CN101599025A - 可信密码模块安全虚拟化方法 - Google Patents
可信密码模块安全虚拟化方法 Download PDFInfo
- Publication number
- CN101599025A CN101599025A CNA2009100630842A CN200910063084A CN101599025A CN 101599025 A CN101599025 A CN 101599025A CN A2009100630842 A CNA2009100630842 A CN A2009100630842A CN 200910063084 A CN200910063084 A CN 200910063084A CN 101599025 A CN101599025 A CN 101599025A
- Authority
- CN
- China
- Prior art keywords
- virtual
- tcm
- virtual machine
- manager
- guest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种可信密码模块安全虚拟化方法:在基于VMM模型的虚拟机上实现支持客户虚拟机使用的虚拟TCM实例,建立物理机至虚拟机的信任链;在虚拟机的特权虚拟域中设置虚拟TCM管理器和虚拟TCM永久性存储区;通过虚拟TCM管理器建立和管理虚拟TCM实例,所建立的虚拟TCM实例模拟物理TCM,为客户虚拟机提供物理TCM的功能;并且通过虚拟TCM管理器为客户虚拟机与虚拟TCM实例的通信提供信道,为虚拟TCM实例颁发证书,支持虚拟TCM实例访问虚拟TCM永久性存储区和物理TCM;采用虚拟TCM永久性存储区存储虚拟TCM实例的相关信息。本发明整合了虚拟机的特点与可信计算的技术优势,通过模拟的方式实现可信密码模块的功能,解决了单一物理TCM无法满足多个虚拟机对TCM的具体需求。
Description
技术领域
本发明涉及计算机信息安全技术领域,主要涉及基于虚拟机监视器(VirtualMachine Monitor,VMM)的系统虚拟机技术和基于可信密码模块的可信计算技术,具体是一种可信密码模块安全虚拟化方法。
背景技术
基于VMM模型的系统虚拟化是以软件方式模拟物理硬件的核心功能,为虚拟机上的操作系统提供与访问物理硬件相同的访问接口,从而实现在同一个物理平台上同时运行多个操作系统,并为每个操作系统运行所需资源提供透明服务。这种模型不仅保证了客户虚拟机环境的独立性,而且可提供良好的系统隔离特性,这为计算系统的安全增强技术实现提供了可能。此外,为了支持我国可信计算技术的应用,提高我国在可信计算技术领域的国际竞争力,国家密码管理局提出并公布了以国内密码算法为基础且结合国内安全需求的《可信计算密码支撑平台功能与接口规范》,其中可信密码模块(Trusted Cryptographymodule,TCM)扩展了可信平台模块(Trusted Platform Module,TPM)的安全功能,能提供诸如平台身份证明、平台完整性证明、密钥管理、密封存储等各项安全服务,从硬件层次保证平台的安全性和可靠性,该可信计算技术可进一步巩固虚拟机计算系统的安全能力。
为了更有效地构建可信虚拟机计算系统,必须解决单一物理TCM与多个虚拟机对TCM的具体需求的矛盾。
发明内容
本发明目的在于解决现有技术不足,提供一种可信密码模块安全虚拟化方法,以解决单一物理TCM无法满足多个虚拟机对TCM具体需求的问题。
本发明的技术方案为:在基于VMM模型的虚拟机上实现支持客户虚拟机使用的虚拟TCM实例,建立物理机至虚拟机的信任根;所述实现虚拟TCM实例的具体方式如下,
在虚拟机的特权虚拟域中设置虚拟TCM管理器和虚拟TCM永久性存储区;
通过虚拟TCM管理器建立和管理虚拟TCM实例,所建立的虚拟TCM实例模拟物理TCM,为客户虚拟机提供物理TCM的功能;并且通过虚拟TCM管理器为客户虚拟机与虚拟TCM实例的通信提供信道,为虚拟TCM实例颁发证书,支持虚拟TCM实例访问虚拟TCM永久性存储区和物理TCM;
采用虚拟TCM永久性存储区存储虚拟TCM实例的相关信息,虚拟TCM永久性存储区由物理TCM提供密钥进行加密保护,由虚拟TCM管理器实现加解密操作。
而且,所述建立从物理机至虚拟机的信任根,流程如下,
步骤1,静态可信根度量并加载BIOS;
步骤2,BIOS度量并加载启动加载器;
步骤3,启动加载器度量并加载虚拟机监视器;
步骤4,虚拟机监视器建立特权域,度量并启动虚拟TCM管理器与用户域创建器;
步骤5,当启动一个客户虚拟机时,虚拟TCM管理器先为客户虚拟机创建一个虚拟TCM实例,随后用户域创建器初始化客户虚拟机;
步骤6,客户虚拟机的虚拟静态可信根执行度量并加载虚拟BIOS;
步骤7,虚拟BIOS度量并加载启动加载器;
步骤8,启动加载器度量并加载客户虚拟机操作系统;
步骤9,客户虚拟机操作系统度量并加载其上运行的各个应用程序。
