When the host virtual machine monitor (VMM) does not have the ability to access data within the guest virtual machine (VM) or the ability to directly access the control structure that controls the execution flow of the guest VM, the host VMM operates \blindly\. Visitor VMs execute in protected memory areas (called key domains) that are not accessible even to the host VMM. The virtualized data structure associated with the execution state of the visitor VM (e.g., VMCS) and memory mapping (e.g., extended page table (EPT)) is also located in the protected memory area and is also encrypted using the key domain key. The host VMM and other visitor VMs that do not have the key of the key domain of the other key domains cannot directly modify these control structures and access the protected memory area. However, the host VMM can verify the correctness of the control structure of the visitor VM.
【技术实现步骤摘要】
具有受保护的访客机验证主机控制的安全公共云本申请要求于2016年10月14日提交的序列号为15/293,967的美国专利申请的优先权,所述美国专利申请要求于2016年8月11日提交的申请人为大卫达勒姆(DavidDurham)、拉维萨希塔(RaviSahita)、巴里亨特利(BarryHuntley)和尼基尔M德什潘德(NikhilM.Deshpande)的名称为“SecurePublicCloud(安全公共云)”的第62/373,627号美国临时专利申请的优先权,所述申请的公开内容通过引用结合在此。
实施例涉及公共云的安全性,并且具体地使得公共云服务的消费者能够确保消费者的在云中执行的进程以及消费者的私有数据被保护免受其他人(包括公共云服务提供商)访问和修改。
技术介绍
术语“云计算(cloudcomputing)”用于描述基于网络的计算(通常在互联网上)。根据维基百科,“云计算根据需要向计算机和其他设备提供共享处理资源和数据。云计算是用于实现对可配置计算资源(例如,网络、服务器、存储设备、应用和服务)的共享池进行的无处不在的按需访问,所述可配置计算资源可以以最小管理努力被快速提供和释放。云计算和存储解决方案向用户和企业提供用于在第三方数据中心中存储和处理其数据的各种能力。云计算依赖于共享资源以便实现相干性和规模经济,类似于网络上的公共设施(像电网)。”(来源:维基百科,https://en.wikipedia.org/wiki/云_计算,2016年8月11日访问,引文省略)。大容量网络、低成本计算机和存储设备的当前可用性以及对硬件虚拟化、面向服务的架构 ...
【技术保护点】
1.一种用于在公共云环境中安全地执行消费者工作负载的装置,所述装置包括:处理器;以及存储器,耦合至所述处理器;其中,所述处理器用于执行不可信主机虚拟机监视器以便管理由所述处理器对至少一个访客虚拟机的执行;所述不可信主机虚拟机监视器用于接收经加密密钥域密钥、由密钥域密钥加密的经加密访客代码镜像、以及由所述密钥域密钥加密的经加密访客控制结构,所述密钥域密钥是所述不可信主机虚拟机监视器不能够访问的;所述不可信主机虚拟机监视器用于向所述处理器发出用于创建第一密钥域的创建命令,所述第一密钥域包括所述存储器的待由所述密钥域密钥加密的区域,所述不可信主机虚拟机监视器用于进一步验证所述经加密访客控制结构;响应于接收到所述创建命令,所述处理器用于创建所述第一密钥域并且对所述经加密密钥域密钥进行解密以便产生所述密钥域密钥;所述不可信主机虚拟机监视器用于向所述处理器发出用于启动所述第一密钥域内的第一访客虚拟机的启动命令;并且响应于接收到所述启动命令,所述处理器用于:切换到所述第一密钥域,对所述经加密访客控制结构进行解密以便产生包含访客处理器状态信息的访客控制结构,对所述经加密访客代码镜像进行解密以便产生访客 ...
