用于对上下文加密密钥进行备份和恢复的方法和系统技术方案

一种方法和系统，用于在安全处理系统内对可信设备的上下文加密密钥进行备份和恢复，保持虚拟可信设备上下文的安全性，提供对可信设备的现场替换。由随机数对ＣＥＫ连同系统标识符进行加密，以产生第一结果。再使用厂商公钥对第一结果加密。所得的ｂｌｏｂ连同随机数一起存储。为了恢复，系统将ｂｌｏｂ和设备ＩＤ发送至服务器。服务器通过用厂商私钥解密获得第一结果，用设备公钥再加密，并发送回新结果。系统将新结果连同关联的随机数发送至设备。设备使用其私钥解密新结果，并使用随机数解密ＣＥＫ。

【技术实现步骤摘要】

本专利技术总体上涉及处理系统中的安全，更具体地，涉及一种方法，用于对密钥进行备份和恢复，所述密钥用于在没有可用的可信设备时，将机器上下文(machine context)导出并导入到替换设备中。
技术介绍
当今的计算系统，更具体地，大规模服务器系统经常包括对于运行多个虚拟机的支持。该系统可以是大规模随需应变服务器系统，它在单一硬件平台上执行成百上千的服务器实例，以支持具有不断变化的计算需求的客户。在这些系统中最灵活的系统中，在操作系统和应用搭配上有所不同的多个分区同时存在于系统存储器中，而且在每个分区中执行的各个进程在一个支持其在访客操作系统上执行的环境中运行。虚拟机提供一种与真实硬件平台足够相似的环境，使得，操作系统进行很小的改变或不用改变就能够运行。系统管理程序(有时称为虚拟机监视器)管理所有的虚拟机或分区，并抽象系统资源，使得，每个分区为每个操作系统实例提供一种类似机器的环境。为实现上述架构目标，系统中安装有多个处理模块和其它设备，每个设备通常支持上述分区中的一个或多个，尽管有可能在多个设备之间的一个分区上共享任务。设备组或单独的设备可与一个特定客户相关联，而且希望包括来自本文档来自技高网...

【技术保护点】
一种方法，用于对安全处理系统中设备的上下文加密密钥（ＣＥＫ）进行安全的备份和恢复，所述方法包括：响应接收到备份所述ＣＥＫ的请求，在第一设备内使用第一密钥第一加密包括所述ＣＥＫ的信息，以获得第一加密结果；在所述第一设备外部第一 存储所述第一加密结果；响应接收到恢复所述ＣＥＫ的请求，第一发送所述第一加密结果至服务器；在所述服务器，使用与所述第一密钥关联的第二密钥第一解密所述第一加密结果，以获得解密结果；使用第三密钥再加密所述解密结果，以获得第 二加密结果；传送所述第二加密结果至所述系统内的第二设备；以及在所述设备内使用与所...

【技术特征摘要】
US 2004-10-21 10/970,4591.一种方法，用于对安全处理系统中设备的上下文加密密钥(CEK)进行安全的备份和恢复，所述方法包括响应接收到备份所述CEK的请求，在第一设备内使用第一密钥第一加密包括所述CEK的信息，以获得第一加密结果；在所述第一设备外部第一存储所述第一加密结果；响应接收到恢复所述CEK的请求，第一发送所述第一加密结果至服务器；在所述服务器，使用与所述第一密钥关联的第二密钥第一解密所述第一加密结果，以获得解密结果；使用第三密钥再加密所述解密结果，以获得第二加密结果；传送所述第二加密结果至所述系统内的第二设备；以及在所述设备内使用与所述第三密钥关联的第四密钥第二解密所述第二加密结果，以取回所述信息。2.根据权利要求1所述的方法，进一步包括进一步响应接收到备份所述CEK的所述请求，在所述第一设备内生成随机数，并用所述随机数第二加密所述信息，由此，所述第一加密对所述信息进行双重加密，以产生所述第一加密结果；在所述第一设备外部第二存储所述随机数，其中，所述传送进一步传送所述随机数至所述第二设备；以及使用所述随机数第三解密所述第二解密结果，以取回所述信息。3.根据权利要求1所述的方法，其中所述传送包括第二发送所述第二加密结果至所述系统；从存储器取回所述随机数；以及第三发送所述第二加密结果连同所述取回的随机数至所述设备。4.根据权利要求1所述的方法，其中所述第二设备是所述第一设备的替换设备。5.根据权利要求1所述的方法，其中所述第二设备是所述第一设备，所述方法用于将所述CEK重新安装到所述第一设备上，以修复所述第一设备。6.根据权利要求1所述的方法，其中所述第一和第二密钥组成公用/私有密钥对，其中所述第一密钥是所述公用/私有密钥对中的公钥，所述第二密钥是所述公用/私有密钥对中的私钥。7.根据权利要求1所述的方法，其中所述第三和第四密钥组成公用/私有密钥对，其中所述第三密钥是所述公用/私有密钥对中的公钥，所述第四密钥是所述公用/私有密钥对中的私钥。8.根据权利要求1所述的方法，其中所述第一和第二密钥组成对称密钥对。9.根据权利要求1所述的方法，其中所述第三和第四密钥组成对称密钥对。10.根据权利要求1所述的方法，其中所述CEK是一个密钥，用于对从所述第一设备导出的机器上下文进行加密，以及对导入到所述第二设备的所述上下文进行解密。11.根据权利要求1所述的方法，其中所述信息包括与所述系统关联的系统标识符，其中所述第二解密进一步提取所述系统标识符，并且，其中所述方法进一步包括在所述第二设备内，确定所述系统标识符是否与所述第二设备所绑定的系统的第二标识符相匹配；以及响应确定了所述系统标识符与所述第二标识符不匹配，中止到所述第二设备的所述CEK的恢复。12.根据权利要求1所述的方法，其中所述第一发送进一步包括发送所述第二设备的设备标识符至所述服务器，并且其中所述方法进一步包括使用所述设备标识符从数据库中取回所述第三密钥。13.一种系统，包括多个设备，互相通信并构成处理系统，所述每个设备包括用于存储系统程序指令和数据的存储器，以及用于执行所述系统程序指令的处理器，其中所述系统程序指令包括程序指令，用于响应接收到备份所述CEK的请求，...

【专利技术属性】
技术研发人员：史蒂文A巴德，戴维卡罗尔查利纳，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：US[美国]