CN107294710A - 一种vTPM2.0的密钥迁移方法及装置 - Google Patents
一种vTPM2.0的密钥迁移方法及装置 Download PDFInfo
- Publication number
- CN107294710A CN107294710A CN201710522392.1A CN201710522392A CN107294710A CN 107294710 A CN107294710 A CN 107294710A CN 201710522392 A CN201710522392 A CN 201710522392A CN 107294710 A CN107294710 A CN 107294710A
- Authority
- CN
- China
- Prior art keywords
- key
- virtual
- platform
- certificate
- target physical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种vTPM2.0的密钥迁移方法及装置。其中,方法包括将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台;在将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的同时,在目标物理平台生成虚拟平台密钥及虚拟背书密钥;并将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、与物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成证书链,最后将生成的证书链保存。提高了vTPM2.0的迁移效率,有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理TPM绑定的问题,提高了vTPM的可信性,以及可信报告的可追溯性。
Description
技术领域
本发明实施例涉及可信计算技术领域,特别是涉及一种vTPM2.0的密钥迁移方法及装置。
背景技术
随着越来越多的木马程序以及骇客的入侵,保密资料(敏感数据)的外泄风险越来越高。为了提高保密资料的安全性,避免用户遭受损失,一系列加强防止资料外泄的机制应用而生。
TCG(Trusted Computing Group,可信计算组织)基于跨平台和操作环境制定了可信计算相关标准和规范,并提出TPM(Trusted Platform Module,可信平台模块)规范。TPM芯片即为符合TPM规范的安全芯片,内置了密码学功能,具有产生加解密密钥的功能、能够高速的对资料进行加密和解密、以及充当保护BIOS和操作系统不被修改的辅助处理器,可有效地防止对BIOS和系统的非法篡改。TPM芯片的密钥体系中包括PK(Platform Key,平台密钥)、EK(Endorsement Key,背书密钥)、SK(Storage Key,存储密钥)三种根密钥,PK、EK属于公钥密码体制,用于远程可信证明,SK属于对称密码体制,用于可信存储。可信证明是指使用PK或EK对可信度量结果进行签名,提交给求证者,可信存储是指为虚拟机提供安全加解密功能。
在云计算时代,虚拟技术迅猛发展。通常多个虚拟机运行在同一物理平台上,需虚拟化实现TPM,向虚拟机提供与物理TPM芯片无差别的可信服务。由于多种因素的影响,虚拟机存在向不同物理平台迁移的需求,此时,与之绑定的vTPM(virtualizing TPM,虚拟TPM)应一起迁移至目标物理平台,实现可信服务的不间断。
现有技术中的vTPM在迁移时,通常将vTPM的密钥整体迁移到目标物理平台上,即将vPK(virtualizing Platform Key,虚拟平台密钥)、vEK(virtualizing EndorsementKey,虚拟背书密钥)及vSK(virtulizing Storage Key,虚拟存储密钥)迁移到目标物理平台。但是,如果由于vPK与vEK需要迁移,便不能与物理TPM芯片进行绑定,所以其自身可信性缺少保障;另外,由于vPK与vEK属于公钥密码体系,需与证书配套使用,未与物理TPM芯片的证书绑定的vPK与vEK无法形成证书链,可信报告不具备可追溯性。
发明内容
本发明实施例的目的是提供一种vTPM2.0的密钥迁移方法及装置,以提高vTPM2.0的密钥迁移的效率与可信性。
为解决上述技术问题,本发明实施例提供以下技术方案:
本发明实施例一方面提供了一种vTPM2.0的密钥迁移方法,包括:
将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台;
当检测到将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的指令时,在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥;
将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请所述vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成所述目标物理平台的证书链,并保存生成的证书链。
可选的,在所述将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台之后,还包括:
将所述待迁移vTPM2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。
可选的,在所述在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥之后,还包括:
将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥,使用所述物理TPM芯片的存储密钥加密存储到所述物理TPM芯片中。
可选的,所述将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台包括:
