针对可迁移虚拟机的可信计算基证据绑定制造技术

在实施例中，至少一种计算机可读介质具有存储于其上的指令，所述指令使系统在计算系统的安全平台服务飞地(PSE)处并且使用安全证明密钥(SGX AK)来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPM AK)的公共部分进行密码签名以便形成经认证的TPM AK公共部分。还包括的是：用于将所述经认证的TPM AK公共部分存储在所述PSE中的指令；以及用于响应于在与已经迁移到所述物理平台上的虚拟机(VM)相关联的虚拟可信平台模块(vTPM)处从请求者中接收的证明请求而向所述请求者提供存储在所述PSE中的所述经认证的TPM AK公共部分的指令。本文还描述和请求了其他实施例。

【技术实现步骤摘要】
【国外来华专利技术】针对可迁移虚拟机的可信计算基证据绑定
实施例涉及可信计算。
技术介绍
虚拟机(VirtualMachine，VM)是模仿计算机系统的计算实体，并且可以在若干硬件平台中的任何硬件平台上进行操作。特定VM可以在第一时隙期间在第一硬件平台上进行操作并且在第二时隙期间在第二硬件平台上进行操作。也就是说，VM可以在各种物理平台之间迁移(“可迁移VM”)。物理平台的可信计算基(TrustedComputingBase，TCB)可以包括底层虚拟化基础设施。例如，特定物理平台的TCB可以包括处理器虚拟机、基本输入-输出系统(BasicInput-OutputSystem，BIOS)虚拟机、管理程序虚拟机和虚拟化助手虚拟机。附图说明图1是根据本专利技术的实施例的系统的框图。图2是根据本专利技术的实施例的方法的流程图。图3是根据本专利技术的实施例的系统的框图。图4是可以在本专利技术的实施例中利用的处理器的框图。图5是根据本专利技术的实施例的片上系统(SoC)的框图。具体实施方式可以执行对VM的证明以便确保包括VM和底层物理平台的系统的安全性。安全性意味着已经使用可信软件(例如，通过对物理平台、虚拟化基础设施软件、虚拟平台软件和VM的完整性测量来证明)来引导了VM。对物理平台和底层虚拟化基础设施的完整性测量(本文中被称为“测量”)可由物理可信平台模块(physicalTrustedPlatformModule，pTPM)完成。pTPM通常包括硬件实体并且具有可以在生产期间烧录到硬件中的可信公钥/私钥。pTPM可能能够进行公钥密码操作、对散列函数的计算、完整性测量、证明以及与可信计算相关联的其他功能。可以对可迁移VM进行测量以便确保正维持特定安全等级。测量可由虚拟TPM(vTPM)实现，所述虚拟TPM可以是与特定可迁移VM相关联的软件实体。在实施例中，特定vTPM可以被实施为可迁移VM，所述可迁移VM可以允许虚拟化基础设施以比例如通过包括在管理程序中更高的效率来进行操作。给VM的证明请求可以传达至其相关联vTPM。本文中所呈现的实施例提供了一种用于通过将vTPM绑定至与底层物理平台相关联的物理TPM(pTPM)来促进对迁移VM的证明的方法，所述迁移VM在所述底层物理平台上运行。实施例可以依赖于安全飞地功能。vTPM可以对VM执行证明，并且底层物理平台通常对VM或者对证明器是未知的。然而，底层物理平台是可信计算基(TCB)的一部分，并且因此完整证明将包括pTPM证据。实施例可以将可信计算基(TCB)的证明证据整合到相关联vTPM中以便简化对VM/vTPM的迁移。实施例还可以提供vTPM的和VM的证明证据。所呈现的实施例可以依赖于安全飞地(例如，来自因特尔公司(IntelCorporation)的SGX)以便为vTPM提供保护和迁移支持，消除了对通用软件部件(例如，管理程序或助手VM)的依赖性。实施例可以依赖于安全飞地以便帮助证明vTPM与pTPM的绑定。图1是根据本专利技术的实施例的系统100的框图。物理平台150包括pTPM134、模型特定寄存器(ModelSpecificRegister，MSR)136、认证代码模块(ACM)142、软件防护扩展(SGX)证明密钥138、非核部分140、包括核1320至132N的核部分126、BIOS128以及高速缓存130。