[發明專利]虛擬平臺vTPM管理系統、信任鏈構建方法及裝置、存儲介質有效
| 申請號: | 201710852702.6 | 申請日: | 2017-09-19 |
| 公開(公告)號: | CN107704308B | 公開(公告)日: | 2020-10-02 |
| 發明(設計)人: | 劉海偉 | 申請(專利權)人: | 浪潮(北京)電子信息產業有限公司 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455;G06F21/57 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 羅滿 |
| 地址: | 100085 北京市海*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 虛擬 平臺 vtpm 管理 系統 信任 構建 方法 裝置 存儲 介質 | ||
1.一種虛擬平臺vTPM管理系統,其特征在于,包括:
vTPM管理器,用于管理vTPM;
TPM模擬器,用于處理指令;
VMM透傳模塊,用于截獲VM的硬件訪問請求,轉換成I/O請求發送給所述vTPM管理器;接收所述vTPM管理器的響應,返回給所述VM;
并且,所述TPM模擬器,包括:
命令接收部,用于接受vTPM命令字;
判斷授權部,用于判斷所述命令字是否需要訪問TPM獲取關鍵授權,如果需要則獲取授權,如果不需要則直接進行業務處理;
虛擬設備部,用于生成虛擬設備供VM使用。
2.根據權利要求1所述的系統,其特征在于,所述vTPM管理器,包括:
創建部,用于當未分配vTPM的VM發起請求時,創建vTPM供對應的VM使用;
初始化部,用于當已分配vTPM的VM發起初始化請求時,初始化對應的vTPM;
銷毀部,用于當已分配vTPM的VM關閉時,銷毀對應的vTPM;
遷移部,用于當有已分配vTPM的VM遷移時,利用遷移密鑰加密對應的vTPM。
3.根據權利要求2所述的系統,其特征在于,所述創建部,包括:
創建接收組件,用于接收所述VMM透傳模塊截獲并轉發的VM訪問硬件資源的請求;
判斷創建組件,用于判斷發起請求的VM是否有對應的vTPM,如果沒有,則創建相應的vTPM。
4.根據權利要求1所述的系統,其特征在于,所述指令包括:
數據加密和/或數字簽名和/或安全存儲和/或密碼雜湊和/或身份標識和/或完整性存儲和報告。
5.一種虛擬平臺信任鏈構建方法,應用于如權利要求1至4任一項所述的系統,其特征在于,包括:
以TPM為信任根建立物理硬件層到虛擬平臺的信任鏈;
以vTPM為信任根建立VM內部的信任鏈。
6.根據權利要求5所述的方法,其特征在于,所述以TPM為信任根建立物理硬件層到虛擬平臺的信任鏈,包括:
CPU上電后,所述CPU度量BIOS,所述BIOS度量物理硬件,所述物理硬件度量主引導記錄MBR,所述主引導記錄MBR度量操作系統加載器OSLoader,逐級存儲度量結果到所述TPM;
所述操作系統加載器OSLoader度量VMM加載項,所述VMM加載項度量主操作系統HostOS,所述主操作系統Host OS度量VMM啟動項,逐級存儲度量結果到所述TPM。
7.根據權利要求5或6所述的方法,其特征在于,所述以vTPM為信任根建立虛擬機內部的信任鏈,包括:
VMM啟動后,所述VMM度量VM BIOS,所述VM BIOS度量VM硬件,所述VM硬件度量VM MBR,所述VM MBR度量VM OSLoader,逐級存儲度量結果到所述vTPM。
8.一種虛擬平臺信任鏈構建裝置,應用于如權利要求1至4任一項所述的系統,其特征在于,包括:
TPM信任鏈構建模塊,用于以TPM為信任根建立物理硬件層到虛擬平臺的信任鏈;
vTPM信任鏈構建模塊,用于以vTPM為信任根建立VM內部的信任鏈。
9.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求5至7任一項所述信任鏈構建方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于浪潮(北京)電子信息產業有限公司,未經浪潮(北京)電子信息產業有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710852702.6/1.html,轉載請聲明來源鉆瓜專利網。