将所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行加密;
将加密后的vTPM2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。
可选的,在所述将加密后的vTPM2.0及虚拟存储密钥发送至目标物理平台之后,还包括:
当接收到所述目标物理平台反馈的正确的验证信息时,将所述源物理平台设置的密钥发送至所述目标物理平台,以用于对加密后的所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行解密。
本发明实施例另一方面提供了一种vTPM2.0的密钥迁移装置,包括:
密钥发送模块,用于将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台;
密钥生成模块,用于当检测到将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的指令时,在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥;
证书链生成模块,用于将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请所述vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成所述目标物理平台的证书链,并保存生成的证书链。
可选的,还包括:
销毁模块,用于将所述待迁移vTPM2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。
可选的,还包括:
私钥存储模块,用于将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥,使用所述物理TPM芯片的存储密钥加密存储到所述物理TPM芯片中。
可选的,所述密钥生成模块包括:
加密单元,用于将所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行加密;
发送单元,用于将加密后的vTPM2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。
可选的,还包括:
验证模块,用于当接收到所述目标物理平台反馈的正确的验证信息时,将所述源物理平台设置的密钥发送至所述目标物理平台,以用于对加密后的所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行解密。
本发明实施例提供了一种vTPM2.0的密钥迁移方法,将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台;在将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的同时,在目标物理平台生成虚拟平台密钥及虚拟背书密钥;并将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、与物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成证书链,最后将生成的证书链保存。
本申请提供的技术方案的优点在于,仅将虚拟存储密钥随着vTPM迁移到目标物理平台,且在迁移过程中虚拟平台密钥及虚拟背书密钥在目标物理平台生成,提高了vTPM2.0的迁移效率,有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理TPM绑定的问题,其证书申请过程有物理平台的证书做信用背书,且可与物理TPM芯片证书绑定,提高了vTPM的可信性,以及可信报告的可追溯性。
此外,本发明实施例还针对vTPM2.0的密钥迁移方法提供了相应的实现装置,进一步使得所述方法更具有实用性,所述装置具有相应的优点。
附图说明
为了更清楚的说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种vTPM2.0的密钥迁移方法的流程示意图;
图2为本发明实施例提供的另一种vTPM2.0的密钥迁移方法的流程示意图;
图3为本发明实施例提供的再一种vTPM2.0的密钥迁移方法的流程示意图;
图4为本发明实施例提供的vTPM2.0的密钥迁移装置的一种具体实施方式结构图;
图5为本发明实施例提供的vTPM2.0的密钥迁移装置的另一种具体实施方式结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
首先参见图1,图1为本发明实施例提供的一种vTPM2.0的密钥迁移方法的流程示意图,本发明实施例可包括以下内容:
S101:将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台。
待迁移vTPM2.0为当前在源物理平台上,与源物理平台的虚拟机绑定,当该虚拟机进行迁移到目标物理平台时,相应的vTPM2.0也需进行迁移,以确保可信服务的不间断。
vTPM2.0在迁移到目标物理平台时,需要将vTPM2.0相关的数据迁移过去以便重启后,可成功运行在目标物理平台。
S102:当检测到将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的指令时,在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥。
在将待迁移vTPM2.0及虚拟存储密钥发送至目标物理平台的过程中,同时在目标物理平台上随机生成虚拟平台密钥和虚拟背书密钥。两个过程并行处理,有利于缩短vTPM2.0迁移的时间,提升vTPM2.0迁移效率。
S103:将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请所述vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成所述目标物理平台的证书链,并保存生成的证书链。