管理程序124在物理平台150上运行。域0102包括迁移代理104、(安全)平台服务飞地(PSE)106、(安全)迁移飞地(MigE)108以及pTPM驱动程序110。域U116包括访客VM1117，所述访客VM1包括vTPM驱动程序部分118、vTPM驱动程序120和操作系统(OS)122。另外地，实施了与访客VM1117相关联的vTPM114并且其包括安全飞地112。访客VM1117的可信计算基(TCB)包括以下TCB部件：1.访客VMOS122和虚拟BIOS(未示出)2.包括管理程序122的虚拟化基础设施，以及虚拟化基础设施的对VM1117、BIOS等具有可见性的其他部分(例如，平台服务飞地106、迁移飞地108以及域0102内的其他实体)，以及SGX基础设施提供可信根以便存储并报告TCB部件的实体包括vTPM114、pTPM130以及SGX实施方式(例如，SGX证明密钥136和SGX基础设施(未示出))。在图1中，飞地106、108、112以及vTPM驱动程序部分118被涂以阴影以便指示它们是安全飞地并且可以访问(公共/私有)SGX证明密钥138，使用所述SGX证明密钥来对要存储在任何安全飞地中或要从其中访问的项进行编码。SGX证明密钥138可以充当飞地106、108、112和118的可信根，所述可信根可以用于保护飞地106、108、112和118内的秘密。在实施例中，对vTPM114做出的证明请求返回TCB部件(例如，访客VMOS122、虚拟BIOS和虚拟化基础设施)中的每个TCB部件的证明证据。使用安全飞地112来实施vTPM114。vTPM114可以经由pTPM证明密钥绑定至物理平台，并且(SGX)TCB的证明证据可以通过SGX证明基础设施(例如，安全飞地106、108和112)提供。在如访客VM1117等VM的迁移期间，pTPM134与vTPM114的绑定可能丢失并且可能需要对其进行重新证明，这可由虚拟化基础设施完成。然而，只有在管理程序和另一个虚拟化基础设施为可信时才可以经由所述管理程序和/或所述另一个虚拟化基础设施来进行对pTPM-vTPM绑定的重新证明。在实施例中，平台服务飞地(PSE)106经由安全飞地112向vTPM114提供pTPM134的pTPM身份，所述安全飞地是vTPM114的一部分。在一个实施例中，PSE106向vTPM114提供pTPM身份如下：1.在引导时间并且在BIOS引导块之前，认证代码模块(ACM)142向pTPM134要求TPM证明密钥(TPMAK)公共部分。将TPMAK公共部分保存到MSR136中，并且将MSR136设置为只读模式。2.MSR136可由安全架构飞地(例如，PSE106)读取，所述安全架构飞地是安全证明基础设施的一部分。TPMAK公共部分提供PSE106与pTPM134处于相同物理平台上的证据。3.响应于给PSE106的请求，可由PSE106使用SGX证明密钥138(在一些实施例中，SGX证明密钥138是增强隐私标识(EPID)密钥)来对TPMAK公共部分进行认证(例如，对其进行签名)，并且可以向任何请求安全飞地(例如，架构服务和/或应用飞地)提供经签名的AK公共部分。使用SGX证明密钥138来认证TPMAK公共部分将pTPM134绑定至(SGX)可信计算基。4.当VM/vTPM在来自安全迁移飞地MigE108的帮助下迁移到物理平台150上时，MigE108可以从PSE106请求并接收经认证的TPMAK公共部分。(相同物理平台上的飞地具有相同SGX证明密钥。可以确认的是，因为PSE106和MigE108处于相同SGX密钥域中，所以它们处于相同物理平台上。vTPM114、MigE108、PSE106以及vTPM驱动程序118的飞地全都知道它们是否处于相同物理平台上。)经认证的TPMAK公共部分充当MigE108正本文档来自技高网...

