亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種虛擬機(jī)運(yùn)行時(shí)的可信驗(yàn)證方法和設(shè)備的制造方法_3

文檔序號(hào):8396103閱讀:來源:國知局
塊、程序或文件經(jīng)過外部可信任實(shí)體認(rèn)證的,可以信任的,那么表明虛擬機(jī)是可信的;如果在特征數(shù)據(jù)庫中沒有相應(yīng)記錄,則是不可信的,或者云提供商需要向外部可信任實(shí)體注冊(cè)登記這些程序或文件;如果在特征數(shù)據(jù)庫中發(fā)現(xiàn)是惡意程序,則說明虛擬機(jī)被攻破運(yùn)行有惡意程序,不能被信任。
[0064]通過以上描述可以看出,在本發(fā)明實(shí)施例提供的技術(shù)方案中,虛擬機(jī)的操作系統(tǒng)內(nèi)核中的配置信息收集模塊在配置信息列表中保存所述虛擬機(jī)的操作系統(tǒng)內(nèi)核中的其他內(nèi)核模塊的名稱和hash值,以及向內(nèi)存中加載的可執(zhí)行程序和腳本的名稱和hash值,并將該其他內(nèi)核模塊的hash值,以及該可執(zhí)行程序和腳本的hash值追加到VTPM的PCR中;當(dāng)虛擬機(jī)的遠(yuǎn)程驗(yàn)證服務(wù)模塊接收到外部可信任實(shí)體發(fā)送的可信證據(jù)驗(yàn)證請(qǐng)求時(shí),獲取所述配置信息列表,和所述VTPM的PCR中保存的PCR值,并返回給所述外部可信任實(shí)體,以使所述外部可信任實(shí)體在根據(jù)所述PCR值確定所述配置信息列表未被修改后,根據(jù)本地特征數(shù)據(jù)庫對(duì)所述配置信息列表進(jìn)行驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果確定所述虛擬機(jī)是否可信,在不影響云計(jì)算本身操作數(shù)據(jù)的功能的前提下,提高虛擬機(jī)可信驗(yàn)證的安全性和可實(shí)現(xiàn)性。
[0065]基于相同的技術(shù)構(gòu)思,本發(fā)明實(shí)施例還提供了一種虛擬機(jī),可以應(yīng)用于上述方法實(shí)施例。
[0066]如圖4所示,為本發(fā)明實(shí)施例提供的一種虛擬機(jī)的結(jié)構(gòu)示意圖,該虛擬機(jī)可應(yīng)用于包括外部可信任實(shí)體的系統(tǒng),該虛擬機(jī)可以包括:遠(yuǎn)程驗(yàn)證服務(wù)模塊41,虛擬可信平臺(tái)模塊VTPM42,以及虛擬機(jī)操作系統(tǒng)內(nèi)核中的配置信息收集模塊43 ;其中:
[0067]所述配置信息收集模塊43,用于在配置信息列表中保存所述虛擬機(jī)的操作系統(tǒng)內(nèi)核中的其他內(nèi)核模塊的名稱和hash值,以及向內(nèi)存中加載的可執(zhí)行程序和腳本的名稱和hash值,并將所述其他內(nèi)核模塊的hash值,以及所述可執(zhí)行程序的hash值和腳本的hash值追加到所述VTPM42的程序控制寄存器PCR中;
[0068]所述遠(yuǎn)程驗(yàn)證服務(wù)模塊41,用于當(dāng)接收到外部可信任實(shí)體發(fā)送的可信證據(jù)驗(yàn)證請(qǐng)求時(shí),獲取所述配置信息列表,和所述VTPM42的PCR中保存的PCR值,并返回給所述外部可信任實(shí)體,以使所述外部可信任實(shí)體在根據(jù)所述PCR值確定所述配置信息列表未被修改后,根據(jù)本地特征數(shù)據(jù)庫對(duì)所述配置信息列表進(jìn)行驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果確定所述虛擬機(jī)是否可/[目。
[0069]其中,所述配置信息收集模塊43具體用于,在所述其他內(nèi)核模塊啟動(dòng)時(shí),將所述其他內(nèi)核模塊的名稱和hash值保存到所述配置信息列表中,并將所述其他內(nèi)核模塊的hash值追加到所述VTPM42的PCR中;在所述虛擬機(jī)的操作系統(tǒng)運(yùn)行后,將向內(nèi)存中加載的可執(zhí)行程序的名稱和hash值和腳本的名稱和hash值保存到所述配置信息列表中,并將所述可執(zhí)行程序的hash值和腳本的hash值追加到所述VTPM42的PCR中。
