本發(fā)明公開了一種虛擬化TPM設(shè)備的系統(tǒng)、方法、虛擬機(jī)及可讀存儲(chǔ)介質(zhì)，應(yīng)用于KVM虛擬化平臺(tái)，包括加載模塊，用于預(yù)先確定一塊虛擬機(jī)磁盤鏡像文件，還用于在接收到確定指令后加載vnvram驅(qū)動(dòng)，使虛擬機(jī)磁盤鏡像文件初始化為虛擬機(jī)的vnvram；監(jiān)測(cè)模塊，用于在監(jiān)測(cè)到虛擬機(jī)磁盤鏡像文件后生成確定指令；創(chuàng)建模塊，用于在接收到用戶發(fā)送的自定義參數(shù)后創(chuàng)建VTPM設(shè)備；度量模塊，用于調(diào)用虛擬機(jī)的BIOS，并對(duì)BIOS進(jìn)行度量得到相應(yīng)的度量值和拓展值，還用于將BIOS的度量值和拓展值記錄到vnvram中。本發(fā)明可以有效地防止非法用戶對(duì)虛擬機(jī)的惡意訪問，而且虛擬機(jī)可以遷移到任意可信任的物理服務(wù)器上。

技術(shù)領(lǐng)域

本發(fā)明涉及虛擬化領(lǐng)域，特別是涉及一種虛擬化TPM設(shè)備的系統(tǒng)、方法、虛擬機(jī)及可讀存儲(chǔ)介質(zhì)。

背景技術(shù)

近年來隨著云計(jì)算的發(fā)展，KVM(Kernel-based Virtual Machine，基于內(nèi)核的虛擬機(jī))虛擬化技術(shù)得到了大量應(yīng)用，隨著大量業(yè)務(wù)遷移到KVM虛擬化平臺(tái)，越來越多的第三方惡意者向虛擬機(jī)內(nèi)植入惡意代碼、病毒、木馬等，造成虛擬機(jī)的損壞和數(shù)據(jù)的丟失。在現(xiàn)有技術(shù)中，一般是將物理服務(wù)器上的TPM(Trusted Platform Module，可信賴平臺(tái))設(shè)備透?jìng)鹘o虛擬機(jī)使用，使虛擬機(jī)直接使用TPM設(shè)備來完成各項(xiàng)與可信計(jì)算相關(guān)的功能，其中，TPM設(shè)備具有存儲(chǔ)功能和度量功能，可以有效地防止非法用戶對(duì)虛擬機(jī)的惡意訪問。

但是采用上述方法，虛擬機(jī)會(huì)直接使用TPM設(shè)備，導(dǎo)致物理服務(wù)器不能再使用此TPM設(shè)備，使得物理服務(wù)器的可信度降低；在實(shí)際應(yīng)用中，每個(gè)物理服務(wù)器只包括一塊TPM設(shè)備，且每塊TPM設(shè)備只能透?jìng)鹘o一臺(tái)虛擬機(jī)使用，而KVM虛擬化平臺(tái)中一般會(huì)有多臺(tái)虛擬機(jī)同時(shí)運(yùn)行，所以無法保證每臺(tái)虛擬機(jī)都可以分配到一塊TPM設(shè)備，也就不能保證每臺(tái)虛擬機(jī)的安全度和可信度；虛擬機(jī)有遷移功能，若想將虛擬機(jī)從物理服務(wù)器A遷移到物理服務(wù)器B上，由于虛擬機(jī)使用的TPM設(shè)備是和物理服務(wù)器A綁定的，因此無法將此TPM設(shè)備一同遷移到物理服務(wù)器B上，從而限制了虛擬機(jī)的遷移功能。

因此，如何提供一種解決上述技術(shù)問題的方案是本領(lǐng)域技術(shù)人員目前需要解決的問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種虛擬化TPM設(shè)備的系統(tǒng)、方法、虛擬機(jī)及可讀存儲(chǔ)介質(zhì)，在不降低物理服務(wù)器的可信度的同時(shí)，又可以有效地防止非法用戶對(duì)虛擬機(jī)的惡意訪問，虛擬機(jī)可以遷移到任意可信任的物理服務(wù)器上，不受TPM設(shè)備綁定物理服務(wù)器的限制。

為解決上述技術(shù)問題，本發(fā)明提供了一種虛擬化TPM設(shè)備的系統(tǒng)，應(yīng)用于KVM虛擬化平臺(tái)，包括：

加載模塊，用于預(yù)先確定一塊虛擬機(jī)磁盤鏡像文件，還用于在接收到確定指令后加載虛擬非易失性隨機(jī)訪問存儲(chǔ)器vnvram驅(qū)動(dòng)，使所述虛擬機(jī)磁盤鏡像文件初始化為虛擬機(jī)的vnvram，其中，所述vnvram包括一個(gè)調(diào)用接口，以便虛擬可信賴平臺(tái)VTPM設(shè)備調(diào)用所述vnvram；

監(jiān)測(cè)模塊，用于在監(jiān)測(cè)到所述虛擬機(jī)磁盤鏡像文件后生成所述確定指令；

創(chuàng)建模塊，用于在接收到用戶發(fā)送的自定義參數(shù)后創(chuàng)建所述VTPM設(shè)備；

度量模塊，用于調(diào)用所述虛擬機(jī)的基本輸入輸出系統(tǒng)BIOS，并對(duì)所述BIOS進(jìn)行度量得到相應(yīng)的度量值和拓展值，還用于將所述BIOS的度量值和拓展值記錄到所述vnvram中。

優(yōu)選的，所述虛擬機(jī)磁盤鏡像文件為qcow2類型的虛擬磁盤鏡像文件。

優(yōu)選的，所述創(chuàng)建模塊包括：

tpm-tis模塊，用于為所述VTPM設(shè)備分配及初始化所述虛擬機(jī)的內(nèi)存空間；

tpm-nvram模塊，用于調(diào)用所述vnvram的調(diào)用接口，以便所述VTPM設(shè)備實(shí)現(xiàn)存儲(chǔ)功能；

tpm-libtpms模塊，用于調(diào)用libtpms庫，以便所述VTPM設(shè)備實(shí)現(xiàn)度量功能。