【技术保护点】
至少一种计算机可读介质，所述至少一种计算机可读介质具有存储于其上的指令，所述指令用于使系统：在计算系统的安全平台服务飞地(PSE)处使用安全证明密钥(SGX AK)来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPM AK)的公共部分进行密码签名以便形成经认证的TPM AK公共部分；将所述经认证的TPM AK公共部分存储在所述PSE中；以及响应于在与已经迁移到所述物理平台上的虚拟机(VM)相关联的虚拟可信平台模块(vTPM)处从请求者接收的证明请求，由所述vTPM检索存储在所述PSE中的所述经认证的TPM AK公共部分并且由所述vTPM向所述请求者提供所述经认证的TPM AK公共部分。

【技术特征摘要】
【国外来华专利技术】2014.11.26 US 14/554,4671.至少一种计算机可读介质，所述至少一种计算机可读介质具有存储于其上的指令，所述指令用于使系统：在计算系统的安全平台服务飞地(PSE)处使用安全证明密钥(SGXAK)来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPMAK)的公共部分进行密码签名以便形成经认证的TPMAK公共部分；将所述经认证的TPMAK公共部分存储在所述PSE中；以及响应于在与已经迁移到所述物理平台上的虚拟机(VM)相关联的虚拟可信平台模块(vTPM)处从请求者接收的证明请求，由所述vTPM检索存储在所述PSE中的所述经认证的TPMAK公共部分并且由所述vTPM向所述请求者提供所述经认证的TPMAK公共部分。2.如权利要求1所述的至少一种计算机可读介质，其中，向所述请求者提供的所述经认证的TPMAK公共部分用于指示所述VM要在所述物理平台上运行。3.如权利要求1所述的至少一种计算机可读介质，其中，所述TPMAK公共部分将由包括耦合至所述物理平台的硬件的物理可信平台模块(pTPM)生成。4.如权利要求3所述的至少一种计算机可读介质，进一步包括用于将来自所述pTPM的所述TPMAK公共部分存储到所述物理平台的模型特定寄存器(MSR)中的指令。5.如权利要求4所述的至少一种计算机可读介质，进一步包括用于将存储在所述MSR中的所述TPMAK公共部分提供给所述PSE的指令。6.如权利要求5所述的至少一种计算机可读介质，进一步包括用于在存储所述TPMAK公共部分之后并且在将存储在所述MSR中的所述TPMAK公共部分提供给所述PSE之前将所述MSR设置为只读的指令。7.如权利要求6所述的至少一种计算机可读介质，进一步包括用于经由安全迁移飞地(MigE)从所述PSE向所述vTPM提供所述经认证的TPMAK公共部分的指令，并且其中，所述经认证的TPMAK公共部分用于提供所述vTPM、所述PSE以及所述安全MigE要在所述物理平台上操作的证据。8.如权利要求7所述的至少一种计算机可读介质，其中，所述VM包括VM安全飞地，并且所述vTPM包括vTPM安全飞地，其中，所述MigE、所述VM安全飞地以及所述vTPM处于由所述SGXAK定义的共同安全域中。9.如权利要求1至8中任一项所述的至少一种计算机可读介质，其中，用于由所述vTPM向所述请求者提供所述经认证的TPMAK公共部分的所述指令包括给所述请求者的对所述VM的以及对所述vTPM的证明证据。10.一种方法，包括：由安全平台服务飞地(PSE)使用可由所述PSE访问的安全证明密钥(SGXAK)经由密码签名来对与物理平台的可信计算基相关联的可信平台模块证明密钥(TPMAK)的公共部分进行认证，以便形成经认证的TPMAK公共部分；以及响应于由已经迁移到所述物理平台上的虚拟机(VM)从请求者接收的证明请求，由耦合至所述VM的虚拟可信平台模块(vTPM)向所述请求者提供所述经认证的TPMAK公共部分。11.如权利要求10所述的方法，其中，所述经认证的TPMAK公共部分用于指示所述VM要在所述物理平台上运行。12.如权利要求10所述的方法，进一步包括：在认证之前，由所述PSE从所述物理平台的模型特定寄存器(MSR)中检索所述TPMAK公共部分。13.如权利要求12所述的方法，进一步包括：在由所述PSE从所述MSR中检索所述AK公共部分之前，由所述物理平台的认证代码模块从与所述物理平台相关联的物理可信...

【专利技术属性】
技术研发人员：M·E·斯科特纳什，A·达萨里，W·M·怀斯曼，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US