轻量级可信计算平台及其通信方法、信任链建立方法

轻量级可信计算平台及其通信方法、信任链建立方法
【专利摘要】本发明公开了一种轻量级可信计算平台及其通信方法、信任链建立方法，其中可信计算平台将虚拟机分为多个轻量级虚拟域，为了减小虚拟域的系统复杂性和由此产生的潜在威胁，每个虚拟域都尽量轻量化。各虚拟域只包含相关的用户目录和设置，而所需的文件系统从存储域共享的只读根文件系统模板中加载；将跟网络相关的网卡驱动和协议栈通过网络域来统一管理；将跟存储相关的驱动和协议栈通过存储域来统一管理，即通过资源分配策略来统一控制各虚拟域访问存储资源；各虚拟域通过管理域的桌面来统一显示与操作，使得管理更加简单，体验更加良好。
【专利说明】轻量级可信计算平台及其通信方法、信任链建立方法

【技术领域】
[0001]本发明涉及计算机【技术领域】，尤其涉及一种轻量级可信计算平台及其通信方法、信任链建立方法。

【背景技术】
[0002]图1示出了现有技术中虚拟化可信计算平台的示例性架构图，如图1所示，现有技术中虚拟化可信计算平台包括虚拟子系统、虚拟机监视器、系统内核和硬件子系统，虚拟子系统包括多个虚拟域(例如第一虚拟域、第二虚拟域和第三虚拟域)，且每个虚拟域都有一个完整的操作系统，操作系统具体包括底层的虚拟驱动(例如包括网卡驱动、光盘驱动、声卡驱动和显卡驱动)、中间层的桌面和文件系统、以及高层的应用软件(例如办公软件和服务软件)。
[0003]现有技术中虚拟化可信计算平台的缺陷在于:每个虚拟域都有一个完整的操作系统，使得虚拟域体积庞大、占用存储空间大、难以管理、容易产生很多安全性问题；每个虚拟域对应的操作系统的存储空间少则几GB，多则十几GB，从而当虚拟域的数量超过一定阈值时，硬盘则难以承受；每个虚拟域对应一个单独的操作系统桌面，使得各虚拟域之间的切换效率较低，用户难于操作；整个虚拟化可信计算平台的架构复杂、臃肿，安全性低。


【发明内容】

[0004]为解决现有技术中虚拟化可信计算平台的架构复杂、臃肿，安全性低的技术缺陷，本发明提供了一种轻量级可信计算平台及其通信方法、信任链建立方法。
[0005]本发明的技术方案为:
[0006]一种轻量级可信计算平台，包括:
[0007]虚拟子系统，其包括多个虚拟域，所述虚拟域包括虚拟硬件和运行在所述虚拟硬件上的操作系统，所述操作系统包括操作系统内核和应用软件；
[0008]硬件子系统，其包括CPU处理器、网卡、存储设备和外部设备；
[0009]虚拟机监视器，其包括基于可信计算技术的安全内核，所述虚拟域通过所述虚拟机监视器连接所述CPU处理器；以及
[0010]管理子系统，其包括:
[0011]网络域，其存储有网卡驱动，所述虚拟域依次通过所述网络域和所述虚拟机监视器连接所述网卡；
[0012]管理域，其存储有外部设备驱动和用于管理所述虚拟域的桌面，所述虚拟域依次通过所述管理域和所述虚拟机监视器连接所述外部设备；以及
[0013]存储域，其存储有存储设备驱动和只读根文件系统模板，所述虚拟域所需的共享根文件系统从所述只读根文件系统模板中加载，所述虚拟域依次通过所述存储域和所述虚拟机监视器连接所述存储设备。
[0014]优选的是，所述虚拟域设置为向设定级别的用户提供服务，所述虚拟域的级别和与其相对应的用户的级别一致。
[0015]优选的是，所述CPU处理器包括分别与各所述虚拟域和所述虚拟机监视器一一对应连接的CPU处理核。
[0016]优选的是，所述网络域通过英特尔虚拟化设备连接所述网卡，所述管理域通过英特尔虚拟化设备连接所述外部设备，所述存储域通过英特尔虚拟化设备连接所述存储设备。