而且,所述为虚拟TCM实例颁发证书的具体实现方式为,客户虚拟机向虚拟TCM管理器提出颁发证书请求后进行以下步骤,
步骤一,物理TCM生成物理平台身份证明密钥,并向可信CA请求物理平台身份证明密钥证书;
步骤二,可信CA验证请求并向物理平台颁发物理平台身份证明密钥证书;
步骤三,客户虚拟机通过虚拟TCM实例生成虚拟平台身份证明密钥,并向虚拟TCM管理器请求虚拟平台身份证明密钥证书;
步骤四,虚拟TCM管理器获取物理平台的引证信息,并用一个被物理平台身份证明密钥签署的签名密钥对引证信息与虚拟平台身份证明密钥的公钥进行签名;将签名结果与物理平台身份证明密钥证书一起即构成虚拟平台身份证明密钥,发给提出请求的客户虚拟机。
本发明基于嵌有TCM的硬件平台环境,通过TCM虚拟化方式,实现客户虚拟机无需修改便可透明地使用所有TCM提供的安全功能的目标,解决了单一物理TCM无法满足多个虚拟机对TCM的具体需求。据此所建立信任链与证书链可确保TCM相关应用从物理环境向虚拟计算平台环境的安全扩展,构建可信客户虚拟机计算环境。
附图说明
图1为本发明实施例在基于VMM模型的虚拟机上实现虚拟TCM示意图;
图2为本发明实施例的信任链建立过程示意图;
图3为本发明实施例中为虚拟TCM实例颁发证书的流程图。
具体实施方式
本发明所提供可信密码模块安全虚拟化方法技术方案为基于VMM模型的虚拟机上实现支持客户虚拟机使用的虚拟TCM实例,建立物理机至虚拟机的信任根。所述实现虚拟TCM实例的具体方式如下:
在虚拟机的特权虚拟域中设置虚拟TCM管理器和虚拟TCM永久性存储区;
通过虚拟TCM管理器建立和管理虚拟TCM实例,所建立的虚拟TCM实例模拟物理TCM,为客户虚拟机提供物理TCM的功能(例如密封存储,远程证明,密钥管理);并且通过虚拟TCM管理器为客户虚拟机与虚拟TCM实例的通信提供信道,为虚拟TCM实例颁发证书,支持虚拟TCM实例访问虚拟TCM永久性存储区和物理TCM;
采用虚拟TCM永久性存储区存储虚拟TCM实例的相关信息(例如虚拟TCM实例的口令,和虚拟TCM实例所管理的密钥),虚拟TCM永久性存储区由物理TCM提供密钥进行加密保护,由虚拟TCM管理器实现加解密操作。
因为基于VMM模型的虚拟机系统中往往有多个客户虚拟机,因此虚拟TCM管理器根据客户虚拟机情况创建和管理各虚拟机所需的虚拟TCM实例,例如当减少客户虚拟机时删除相应虚拟TCM实例。虚拟TCM管理器建立的虚拟TCM实例是为用户域的客户虚拟机提供虚拟TCM功能,因此需要虚拟TCM管理器担任信道,同时也要通过虚拟TCM管理器支持虚拟TCM实例访问虚拟TCM永久性存储区和物理TCM。并且,通过物理TCM所提供的加密功能和保存其上的密钥,可以实现虚拟TCM管理器对虚拟TCM的保护。
参见图1所示:本发明实施例首先根据现有VMM技术在物理硬件层基础上构建基于虚拟机监视器的虚拟机,物理硬件层包括可信计算机常用部件,例如CPU、内存、硬盘以及物理TCM。物理硬件层之上即为虚拟机监视器层。按照VMM模型,提供有1个负责创建和管理客户虚拟机的特权域,客户虚拟机则处于客户域。本发明在特权域设置虚拟TCM管理器和虚拟TCM永久性存储区(简称VTCM永久存储区),虚拟TCM管理器建立虚拟TCM实例-1、虚拟TCM实例-2...虚拟TCM实例-n,通过这些实例分别为客户虚拟机1、客户虚拟机2...客户虚拟机n提供虚拟TCM,可记为虚拟TCM1、虚拟TCM2...虚拟TCMn。应用程序(如虚拟TCM管理器,客户虚拟机内应用程序等)读写TCM字符类设备文件时,通过TCM驱动程序可将TCM命令和命令执行的结果按TCM规范的格式输入/输出TCM芯片。
现有物理TCM可以应用于为计算机平台建立信任链,保证安全启动;为了确保TCM相关应用从物理环境向虚拟计算平台环境的安全扩展,本发明提供了进一步技术方案,实现虚拟TCM作用下虚拟机的信任链建立过程,参照图2所示:
步骤1,静态可信根度量并加载BIOS。
实施例中,计算机启动时,静态可信根(the Core Root of Trust forMeasurement,CRTM,是处于BIOS内的代码)首先获得控制权,CRTM对包括BIOS在内的所有连接到主板上的固件(例如主板内置的Option ROM)进行度量,将度量值扩展到物理TCM的平台状态寄存器(PCR)中。
步骤2,BIOS度量并加载启动加载器。
实施例中,CRTM将控制权交给BIOS,BIOS度量平台硬件的配置信息与启动加载器(BootLoader,或称初始化程序加载器IPL),将度量值扩展至PCR中。
步骤3,启动加载器度量并加载虚拟机监视器。
实施例中,BIOS将控制权交给BootLoader,BootLoader度量虚拟机监视器(VMM)及其配置信息,将度量值扩展至PCR中。
步骤4,虚拟机监视器建立特权域,度量并启动虚拟TCM管理器与用户域创建器。
实施例中,BootLoader将控制权交给VMM,VMM度量虚拟TCM管理器与客户域创建器(Domain Builder,在特征域创建客户虚拟机的工具)将度量值扩展至PCR中。
