一种模拟可信根功能创建方法、装置、设备及介质制造方法及图纸

技术编号：42546062 阅读：7 留言：0更新日期：2024-08-27 19:48

本发明专利技术公开了一种模拟可信根功能创建方法、装置、设备及介质，涉及可信计算技术领域。本方案利用英特尔信任域扩展技术，设置具有可信执行环境操作系统的安全虚拟机，可以满足安全独立虚拟机的要求。并且在可信执行环境操作系统中提供模拟可信根可信应用程序的可信计算应用，为宿主机和非安全虚拟机提供可信计算服务的创建基础；通过安全虚拟机中可信执行环境操作系统对模拟可信根可信应用程序的加载和初始化，以及模拟可信根可信应用程序对可信平台模块设备的初始化，实现了实现宿主机和非安全虚拟机的FTPM功能的创建，避免了虚拟机资源对物料TPM的过度依赖，同时满足了x86架构的Intel平台下可信计算的安全隔离。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及可信计算，特别是涉及一种模拟可信根功能创建方法、装置、设备及介质。

技术介绍

1、随着虚拟化和云计算技术的发展，使得用户虚拟机资源对物理可信平台模块（trusted platform module，tpm）的依赖成为问题，而传统的基于软件模拟的tpm实现无法提供物理隔离的运行环境，存在安全风险。在arm架构中引入了一种安全扩展技术（trustzone），通过在芯片上提供可信空间并将计算空间分为正常世界和安全世界，实现了可信执行环境操作系统（trusted execution environment operating system，tee os）在安全世界中的运行。trustzone技术为安全世界提供了隔离的安全计算服务，而基于tee os的模拟可信根（firmware tpm，ftpm）应用则为正常世界提供了tpm计算服务，具有物理隔离的运行环境和较高的安全性。

2、然而，目前的虚拟化和云计算平台主要采用x86架构的intel平台，无法像arm平台一样为宿主机和虚拟机提供ftpm功能。

3、鉴于上述问题，如何解决当前x86架构的intel平台下的宿主机和虚拟机无法实现ftpm功能，是该领域技术人员亟待解决的问题。

技术实现思路

1、本专利技术的目的是提供一种模拟可信根功能创建方法、装置、设备及介质，以解决当前x86架构的intel平台下的宿主机和虚拟机无法实现ftpm功能。

2、为解决上述技术问题，本专利技术提供一种模拟可信根功能

3、通过虚拟套接字通信接收目标设备发送的模拟可信根功能创建请求；其中，所述目标设备为所述安全虚拟机所在的宿主机或未在可信执行环境下的非安全虚拟机；

4、将所述模拟可信根功能创建请求转发至可信执行环境操作系统，并基于所述模拟可信根功能创建请求加载模拟可信根可信应用程序；

5、初始化所述模拟可信根可信应用程序，并接收所述目标设备传输的对可信平台模块设备的初始化操作请求；

6、根据所述初始化操作请求和所述模拟可信根可信应用程序对所述可信平台模块设备进行初始化，并将初始化结果反馈至所述目标设备，以便于所述目标设备根据所述初始化结果创建所述可信平台模块设备。

7、一方面，在所述通过虚拟套接字通信接收目标设备发送的模拟可信根功能创建请求之前，还包括：

8、基于所述目标设备的内核层创建所述虚拟套接字；

9、基于所述目标设备的内核层加载模拟可信根内核驱动；

10、对应地，所述通过虚拟套接字通信接收目标设备发送的模拟可信根功能创建请求，包括：

11、通过虚拟套接字设备接收所述模拟可信根功能创建请求。

12、另一方面，当所述目标设备为所述宿主机时，所述将所述模拟可信根功能创建请求转发至可信执行环境操作系统，并基于所述模拟可信根功能创建请求加载模拟可信根可信应用程序，包括：

13、通过可信执行环境应用程序编程接口将所述模拟可信根功能创建请求转发至所述可信执行环境操作系统；

14、基于所述模拟可信根功能创建请求，通过所述可信执行环境操作系统中的可信应用程序加载模块对所述模拟可信根可信应用程序进行加载；

15、当所述目标设备为所述非安全虚拟机时，所述将所述模拟可信根功能创建请求转发至可信执行环境操作系统，并基于所述模拟可信根功能创建请求加载模拟可信根可信应用程序，包括：

16、通过可信执行环境应用程序编程接口将所述模拟可信根功能创建请求转发至所述可信执行环境操作系统；

17、基于所述模拟可信根功能创建请求，通过所述可信执行环境操作系统中的可信应用程序加载模块对所述模拟可信根可信应用程序进行加载；

18、获取所述模拟可信根功能创建请求中所述非安全虚拟机的唯一编码和所述安全虚拟机的唯一编码；

19、根据各唯一编码填充虚拟机上下文，并记录模拟可信根会话；

20、其中，所述虚拟机上下文是由所述可信执行环境操作系统分配的独立内存空间，用于存储虚拟机的唯一编码、虚拟机的状态、共享内存的状态和所述模拟可信根可信应用程序的状态。

