互联网科技
2022-07-29
前言
TPM主要是利用经过安全验证的加密密钥为设备带来更强的安全性,它是许多安全应用的核心。本期智汇华云,从实际TPM设备应用场景出发,简单介绍TPM直通给虚拟机技术的架构和原理。
1,什么是TPM
TPM的全称是信赖平台模组或是称为可信平台模组(Trusted Platform Module,缩写:TPM),这是一项安全密码处理器的国际标准,旨在使用装置中整合的专用芯片,可以处理装置中的加密金钥。TPM主要是利用经过安全验证的加密密钥为设备带来更强的安全性,它是许多安全应用的核心。比如windows系统里面的Bitlocker就需要用到TPM,微软通过将TPM 2.0设为强制性系统要求来提高Windows 11操作系统的安全基线。目前的主流的电脑基本都已经支持TPM 2.0功能。
未来的PC需要这种现代硬件信任根来帮助抵御常见和复杂的攻击,如勒索软件和来自民族国家的更复杂的攻击。通过要求内置根的信任需要TPM 2.0提升了硬件的安全标准。
2,TPM在虚拟化场景的应用
2.1 准备工作
正常来说,物理机上的TPM是给host使用的,本文结合虚拟化场景,尝试TPM设备直通给虚拟机使用。
首先,我们需要在服务器的BIOS里面开启TPM,进入IPMI打开BIOS进行设置
并且需要重启才能生效
当服务器重启之后,我们进入到服务器后台,查看当前host上的tpm设备
至此,我们在host系统内部看到了tpm设备,说明tpm已经开启。
2.2 开通windows11虚拟机,并直通TPM设备
本文以windows11系统为例进行测试,我们将tpm设备直通给windows11虚拟机使用,其整体架构如下
为了windows11能够顺利启动,需要准备以下2个前置条件:
1,host上需要安装支持windows11的secboot fd
yum install -y OVMF-20180508-6.gitee3198e672e2.el7.noarch
并且,/etc/libvirt/qemu.conf的nvram中加上:
"/usr/share/OVMF/OVMF_CODE.secboot.fd": "/usr/share/OVMF/OVMF_VARS.secboot.fd"
2,windows11虚拟机必须以UEFI方式启动
启动windows11之后,我们可以通过虚拟机的xml配置可以看到tpm的配置
2.3 通过对比是否直通TPM设备,查看windows11启动的效果
1,没有直通TPM设备的windows11虚拟机
由截图中的提示,链接到微软官网,可知,没有直通TPM设备,windows11虚拟机无法完成系统的安装。
2,直通TPM给windows11虚拟机
进入windows11系统内部,通过执行get-tpm命令可以看到当前tpm设备的状态,说明当前windows11虚拟机内部,tpm设备已经准备就绪。
3,结束语
本文从实际TPM设备应用场景出发,简单介绍了TPM直通给虚拟机的技术的架构和原理,并在此基础上,实现了TPM设备直通给虚拟机的功能。目前,在华云数据产品线中已经实现了TPM设备直通虚拟化技术,帮助客户抵御常见和复杂的攻击,为客户的应用带来更高的安全性。