步骤5,当启动一个客户虚拟机时,虚拟TCM管理器先为客户虚拟机创建一个虚拟TCM实例,随后用户域创建器初始化客户虚拟机。
步骤6,客户虚拟机的虚拟静态可信根执行度量并加载虚拟BIOS。
实施例中,客户虚拟机的虚拟静态可信根vCRTM首先被执行,vCRTM获得控制权。vCRTM对客户虚拟机的虚拟BIOS和各种虚拟的固件进行度量,将度量值扩展到虚拟TCM实例的平台状态寄存器vPCR中,vPCR模拟物理TCM的PCR。
步骤7,虚拟BIOS度量并加载启动加载器;
实施例中,虚拟静态可信根vCRTM将控制权交给虚拟BIOS,虚拟BIOS度量平台硬件的配置信息与客户虚拟机的启动加载器BootLoader,将度量值扩展至vPCR中。
步骤8,启动加载器度量并加载客户虚拟机操作系统;
实施例中,虚拟BIOS将控制权交给BootLoader,BootLoader度量客户虚拟机的操作系统内核及其配置信息,将度量值扩展至vPCR中。
步骤9,客户虚拟机操作系统度量并加载其上运行的各个应用程序。
实施例中,BootLoader将控制权交给客户虚拟机的操作系统,客户虚拟机的操作系统度量其上运行的各类客户机应用程序,将度量值扩展至vPCR中。
将各步骤所得度量值分别扩展至物理TCM的PCR和虚拟TCM实例的vPCR,可在此基础上生成引证信息,远程验证方通过验证引证信息来检验虚拟平台的平台完整性。
为了确保TCM相关应用从物理环境向虚拟计算平台环境的安全扩展,本发明还提供了进一步技术方案,实现虚拟TCM作用下虚拟机的证书链建立过程,客户虚拟机向虚拟TCM管理器提出颁发证书请求后处理步骤如下:
步骤一,物理TCM生成物理平台身份证明密钥,并向可信CA请求物理平台身份证明密钥证书;
步骤二,可信CA验证请求并向物理平台颁发物理平台身份证明密钥证书;
步骤三,客户虚拟机通过虚拟TCM实例生成虚拟平台身份证明密钥,并向虚拟TCM管理器请求虚拟平台身份证明密钥证书;
步骤四,虚拟TCM管理器获取物理平台的引证信息,并用一个被物理平台身份证明密钥签署的签名密钥对引证信息与虚拟平台身份证明密钥的公钥进行签名;将签名结果与物理平台身份证明密钥证书一起即构成虚拟平台身份证明密钥,发给提出请求的客户虚拟机。
参照图3,为了便于实施参考,实施例提供了更详细地为虚拟TCM实例颁发虚拟平台身份证明密钥证书过程,如下所示:
①物理TCM首先产生一个物理平台身份证明密钥PIK,按照TCM标准,PIK是2048位的RSA密钥对;
②物理TCM向一个可信CA请求PIK证书,请求中包含PIK公钥、密码模块密钥EK证书(TCM自带)和其它平台相关的信息(例如平台证书、TCM版本、PIK标签)。可信CA是安全验证领域的可信第三方,一般采用服务器形式提供颁发证书的服务。
③可信CA验证EK证书及相关信息,验证通过则为PIK签发PIK证书。
④虚拟TCM实例产生一个虚拟平台身份证明密钥vPIK,与物理TCM相应,生成的vPIK也是2048位的RSA密钥对。
⑤客户虚拟机向虚拟TCM管理器请求vPIK证书,请求中包含vPIK公钥与一个随机数Nonce。采用随机数可以抗重放攻击,属于现有技术。
⑥虚拟TCM管理器获取物理平台的引证信息,用于证明物理平台即虚拟TCM底层平台的完整性。实施例中,虚拟TCM管理器可以直接利用信任链建立后物理TCM的平台状态寄存器,用物理TCM产生对平台状态寄存器的引证信息,能够方便地证明物理平台完整性情况。生成引证信息时,应在其中包含虚拟平台发来的随机数Nonce。
⑦虚拟TCM管理器利用物理TCM产生一个签名密钥SK,SK是一个2048位RSA密钥对。
⑧虚拟TCM管理器用物理平台身份证明密钥PIK签署签名密钥SK,证明该签名密钥与PIK同属一个物理平台。
⑨虚拟TCM管理器用签名密钥SK对vPIK的公钥和物理平台的引证信息进行签名,并附上PIK证书,即构成vPIK证书,然后发送给请求该证书的客户虚拟机即可。
远程验证方通过验证vPIK证书,可知:
1、vPIK是可信的,并且是虚拟TCM产生的(通过验证SK对vAIK的签名)。
2、虚拟TCM是可信的并受到物理TCM的保护(通过验证PIK对SK签名)。物理TCM是真实可信的(通过验证PIK证书)。
3、当前虚拟平台所运行的底层环境,即VMM与特权域,是可信的(通过验证物理平台的引证信息)。
Claims (3)
1.一种可信密码模块安全虚拟化方法,其特征在于:在基于VMM模型的虚拟机上实现支持客户虚拟机使用的虚拟TCM实例,建立物理机至虚拟机的信任链;所述实现虚拟TCM实例的具体方式如下,
在虚拟机的特权虚拟域中设置虚拟TCM管理器和虚拟TCM永久性存储区;
通过虚拟TCM管理器建立和管理虚拟TCM实例,所建立的虚拟TCM实例模拟物理TCM,为客户虚拟机提供物理TCM的功能;并且通过虚拟TCM管理器为客户虚拟机与虚拟TCM实例的通信提供信道,为虚拟TCM实例颁发证书,支持虚拟TCM实例访问虚拟TCM永久性存储区和物理TCM;
