[发明专利]一种基于轻量虚拟机监控器的计算机安全输入系统与方法

权利要求书

1.一种基于轻量级虚拟机监控器的计算机安全输入方法，所述方法包括以下步骤：

(1)、监控被保护程序的启动；

(2)、当被保护程序启动时，加载轻量级虚拟机监控器(LVMM)；

(3)、轻量级虚拟机监控器监控客户操作系统的I/O操作；

(4)、当监控到被保护程序的输入操作时，被保护程序的输入信息由轻量级虚拟机监控器负责接收；

(5)、将被保护程序的输入信息传输给被保护程序；或

(5’)、所述的轻量级虚拟机监控器验证被保护程序和/或操作系统的完整性，在被保护程序的完整性和/或操作系统的完整性通过验证后，将被保护程序的输入信息传输给被保护程序；

和

(6)、在被保护程序退出后，撤销轻量级虚拟机监控器；或，在被保护程序退出后，轻量级虚拟机监控器(LVMM)先清除被保护程序的所有输入信息，然后撤销轻量级虚拟机监控器。

2.根据权利要求1所述的安全输入方法，其特征在于：所述的轻量级虚拟机监控器是指为了完成安全输入功能的特定虚拟机监控器，它不具备创建多个虚拟机的能力。

3.根据权利要求1或2所述的安全输入方法，其特征在于：轻量级虚拟机监控器将被保护程序的输入信息传输给被保护程序，并且是通过在操作系统I/O代理的方式实现的。

4.根据权利要求1-3中任何一项所述的安全输入方法，其特征在于：所述操作系统I/O代理的方式是指被保护程序通过操作系统I/O代理接受输入设备传输的信息，而操作系统I/O代理从轻量级虚拟机监控器中获取输入设备的信息。

5.根据权利要求1-4中任何一项所述的安全输入方法，其特征在于：所述的轻量级虚拟机监控器验证被保护程序的完整性的操作包括在被保护程序启动时验证其代码段的完整性，和/或，在被保护程序运行时保护其代码段完整性。

6.根据权利要求1-5中任何一项所述的安全输入方法，其特征在于：所述的轻量级虚拟机监控器验证操作系统的完整性的操作是指在将轻量级虚拟机监控器接收的被保护程序的输入数据提交给被保护程序时，对操作系统核心程序关键代码的完整性进行验证。

7.根据权利要求6所述的安全输入方法，其特征在于：所述的操作系统核心程序关键代码依赖于或取决于具体的操作系统，是指或主要指能够读写被保护程序内存区域的代码部分。

8.一种基于轻量级虚拟机监控器的计算机安全输入系统，该系统包括支持硬件虚拟化的处理器和可信计算芯片，其特征在于所述系统还包括：

客户端模块和轻量级虚拟机监控器；

其中所述客户端模块是加载到客户操作系统中的模块，该模块包括下面的子模块：程序启动监控子模块、轻量级虚拟机监控器加载子模块和操作系统I/O代理子模块；和

其中所述轻量级虚拟机监控器包括：安全输入模块。

9.根据权利要求8的计算机安全输入系统，其中所述程序启动监控子模块接受被保护应用程序的注册，并监控被保护应用程序的启动，在被保护应用程序启动时，调用轻量级虚拟机监控器加载子模块。

10.根据权利要求8或9的计算机安全输入系统，其中所述轻量级虚拟机监控器加载子模块能够调用硬件虚拟化的扩展指令，将宿主操作系统迁移到轻量虚拟机监控器之上。

11.根据权利要求8-10中任何一项的计算机安全输入系统，其中所述轻量级虚拟机监控器还包括：程序完整性保护模块；或

程序完整性保护模块和系统完整性保护模块；或

程序完整性保护模块、系统完整性保护模块和可信芯片管理模块。

12.根据权利要求8-11中任何一项的计算机安全输入系统，其中所述操作系统I/O代理子模块是被保护程序与轻量虚拟机监控器的安全输入模块之间传输信息的桥梁，把被保护程序的输入信息从轻量虚拟机监控器中传送到被保护程序中，和/或，

其中所述安全输入模块负责接收被保护程序的输入及与操作系统I/O代理子模块之间传输信息。

13.根据权利要求8-12中任何一项的计算机安全输入系统，其中所述程序完整性保护模块负责验证被保护程序的完整性，生成被保护程序的完整性签名，并保护正在运行的程序不被恶意地修改；和/或，所述系统完整性保护模块负责验证被保护程序进行输入期间操作系统的完整性；和/或，所述可信芯片管理模块按照TPM规范或者TCM规范实现对TPM或TCM安全芯片的访问和管理。