数据传输通道的建立方法和装置制造方法及图纸

本申请实施例提供一种数据传输通道的建立方法和装置，其中方法包括：接收预先启动的加密虚拟机发送的签名文件；利用与芯片私钥相匹配的芯片公钥对签名文件验签；当验签通过时，利用预先存储的、与待校验度量值对应的预期度量值对待校验度量值进行校验；当待校验度量值与预期度量值一致时，生成数据传输密钥；利用虚拟机公钥加密数据传输密钥，得到加密数据传输密钥，并向加密虚拟机发送加密数据传输密钥，以便加密虚拟机利用与虚拟机公钥匹配的虚拟机私钥，对加密数据传输密钥解密，得到数据传输密钥，建立数据传输通道。本申请实施例所提供的数据传输通道的建立方法和装置，可以建立安全的数据传输通道，提高数据传输的安全性。性。性。

【技术实现步骤摘要】
数据传输通道的建立方法和装置


[0001]本申请实施例涉及云计算
，尤其涉及一种加密虚拟机的数据传输通道的建立方法和装置。

技术介绍

[0002]随着云计算技术的发展，越来越多的企业开始在云上部署业务系统，以虚拟机的形式向客户提供服务，由于加密虚拟机能够提供安全性更高的内存加密功能，云计算服务商通常通过部署加密虚拟机的方式对用户传输和使用的数据进行保护，并具体通过平台中心提供的密码管理系统和虚拟机监视器，来建立加密虚拟机与用户的数据服务器之间的安全数据传输通道，以及保证数据访存的安全性。
[0003]然而，虚拟机监视器容易出现软件漏洞，使得加密虚拟机与数据服务器间的数据传输的安全性大大降低。
[0004]因此，如何提高加密虚拟机与数据服务器间的数据传输的安全性，就成为本领域技术人员需要解决的技术问题。

