【技术实现步骤摘要】
【国外来华专利技术】针对可迁移虚拟机的可信计算基证据绑定
实施例涉及可信计算。
技术介绍
虚拟机(VirtualMachine,VM)是模仿计算机系统的计算实体,并且可以在若干硬件平台中的任何硬件平台上进行操作。特定VM可以在第一时隙期间在第一硬件平台上进行操作并且在第二时隙期间在第二硬件平台上进行操作。也就是说,VM可以在各种物理平台之间迁移(“可迁移VM”)。物理平台的可信计算基(TrustedComputingBase,TCB)可以包括底层虚拟化基础设施。例如,特定物理平台的TCB可以包括处理器虚拟机、基本输入-输出系统(BasicInput-OutputSystem,BIOS)虚拟机、管理程序虚拟机和虚拟化助手虚拟机。附图说明图1是根据本专利技术的实施例的系统的框图。图2是根据本专利技术的实施例的方法的流程图。图3是根据本专利技术的实施例的系统的框图。图4是可以在本专利技术的实施例中利用的处理器的框图。图5是根据本专利技术的实施例的片上系统(SoC)的框图。具体实施方式可以执行对VM的证明以便确保包括VM和底层物理平台的系统的安全性。安全性意味着已经使用可信软件(例如,通过对物理平台、虚拟化基础设施软件、虚拟平台软件和VM的完整性测量来证明)来引导了VM。对物理平台和底层虚拟化基础设施的完整性测量(本文中被称为“测量”)可由物理可信平台模块(physicalTrustedPlatformModule,pTPM)完成。pTPM通常包括硬件实体并且具有可以在生产期间烧录到硬件中的可信公钥/私钥。pTPM可能能够进行公钥密码操作、对散列函数的计算、完整性测量、证明以及与可信 ...
【技术保护点】
至少一种计算机可读介质,所述至少一种计算机可读介质具有存储于其上的指令,所述指令用于使系统:在计算系统的安全平台服务飞地(PSE)处使用安全证明密钥(SGX AK)来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPM AK)的公共部分进行密码签名以便形成经认证的TPM AK公共部分;将所述经认证的TPM AK公共部分存储在所述PSE中;以及响应于在与已经迁移到所述物理平台上的虚拟机(VM)相关联的虚拟可信平台模块(vTPM)处从请求者接收的证明请求,由所述vTPM检索存储在所述PSE中的所述经认证的TPM AK公共部分并且由所述vTPM向所述请求者提供所述经认证的TPM AK公共部分。
【技术特征摘要】
【国外来华专利技术】2014.11.26 US 14/554,4671.至少一种计算机可读介质,所述至少一种计算机可读介质具有存储于其上的指令,所述指令用于使系统:在计算系统的安全平台服务飞地(PSE)处使用安全证明密钥(SGXAK)来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPMAK)的公共部分进行密码签名以便形成经认证的TPMAK公共部分;将所述经认证的TPMAK公共部分存储在所述PSE中;以及响应于在与已经迁移到所述物理平台上的虚拟机(VM)相关联的虚拟可信平台模块(vTPM)处从请求者接收的证明请求,由所述vTPM检索存储在所述PSE中的所述经认证的TPMAK公共部分并且由所述vTPM向所述请求者提供所述经认证的TPMAK公共部分。2.如权利要求1所述的至少一种计算机可读介质,其中,向所述请求者提供的所述经认证的TPMAK公共部分用于指示所述VM要在所述物理平台上运行。3.如权利要求1所述的至少一种计算机可读介质,其中,所述TPMAK公共部分将由包括耦合至所述物理平台的硬件的物理可信平台模块(pTPM)生成。4.如权利要求3所述的至少一种计算机可读介质,进一步包括用于将来自所述pTPM的所述TPMAK公共部分存储到所述物理平台的模型特定寄存器(MSR)中的指令。5.如权利要求4所述的至少一种计算机可读介质,进一步包括用于将存储在所述MSR中的所述TPMAK公共部分提供给所述PSE的指令。6.如权利要求5所述的至少一种计算机可读介质,进一步包括用于在存储所述TPMAK公共部分之后并且在将存储在所述MSR中的所述TPMAK公共部分提供给所述PSE之前将所述MSR设置为只读的指令。7.如权利要求6所述的至少一种计算机可读介质,进一步包括用于经由安全迁移飞地(MigE)从所述PSE向所述vTPM提供所述经认证的TPMAK公共部分的指令,并且其中,所述经认证的TPMAK公共部分用于提供所述vTPM、所述PSE以及所述安全MigE要在所述物理平台上操作的证据。8.如权利要求7所述的至少一种计算机可读介质,其中,所述VM包括VM安全飞地,并且所述vTPM包括vTPM安全飞地,其中,所述MigE、所述VM安全飞地以及所述vTPM处于由所述SGXAK定义的共同安全域中。9.如权利要求1至8中任一项所述的至少一种计算机可读介质,其中,用于由所述vTPM向所述请求者提供所述经认证的TPMAK公共部分的所述指令包括给所述请求者的对所述VM的以及对所述vTPM的证明证据。10.一种方法,包括:由安全平台服务飞地(PSE)使用可由所述PSE访问的安全证明密钥(SGXAK)经由密码签名来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPMAK)的公共部分进行认证,以便形成经认证的TPMAK公共部分;以及响应于由已经迁移到所述物理平台上的虚拟机(VM)从请求者接收的证明请求,由耦合至所述VM的虚拟可信平台模块(vTPM)向所述请求者提供所述经认证的TPMAK公共部分。11.如权利要求10所述的方法,其中,所述经认证的TPMAK公共部分用于指示所述VM要在所述物理平台上运行。12.如权利要求10所述的方法,进一步包括:在认证之前,由所述PSE从所述物理平台的模型特定寄存器(MSR)中检索所述TPMAK公共部分。13.如权利要求12所述的方法,进一步包括:在由所述PSE从所述MSR中检索所述AK公共部分之前,由所述物理平台的认证代码模块从与所述物理平台相关联的物理可信...
【专利技术属性】
技术研发人员:M·E·斯科特纳什,A·达萨里,W·M·怀斯曼,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。