前言

TPM主要是利用经过安全验证的加密密钥为设备带来更强的安全性,它是许多安全应用的核心。本期智汇华云,从实际TPM设备应用场景出发,简单介绍TPM直通给虚拟机技术的架构和原理。

1,什么是TPM

TPM的全称是信赖平台模组或是称为可信平台模组(Trusted Platform Module,缩写:TPM),这是一项安全密码处理器的国际标准,旨在使用装置中整合的专用芯片,可以处理装置中的加密金钥。TPM主要是利用经过安全验证的加密密钥为设备带来更强的安全性,它是许多安全应用的核心。比如windows系统里面的Bitlocker就需要用到TPM,微软通过将TPM 2.0设为强制性系统要求来提高Windows 11操作系统的安全基线。目前的主流的电脑基本都已经支持TPM 2.0功能。

未来的PC需要这种现代硬件信任根来帮助抵御常见和复杂的攻击,如勒索软件和来自民族国家的更复杂的攻击。通过要求内置根的信任需要TPM 2.0提升了硬件的安全标准。

2,TPM在虚拟化场景的应用

2.1 准备工作

正常来说,物理机上的TPM是给host使用的,本文结合虚拟化场景,尝试TPM设备直通给虚拟机使用。

首先,我们需要在服务器的BIOS里面开启TPM,进入IPMI打开BIOS进行设置

并且需要重启才能生效

当服务器重启之后,我们进入到服务器后台,查看当前host上的tpm设备

至此,我们在host系统内部看到了tpm设备,说明tpm已经开启。

2.2 开通windows11虚拟机,并直通TPM设备

本文以windows11系统为例进行测试,我们将tpm设备直通给windows11虚拟机使用,其整体架构如下

为了windows11能够顺利启动,需要准备以下2个前置条件:

1,host上需要安装支持windows11的secboot fd

yum install -y OVMF-20180508-6.gitee3198e672e2.el7.noarch

并且,/etc/libvirt/qemu.conf的nvram中加上:

"/usr/share/OVMF/OVMF_CODE.secboot.fd": "/usr/share/OVMF/OVMF_VARS.secboot.fd"

2,windows11虚拟机必须以UEFI方式启动

启动windows11之后,我们可以通过虚拟机的xml配置可以看到tpm的配置

2.3 通过对比是否直通TPM设备,查看windows11启动的效果

1,没有直通TPM设备的windows11虚拟机

由截图中的提示,链接到微软官网,可知,没有直通TPM设备,windows11虚拟机无法完成系统的安装。

2,直通TPM给windows11虚拟机

进入windows11系统内部,通过执行get-tpm命令可以看到当前tpm设备的状态,说明当前windows11虚拟机内部,tpm设备已经准备就绪。

3,结束语

本文从实际TPM设备应用场景出发,简单介绍了TPM直通给虚拟机的技术的架构和原理,并在此基础上,实现了TPM设备直通给虚拟机的功能。目前,在华云数据产品线中已经实现了TPM设备直通虚拟化技术,帮助客户抵御常见和复杂的攻击,为客户的应用带来更高的安全性。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

推荐内容