物理TPM芯片为目标物理平台上的TPM芯片。物理TPM芯片为物理芯片,vTPM软件模拟实现了物理TPM芯片的功能。物理TPM芯片包括密码单元、存储单元等单元;密钥是密码单元的数据,包括在vTPM内部,随vTPM一起迁移。一般情况下,一台物理服务器配置一个物理TPM芯片,但物理服务器上运行多个虚拟机,所以需要虚拟出vTPM为每个虚拟机服务。
目标物理平台随机产生vPK,其公钥部分与物理TPM芯片的PK证书一起提交给证书管理中心,申请vPK证书,形成证书链,即证书管理中心根证书、物理TPM的PK证书、vTPM的vPK证书。
目标物理平台随机产生vEK,其公钥部分与物理TPM的EK证书一起提交给证书管理中心,申请vEK证书,形成证书链,即证书管理中心根证书、物理TPM的EK证书、vTPM的vEK证书。
在物理目标平台上生成虚拟平台密钥与虚拟背书密钥,有效的避免了虚拟平台密钥及虚拟背书密钥无法与物理TPM绑定的问题,其证书申请过程有物理平台的证书做信用背书,实现了物理TPM芯片证书的绑定。
在证书链生成后,且vTPM2.0及虚拟存储密钥成功迁移至目标物理平台后,重新启用该vTPM2.0。
在本发明实施例提供的技术方案中,仅将虚拟存储密钥随着vTPM迁移到目标物理平台,且在迁移过程中虚拟平台密钥及虚拟背书密钥在目标物理平台生成,提高了vTPM2.0的迁移效率,有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理TPM绑定的问题,其证书申请过程有物理平台的证书做信用背书,且可与物理TPM芯片证书绑定,提高了vTPM的可信性,以及可信报告的可追溯性。
基于上述实施例,本申请还提供了另外一个实施例,请参阅图2,具体可包括:
S104:将所述待迁移vTPM2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。
将源目标物理平台上vTPM2.0台的虚拟平台密钥及虚拟背书密钥进行销毁,节省源目标物理平台的空间,且有利于后续vTPM2.0与该物理平台对应的物理TPM芯片进行绑定。
还可包括:
S105:将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥,使用所述物理TPM芯片的存储密钥加密存储到所述物理TPM芯片中。
将虚拟平台密钥的私钥及虚拟背书密钥的私钥存储在目标物理平台对应的物理TPM芯片的存储密钥中,有利于保护虚拟平台密钥的私钥及虚拟背书密钥的私钥被泄漏,提升整个系统的安全性。
为了进一步提升vTPM2.0的安全性,本申请还提供了另外一个实施例,例如可应用在TPM2.0,请参阅图3,具体可包括:
S201:将所述待迁移vTPM2.0的数据信息及所述存储密钥进行加密。
S202:将加密后的vTPM2.0及虚拟存储密钥发送至目标物理平台。
源物理平台可采用与目标物理平台协商的加密方案对vTPM2.0中迁移的数据以及虚拟存储密钥进行加密,以防止这些信息泄漏,给造成用户损失。
S203:当接收到所述目标物理平台反馈的正确的验证信息时,将所述源物理平台设置的密钥发送至所述目标物理平台,以用于对加密后的所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行解密。
为了进一步防止被第三方窃取到解密密钥,在向目标物理平台发送密钥之前,可先向其发送验证信息,当接收准确的验证信息后,再将密钥发送过去。当然,也可预先与目标物理平台进行协议,按照协议的密钥对迁移数据进行加密,或者预先协议的验证信息,当接收到迁移数据后,自动发送验证信息,以提示源物理平台发送解密密钥。
S204-S205:具体的,与上述实施例中的S102与S103描述相一致,此处不再赘述。
通过在待迁移vTPM2.0迁移过程中,对待迁移vTPM2.0的迁移数据信息与存储密钥进行加密,可避免这些信息泄漏,有利于提升迁移的安全性。
本发明实施例还针对vTPM2.0的密钥迁移方法提供了相应的实现装置,进一步使得所述方法更具有实用性。下面对本发明实施例提供的vTPM2.0的密钥迁移装置进行介绍,下文描述的vTPM2.0的密钥迁移装置与上文描述的vTPM2.0的密钥迁移方法可相互对应参照。
参见图4,图4为本发明实施例提供的vTPM2.0的密钥迁移装置在一种具体实施方式下的结构图,该装置可包括:
密钥发送模块401,用于将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台。
密钥生成模块402,用于当检测到将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的指令时,在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥。
证书链生成模块403,用于将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请所述vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成所述目标物理平台的证书链,并保存生成的证书链。
在本实施例的一些实施方式中,所述密钥生成模块401可包括:
加密单元4011,用于将所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行加密;
发送单元4012,用于将加密后的vTPM2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。
可选的,在本申请的一些实施方式中,请参阅图5,所述装置例如还可以包括:
销毁模块404,用于将所述待迁移vTPM2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。
所述装置例如还可以包括:
私钥存储模块405,用于用于将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥,使用所述物理TPM芯片的存储密钥加密存储到所述物理TPM芯片中。
在本申请的另一些实施方式中,请参阅图5,所述装置还可以包括:
