本發明公開了一種輕量級可信計算平臺及其通信方法、信任鏈建立方法，其中可信計算平臺將虛擬機分為多個輕量級虛擬域，為了減小虛擬域的系統復雜性和由此產生的潛在威脅，每個虛擬域都盡量輕量化。各虛擬域只包含相關的用戶目錄和設置，而所需的文件系統從存儲域共享的只讀根文件系統模板中加載；將跟網絡相關的網卡驅動和協議棧通過網絡域來統一管理；將跟存儲相關的驅動和協議棧通過存儲域來統一管理，即通過資源分配策略來統一控制各虛擬域訪問存儲資源；各虛擬域通過管理域的桌面來統一顯示與操作，使得管理更加簡單，體驗更加良好。

技術領域

本發明涉及計算機技術領域，尤其涉及一種輕量級可信計算平臺及其通信方法、信任鏈建立方法。

背景技術

圖1示出了現有技術中虛擬化可信計算平臺的示例性架構圖，如圖1所示，現有技術中虛擬化可信計算平臺包括虛擬子系統、虛擬機監視器、系統內核和硬件子系統，虛擬子系統包括多個虛擬域(例如第一虛擬域、第二虛擬域和第三虛擬域)，且每個虛擬域都有一個完整的操作系統，操作系統具體包括底層的虛擬驅動(例如包括網卡驅動、光盤驅動、聲卡驅動和顯卡驅動)、中間層的桌面和文件系統、以及高層的應用軟件(例如辦公軟件和服務軟件)。

現有技術中虛擬化可信計算平臺的缺陷在于：每個虛擬域都有一個完整的操作系統，使得虛擬域體積龐大、占用存儲空間大、難以管理、容易產生很多安全性問題；每個虛擬域對應的操作系統的存儲空間少則幾GB，多則十幾GB，從而當虛擬域的數量超過一定閾值時，硬盤則難以承受；每個虛擬域對應一個單獨的操作系統桌面，使得各虛擬域之間的切換效率較低，用戶難于操作；整個虛擬化可信計算平臺的架構復雜、臃腫，安全性低。

發明內容

為解決現有技術中虛擬化可信計算平臺的架構復雜、臃腫，安全性低的技術缺陷，本發明提供了一種輕量級可信計算平臺及其通信方法、信任鏈建立方法。

本發明的技術方案為：

一種輕量級可信計算平臺，包括：

虛擬子系統，其包括多個虛擬域，所述虛擬域包括虛擬硬件和運行在所述虛擬硬件上的操作系統，所述操作系統包括操作系統內核和應用軟件；

硬件子系統，其包括CPU處理器、網卡、存儲設備和外部設備；

虛擬機監視器，其包括基于可信計算技術的安全內核，所述虛擬域通過所述虛擬機監視器連接所述CPU處理器；以及

管理子系統，其包括：

網絡域，其存儲有網卡驅動，所述虛擬域依次通過所述網絡域和所述虛擬機監視器連接所述網卡；

管理域，其存儲有外部設備驅動和用于管理所述虛擬域的桌面，所述虛擬域依次通過所述管理域和所述虛擬機監視器連接所述外部設備；以及

存儲域，其存儲有存儲設備驅動和只讀根文件系統模板，所述虛擬域所需的共享根文件系統從所述只讀根文件系統模板中加載，所述虛擬域依次通過所述存儲域和所述虛擬機監視器連接所述存儲設備。

優選的是，所述虛擬域設置為向設定級別的用戶提供服務，所述虛擬域的級別和與其相對應的用戶的級別一致。

優選的是，所述CPU處理器包括分別與各所述虛擬域和所述虛擬機監視器一一對應連接的CPU處理核。

優選的是，所述網絡域通過英特爾虛擬化設備連接所述網卡，所述管理域通過英特爾虛擬化設備連接所述外部設備，所述存儲域通過英特爾虛擬化設備連接所述存儲設備。

優選的是，所述英特爾虛擬化設備為英特爾VT-d設備。

優選的是，所述虛擬域通過直接連接方式、虛擬專用網連接方式或者禁止連接方式連接所述網絡域。