技術(shù)領(lǐng)域

本發(fā)明涉及可信驗(yàn)證，具體涉及一種在全虛擬化環(huán)境下基于BIOS中斷調(diào)用實(shí)現(xiàn)可信驗(yàn)證的方法，屬于可信計(jì)算領(lǐng)域。

背景技術(shù)

全虛擬化(Full?Virtualization)，也稱為原始虛擬化技術(shù),該技術(shù)使用虛擬機(jī)協(xié)調(diào)客戶操作系統(tǒng)和原始硬件，一些受保護(hù)的指令由虛擬機(jī)管理程序(Hypervisor)來捕獲和處理。全虛擬化的運(yùn)行速度優(yōu)于硬件模擬，最大特點(diǎn)是客戶操作系統(tǒng)無需經(jīng)過任何修改，所以原來基于客戶操作系統(tǒng)的所有軟件都能不加修改在全虛擬化環(huán)境下運(yùn)行。基于這種優(yōu)點(diǎn)，把可信驗(yàn)證技術(shù)融入到全虛擬化環(huán)境下，是解決全虛擬化環(huán)境下軟件運(yùn)行安全性、完整性、可信性的關(guān)鍵手段。使用“全虛擬化環(huán)境and可信驗(yàn)證”、“BIOS中斷調(diào)用and可信驗(yàn)證”、“啟動(dòng)加載器驗(yàn)證方法”作為關(guān)鍵詞進(jìn)行專利檢索，沒有找到使用BIOS中斷的方式進(jìn)行可信驗(yàn)證方面的專利，更沒有找到在全虛擬化環(huán)境下使用BIOS中斷方式進(jìn)行啟動(dòng)加載器可信驗(yàn)證的專利。

在全虛擬化環(huán)境下，首先，虛擬機(jī)的啟動(dòng)也要通過啟動(dòng)加載器加載客戶操作系統(tǒng)，然而啟動(dòng)加載器本身的完整性如何驗(yàn)證亟待解決；其次，啟動(dòng)加載器本身代碼非常精巧，例如，一種稱為GRUB的啟動(dòng)加載器其Stage1和Start功能代碼編譯后只有512字節(jié)，在這樣精巧設(shè)計(jì)的代碼中進(jìn)行完整性驗(yàn)證更加困難。虛擬化技術(shù)作為云計(jì)算的技術(shù)支撐基石，解決好全虛擬化環(huán)境下虛擬機(jī)啟動(dòng)加載器的可信驗(yàn)證問題，對(duì)于當(dāng)前的可信云安全技術(shù)也具有非常重要的意義。

發(fā)明內(nèi)容

本發(fā)明公開一種全虛擬化環(huán)境下啟動(dòng)加載器的可信驗(yàn)證方法，包括：

步驟1，部署生成可信基準(zhǔn)值鏈表Encrypted_Link_Trusted；

步驟2，啟動(dòng)非特權(quán)域虛擬機(jī)時(shí)把鏈表Encrypted_Link_Trusted拷貝到非特權(quán)域虛擬機(jī)內(nèi)存的指定位置；

步驟3，非特權(quán)域虛擬機(jī)的Rombios中驗(yàn)證非特權(quán)域虛擬機(jī)的GRUB的Stage1，其中Stage1為GRUB啟動(dòng)的階段；

步驟4，非特權(quán)域虛擬機(jī)的GRUB的Stage1驗(yàn)證非特權(quán)域虛擬機(jī)的GRUB的Start；

步驟5，非特權(quán)域虛擬機(jī)的GRUB的Start驗(yàn)證非特權(quán)域虛擬機(jī)的GRUB的Stage1_5；其中Start為GRUB啟動(dòng)的階段；

步驟6，非特權(quán)域虛擬機(jī)的GRUB的Stage1_5驗(yàn)證非特權(quán)域虛擬機(jī)的GRUB的Stage2，其中Stage1_5、Stage2為GRUB啟動(dòng)的階段。

所述的全虛擬化環(huán)境下啟動(dòng)加載器的可信驗(yàn)證方法，所述步驟1還包括：

步驟21，修改Xen的Rombios的功能代碼，增加GRUB的Stage1、GRUB的Start、GRUB的Stage1_5對(duì)BIOS的請(qǐng)求驗(yàn)證的中斷響應(yīng)函數(shù)；

步驟22，修改GRUB的Stage1功能代碼，加入用BIOS中斷的方式請(qǐng)求驗(yàn)證GRUB的Start的功能代碼，并檢查修改后的GRUB的Stage1代碼是否滿足編譯后正好是512字節(jié)且安裝在主引導(dǎo)扇區(qū)之后沒有破環(huán)磁盤分區(qū)表的大小和結(jié)構(gòu)，檢查的方法是與沒有修改過的GRUB的Stage1生成的二進(jìn)制代碼進(jìn)行比較；

步驟23，修改GRUB的Start功能代碼，加入用BIOS中斷的方式請(qǐng)求驗(yàn)證GRUB的Stage1_5的功能代碼，并檢查修改后的Start代碼是否滿足編譯后正好是512字節(jié)且安裝后位于0面0道的第2扇區(qū)，檢查的方法是與沒有修改過GRUB的Start生成的二進(jìn)制代碼進(jìn)行比較；

步驟24，修改GRUB的Stage1_5功能代碼，加入用BIOS中斷的方式請(qǐng)求驗(yàn)證GRUB的Stage2的功能代碼，由于Stage1_5已經(jīng)準(zhǔn)備好C語言的運(yùn)行環(huán)境，并且開始支持文件系統(tǒng)，所以修改后的GRUB的Stage1_5生成的二進(jìn)制代碼不需要與沒有修改過的GRUB的Stage1_5生成的二進(jìn)制代碼相比較；

步驟25，計(jì)算出修改后的GRUB的Stage1、Start、Stage1_5的可信驗(yàn)證基準(zhǔn)值，計(jì)算出沒有修改的GRUB的Stage2的可信驗(yàn)證基準(zhǔn)值，并把這四個(gè)基準(zhǔn)值組成一個(gè)鏈表Link_Trusted，同時(shí)，將Link_Trusted用RSA算法加密生成Encrypted_Link_Trusted。

所述的全虛擬化環(huán)境下啟動(dòng)加載器的可信驗(yàn)證方法，所述步驟2還包括：

步驟31，特權(quán)域解析hvmloader并將可加載的段拷貝到非特權(quán)域虛擬機(jī)內(nèi)存中；