采用虚拟TCM永久性存储区存储虚拟TCM实例的相关信息,虚拟TCM永久性存储区由物理TCM提供密钥进行加密保护,由虚拟TCM管理器实现加解密操作。
2.如权利要求1所述的可信密码模块安全虚拟化方法,其特征在于:所述建立从物理机至虚拟机的信任链,流程如下,
步骤1,静态可信根度量并加载BIOS;
步骤2,BIOS度量并加载启动加载器;
步骤3,启动加载器度量并加载虚拟机监视器;
步骤4,虚拟机监视器建立特权域,度量并启动虚拟TCM管理器与用户域创建器;
步骤5,当启动一个客户虚拟机时,虚拟TCM管理器先为客户虚拟机创建一个虚拟TCM实例,随后用户域创建器初始化客户虚拟机;
步骤6,客户虚拟机的虚拟静态可信根执行度量并加载虚拟BIOS;
步骤7,虚拟BIOS度量并加载启动加载器;
步骤8,启动加载器度量并加载客户虚拟机操作系统;
步骤9,客户虚拟机操作系统度量并加载其上运行的各个应用程序。
3.如权利要求1或2所述的可信密码模块安全虚拟化方法,其特征在于:所述为虚拟TCM实例颁发证书的具体实现方式为,客户虚拟机向虚拟TCM管理器提出颁发证书请求后进行以下步骤,
步骤一,物理TCM生成物理平台身份证明密钥,并向可信CA请求物理平台身份证明密钥证书;
步骤二,可信CA验证请求并向物理平台颁发物理平台身份证明密钥证书;
步骤三,客户虚拟机通过虚拟TCM实例生成虚拟平台身份证明密钥,并向虚拟TCM管理器请求虚拟平台身份证明密钥证书;
步骤四,虚拟TCM管理器获取物理平台的引证信息,并用一个被物理平台身份证明密钥签署的签名密钥对引证信息与虚拟平台身份证明密钥的公钥进行签名;将签名结果与物理平台身份证明密钥证书一起即构成虚拟平台身份证明密钥,发给提出请求的客户虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100630842A CN101599025B (zh) | 2009-07-07 | 2009-07-07 | 可信密码模块安全虚拟化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100630842A CN101599025B (zh) | 2009-07-07 | 2009-07-07 | 可信密码模块安全虚拟化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101599025A true CN101599025A (zh) | 2009-12-09 |
| CN101599025B CN101599025B (zh) | 2012-07-18 |
Family
ID=41420480
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100630842A Expired - Fee Related CN101599025B (zh) | 2009-07-07 | 2009-07-07 | 可信密码模块安全虚拟化方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101599025B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139221A (zh) * | 2013-03-07 | 2013-06-05 | 中国科学院软件研究所 | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 |
| CN103403732A (zh) * | 2012-10-15 | 2013-11-20 | 华为技术有限公司 | 输入输出操作的处理方法和装置 |
| CN103701607A (zh) * | 2013-12-25 | 2014-04-02 | 国家电网公司 | 一种虚拟机环境下可信平台模块的虚拟化方法 |
| CN103748556A (zh) * | 2011-08-30 | 2014-04-23 | 惠普发展公司,有限责任合伙企业 | 与虚拟受信任运行时bios通信 |
| CN103747036A (zh) * | 2013-12-23 | 2014-04-23 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
| CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
| CN103927490A (zh) * | 2014-04-25 | 2014-07-16 | 华为技术有限公司 | 操作系统安全启动方法及装置 |
| CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN104580188A (zh) * | 2014-12-29 | 2015-04-29 | 中国科学院信息工程研究所 | 一种在虚拟化环境中保护根ca证书的方法与系统 |
