[发明专利]一种验证虚拟机硬件资源完整的方法和装置

说明书

本发明涉及一种验证虚拟机硬件资源完整的方法和装置。所述方法通过在虚拟机引导阶段度量、记录虚拟硬件的度量值，然后在虚拟机启动后，判断虚拟硬件是否完整，当虚拟硬件不完整时，提供虚拟硬件度量日志来追溯哪个虚拟硬件不完整。解决了现有技术中当虚拟硬件不完整时，无法判断是哪个虚拟硬件不完整导致的整个虚拟机硬件的不完整的技术问题，提高了虚拟化平台安全的管理精度。

技术领域

本发明涉及云计算技术领域，尤其涉及一种验证虚拟机硬件资源完整的方法和装置。

背景技术

随着虚拟化技术的逐渐成熟，云计算平台越来越广泛的应用到政府、科研、企事业单位中。但是虚拟化带来的安全隐患也日益凸显。云计算平台虚拟出的虚拟硬件是否安全可靠成为云计算应用中的亟待解决的问题。基于可信计算中的远程证明的技术，通过比对最终PCR寄存器中的度量值与基准值，虽然可以判断虚拟硬件的完整性，但是当虚拟硬件不完整时，无法判断是哪个虚拟硬件不完整导致的整个虚拟机硬件的不完整。

发明内容

为了弥补现有技术的缺陷，本发明提供了一种验证虚拟机硬件资源完整的方法和装置，以解决现有技术中当虚拟硬件不完整时，无法判断是哪个虚拟硬件不完整导致的整个虚拟机硬件的不完整的技术问题，提高虚拟化平台安全的管理精度。

第一方面，本发明实施例提供了一种验证虚拟机硬件资源完整的方法，包括以下步骤：

S10，在操作系统引导阶段，度量将要加载的所述虚拟硬件，把度量值扩展到平台配置寄存器PCR中，同时把所述度量值记录到高级配置与电源接口ACPI Table中；

S20，在操作系统启动之后，读取所述PCR中的度量扩展值，同时从所述ACPI Table中解析出虚拟硬件度量日志VHML；

S30，在操作系统启动之后，逐个比较读取的所述度量扩展值与基准度量扩展值，当比较结果都相同时，则表明当前虚拟硬件资源是完整可信的，当任何一个比较结果不相同时，逐个遍历虚拟硬件度量日志VHML来判定不可信的虚拟硬件。

第二方面，本发明实施例提供了一种验证虚拟机硬件资源完整的装置，其特征在于，所述装置包括：

硬件度量记录部件，用于在操作系统引导阶段，度量将要加载的所述虚拟硬件，把度量值扩展到平台配置寄存器PCR中，同时把所述度量值记录到高级配置与电源接口ACPITable中；

硬件日志解析部件，用于在操作系统启动之后，读取所述PCR中的度量扩展值，同时从所述ACPI Table中解析出虚拟硬件度量日志VHML；

硬件完整性判定部件，用于在操作系统启动之后，逐个比较读取的所述度量扩展值与基准度量扩展值，当比较结果都相同时，则表明当前虚拟硬件资源是完整可信的，当任何一个比较结果不相同时，逐个遍历虚拟硬件度量日志VHML来判定不可信的虚拟硬件。

本发明的有益效果在于：本发明基于可信平台模块(vTrusted Platform Module，vTPM)，提出一种基于硬件度量日志验证虚拟机硬件资源完整的方法，该方法在虚拟机虚拟硬件加载过程中，度量虚拟硬件的代码和配置，记录度量扩展值到vTPM的PCR寄存器时，也记录度量值到ACPI Table中，当虚拟硬件的代码和配置都是预期时，虚拟机的虚拟硬件资源是完整可信的；当虚拟硬件的代码和配置不是预期时，则遍历从ACPI Table中导出的虚拟硬件度量日志VHML，找出不完整的虚拟硬件。通过所述方法解决了现有技术中当虚拟硬件不完整时，无法判断是哪个虚拟硬件不完整导致的整个虚拟机硬件的不完整的技术问题，提高了虚拟化平台安全的管理精度。

附图说明