安全执行客户机所有者环境控制符制造技术

一种方法、计算机程序产品和系统，其中安全接口控件基于元数据确定是否可以执行安全客户机映像的实例。安全接口控件(“SC”)获取链接到所有者的安全客户机的映像并由虚拟机监控程序管理的元数据，元数据包括指示是否允许虚拟机监控程序基于计算系统中的系统设置在计算系统中执行用映像生成的安全客户机实例的控制符。SC截获虚拟机监控程序发出的启动实例的命令。SC确定计算系统中的的系统设置的存在或不存在。SC确定是否允许虚拟机监控程序执行该实例。如果允许，SC使虚拟机监控程序能启动该实例。否则，SC忽略该命令。SC忽略该命令。SC忽略该命令。

【技术实现步骤摘要】
【国外来华专利技术】安全执行客户机所有者环境控制符

技术介绍

[0001]在当今的计算机系统和信息传输网络中，密码元件是重要的技术组件。信息可以以加密安全的形式存储或传输，以避免对存储或传输的信息的未经授权访问。在某些情况下，可以使用基于纯软件的技术，在其他情况下，可以使用硬件支持和特定于安全性的元件来进行此类数据保护。
[0002]虚拟机监控程序(hypervisor)或虚拟机管理器可以控制可访问系统资源的各种客户机(例如，虚拟机、虚拟服务器)。由公共虚拟机监控程序管理的不同客户机可以由不同的所有者生成。这些客户机中有些可能是安全客户机。传统的虚拟机监控程序可以完全控制受托管的所有客户机。特别是，虚拟机监控程序能够检查甚至修改受托管的客户机的所有内存。在云环境中，这种设置要求虚拟机监控程序及其管理员完全可信。
[0003]安全客户机(secure guest)是可以由不(完全)可信的虚拟机监控程序托管的客户机。这样的客户机的映像在加载时将受到保护，并且，对分配给客户机的资源(例如，内存、CPU寄存器)的内容的保护将在客户机的整个生命周期内保持。客户机的保护至少包括完整性保护(例如，虚拟机监控程序不能恶意更改任何客户机状态)，此外还可以包括维护客户机中运行的初始映像、代码和数据的机密性。这些服务可以应用于安全实体与另一不受信任实体之间的、传统上允许该另一实体访问安全资源的任何接口。

