值均相等,当判断结果为是时,则确定启动当前虚拟机,当判断结果为否时,确定不启动当前虚拟机。
[0090]在一种可能的实现方式中,所述第一确定单元,用于设置存储虚拟机镜像中待度量的关键镜像文件的信息的列表;
[0091]所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:遍历所述列表,根据待度量的关键镜像文件的信息,确定当前关键镜像文件,度量当前虚拟机镜像中的当前关键镜像文件。
[0092]在一种可能的实现方式中,该装置还包括:第三设置单元,用于设置当前关键镜像文件的第二哈希基准值;
[0093]所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到当前关键镜像文件的SHA-1哈希值;
[0094]所述第二确定单元,用于判断所有当前关键镜像文件的SHA-1哈希值之和与所述第二哈希基准值是否相等,当判断结果为是时,确定启动当前虚拟机,当判断结果为否时,确定不启动当前虚拟机。
[0095]在一种可能的实现方式中,所述第一设置单元,用于通过Libvirt库设置所述安全度量模块。
[0096]上述装置内的各单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
[0097]通过本发明实施例提供的一种保护虚拟机的安全的方法及装置,具有如下有益效果:
[0098]1、通过本发明实施例提供的一种保护虚拟机的安全的方法及装置,在启动虚拟机之前,先对虚拟机的关键镜像文件进行度量,根据度量结果来确定关键镜像文件是否被篡改过,当关键镜像文件被篡改过时,则不启动当前虚拟机,当关键镜像文件没有被篡改过时,则启动当前虚拟机,通过在虚拟机启动前对虚拟机镜像进行检测,能够对保护虚拟机的安全。
[0099]2、通过本发明实施例提供的一种保护虚拟机的安全的方法及装置,在Libvirt接口中添加安全度量策略,即添加安全度量模块,解耦安全度量模块与虚拟化平台,以此来保证虚拟机的安全度量策略可以适配不同类型的虚拟化平台。此外,通过对Libvirt库进行二次开发,添加安全度量模块,虚拟机管理和监控的应用都可以进行不同虚拟化平台的平滑移植。
[0100]需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
[0101 ] 本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
[0102] 最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
【主权项】
1.一种保护虚拟机的安全的方法,其特征在于,包括:预先确定虚拟机镜像中待度量的关键镜像文件,预先设置安全度量模块,还包括: 51:加载当前虚拟机的当前虚拟机镜像; 52:通过Libvirt接口调用所述安全度量模块,通过所述安全度量模块度量当前虚拟机镜像中的当前关键镜像文件; 53:根据当前关键镜像文件的度量结果,确定是否启动当前虚拟机。
2.根据权利要求1所述的方法,其特征在于,在所述SI之前,还包括:预先设置每个当前关键镜像文件的第一哈希基准值; 所述S2中所述度量当前虚拟机镜像中的当前关键镜像文件,包括: 对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到每个当前关键镜像文件的SHA-1哈希值; 所述S3,包括: 判断是否满足每个当前关键镜像文件的SHA-1哈希值与对应的第一哈希基准值均相等,如果是,则确定启动当前虚拟机,否则,确定不启动当前虚拟机。
3.根据权利要求1所述的方法,其特征在于,所述预先确定虚拟机镜像中待度量的关键镜像文件,包括:预先设置存储虚拟机镜像中待度量的关键镜像文件的信息的列表; 所述S2中所述度量当前虚拟机镜像中的当前关键镜像文件,包括:遍历所述列表,根据待度量的关键镜像文件的信息,确定当前关键镜像文件,度量当前虚拟机镜像中的当前关键镜像文件。
4.根据权利要求1所述的方法,其特征在于,在所述SI之前,还包括:预先设置当前关键镜像文件的第二哈希基准值; 所述S2中所述度量当前虚拟机镜像中的当前关键镜像文件,包括: 对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到当前关键镜像文件的SHA-1哈希值; 所述S3,包括: 判断所有当前关键镜像文件的SHA-1哈希值之和与所述第二哈希基准值是否相等,如果是,则确定启动当前虚拟机,否则,确定不启动当前虚拟机。
5.根据权利要求1所述的方法,其特征在于,所述预先设置安全度量模块,包括:通过Libvirt库设置所述安全度量模块。
6.一种保护虚拟机的安全的装置,其特征在于,包括: 第一确定单元,用于确定虚拟机镜像中待度量的关键镜像文件; 第一设置单元,用于设置安全度量模块; 加载单元,用于加载当前虚拟机的当前虚拟机镜像; 度量单元,用于通过Libvirt接口调用所述安全度量模块,通过所述安全度量模块度量当前虚拟机镜像中的当前关键镜像文件; 第二确定单元,用于根据当前关键镜像文件的度量结果,确定是否启动当前虚拟机。
7.根据权利要求6所述的装置,其特征在于,还包括:第二设置单元,用于设置每个当前关键镜像文件的第一哈希基准值; 所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到每个当前关键镜像文件的SHA-1哈希值; 所述第二确定单元,用于判断是否满足每个当前关键镜像文件的SHA-1哈希值与对应的第一哈希基准值均相等,当判断结果为是时,则确定启动当前虚拟机,当判断结果为否时,确定不启动当前虚拟机。
8.根据权利要求6所述的装置,其特征在于,所述第一确定单元,用于设置存储虚拟机镜像中待度量的关键镜像文件的信息的列表; 所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:遍历所述列表,根据待度量的关键镜像文件的信息,确定当前关键镜像文件,度量当前虚拟机镜像中的当前关键镜像文件。
9.根据权利要求6所述的装置,其特征在于,还包括:第三设置单元,用于设置当前关键镜像文件的第二哈希基准值; 所述度量单元,用于在执行度量当前虚拟机镜像中的当前关键镜像文件时,具体执行:对当前虚拟机镜像中的当前关键镜像文件进行安全散列算法SHA-1度量,得到当前关键镜像文件的SHA-1哈希值; 所述第二确定单元,用于判断所有当前关键镜像文件的SHA-1哈希值之和与所述第二哈希基准值是否相等,当判断结果为是时,确定启动当前虚拟机,当判断结果为否时,确定不启动当前虚拟机。
10.根据权利要求6所述的装置,其特征在于,所述第一设置单元,用于通过Libvirt库设置所述安全度量模块。
【专利摘要】本发明提供了一种保护虚拟机的安全的方法及装置,该方法包括:预先确定虚拟机镜像中待度量的关键镜像文件,预先设置安全度量模块,还包括:S1:加载当前虚拟机的当前虚拟机镜像;S2:通过Libvirt接口调用所述安全度量模块,通过所述安全度量模块度量当前虚拟机镜像中的当前关键镜像文件;S3:根据当前关键镜像文件的度量结果,确定是否启动当前虚拟机。通过本发明提供的一种保护虚拟机的安全的方法及装置,能够保护虚拟机的安全。
【IPC分类】G06F21-57, G06F11-14
【公开号】CN104866392
【申请号】CN201510259731
【发明人】刘海伟
【申请人】浪潮电子信息产业股份有限公司
【公开日】2015年8月26日
【申请日】2015年5月20日