一种可信虚拟化系统

本发明属于虚拟云安全领域，具体涉及一种可信虚拟化系统。

背景技术：

随着信息技术的高速发展，危害信息安全的事件也不断发生，信息安全形势日益严峻。国家互联网应急中心(cncert)发布的2020年3月互联网安全威胁报告中指出，境内感染网络病毒的终端数为近151万个，国家信息安全漏洞共享平台(cnvd)收集整理信息系统安全漏洞2076个，其中包含高危漏洞765个、可被利用来实施远程攻击的漏洞1591个。系统安全问题会影响到国家安全、经济发展、社会稳定。

虚拟化技术是云计算技术的重要支撑技术。利用这种技术，可以在一台计算机(或称物理机、宿主机)上同时运行多个逻辑计算机(或称虚拟机、客户机)，每个逻辑计算机上可以同时运行不同的操作系统和应用程序，并且做到一定的隔离性，互不干扰。虚拟机化技术的出现带来了强大的计算资源灵活性、可扩展性，给使用、开发、运维带来巨大便利。此外，虚拟化技术与生俱来的隔离属性提高了应用程序运行环境的安全性，但这种隔离性也带来了虚拟机内部无法受到物理安全硬件管控的问题。

在当前的学术界和业界，基于硬件可信基的系统安全防护技术已经较为完善，但基于硬件可信基的技术依然存在一些问题，尤其是其缺乏对虚拟化系统和虚拟机内部的防护。

技术实现要素：

针对高安全要求的虚拟化系统防御问题，本发明提出了一种可信虚拟化系统。本发明将防御技术从硬件和宿主机操作系统延伸到虚拟机内部，覆盖虚拟机的整个生命周期，从而提升虚拟机内部和虚拟化系统整体的安全性。

本发明的技术方案为：

一种可信虚拟化系统，其特征在于，包括宿主机和运行于该宿主机上的虚拟机管理器；其中，

所述宿主机中包括内置安全芯片，用于对宿主机系统内存中的设定对象定期进行主动的动态度量并将度量结果保存到该内置安全芯片上的非易失性存储器中；

所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟bios、一虚拟度量设备和一虚拟机可信迁移模块；其中，

所述虚拟bios，用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量，确保虚拟机核心文件的完整性以及虚拟机在启动过程中的可信；

所述虚拟度量设备，用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量，并将度量结果存储到所述内置安全芯片上；

所述虚拟机可信迁移模块，用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中，保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。

进一步的，所述虚拟bios执行度量过程中，主动获取虚拟机操作系统镜像中设定的虚拟机核心文件并计算其度量值，然后将度量值与存放在内置安全芯片中的基准度量值进行对比，如果一致，则判定虚拟机核心文件完整且虚拟机在启动过程可信。

进一步的，所述虚拟度量设备在虚拟机操作系统启动的过程中从虚拟机度量设备驱动获取到虚拟机的度量对象并计算度量值，检查内置安全芯片中是否存有度量基准值，若没有，则将当前计算的度量值作为度量基准值存入内置安全芯片中；若有，则将当前计算的度量值与对应度量基准值进行对比，如果一致，则判定为系统可信；如果不一致，则将异常日志写入内置安全芯片非易失性存储上的日志文件中。

进一步的，所述虚拟机可信迁移模块在收到迁移命令后，将源虚拟机内存、虚拟度量设备状态信息加密发送至目标虚拟机中，并将源虚拟机的虚拟bios存储在内置安全芯片非易失性存储上的文件、源虚拟机的虚拟度量设备存储在内置安全芯片非易失性存储上的文件传输至目标虚拟机中。

进一步的，目标虚拟机的所述虚拟机可信迁移模块接收到迁移信息后启动目标虚拟机，恢复可信状态，并启动虚拟度量设备对目标虚拟机系统内存中的设定重要对象进行主动的动态度量。

本发明主要利用内置安全芯片的可信基确保宿主机操作系统、虚拟机管理器和虚拟机内部的可信，实现虚拟机可信启动、运行时可信度量和可信迁移，保证虚拟化系统的整体运行安全可信。

本发明提出了一种可信虚拟化系统，其特征在于，包括：

1)可信服务器硬件环境，所述可信服务器硬件中包括内置安全芯片，对宿主机系统内存中的重要对象进行主动的动态度量，即定期获取度量对象内容、计算度量值、与基准度量值进行对比，并在内置安全芯片上的非易失性存储器中记录度量日志。