技术实现思路

[0004]通过提供一种方法克服了现有技术的缺点并提供了额外的优势，该方法使所有者能控制安全客户机在给定技术环境中的执行。所述方法例如包括：由计算系统中的安全接口控件获得链接到所有者的安全客户机的映像并由虚拟机监控程序管理的元数据，其中，安全接口控件通信地耦合到虚拟机监控程序，其中，虚拟机监控程序管理一个或多个客户机，其中，元数据包括一个或多个控制符，其中，所述一个或多个控制符的每个控制符向安全接口控件指示是否允许虚拟机监控程序基于计算系统中的一个或多个系统设置的存在或不存在而在计算系统中执行用映像生成的安全客户机的实例；由安全接口控件截获虚拟机监控程序的从安全客户机的映像启动安全客户机的实例的命令；由安全接口控件确定计算系统中所述一个或多个系统设置的存在或不存在；由安全接口控件基于所述一个或多个控制符以及所述一个或多个系统设置的存在或不存在，确定是否允许虚拟机监控程序执行实例；基于确定允许虚拟机监控程序执行实例，由安全接口控件基于将所截获的命令传达到虚拟机监控程序，使虚拟机监控程序能在计算系统中启动实例；以及基于确定不允许虚拟机监控程序执行实例，由安全接口控件忽略所述命令。
[0005]通过提供一种计算机程序产品克服了现有技术的缺点并提供了额外的优势，该计算机程序产品使所有者能控制安全客户机在给定技术环境中的执行。该计算机程序产品一种计算机可读存储介质，可由一个或多个处理器读取，并存储由所述一个或多个处理器执行的指令，所述指令用于执行一种方法。所述方法例如包括：由计算系统中的一个或多个处理器获得链接到所有者的安全客户机的映像并由监控程序管理的元数据，其中，一个或多
个处理器通信地耦合到虚拟机监控程序，其中，虚拟机监控程序管理一个或多个客户机，其中，元数据包括一个或多个控制符，其中，所述一个或多个控制符的每个控制符向安全接口控件指示是否允许虚拟机监控程序基于计算系统中的一个或多个系统设置的存在或不存在而在计算系统中执行用映像生成的安全客户机的实例；由一个或多个处理器截获虚拟机监控程序的从安全客户机的映像启动安全客户机的实例的命令；由一个或多个处理器确定计算系统中所述一个或多个系统设置的存在或不存在；由一个或多个处理器基于所述一个或多个控制符以及所述一个或多个系统设置的存在或不存在，确定是否允许虚拟机监控程序执行实例；基于确定允许虚拟机监控程序执行实例，由一个或多个处理器基于将所截获的命令传达到虚拟机监控程序，使虚拟机监控程序能在计算系统中启动实例；以及基于确定不允许虚拟机监控程序执行实例，由一个或多个处理器忽略所述命令。
[0006]通过提供一种系统克服了现有技术的缺点并提供了额外的优势，该系统使所有者能控制安全客户机在给定技术环境中的执行。所述系统包括存储器、与所述存储器通信的一个或多个处理器以及可由一个或多个处理器通过存储器执行的程序指令，所述程序指令用以执行一种方法，所述方法例如包括：由计算系统中的一个或多个处理器获得链接到所有者的安全客户机的映像并由监控程序管理的元数据，，其中，一个或多个处理器通信地耦合到虚拟机监控程序，其中，虚拟机监控程序管理一个或多个客户机，其中，元数据包括一个或多个控制符，其中，所述一个或多个控制符的每个控制符向安全接口控件指示是否允许虚拟机监控程序基于计算系统中的一个或多个系统设置的存在或不存在而在计算系统中执行用映像生成的安全客户机的实例；由一个或多个处理器截获虚拟机监控程序的从安全客户机的映像启动安全客户机的实例的命令；由一个或多个处理器确定计算系统中所述一个或多个系统设置的存在或不存在；由一个或多个处理器基于所述一个或多个控制符以及所述一个或多个系统设置的存在或不存在，确定是否允许虚拟机监控程序执行实例；基于确定允许虚拟机监控程序执行实例，由一个或多个处理器基于将所截获的命令传达到虚拟机监控程序，使虚拟机监控程序能在计算系统中启动实例；以及基于确定不允许虚拟机监控程序执行实例，由一个或多个处理器忽略所述命令。
[0007]本文还描述并要求保护与一个或多个方面有关的方法和系统。此外，还描述了可要求保护的与一个或多个方面有关的服务。
[0008]通过本文描述的技术实现了额外的特征。本文详细描述了其他实施例和方面，并将其视为所要求保护的方面的一部分。例如，在本专利技术的一些实施例中，所述一个或多个处理器或安全接口控件获得元数据进一步包括：由所述一个或多个处理器或安全接口控件解密链接到安全客户机的映像的元数据的一部分，其中，元数据受完整性保护，并且，包含安全客户机的引导映像的加密度量的该部分由用私钥导出的密钥加密。
[0009]在本专利技术的一些实施例中，元数据的所述加密的部分包括所述一个或多个控制符。