| CN105389513A (zh) * | 2015-11-26 | 2016-03-09 | 华为技术有限公司 | 一种虚拟可信平台模块vTPM的可信执行方法和装置 |
| CN105740050A (zh) * | 2016-01-28 | 2016-07-06 | 华中科技大学 | 一种虚拟化环境下信任传递方法 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| CN107294710A (zh) * | 2017-06-30 | 2017-10-24 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
| CN107315610A (zh) * | 2017-06-21 | 2017-11-03 | 深圳白骑士大数据有限公司 | 实现密码功能的方法、装置及计算机可读存储介质 |
| CN107392030A (zh) * | 2017-07-28 | 2017-11-24 | 浪潮(北京)电子信息产业有限公司 | 一种检测虚拟机启动安全的方法及装置 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| CN107577953A (zh) * | 2017-10-19 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种基于cuse模拟可信密码模块的系统及方法 |
| CN107704308A (zh) * | 2017-09-19 | 2018-02-16 | 浪潮(北京)电子信息产业有限公司 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
| CN108076049A (zh) * | 2016-11-14 | 2018-05-25 | 谷歌有限责任公司 | 包体的系统 |
| CN108292337A (zh) * | 2015-12-24 | 2018-07-17 | 英特尔公司 | 虚拟化环境下安全堡垒区域的可信开启 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN109564524A (zh) * | 2016-06-30 | 2019-04-02 | 亚马逊科技公司 | 虚拟化管理器的安全引导 |
| CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
| CN111159716A (zh) * | 2019-12-24 | 2020-05-15 | 联想(北京)有限公司 | 一种安全保护方法及电子设备 |
| CN114047948A (zh) * | 2021-11-08 | 2022-02-15 | 可信计算科技(无锡)有限公司 | 可重构的可信密码模块模拟器、实现方法及模拟重构方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7103771B2 (en) * | 2001-12-17 | 2006-09-05 | Intel Corporation | Connecting a virtual token to a physical token |
| CN101350044B (zh) * | 2008-09-02 | 2010-07-14 | 中国科学院软件研究所 | 一种虚拟环境信任构建方法 |
-
2009
- 2009-07-07 CN CN2009100630842A patent/CN101599025B/zh not_active Expired - Fee Related
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9535710B2 (en) | 2011-08-30 | 2017-01-03 | Hewlett-Packard Development Company, L.P. | Communication with a virtual trusted runtime BIOS |
| CN103748556A (zh) * | 2011-08-30 | 2014-04-23 | 惠普发展公司,有限责任合伙企业 | 与虚拟受信任运行时bios通信 |
| WO2014059575A1 (zh) * | 2012-10-15 | 2014-04-24 | 华为技术有限公司 | 输入输出操作的处理方法和装置 |
| CN103403732A (zh) * | 2012-10-15 | 2013-11-20 | 华为技术有限公司 | 输入输出操作的处理方法和装置 |
| CN103856478A (zh) * | 2012-12-06 | 2014-06-11 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
