[發(fā)明專利]虛擬機監(jiān)控器秘密的保護方法、裝置和電子設備有效
| 申請?zhí)枺?/td> | 202011280930.9 | 申請日: | 2020-11-16 |
| 公開(公告)號: | CN112364343B | 公開(公告)日: | 2022-05-06 |
| 發(fā)明(設計)人: | 翟征德;劉雙 | 申請(專利權)人: | 支付寶(杭州)信息技術有限公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F9/455;G06F11/30 |
| 代理公司: | 北京匯思誠業(yè)知識產(chǎn)權代理有限公司 11444 | 代理人: | 周放 |
| 地址: | 310007 浙江省杭州市*** | 國省代碼: | 浙江;33 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 虛擬機 監(jiān)控器 秘密 保護 方法 裝置 電子設備 | ||
1.一種虛擬機監(jiān)控器秘密的保護方法,包括:
主機操作系統(tǒng)內(nèi)核從臨時文件系統(tǒng)中加載虛擬機監(jiān)控器,度量所述虛擬機監(jiān)控器的完整性,將所述虛擬機監(jiān)控器的完整性度量值擴展到可信平臺模塊的寄存器中,之后在任何用戶態(tài)應用執(zhí)行之前啟動所述虛擬機監(jiān)控器;
所述虛擬機監(jiān)控器在所述可信平臺模塊的非易失存儲器中查找加密數(shù)據(jù);
如果查找到,則所述虛擬機監(jiān)控器讀取所述加密數(shù)據(jù);
所述虛擬機監(jiān)控器使用所述可信平臺模塊的寄存器中的所述完整性度量值,對所述加密數(shù)據(jù)進行解封操作,獲得秘密,并將所述秘密保存在所述虛擬機監(jiān)控器的內(nèi)存中;
所述虛擬機監(jiān)控器擴展常數(shù)到所述可信平臺模塊的寄存器中,掩蓋所述可信平臺模塊的寄存器中的所述完整性度量值。
2.根據(jù)權利要求1所述的方法,其中,所述虛擬機監(jiān)控器在可信平臺模塊的非易失存儲器中查找加密數(shù)據(jù)之后,還包括:
如果所述虛擬機監(jiān)控器在可信平臺模塊的非易失存儲器中未查找到所述加密數(shù)據(jù),則所述虛擬機監(jiān)控器產(chǎn)生秘密,將所述秘密保存到所述虛擬機監(jiān)控器的內(nèi)存中;
將所述秘密與所述可信平臺模塊的寄存器中的所述完整性度量值進行封裝,獲得加密數(shù)據(jù);
將所述加密數(shù)據(jù)保存到所述可信平臺模塊的非易失存儲器中;
擴展常數(shù)到所述可信平臺模塊的寄存器中,掩蓋所述可信平臺模塊的寄存器中的所述完整性度量值。
3.根據(jù)權利要求2所述的方法,其中,所述將所述加密數(shù)據(jù)保存到所述可信平臺模塊的非易失存儲器中包括:
所述虛擬機監(jiān)控器獲取所述加密數(shù)據(jù)的長度;
從所述可信平臺模塊的非易失存儲器中分配所述加密數(shù)據(jù)的存儲空間,所述存儲空間的大小大于或等于所述加密數(shù)據(jù)的長度;
將所述加密數(shù)據(jù)保存到所述存儲空間中。
4.一種虛擬機監(jiān)控器秘密的保護裝置,包括:
主機操作系統(tǒng)內(nèi)核模塊,用于從臨時文件系統(tǒng)中加載虛擬機監(jiān)控器,度量所述虛擬機監(jiān)控器的完整性,將所述虛擬機監(jiān)控器的完整性度量值擴展到可信平臺模塊的寄存器中,之后在任何用戶態(tài)應用執(zhí)行之前啟動所述虛擬機監(jiān)控器;
所述虛擬機監(jiān)控器,用于在所述可信平臺模塊的非易失存儲器中查找加密數(shù)據(jù);如果查找到,則讀取所述加密數(shù)據(jù),使用所述可信平臺模塊的寄存器中的所述完整性度量值,對所述加密數(shù)據(jù)進行解封操作,獲得秘密,并將所述秘密保存在所述虛擬機監(jiān)控器的內(nèi)存中;以及擴展常數(shù)到所述可信平臺模塊的寄存器中,掩蓋所述可信平臺模塊的寄存器中的所述完整性度量值。
5.根據(jù)權利要求4所述的裝置,其中,
所述虛擬機監(jiān)控器,還用于在可信平臺模塊的非易失存儲器中查找加密數(shù)據(jù)之后,如果未查找到所述加密數(shù)據(jù),則產(chǎn)生秘密,將所述秘密保存到所述虛擬機監(jiān)控器的內(nèi)存中,將所述秘密與所述可信平臺模塊的寄存器中的所述完整性度量值進行封裝,獲得加密數(shù)據(jù);將所述加密數(shù)據(jù)保存到所述可信平臺模塊的非易失存儲器中;以及擴展常數(shù)到所述可信平臺模塊的寄存器中,掩蓋所述可信平臺模塊的寄存器中的所述完整性度量值。
6.根據(jù)權利要求5所述的裝置,其中,
所述虛擬機監(jiān)控器,具體用于獲取所述加密數(shù)據(jù)的長度,從所述可信平臺模塊的非易失存儲器中分配所述加密數(shù)據(jù)的存儲空間,所述存儲空間的大小大于或等于所述加密數(shù)據(jù)的長度;以及將所述加密數(shù)據(jù)保存到所述存儲空間中。
7.一種電子設備,包括:
至少一個處理器;以及
與所述處理器通信連接的至少一個存儲器,其中:
所述存儲器存儲有可被所述處理器執(zhí)行的程序指令,所述處理器調(diào)用所述程序指令能夠執(zhí)行如權利要求1至3任一所述的方法。
8.一種非暫態(tài)計算機可讀存儲介質(zhì),所述非暫態(tài)計算機可讀存儲介質(zhì)存儲計算機指令,所述計算機指令使所述計算機執(zhí)行如權利要求1至3任一所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于支付寶(杭州)信息技術有限公司,未經(jīng)支付寶(杭州)信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011280930.9/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
