本發明公開了一種基于VTPM對虛擬機進行安全保護的方法及系統，屬于互聯網技術領域。該方法包括：物理主機接收虛擬機發送的基礎種子獲取請求，該基礎種子獲取請求中至少攜帶UUID；物理主機將UUID發送至KMC，以便KMC根據UUID生成基礎種子；物理主機接收KMC反饋的基礎種子，將基礎種子發送至虛擬機，以便虛擬機根據基礎種子創建VTPM的根密鑰，該根密鑰用于VTPM為虛擬機創建密鑰以保護虛擬機的安全。本發明不依賴于任一物理主機，通過第三方設備為虛擬機派發基礎種子，從而在虛擬機從一個物理主機遷移到另一個物理主機上時，通過基礎種子即可創建出相同的根密鑰，不僅降低了操作復雜度、節省了資源，而且不會破壞虛擬機中的密鑰層次。

技術領域

本發明涉及互聯網技術領域，特別涉及一種基于VTPM對虛擬機進行安全保護的方法及系統。

背景技術

在現代生活中，互聯網為用戶的生活帶來了極大的便利，同時也滋生了很多欺詐和犯罪行為，加上互聯網上客觀存在的各種各樣的漏洞，就衍生出一系列信息安全問題。隨著互聯網日益深入到政治、軍事、經濟、文化、生活的方方面面，信息安全已成為影響國家安全、社會穩定、經濟發展的重大問題，必須采取有力措施保障信息安全。

以對虛擬機的安全進行保護為例，當前主要通過物理主機中的TPM為虛擬機中的VTPM(Virtualizing the Trusted Platform Module，虛擬可信平臺模塊)創建根密鑰，VTPM利用該根密鑰為虛擬機創建密鑰保護體系，以保護虛擬機的敏感信息、存儲虛擬環境度量值、為虛擬機提供遠程證明等。對于VTPM對虛擬機進行安全保護的過程如下：

TPM為物理主機創建AIK(Attestation Identity Key，證言身份密鑰)，隱私CA(Certification Authority，證書)對所創建的AIK進行簽名后，TPM將簽名后的AIK及Quote(引用)命令發送至物理主機上的任一VTPM，該VTPM通過采用簽名后的AIK及Quote命令，為虛擬機創建EK`，并基于EK`為虛擬機創建AIK`，進而基于所創建的EK`和AIK`對虛擬機的安全進行保護。

在實現本發明的過程中，發明人發明現有技術至少存在以下問題：

在上述過程中，VTPM得以對虛擬機進行安全保護主要依賴于TPM所創建的AIK，而當虛擬機從一個物理主機遷移到另一個物理主機上時，VTPM為虛擬機創建的密鑰保護體系將不再適用，此時需要在新的物理主機上為虛擬機重新創建新的密鑰保護體系，該過程不僅操作復雜、資源消耗較大，且破壞了虛擬機中的密鑰層次。

發明內容

為了解決相關技術的問題，本發明實施例提供了一種基于VTPM對虛擬機進行安全保護的方法及系統。

第一方面，本發明實施例提供了一種基于VTPM對虛擬機的安全進行保護的方法，該方法包括：當虛擬機在虛擬平臺上初次運行時，虛擬機向物理主機發送基礎種子獲取請求，該基礎種子獲取請求中攜帶UUID(Universally Unique Identifier，通用唯一標識碼)等信息。物理主機接收虛擬機發送的基礎種子獲取請求，并將基礎種子獲取請求中所攜帶的UUID發送至KMC(Key Management Center，密鑰管理中心)。KMC基于該UUIID生成基礎種子，并將所生成的基礎種子發送至虛擬機。當接收機到KMC發送的基礎種子，虛擬機根據基礎種子為VTPM創建根密鑰，進而創建密鑰保護體系。由于該基礎種子并不依賴于物理主機，而是由KMC進行派發，因而當虛擬機從一個物理主機上遷移到另一個物理主機時，虛擬機可根據該基礎種子重新為VTPM創建密鑰保護體系，以保護虛擬機中數據安全。