【技术实现步骤摘要】
【国外来华专利技术】用于证明虚拟机完整性的方法和设备
本专利技术大体涉及虚拟化计算机系统的证明领域。更具体地说,本专利技术涉及用于证明虚拟机完整性的方法和设备。
技术介绍
可信计算组织(trustedcomputinggroup,简称TCG)已经定义了一些手段,通过这些手段可以度量平台的软件完整性,并且随后由远程验证程序或证明服务器进行验证。验证平台完整性的过程称为证明或远程证明(请参阅“常规BIOS的TCGPC客户端特定实施规范”,http://www.trustedcomputinggroup.org/wp-content/uploads/TCG_PCClientImplementation_1-21_1_00.pdf),以便强调所述完整性度量的验证应该由不在将要证明的平台上运行的实体执行这一事实。随着虚拟化软件的出现,已经出现了远程证明研究的新方向,即虚拟平台的远程证明。尤其是,TCG已经定义了(参见“虚拟化可信平台架构规范”,http://www.trustedcomputinggroup.org/wpcontent/uploads/TCG_VPWG_Architecture_V1-0_R0-26_FINAL.pdf)虚拟平台远程证明的两个基本要求:深度证明和层绑定。为更好地说明如何执行虚拟平台的远程证明,图1示出了服务器不同组件的示意图,其中支持虚拟可信平台模块(virtualtrustedplatformmodule,简称vTPM)和虚拟可信度量核心根(virtualcorerootsoftrustforme
【技术保护点】
1.一种通过证明服务器(230)来证明服务器(210)上运行的虚拟机监视器(hypervisor,简称HV)(214)支持的虚拟机(virtual machine,简称VM)(212)的完整性的方法(700),其特征在于,所述方法(700)包括以下步骤:/n使用虚拟签注密钥(virtual endorsement key,简称vEK)加密(702)第一随机数;/n向所述VM(212)发送(704)VM证明请求并向所述HV(214)发送HV证明请求,其中所述VM证明请求包括所述已加密第一随机数;/n从所述VM(212)接收(706)VM证明报告并从所述HV(214)接收HV证明报告,其中所述VM证明报告和所述HV证明报告分别由所述VM(212)和所述HV(214)生成;/n验证(708)所述VM证明报告是否基于所述第一随机数;/n基于所述VM证明报告的验证和所述HV证明报告确认(710)所述VM(212)的完整性。/n
【技术特征摘要】
【国外来华专利技术】1.一种通过证明服务器(230)来证明服务器(210)上运行的虚拟机监视器(hypervisor,简称HV)(214)支持的虚拟机(virtualmachine,简称VM)(212)的完整性的方法(700),其特征在于,所述方法(700)包括以下步骤:
使用虚拟签注密钥(virtualendorsementkey,简称vEK)加密(702)第一随机数;
向所述VM(212)发送(704)VM证明请求并向所述HV(214)发送HV证明请求,其中所述VM证明请求包括所述已加密第一随机数;
从所述VM(212)接收(706)VM证明报告并从所述HV(214)接收HV证明报告,其中所述VM证明报告和所述HV证明报告分别由所述VM(212)和所述HV(214)生成;
验证(708)所述VM证明报告是否基于所述第一随机数;
基于所述VM证明报告的验证和所述HV证明报告确认(710)所述VM(212)的完整性。
2.根据权利要求1所述的方法(700),其特征在于,所述方法(700)还包括以下步骤:
验证所述HV证明报告是否包括所述vEK和所述第一随机数;
如果所述VM证明报告基于所述第一随机数且所述HV证明报告包括所述vEK和所述第一随机数,则确认所述VM(212)的完整性。
3.根据权利要求1或2所述的方法(700),其特征在于,根据可信计算组织(trustedcomputinggroup,简称TCG)定义的隐私CA(privacycertificateauthority,简称PCA)协议来执行所述第一随机数的加密。
4.一种通过服务器(210)上运行的虚拟机(virtualmachine,简称VM)(212)和虚拟机监视器(hypervisor,简称HV)(214)生成证明报告的方法(800),其特征在于,所述方法(800)包括以下步骤:
所述VM(212)接收(802)VM证明请求,且所述HV(214)接收HV证明请求,其中所述VM证明请求包括使用虚拟签注密钥(virtualendorsementkey,简称vEK)加密的已加密第一随机数;
所述HV(214)上运行的虚拟可信平台模块(virtualtrustedplatformmodule,简称vTPM)根据存储在所述vTPM中的vEK解密(804)所述已加密第一随机数,以响应来自所述VM(212)的解密请求;
所述VM(212)从所述vTPM接收(806)第一引用,其中所述第一引用使用存储在所述vTPM中的虚拟证明标识密钥(virtualattestationidentitykey,简称vAIK)签名并包括所述第一随机数;
所述VM(212)生成(808)有关所述VM(212)的VM证明报告,其中所述VM证明报告包括所述第一引用;
所述HV(214)生成(810)有关所述HV(214)的HV证明报告。
5.根据权利要求4所述的方法(800),其特征在于,所述方法(800)还包括以下步骤:
所述vTPM存储所述第一随机数和所述vEK,所述已存储的第一随机数和vEK可通过所述HV(214)访问;
所述HV(214)读取所述已存储的第一随机数和vEK,其中所述已生成的HV证明报告包括所述已存储的第一随机数和vEK。
6.根据权利要求4或5所述的方法(800),其特征在于,所述方法(800)还包括以下步骤:所述VM(212)对所述第一随机数进行散列;
所述VM(212)根据所述已散列的第一随机数生成第一引用;
所述HV(214)对所述第一随机数和所述vEK进行散列;
所述HV(214)从所述服务器(210)的物理可信平台模块(physicaltrustedplatformmodule,简称pTPM)接收第二引用,其中所述第二引用是基于所述已散列第一随机数和所述vEK生成的,所述第二引用使用物理证明标识密钥(physicalattestationidentitykey,简称pAIK)签名;
所述HV(214)将所述第二引用包含在有关所述HV(214)的HV证明报告中。
7.一种证明服务器(230),用于证明服务器(210)上运行的虚拟机监视器(hypervisor,简称HV)(214)支持的虚拟机(virtualmachine,简称VM)(212)完整性,其特征在于,所述证明服务器(230)包括:
处理器(232),用于使用虚拟签注密钥(virtualendorsementkey,简称vEK)加密第一随机数;
发送单元(234),用于向所述VM(212...
【专利技术属性】
技术研发人员:米哈伊·塞尔维亚,伊万西尔维乌·弗勒斯恰努,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。