[0017]优选的是，所述英特尔虚拟化设备为英特尔VT-d设备。
[0018]优选的是，所述虚拟域通过直接连接方式、虚拟专用网连接方式或者禁止连接方式连接所述网络域。
[0019]一种轻量级可信计算平台的通信方法，所述轻量级可信计算平台的虚拟子系统包括第一虚拟域和第二虚拟域，所述通信方法包括所述第一虚拟域向所述第二虚拟域传输文件的方法，包括:
[0020]所述第一虚拟域取出存放在所述存储域中的加密文件，所述加密文件是利用安全密钥对所述文件加密得到的；
[0021]所述第一虚拟域向所述存储域发送向所述第二虚拟域传输文件的请求，所述第一虚拟域通过所述存储域向所述第二虚拟域发送所述安全密钥；
[0022]所述存储域根据所述第一虚拟域的级别和所述第二虚拟域的级别，判断是否允许所述请求；
[0023]如果否，则所述存储域拒绝所述第一虚拟域向所述第二虚拟域传输文件；
[0024]如果是，则所述存储域向所述第一虚拟域分配交换块设备；
[0025]所述第一虚拟域挂载所述交换块设备，并将所述加密文件复制到所述交换块设备上后卸载所述交换块设备；
[0026]所述存储域将所述交换块设备分配给所述第二虚拟域；
[0027]所述第二虚拟域挂载所述交换块设备，并将所述交换块设备中存储的加密文件复制到本地后卸载所述交换块设备；
[0028]所述第二虚拟域利用所述安全密钥解密所述加密文件，得到所述文件；
[0029]所述存储域销毁所述交换块设备，并释放内存与硬盘文件。
[0030]优选的是，所述存储域根据所述第一虚拟域的级别和所述第二虚拟域的级别，判断是否允许所述请求包括:
[0031]所述存储域判断所述第一虚拟域的级别是否小于或者等于所述第二虚拟域的级别；
[0032]如果是，则所述存储域允许所述请求；
[0033]否则，所述存储域拒绝所述请求。
[0034]优选的是，所述存储域具有一个守护进程，该守护进程一方面接收第一虚拟域发送的向第二虚拟域传输文件的请求和用于解密的安全密钥，另一方面将接收到的安全密钥发送给第二虚拟域。
[0035]一种轻量级可信计算平台的信任链建立方法，包括:
[0036]将B1S主引导块作为可信度量根，对B1S进行度量，得到第一度量值，并将所述第一度量值存储到可信平台模块中；
[0037]所述B1S分别对硬件、ROM及Grub引导扇区进行度量，得到第二度量值，并将所述第二度量值存储到所述可信平台模块中；
[0038]所述Grub引导扇区对所述虚拟机监视器进行度量，得到第三度量值，并将所述第三度量值存储到所述可信平台模块中；
[0039]所述虚拟机监视器对所述管理域进行度量，得到第四度量值，并将所述第四度量值存储到所述可信平台模块中；
[0040]所述管理域对存储在所述存储域中的只读根文件系统模板进行度量，得到第五度量值，并将所述第五度量值存储到所述可信平台模块中；
[0041]所述只读根文件系统模板分别对各所述虚拟域进行度量，得到对应所述虚拟域的第六度量值，并将所述第六度量值存储到所述可信平台模块中。
[0042]与现有技术相比，上述方案中的一个或多个实施例可以具有如下优点或有益效果:
[0043]本发明实施例提供的轻量级可信计算平台中每个虚拟域都尽量轻量化:各虚拟域所需的文件系统从存储域共享的只读根文件系统模板中加载；将跟网络相关的网卡驱动和协议栈通过网络域来统一管理；将跟存储相关的存储驱动和协议栈通过存储域来统一管理，即通过资源分配策略来统一控制各虚拟域访问存储资源；各虚拟域通过管理域的桌面来统一显示与操作，从而减小了虚拟域的系统复杂性以及由此产生的潜在安全性威胁，同时使得管理更加简单，为用户提供了更为良好的使用体验，从整体上全面解决了现有技术中虚拟化可信计算平台架构复杂、臃肿、安全性低及难于管理的技术缺陷。