[0070]其中,所述遠(yuǎn)程驗(yàn)證服務(wù)模塊41具體用于,將所述可信證據(jù)驗(yàn)證請(qǐng)求中攜帶的隨機(jī)數(shù)轉(zhuǎn)發(fā)給所述VTPM42,以使所述VTPM42對(duì)所述隨機(jī)數(shù),以及所述PCR值進(jìn)行簽名;接收所述VTPM42返回的AIK證書,以及簽名后的所述隨機(jī)數(shù)、所述PCR值,并將所述配置信息列表,所述AIK證書,以及簽名后的所述隨機(jī)數(shù)、所述PCR值返回給所述外部可信任實(shí)體。
[0071]基于相同的技術(shù)構(gòu)思,本發(fā)明實(shí)施例還提供了一種虛擬機(jī)運(yùn)行時(shí)的可信驗(yàn)證設(shè)備,可以應(yīng)用于上述方法實(shí)施例。
[0072]如圖5所示,為本發(fā)明實(shí)施例提供的一種虛擬機(jī)運(yùn)行時(shí)的可信驗(yàn)證設(shè)備的結(jié)構(gòu)示意圖,該設(shè)備可以作為外部可信任實(shí)體應(yīng)用于包括虛擬機(jī)的系統(tǒng),所述虛擬機(jī)中包括配置信息收集模塊,遠(yuǎn)程驗(yàn)證服務(wù)模塊,以及可信任平臺(tái)模塊VTPM,該設(shè)備包括:
[0073]發(fā)送模塊51,用于向所述虛擬機(jī)的遠(yuǎn)程驗(yàn)證服務(wù)模塊發(fā)送可信證據(jù)驗(yàn)證請(qǐng)求;
[0074]接收模塊52,用于接收所述遠(yuǎn)程驗(yàn)證服務(wù)模塊返回的配置信息列表,以及所述虛擬機(jī)的VTPM的程序控制寄存器PCR中的PCR值;其中,所述配置信息列表中存儲(chǔ)有所述虛擬機(jī)的操作系統(tǒng)內(nèi)核中的配置信息收集模塊保存的所述虛擬機(jī)的操作系統(tǒng)內(nèi)核中的其他內(nèi)核模塊的名稱和hash值,以及向內(nèi)存中加載的可執(zhí)行程序和腳本的名稱和hash值;所述VTPM的PCR中的PCR值是由所述配置信息收集模塊將所述其他內(nèi)核模塊的hash值,以及所述可執(zhí)行程序的hash值和腳本的hash值追加到所述VTPM的PCR中得到的;
[0075]處理模塊53,用于當(dāng)根據(jù)所述PCR值確定所述配置信息列表未被修改后,根據(jù)本地特征數(shù)據(jù)庫對(duì)所述配置信息列表進(jìn)行驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果確定所述虛擬機(jī)是否可信。
[0076]其中,所述發(fā)送模塊51具體用于,當(dāng)所述設(shè)備監(jiān)測(cè)到所述虛擬機(jī)啟動(dòng)或遷移時(shí),當(dāng)所述外部可信任實(shí)體監(jiān)測(cè)到所述虛擬機(jī)啟動(dòng)或遷移時(shí);或,當(dāng)預(yù)設(shè)定時(shí)器超時(shí)時(shí),向所述虛擬機(jī)的遠(yuǎn)程驗(yàn)證服務(wù)模塊發(fā)送可信證據(jù)驗(yàn)證請(qǐng)求。
[0077]其中,所述接收模塊52具體用于,接收所述遠(yuǎn)程驗(yàn)證服務(wù)模塊返回的配置信息列表,AIK證書,以及簽名后的所述隨機(jī)數(shù)、所述PCR值;其中,所述AIK證書,以及簽名后的所述隨機(jī)數(shù)、所述PCR值是由所述VTPM接收到所述遠(yuǎn)程驗(yàn)證服務(wù)模塊轉(zhuǎn)發(fā)的所述隨機(jī)數(shù),并對(duì)所述隨機(jī)數(shù),以及所述PCR值簽名后,返回給所述遠(yuǎn)程驗(yàn)證服務(wù)模塊的。
[0078]其中,所述處理模塊52具體用于,根據(jù)所述AIK證書對(duì)所述隨機(jī)數(shù)、以及所述PCR值的簽名進(jìn)行驗(yàn)證,并當(dāng)驗(yàn)證通過,且確定所述隨機(jī)數(shù)與自身發(fā)送的可信證據(jù)驗(yàn)證請(qǐng)求中攜帶的隨機(jī)數(shù)相同時(shí),對(duì)所述配置信息列表中包括的所述其他內(nèi)核模塊的hash值,以及可執(zhí)行程序hash值和腳本的hash值按照加載到內(nèi)存中執(zhí)行的順序進(jìn)行模擬追加操作,并比較所述模擬追加操作的結(jié)果和所述PCR值,并當(dāng)比較結(jié)果為相同時(shí),確定所述配置信息列表未被修改。