21、另一方面，所述初始化所述模拟可信根可信应用程序，包括：

22、基于所述可信执行环境操作系统，通过虚拟套接字通信向所述目标设备同步所述共享内存的地址；

23、通过所述可信执行环境操作系统发送数据读取信息至所述目标设备，以便于所述目标设备根据所述数据读取信息和所述共享内存的地址，在所述共享内存中读取和存储非易失性随机访问存储器的持久化数据。

24、另一方面，所述根据所述初始化操作请求和所述模拟可信根可信应用程序对所述可信平台模块设备进行初始化，并将初始化结果反馈至所述目标设备，包括：

25、通过所述模拟可信根可信应用程序对平台配置寄存器进行初始化，以得到所述初始化结果；

26、将所述初始化结果通过可信执行环境应用程序编程接口反馈至所述目标设备，或将所述初始化结果写入所述共享内存，以便于所述目标设备根据所述初始化结果创建所述可信平台模块设备。

27、另一方面，当所述目标设备为所述宿主机时，在所述目标设备根据所述初始化结果创建所述可信平台模块设备之后，还包括：

28、当所述宿主机通过可信软件栈或所述可信平台模块设备调用模拟可信根功能时，通过虚拟套接字通信接收调用指令；

29、通过所述可信执行环境操作系统将所述调用指令转发至所述模拟可信根可信应用程序，以便于所述模拟可信根可信应用程序执行可信计算功能；

30、当存在数据处理需求时，通过虚拟套接字通信将所述数据处理需求传输至所述宿主机，以便于所述宿主机对所述数据处理需求进行处理；

31、当所述模拟可信根可信应用程序完成可信计算时，通过虚拟套接字通信将可信计算结果反馈至所述宿主机；

32、对应地，所述目标设备为所述非安全虚拟机时，在所述目标设备根据所述初始化结果创建所述可信平台模块设备之后，还包括：

33、当所述非安全虚拟机通过可信软件栈或所述可信平台模块设备调用模拟可信根功能时，通过虚拟套接字通信接收调用指令；

34、解析所述调用指令中的虚拟机的唯一编码，并加载对应的虚拟机上下文内容；

35、通过所述可信执行环境操作系统将所述调用指令转发至所述模拟可信根可信应用程序，以便于所述模拟可信根可信应用程序根据所述虚拟机上下文内容执行可信计算功能；

36、当存在数据处理需求时，通过虚拟套接字通信将所述数据处理需求传输至所述非安全虚拟机，以便于所述非安全虚拟机对所述数据处理需求进行处理；

37、当所述模拟可信根可信应用程序完成可信计算时，通过虚拟套接字通信和虚拟机的唯一编码将可信计算结果反馈至所述非安全虚拟机。

38、另一方面，当存在多个所述非安全虚拟本文档来自技高网...

【技术保护点】

1.一种模拟可信根功能创建方法，其特征在于，应用于可信执行环境下的安全虚拟机；包括：

2.根据权利要求1所述的模拟可信根功能创建方法，其特征在于，在所述通过虚拟套接字通信接收目标设备发送的模拟可信根功能创建请求之前，还包括：

3.根据权利要求2所述的模拟可信根功能创建方法，其特征在于，当所述目标设备为所述宿主机时，所述将所述模拟可信根功能创建请求转发至可信执行环境操作系统，并基于所述模拟可信根功能创建请求加载模拟可信根可信应用程序，包括：

4.根据权利要求3所述的模拟可信根功能创建方法，其特征在于，所述初始化所述模拟可信根可信应用程序，包括：

5.根据权利要求4所述的模拟可信根功能创建方法，其特征在于，所述根据所述初始化操作请求和所述模拟可信根可信应用程序对所述可信平台模块设备进行初始化，并将初始化结果反馈至所述目标设备，包括：

6.根据权利要求1至5任意一项所述的模拟可信根功能创建方法，其特征在于，当所述目标设备为所述宿主机时，在所述目标设备根据所述初始化结果创建所述可信平台模块设备之后，还包括：

7.根据

8.一种模拟可信根功能创建装置，其特征在于，应用于可信执行环境下的安全虚拟机；包括：

9.一种模拟可信根功能创建设备，其特征在于，包括：

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的模拟可信根功能创建方法的步骤。

...

【技术特征摘要】

1.一种模拟可信根功能创建方法，其特征在于，应用于可信执行环境下的安全虚拟机；包括：

4.根据权利要求3所述的模拟可信根功能创建方法，其特征在于，所述初始化所述模拟可信根可信应用程序，包括：

5.根据权利要求4所述的模拟可信根功能创建方法，其特征在于，所述根据所述初始化操作请求和所述模拟可信根可信应用程序对所述可信平台模...

【专利技术属性】
技术研发人员：韩春超，刘雁鸣，齐增田，
申请(专利权)人：苏州元脑智能科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人