[发明专利]一种虚拟机安全认证方法及系统

说明书

本发明公开了一种虚拟机安全认证方法及系统，涉及虚拟机安全认证技术领域，该方法包括以下步骤：基于virtio通用框架，分别建立宿主机与各虚拟机之间的安全认证通道，且各安全认证通道相互独立；各虚拟机进行TPM安全策略配置初始化；对各虚拟机进行可信安全认证。本发明该方法基于virtio通用框架，建立安全认证通道，为虚拟机安全认证工作提供保密可靠以及适用面广的优势。

技术领域

本发明涉及虚拟机安全认证技术领域，具体涉及一种虚拟机安全认证方法及系统。

背景技术

随着云计算的发展，基于云化网络的各种应用和云平台的发展，基于虚拟化的云环境已经处处可见，大量的专用硬件设备被虚拟机替代，应用APP在虚拟机里运行，云化网络已经大量应用到我们日常生活当中，而云平台的安全性关系到虚拟机的安全性和用户应用数据的安全性，如何保证云平台的安全性是制约云计算和虚拟化应用的关键。

基于TPM芯片的服务器可信认证，是目前服务器虚拟化最常用的云平台可信认证方法，通过宿主机X86服务器上的TPM芯片，在HOST的BIOS和HOST内核里进行TPM的安全认证，保障X86宿主机服务器的可信启动，而虚拟机的可信启动，一般需要通过VTPM虚拟机的TPM芯片来实现，由虚拟化层为每个虚拟机提供一个虚拟的TPM芯片进行虚拟机的可信启动；

但由于云平台管理的虚拟机数量众多，需要统一管理VTPM的可信策略和可信行为，设计一个有效的基于VTPM的虚拟机安全认证系统是解决虚拟机可信安全问题的关键。

而virtio是半虚拟化hypervisor中位于设备之上的抽象层，基于virtio建立的通信通道是隔离和安全的，且其适用范围广；

因此，急需一种结合virtio的虚拟机安全认证方法来解决当前的技术问题。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种虚拟机安全认证方法及系统，该方法基于virtio通用框架，建立安全认证通道，为虚拟机安全认证工作提供保密可靠以及适用面广的优势。

为达到以上目的，本发明采取的技术方案是：

第一方面，本发明公开一种虚拟机安全认证方法，所述方法包括以下步骤：

基于virtio通用框架，分别建立宿主机与各虚拟机之间的安全认证通道，且各安全认证通道相互独立；

各所述虚拟机进行TPM安全策略配置初始化；

对各所述虚拟机进行可信安全认证；

基于virtio框架，分别建立宿主机与各虚拟机之间的安全认证通道，包括宿主机端建立流程以及虚拟机端建立流程，所述宿主机端建立流程包括以下步骤：

所述宿主机加载物理TPM驱动，增加virtio初始化接口，注册virtio服务端socket初始化接口；

所述宿主机监听所述虚拟机的VTPM socket连接请求以及TPM的配置下发socket连接请求；

所述虚拟机端建立流程包括以下步骤：

所述虚拟机加载VTPM驱动，进行VTPM设备初始化；

注册virtio客户端socket初始化接口；

向所述宿主机发送所述VTPM socket连接请求。

在上述技术方案的基础上，基于virtio框架，分别建立宿主机与各虚拟机之间的安全认证通道，还包括以下步骤：

响应于所述VTPM socket连接请求，所述宿主机与所述虚拟机连接成功，完成安全认证通道的建立；