模块、通信控制模块和虚拟机完整性度量 模块顺次串联;管理虚拟机中,非特权虚拟机管理模块、实时加解密模块和完整性度量模块 顺次串联;通信虚拟机中,通信管理模块、双向认证模块和数据包过滤模块顺次串联;驱动 虚拟机中,硬件驱动模块与虚拟可信密码管理模块连接;非特权虚拟机中,通信客户端模块 与虚拟可信密码模块连接。计算机加电,可信硬件中的可信密码模块作为信任根首先启动,并对可信BIOS进行完整性度量,如果度量失败将可信BIOS进行恢复并重新进行度量。可信BIOS度量成功 后,系统加载BIOS正常启动。可信BIOS首先对安全增强虚拟机监视器进行度量,度量通过 后将控制权交给安全增强虚拟机监视器。安全增强虚拟机监视器首先调用身份认证模块 对当前用户基于USBKey进行身份认证,识别用户权限,然后调用权限控制模块进行权限控 制,通信控制模块根据权限进行通信控制,最后调用虚拟机完整性度量模块,分别对管理虚 拟机、驱动虚拟机和通信虚拟机进行度量,如果度量成功则启动管理虚拟机、驱动虚拟机和 通信虚拟机。当非特权虚拟机启动时,管理虚拟机中的完整性度量模块对非特权虚拟机进 行度量,如果度量成功则启动非特权虚拟机。至此,可信虚拟机平台实现了可信启动。在可信虚拟机平台启动之后,管理虚拟机、驱动虚拟机、通信虚拟机和非特权虚拟 机对硬件资源的访问通过驱动虚拟机的硬件驱动模块来实现。当驱动虚拟机的硬件驱动模 块出现异常时,进行自动重启,不会影响到其他未访问该硬件设备的非特权虚拟机的正常 运行。驱动虚拟机中的虚拟可信密码管理模块,负责对各非特权虚拟机中的虚拟可信密码 模块的管理,实现多个非特权虚拟机共享一个真实的物理可信密码模块,将基于物理信任 根的信任链在虚拟域进行传递,保证虚拟环境的可信。管理虚拟机对非特权虚拟机进行管理时,首先需识别当前的权限,用户权限下只 能进行开启或关闭非特权虚拟机的操作,直接拒绝创建、销毁或迁移非特权虚拟机的请求; 管理员权限下创建、管理、销毁和迁移非特权虚拟机。当前的权限为管理员权限时,管理虚 拟机接到创建、销毁和迁移非特权虚拟机的命令后,首先调用完整性度量模块对安全增强 虚拟机监视器进行度量,度量成功后,管理虚拟机向安全增强虚拟机监视器发送创建、销毁 或迁移的请求。安全增强虚拟机监视器在接到上述请求后,调用虚拟机完整性度量模块对 管理虚拟机进行度量,度量成功后执行上述请求。在度量的过程中,任何一方的度量失败都 表明虚拟机平台已经被篡改,不再可信,拒绝执行命令请求,可信虚拟机平台主动关闭。在 管理虚拟机工作的过程中,非特权虚拟机管理模块调用实时加解密模块,对非特权虚拟机 的镜像文件和关键数据进行透明加解密,保证了镜像文件始终以密文存储,增强了安全性。各虚拟机之间的通信由安全增强虚拟机监视器中的通信控制模块和通信虚拟机 共同来控制完成。通信控制模块负责管理虚拟机、驱动虚拟机和通信虚拟机之间的通信,并 严格控制非特权虚拟机之间的通信,用户权限下非特权虚拟机之间无法进行通信,管理员 权限下通过通信虚拟机实现非特权虚拟机之间的通信。管理员权限下,非特权虚拟机中的 任意两个需要通信时,假设通信双方为A方和B方,A方首先调用其中的通信客户端模块向 通信虚拟机发送与B方进行通信的请求,通信虚拟机中的通信管理模块接到通信请求后, 调用双向认证模块对通信虚拟机和A方进行双向认证,认证成功之后,双向认证模块对通 信虚拟机和B方进行双向认证,并将认证结果返回给A方,通信虚拟机、A方和B方都可信 的情况下,A方发送通信内容到通信虚拟机,通信虚拟机中的数据包过滤模块对数据包进行 检测,检测通过后将通信内容发送给B方,B方接收完通信内容后,返回成功,至此成功完成 A方和B方的通信。