[发明专利]基于轮询机制的防止可信客户虚拟域启动崩溃的方法

说明书

技术领域

本发明涉及计算机信息安全可信计算领域，特别是指基于轮询机制的防止可信客户虚拟域启动崩溃的方法。在Xen虚拟机的可信客户虚拟域中提供了一种方法，使得利用在特权域实现的虚拟可信平台模块进行可信计算的可信客户虚拟域在系统启动过程中不因为虚拟可信平台模块创建过程的缓慢而导致启动崩溃。

背景技术

目前，现有的虚拟机技术应用整机虚拟化的概念，解除了实体机兼容性和硬件资源对应用程序的约束，实现同一硬件平台上多操作系统的并行运行。网络化时代以效率优先而不是以安全优先原则设计的现有PC系统越来越容易遭受黑客、间谍软件和病毒的攻击。为了解决PC机结构上的不安全问题，从根本上提高其可信性，可信计算平台联盟TCPA(后来更名为TCG)提出通过增强现有的终端体系结构的安全性来保证整个系统的安全，主要思路是在各种终端(包含PC、手机以及其它移动智能终端等)硬件平台上引入具有安全存储和加密功能的可信平台模块(又称为可信芯片)TPM；将操作系统启动过程分为几个相对独立的层，以TPM作为可信计算平台的信任根，下层先度量验证上层完整性，并将度量结果存入TPM芯片的PCR寄存器中，然后再传递系统的运行控制权，从而构建一条完整的信任链。PCR寄存器的数据在计算机启动后不能直接修改，也不能清空。用户可以根据相应PCR寄存器的数值判断当前运行环境是否可信，某些环节是否存在安全问题。

虚拟化技术与可信计算技术有机结合将能构建出极其有效的终端平台安全解决方案。传统的可信计算技术只能保证单一计算机的安全性，要实现可信应用软件在客户虚拟域上无缝地运行，必须解决两个问题：一是如何为客户虚拟域提供TPM设备；二是如何实现客户虚拟域启动可信链各个阶段的完整性度量。图1为Xen虚拟机组件框架示意图，每个计算域运行一个操作系统，虚拟机监控器位于系统硬件平台与虚拟计算域操作系统软件之间，负责监控下层硬件，并将硬件抽象成可管理调度的实体供上层计算域使用。Xen虚拟机启动后，特权域是必须而且首先进入的操作系统，然后再根据具体情况启动客户虚拟域；特权计算域具有最高的权限，特权域利用虚拟域管理工具管理客户计算域，包括创建、删除、访问物理设备等。图2为一种客户虚拟域利用特权域实现的虚拟TPM(vTPM)设备进行可信计算的方法的组件框架示意图；在该方法中，不同客户虚拟域使用不同vTPM设备，客户虚拟域里可信应用软件发出的TPM指令请求通过vTPM前端驱动、vTPM后端驱动、vTPM设备管理工具，最后到达vTPM设备，处理后的结果再经相反路线回到可信应用软件。图3为来自客户虚拟域IMA软件的TPM指令的处理流程图，其中IMA软件是IBM研究院开发的用于对执行程序或内核模块进行完整性度量的软件工具，在客户虚拟域操作系统启动过程中加载该软件。

图4是客户虚拟域启动和虚拟TPM设备创建的流程图，之所以将虚拟域的启动与虚拟TPM设备的创建设计成两个并行的过程主要是为了提高系统资源有效利用率，加快整个系统的启动过程；但是这种设计方法与现有的完整性度量软件IMA整合在一起工作时，可信客户虚拟域启动可能会出现崩溃现象。原因是：图3中的虚拟域管理工具、vTPM设备管理工具和vTPM设备进程都是作为用户空间的普通进程被调度执行的，虚拟域间CPU调度以及虚拟域内进程调度的不确定性会导致IMA发出访问TPM指令时，相应的vTPM设备可能还未建立好，IMA无法处理这种情况，进而导致启动崩溃。

发明内容

本发明的目的在于为避免上述现有技术中的不足而提供了一种基于轮询机制的防止可信客户虚拟域启动崩溃的方法。本发明为解决可信客户虚拟域启动崩溃问题提供了一种方法。该方法在虚拟域内核的IMA软件被加载后并不是立即进行软件初始化，而是采用轮询探测vTPM设备的方式，直到vTPM设备创建完毕，可以处理TPM指令后，才进行软件初始化。

本发明的目的可以通过以下措施来实现：

基于轮询机制的防止可信客户虚拟域启动崩溃的实现方法，其特征在于：IMA软件在被虚拟域内核加载之后，并不立即进行初始化工作，而是先检测虚拟TPM设备是否可以处理TPM指令，如果检测结果不正确，则定期检测直到返回结果正确，然后才进行软件初始化

本发明相比现有技术具有如下优点：

1.简单，可扩展性强，兼容性好。只需要更改内核一处，而且只需在原有系统代码上增加8行代码，更改后的IMA软件在传统的单一计算机下仍可正常工作。