[发明专利]一种虚拟机监控器加载方法、装置及电子设备

权利要求书

1.一种虚拟机监控器加载方法，在宿主机上配置有操作系统、动态可信模块、虚拟机和用于管理所述虚拟机的虚拟机监控器，其中，所述虚拟机监控器加载方法包括：

基于所述宿主机的所述操作系统调用所述动态可信模块；

基于所述动态可信模块来确定与所述虚拟机监控器对应的完整性度量值，并将所述完整性测量值在TPM的PCR寄存器中进行扩展；

基于所述完整性度量值，加载所述虚拟机监控器；

基于所述虚拟机监控器，将所述操作系统降格为客户机模式。

2.如权利要求1所述的虚拟机监控器加载方法，在所述宿主机中配置有引导处理器和至少一个应用处理器，

其中，基于所述动态可信模块来确定与所述虚拟机监控器对应的完整性度量值，具体包括：

基于所述动态可信模块重启所述引导处理器，并停止运行各个所述应用处理器；以及

基于所述引导处理器来调用所述动态可信模块，以确定与所述虚拟机监控器对应的完整性度量值。

3.如权利要求2所述的虚拟机监控器加载方法，其中，在基于所述宿主机的所述操作系统调用所述动态可信模块之前，所述方法还包括：

基于所述操作系统，保存所述宿主机中各个处理器的运行状态；

其中，在所述操作系统降格为客户机模式之后，所述方法还包括：

基于所述虚拟机监控器，将所述各个应用处理器分别恢复至所保存的相应的运行状态。

4.如权利要求3所述的虚拟机监控器加载方法，其中，基于所述操作系统，保存所述宿主机中各个处理器的运行状态，具体包括：

基于所述操作系统，将所述宿主机中各个处理器的运行状态保存至针对所述虚拟机监控器的共享内存中；

其中，基于所述虚拟机监控器，将所述各个应用处理器分别恢复至所保存的相应的运行状态，具体包括：

基于所述虚拟机监控器，将所述各个应用处理器分别恢复至在所述共享内存中所保存的相应的运行状态。

5.如权利要求1所述的虚拟机监控器加载方法，其中，基于所述宿主机的所述操作系统调用所述动态可信模块，具体包括：

基于所述操作系统，将所述虚拟机监控器和所述动态可信模块的镜像加载到安全内存区域，其中所述安全内存区域禁止DMA方式的读写操作；

其中，基于所述动态可信模块来确定与所述虚拟机监控器对应的完整性度量值，具体包括：

执行所述动态可信模块的镜像，对所述虚拟机监控器的内存镜像进行度量，以确定对应的所述完整性度量值。

6.如权利要求5所述的虚拟机监控器加载方法，还包括：

构建与所述虚拟机监控器的内存镜像相对应的页表；

执行所述动态可信模块的镜像，对所述虚拟机监控器的内存镜像进行度量，以确定对应的所述完整性度量值，具体包括：

执行所述动态可信模块的镜像，通过所述页表来对所述虚拟机监控器的内存镜像进行访问和度量，以确定对应的所述完整性度量值。

7.如权利要求1所述的虚拟机监控器加载方法，还包括：

启动所述操作系统，以对所述宿主机的硬件进行初始化操作；

其中，基于所述宿主机的所述操作系统调用所述动态可信模块，具体包括：

基于所述操作系统的启动，触发基于所述宿主机的所述操作系统调用所述动态可信模块。

8.如权利要求1所述的虚拟机监控器加载方法，还包括：

获取虚拟机操作请求；

其中，基于所述宿主机的所述操作系统调用所述动态可信模块，具体包括：

当所获取虚拟机操作请求符合预设的虚拟机操作条件时，触发基于所述宿主机的所述操作系统调用所述动态可信模块。

9.如权利要求1所述的虚拟机监控器加载方法，在将所述操作系统降格为客户机模式之后，所述方法还包括：

基于所述虚拟机监控器构建可信执行环境，使得所述虚拟机能够运行在所构建的可信执行环境中。