技术实现思路

[0005]有鉴于此，本申请实施例提供数据传输通道的建立方法和装置，以提高加密虚拟机与数据服务器间的数据传输的安全性。
[0006]在第一方面，本申请实施例提供一种数据传输通道的建立方法本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据传输通道的建立方法，其特征在于，适用于数据服务器，包括：接收预先启动的加密虚拟机发送的签名文件，所述签名文件中包括所述加密虚拟机的虚拟机公钥和所述加密虚拟机的各待校验度量值，所述签名文件通过安全处理器利用芯片私钥签名；利用与所述芯片私钥相匹配的芯片公钥对所述签名文件验签；当验签通过时，利用预先存储的、与所述待校验度量值对应的预期度量值对所述待校验度量值进行校验；当所述待校验度量值与所述预期度量值一致时，生成数据传输密钥；利用所述虚拟机公钥加密所述数据传输密钥，得到加密数据传输密钥，并向所述加密虚拟机发送所述加密数据传输密钥，以便所述加密虚拟机利用与所述虚拟机公钥匹配的虚拟机私钥，对所述加密数据传输密钥解密，得到所述数据传输密钥，建立所述数据传输通道。2.如权利要求1所述的数据传输通道的建立方法，其特征在于，所述加密虚拟机通过物理主机启动，所述物理主机通过所述加密虚拟机的平台中心为所述加密虚拟机分配，所述加密虚拟机的启动步骤包括：获取所述加密虚拟机的引导程序和加密虚拟机镜像，所述引导程序和所述加密虚拟机镜像通过所述平台中心提供；将所述引导程序发送到所述安全处理器，以便所述安全处理器对所述引导程序度量，得到引导程序待校验度量值；获取安全处理器发回的所述引导程序待校验度量值，并根据所述加密虚拟机镜像和所述引导程序启动所述加密虚拟机。3.如权利要求2所述的数据传输通道的建立方法，其特征在于，所述加密虚拟机镜像包括平台配置模块、安全模块和算法模型，且所述平台配置模块、所述安全模块和所述算法模型均通过所述平台中心、所述数据服务器和用于提供算法模型的算法模型提供方三方审核。4.如权利要求2所述的数据传输通道的建立方法，其特征在于，所述预期度量值包括至少通过所述平台中心和所述数据服务器两方确认的度量值。5.如权利要求4所述的数据传输通道的建立方法，其特征在于，所述待校验度量值包括所述引导程序待校验度量值、虚拟机镜像待校验度量值和所述数据服务器所提供的安全模块的安全模块待校验度量值，所述预期度量值包括引导程序预期度量值、虚拟机镜像预期度量值和安全模块预期度量值。6.如权利要求5所述的数据传输通道的建立方法，其特征在于，所述安全模块包括：网络监控模块、网络服务模块和输入输出监控模块。7.如权利要求5所述的数据传输通道的建立方法，其特征在于，所述待校验度量值还包括所述平台中心所提供的平台配置模块的平台模块待校验度量值，所述预期度量值还包括平台模块预期度量值。8.如权利要求5所述的数据传输通道的建立方法，其特征在于，所述待校验度量值还包括算法模型的模型待校验度量值，所述预期度量值还包括模型预期度量值，所述预期度量值包括通过所述平台中心、所述数据服务器和算法模型提供方三方确认的度量值。
9.一种数据传输通道的建立方法，其特征在于，适用于加密虚拟机，包括：发送通过安全处理器利用芯片私钥签名的签名文件，所述签名文件包括所述加密虚拟机的虚拟机公钥和所述加密虚拟机的各待校验度量值；接收利用所述虚拟机公钥加密数据传输密钥得到的加密数据传输密钥，并利用与所述虚拟机公钥匹配的虚拟机私钥，对所述加密数据传输密钥解密，得到所述数据传输密钥，建立所述数据传输通道，其中，数据传输密钥通过数据服务器在利用与所述芯片私钥相匹配的芯片公钥对所述签名文件验签通过，且利用预先存储的、与所述待校验度量值对应的预期度量值对所述待校验度量值校验一致时生成。10.如权利要求9所述的数据传输通道的建立方法，其特征在于，所述加密虚拟机通过物理主机启动，所述物理主机通过所述加密虚拟机的平台中心为所述加密虚拟机分配，所述加密虚拟机的启动步骤包括：获取所述加密虚拟机的引导程序和加密虚拟机镜像，所述引导程序和所述加密虚拟机镜像通过所述平台中心提供；将所述引导程序发送到所述安全处理器，以便所述安全处理器对所述引导程序度量，得到引导程序待校验度量值；获取安全处理器发回的所述引导程序待校验度量值，并根据所述加密虚拟机镜像和所述引导程序启动所述加密虚拟机。11.如权利要求10所述的数据传输通道的建立方法，其特征在于，所述加密虚拟机镜像包括平台配置模块、安全模块和算法模型，且所述平台配置模块、所述安全模块和所述算法模型均通过所述平台中心、所述数据服务器和用于提供算法模型的算法模型提供方三方审核。12.如权利要求11所述的数据传输通道的建立方法，其特征在于，所述待校验度量值包括所述引导程序待校验度量值、虚拟机镜像待校验度量值、所述数据服务器所提供的安全模块的安全模块待校验度量值、平台中心所提供的平台配置模块的平台模块待校验度量值和算法模型的模型待校验度量值，所述预期度量值包括引导程序预期度量值、虚拟机镜像预期度量值、安全模块预期度量值、平台模块预期度量值和模型预期度量值，所述预期度量值包括通过所述平台中心、所述数据服务器和算法模型提供方三方确认的度量值。13.一种数据传输通道的建立装置，其特征在于，适用于数据服务器，包括：接收单元，适于...

【专利技术属性】
技术研发人员：姜新，应志伟，
申请(专利权)人：海光信息技术股份有限公司，
类型：发明
国别省市：