| CN103856478B (zh) * | 2012-12-06 | 2017-11-24 | 阿里巴巴集团控股有限公司 | 一种可信网络的证书签发、认证方法及相应的设备 |
| CN103139221A (zh) * | 2013-03-07 | 2013-06-05 | 中国科学院软件研究所 | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 |
| CN103139221B (zh) * | 2013-03-07 | 2016-07-06 | 中国科学院软件研究所 | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 |
| CN103747036A (zh) * | 2013-12-23 | 2014-04-23 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
| CN103747036B (zh) * | 2013-12-23 | 2017-05-24 | 中国航天科工集团第二研究院七〇六所 | 一种桌面虚拟化环境下的可信安全增强方法 |
| CN103701607A (zh) * | 2013-12-25 | 2014-04-02 | 国家电网公司 | 一种虚拟机环境下可信平台模块的虚拟化方法 |
| CN103927490A (zh) * | 2014-04-25 | 2014-07-16 | 华为技术有限公司 | 操作系统安全启动方法及装置 |
| CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN104461678B (zh) * | 2014-11-03 | 2017-11-24 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN104580188B (zh) * | 2014-12-29 | 2017-11-07 | 中国科学院信息工程研究所 | 一种在虚拟化环境中保护根ca证书的方法与系统 |
| CN104580188A (zh) * | 2014-12-29 | 2015-04-29 | 中国科学院信息工程研究所 | 一种在虚拟化环境中保护根ca证书的方法与系统 |
| CN105389513A (zh) * | 2015-11-26 | 2016-03-09 | 华为技术有限公司 | 一种虚拟可信平台模块vTPM的可信执行方法和装置 |
| CN105389513B (zh) * | 2015-11-26 | 2018-10-12 | 华为技术有限公司 | 一种虚拟可信平台模块vTPM的可信执行方法和装置 |
| CN108292337A (zh) * | 2015-12-24 | 2018-07-17 | 英特尔公司 | 虚拟化环境下安全堡垒区域的可信开启 |
| CN108292337B (zh) * | 2015-12-24 | 2023-07-04 | 英特尔公司 | 虚拟化环境下安全堡垒区域的可信开启 |
| CN105740050B (zh) * | 2016-01-28 | 2019-03-05 | 华中科技大学 | 一种虚拟化环境下信任传递方法 |
| CN105740050A (zh) * | 2016-01-28 | 2016-07-06 | 华中科技大学 | 一种虚拟化环境下信任传递方法 |
| CN109564524A (zh) * | 2016-06-30 | 2019-04-02 | 亚马逊科技公司 | 虚拟化管理器的安全引导 |
| CN109564524B (zh) * | 2016-06-30 | 2023-10-27 | 亚马逊科技公司 | 虚拟化管理器的安全引导 |
| CN106354550A (zh) * | 2016-11-01 | 2017-01-25 | 广东浪潮大数据研究有限公司 | 一种保护虚拟机安全的方法、装置及系统 |
| US11741251B2 (en) | 2016-11-14 | 2023-08-29 | Google Llc | System of enclaves |
| CN108076049A (zh) * | 2016-11-14 | 2018-05-25 | 谷歌有限责任公司 | 包体的系统 |
| US11314882B2 (en) | 2016-11-14 | 2022-04-26 | Google Llc | System of enclaves |
| US10776503B2 (en) | 2016-11-14 | 2020-09-15 | Google Llc | System of enclaves |
| CN107315610B (zh) * | 2017-06-21 | 2020-06-23 | 深圳白骑士大数据有限公司 | 实现密码功能的方法、装置及计算机可读存储介质 |