[0010]在本专利技术的一些实施例中，所述一个或多个控制符的每个控制符包括环境约束。
[0011]在本专利技术的一些实施例中，环境约束从包含以下的组中选择：配置为执行硬件测量的系统，以及配置为使用非系统特定的主机密钥的系统。
[0012]在本专利技术的一些实施例中，私钥由安全接口控件拥有并且由安全接口控件专用。
[0013]在本专利技术的一些实施例中，用私钥导出的密钥是安全接口控件与所有者之间共享
的。
[0014]在本专利技术的一些实施例中，元数据包括利用抗冲突单向函数计算的从安全客户机的引导映像导出的值。
[0015]在本专利技术的一些实施例中，所述一个或多个控制符各自包括针对给定系统设置的正指定或负指定，其中，正指定表示允许在包含给定系统设置的计算系统中执行安全客户机实例，负指定指示不允许在包含给定系统设置的计算系统中执行安全客户机实例。
[0016]本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现的方法，包括：由计算系统中的安全接口控件获得链接到所有者的安全客户机的映像并由虚拟机监控程序管理的元数据，其中，安全接口控件通信地耦合到虚拟机监控程序，其中，虚拟机监控程序管理一个或多个客户机，其中，元数据包括一个或多个控制符，其中，所述一个或多个控制符的每个控制符向安全接口控件指示是否允许虚拟机监控程序基于计算系统中的一个或多个系统设置的存在或不存在而在计算系统中执行用映像生成的安全客户机的实例；由安全接口控件截获虚拟机监控程序的从安全客户机的映像启动安全客户机的实例的命令；由安全接口控件确定计算系统中所述一个或多个系统设置的存在或不存在；由安全接口控件基于所述一个或多个控制符以及所述一个或多个系统设置的存在或不存在，确定是否允许虚拟机监控程序执行实例；基于确定允许虚拟机监控程序执行实例，由安全接口控件基于将所截获的命令传达到虚拟机监控程序，使虚拟机监控程序能在计算系统中启动实例；和基于确定不允许虚拟机监控程序执行实例，由安全接口控件忽略所述命令。2.根据权利要求1所述的计算机实现的方法，其中，获得元数据进一步包括：由安全接口控件解密链接到安全客户机的映像的元数据的一部分，其中，元数据受完整性保护，并且，包含安全客户机的引导映像的加密度量的该部分由用私钥导出的密钥加密。3.根据权利要求1或2所述的计算机实现的方法，其中，元数据的所述加密的部分包括所述一个或多个控制符。4.根据权利要求1至3其中之一所述的计算机实现的方法，其中,所述一个或多个控制符的每个控制符包括环境约束。5.根据权利要求4所述的计算机实现的方法，其中，环境约束从包含以下的组中选择：配置为执行硬件测量的系统，以及配置为使用非系统特定的主机密钥的系统。6.根据权利要求2所述的计算机实现的方法，其中，私钥由安全接口控件拥有并且由安全接口控件专用。7.根据权利要求6所述的计算机实现的方法，其中，用私钥导出的密钥是安全接口控件与所有者之间共享的。8.根据权利要求1至7其中之一所述的计算机实现的方法，其中，元数据包括利用抗冲突单向函数计算的从安全客户机的引导映像导出的值。9.根据权利要求1至8其中之一所述的计算机实现的方法，其中，所述一个或多个控制符各自包括针对给定系统设置的正指定或负指定，其中，正指定表示允许在包含给定系统设置的计算系统中执行安全客户机实例，负指定指示不允许在包含给定系统设置的计算系统中执行安全客户机实例。10.根据权利要求1至9其中之一所述的计算机实现的方法，其中，元数据是安全客户机的实例不可访问的。11.根据权利要求1至10其中之一所述的计算机实现的方法，其中，确定是否允许虚拟机监控程序执行实例进一步包括：
由安全接口控件在所述一个或多个控制符中识别与所述一个或多个系统设置中的设置相关的控制符；和由安全接口控件根据所述控制符确定该控制符是否启用或限制执行实例。12.根据权利要求1至11其中之一所述的计算机实现的方法，进一步包括：在实例的运行期间，由安全接口控件监控所述一个或多个系统设置；由安全接口控件确定所述一个或多个设置中的至少一个设置在所述运行时期间改变；由安全接口控件识别所述一个或多个控制符中的与所述至少一个设置相关的给定控制符；和由安全接口控件基于所述至少一个设置和所述给定控制符确定是否允许虚拟机监控程序执行实例。13.根据权利要求12所述的计算机实现的方法，还包括：基于确定不允许虚拟机监控程序执行实例，由安全接口控件通过虚拟机监控程序终止实例。...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：