[发明专利]一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统

权利要求书

1.一种虚拟化环境中二进制文件度量值统一管理和分发的方法，其特征在于，包括以下步骤：

生成不同类型二进制文件的度量值；

对不同类型二进制文件的度量值进行存储；

虚拟化管理平台向各个虚拟机管理器推送二进制文件的度量值。

2.根据权利要求1所述的方法，其特征在于，所述不同类型二进制文件，包括操作系统内核文件、内核模块文件、应用态程序文件和动态链接库文件，根据二进制文件格式自动地生成二进制文件的度量值。

3.根据权利要求2所述的方法，其特征在于，为操作系统内核文件生成度量值的步骤包括：根据操作系统内核系统文件、操作系统类型、内核版本、操作系统内核数据结构和符号地址映射关系，确定各个代码段的偏移和大小；对操作系统内核文件进行解压缩，并对解压缩后文件中的代码段按页进行Hash运算，不足一页时进行补零；记录操作系统类型、内核版本、各个代码页偏移、各个代码页大小、Hash值作为度量值，并标注入口点所在代码页。

4.根据权利要求2所述的方法，其特征在于，为内核模块文件生成度量值的步骤包括：模拟目标平台中内核模块的加载过程，确定各个代码段的偏移和大小；对各个代码段按页进行Hash运算，计算过程中不足一页时进行补零并将代码中重定位地址设置为0；记录内核模块名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值，并标注各个代码段的在文件中的段偏移。

5.根据权利要求2所述的方法，其特征在于，为应用态程序文件生成度量值的步骤包括：模拟目标平台中应用态程序的加载过程，记录其确定其所使用的动态链接库名称和版本；根据应用态程序中包含的入口点地址、节大小、对齐大小和偏移地址，按页为单位计算Hash值，计算过程根据对齐规则对代码页进行填充、不足一页的进行补零，并将重定位地址设置为0；记录应用态程序名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值，并标注各个代码段的在文件中的段偏移。

6.根据权利要求2所述的方法，其特征在于，为动态链接库文件生成度量值的步骤包括：按页为单位计算Hash值，计算过程根据对齐规则对代码页进行填充、不足一页的进行补零，并将重定位地址设置为0；记录动态链接库名称、版本、各代码页偏移、各个代码页大小、Hash值作为度量值。

7.根据权利要求1所述的方法，其特征在于，虚拟化管理平台直接集成二进制文件度量值生成功能，并将相应的二进制文件度量值相关信息存储在存储系统中；或者，虚拟化管理平台提供二进制文件度量值导入功能，将外部提供的二进制文件度量值相关信息导入到存储系统。

8.根据权利要求1所述的方法，其特征在于，虚拟化管理平台能够将度量值通过管理通道向各个虚拟机管理器主动推送，或者根据虚拟机信息按需推送；

所述主动推送包括：将所有或部分二进制文件度量值向全部虚拟机管理器推送；将新增二进制文件度量值向全部虚拟机管理器推送；将不再允许执行的二进制文件度量值从相应的虚拟机管理器中删除；

所述按需推送包括：根据人工设置或者根据虚拟机操作系统信息向指定虚拟机管理器推送；在虚拟机管理器注册、虚拟机启动、虚拟机迁移阶段向虚拟机管理器进行推送。

9.一种二进制文件完整性度量方法，应用于虚拟机管理器，其特征在于，包括以下步骤：

接收虚拟化管理平台采用权利要求1～8中任一权利要求所述方法推送的二进制文件度量值；

根据二进制文件度量值，对虚拟机中运行程序的完整性进行度量。

10.根据权利要求9所述的方法，其特征在于，虚拟机管理器在对操作系统内核进行完整性度量的步骤包括：虚拟机管理器根据操作系统信息，获取相关的入口点代码页度量值，进行完整性度量，并确定随后对应的代码页度量值，完成对操作系统内核的完整性度量；若在查询时未发现度量值或者代码页的hash值与完整性度量值不一致，则报错。