[发明专利]一种可信虚拟机平台

说明书

技术领域

本发明涉及一种虚拟机平台，特别是一种可信虚拟机平台。

背景技术

当前的虚拟机平台包括：普通硬件平台、虚拟机监视器、一个特权虚拟机(或宿主操作系统)和若干非特权虚拟机。但是当前的虚拟机平台多专注于功能而在安全性方面考虑较少，给上层的应用带来很大的安全隐患。第一，当前虚拟机平台基于普通硬件平台实现，缺乏硬件级的安全防护，物理根不可信，无法保证虚拟域的可信。第二，当前虚拟机平台大都未采取安全防护措施，有的虽然做了安全上的考虑，但是一切安全手段都是基于软件实现，保护能力有限。第三，整个虚拟机平台的安全过多的依赖于虚拟机监视器和特权虚拟机的安全，而针对虚拟机监视器和特权虚拟机的安全机制明显不足。第四，缺乏虚拟机监视器级的身份认证和权限控制，特权虚拟机的特权过于集中。第五，虚拟机之间的通信缺乏有效的管控，一个虚拟机被攻击也可能影响至其他虚拟机。

发明内容

本发明的目的在于提供一种可信虚拟机平台，解决当前虚拟机平台安全机制不足和虚拟域间通信缺乏有效管控的问题。

一种可信虚拟机平台，包括：硬盘、USBKey和非特权虚拟机，还包括：可信硬件、安全增强虚拟机监视器、管理虚拟机、通信虚拟机和驱动虚拟机；其中，可信硬件包括：可信主板、可信密码模块和可信BIOS；安全增强虚拟机监视器包括：身份认证模块、权限控制模块、通信控制模块和虚拟机完整性度量模块；管理虚拟机包括：非特权虚拟机管理模块、实时加解密模块和完整性度量模块；驱动虚拟机包括：硬件驱动模块和虚拟可信密码管理模块；通信虚拟机包括：通信管理模块、双向认证模块和数据包过滤模块；非特权虚拟机包括通信客户端模块和虚拟可信密码模块。管理虚拟机、驱动虚拟机和通信虚拟机均为特权虚拟机，管理虚拟机负责创建、管理、销毁和迁移其他虚拟机；驱动虚拟机负责提供虚拟机运行所需的驱动和虚拟可信密码模块的管理；通信虚拟机负责内部虚拟机以及虚拟机平台之间的通信。

安全增强虚拟机监视器分别与可信硬件、管理虚拟机、通信虚拟机、驱动虚拟机双向连接，可信硬件中的可信主板分别与可信密码模块、可信BIOS、USBKey和硬盘双向连接，管理虚拟机与非特权虚拟机双向连接，管理虚拟机还可与多个非特权虚拟机双向连接；安全增强虚拟机监视器中，身份认证模块、权限控制模块、通信控制模块和虚拟机完整性度量模块顺次串联；管理虚拟机中，非特权虚拟机管理模块、实时加解密模块和完整性度量模块顺次串联；通信虚拟机中，通信管理模块、双向认证模块和数据包过滤模块顺次串联；驱动虚拟机中，硬件驱动模块与虚拟可信密码管理模块连接；非特权虚拟机中，通信客户端模块与虚拟可信密码模块连接。

计算机加电，可信硬件中的可信密码模块作为信任根首先启动，并对可信BIOS进行完整性度量，如果度量失败将可信BIOS进行恢复并重新进行度量。可信BIOS度量成功后，系统加载BIOS正常启动。可信BIOS首先对安全增强虚拟机监视器进行度量，度量通过后将控制权交给安全增强虚拟机监视器。安全增强虚拟机监视器首先调用身份认证模块对当前用户基于USBKey进行身份认证，识别用户权限，然后调用权限控制模块进行权限控制，通信控制模块根据权限进行通信控制，最后调用虚拟机完整性度量模块，分别对管理虚拟机、驱动虚拟机和通信虚拟机进行度量，如果度量成功则启动管理虚拟机、驱动虚拟机和通信虚拟机。当非特权虚拟机启动时，管理虚拟机中的完整性度量模块对非特权虚拟机进行度量，如果度量成功则启动非特权虚拟机。至此，可信虚拟机平台实现了可信启动。

在可信虚拟机平台启动之后，管理虚拟机、驱动虚拟机、通信虚拟机和非特权虚拟机对硬件资源的访问通过驱动虚拟机的硬件驱动模块来实现。当驱动虚拟机的硬件驱动模块出现异常时，进行自动重启，不会影响到其他未访问该硬件设备的非特权虚拟机的正常运行。驱动虚拟机中的虚拟可信密码管理模块，负责对各非特权虚拟机中的虚拟可信密码模块的管理，实现多个非特权虚拟机共享一个真实的物理可信密码模块，将基于物理信任根的信任链在虚拟域进行传递，保证虚拟环境的可信。