| CN107315610A (zh) * | 2017-06-21 | 2017-11-03 | 深圳白骑士大数据有限公司 | 实现密码功能的方法、装置及计算机可读存储介质 |
| CN107294710A (zh) * | 2017-06-30 | 2017-10-24 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
| CN107294710B (zh) * | 2017-06-30 | 2020-12-04 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
| CN107392030A (zh) * | 2017-07-28 | 2017-11-24 | 浪潮(北京)电子信息产业有限公司 | 一种检测虚拟机启动安全的方法及装置 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| CN107545184B (zh) * | 2017-08-17 | 2021-08-17 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| CN107704308B (zh) * | 2017-09-19 | 2020-10-02 | 浪潮(北京)电子信息产业有限公司 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
| CN107704308A (zh) * | 2017-09-19 | 2018-02-16 | 浪潮(北京)电子信息产业有限公司 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
| CN107577953B (zh) * | 2017-10-19 | 2020-02-21 | 郑州云海信息技术有限公司 | 一种基于cuse模拟可信密码模块的系统及方法 |
| CN107577953A (zh) * | 2017-10-19 | 2018-01-12 | 郑州云海信息技术有限公司 | 一种基于cuse模拟可信密码模块的系统及方法 |
| CN109165079B (zh) * | 2018-08-07 | 2021-07-27 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
| CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
| CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
| CN111159716A (zh) * | 2019-12-24 | 2020-05-15 | 联想(北京)有限公司 | 一种安全保护方法及电子设备 |
| CN114047948A (zh) * | 2021-11-08 | 2022-02-15 | 可信计算科技(无锡)有限公司 | 可重构的可信密码模块模拟器、实现方法及模拟重构方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101599025B (zh) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101599025B (zh) | 可信密码模块安全虚拟化方法 | |
| CN100470565C (zh) | 安全许可证管理 | |
| CN101576944B (zh) | 基于可信平台模块的计算机安全启动系统和方法 | |
| US9361462B2 (en) | Associating a signing key with a software component of a computing platform | |
| US9626512B1 (en) | Validating using an offload device security component | |
| US10382195B2 (en) | Validating using an offload device security component | |
| CN101154256B (zh) | 启动可信共存环境的方法和装置 | |
| US8249257B2 (en) | Virtual TPM keys rooted in a hardware TPM | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| CN102103673B (zh) | 在隐藏执行环境中提供完整性验证和证明 | |
| US9405912B2 (en) | Hardware rooted attestation | |