[0079]其中,所述處理模塊53具體用于,在本地特征數(shù)據(jù)庫中查詢所述配置信息列表中包括的所述其他內(nèi)核模塊,以及可執(zhí)行程序和腳本的hash值;若在本地特征數(shù)據(jù)庫中查詢到匹配的內(nèi)核模塊,以及可執(zhí)行程序和腳本的hash值,且該匹配的內(nèi)核模塊,以及可執(zhí)行程序和腳本為可信任狀態(tài),則確定所述虛擬機(jī)可信;若在本地特征數(shù)據(jù)庫中未查詢到匹配的內(nèi)核模塊,以及可執(zhí)行程序和腳本的hash值,或查詢到匹配的內(nèi)核模塊,以及可執(zhí)行程序和腳本的hash值,且該匹配的內(nèi)核模塊,以及可執(zhí)行程序和腳本為不可信任狀態(tài),則確定所述虛擬機(jī)不可信。
[0080]通過以上的實(shí)施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn),當(dāng)然也可以通過硬件,但很多情況下前者是更佳的實(shí)施方式?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī),個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。
[0081]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種虛擬機(jī)運(yùn)行時(shí)的可信驗(yàn)證方法,應(yīng)用于包括虛擬機(jī)和外部可信任實(shí)體的系統(tǒng),其特征在于,所述虛擬機(jī)中包括遠(yuǎn)程驗(yàn)證服務(wù)模塊,虛擬可信平臺(tái)模塊VTPM,以及虛擬機(jī)操作系統(tǒng)內(nèi)核中的配置信息收集模塊,該方法包括: 虛擬機(jī)的操作系統(tǒng)內(nèi)核中的配置信息收集模塊在配置信息列表中保存所述虛擬機(jī)的操作系統(tǒng)內(nèi)核中的其他內(nèi)核模塊的名稱和hash值,以及向內(nèi)存中加載的可執(zhí)行程序和腳本的名稱和hash值,并將所述其他內(nèi)核模塊的hash值,以及所述可執(zhí)行程序的hash值和腳本的hash值追加到所述VTPM的程序控制寄存器PCR中; 當(dāng)所述虛擬機(jī)的遠(yuǎn)程驗(yàn)證服務(wù)模塊接收到外部可信任實(shí)體發(fā)送的可信證據(jù)驗(yàn)證請(qǐng)求時(shí),獲取所述配置信息列表,和所述VTPM的PCR中保存的PCR值,并返回給所述外部可信任實(shí)體,以使所述外部可信任實(shí)體在根據(jù)所述PCR值確定所述配置信息列表未被修改后,根據(jù)本地特征數(shù)據(jù)庫對(duì)所述配置信息列表進(jìn)行驗(yàn)證,并根據(jù)驗(yàn)證結(jié)果確定所述虛擬機(jī)是否可信。
2.如權(quán)利要求1所述的方法,其特征在于,所述配置信息收集模塊在所述其他內(nèi)核模塊啟動(dòng)時(shí),將所述其他內(nèi)核模塊的名稱和hash值保存到所述配置信息列表中,并將所述其他內(nèi)核模塊的hash值追加到所述VTPM的PCR中; 所述配置信息收集模塊在所述虛擬機(jī)的操作系統(tǒng)運(yùn)行后,將向內(nèi)存中加載的可執(zhí)行程序的名稱和hash值和腳本的名稱和hash值保存到所述配置信息列表中,并將所述可執(zhí)行程序的hash值和腳本的hash值追加到所述VTPM的PCR中。
3.如權(quán)利要求1所述的方法,其特征在于,所述遠(yuǎn)程驗(yàn)證服務(wù)模塊獲取所述配置信息列表,和所述VTPM的PCR中保存的PCR值,并返回給所述外部可信任實(shí)體,具體為: 所述遠(yuǎn)程驗(yàn)證服務(wù)模塊將所述可信證據(jù)驗(yàn)證請(qǐng)求中攜帶的隨機(jī)數(shù)轉(zhuǎn)發(fā)給所述VTPM,以使所述VTPM對(duì)所述隨機(jī)數(shù),以及所述PCR值進(jìn)行簽名; 所述遠(yuǎn)程驗(yàn)證服務(wù)模塊接收所述VTPM返回的AIK證書,以及簽名后的所述隨機(jī)數(shù)、所述PCR值,并將所述配置信息列表,所述AIK證書,以及簽名后的所述隨機(jī)數(shù)、所述PCR值返回給所述外部可信任實(shí)體。
4.一種虛擬機(jī)運(yùn)行時(shí)的可信驗(yàn)證方法,應(yīng)用于包括虛擬機(jī)和外部可信任實(shí)體的系
當(dāng)前第3頁1 2 3 4 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1