值均相等���,當(dāng)判斷結(jié)果為是時(shí)��,則確定啟動當(dāng)前虛擬機(jī)��,當(dāng)判斷結(jié)果為否時(shí)��,確定不啟動當(dāng)前虛擬機(jī)���。
[0090]在一種可能的實(shí)現(xiàn)方式中,所述第一確定單元�,用于設(shè)置存儲虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件的信息的列表;
[0091]所述度量單元����,用于在執(zhí)行度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件時(shí),具體執(zhí)行:遍歷所述列表���,根據(jù)待度量的關(guān)鍵鏡像文件的信息,確定當(dāng)前關(guān)鍵鏡像文件���,度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件�����。
[0092]在一種可能的實(shí)現(xiàn)方式中��,該裝置還包括:第三設(shè)置單元����,用于設(shè)置當(dāng)前關(guān)鍵鏡像文件的第二哈希基準(zhǔn)值�;
[0093]所述度量單元,用于在執(zhí)行度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件時(shí)��,具體執(zhí)行:對當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件進(jìn)行安全散列算法SHA-1度量�����,得到當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值�����;
[0094]所述第二確定單元��,用于判斷所有當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值之和與所述第二哈?��;鶞?zhǔn)值是否相等����,當(dāng)判斷結(jié)果為是時(shí),確定啟動當(dāng)前虛擬機(jī)���,當(dāng)判斷結(jié)果為否時(shí)�,確定不啟動當(dāng)前虛擬機(jī)�����。
[0095]在一種可能的實(shí)現(xiàn)方式中�,所述第一設(shè)置單元,用于通過Libvirt庫設(shè)置所述安全度量模塊���。
[0096]上述裝置內(nèi)的各單元之間的信息交互�����、執(zhí)行過程等內(nèi)容�,由于與本發(fā)明方法實(shí)施例基于同一構(gòu)思�����,具體內(nèi)容可參見本發(fā)明方法實(shí)施例中的敘述��,此處不再贅述�。
[0097]通過本發(fā)明實(shí)施例提供的一種保護(hù)虛擬機(jī)的安全的方法及裝置,具有如下有益效果:
[0098]1��、通過本發(fā)明實(shí)施例提供的一種保護(hù)虛擬機(jī)的安全的方法及裝置����,在啟動虛擬機(jī)之前,先對虛擬機(jī)的關(guān)鍵鏡像文件進(jìn)行度量��,根據(jù)度量結(jié)果來確定關(guān)鍵鏡像文件是否被篡改過�����,當(dāng)關(guān)鍵鏡像文件被篡改過時(shí)����,則不啟動當(dāng)前虛擬機(jī),當(dāng)關(guān)鍵鏡像文件沒有被篡改過時(shí)�,則啟動當(dāng)前虛擬機(jī),通過在虛擬機(jī)啟動前對虛擬機(jī)鏡像進(jìn)行檢測����,能夠?qū)ΡWo(hù)虛擬機(jī)的安全。
[0099]2���、通過本發(fā)明實(shí)施例提供的一種保護(hù)虛擬機(jī)的安全的方法及裝置��,在Libvirt接口中添加安全度量策略��,即添加安全度量模塊��,解耦安全度量模塊與虛擬化平臺����,以此來保證虛擬機(jī)的安全度量策略可以適配不同類型的虛擬化平臺。此外�,通過對Libvirt庫進(jìn)行二次開發(fā),添加安全度量模塊���,虛擬機(jī)管理和監(jiān)控的應(yīng)用都可以進(jìn)行不同虛擬化平臺的平滑移植���。
[0100]需要說明的是,在本文中���,諸如第一和第二之類的關(guān)系術(shù)語僅僅用來將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來�����,而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序�����。而且����,術(shù)語“包括”�、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程�、方法、物品或者設(shè)備不僅包括那些要素����,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程��、方法�、物品或者設(shè)備所固有的要素。在沒有更多限制的情況下���,由語句“包括一個(gè)......”限定的要素���,并不排除在包括所述要素的過程、方法���、物品或者設(shè)備中還存在另外的相同因素�。
[0101 ] 本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲在計(jì)算機(jī)可讀取的存儲介質(zhì)中����,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟�;而前述的存儲介質(zhì)包括:ROM、RAM�、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)中。
[0102] 最后需要說明的是:以上所述僅為本發(fā)明的較佳實(shí)施例�,僅用于說明本發(fā)明的技術(shù)方案,并非用于限定本發(fā)明的保護(hù)范圍�����。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改��、等同替換��、改進(jìn)等��,均包含在本發(fā)明的保護(hù)范圍內(nèi)�����。
【主權(quán)項(xiàng)】
1.一種保護(hù)虛擬機(jī)的安全的方法,其特征在于�,包括:預(yù)先確定虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件,預(yù)先設(shè)置安全度量模塊���,還包括: 51:加載當(dāng)前虛擬機(jī)的當(dāng)前虛擬機(jī)鏡像�����; 52:通過Libvirt接口調(diào)用所述安全度量模塊,通過所述安全度量模塊度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件���; 53:根據(jù)當(dāng)前關(guān)鍵鏡像文件的度量結(jié)果���,確定是否啟動當(dāng)前虛擬機(jī)。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,在所述SI之前�,還包括:預(yù)先設(shè)置每個(gè)當(dāng)前關(guān)鍵鏡像文件的第一哈希基準(zhǔn)值����; 所述S2中所述度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件,包括: 對當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件進(jìn)行安全散列算法SHA-1度量,得到每個(gè)當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值�; 所述S3,包括: 判斷是否滿足每個(gè)當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值與對應(yīng)的第一哈?;鶞?zhǔn)值均相等,如果是�,則確定啟動當(dāng)前虛擬機(jī),否則�����,確定不啟動當(dāng)前虛擬機(jī)���。