在认证的过程中,如果认证失败,表明认证失败方不再可信,立刻停止通 信,并且认证失败方自动重启。本专利技术以可信硬件为信任根,保证虚拟平台的可信启动;通过虚拟可信密码模块 管理模块将基于硬件信任根的信任链在虚拟域安全传递,保证虚拟环境的可信;将特权虚 拟机的特权进行分离,提高整个虚拟化平台的稳定性和抗攻击性;关键数据和镜像文件都以密文存储;创建、销毁和迁移虚拟机,在管理员权限下进行,虚拟机监视器和管理虚拟机 进行双向认证,提高虚拟机平台的安全性;虚拟机之间的通信借助于通信虚拟机进行,通信 之前进行双向认证,并对通信内容进行监控,防止信息泄露和恶意代码传递。附图说明图1 一种可信虚拟机平台的结构示意图。1.可信硬件2.安全增强虚拟机监视器3.管理虚拟机4.通信虚拟机5.驱动 虚拟机6.非特权虚拟机7.可信密码模块8.可信主板9.可信BIOS 10. USBKey 11.硬 盘12.身份认证模块13.权限控制模块14.通信控制模块15.虚拟机完整性度量模块 16.非特权虚拟机管理模块17.实时加解密模块18.完整性度量模块19.通信管理模 块20.双向认证模块21.数据包过滤模块22.硬件本文档来自技高网...
【技术保护点】
一种可信虚拟机平台,包括:硬盘(11)、USBKey(10)和非特权虚拟机(6),其特征在于还包括:可信硬件(1)、安全增强虚拟机监视器(2)、管理虚拟机(3)、通信虚拟机(4)和驱动虚拟机(5);其中,可信硬件(1)包括:可信主板(8)、可信密码模块(7)和可信BIOS(9);安全增强虚拟机监视器(2)包括:身份认证模块(12)、权限控制模块(13)、通信控制模块(14)和虚拟域完整性度量模块(15);管理虚拟机(3)包括:非特权虚拟机管理模块(16)、实时加解密模块(17)和完整性度量模块(18);驱动虚拟机(5)包括:硬件驱动模块(22)和虚拟可信密码管理模块(23);通信虚拟机(4)包括:通信管理模块(19)、双向认证模块(20)和数据包过滤模块(21);非特权虚拟机(6)包括通信客户端模块(24)和虚拟可信密码模块(25);管理虚拟机(3)、驱动虚拟机(5)和通信虚拟机(4)均为特权虚拟机,管理虚拟机(3)负责创建、管理、销毁和迁移其他虚拟机;驱动虚拟机(5)负责提供虚拟机运行所需的驱动和虚拟可信密码模块的管理;通信虚拟机(4)负责内部虚拟机以及虚拟机平台之间的通信;安全增强虚拟机监视器(2)分别与可信硬件(1)、管理虚拟机(3)、通信虚拟机(4)、驱动虚拟机(5)双向连接,可信硬件(1)中的可信主板(8)分别与可信密码模块(7)、可信BIOS(9)、USBKey(10)、硬盘(11)双向连接,管理虚拟机(3)与非特权虚拟机(6)双向连接,管理虚拟机(3)还可与多个非特权虚拟机(6)双向连接;安全增强虚拟机监视器(2)中,身份认证模块(12)、权限控制模块(13)、通信控制模块(14)、虚拟机完整性度量模块(15)顺次串联;管理虚拟机(3)中,非特权虚拟机管理模块(16)、实时加解密模块(17)和完整性度量模块(18)顺次串联;通信虚拟机中(4)的通信管理模块(19)、双向认证模块(20)与数据包过滤模块(21)顺次串联;驱动虚拟机(5)中的硬件驱动模块(22)和虚拟可信密码管理模块(23)连接;非特权虚拟机(6)中通信客户端模块(24)和虚拟可信密码模块(25)连接;计算机加电,可信硬件(1)中的可信密码模块(7)作为信任根首先启动,并对可信BIOS(9)进行完整性度量,如果度量失败将可信BIOS(9)进行恢复并重新进行度量;可信BIOS(9)度量成功后,系统加载可信BIOS(9)正常启动;可信BI...