[0044]本发明的其它特征和优点将在随后的说明书中阐述，并且部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

【专利附图】

【附图说明】
[0045]附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例共同用于解释本发明，并不构成对本发明的限制。在附图中:
[0046]图1示出了现有技术中虚拟化可信计算平台的示例性架构图；
[0047]图2示出了本发明实施例轻量级可信计算平台的架构图；
[0048]图3至图5分别示出了图2中所示的管理域、网络域和存储域的形成过程示意图；
[0049]图6示出了本发明实施例中虚拟域直接访问硬件子系统中的硬件设备的示意图；
[0050]图7示出了本发明实施例中虚拟域访问外部网络的示意图；
[0051]图8示出了本发明实施例中核心域通过虚拟专用网连接网络域的示意图；
[0052]图9示出了本发明实施例轻量级可信计算平台的虚拟域间传输文件的方法的流程图；
[0053]图10示出了图9所示的虚拟域间传输文件的方法的示意图；
[0054]图11示出了本发明实施例轻量级可信计算平台的信任链建立方法的流程图；
[0055]图12示出了图11所示的信任链建立方法的示意图。

【具体实施方式】
[0056]以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。
[0057]为克服现有技术中虚拟化可信计算平台存在的缺陷:现有技术中虚拟化可信计算平台中的每个虚拟域都有一个完整的操作系统，使得虚拟域体积庞大、占用存储空间大、难以管理、容易产生很多安全性问题；每个虚拟域对应的操作系统的存储空间少则几GB，多则十几GB，从而当虚拟域数量超过一定阈值时，硬盘则难以承受；每个虚拟域对应一个单独的操作系统桌面，使得各虚拟域之间的切换效率较低，用户难于操作；整个虚拟化可信计算平台的架构复杂、臃肿，安全性低，基于上述目的，本发明实施例提供了一种轻量级可信计算平台及其通信方法、信任链建立方法。
[0058]如图2所示，是本发明实施例轻量级可信计算平台的架构图，所述轻量级可信计算平台包括虚拟子系统、硬件子系统、虚拟机监视器和管理子系统。
[0059]具体地，虚拟子系统包括多个虚拟域，其中每个虚拟域中包括虚拟硬件和运行在所述虚拟硬件上的操作系统，该操作系统仅包括操作系统内核和应用软件，而桌面、文件系统、网卡驱动和存储设备驱动则全部转移到管理子系统中。
[0060]硬件子系统包括CPU处理器、网卡(例如WiFi和/或以太网卡等)、存储设备(例如硬盘、U盘、光盘等)和外部设备(例如声卡、显卡、键盘、鼠标等)。
[0061]虚拟机监视器(VMM，Virtual Machine Monitor)实质上是一个系统软件，用于维护多个高效的、隔离的、支持用户直接访问真实硬件的虚拟域(虚拟机)，可以看出，虚拟机监视器管理计算机系统的真实资源，为虚拟域提供接口。在本实施例中，所述虚拟机监视器包括基于可信计算技术的安全内核，各所述虚拟域通过虚拟机监视器连接硬件子系统中的CPU处理器，即虚拟机监视器为基于xen的可信虚拟机监视器(也称为开放源代码虚拟机监视器)，通过绑定可信芯片来实现对可信的支持。
[0062]管理子系统包括网络域、管理域和存储域。
