一种保护虚拟机安全的方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别涉及一种保护虚拟机的安全的方法及装置。
【背景技术】
[0002]虚拟化技术是指利用计算机软件服务将计算机IT(Informat1n Technology,信息技术)物理资源模拟成逻辑资源,从而将IT资源逻辑抽象成资源池。把物理资源抽象成资源池后,可以对各种分散的资源进行集中的监控、管理、和维护。虚拟化技术具有以下优势:简化IT操作,提高管理效率;整合服务,使得资源利用率最大化;集中数据中心管理;提高业务系统连续性等。随着虚拟化技术的快速发展,对虚拟机的安全保护也越来越重要。
[0003]目前,传统的安全措施和工具都是基于物理机开发的,而虚拟化技术打破了传统的主机、网络边界的划分,在虚拟化环境下,传统的安全机制不再适用。
【发明内容】
[0004]有鉴于此,本发明提供了一种保护虚拟机的安全的方法及装置,能够保护虚拟机的安全。
[0005]一方面,本发明提供了一种保护虚拟机的安全的方法,包括:预先确定虚拟机镜像中待度量的关键镜像文件,预先设置安全度量模块,还包括:
[0006]S1:加载当前虚拟机的当前虚拟机镜像;
[0007]S2:通过Libvirt接口调用所述安全度量模块,通过所述安全度量模块度量当前虚拟机镜像中的当前关键镜像文件;
[0008]S3:根据当前关键镜像文件的度量结果,确定是否启动当前虚拟机。
[0009]进一步地,在所述SI之前,还包括:预先设置每个当前关键镜像文件的第一哈希基准值;
[0010]所述S2中所述度量当前虚拟机镜像中的当前关键镜像文件,包括:
[0011]对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到每个当前关键镜像文件的SHA-1哈希值;
[0012]所述S3,包括:
[0013]判断是否满足每个当前关键镜像文件的SHA-1哈希值与对应的第一哈希基准值均相等,如果是,则确定启动当前虚拟机,否则,确定不启动当前虚拟机。
[0014]进一步地,所述预先确定虚拟机镜像中待度量的关键镜像文件,包括:预先设置存储虚拟机镜像中待度量的关键镜像文件的信息的列表;
[0015]所述S2中所述度量当前虚拟机镜像中的当前关键镜像文件,包括:遍历所述列表,根据待度量的关键镜像文件的信息,确定当前关键镜像文件,度量当前虚拟机镜像中的当前关键镜像文件。
[0016]进一步地,在所述SI之前,还包括:预先设置当前关键镜像文件的第二哈希基准值;
[0017]所述S2中所述度量当前虚拟机镜像中的当前关键镜像文件,包括:
[0018]对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到当前关键镜像文件的SHA-1哈希值;
[0019]所述S3,包括:
[0020]判断所有当前关键镜像文件的SHA-1哈希值之和与所述第二哈希基准值是否相等,如果是,则确定启动当前虚拟机,否则,确定不启动当前虚拟机。
[0021]进一步地,所述预先设置安全度量模块,包括:通过Libvirt库设置所述安全度量丰旲块。
[0022]另一方面,本发明提供了一种保护虚拟机的安全的装置,包括:
[0023]第一确定单元,用于确定虚拟机镜像中待度量的关键镜像文件;
[0024]第一设置单元,用于设置安全度量模块;
[0025]加载单元,用于加载当前虚拟机的当前虚拟机镜像;
[0026]度量单元,用于通过Libvirt接口调用所述安全度量模块,通过所述安全度量模块度量当前虚拟机镜像中的当前关键镜像文件;
[0027]第二确定单元,用于根据当前关键镜像文件的度量结果,确定是否启动当前虚拟机。
[0028]进一步地,还包括:第二设置单元,用于设置每个当前关键镜像文件的第一哈希基准值;
[0029]所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到每个当前关键镜像文件的SHA-1哈希值;
[0030]所述第二确定单元,用于判断是否满足每个当前关键镜像文件的SHA-1哈希值与对应的第一哈希基准值均相等,当判断结果为是时,则确定启动当前虚拟机,当判断结果为否时,确定不启动当前虚拟机。
[0031]进一步地,所述第一确定单元,用于设置存储虚拟机镜像中待度量的关键镜像文件的信息的列表;
[0032]所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:遍历所述列表,根据待度量的关键镜像文件的信息,确定当前关键镜像文件,度量当前虚拟机镜像中的当前关键镜像文件。
[0033]进一步地,还包括:第三设置单元,用于设置当前关键镜像文件的第二哈希基准值;
[0034]所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到当前关键镜像文件的SHA-1哈希值;
[0035]所述第二确定单元,用于判断所有当前关键镜像文件的SHA-1哈希值之和与所述第二哈希基准值是否相等,当判断结果为是时,确定启动当前虚拟机,当判断结果为否时,确定不启动当前虚拟机。
[0036]进一步地,所述第一设置单元,用于通过Libvirt库设置所述安全度量模块。
[0037]本发明提供了一种保护虚拟机的安全的方法及装置,在启动虚拟机之前,先对虚拟机的关键镜像文件进行度量,根据度量结果来确定关键镜像文件是否被篡改过,当关键镜像文件被篡改过时,则不启动当前虚拟机,当关键镜像文件没有被篡改过时,则启动当前虚拟机,通过在虚拟机启动前对虚拟机镜像进行检测,能够对保护虚拟机的安全,通过Libvirt接口调用预先设置的安全度量模块来实现对当前关键镜像文件度量,能够适用于多种虚拟平台下的虚拟机,更加灵活方便。
【附图说明】
[0038]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0039]图1是本发明一实施例提供的一种保护虚拟机的安全的方法的流程图;
[0040]图2是一种Libvirt库的层次结构示意图;
[0041]图3是一种KVM虚拟机的系统架构示意图;
[0042]图4是本发明一实施例提供的另一种保护虚拟机的安全的方法的流程图;
[0043]图5是本发明一实施例提供的一种保护虚拟机的安全的装置的示意图。
【具体实施方式】
[0044]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0045]如图1所示,本发明实施例提供了一种保护虚拟机的安全的方法,该方法可以包括以下步骤:
[0046]SO:预先确定虚拟机镜像中待度量的关键镜像文件,预先设置安全度量模块;
[0047]S1:加载当前虚拟机的当前虚拟机镜像;
[0048]S2:通过Libvirt接口调用所述安全度量模块,通过所述安全度量模块度量当前虚拟机镜像中的当前关键镜像文件;
[0049]S3:根据当前关键镜像文件的度量结果,确定是否启动当前虚拟机。
[0050]本发明实施例提供了一种保护虚拟机的安全的方法,在启动虚拟机之前,先对虚拟机的关键镜像文件进行度量,根据度量结果来确定关键镜像文件是否被篡改过,当关键镜像文件被篡改过时,则不启动当前虚拟机,当关键镜像文件没有被篡改过时,则启动当前虚拟机,通过在虚拟机启动前对虚拟机镜像进行检测,能够对保护虚拟机的安全,通过Libvirt接口调用预先设置的安全度量模块来实现对当前关键镜像文件度量,能够适用于多种虚拟平台下的虚拟机,更加灵活方便。
[0051]Libvirt是目前对虚拟机管理、控制应用最为广泛的工具和API (Applicat1nProgramming Interface,应用程序编程接口),针对不同的虚拟化平台,提供了统一的接口。它主要通过分层设计思路,保证了底层