【技术特征摘要】
一种可信虚拟机平台,包括硬盘(11)、USBKey(10)和非特权虚拟机(6),其特征在于还包括可信硬件(1)、安全增强虚拟机监视器(2)、管理虚拟机(3)、通信虚拟机(4)和驱动虚拟机(5);其中,可信硬件(1)包括可信主板(8)、可信密码模块(7)和可信BIOS(9);安全增强虚拟机监视器(2)包括身份认证模块(12)、权限控制模块(13)、通信控制模块(14)和虚拟域完整性度量模块(15);管理虚拟机(3)包括非特权虚拟机管理模块(16)、实时加解密模块(17)和完整性度量模块(18);驱动虚拟机(5)包括硬件驱动模块(22)和虚拟可信密码管理模块(23);通信虚拟机(4)包括通信管理模块(19)、双向认证模块(20)和数据包过滤模块(21);非特权虚拟机(6)包括通信客户端模块(24)和虚拟可信密码模块(25);管理虚拟机(3)、驱动虚拟机(5)和通信虚拟机(4)均为特权虚拟机,管理虚拟机(3)负责创建、管理、销毁和迁移其他虚拟机;驱动虚拟机(5)负责提供虚拟机运行所需的驱动和虚拟可信密码模块的管理;通信虚拟机(4)负责内部虚拟机以及虚拟机平台之间的通信;安全增强虚拟机监视器(2)分别与可信硬件(1)、管理虚拟机(3)、通信虚拟机(4)、驱动虚拟机(5)双向连接,可信硬件(1)中的可信主板(8)分别与可信密码模块(7)、可信BIOS(9)、USBKey(10)、硬盘(11)双向连接,管理虚拟机(3)与非特权虚拟机(6)双向连接,管理虚拟机(3)还可与多个非特权虚拟机(6)双向连接;安全增强虚拟机监视器(2)中,身份认证模块(12)、权限控制模块(13)、通信控制模块(14)、虚拟机完整性度量模块(15)顺次串联;管理虚拟机(3)中,非特权虚拟机管理模块(16)、实时加解密模块(17)和完整性度量模块(18)顺次串联;通信虚拟机中(4)的通信管理模块(19)、双向认证模块(20)与数据包过滤模块(21)顺次串联;驱动虚拟机(5)中的硬件驱动模块(22)和虚拟可信密码管理模块(23)连接;非特权虚拟机(6)中通信客户端模块(24)和虚拟可信密码模块(25)连接;计算机加电,可信硬件(1)中的可信密码模块(7)作为信任根首先启动,并对可信BIOS(9)进行完整性度量,如果度量失败将可信BIOS(9)进行恢复并重新进行度量;可信BIOS(9)度量成功后,系统加载可信BIOS(9)正常启动;可信BIOS(9)首先对安全增强虚拟机监视器(2)进行度量,度量通过后将控制权交给安全增强虚拟机监视器(2);安全增强虚拟机监视器(2)首先调用身份认证模块(12)对当前用户基于USBKey(11)进行身份认证,识别用户权限,然后调用权限控制模块(13)进行权限控制,通信控制模块(14)根据权限进行通信控制,最后调用虚拟机完整性度量模块(15),分别对管理虚拟机(3)、驱动虚拟机(4)和通信虚拟机(5)进行度量,如果度量成功则启动管理虚拟机(3)、驱动虚拟机(4)和通信虚拟机(5);当非特权虚拟机(6)启动时,管理虚拟机(3)中的完整性度量模块(18)对非特...
【专利技术属性】
技术研发人员:段翼真,王晓程,王斌,杜中平,李红,曾颖明,陈志浩,
申请(专利权)人:中国航天科工集团第二研究院七○六所,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。