本說明書實施例提出了一種虛擬機監控器秘密的保護方法、裝置和電子設備，其中，上述虛擬機監控器秘密的保護方法中，Host OS kernel從initramfs中加載虛擬機監控器，度量虛擬機監控器的完整性，將完整性度量值擴展到TPM的寄存器中，之后在任何用戶態應用執行之前啟動虛擬機監控器；虛擬機監控器在TPM的非易失存儲器中查找加密數據；如果查找到，則虛擬機監控器讀取所述加密數據，使用TPM的寄存器中的所述完整性度量值，對所述加密數據進行解封操作，獲得秘密，并將所述秘密保存在所述虛擬機監控器的內存中；所述虛擬機監控器擴展常數到TPM的寄存器中，掩蓋TPM的寄存器中的所述完整性度量值。

【技術領域】

本說明書實施例涉及互聯網技術領域，尤其涉及一種虛擬機監控器秘密的保護方法、裝置和電子設備。

【背景技術】

虛擬化是云計算的基礎支撐技術，而虛擬機監控器(hypervisor，或者virtualmachine monitor，VMM)是實現硬件虛擬化功能和虛擬機(Virtual Machine，VM)管理的核心部件。虛擬機監控器通常需要維護一些秘密(secrets)，包括代表自身身份的簽名密鑰對，或者用于為虛擬機監控器之上的可信執行環境(trusted execution environment，TEE)派生密鑰的秘密隨機數等。這些秘密一般需要進行持久化存儲，以允許虛擬機監控器在重啟后能夠保持原來的狀態，持續地提供業務服務。可信平臺模塊(Trusted PlatformModule，TPM)提供基于平臺配置寄存器(Platform Configuration Register，PCR)的封裝(seal)/解封(unseal)功能，使用TPM內的一個私鑰對數據進行加密并提供完整性保護。封裝操作允許虛擬機監控器將秘密與某個(或者某幾個)代表虛擬機監控器自身完整性狀態的PCR封裝到一起。在虛擬機監控器希望恢復這些秘密時，TPM只有在封裝時使用的PCR寄存器的值與這些寄存器的當前值完全相同時，才會解封出這些數據。這確保了虛擬機監控器只有在正確的完整性狀態下才能恢復自己以前封裝的秘密。

但在存在惡意應用的場景中，TPM封裝機制本身并不能保證只有虛擬機監控器才能解封其秘密。由于TPM PCR是對所有軟件共享的，且PCR的值也無法保密，惡意應用可以解封出虛擬機監控器的秘密。惡意應用可以在虛擬機監控器的完整性度量值被擴展到PCR之后，調用TPM的解封命令，使用當前PCR中的正確的虛擬機監控器的完整性度量值來解封虛擬機監控器的秘密。惡意應用也可以在虛擬機監控器的完整性度量值擴展到PCR之前，向PCR中擴展數據，使得PCR中的值正好與虛擬機監控器的完整性度量值完全一致，然后調用TPM的解封命令去恢復以前虛擬機監控器封裝的秘密。惡意應用如果能夠恢復虛擬機監控器的秘密，就可以實現對虛擬機監控器身份的冒充，或者威脅虛擬機監控器之上運行的TEE產生的數據的機密性。

因此，需要提供一種對虛擬機監控器秘密(hypervisor秘密)進行保護的方案，以確保虛擬機監控器秘密的機密性。

【發明內容】

本說明書實施例提供了一種虛擬機監控器秘密的保護方法、裝置和電子設備，以防止惡意應用恢復虛擬機監控器封裝的秘密，確保虛擬機監控器秘密的機密性。

第一方面，本說明書實施例提供一種虛擬機監控器秘密的保護方法，包括：主機操作系統內核從臨時文件系統中加載虛擬機監控器，度量所述虛擬機監控器的完整性，將所述虛擬機監控器的完整性度量值擴展到可信平臺模塊的寄存器中，之后在任何用戶態應用執行之前啟動所述虛擬機監控器；所述虛擬機監控器在所述可信平臺模塊的非易失存儲器中查找加密數據；如果查找到，則所述虛擬機監控器讀取所述加密數據；所述虛擬機監控器使用所述可信平臺模塊的寄存器中的所述完整性度量值，對所述加密數據進行解封操作，獲得秘密，并將所述秘密保存在所述虛擬機監控器的內存中；所述虛擬機監控器擴展常數到所述可信平臺模塊的寄存器中，掩蓋所述可信平臺模塊的寄存器中的所述完整性度量值。