[发明专利]一种可信虚拟机平台

摘要

本发明公开了一种可信虚拟机平台，包括：硬盘(11)、USBKey(10)和非特权虚拟机(6)，还包括：可信硬件(1)、安全增强虚拟机监视器(2)、管理虚拟机(3)、通信虚拟机(4)和驱动虚拟机(5)。安全增强虚拟机监视器(2)分别与可信硬件(1)和管理虚拟机(3)双向连接。管理虚拟机(3)、驱动虚拟机(5)和通信虚拟机(4)均为特权虚拟机，管理虚拟机(3)创建、管理、销毁和迁移其他虚拟机；驱动虚拟机(5)提供虚拟机运行所需的驱动和虚拟可信密码模块的管理；通信虚拟机(4)负责内部虚拟机以及虚拟机平台之间的通信。本发明有效的保证了虚拟机平台运行环境的安全、可信，并实现了虚拟域间通信的有效管控。

主权项

一种可信虚拟机平台，包括：硬盘(11)、USBKey(10)和非特权虚拟机(6)，其特征在于还包括：可信硬件(1)、安全增强虚拟机监视器(2)、管理虚拟机(3)、通信虚拟机(4)和驱动虚拟机(5)；其中，可信硬件(1)包括：可信主板(8)、可信密码模块(7)和可信BIOS(9)；安全增强虚拟机监视器(2)包括：身份认证模块(12)、权限控制模块(13)、通信控制模块(14)和虚拟域完整性度量模块(15)；管理虚拟机(3)包括：非特权虚拟机管理模块(16)、实时加解密模块(17)和完整性度量模块(18)；驱动虚拟机(5)包括：硬件驱动模块(22)和虚拟可信密码管理模块(23)；通信虚拟机(4)包括：通信管理模块(19)、双向认证模块(20)和数据包过滤模块(21)；非特权虚拟机(6)包括通信客户端模块(24)和虚拟可信密码模块(25)；管理虚拟机(3)、驱动虚拟机(5)和通信虚拟机(4)均为特权虚拟机，管理虚拟机(3)负责创建、管理、销毁和迁移其他虚拟机；驱动虚拟机(5)负责提供虚拟机运行所需的驱动和虚拟可信密码模块的管理；通信虚拟机(4)负责内部虚拟机以及虚拟机平台之间的通信；安全增强虚拟机监视器(2)分别与可信硬件(1)、管理虚拟机(3)、通信虚拟机(4)、驱动虚拟机(5)双向连接，可信硬件(1)中的可信主板(8)分别与可信密码模块(7)、可信BIOS(9)、USBKey(10)、硬盘(11)双向连接，管理虚拟机(3)与非特权虚拟机(6)双向连接，管理虚拟机(3)还可与多个非特权虚拟机(6)双向连接；安全增强虚拟机监视器(2)中，身份认证模块(12)、权限控制模块(13)、通信控制模块(14)、虚拟机完整性度量模块(15)顺次串联；管理虚拟机(3)中，非特权虚拟机管理模块(16)、实时加解密模块(17)和完整性度量模块(18)顺次串联；通信虚拟机中(4)的通信管理模块(19)、双向认证模块(20)与数据包过滤模块(21)顺次串联；驱动虚拟机(5)中的硬件驱动模块(22)和虚拟可信密码管理模块(23)连接；非特权虚拟机(6)中通信客户端模块(24)和虚拟可信密码模块(25)连接；计算机加电，可信硬件(1)中的可信密码模块(7)作为信任根首先启动，并对可信BIOS(9)进行完整性度量，如果度量失败将可信BIOS(9)进行恢复并重新进行度量；可信BIOS(9)度量成功后，系统加载可信BIOS(9)正常启动；可信BIOS(9)首先对安全增强虚拟机监视器(2)进行度量，度量通过后将控制权交给安全增强虚拟机监视器(2)；安全增强虚拟机监视器(2)首先调用身份认证模块(12)对当前用户基于USBKey(11)进行身份认证，识别用户权限，然后