[0063]具体地，网络域内存储有网卡驱动，所述虚拟域依次通过所述网络域和所述虚拟机监视器连接所述网卡。可以看出，所述网络域直接绑定网卡资源，从而统一控制虚拟子系统中的各虚拟域访问网卡资源，以保证各虚拟域的网络访问及安全隔离。
[0064]管理域内存储有外部设备驱动和用于管理所述虚拟域的桌面，所述虚拟域依次通过所述管理域和所述虚拟机监视器连接所述外部设备。可以看出，所述管理域直接绑定外部设备，通过统一的桌面来实现对虚拟子系统中的各虚拟域的管理，这里，对虚拟域的管理包括:各虚拟域的创建、启动、停止以及删除等操作，各虚拟域的网络访问控制策略管理，以及各虚拟域的资源分配策略管理。
[0065]存储域内存储有存储设备驱动和只读根文件系统模板，所述虚拟域所需的共享根文件系统从所述只读根文件系统模板中加载，所述虚拟域依次通过所述存储域和所述虚拟机监视器连接所述存储设备。所述存储域直接绑定存储资源，是所有硬盘和文件系统存储代码的沙盒(Sandbox，具体指代代码存储的区域，是一种计算机虚拟技术)，从而统一控制虚拟子系统中的各虚拟域访问存储资源，另外，所述存储域通过只读根文件系统模板为各虚拟域提供共享的根文件系统，并为不同虚拟域用户提供安全隔离的数据存储。
[0066]下面结合图3至图5分别阐述管理子系统中的管理域、网络域和存储域的形成过程。
[0067]图3示出了管理域的形成过程，其对应虚拟域桌面与外部设备的易用性改进，图2从易用性角度考虑，新增一个管理域，从图1所示的虚拟域中移出声卡、显卡、键盘及鼠标等外部设备驱动，并将该外部设备驱动统一放到管理域中进行集中管控；此外，所有虚拟域通过安全GUI显示在管理域的同一个桌面上，用户只能在登录后查看及操作所属虚拟域，而桌面上其它虚拟域的应用窗口则自动切换到受保护状态。可以得出，新增的管理域大大地增加了所述虚拟化可信计算平台的易用性。
[0068]图4示出了网络域的形成过程，其对应虚拟域网络的安全性及可控性改进，图3从轻量化及安全性考虑，新增一个网络域，在不降低安全隔离性能前提下，从图1所示的虚拟域中移出网卡驱动到网络域中，只保留一个非常精简接口。网络域直接操作网卡资源，这样有利于制定网络访问控制策略来统一控制各虚拟域访问网卡资源。
[0069]图5示出了存储域的形成过程，其对应虚拟域文件系统及存储的轻量化改进图，图4从轻量化及安全性考虑，新增一个存储域，从图1所示的虚拟域移出大部分的“对外代码”，具体为存储设备驱动(存储设备例如硬盘、U盘、光盘等)，并将该存储设备驱动统一放在存储域中。所述存储域直接操作存储资源，这样有利于制定资源分配策略来统一控制各虚拟域访问存储资源。同时，文件系统共享机制允许在各虚拟域之间重用大部分的文件系统，这些重用的部分可以做成只读根文件系统模板放在存储域中，该只读根文件系统模板在虚拟域创建时以只读方式挂载，这样就可大大减少总体系统所占的容量。
[0070]综上，本发明实施例所述的轻量级可信计算平台的目的在于克服传统虚拟化可信计算平台结构的固有缺陷，以降低复杂度为目标，从创新平台体系结构入手，将轻量化和统一管理机制融入平台系统，支持构建相互隔离的信息处理环境，从整体上全面解决可信计算平台的臃肿和难以管理问题，为用户提供了更为良好的使用体验。
[0071]具体地，本发明实施例所述的轻量级可信计算平台中每个虚拟域都尽量轻量化:各虚拟域所需的文件系统从存储域共享的只读根文件系统模板中加载；将跟网络相关的网卡驱动和协议栈通过网络域来统一管理；将跟存储相关的存储驱动和协议栈通过存储域来统一管理，即通过资源分配策略来统一控制各虚拟域访问存储资源；各虚拟域通过管理域的桌面来统一显示与操作，从而减小了虚拟域的系统复杂性以及由此产生的潜在安全性威胁，同时使得管理更加简单，为用户提供了更为良好的使用体验，从整体上全面解决了现有技术中虚拟化可信计算平台架构复杂、臃肿、安全性低及难于管理的技术缺陷。
