值均相等，當判斷結果為是時，則確定啟動當前虛擬機，當判斷結果為否時，確定不啟動當前虛擬機。
[0090]在一種可能的實現(xiàn)方式中，所述第一確定單元，用于設置存儲虛擬機鏡像中待度量的關鍵鏡像文件的信息的列表；
[0091]所述度量單元，用于在執(zhí)行度量當前虛擬機鏡像中的當前關鍵鏡像文件時，具體執(zhí)行:遍歷所述列表，根據(jù)待度量的關鍵鏡像文件的信息，確定當前關鍵鏡像文件，度量當前虛擬機鏡像中的當前關鍵鏡像文件。
[0092]在一種可能的實現(xiàn)方式中，該裝置還包括:第三設置單元，用于設置當前關鍵鏡像文件的第二哈希基準值；
[0093]所述度量單元，用于在執(zhí)行度量當前虛擬機鏡像中的當前關鍵鏡像文件時，具體執(zhí)行:對當前虛擬機鏡像中的當前關鍵鏡像文件進行安全散列算法SHA-1度量，得到當前關鍵鏡像文件的SHA-1哈希值；
[0094]所述第二確定單元，用于判斷所有當前關鍵鏡像文件的SHA-1哈希值之和與所述第二哈?；鶞手凳欠裣嗟?，當判斷結果為是時，確定啟動當前虛擬機，當判斷結果為否時，確定不啟動當前虛擬機。
[0095]在一種可能的實現(xiàn)方式中，所述第一設置單元，用于通過Libvirt庫設置所述安全度量模塊。
[0096]上述裝置內(nèi)的各單元之間的信息交互、執(zhí)行過程等內(nèi)容，由于與本發(fā)明方法實施例基于同一構思，具體內(nèi)容可參見本發(fā)明方法實施例中的敘述，此處不再贅述。
[0097]通過本發(fā)明實施例提供的一種保護虛擬機的安全的方法及裝置，具有如下有益效果:
[0098]1、通過本發(fā)明實施例提供的一種保護虛擬機的安全的方法及裝置，在啟動虛擬機之前，先對虛擬機的關鍵鏡像文件進行度量，根據(jù)度量結果來確定關鍵鏡像文件是否被篡改過，當關鍵鏡像文件被篡改過時，則不啟動當前虛擬機，當關鍵鏡像文件沒有被篡改過時，則啟動當前虛擬機，通過在虛擬機啟動前對虛擬機鏡像進行檢測，能夠對保護虛擬機的安全。
[0099]2、通過本發(fā)明實施例提供的一種保護虛擬機的安全的方法及裝置，在Libvirt接口中添加安全度量策略，即添加安全度量模塊，解耦安全度量模塊與虛擬化平臺，以此來保證虛擬機的安全度量策略可以適配不同類型的虛擬化平臺。此外，通過對Libvirt庫進行二次開發(fā)，添加安全度量模塊，虛擬機管理和監(jiān)控的應用都可以進行不同虛擬化平臺的平滑移植。
[0100]需要說明的是，在本文中，諸如第一和第二之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來，而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且，術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含，從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素，而且還包括沒有明確列出的其他要素，或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下，由語句“包括一個......”限定的要素，并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同因素。
[0101 ] 本領域普通技術人員可以理解:實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成，前述的程序可以存儲在計算機可讀取的存儲介質中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質包括:ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質中。
[0102] 最后需要說明的是:以上所述僅為本發(fā)明的較佳實施例，僅用于說明本發(fā)明的技術方案，并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進等，均包含在本發(fā)明的保護范圍內(nèi)。
【主權項】
1.一種保護虛擬機的安全的方法，其特征在于，包括:預先確定虛擬機鏡像中待度量的關鍵鏡像文件，預先設置安全度量模塊，還包括: 51:加載當前虛擬機的當前虛擬機鏡像； 52:通過Libvirt接口調用所述安全度量模塊，通過所述安全度量模塊度量當前虛擬機鏡像中的當前關鍵鏡像文件； 53:根據(jù)當前關鍵鏡像文件的度量結果，確定是否啟動當前虛擬機。
