基于标签的vTPM私密信息保护方法技术

本发明专利技术公开了一种基于标签的vTPM私密信息保护方法，包括：步骤1、系统部署前的初始化工作；步骤2：为每一个虚拟机的vTPM实例分别建立一个vTPM标签；步骤3：从虚拟机的镜像文件中提取vTPM标签，检查vTPM标签相关内容，判断虚拟机和vTPM的对应关系是否正确，进而决定虚拟机是否启动；步骤4：根据步骤3得到的解密vTPM标签的加密信息字段得到的KEY，进行哈希操作、加密、解密、验证哈希值等，对vTPM私密信息进行机密性保护和完整性验证；步骤5：当虚拟机在动态迁移时，安全迁移vTPM的易失性信息、私密信息以及vTPM标签。本发明专利技术利用vTPM标签实时地保护vTPM私密信息的机密性、完整性、虚拟机与vTPM实例关联关系的一致性，建立vTPM和物理可信平台模块之间的关联。

【技术实现步骤摘要】
基于标签的vTPM私密信息保护方法
本专利技术涉及可信计算与虚拟化安全领域，具体涉及一种基于标签的vTPM私密信息保护方法。
技术介绍
可信计算技术可以为云计算平台提供虚拟机完整性验证机制，而vTPM(vTPM，virtualTrustedPlatformModule)则是可信计算技术虚拟化的重要组件。虚拟化平台XEN、KVM都有vTPM的实现方案，两者均涉及到可信平台模块(TPM，TrustedPlatformModule)自身非易失性信息的软件模拟，其中包含了背书密钥、访问口令等私密信息，所以本专利技术将vTPM的非易失性信息称之为vTPM的私密信息，而这些私密信息容易被窃取和滥用。KVM下的可信平台模块虚拟化技术主要有三类：TPMpassthrough实现方式、基于libtpms的全虚拟化可信平台模块实现方式以及用户空间字符设备可信平台模块(CUSETPM，CharacterDeviceinUserspaceTrustedPlatformModule)实现方式，其中后两者属于全虚拟化可信平台模块的实现方式。TPMpassthrough实现方式允许虚拟机直接使用物理可信平台模块，本文档来自技高网...

【技术保护点】
1.一种基于标签的vTPM私密信息保护方法，其特征在于，包括以下步骤：步骤1：系统部署前的初始化工作；在每一台宿主机上建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig，并通过证书颁发机构为RSA_mig密钥生成相应的数字证书；步骤2：为每一个虚拟机的vTPM实例分别建立一个vTPM标签，标签的具体结构为：状态字段、有效期字段、加密信息字段、UUID哈希值字段、QEMU度量值字段、签名算法字段、签名值字段；收集启动虚拟机的进程代码段、虚拟机的UUID，借助于物理可信平台模块的功能填充vTPM标签中的各个字段，最后将vTPM标签存储于虚拟机的QCOW2格式镜像文件的头部扩展...

【技术特征摘要】
1.一种基于标签的vTPM私密信息保护方法，其特征在于，包括以下步骤：步骤1：系统部署前的初始化工作；在每一台宿主机上建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig，并通过证书颁发机构为RSA_mig密钥生成相应的数字证书；步骤2：为每一个虚拟机的vTPM实例分别建立一个vTPM标签，标签的具体结构为：状态字段、有效期字段、加密信息字段、UUID哈希值字段、QEMU度量值字段、签名算法字段、签名值字段；收集启动虚拟机的进程代码段、虚拟机的UUID，借助于物理可信平台模块的功能填充vTPM标签中的各个字段，最后将vTPM标签存储于虚拟机的QCOW2格式镜像文件的头部扩展中；步骤3：当虚拟机启动时，从虚拟机的镜像文件中提取vTPM标签，检查vTPM标签的完整性和有效期、启动虚拟机的进程的代码段是否和vTPM标签中记录的一致、虚拟机的UUID是否和vTPM标签中记录的一致三项内容，进而判断虚拟机和vTPM的对应关系是否正确，如果正确，利用物理可信平台模块解密vTPM标签的加密信息字段，并正常启动虚拟机，否则终止虚拟机启动；步骤4：当虚拟机正常运行时，QEMU会将vTPM的私密信息实时地同步到vTPM实例文件中，通过截获QEMU对于vTPM实例文件的读写操作，根据步骤3得到的解密vTPM标签的加密信息字段得到的KEY，在写入之前进行哈希操作并加密，读取之后进行解密并验证哈希值，实时地对vTPM私密信息进行机密性保护和完整性验证；步骤5：利用vTPM标签支持不同状态的特性，当虚拟机在动态迁移时，安全迁移vTPM的易失性信息、私密信息以及vTPM标签。2.如权利要求1所述的基于标签的vTPM私密信息保护方法，其特征在于，所述步骤2具体为：步骤2.1：对启动虚拟机的进程QEMU的代码段进行度量，生成度量值HASH(QEMU.code)，对当前虚拟机的UUID进行度量，生成度量值HASH(UUID)；步骤2.2：创建vTPM标签；初始化状态字段为本地状态；初始化有效期字段为自定义时间段T；从物理可信平台模块中获得一个随机数，物理可信平台模块使用密钥RSA_local来对该随机数进行加密，然后将密文赋值给加密信息字段；初始化UUID哈希值字段为HASH(UUID)；初始化QEMU度量值字段为HASH(QEMU.code)；初始化签名算法字段为密钥RSA_local的签名算法；物理可信平台模块使用密钥RSA_local对标签的以上信息做签名运算，生成签名值赋值给签名值字段；步骤2.3：生成虚拟机QCOW2格式镜像文件的一个头部扩展{类型,长度,数据}，其中，类型为该头部扩展的唯一标识，数据用来存储vTPM标签，长度为vTPM标签的长度，...

【专利技术属性】
技术研发人员：陈兴蜀，王伟，金鑫，陈佳昕，金逸灵，蔡梦娟，蒋超，王启旭，兰晓，
申请(专利权)人：四川大学，
类型：发明
国别省市：四川,51