[0072]在本发明一优选的实施例中，所述虚拟域设置为向设定级别的用户提供服务，该虚拟域的级别和与其相对应的用户的级别一致。在此实施例中，每个虚拟域用于向某一类设定级别的用户提供服务，根据虚拟域对应用户的级别(重要程度)，将虚拟子系统划分为多个虚拟域，每个虚拟域的级别和与其相对应的用户的级别一致。这里需要说明的是，虚拟子系统中不同的虚拟域对应用户的级别可以相同，也可以不同，即虚拟子系统中不同的虚拟域的级别可以相同，也可以不同。优选地，虚拟子系统中不同的虚拟域对应用户的级别不同，即在同一虚拟子系统中的虚拟域的级别各不相同，例如将用户按级别划分为核心级用户、重要级用户和普通级用户，核心级用户、重要级用户和普通级用户的级别从左至右依次降低，基于用户级别的划分，可以将虚拟子系统划分为核心域(为核心级用户提供服务，如存储关键核心数据等)、重要域(为重要级用户提供服务，如存储重要数据等)和普通域(为普通级用户提供服务，如存储普通文档等)，相应地，核心域的级别、重要域的级别和普通域的级别从左至右依次降低。另外，在本实施例中，用户在登录后能够查看并操作该用户所属级别的虚拟域，而管理域桌面上其它虚拟域的应用窗口则自动切换到受保护状态。例如重要用户仅能够在登录后查看及操作重要域，而管理域桌面上核心域和普通域的应用窗口则自动切换到受保护状态。在本实施例中，根据用户的级别(重要程度)将虚拟子系统划分成多个虚拟域，每个虚拟域的级别和与其相对应的用户的级别一致，有利于对用户进行分级管理，提高了各虚拟域中信息的安全性的同时，进一步减小了整个可信计算平台的系统复杂性。
[0073]在本发明一优选的实施例中，再次参照图2，所述CPU处理器包括分别与各所述虚拟域和所述虚拟机监视器一一对应连接的CPU处理核，即每个虚拟域分别唯一地绑定一个CPU处理核(例如Intel处理核)，以保证各虚拟域对硬件资源的需求。进一步地，CPU处理核也可以根据与其相对应的虚拟域的级别进行分级，即核心域直接绑定级别最高(例如运行速度最快)的CPU处理核，而普通域直接绑定级别最低/ 一般(例如运行速度最低/ 一般)的CPU处理核，从而实现了不同级别的虚拟域对所需计算资源的独占，通过提供安全、隔离的信息处理环境，保证了可信计算平台有效可靠地运行。
[0074]在本发明一优选的实施例中，参照图6，所述网络域通过英特尔虚拟化设备连接所述网卡，所述管理域通过英特尔虚拟化设备连接所述外部设备，所述存储域通过英特尔虚拟化设备连接所述存储设备。特别地，英特尔虚拟化设备优选为英特尔VT-d设备。在本实施例中，采用VT-d技术实现管理子系统的各虚拟域(即管理域、网络域或者存储域)直接访问硬件子系统的硬件设备:通过DMA (Direct Memory Access，直接存储器存取)中断重映射(Interrupt-remapping)辨认不同的虚拟机区域以及支持所有的I/O源，并通过改进硬件缓冲、地址翻译等措施实现虚拟机内部的驱动程序直接和硬件设备直接通信，只需要经过少量虚拟机监视器的管理，从而保证了数据传输的安全性与隔离性。