调用权限控制模块(13)进行权限控制，通信控制模块(14)根据权限进行通信控制，最后调用虚拟机完整性度量模块(15)，分别对管理虚拟机(3)、驱动虚拟机(4)和通信虚拟机(5)进行度量，如果度量成功则启动管理虚拟机(3)、驱动虚拟机(4)和通信虚拟机(5)；当非特权虚拟机(6)启动时，管理虚拟机(3)中的完整性度量模块(18)对非特权虚拟机(6)进行度量，如果度量成功则启动非特权虚拟机(6)；至此，可信虚拟机平台实现了可信启动；在可信虚拟机平台启动之后，管理虚拟机(3)、驱动虚拟机(4)、通信虚拟机(5)和非特权虚拟机(6)对硬件资源的访问通过驱动虚拟机(5)的硬件驱动模块(22)实现；当驱动虚拟机(5)的硬件驱动模块(22)出现异常时，进行自动重启，不会影响到其他未访问该硬件设备的非特权虚拟机(6)的正常运行；驱动虚拟机(5)中的虚拟可信密码管理模块(23)，负责对各非特权虚拟机(6)中的虚拟可信密码模块(25)的管理，实现多个非特权虚拟机(6)共享一个真实的物理可信密码模块(7)，将基于物理信任根的信任链在虚拟域进行传递，保证虚拟环境的可信；管理虚拟机(3)对非特权虚拟机(6)进行管理时，首先需识别当前的权限，用户权限下只能进行开启和关闭对非特权虚拟机(6)的操作，直接拒绝创建、销毁或迁移非特权虚拟机(6)的请求；管理员权限下创建、管理、销毁和迁移非特权虚拟机(6)；当前的权限为管理员权限时，管理虚拟机(3)在接到创建、销毁和迁移非特权虚拟机的命令后，首先调用完整性度量模块(18)对安全增强虚拟机监视器(2)进行度量，度量成功后，管理虚拟机(3)向安全增强虚拟机监视器(2)发送创建、销毁或迁移的请求；安全增强虚拟机监视器(2)在接到上述请求后，调用虚拟机完整性度量模块(15)对管理虚拟机(3)进行度量，度量成功后执行上述请求；在度量的过程中，任何一方的度量失败都表明虚拟机平台已经被篡改，不再可信，拒绝执行命令请求，可信虚拟机平台主动关闭；在管理虚拟机(3)工作的过程中，非特权虚拟机管理模块(16)调用实时加解密模块(17)，对非特权虚拟机(6)的镜像文件和关键数据进行透明加解密，保证了镜像文件和关键数据始终以密文存储，增强了安全性；各虚拟机之间的通信由安全增强虚拟机监视器(2)中的通信控制模块(14)和通信虚拟机(4)共同来控制完成；通信控制模块(14)负责管理虚拟机(3)、驱动虚拟机(5)和通信虚拟机(4)之间的通信，并严格控制非特权虚拟机(6)之间的通信，用户权限下非特权虚拟机(6)之间无法进行通信，管理员权限下可以通过通信虚拟机(4)实现非特权虚拟机(6)之间的通信；管理员权限下，非特权虚拟机(6)中的任意两个需要通信时，假设通信双方为A方和B方，A方首先调用其中的通信客户端模块(24)向通信虚拟机(4)发送与B方进行通信的请求，通信虚拟机(4)中的通信管理模块(19)接到通信请求后，调用双向认证模块(20)对通信虚拟机(4)和A方进行双向认证，认证成功之后，双向认证模块(20)对通信虚拟机(4)和B方进行双向认证，并将认证结果返回给A方，通信虚拟机(4)、A方和B方都可信的情况下，A方发送通信内容到通信虚拟机(4)，通信虚拟机(4)中的数据包过滤模块(21)对数据包进行检测，检测通过后将通信内容发送给B方，B方接收完通信内容后，返回成功，至此成功完成A方和B方的通信；在认证的过程中，如果认证失败，表明认证失败方不再可信，立刻停止通信，并且认证失败方自动重启。