验证模块406,用于当接收到所述目标物理平台反馈的正确的验证信息时,将所述源物理平台设置的密钥发送至所述目标物理平台,以用于对加密后的所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行解密。
本发明实施例所述vTPM2.0的密钥迁移装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
由上可知,本发明实施例仅将虚拟存储密钥随着vTPM迁移到目标物理平台,且在迁移过程中虚拟平台密钥及虚拟背书密钥在目标物理平台生成,提高了vTPM2.0的迁移效率,有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理TPM绑定的问题,其证书申请过程有物理平台的证书做信用背书,且可与物理TPM芯片证书绑定,提高了vTPM的可信性,以及可信报告的可追溯性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种vTPM2.0的密钥迁移方法以及装置进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种vTPM2.0的密钥迁移方法,其特征在于,包括:
将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台;
当检测到将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的指令时,在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥;
将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请所述vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成所述目标物理平台的证书链,并保存生成的证书链。
2.根据权利要求1所述的vTPM2.0的密钥迁移方法,其特征在于,在所述将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台之后,还包括:
将所述待迁移vTPM2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。
3.根据权利要求1所述的vTPM2.0的密钥迁移方法,其特征在于,在所述在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥之后,还包括:
将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥,使用所述物理TPM芯片的存储密钥加密存储到所述物理TPM芯片中。
4.根据权利要求1至3任意一项所述的vTPM2.0的密钥迁移方法,其特征在于,所述将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台包括:
将所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行加密;
将加密后的vTPM2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。
5.根据权利要求4所述的vTPM2.0的密钥迁移方法,其特征在于,在所述将加密后的vTPM2.0的数据信息及所述虚拟存储密钥发送至目标物理平台之后,还包括:
当接收到所述目标物理平台反馈的正确的验证信息时,将所述源物理平台设置的密钥发送至所述目标物理平台,以用于对加密后的所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行解密。
6.一种vTPM2.0的密钥迁移装置,其特征在于,包括:
密钥发送模块,用于将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台;
密钥生成模块,用于当检测到将待迁移vTPM2.0的虚拟存储密钥发送至目标物理平台的指令时,在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥;
证书链生成模块,用于将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理TPM芯片的平台密钥证书及背书密钥证书发送至证书管理中心,以申请所述vTPM的虚拟背书密钥证书及虚拟平台密钥证书,用于生成所述目标物理平台的证书链,并保存生成的证书链。
7.根据权利要求6所述的vTPM2.0的密钥迁移装置,其特征在于,还包括:
销毁模块,用于将所述待迁移vTPM2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。
8.根据权利要求7所述的vTPM2.0的密钥迁移装置,其特征在于,还包括:
私钥存储模块,用于将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥,使用所述物理TPM芯片的存储密钥加密存储到所述物理TPM芯片中。
9.根据权利要求6至8任意一项所述的vTPM2.0的密钥迁移装置,其特征在于,所述密钥生成模块包括:
加密单元,用于将所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行加密;
发送单元,用于将加密后的vTPM2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。
10.根据权利要求9所述的vTPM2.0的密钥迁移装置,其特征在于,还包括:
验证模块,用于当接收到所述目标物理平台反馈的正确的验证信息时,将所述源物理平台设置的密钥发送至所述目标物理平台,以用于对加密后的所述待迁移vTPM2.0的数据信息及所述虚拟存储密钥进行解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710522392.1A CN107294710B (zh) | 2017-06-30 | 2017-06-30 | 一种vTPM2.0的密钥迁移方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710522392.1A CN107294710B (zh) | 2017-06-30 | 2017-06-30 | 一种vTPM2.0的密钥迁移方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107294710A true CN107294710A (zh) | 2017-10-24 |
