智汇华云|基于TPM2.0的windows11虚拟机实践

前言

TPM主要是利用经过安全验证的加密密钥为设备带来更强的安全性，它是许多安全应用的核心。本期智汇华云，从实际TPM设备应用场景出发，简单介绍TPM直通给虚拟机技术的架构和原理。

1，什么是TPM

TPM的全称是信赖平台模组或是称为可信平台模组（Trusted Platform Module，缩写：TPM），这是一项安全密码处理器的国际标准，旨在使用装置中整合的专用芯片，可以处理装置中的加密金钥。TPM主要是利用经过安全验证的加密密钥为设备带来更强的安全性，它是许多安全应用的核心。比如windows系统里面的Bitlocker就需要用到TPM，微软通过将TPM 2.0设为强制性系统要求来提高Windows 11操作系统的安全基线。目前的主流的电脑基本都已经支持TPM 2.0功能。

未来的PC需要这种现代硬件信任根来帮助抵御常见和复杂的攻击，如勒索软件和来自民族国家的更复杂的攻击。通过要求内置根的信任需要TPM 2.0提升了硬件的安全标准。

2，TPM在虚拟化场景的应用

2.1 准备工作

正常来说，物理机上的TPM是给host使用的，本文结合虚拟化场景，尝试TPM设备直通给虚拟机使用。

首先，我们需要在服务器的BIOS里面开启TPM，进入IPMI打开BIOS进行设置

并且需要重启才能生效

当服务器重启之后，我们进入到服务器后台，查看当前host上的tpm设备

至此，我们在host系统内部看到了tpm设备，说明tpm已经开启。

2.2 开通windows11虚拟机，并直通TPM设备

本文以windows11系统为例进行测试，我们将tpm设备直通给windows11虚拟机使用，其整体架构如下

为了windows11能够顺利启动，需要准备以下2个前置条件：

1，host上需要安装支持windows11的secboot fd

yum install -y  OVMF-20180508-6.gitee3198e672e2.el7.noarch

并且，/etc/libvirt/qemu.conf的nvram中加上：

"/usr/share/OVMF/OVMF_CODE.secboot.fd": "/usr/share/OVMF/OVMF_VARS.secboot.fd"

2，windows11虚拟机必须以UEFI方式启动

启动windows11之后，我们可以通过虚拟机的xml配置可以看到tpm的配置

2.3 通过对比是否直通TPM设备，查看windows11启动的效果

1，没有直通TPM设备的windows11虚拟机

由截图中的提示，链接到微软官网，可知，没有直通TPM设备，windows11虚拟机无法完成系统的安装。2，直通TPM给windows11虚拟机

进入windows11系统内部，通过执行get-tpm命令可以看到当前tpm设备的状态，说明当前windows11虚拟机内部，tpm设备已经准备就绪。

3，结束语

本文从实际TPM设备应用场景出发，简单介绍了TPM直通给虚拟机的技术的架构和原理，并在此基础上，实现了TPM设备直通给虚拟机的功能。目前，在华云数据产品线中已经实现了TPM设备直通虚拟化技术，帮助客户抵御常见和复杂的攻击，为客户的应用带来更高的安全性。