【技术特征摘要】
2017.02.28 US 15/444,7711.一种用于在公共云环境中安全地执行消费者工作负载的装置,所述装置包括:处理器;以及存储器,耦合至所述处理器;其中,所述处理器用于执行不可信主机虚拟机监视器以便管理由所述处理器对至少一个访客虚拟机的执行;所述不可信主机虚拟机监视器用于接收经加密密钥域密钥、由密钥域密钥加密的经加密访客代码镜像、以及由所述密钥域密钥加密的经加密访客控制结构,所述密钥域密钥是所述不可信主机虚拟机监视器不能够访问的;所述不可信主机虚拟机监视器用于向所述处理器发出用于创建第一密钥域的创建命令,所述第一密钥域包括所述存储器的待由所述密钥域密钥加密的区域,所述不可信主机虚拟机监视器用于进一步验证所述经加密访客控制结构;响应于接收到所述创建命令,所述处理器用于创建所述第一密钥域并且对所述经加密密钥域密钥进行解密以便产生所述密钥域密钥;所述不可信主机虚拟机监视器用于向所述处理器发出用于启动所述第一密钥域内的第一访客虚拟机的启动命令;并且响应于接收到所述启动命令,所述处理器用于:切换到所述第一密钥域,对所述经加密访客控制结构进行解密以便产生包含访客处理器状态信息的访客控制结构,对所述经加密访客代码镜像进行解密以便产生访客代码镜像,并且使用所述访客处理器状态信息来执行所述第一密钥域内的所述访客代码镜像。2.如权利要求1所述的装置,其中,响应于触发所述第一访客虚拟机的退出条件的事件,所述处理器用于从所述第一密钥域切换到第二密钥域。3.如权利要求1所述的装置,其中,响应于触发所述第一访客虚拟机的退出条件的事件,所述处理器用于将所述第一访客虚拟机的所述访客处理器状态信息保存在所述存储器的受保护位置中;所述不可信主机虚拟机监视器用于向所述处理器发出用于恢复所述第一访客虚拟机的恢复命令;并且响应于接收到所述恢复命令,所述处理器用于:切换到所述第一密钥域,从所述存储器的所述受保护位置处检索所述第一访客虚拟机的所述访客处理器状态信息,并且使用所述访客处理器状态信息来执行所述第一密钥域内的所述访客代码镜像。4.如权利要求1所述的装置,其中,所述访客代码镜像包括用于拦截中断的中断处理程序代码;所述处理器用于将所述第一访客虚拟机的退出条件转换为异常;所述访客代码镜像用于响应于所述中断和所述异常中的至少一个而将处理器寄存器信息保存到所述存储器的受保护位置;所述访客代码镜像用于在所述不可信主机虚拟机监视器不需要第一处理器寄存器时清除所述第一处理器寄存器;所述访客代码镜像用于在所述不可信主机虚拟机监视器需要第二处理器寄存器时有条件地暴露所述第二处理器寄存器;所述访客代码镜像用于调用所述不可信主机虚拟机监视器;并且所述第一访客虚拟机用于在所述不可信主机虚拟机监视器被调用时退出。5.如权利要求1所述的装置,其中,所述不可信主机虚拟机监视器用于:接收经加密的更新后访客控制结构,将所述经加密的更新后访客控制结构安装在所述存储器中,并且验证所述经加密的更新后访客控制结构;所述处理器用于对所述经加密的更新后访客控制结构进行解密以便产生更新后访客控制结构;响应于验证所述经加密的更新后访客控制结构,所述不可信主机虚拟机监视器用于向所述处理器发出用于使用所述更新后访客控制结构进入所述第一访客虚拟机的进入命令;并且响应于接收到所述进入命令,所述处理器用于使用所述更新后访客控制结构进入所述第一访客虚拟机。6.如权利要求5所述的装置,其中,所述不可信主机虚拟机监视器进一步用于接收经加密的更新后访客代码镜像并且将所述经加密的更新后访客代码镜像安装在所述存储器中;所述处理器用于对所述经加密的更新后访客代码镜像更新进行解密以便产生更新后访客代码镜像;并且所述处理器用于通过使用所述更新后访客控制结构执行所述更新后访客代码镜像来进入所述第一访客虚拟机。7.如权利要求1所述的装置,其中,所述不可信主机虚拟机监视器用于判定是否需要对所述访客控制结构进行改变;所述第一访客虚拟机用于验证对所述访客控制结构进行的所述改变不损害所述第一访客虚拟机的安全性;所述第一访客虚拟机用于使用所述密钥域密钥来产生结合所述改变的经加密的更新后访客控制结构;并且所述第一访客虚拟机用于经由所述存储器的由所述不可信主机虚拟机监视器和所述第一访客虚拟机共享的共享区域向所述不可信主机虚拟机监视器发送所述经加密的更新后访客控制结构。8.如权利要求7所述的装置,其中,所述不可信主机虚拟机监视器用于将所述经加密的更新后访客控制结构安装在所述存储器中;所述不可信主机虚拟机监视器用于验证所述经加密的更新后访客控制结构;所述处理器用于对所述经加密的更新后访客控制结构进行解密以便产生更新后访客控制结构;响应于验证所述经加密的更新后访客控制结构,所述不可信主机虚拟机监视器用于向所述处理器发出用于使用所述更新后访客控制结构进入所述第一访客虚拟机的进入命令;并且响应于接收到所述进入命令,所述处理器用于使用所述更新后访客控制结构进入所述第一访客虚拟机。9.如权利要求1所述的装置,其中,所述经加密访客代码镜像包括代理代码镜像;所述经加密访客控制结构包括代理控制结构;所述不可信主机虚拟机监视器用于验证所述代理控制结构;所述不可信主机虚拟机监视器用于向所述处理器发出用于启动所述第一密钥域内的第二访客虚拟机的第二启动命令,所述第二访客虚拟机用于提供代理以便代表所述第一密钥域内的所述不可信主机虚拟机监视器来起作用;并且响应于接收到所述第二启动命令,所述处理器用于:切换到所述第一密钥域,对所述经加密访客代码镜像进行解密以便产生所述代理代码镜像,对所述经加密访客控制结构进行解密以便产生包含代理处理器状态信息的所述代理控制结构,并且使用所述代理处理器状态信息来执行所述第一密钥域内的所述代理代码镜像。10.如权利要求9所述的装置,其中,所述不可信主机虚拟机监视器用于经由由所述代理和所述不可信主机虚拟机监视器共享的共享存储器区域来向所述代理传送用于修改所述第一访客虚拟机的所述访客控制结构的请求;...
【专利技术属性】
技术研发人员:D·M·杜汉姆,G·尼格,B·E·亨特利,R·L·萨希塔,B·V·帕特尔,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。