[发明专利]一种度量方法、装置及相关设备

说明书

本发明实施例提供一种度量方法、装置及相关设备，所述方法通过获取虚拟机管理器的代码加载至内存的代码起止地址，向可信硬件发送至少携带所述代码起止地址的度量请求，所述度量请求用于请求所述可信硬件度量所述虚拟机管理器的代码，进而获取可信硬件发送的所述虚拟机管理器的度量结果，其中，所述度量结果用于指示所述虚拟机管理器的代码是否完整，从而验证虚拟机管理器的完整性。

技术领域

本发明实施例涉及可信度量技术领域，具体涉及一种度量方法、装置及相关设备。

背景技术

通过虚拟化技术(Virtualization)，物理主机可虚拟化出多台虚拟机(VirtualMachine，VM)，从而最大化的利用物理主机的硬件资源。虚拟机可由虚拟机管理器(VirtualMachine Management，VMM)创建和运行。通常，虚拟机管理器将物理主机虚拟化为虚拟机，并为虚拟化出的虚拟机分配内存(空间)，虚拟机的内存空间可加载支持虚拟机运行所用的虚拟机代码。

针对虚拟机恶意攻击，将对虚拟机的正常运行造成严重威胁，由于针对虚拟机的恶意攻击主要集中在对虚拟机代码的恶意篡改上，因此目前可通过验证虚拟机代码的完整性(即验证虚拟机代码是否完整未被篡改)，来判断虚拟机代码是否被恶意攻击，从而为虚拟机的安全保护提供可能。而虚拟机管理器作为管理虚拟机的主要组件，也极可能存在被恶意攻击的情况，因此如何提供度量方案，以验证虚拟机管理器的完整性，是亟待解决的一个技术问题。

发明内容

有鉴于此，本发明实施例提供一种度量方法、装置及相关设备，以验证虚拟机管理器的完整性。

为实现上述目的，本发明实施例提供如下技术方案：

第一方面，本发明实施例提供一种度量方法，应用于CPU，包括：

获取虚拟机管理器的代码加载至内存的代码起止地址；

向可信硬件发送至少携带所述代码起止地址的度量请求，所述度量请求用于请求所述可信硬件度量所述虚拟机管理器的代码；

获取可信硬件发送的所述虚拟机管理器的度量结果，其中，所述度量结果用于指示所述虚拟机管理器的代码是否完整。

第二方面，本发明实施例还提供一种度量方法，应用于可信硬件，包括：

获取CPU发送的虚拟机管理器的度量请求，所述度量请求包括所述虚拟机管理器的代码加载至内存的代码起止地址；

响应于所述度量请求，度量所述代码起止地址内的代码，得到所述虚拟机管理器的度量结果；

向CPU发送所述度量结果，所述度量结果用于指示所述虚拟机管理器的代码是否完整。

第三方面，本发明实施例还提供一种度量装置，包括虚拟机管理器度量管理模块、度量代理模块和度量结果获取模块：

所述虚拟机管理器度量管理模块，用于获取虚拟机管理器的代码加载至内存的代码起止地址，并通过度量代理模块向可信硬件发送至少携带所述代码起止地址的度量请求，所述度量请求用于请求所述可信硬件度量所述虚拟机管理器的代码；

并且，所述虚拟机管理器度量管理模块，还用于通过度量代理模块获取可信硬件发送的所述虚拟机管理器的度量结果，其中，所述度量结果用于指示所述虚拟机管理器的代码是否完整

第四方面，本发明实施例还提供一种度量装置，包括：

度量请求获取模块，用于获取CPU发送的虚拟机管理器的度量请求，所述度量请求包括所述虚拟机管理器的代码加载至内存的代码起止地址；

度量模块，用于响应于所述度量请求，度量所述代码起止地址内的代码，得到所述虚拟机管理器的度量结果；