[0075]进一步地，本发明通过直接连接方式、虚拟专用网(VPN，Virtual PrivateNetwork)连接方式或者禁止连接网络域三个方式，控制各虚拟域对外部网络(如internet)的访问。在本发明一优选的实施例中，各所述虚拟域均通过虚拟专用网(VPN，Virtual Private Network)连接所述网络域，以保证虚拟域的安全性。或者，出于整个系统架构简洁化的考虑，也可以根据虚拟域的级别，确定该虚拟域是否需要通过虚拟专用网连接网络域，例如，参照图7，使级别较高的核心域和重要域分别通过相应的虚拟专用网与网络域连接，以保证级别较高的虚拟域的安全性，而级别较低的普通域则直接连接所述网络域。这里需要说明的是，如果级别最高的核心域存储的关键核心数据为涉密的话，一般是禁止核心域连接外部网络的。另外，参照图8，采用的虚拟专用网，可以使得虚拟域(例如核心域)通过加密的隧道与网络域进行安全连接，以达到控制的目的。
[0076]为保证虚拟域间信息流动的安全可靠，本发明实施例还提供了上述轻量级可信计算平台的通信方法，具体提供了虚拟域间传输文件的方法，这里，将进行通信的两虚拟域分别定义为第一虚拟域和第二虚拟域，参照图9和图10，第一虚拟域向第二虚拟域传输文件的方法，包括以下步骤:
[0077]步骤101:所述第一虚拟域取出存放在所述存储域中的加密文件，所述加密文件是利用安全密钥对所述文件加密得到的。
[0078]具体地，第一虚拟域事先将用户的数据加密后(形成加密文件)存放到存储域的所属块中，当第一虚拟域用户要将文件共享给第二虚拟域用户读时，首先取出该加密文件，然后依次执行以下步骤。
[0079]步骤102:所述第一虚拟域向所述存储域发送向所述第二虚拟域传输文件的请求，所述第一虚拟域通过所述存储域向所述第二虚拟域发送所述安全密钥。
[0080]具体地，管理子系统的存储域具有一个守护进程，该守护进程设置为针对存储域的数据发送和数据接收。在本实施例中，存储域的守护进程一方面接收第一虚拟域发送的向第二虚拟域传输文件的请求和用于解密的安全密钥，另一方面将接收到的安全密钥发送给第二虚拟域，以供下述步骤109中第二虚拟域利用该安全密钥对加密文件进行解密。
[0081]步骤103:所述存储域根据所述第一虚拟域的级别和所述第二虚拟域的级别，判断是否允许所述请求。
[0082]具体地，存储域判断是否允许上述请求的方法为:存储域判断所述第一虚拟域的级别是否小于或者等于第二虚拟域的级别；如果是，则存储域允许所述请求；否则，存储域拒绝所述请求。可以看出，存储域优选地允许低级别的虚拟域向高级别的虚拟域传输文件，或者允许同级别的虚拟域之间进行文件的传输，以保证高级别虚拟域信息存储的可靠性。
[0083]步骤104:如果否，则所述存储域拒绝所述第一虚拟域向所述第二虚拟域传输文件。
[0084]步骤105:如果是，则所述存储域向所述第一虚拟域分配交换块设备。
[0085]具体地，若存储域允许第一虚拟域向第二虚拟域传输文件，则文件传输的过程借助存储域分配的交换块设备完成。
[0086]步骤106:所述第一虚拟域挂载所述交换块设备，并将所述加密文件复制到所述交换块设备上后卸载所述交换块设备。
[0087]步骤107:所述存储域将所述交换块设备分配给所述第二虚拟域。
[0088]步骤108:所述第二虚拟域挂载所述交换块设备，并将所述交换块设备中存储的加密文件复制到本地后卸载所述交换块设备。
[0089]步骤109:所述第二虚拟域利用所述安全密钥解密所述加密文件，得到所述文件。
[0090]具体地，第二虚拟域在得到加密文件后，利用接收到第一虚拟域事先通过存储域发送的安全密钥对该加密文件进行解密，从而得到文件。
[0091]步骤110:所述存储域销毁所述交换块设备，并释放内存与硬盘文件。