CN107294710B CN107294710B (zh) | 2020-12-04 |
Family
ID=60099338
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710522392.1A Active CN107294710B (zh) | 2017-06-30 | 2017-06-30 | 一种vTPM2.0的密钥迁移方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107294710B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108718316A (zh) * | 2018-06-11 | 2018-10-30 | 山东超越数控电子股份有限公司 | 一种虚拟机密码信息安全迁移的实现方法及系统 |
CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
CN110430046A (zh) * | 2019-07-18 | 2019-11-08 | 上海交通大学 | 一种面向云环境的可信平台模块两阶段密钥复制机制 |
CN111124616A (zh) * | 2019-12-23 | 2020-05-08 | 海光信息技术有限公司 | 一种虚拟机迁移方法、处理器及电子设备 |
CN111310173A (zh) * | 2020-03-11 | 2020-06-19 | 青岛科技大学 | 一种可信芯片的终端虚拟机身份认证方法及系统 |
WO2020168545A1 (zh) * | 2019-02-22 | 2020-08-27 | 云图有限公司 | 密钥迁移方法和装置 |
US11212119B2 (en) * | 2019-04-05 | 2021-12-28 | Cisco Technology, Inc. | Remote attestation of modular devices with multiple cryptoprocessors |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060256105A1 (en) * | 2005-05-13 | 2006-11-16 | Scarlata Vincent R | Method and apparatus for providing software-based security coprocessors |
CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
CN101651543A (zh) * | 2009-09-04 | 2010-02-17 | 瑞达信息安全产业股份有限公司 | 一种可信计算平台密钥迁移系统及其密钥迁移方法 |
CN201479144U (zh) * | 2009-09-04 | 2010-05-19 | 瑞达信息安全产业股份有限公司 | 一种可信计算平台密钥迁移系统 |
CN103701607A (zh) * | 2013-12-25 | 2014-04-02 | 国家电网公司 | 一种虚拟机环境下可信平台模块的虚拟化方法 |
CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
US9391980B1 (en) * | 2013-11-11 | 2016-07-12 | Google Inc. | Enterprise platform verification |
-
2017
- 2017-06-30 CN CN201710522392.1A patent/CN107294710B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060256105A1 (en) * | 2005-05-13 | 2006-11-16 | Scarlata Vincent R | Method and apparatus for providing software-based security coprocessors |
CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
CN101651543A (zh) * | 2009-09-04 | 2010-02-17 | 瑞达信息安全产业股份有限公司 | 一种可信计算平台密钥迁移系统及其密钥迁移方法 |
CN201479144U (zh) * | 2009-09-04 | 2010-05-19 | 瑞达信息安全产业股份有限公司 | 一种可信计算平台密钥迁移系统 |
US9391980B1 (en) * | 2013-11-11 | 2016-07-12 | Google Inc. | Enterprise platform verification |
CN103701607A (zh) * | 2013-12-25 | 2014-04-02 | 国家电网公司 | 一种虚拟机环境下可信平台模块的虚拟化方法 |
CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
CN104580250A (zh) * | 2015-01-29 | 2015-04-29 | 成都卫士通信息产业股份有限公司 | 一种基于安全芯片进行可信身份认证的系统和方法 |
Non-Patent Citations (1)
Title |
---|
