[发明专利]基于VMM的软件完整性校验系统及其方法

权利要求书

1.一种基于VMM的软件完整性校验系统，包括虚拟机和虚拟机监控器，其特征在于，所述的虚拟机中包括初始化模块和循环检测模块，所述的虚拟机监控器包括硬盘完整性校验模块、内存完整性校验模块以及哈希值计算模块；其中：

所述的初始化模块，用于将当前操作系统迁移到虚拟机监控器上，调用硬盘完整性校验模块和内存完整性模块，进行完整性校验；

所述的循环检测模块，用于创建一个检测线程，每隔一定时间调用内存完整性校验模块对内存进行完整性校验，并对检测结果进行判断；

所述的硬盘完整性校验模块，用于调用哈希值计算模块完成软件在硬盘上存储文件的完整性校验，并将校验结果返回给所调用的模块；

所述的内存完整性校验模块，用于调用哈希值计算模块完成软件在内存中代码段映像的完整性校验，并将校验结果返回给所调用的模块；

所述的哈希值计算模块，用于通过给定的字节流，计算出该段字节流的哈希值，为硬盘完整性校验模块和内存完整性校验模块提供经过特定哈希算法运算之后的哈希值。

2.一种基于VMM的软件完整性校验方法，具体步骤如下：

（1）初始化：

初始化模块将操作系统迁移到虚拟机监控器上；

（2）创建检测线程：

2a）在循环检测模块中创建一个检测线程；

2b）检测线程每隔一定时间，进行内存完整性校验；

（3）计算硬盘上软件文件哈希值：

陷入虚拟机监控器，在虚拟机监控器中，读取软件可执行文件字节流，将该字节流传递给哈希值计算模块，计算软件可执行文件在硬盘上的哈希值；

（4）硬盘完整性校验：

在虚拟机监控器中，将哈希值与软件可执行文件的原始哈希值进行比较；对哈希值相同的结果，认为该软件在硬盘上未被修改，硬盘完整性校验通过；对哈希值不同的结果，认为该软件在硬盘上已被修改，硬盘完整性校验失败；

（5）计算内存中代码段哈希值：

陷入虚拟机监控器，在虚拟机监控器中，读取软件可执行文件代码段在内存中映像的字节流，将该字节流传递给哈希值计算模块，计算可执行文件在内存中代码段映像的哈希值；

（6）内存完整性校验：

在虚拟机监控器中，将哈希值与软件可执行文件代码段在内存中映像的原始哈希值进行比较；对哈希值相同的结果，认为该软件在内存中代码段未被修改，内存完整性校验通过；对哈希值不同的结果，认为该软件在内存中代码段已被修改，内存完整性校验失败；

（7）软件完整性校验结束。

3.根据权利要求2所述的基于VMM的软件完整性校验方法，其特征在于，步骤(3)和步骤(5)中所述的虚拟机监控器的陷入是通过硬件虚拟化指令主动陷入的。

4.根据权利要求2所述的基于VMM的软件完整性校验方法，其特征在于，步骤2b)中所述的一定时间的范围为5s～15s。