[0092]在本实施例中，通过存储域提供基于数字信封的加密保护，来实现虚拟域间查看共享文件(特别是高级别虚拟域查看低级别虚拟域共享的文件)的目的，并禁止上读下写。通过上述文件传输机制，可以实现虚拟域间通信的控制有序。
[0093]为保证实现整个平台的可信，本发明实施例提供了一种轻量级可信计算平台的信任链建立方法，通过可信度量方法，从可信平台模块(Trusted Platform Module, TPM)开始，将信任的传递过程从规范中描述的B1S (Basic Input Output System，基本输入输出系统)主引导块延伸至操作系统的加载过程，并进一步延伸至虚拟域乃至整个可信计算平台中，提高了整个可信计算平台的安全等级。为了实现系统中信任逐级建立与传递的完整过程，要对后续加载的操作系统和虚拟域进行度量，遵循信任的建立与传递机制，即认证通过后控制权才能传递，参照图11和图12，信任链建立方法包括以下步骤:
[0094]步骤201:将B1S主引导块作为可信度量根，对B1S进行度量，得到第一度量值，并将所述第一度量值存储到可信平台模块中；
[0095]步骤202:所述B1S分别对硬件、ROM及Grub引导扇区进行度量，得到第二度量值，并将所述第二度量值存储到所述可信平台模块中；
[0096]步骤203:所述Grub引导扇区对所述虚拟机监视器进行度量，得到第三度量值，并将所述第三度量值存储到所述可信平台模块中；
[0097]步骤204:所述虚拟机监视器对所述管理域进行度量，得到第四度量值，并将所述第四度量值存储到所述可信平台模块中；
[0098]步骤205:所述管理域对存储在所述存储域中的只读根文件系统模板进行度量，得到第五度量值，并将所述第五度量值存储到所述可信平台模块中；
[0099]步骤206:所述只读根文件系统模板分别对各所述虚拟域进行度量，得到对应所述虚拟域的第六度量值，并将所述第六度量值存储到所述可信平台模块中。
[0100]虽然本发明所公开的实施方式如上，但所述的内容只是为了便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属【技术领域】内的技术人员，在不脱离本发明所公开的精神和范围的前提下，可以在实施的形式上及细节上作任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。
【权利要求】
1.一种轻量级可信计算平台，其特征在于，包括: 虚拟子系统，其包括多个虚拟域，所述虚拟域包括虚拟硬件和运行在所述虚拟硬件上的操作系统，所述操作系统包括操作系统内核和应用软件； 硬件子系统，其包括CPU处理器、网卡、存储设备和外部设备； 虚拟机监视器，其包括基于可信计算技术的安全内核，所述虚拟域通过所述虚拟机监视器连接所述CPU处理器；以及管理子系统，其包括: 网络域，其存储有网卡驱动，所述虚拟域依次通过所述网络域和所述虚拟机监视器连接所述网卡； 管理域，其存储有外部设备驱动和用于管理所述虚拟域的桌面，所述虚拟域依次通过所述管理域和所述虚拟机监视器连接所述外部设备；以及 存储域，其存储有存储设备驱动和只读根文件系统模板，所述虚拟域所需的共享根文件系统从所述只读根文件系统模板中加载，所述虚拟域依次通过所述存储域和所述虚拟机监视器连接所述存储设备。
2.根据权利要求1所述的轻量级可信计算平台，其特征在于，所述虚拟域设置为向设定级别的用户提供服务，所述虚拟域的级别和与其相对应的用户的级别一致。
