-
公开(公告)号:CN113127148A
公开(公告)日:2021-07-16
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
公开(公告)号:CN113127148B
公开(公告)日:2024-04-09
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
公开(公告)号:CN112905300A
公开(公告)日:2021-06-04
申请号:CN202110239800.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种虚拟机的可信启动方法及系统,包括:宿主机启动过程中,通过服务器内置安全芯片对宿主机系统进行安全度量,确保宿主机系统的可信;在宿主机中用虚拟统一可扩展固件接口引导虚拟机启动,并依据虚拟统一可扩展固件接口读取的虚拟机镜像内的虚拟机核心文件,生成度量值;所述度量值经至虚拟机监视器,传递给服务器内置安全芯片;依据所述度量值及服务器内置安全芯片中度量基准值,判定是否启动所述虚拟机。本发明解决了虚拟机内核被篡改、启动过程安全性保证难等问题,结合内置安全芯片将虚拟机核心文件的度量基准值存入内置安全芯片中,确保度量基准值的存储安全性,使用虚拟UEFI对虚拟机核心文件做度量,精简了可信启动流程。
-
公开(公告)号:CN112905300B
公开(公告)日:2025-02-25
申请号:CN202110239800.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种虚拟机的可信启动方法及系统,包括:宿主机启动过程中,通过服务器内置安全芯片对宿主机系统进行安全度量,确保宿主机系统的可信;在宿主机中用虚拟统一可扩展固件接口引导虚拟机启动,并依据虚拟统一可扩展固件接口读取的虚拟机镜像内的虚拟机核心文件,生成度量值;所述度量值经至虚拟机监视器,传递给服务器内置安全芯片;依据所述度量值及服务器内置安全芯片中度量基准值,判定是否启动所述虚拟机。本发明解决了虚拟机内核被篡改、启动过程安全性保证难等问题,结合内置安全芯片将虚拟机核心文件的度量基准值存入内置安全芯片中,确保度量基准值的存储安全性,使用虚拟UEFI对虚拟机核心文件做度量,精简了可信启动流程。
-
公开(公告)号:CN112882799A
公开(公告)日:2021-06-01
申请号:CN202110239790.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移系统,涉及虚拟化安全领域,该系统包括内置安全芯片、服务器操作系统、虚拟机管理器,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。本发你能够实现对虚拟机进行可信迁移,防止虚拟机迁移过程中遭遇的恶意攻击。
-
Patent Agency Ranking
公开(公告)号:CN112860380A
公开(公告)日:2021-05-28
申请号:CN202110240840.5
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移方法,涉及虚拟化安全领域,在源服务器的虚拟机管理器中设置虚拟度量设备模块,对虚拟机内存进行读取和度量,将度量得到的虚拟机可信信息存储在该源服务器的内置安全芯片中,再加密传输给目的服务器的内置安全芯片中;当刷新脏页至设定阈值以下时,使源服务器的虚拟机进入挂起状态,然后加密传输虚拟机的剩余内存信息;目的服务器根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复,并根据恢复情况执行对应操作。本发明可以防止虚拟机迁移过程中遭遇的恶意攻击。
-
公开(公告)号:CN112883369B
公开(公告)日:2024-08-20
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
公开(公告)号:CN112445537B
公开(公告)日:2022-04-15
申请号:CN202011453447.6
申请日:2020-12-11
Applicant: 中国科学院信息工程研究所
IPC: G06F9/4401 , G06F21/44
Abstract: 本申请实施例提供了一种操作系统启动方法、装置、移动终端和存储介质,移动终端上电后首先启动可信平台模块,再通过可信平台模块对只读存储器进行完整性校验,只读存储器校验通过之后,再通过只读存储器对存储在只读存储器内的启动引导程序进行完整性校验,在启动引导程序的完整性校验通过之后,运行启动引导程序,以启动操作系统。本申请实施例在启动操作系统之前,通过一条可信启动验证链对只读存储器和启动引导程序进行完整性校验,保证只读存储器和启动引导程序的可信度,只有在确认只读存储器和启动引导程序未被篡改之后才会运行启动引导程序,从而可以避免启动已经被恶意程序篡改的不被信任的操作系统,防止用户的个人信息泄露或被篡改。
-
公开(公告)号:CN112883369A
公开(公告)日:2021-06-01
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
公开(公告)号:CN112445537A
公开(公告)日:2021-03-05
申请号:CN202011453447.6
申请日:2020-12-11
Applicant: 中国科学院信息工程研究所
IPC: G06F9/4401 , G06F21/44
Abstract: 本申请实施例提供了一种操作系统启动方法、装置、移动终端和存储介质,移动终端上电后首先启动可信平台模块,再通过可信平台模块对只读存储器进行完整性校验,只读存储器校验通过之后,再通过只读存储器对存储在只读存储器内的启动引导程序进行完整性校验,在启动引导程序的完整性校验通过之后,运行启动引导程序,以启动操作系统。本申请实施例在启动操作系统之前,通过一条可信启动验证链对只读存储器和启动引导程序进行完整性校验,保证只读存储器和启动引导程序的可信度,只有在确认只读存储器和启动引导程序未被篡改之后才会运行启动引导程序,从而可以避免启动已经被恶意程序篡改的不被信任的操作系统,防止用户的个人信息泄露或被篡改。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.024 seconds)