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于����,所述預(yù)先確定虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件,包括:預(yù)先設(shè)置存儲虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件的信息的列表���; 所述S2中所述度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件�,包括:遍歷所述列表��,根據(jù)待度量的關(guān)鍵鏡像文件的信息,確定當(dāng)前關(guān)鍵鏡像文件����,度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,在所述SI之前�,還包括:預(yù)先設(shè)置當(dāng)前關(guān)鍵鏡像文件的第二哈?�;鶞?zhǔn)值�����; 所述S2中所述度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件�,包括: 對當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件進(jìn)行安全散列算法SHA-1度量��,得到當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值����; 所述S3,包括: 判斷所有當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值之和與所述第二哈希基準(zhǔn)值是否相等�,如果是,則確定啟動當(dāng)前虛擬機(jī)��,否則�����,確定不啟動當(dāng)前虛擬機(jī)����。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述預(yù)先設(shè)置安全度量模塊,包括:通過Libvirt庫設(shè)置所述安全度量模塊���。
6.一種保護(hù)虛擬機(jī)的安全的裝置�,其特征在于�,包括: 第一確定單元,用于確定虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件����; 第一設(shè)置單元���,用于設(shè)置安全度量模塊; 加載單元����,用于加載當(dāng)前虛擬機(jī)的當(dāng)前虛擬機(jī)鏡像; 度量單元��,用于通過Libvirt接口調(diào)用所述安全度量模塊�����,通過所述安全度量模塊度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件�; 第二確定單元,用于根據(jù)當(dāng)前關(guān)鍵鏡像文件的度量結(jié)果�,確定是否啟動當(dāng)前虛擬機(jī)。
7.根據(jù)權(quán)利要求6所述的裝置�,其特征在于�,還包括:第二設(shè)置單元,用于設(shè)置每個(gè)當(dāng)前關(guān)鍵鏡像文件的第一哈?;鶞?zhǔn)值; 所述度量單元���,用于在執(zhí)行度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件時(shí)���,具體執(zhí)行:對當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件進(jìn)行安全散列算法SHA-1度量���,得到每個(gè)當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值; 所述第二確定單元���,用于判斷是否滿足每個(gè)當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值與對應(yīng)的第一哈?��;鶞?zhǔn)值均相等,當(dāng)判斷結(jié)果為是時(shí)�����,則確定啟動當(dāng)前虛擬機(jī)���,當(dāng)判斷結(jié)果為否時(shí)�����,確定不啟動當(dāng)前虛擬機(jī)�。
8.根據(jù)權(quán)利要求6所述的裝置�,其特征在于,所述第一確定單元����,用于設(shè)置存儲虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件的信息的列表��; 所述度量單元��,用于在執(zhí)行度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件時(shí)�����,具體執(zhí)行:遍歷所述列表�,根據(jù)待度量的關(guān)鍵鏡像文件的信息��,確定當(dāng)前關(guān)鍵鏡像文件��,度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件����。
9.根據(jù)權(quán)利要求6所述的裝置,其特征在于�����,還包括:第三設(shè)置單元����,用于設(shè)置當(dāng)前關(guān)鍵鏡像文件的第二哈希基準(zhǔn)值���; 所述度量單元����,用于在執(zhí)行度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件時(shí)�,具體執(zhí)行:對當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件進(jìn)行安全散列算法SHA-1度量,得到當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值����; 所述第二確定單元,用于判斷所有當(dāng)前關(guān)鍵鏡像文件的SHA-1哈希值之和與所述第二哈?����;鶞?zhǔn)值是否相等�����,當(dāng)判斷結(jié)果為是時(shí)����,確定啟動當(dāng)前虛擬機(jī),當(dāng)判斷結(jié)果為否時(shí)��,確定不啟動當(dāng)前虛擬機(jī)。
10.根據(jù)權(quán)利要求6所述的裝置�,其特征在于,所述第一設(shè)置單元�,用于通過Libvirt庫設(shè)置所述安全度量模塊。
【專利摘要】本發(fā)明提供了一種保護(hù)虛擬機(jī)的安全的方法及裝置����,該方法包括:預(yù)先確定虛擬機(jī)鏡像中待度量的關(guān)鍵鏡像文件,預(yù)先設(shè)置安全度量模塊�����,還包括:S1:加載當(dāng)前虛擬機(jī)的當(dāng)前虛擬機(jī)鏡像���;S2:通過Libvirt接口調(diào)用所述安全度量模塊�,通過所述安全度量模塊度量當(dāng)前虛擬機(jī)鏡像中的當(dāng)前關(guān)鍵鏡像文件����;S3:根據(jù)當(dāng)前關(guān)鍵鏡像文件的度量結(jié)果,確定是否啟動當(dāng)前虛擬機(jī)���。通過本發(fā)明提供的一種保護(hù)虛擬機(jī)的安全的方法及裝置�,能夠保護(hù)虛擬機(jī)的安全。
【IPC分類】G06F21-57, G06F11-14
【公開號】CN104866392
【申請?zhí)枴緾N201510259731
【發(fā)明人】劉海偉
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2015年8月26日
【申請日】2015年5月20日