[发明专利]一种虚拟机内存度量方法、装置、处理器芯片及系统

说明书

本发明的实施例公开一种虚拟机内存度量方法、装置、处理器芯片及系统，涉及可信计算技术领域，能够对度量值是否正确进行判断，及时发现程序异常，有效提高虚拟机运行时的安全，且度量过程不受外部侵扰，对虚拟机透明，不占用CPU资源，具有安全性高，性能好的优点。所述方法包括：接收来自虚拟机的度量请求，所述度量请求中包括度量目标的身份标识以及度量内存地址；在基准值库中查找与所述身份标识相对应的基准值，所述基准值库中保存有身份标识与基准值之间的对应关系；对所述度量内存地址内的数据进行度量，得到度量值；比对所述度量值与所述基准值，确定所述度量值是否正确。本发明适用于对虚拟机内存进行度量。

技术领域

本发明涉及可信计算技术领域，尤其涉及一种虚拟机内存度量方法、装置、处理器芯片及系统。

背景技术

基于TPM(Trusted Platform Module：可信平台模块)的可信度量是目前可信计算领域应用最广的技术，通过虚拟化TPM(vTPM)对云环境下虚拟机提供良好支持。虚拟机内基于虚拟化TPM的可信度量技术与主机上基于TPM的度量类似，可以根据具体应用在进行文件操作(比如装载执行)时对文件进行一次性度量。

但目前的这种TPM度量，只记录文件度量值，通常不对度量值是否正确进行检查，即使程序被篡改了仍然会被执行，对系统造成破坏。

发明内容

有鉴于此，本发明实施例提供一种虚拟机内存度量方法、装置、处理器芯片及系统，能够对度量值是否正确进行判断，及时发现程序异常，有效提高虚拟机运行时的安全，且度量过程不受外部侵扰，对虚拟机透明，不占用CPU资源，具有安全性高，性能好的优点。

第一方面，本发明实施例提供一种虚拟机内存度量方法，应用于安全处理器，包括：接收来自虚拟机的度量请求，所述度量请求中包括度量目标的身份标识以及度量内存地址；在基准值库中查找与所述身份标识相对应的基准值，所述基准值库中保存有身份标识与基准值之间的对应关系；对所述度量内存地址内的数据进行度量，得到度量值；比对所述度量值与所述基准值，确定所述度量值是否正确。

可选的，所述对所述度量内存地址内的数据进行度量，得到度量值包括：对所述度量内存地址内的数据进行持续度量，得到每次度量的度量值；所述比对所述度量值与所述基准值，确定所述度量值是否正确；包括：将每次度量得到的度量值与所述基准值进行比对，确定每次度量的度量值是否正确。

可选的，所述对所述度量内存地址内的数据进行持续度量；包括：在对所述度量内存地址内的数据度量完成后，接着对所述度量内存地址内的数据进行下一次度量；或按照预设周期对所述度量内存地址内的数据进行持续度量；或按照度量目标列表中各度量目标之间的排序，对各所述度量目标对应的度量内存地址内的数据进行循环度量，所述度量目标列表中保存有度量目标的度量内存地址。

可选的，所述比对所述度量值与所述基准值，确定所述度量值是否正确；包括：判断所述度量值与所述基准值是否一致；若是，则确定所述度量值正确；若否，则确定所述度量值错误。

可选的，当确定所述度量值错误时，所述方法还包括：利用度量错误处理机制对所述错误进行处理。

可选的，所述度量目标包括内核目标和应用程序目标。

可选的，所述度量请求经加密秘钥加密保护，所述加密秘钥由所述虚拟机与所述安全处理器通过相关秘钥交换协议确定；所述在基准值库中查找与所述身份标识相对应的基准值，包括：利用解密秘钥对所述度量请求进行解密，所述解密秘钥由所述虚拟机与所述安全处理器通过相关秘钥交换协议确定；若解密成功，则在基准值库中查找与所述身份标识相对应的基准值。