3.根据权利要求1或2所述的轻量级可信计算平台，其特征在于，所述CPU处理器包括分别与各所述虚拟域和所述虚拟机监视器一一对应连接的CPU处理核。
4.根据权利要求1至3任一项所述的轻量级可信计算平台，其特征在于，所述网络域通过英特尔虚拟化设备连接所述网卡，所述管理域通过英特尔虚拟化设备连接所述外部设备，所述存储域通过英特尔虚拟化设备连接所述存储设备。
5.根据权利要求4所述的轻量级可信计算平台，其特征在于，所述英特尔虚拟化设备为英特尔VT-d设备。
6.根据权利要求1至5任一项所述的轻量级可信计算平台，其特征在于，所述虚拟域通过直接连接方式、虚拟专用网连接方式或者禁止连接方式连接所述网络域。
7.—种根据权利要求1至6任一项所述的轻量级可信计算平台的通信方法，其特征在于，所述轻量级可信计算平台的虚拟子系统包括第一虚拟域和第二虚拟域，所述通信方法包括所述第一虚拟域向所述第二虚拟域传输文件的方法，包括: 所述第一虚拟域取出存放在所述存储域中的加密文件，所述加密文件是利用安全密钥对所述文件加密得到的； 所述第一虚拟域向所述存储域发送向所述第二虚拟域传输文件的请求，所述第一虚拟域通过所述存储域向所述第二虚拟域发送所述安全密钥； 所述存储域根据所述第一虚拟域的级别和所述第二虚拟域的级别，判断是否允许所述请求; 如果否，则所述存储域拒绝所述第一虚拟域向所述第二虚拟域传输文件； 如果是，则所述存储域向所述第一虚拟域分配交换块设备； 所述第一虚拟域挂载所述交换块设备，并将所述加密文件复制到所述交换块设备上后卸载所述交换块设备； 所述存储域将所述交换块设备分配给所述第二虚拟域； 所述第二虚拟域挂载所述交换块设备，并将所述交换块设备中存储的加密文件复制到本地后卸载所述交换块设备； 所述第二虚拟域利用所述安全密钥解密所述加密文件，得到所述文件； 所述存储域销毁所述交换块设备，并释放内存与硬盘文件。
8.根据权利要求7所述的方法，其特征在于，所述存储域根据所述第一虚拟域的级别和所述第二虚拟域的级别，判断是否允许所述请求包括: 所述存储域判断所述第一虚拟域的级别是否小于或者等于所述第二虚拟域的级别； 如果是，则所述存储域允许所述请求； 否则，所述存储域拒绝所述请求。
9.根据权利要求7或8所述的方法，其特征在于，所述存储域具有一个守护进程，该守护进程一方面接收第一虚拟域发送的向第二虚拟域传输文件的请求和用于解密的安全密钥，另一方面将接收到的安全密钥发送给第二虚拟域。
10.一种根据权利要求1至6任一项所述的轻量级可信计算平台的信任链建立方法，其特征在于，包括: 将B1S主引导块作为可信度量根，对B1S进行度量，得到第一度量值，并将所述第一度量值存储到可信平台模块中； 所述B1S分别对硬件、ROM及Grub引导扇区进行度量，得到第二度量值，并将所述第二度量值存储到所述可信平台模块中； 所述Grub引导扇区对所述虚拟机监视器进行度量，得到第三度量值，并将所述第三度量值存储到所述可信平台模块中； 所述虚拟机监视器对所述管理域进行度量，得到第四度量值，并将所述第四度量值存储到所述可信平台模块中； 所述管理域对存储在所述存储域中的只读根文件系统模板进行度量，得到第五度量值，并将所述第五度量值存储到所述可信平台模块中； 所述只读根文件系统模板分别对各所述虚拟域进行度量，得到对应所述虚拟域的第六度量值，并将所述第六度量值存储到所述可信平台模块中。
【文档编号】H04L29/08GK104468712SQ201410606438
【公开日】2015年3月25日 申请日期:2014年10月31日 优先权日:2014年10月31日
【发明者】姜春林, 朱健伟 申请人:中标软件有限公司