2.根據(jù)權利要求1所述的方法，其特征在于，在所述SI之前，還包括:預先設置每個當前關鍵鏡像文件的第一哈?；鶞手?； 所述S2中所述度量當前虛擬機鏡像中的當前關鍵鏡像文件，包括: 對當前虛擬機鏡像中的當前關鍵鏡像文件進行安全散列算法SHA-1度量，得到每個當前關鍵鏡像文件的SHA-1哈希值； 所述S3，包括: 判斷是否滿足每個當前關鍵鏡像文件的SHA-1哈希值與對應的第一哈希基準值均相等，如果是，則確定啟動當前虛擬機，否則，確定不啟動當前虛擬機。
3.根據(jù)權利要求1所述的方法，其特征在于，所述預先確定虛擬機鏡像中待度量的關鍵鏡像文件，包括:預先設置存儲虛擬機鏡像中待度量的關鍵鏡像文件的信息的列表； 所述S2中所述度量當前虛擬機鏡像中的當前關鍵鏡像文件，包括:遍歷所述列表，根據(jù)待度量的關鍵鏡像文件的信息，確定當前關鍵鏡像文件，度量當前虛擬機鏡像中的當前關鍵鏡像文件。
4.根據(jù)權利要求1所述的方法，其特征在于，在所述SI之前，還包括:預先設置當前關鍵鏡像文件的第二哈?；鶞手?； 所述S2中所述度量當前虛擬機鏡像中的當前關鍵鏡像文件，包括: 對當前虛擬機鏡像中的當前關鍵鏡像文件進行安全散列算法SHA-1度量，得到當前關鍵鏡像文件的SHA-1哈希值； 所述S3，包括: 判斷所有當前關鍵鏡像文件的SHA-1哈希值之和與所述第二哈?；鶞手凳欠裣嗟?，如果是，則確定啟動當前虛擬機，否則，確定不啟動當前虛擬機。
5.根據(jù)權利要求1所述的方法，其特征在于，所述預先設置安全度量模塊，包括:通過Libvirt庫設置所述安全度量模塊。
6.一種保護虛擬機的安全的裝置，其特征在于，包括: 第一確定單元，用于確定虛擬機鏡像中待度量的關鍵鏡像文件； 第一設置單元，用于設置安全度量模塊； 加載單元，用于加載當前虛擬機的當前虛擬機鏡像； 度量單元，用于通過Libvirt接口調用所述安全度量模塊，通過所述安全度量模塊度量當前虛擬機鏡像中的當前關鍵鏡像文件； 第二確定單元，用于根據(jù)當前關鍵鏡像文件的度量結果，確定是否啟動當前虛擬機。
7.根據(jù)權利要求6所述的裝置，其特征在于，還包括:第二設置單元，用于設置每個當前關鍵鏡像文件的第一哈希基準值； 所述度量單元，用于在執(zhí)行度量當前虛擬機鏡像中的當前關鍵鏡像文件時，具體執(zhí)行:對當前虛擬機鏡像中的當前關鍵鏡像文件進行安全散列算法SHA-1度量，得到每個當前關鍵鏡像文件的SHA-1哈希值； 所述第二確定單元，用于判斷是否滿足每個當前關鍵鏡像文件的SHA-1哈希值與對應的第一哈希基準值均相等，當判斷結果為是時，則確定啟動當前虛擬機，當判斷結果為否時，確定不啟動當前虛擬機。
8.根據(jù)權利要求6所述的裝置，其特征在于，所述第一確定單元，用于設置存儲虛擬機鏡像中待度量的關鍵鏡像文件的信息的列表； 所述度量單元，用于在執(zhí)行度量當前虛擬機鏡像中的當前關鍵鏡像文件時，具體執(zhí)行:遍歷所述列表，根據(jù)待度量的關鍵鏡像文件的信息，確定當前關鍵鏡像文件，度量當前虛擬機鏡像中的當前關鍵鏡像文件。
9.根據(jù)權利要求6所述的裝置，其特征在于，還包括:第三設置單元，用于設置當前關鍵鏡像文件的第二哈希基準值； 所述度量單元，用于在執(zhí)行度量當前虛擬機鏡像中的當前關鍵鏡像文件時，具體執(zhí)行:對當前虛擬機鏡像中的當前關鍵鏡像文件進行安全散列算法SHA-1度量，得到當前關鍵鏡像文件的SHA-1哈希值； 所述第二確定單元，用于判斷所有當前關鍵鏡像文件的SHA-1哈希值之和與所述第二哈?；鶞手凳欠裣嗟?，當判斷結果為是時，確定啟動當前虛擬機，當判斷結果為否時，確定不啟動當前虛擬機。
10.根據(jù)權利要求6所述的裝置，其特征在于，所述第一設置單元，用于通過Libvirt庫設置所述安全度量模塊。
【專利摘要】本發(fā)明提供了一種保護虛擬機的安全的方法及裝置，該方法包括：預先確定虛擬機鏡像中待度量的關鍵鏡像文件，預先設置安全度量模塊，還包括：S1：加載當前虛擬機的當前虛擬機鏡像；S2：通過Libvirt接口調用所述安全度量模塊，通過所述安全度量模塊度量當前虛擬機鏡像中的當前關鍵鏡像文件；S3：根據(jù)當前關鍵鏡像文件的度量結果，確定是否啟動當前虛擬機。通過本發(fā)明提供的一種保護虛擬機的安全的方法及裝置，能夠保護虛擬機的安全。
【IPC分類】G06F21-57, G06F11-14
【公開號】CN104866392
【申請?zhí)枴緾N201510259731
【發(fā)明人】劉海偉
【申請人】浪潮電子信息產(chǎn)業(yè)股份有限公司
【公開日】2015年8月26日
【申請日】2015年5月20日