升级虚拟机上的安全引导策略制造技术
【技术实现步骤摘要】
【国外来华专利技术】升级虚拟机上的安全引导策略
技术介绍
受信任平台模块(TPM)技术被设计成提供基于硬件的安全相关的功能。TPM可以被用来实施系统完整性测量。具体来说,在计算机系统的引导过程期间,TPM可以测量并且记录所加载的引导代码(包括固件和操作系统组件)。这些完整性测量可以被用作关于系统如何被启动的证据,并且用以确保只有在正确的软件被用来引导系统时才能使用基于TPM的密钥。一些全盘加密解决方案(比如包括在MICROSOFTWINDOWS中的BITLOCKER加密系统)利用TPM和安全引导过程来确定系统是否被破坏到暗示系统已被损害的程度。当加密系统从受信任平台模块获知这样的情况存在时,则无法从TPM取回由加密系统对盘进行解密所需的密钥。在无法对盘进行解密的情况下,引导无法完成,并且加密系统进入恢复模式,只有在采取额外的认证措施(比如键入恢复口令)的情况下才能退出恢复模式。在某些情况下,安全引导过程使用安全引导策略,所述安全引导策略例如规定:哪些操作系统的哪些版本可以被允许引导;哪些签名密钥或证书授予驱动器或其他代码单元在引导过程期间被加载的资格;等等。一些操作系统包括用于自动更新计算机系统的安全引导策略的机制,比如添加可允许的操作系统的新版本或者移除经过授权的签名密钥。
技术实现思路
提供本
技术实现思路
是为了以简化形式介绍后面将在具体实施方式中进一步描述的概念的选择。本
技术实现思路
不意图标识出所要求保护的主题的关键因素或必要特征,也不意图被用来限制所要求保护的主题的范围。描述了用于引导托管在主机上的虚拟机的设施。在一种示例设施中,所述设施根据与虚拟机相关联的策略实例来引导虚拟机。...
【技术保护点】
一种用于操作虚拟机的计算系统,包括:第一存储区域,其被配置成存储第一安全引导策略实例;第二存储区域,其被配置成存储第二安全引导策略实例;安全引导子系统,其被配置成使用由第二存储区域所存储的第二安全引导策略实例使虚拟机经历安全引导过程;安全引导策略更新子系统,其被配置成对由第一存储区域所存储的第一安全引导策略实例应用所接收到的安全引导策略更新;以及安全引导策略同步子系统,其被配置成利用由第一存储区域所存储的第一安全引导策略实例选择性地替换由第二存储区域所存储的第二安全引导策略实例。
【技术特征摘要】
【国外来华专利技术】2015.01.21 US 62/106187;2015.08.12 US 14/8251161.一种用于操作虚拟机的计算系统,包括:第一存储区域,其被配置成存储第一安全引导策略实例;第二存储区域,其被配置成存储第二安全引导策略实例;安全引导子系统,其被配置成使用由第二存储区域所存储的第二安全引导策略实例使虚拟机经历安全引导过程;安全引导策略更新子系统,其被配置成对由第一存储区域所存储的第一安全引导策略实例应用所接收到的安全引导策略更新;以及安全引导策略同步子系统,其被配置成利用由第一存储区域所存储的第一安全引导策略实例选择性地替换由第二存储区域所存储的第二安全引导策略实例。2.根据权利要求1所述的计算系统,还包括:与虚拟机相关联的虚拟受信任平台模块,所述虚拟受信任平台模块被配置成,当包括第二存储区域的内容的所选信息在安全引导过程的所选实例与紧接在安全引导过程的所选实例之前的过程的实例之间的差异至少达到某一阈值程度时,导致安全引导过程的所选实例的挂起。3.根据权利要求1所述的计算系统,其中,所述安全引导策略同步系统被配置成,响应于安全引导过程的完成,利用由第一存储区域所存储的第一安全引导策略实例替换由第二存储区域所存储的第二安全引导策略实例。4.根据权利要求1所述的计算系统,还包括:与虚拟机相关联的虚拟受信任平台模块;以及重新密封子系统,其被配置成,响应于由安全引导策略同步子系统进行的替换,基于通过所述替换被存储在第二存储区域中的安全引导策略实例把对于安全引导过程所需要的信息重新密封在虚拟受信任平台模块内。5.一种具有内容的计算机可读介质,所述内容被配置成使得计算系统实施以下操作以便引导托管在主机上的虚拟机:根据与虚拟机相关联的策略实例引导虚拟机;作为引导的一部分,从与虚拟机相关联的虚拟受信任平台模块中提取完成引导所需的信息,所述提取是基于与虚拟机相关联的策略实例的;以及在引导完成时,把与主机相关联的策略实例的内容拷贝到与虚拟机相关联的策略实例中。6.根据权利要求5所述的计算机可读介质,其中,所述信息是盘加密密钥,其中,所述计算...
【专利技术属性】
技术研发人员:LR克利顿,YA桑索诺夫,K金舒曼,吴京波,KM布罗亚斯,S钱拉舍卡,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。