2)虚拟机管理器，所述虚拟机管理器管理了虚拟机执行的整个生命周期，通过虚拟bios、虚拟度量设备、虚拟机可信迁移模块等组件确保在虚拟机执行的不同阶段中度量操作的连续性，从而确保安全可信。

所述内置安全芯片为服务器的独立安全设备，通过单向物理隔离保障安全性，先于系统启动，是整个系统的可信根，能够对系统的整个引导启动过程和运行过程进行安全度量，防止或监测非法篡改。

所述虚拟机管理器包括虚拟bios组件，所述虚拟bios在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量，确保虚拟机核心文件的完整性，确保虚拟机在启动过程中的可信。

所述虚拟机管理器包括虚拟度量设备组件，所述虚拟度量设备在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量，并在内置安全芯片上记录日志。

所述虚拟机管理器包括虚拟机可信迁移模块，在虚拟机迁移过程中传输源虚拟机的虚拟度量设备设定的重要信息(比如源虚拟机内存、虚拟度量设备状态信息和度量值)至目标虚拟机的虚拟度量设备中，保证迁移前后的可信启动信息和可信度量信息的一致性，保证迁移前后可信度量操作的连续性。

与现有技术相比，本发明的有益效果如下：

(1)本发明提出的可信虚拟化系统，利用硬件提供的可信物理机环境，通过虚拟机管理器所包含的虚拟bios、虚拟度量设备、可信迁移模块分别负责虚拟机的启动、运行、迁移等状态，将度量操作覆盖了虚拟机的整个生命周期。

(2)本发明提出的可信虚拟化系统能够保证虚拟机在不同状态之间转移前后度量操作的连续性，防止虚拟机在状态转移间隙时完整性遭到破坏，从而进一步确保虚拟化系统的整体安全性。

附图说明

图1为可信虚拟化系统的架构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。可以理解的是，所描述的实施例仅是本发明一部分，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实现本发明的一种具体实施方法如下：

可信虚拟化系统架构如图1所示，主要包括：

1)可信服务器硬件环境

宿主机硬件中包括内置安全芯片。该设备为位于宿主机主板上pci插槽的一块特殊硬件设备。该设备包含了独立的处理器、内存、非易失性存储，可以对宿主机系统内存中的重要对象进行主动动态度量，并在内置安全芯片上的非易失性存储中记录日志。

2)虚拟机管理器

虚拟机管理器包括宿主机操作系统上的部分内核模块和部分应用程序，用于管理虚拟机执行的整个生命周期。

在本发明的一实施例中，虚拟机管理器又包括：

2.1)虚拟bios，用于在虚拟机启动阶段引导虚拟机操作系统镜像，且在过程中对虚拟机操作系统镜像中关键文件(内核镜像等)执行度量操作。

2.2)虚拟度量设备，用于在虚拟机执行过程中对虚拟机系统内存中的设定重要对象(内核符号表等)执行主动动态度量操作。在虚拟机系统启动的过程

2.3)可信迁移模块，用于保证虚拟机迁移过程和前迁移后的可信。

在本发明的一实施例中，虚拟bios在执行度量过程中，主动获取虚拟机操作系统镜像中的虚拟机核心文件，计算度量值，与存放在内置安全芯片中的基准度量值进行对比。度量值匹配失败时将异常日志写入内置安全芯片非易失性存储上的日志文件中。

在本发明的一实施例中，虚拟度量设备在虚拟机操作系统启动的过程中从虚拟机度量设备驱动获取到虚拟机的度量对象并计算度量值，检查内置安全芯片中是否存有度量基准值，若没有，则以上述度量值作为度量基准值存入；若有，则与上述度量值进行对比，度量值匹配失败时将异常日志写入内置安全芯片非易失性存储上的日志文件中。在虚拟机运行过程中，虚拟度量设备定时主动读取虚拟机内存中的度量对象，进行度量值计算，与度量基准值进行对比，如果一致，则判定为系统可信；如果不一致，则将异常日志(包括异常对象信息、时间戳等)写入内置安全芯片非易失性存储上的日志文件中。

在本发明的一实施例中，虚拟机可信迁移模块在接收到迁移命令后，将源虚拟机内存、虚拟度量设备状态信息加密发送至迁移目的虚拟机中，并将虚拟bios和虚拟度量设备存储在内置安全芯片非易失性存储上的文件直接通过两台物理服务器各自的内置安全芯片之间的加密链路安全发送。

在本发明的一实施例中，可信迁移模块在迁移目标虚拟机上接收到所有信息后即启动迁移目标虚拟机，恢复可信状态，并立即开始虚拟度量设备的动态主动度量操作。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。