| US10243739B1 (en) | Validating using an offload device security component | |
| US20080244569A1 (en) | System and Method for Reporting the Trusted State of a Virtual Machine | |
| US20120246470A1 (en) | Information processing device, information processing system, software routine execution method, and remote attestation method | |
| CN108762887A (zh) | 用于虚拟机的测量的信任根 | |
| CN103270518A (zh) | 虚拟机验证 | |
| CN111698091B (zh) | 一种基于可信计算的Docker平台动态防护方法 | |
| WO2009051471A2 (en) | Trusted computer platform method and system without trust credential | |
| CN104268477B (zh) | 一种安全控制方法及网络设备 | |
| CN103403732A (zh) | 输入输出操作的处理方法和装置 | |
| US11144652B1 (en) | Secure update of programmable integrated circuits in data center computing environments | |
| CN113177201A (zh) | 程序校验、签名方法及装置、soc芯片 | |
| CN107704308A (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
| US10691356B2 (en) | Operating a secure storage device | |
| CN114499867B (zh) | 可信根管理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: CHANGSHU ZIJIN INTELLECTUAL PROPERTY SERVICE CO., Free format text: FORMER OWNER: WUHAN UNIVERSITY Effective date: 20121213 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 430072 WUHAN, HUBEI PROVINCE TO: 215500 SUZHOU, JIANGSU PROVINCE |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20121213 Address after: 215500 Changshou City South East Economic Development Zone, Jiangsu, Jin Road, No. 8 Patentee after: Changshu Zijin Intellectual Property Service Co., Ltd. Address before: 430072 Hubei city of Wuhan province Wuchang Luojiashan Patentee before: Wuhan University |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160406 Address after: 215500 No. 8, Jin Du Road, Changshou City hi tech Industrial Development Zone, Jiangsu, China Patentee after: Changshu Nanjing Normal University Development Research Academy Institute Co., Ltd. Address before: 215500 Changshou City South East Economic Development Zone, Jiangsu, Jin Road, No. 8 Patentee before: Changshu Zijin Intellectual Property Service Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120718 Termination date: 20180707 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |