一種bios/uefi與虛擬機監控器交互方法及系統的製作方法

2023-06-02 05:04:16 3

專利名稱：一種bios/uefi與虛擬機監控器交互方法及系統的製作方法
技術領域：
本發明屬於計算機技術領域，尤其涉及一種BI0S/UEFI與虛擬機監控器交互方法 及系統。
背景技術：
隨著計算機普及率的提高，信息安全非常重要，尤其是當多個用戶使用一臺計算 機時，需要分等級安全保護每個用戶的信息數據。硬碟多用戶是指在同一臺計算機的一個 硬碟劃分不同的用戶分區，各用戶分區可以獨立分時使用，且各用戶分區內的數據相互隔 離，互不可被訪問。現有的硬碟多用戶創建時需要重新啟動計算機，操作不方便，而且存在安全硬碟 容量的限制和硬碟硬加密方案的昂貴的成本的問題。

發明內容
本發明實施例的目的在於提供一種BI0S/UEFI與虛擬機監控器交互方法，旨在解 決現有的硬碟多用戶創建時需要重新啟動計算機，操作不方便，而且存在硬碟硬加密方案 的昂貴的成本、數據存數安全係數低及終端認證級別低和無從審計的問題。本發明實施例是這樣實現的，一種BI0S/UEFI與虛擬機監控器交互方法，所述方 法包括下述步驟系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲的虛擬機監控器的對 應初始代碼；將所述虛擬機監控器的對應初始代碼解壓加載到內存的固定預設地址，由虛擬機 監控器接管計算機控制權，並執行遠程調用；控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢測結果，調用虛擬機監控器對硬 盤進行用戶分區管理或硬碟部署；控制將計算機控制權由虛擬機監控器轉交給所述BI0S/UEFI，執行計算機系統的 正常初始化操作以及加載一個用戶作業系統。本發明實施例的另一目的在於提供一種BI0S/UEFI與虛擬機監控器交互系統，所 述系統置於計算機，所述系統包括初始代碼調用模塊，用於系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先 存儲的虛擬機監控器的對應初始代碼；初始代碼解壓模塊，用於將所述虛擬機監控器的對應初始代碼解壓加載到內存的 固定預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用；硬碟管理部署控制模塊，用於控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢測 結果，調用虛擬機監控器對硬碟進行用戶分區管理或硬碟部署；以及控制權轉交處理模塊，用於控制將計算機控制權由虛擬機監控器轉交給所述 BI0S/UEFI，執行計算機系統的正常初始化操作以及加載一個用戶作業系統。
在本發明實施例中，系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲 的虛擬機監控器的對應初始代碼；將所述虛擬機監控器的對應初始代碼解壓加載到內存的 固定預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用；控制虛擬機監控器對 硬碟狀態進行檢測，並根據檢測結果，調用虛擬機監控器對硬碟進行管理；控制將計算機控 制權由虛擬機監控器轉交給所述BI0S/UEFI，執行計算機系統的正常初始化操作以及加載 一個用戶作業系統，實現BI0S/UEFI在虛擬機監控器中的運行，以及對硬碟任何訪問的監 控和加密，解決了硬碟硬加密的昂貴缺陷，數據存數安全係數高，方便用戶審計，保證計算 機安全運行。


圖1是本發明實施例提供的BI0S/UEFI與虛擬機監控器交互方法的實現流程圖；圖2是本發明實施例提供的控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢測結 果，調用虛擬機監控器對硬碟進行用戶分區管理或硬碟部署的實現流程圖；圖3是本發明實施例提供的BI0S/UEFI與虛擬機監控器交互系統的結構框圖；圖4是本發明實施例提供的硬碟管理部署控制模塊的結構框圖。
具體實施例方式為了使本發明的目的、技術方案及優點更加清楚明白，以下結合附圖及實施例，對 本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，並 不用於限定本發明。在本發明實施例中，系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲 的虛擬機監控器的對應初始代碼；將所述虛擬機監控器的對應初始代碼解壓加載到內存的 固定預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用；控制虛擬機監控器對 硬碟狀態進行檢測，並根據檢測結果，調用虛擬機監控器對硬碟進行管理；控制將計算機控 制權由虛擬機監控器轉交給所述BI0S/UEFI，執行計算機系統的正常初始化操作以及加載 一個用戶作業系統。在本發明實施例中，下述實施例的執行都是基於硬體輔助虛擬化技術實現硬碟等 存儲介質的數據加密及硬碟等存儲介質多用戶的管理(包括用戶的創建、刪除、加密，BIOS 級生物身份登錄認證，用戶登錄及網絡日誌行為審計)的基礎上來描述限定，在此作為本 發明的實施基礎，不再贅述，但不用以限制本發明。圖1示出了本發明實施例提供的BI0S/UEFI與虛擬機監控器交互方法的實現流 程，其具體的步驟如下所述在步驟SlOl中，系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲的虛 擬機監控器的對應初始代碼。在本發明實施例中，在執行該步驟之前，還需要執行將虛擬機監控器的初始代碼 集成在BIOS的只讀存儲器中的步驟，其中，虛擬機監控器的初始代碼的集成方式包括但不 限於OptionROM形式。在步驟S102中，將所述虛擬機監控器的對應初始代碼解壓加載到內存的固定預 設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用。
在本發明實施例中，所述固定預設地址可以是內存的指定地址，在此不用以限制 本發明。當將虛擬機監控器的對應初始代碼解壓加載到內存的固定預設地址後，執行遠程 調用，例如加載一個虛擬機，在此僅為本發明的一個實施例，不用以限制本發明。在步驟S103中，控制虛擬機監控器對硬碟狀態進行檢測，並根據檢測結果，調用 虛擬機監控器對硬碟進行用戶分區管理或硬碟部署。在本發明實施例中，當將虛擬件監控器解壓到內中之後，相當於BI0S/UEFI在虛 擬機監控器中運行，其中，BI0S/UEFI控制虛擬機監控器對硬碟狀態進行檢測，確認硬碟是 否進行過部署，若是則調用虛擬機監控器創建或刪除硬碟用戶，控制完成硬碟用戶分區的 管理；否則控制虛擬機監控器完成硬碟部署，下述有具體的實施例描述，在此不再贅述，但 不用以限制本發明。在步驟S104中，控制將計算機控制權由虛擬機監控器轉交給所述BI0S/UEFI，執 行計算機系統的正常初始化操作以及加載一個用戶作業系統。在本發明實施例中，當將計算機控制權轉交給BI0S/UEFI後，BI0S/UEFI控制完成 正常的系統初始化以及作業系統loader流程。圖2示出了本發明實施例提供的控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢 測結果，調用虛擬機監控器對硬碟進行用戶分區管理或硬碟部署的實現流程，其具體的步 驟如下所述在步驟S201中，控制虛擬機監控器檢測硬碟是否進行部署，是則執行步驟S202 ； 否則執行步驟S206。在本發明實施例中，在BI0S/UEFI執行硬碟的初始化工作時，虛擬機監控器截取 初始化指令，對硬碟狀態進行確認檢測，確認當前硬碟是否完成部署工作，其中，檢測確認 硬碟狀態的方式可以是虛擬機監控器訪問硬碟，查看硬碟是否存在硬碟的兩個分區，即 BI0S/UEFI專用分區和隱藏保護分區。在步驟S202中，控制BI0S/UEFI和硬碟進行安全認證。在本發明實施例中，現有技術已經公開BI0S/UEFI和硬碟的安全認證方式，在此 不再贅述，但不用以限制本發明。在硬碟部署已經完成時，需要計算機再啟動，執行BI0S/UEFI和硬碟的安全認證， 只用完成該安全認證，虛擬機監控器才能開放硬碟的BI0S/UEFI專用分區給BI0S/UEFI使 用，此時，BI0S/UEFI用戶才可以通過安全員角色進入虛擬機監控器的硬碟管理工具中創建 或刪除用戶分區。在步驟S203中，判斷所述安全認證是否通過，是則執行步驟S204，否則執行步驟 S205。在步驟S204中，根據用戶的BI0S/UEFI指令，調用虛擬機監控器硬碟管理工具，創 建或刪除硬碟用戶，控制完成硬碟用戶分區管理。在本發明實施例中，當檢測硬碟已經部署，根據用戶的BI0S/UEFI指令，調用虛擬 機監控器對硬碟進行相應的操作，例如包括創建或刪除硬碟用戶等用戶分區的管理，或，啟 動用戶選擇或安裝的用戶作業系統，在此不再贅述，但不用以限制本發明。在本發明實施例中，上述步驟S202至S204是對硬碟進行用戶分區管理的具體步驟。在步驟S205中，提示平臺不匹配信息。在步驟S206中，控制虛擬機監控器在硬碟中劃分硬碟隱藏保護分區和BI0S/UEFI 專用分區。在本發明實施例中，虛擬機監控器創建的BI0S/UEFI專用分區用以存裝虛擬機 監控器的管理工具以及BI0S/UEFI的圖片庫，該專用分區還包含一個特殊欄位，用於存儲 BI0S/UEFI 特徵值。在步驟S207中，控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI專用分區 的ID地址段。在步驟S208中，控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI存儲空間 的ID地址段。在本發明實施例中，上述步驟S206至S208是執行硬碟部署的具體實現。在本發明實施例中，基於硬體輔助虛擬化技術，採用上述技術方案實現對硬碟多 用戶分區的管理控制以及虛擬機監控器與BI0S/UEFI加載流程的交互，解決了硬碟容量的 限制和成本的問題。圖3示出了本發明實施例提供的BI0S/UEFI與虛擬機監控器交互系統的結構框 圖，為了便於說明，圖中僅給出了與本發明實施例相關的部分，其中，BI0S/UEFI與虛擬機監 控器交互系統可以內置於計算機的軟體單元、硬體單元或軟硬體結合單元。系統上電時，初始代碼調用模塊11控制BI0S/UEFI調用只讀存儲器中的預先存儲 的虛擬機監控器的對應初始代碼；初始代碼解壓模塊12將所述虛擬機監控器的對應初始 代碼解壓加載到內存的固定預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調 用；硬碟管理部署控制模塊13控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢測結果，調用 虛擬機監控器對硬碟進行用戶分區管理或硬碟部署；控制權轉交處理模塊14控制將計算 機控制權由虛擬機監控器轉交給所述BI0S/UEFI，執行計算機系統的正常初始化操作以及 加載一個用戶作業系統。在本發明實施例中，集成控制模塊15將虛擬機監控器的初始代碼集成在BIOS的 只讀存儲器中，所述集成方式包括OptionROM形式。作為本發明的另一個實施例，如圖4所示，檢測模塊131控制虛擬機監控器檢測硬 盤是否進行部署；當檢測模塊131檢測到硬碟已經進行部署，且在BI0S/UEFI和硬碟進行認 證通過後，用戶分區管理模塊132控制完成硬碟的用戶分區管理；當檢測模塊131檢測到硬 盤沒有進行部署時，硬碟部署模塊133控制虛擬機監控器對硬碟進行部署。在本發明實施例中，安全認證控制模塊1321控制BI0S/UEFI和硬碟進行安全認 證；判斷模塊1322判斷所述安全認證控制模塊1321的安全認證是否通過；當所述判斷模 塊1322判斷安全認證通過時，硬碟用戶分區管理控制模塊1323根據用戶的BI0S/UEFI指 令，調用虛擬機監控器硬碟管理工具，創建或刪除硬碟用戶，控制完成硬碟用戶分區管理； 當所述判斷模塊1322判斷安全認證沒有通過時，提示模塊1324提示平臺不匹配信息。作為本發明的另一個實施例，分區劃分模塊1331控制虛擬機監控器在硬碟中劃 分硬碟保護分區和BI0S/UEFI專用分區；第一寫入模塊1332控制BI0S/UEFI將UEFI特徵值 寫入到所述BI0S/UEFI專用分區的ID地址段；第二寫入模塊1333控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI存儲空間的ID地址段。上述僅為本發明實施例提供的系統裝置結構框圖，為了便於說明，上述實施例僅 描述了相關的操作，其具體的實現可以參考方式實施例所描述的內容，在此不再贅述，但不 用以限制本發明。在本發明實施例中，系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲 的虛擬機監控器的對應初始代碼；將所述虛擬機監控器的對應初始代碼解壓加載到內存的 固定預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用；控制虛擬機監控器對 硬碟狀態進行檢測，並根據檢測結果，調用虛擬機監控器對硬碟進行管理；控制將計算機控 制權由虛擬機監控器轉交給所述BI0S/UEFI，執行計算機系統的正常初始化操作以及加載 一個用戶作業系統，實現BI0S/UEFI在虛擬機監控器中的運行，以及對硬碟任何訪問的監 控，解決了硬碟硬加密的昂貴缺陷，數據存數安全係數高，保證計算機安全運行，方便用戶 審計。以上所述僅為本發明的較佳實施例而已，並不用以限制本發明，凡在本發明的精 神和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護範圍之內。
8
權利要求
1.一種BI0S/UEFI與虛擬機監控器交互方法，其特徵在於，所述方法包括下述步驟 系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲的虛擬機監控器的對應初始代碼；將所述虛擬機監控器的對應初始代碼解壓加載到內存的固定預設地址，由虛擬機監控 器接管計算機控制權，並執行遠程調用；控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢測結果，調用虛擬機監控器對硬碟進 行用戶分區管理或硬碟部署；控制將計算機控制權由虛擬機監控器轉交給所述BI0S/UEFI，執行計算機系統的正常 初始化操作以及加載一個用戶作業系統。
2.如權利要求1所述的方法，其特徵在於，所述系統上電時，BI0S/UEFI調用只讀存儲 器中的預先存儲的虛擬機監控器的對應初始代碼的步驟之前還包括下述步驟將虛擬機監控器的初始代碼集成在BIOS的只讀存儲器中，所述集成方式包括 OptionROM 形式。
3.如權利要求1所述的方法，其特徵在於，所述控制BI0S/UEFI對硬碟狀態進行檢測， 並根據檢測結果，調用虛擬機監控器對硬碟進行用戶分區管理或硬碟部署的步驟具體包括 下述步驟控制虛擬機監控器檢測硬碟是否進行部署；若是，則在BI0S/UEFI和硬碟進行認證通過後，控制完成硬碟的用戶分區管理； 若否，則控制虛擬機監控器對硬碟進行部署。
4.如權利要求3所述的方法，其特徵在於，所述當BI0S/UEFI和硬碟進行認證通過後， 控制完成硬碟的用戶分區管理的步驟具體包括控制BI0S/UEFI和硬碟進行安全認證；判斷所述安全認證是否通過，若是，則根據用戶的BI0S/UEFI指令，調用虛擬機監控器 硬碟管理工具，創建或刪除硬碟用戶，控制完成硬碟用戶分區管理；若否則提示平臺不匹配 fn息ο
5.如權利要求3所述的方法，其特徵在於，所述控制虛擬機監控器對硬碟進行部署的 步驟具體包括下述步驟控制虛擬機監控器在硬碟中劃分硬碟保護分區和BI0S/UEFI專用分區； 控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI專用分區的ID地址段； 控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI存儲空間的ID地址段。
6.一種BI0S/UEFI與虛擬機監控器交互系統，其特徵在於，所述系統置於計算機，所述 系統包括初始代碼調用模塊，用於系統上電時，控制BI0S/UEFI調用只讀存儲器中的預先存儲 的虛擬機監控器的對應初始代碼；初始代碼解壓模塊，用於將所述虛擬機監控器的對應初始代碼解壓加載到內存的固定 預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用；硬碟管理部署控制模塊，用於控制BI0S/UEFI對硬碟狀態進行檢測，並根據檢測結果， 調用虛擬機監控器對硬碟進行用戶分區管理或硬碟部署；以及控制權轉交處理模塊，用於控制將計算機控制權由虛擬機監控器轉交給所述BIOS/UEFI，執行計算機系統的正常初始化操作以及加載一個用戶作業系統。
7.如權利要求6所述的系統，其特徵在於，所述系統還包括集成控制模塊，用於將虛擬機監控器的初始代碼集成在BIOS的只讀存儲器中，所述集 成方式包括OptionROM形式。
8.如權利要求6所述的系統，其特徵在於，所述硬碟管理部署控制模塊具體包括檢測模塊，用於控制虛擬機監控器檢測硬碟是否進行部署；用戶分區管理模塊，用於當檢測模塊檢測到硬碟已經進行部署，且在BI0S/UEFI和硬 盤進行認證通過後，控制完成硬碟的用戶分區管理；以及硬碟部署模塊，用於當檢測模塊檢測到硬碟沒有進行部署時，控制虛擬機監控器對硬 盤進行部署。
9.如權利要求8所述的系統，其特徵在於，所述用戶分區管理模塊具體包括安全認證控制模塊，用於控制BI0S/UEFI和硬碟進行安全認證；判斷模塊，用於判斷所述安全認證控制模塊的安全認證是否通過；硬碟用戶分區管理控制模塊，用於當所述判斷模塊判斷安全認證通過時，根據用戶的 BI0S/UEFI指令，調用虛擬機監控器硬碟管理工具，創建或刪除硬碟用戶，控制完成硬碟用 戶分區管理；以及提示模塊，用於當所述判斷模塊判斷安全認證沒有通過時，提示平臺不匹配信息。
10.如權利要求8所述的系統，其特徵在於，所述硬碟部署模塊具體包括分區劃分模塊，用於控制虛擬機監控器在硬碟中劃分硬碟保護分區和BI0S/UEFI專用 分區；第一寫入模塊，用於控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI專用分區的 ID地址段；以及第二寫入模塊，用於控制BI0S/UEFI將UEFI特徵值寫入到所述BI0S/UEFI存儲空間的 ID地址段。
全文摘要
本發明適用於計算機技術領域，提供了一種BIOS/UEFI與虛擬機監控器交互方法及系統，包括系統上電時，控制BIOS/UEFI調用只讀存儲器中的虛擬機監控器的對應初始代碼；將虛擬機監控器的對應初始代碼解壓加載到內存的固定預設地址，由虛擬機監控器接管計算機控制權，並執行遠程調用；控制BIOS/UEFI對硬碟狀態進行檢測，並根據檢測結果，調用虛擬機監控器對硬碟進行用戶分區管理或硬碟部署；控制將計算機控制權由虛擬機監控器轉交給BIOS/UEFI，執行計算機系統的正常初始化操作以及加載一個用戶作業系統，實現BIOS/UEFI在虛擬機監控器中的運行，解決硬碟硬加密的昂貴缺陷，實現對硬碟任何訪問的監控。
文檔編號G06F21/02GK102110007SQ20091023909
公開日2011年6月29日 申請日期2009年12月29日 優先權日2009年12月29日
發明者劉欣房, 宋靖, 林詩達, 王淼, 賈兵, 顧文錦 申請人:中國長城計算機深圳股份有限公司