杨永娇 等: "Ng-vTPM:新一代TPM虚拟化框架设计", 《武汉大学学报(理学版)》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108718316A (zh) * | 2018-06-11 | 2018-10-30 | 山东超越数控电子股份有限公司 | 一种虚拟机密码信息安全迁移的实现方法及系统 |
CN108718316B (zh) * | 2018-06-11 | 2020-11-24 | 山东超越数控电子股份有限公司 | 一种虚拟机密码信息安全迁移的实现方法及系统 |
CN109165079A (zh) * | 2018-08-07 | 2019-01-08 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 |
CN109165079B (zh) * | 2018-08-07 | 2021-07-27 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
WO2020168545A1 (zh) * | 2019-02-22 | 2020-08-27 | 云图有限公司 | 密钥迁移方法和装置 |
US11212119B2 (en) * | 2019-04-05 | 2021-12-28 | Cisco Technology, Inc. | Remote attestation of modular devices with multiple cryptoprocessors |
US11601292B2 (en) | 2019-04-05 | 2023-03-07 | Cisco Technology, Inc. | Remote attestation of modular devices with multiple cryptoprocessors |
CN110430046A (zh) * | 2019-07-18 | 2019-11-08 | 上海交通大学 | 一种面向云环境的可信平台模块两阶段密钥复制机制 |
CN110430046B (zh) * | 2019-07-18 | 2021-07-06 | 上海交通大学 | 一种面向云环境的可信平台模块两阶段密钥复制方法 |
CN111124616A (zh) * | 2019-12-23 | 2020-05-08 | 海光信息技术有限公司 | 一种虚拟机迁移方法、处理器及电子设备 |
CN111124616B (zh) * | 2019-12-23 | 2023-08-08 | 海光信息技术股份有限公司 | 一种虚拟机迁移方法、处理器及电子设备 |
CN111310173A (zh) * | 2020-03-11 | 2020-06-19 | 青岛科技大学 | 一种可信芯片的终端虚拟机身份认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107294710B (zh) | 2020-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107294710A (zh) | 一种vTPM2.0的密钥迁移方法及装置 | |
CN103888251B (zh) | 一种云环境中虚拟机可信保障的方法 | |
Wang et al. | Enabling security-enhanced attestation with Intel SGX for remote terminal and IoT | |
CN106416124B (zh) | 半确定性数字签名生成 | |
CN101897211B (zh) | 计算机秘密的迁移 | |
CN108133144A (zh) | 一种虚拟磁盘文件保护方法、装置、设备及可读存储介质 | |
CN104618096B (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
CN107251481A (zh) | 利用匿名密钥系统进行可信平台模块认证和证明 | |
CN113014444B (zh) | 一种物联网设备生产测试系统及安全保护方法 | |
CN109756492B (zh) | 基于sgx的云平台可信执行方法、装置、设备及介质 | |
CN105745661A (zh) | 对权限管理的内容的基于策略的受信任的检测 | |
CN110050437A (zh) | 分布式证书注册的装置和方法 | |
CN101771699A (zh) | 一种提高SaaS应用安全性的方法及系统 | |
CN105468940B (zh) | 软件保护方法及装置 | |
KR20140099325A (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
CN104268477B (zh) | 一种安全控制方法及网络设备 | |
CN102646077A (zh) | 一种基于可信密码模块的全盘加密的方法 | |
CN109478214A (zh) | 用于证书注册的装置和方法 | |
CN111008094B (zh) | 一种数据恢复方法、设备和系统 | |
CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
CN108155988A (zh) | 一种保护密钥的迁移方法、装置、设备及可读存储介质 | |
CN110874726A (zh) | 一种基于tpm的数字货币安全保护方法 | |
EP2997692A1 (en) | Procedure for platform enforced secure storage in infrastructure clouds | |
CN109815747A (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
KR20110035573A (ko) | 클라우드 컴퓨팅 환경에서 안전한 가상 머신 설치를 제공하는 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |