一種保護虛擬機安全的方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機技術(shù)領(lǐng)域,特別涉及一種保護虛擬機的安全的方法及裝置�����。
【背景技術(shù)】
[0002]虛擬化技術(shù)是指利用計算機軟件服務將計算機IT(Informat1n Technology,信息技術(shù))物理資源模擬成邏輯資源�����,從而將IT資源邏輯抽象成資源池���。把物理資源抽象成資源池后��,可以對各種分散的資源進行集中的監(jiān)控���、管理、和維護�����。虛擬化技術(shù)具有以下優(yōu)勢:簡化IT操作����,提高管理效率;整合服務���,使得資源利用率最大化�;集中數(shù)據(jù)中心管理;提高業(yè)務系統(tǒng)連續(xù)性等��。隨著虛擬化技術(shù)的快速發(fā)展���,對虛擬機的安全保護也越來越重要�����。
[0003]目前���,傳統(tǒng)的安全措施和工具都是基于物理機開發(fā)的,而虛擬化技術(shù)打破了傳統(tǒng)的主機�、網(wǎng)絡邊界的劃分,在虛擬化環(huán)境下���,傳統(tǒng)的安全機制不再適用�����。
【發(fā)明內(nèi)容】
[0004]有鑒于此����,本發(fā)明提供了一種保護虛擬機的安全的方法及裝置,能夠保護虛擬機的安全��。
[0005]一方面�,本發(fā)明提供了一種保護虛擬機的安全的方法�����,包括:預先確定虛擬機鏡像中待度量的關(guān)鍵鏡像文件����,預先設置安全度量模塊,還包括:
[0006]S1:加載當前虛擬機的當前虛擬機鏡像��;
[0007]S2:通過Libvirt接口調(diào)用所述安全度量模塊����,通過所述安全度量模塊度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件;
[0008]S3:根據(jù)當前關(guān)鍵鏡像文件的度量結(jié)果����,確定是否啟動當前虛擬機。
[0009]進一步地�����,在所述SI之前,還包括:預先設置每個當前關(guān)鍵鏡像文件的第一哈?�;鶞手?��;
[0010]所述S2中所述度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件�����,包括:
[0011]對當前虛擬機鏡像中的當前關(guān)鍵鏡像文件進行安全散列算法SHA-1度量����,得到每個當前關(guān)鍵鏡像文件的SHA-1哈希值�����;
[0012]所述S3�����,包括:
[0013]判斷是否滿足每個當前關(guān)鍵鏡像文件的SHA-1哈希值與對應的第一哈?�;鶞手稻嗟?��,如果是�����,則確定啟動當前虛擬機�,否則,確定不啟動當前虛擬機���。
[0014]進一步地,所述預先確定虛擬機鏡像中待度量的關(guān)鍵鏡像文件���,包括:預先設置存儲虛擬機鏡像中待度量的關(guān)鍵鏡像文件的信息的列表��;
[0015]所述S2中所述度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件����,包括:遍歷所述列表�,根據(jù)待度量的關(guān)鍵鏡像文件的信息,確定當前關(guān)鍵鏡像文件����,度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件。
[0016]進一步地�����,在所述SI之前,還包括:預先設置當前關(guān)鍵鏡像文件的第二哈?;鶞手担?br>[0017]所述S2中所述度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件�,包括:
[0018]對當前虛擬機鏡像中的當前關(guān)鍵鏡像文件進行安全散列算法SHA-1度量,得到當前關(guān)鍵鏡像文件的SHA-1哈希值���;
[0019]所述S3����,包括:
[0020]判斷所有當前關(guān)鍵鏡像文件的SHA-1哈希值之和與所述第二哈?�;鶞手凳欠裣嗟?�,如果是����,則確定啟動當前虛擬機,否則�����,確定不啟動當前虛擬機�����。
[0021]進一步地,所述預先設置安全度量模塊���,包括:通過Libvirt庫設置所述安全度量豐旲塊�����。
[0022]另一方面�����,本發(fā)明提供了一種保護虛擬機的安全的裝置,包括:
[0023]第一確定單元�����,用于確定虛擬機鏡像中待度量的關(guān)鍵鏡像文件�;
[0024]第一設置單元,用于設置安全度量模塊��;
[0025]加載單元�����,用于加載當前虛擬機的當前虛擬機鏡像����;
[0026]度量單元����,用于通過Libvirt接口調(diào)用所述安全度量模塊��,通過所述安全度量模塊度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件��;
[0027]第二確定單元�����,用于根據(jù)當前關(guān)鍵鏡像文件的度量結(jié)果�����,確定是否啟動當前虛擬機�。
[0028]進一步地,還包括:第二設置單元�����,用于設置每個當前關(guān)鍵鏡像文件的第一哈?;鶞手担?br>[0029]所述度量單元��,用于在執(zhí)行度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件時,具體執(zhí)行:對當前虛擬機鏡像中的當前關(guān)鍵鏡像文件進行安全散列算法SHA-1度量��,得到每個當前關(guān)鍵鏡像文件的SHA-1哈希值�;
[0030]所述第二確定單元,用于判斷是否滿足每個當前關(guān)鍵鏡像文件的SHA-1哈希值與對應的第一哈?��;鶞手稻嗟?�,當判斷結(jié)果為是時����,則確定啟動當前虛擬機����,當判斷結(jié)果為否時���,確定不啟動當前虛擬機�����。
[0031]進一步地�����,所述第一確定單元���,用于設置存儲虛擬機鏡像中待度量的關(guān)鍵鏡像文件的信息的列表��;
[0032]所述度量單元���,用于在執(zhí)行度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件時,具體執(zhí)行:遍歷所述列表��,根據(jù)待度量的關(guān)鍵鏡像文件的信息����,確定當前關(guān)鍵鏡像文件,度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件����。
[0033]進一步地,還包括:第三設置單元����,用于設置當前關(guān)鍵鏡像文件的第二哈希基準值��;
[0034]所述度量單元,用于在執(zhí)行度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件時��,具體執(zhí)行:對當前虛擬機鏡像中的當前關(guān)鍵鏡像文件進行安全散列算法SHA-1度量�����,得到當前關(guān)鍵鏡像文件的SHA-1哈希值��;
[0035]所述第二確定單元���,用于判斷所有當前關(guān)鍵鏡像文件的SHA-1哈希值之和與所述第二哈?����;鶞手凳欠裣嗟?�,當判斷結(jié)果為是時��,確定啟動當前虛擬機�,當判斷結(jié)果為否時���,確定不啟動當前虛擬機。
[0036]進一步地����,所述第一設置單元����,用于通過Libvirt庫設置所述安全度量模塊���。
[0037]本發(fā)明提供了一種保護虛擬機的安全的方法及裝置�,在啟動虛擬機之前���,先對虛擬機的關(guān)鍵鏡像文件進行度量�,根據(jù)度量結(jié)果來確定關(guān)鍵鏡像文件是否被篡改過�����,當關(guān)鍵鏡像文件被篡改過時���,則不啟動當前虛擬機�����,當關(guān)鍵鏡像文件沒有被篡改過時�,則啟動當前虛擬機�����,通過在虛擬機啟動前對虛擬機鏡像進行檢測,能夠?qū)ΡWo虛擬機的安全����,通過Libvirt接口調(diào)用預先設置的安全度量模塊來實現(xiàn)對當前關(guān)鍵鏡像文件度量,能夠適用于多種虛擬平臺下的虛擬機���,更加靈活方便����。
【附圖說明】
[0038]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地���,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖��。
[0039]圖1是本發(fā)明一實施例提供的一種保護虛擬機的安全的方法的流程圖����;
[0040]圖2是一種Libvirt庫的層次結(jié)構(gòu)示意圖;
[0041]圖3是一種KVM虛擬機的系統(tǒng)架構(gòu)示意圖��;
[0042]圖4是本發(fā)明一實施例提供的另一種保護虛擬機的安全的方法的流程圖����;
[0043]圖5是本發(fā)明一實施例提供的一種保護虛擬機的安全的裝置的示意圖。
【具體實施方式】
[0044]為使本發(fā)明實施例的目的��、技術(shù)方案和優(yōu)點更加清楚���,下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述����,顯然�����,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例�,基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例���,都屬于本發(fā)明保護的范圍�。
[0045]如圖1所示����,本發(fā)明實施例提供了一種保護虛擬機的安全的方法,該方法可以包括以下步驟:
[0046]SO:預先確定虛擬機鏡像中待度量的關(guān)鍵鏡像文件���,預先設置安全度量模塊����;
[0047]S1:加載當前虛擬機的當前虛擬機鏡像�;
[0048]S2:通過Libvirt接口調(diào)用所述安全度量模塊,通過所述安全度量模塊度量當前虛擬機鏡像中的當前關(guān)鍵鏡像文件��;
[0049]S3:根據(jù)當前關(guān)鍵鏡像文件的度量結(jié)果����,確定是否啟動當前虛擬機��。
[0050]本發(fā)明實施例提供了一種保護虛擬機的安全的方法����,在啟動虛擬機之前���,先對虛擬機的關(guān)鍵鏡像文件進行度量,根據(jù)度量結(jié)果來確定關(guān)鍵鏡像文件是否被篡改過��,當關(guān)鍵鏡像文件被篡改過時�����,則不啟動當前虛擬機�����,當關(guān)鍵鏡像文件沒有被篡改過時�,則啟動當前虛擬機,通過在虛擬機啟動前對虛擬機鏡像進行檢測��,能夠?qū)ΡWo虛擬機的安全����,通過Libvirt接口調(diào)用預先設置的安全度量模塊來實現(xiàn)對當前關(guān)鍵鏡像文件度量��,能夠適用于多種虛擬平臺下的虛擬機�,更加靈活方便���。
[0051]Libvirt是目前對虛擬機管理�����、控制應用最為廣泛的工具和API (Applicat1nProgramming Interface��,應用程序編程接口)��,針對不同的虛擬化平臺����,提供了統(tǒng)一的接口���。它主要通過分層設計思路�,保證了底層