CN107704308B - 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 - Google Patents
虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 Download PDFInfo
- Publication number
- CN107704308B CN107704308B CN201710852702.6A CN201710852702A CN107704308B CN 107704308 B CN107704308 B CN 107704308B CN 201710852702 A CN201710852702 A CN 201710852702A CN 107704308 B CN107704308 B CN 107704308B
- Authority
- CN
- China
- Prior art keywords
- vtpm
- tpm
- trust
- measures
- vmm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000010276 construction Methods 0.000 title claims abstract description 10
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 230000004044 response Effects 0.000 claims abstract description 12
- 238000012545 processing Methods 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 26
- 238000005259 measurement Methods 0.000 claims description 11
- 230000005012 migration Effects 0.000 claims description 9
- 238000013508 migration Methods 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 102100033668 Cartilage matrix protein Human genes 0.000 description 2
- 101001018382 Homo sapiens Cartilage matrix protein Proteins 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Abstract
本发明提供一种虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质,该管理系统包括:vTPM管理器,用于管理vTPM;TPM模拟器,用于处理指令;VMM透传模块,用于截获VM的硬件访问请求,转换成I/O请求发送给所述vTPM管理器;接收所述vTPM管理器的响应,返回给VM。本发明中采用vTPM管理器,TPM模拟器,VMM透传模块三个部分,实现对VM虚拟机提供vTPM,TPM模拟器能够模拟物理TPM对VM虚拟机进行服务,VMM透传模块处于中间位置,能够传递VM与vTPM管理器之间的消息,实现消息传递。从而能够提供vTPM给每个VM使用,进而保证每个VM的运行环境可信。
Description
技术领域
本发明涉及计算机安全领域,特别涉及一种虚拟平台vTPM(Virtual TrustedPlatform Module,虚拟可信平台模块)管理系统、信任链构建方法及装置、存储介质。
背景技术
虚拟化技术是云计算中重要的组成部分。虚拟化技术实现了IT(InformationTechnology,信息技术)资源的逻辑抽象和统一表示,也是支撑云计算商业模式最重要的技术基石。其中,KVM(Kernel-based Virtual Machine,系统虚拟化模块)虚拟平台是应用最为广泛的虚拟化方案。云计算应用中不可避免要涉及KVM虚拟平台。基于KVM虚拟化技术构建的云计算平台虽然减少了IT运营的成本,具备按需分配,动态拓展及分布式的优点,但是也带来各种层面的安全隐患。同时,基于虚拟化技术构建的信息系统相比较传统IT系统更具有不可见,不可控,不可信的安全问题。
因此,如何在KVM虚拟平台下,保证VM(VirtualMachine,虚拟机)的运行环境可信,是本领域技术人员亟待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质,能够在KVM虚拟平台下,保证VM的运行环境可信。其具体方案如下:
一方面,本发明提供一种虚拟平台vTPM管理系统,包括:
vTPM(Trusted Platform Module,可信平台模块)管理器,用于管理vTPM;
TPM模拟器,用于处理指令;
VMM透传模块,用于截获VM的硬件访问请求,转换成I/O(input/output,输入/输出)请求发送给所述vTPM管理器;接收所述vTPM管理器的响应,返回给VM。
优选地,所述vTPM管理器,包括:
创建部,用于当未分配vTPM的VM发起请求时,创建vTPM供对应的VM使用;
初始化部,用于当已分配vTPM的VM发起初始化请求时,初始化对应的vTPM;
销毁部,用于当已分配vTPM的VM关闭时,销毁对应的vTPM;
迁移部,用于当有已分配vTPM的VM迁移时,利用迁移密钥加密对应的vTPM。
优选地,所述创建部,包括:
创建接收组件,用于接收VMM透传模块截获并转发的VM访问硬件资源的请求;
判断创建组件,用于判断发起请求的VM是否有对应的vTPM,如果没有,则创建相应的vTPM。
优选地,所述指令包括:
数据加密和/或数字签名和/或安全存储和/或密码杂凑和/或身份标识和/或完整性存储和报告。
优选地,所述TPM模拟器,包括:
命令接收部,用于接受vTPM命令字;
判断授权部,用于判断所述命令字是否需要访问TPM获取关键授权,如果需要则获取授权,如果不需要则直接进行业务处理;
虚拟设备部,用于生成虚拟设备供VM使用。
第二方面,本发明提供一种虚拟平台信任链构建方法,应用于上述系统,包括:
以TPM为信任根建立物理硬件层到虚拟平台的信任链;
以vTPM为信任根建立VM内部的信任链。
优选地,所述以TPM为信任根根建立物理硬件层到虚拟平台的信任链,包括:
CPU上电后,所述CPU度量BIOS(Basic Input Output System,基本输入输出系统),所述BIOS度量物理硬件,所述物理硬件度量MBR(Main Boot Record,主引导记录),所述MBR度量OSLoader(Operating System loader,操作系统加载器),逐级存储度量结果到所述TPM;
所述OSLoader度量VMM(Virtual Machine Monitor,虚拟机监控器)加载项,所述VMM加载项度量Host OS(Host Operating System,主操作系统),所述Host OS度量VMM启动项,逐级存储度量结果到所述TPM。
优选地,所述以vTPM为信任根建立虚拟机内部的信任链,包括:
所述VMM启动后,所述VMM度量VM BIOS,所述VM BIOS度量VM硬件,所述VM硬件度量VM MBR,所述VM MBR度量VM OSLoader,逐级存储度量结果到所述vTPM。
第三方面,本发明提供一种虚拟平台信任链构建装置,应用于上述系统,包括:
TPM信任链构建模块,用于以TPM为信任根根建立物理硬件层到虚拟平台的信任链;
vTPM信任链构建模块,用于以vTPM为信任根建立VM内部的信任链。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述信任链构建方法的步骤。
本发明提供一种虚拟平台vTPM管理系统,包括:vTPM管理器,用于管理vTPM;TPM模拟器,用于处理指令;VMM透传模块,用于截获VM的硬件访问请求,转换成I/O请求发送给所述vTPM管理器;接收所述vTPM管理器的响应,返回给VM。
本发明中采用vTPM管理器,TPM模拟器,VMM透传模块三个部分,实现对VM虚拟机提供vTPM,TPM模拟器能够模拟物理TPM对VM虚拟机进行服务,VMM透传模块处于中间位置,能够传递VM与vTPM管理器之间的消息,实现消息传递。从而能够提供vTPM给每个VM使用,保证每个VM的运行环境可信。
本发明提供的虚拟平台信任链构建方法及装置、存储介质,也具有上述有益效果,不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明第一种具体实施方式所提供的一种虚拟平台vTPM管理系统的组成示意图;
图2为一种具体实施方式中vTPM供VM使用的实现过程图;
图3为本发明第二种具体实施方式的一种虚拟平台信任链构建方法的流程图;
图4为本发明第二种具体实施方式的一种虚拟平台信任链构建方法的具体流程图;
图5为本发明具体实施方式提供一种虚拟平台信任链构建装置的组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明第一种具体实施方式所提供的一种虚拟平台vTPM管理系统的组成示意图。
在本发明的第一种具体实施方式中,本发明提供一种虚拟平台vTPM管理系统100,包括:
vTPM管理器101,用于管理vTPM;
TPM模拟器102,用于处理指令;
VMM透传模块103,用于截获VM的硬件访问请求,转换成I/O请求发送给所述vTPM管理器;接收所述vTPM管理器的响应,返回给VM。
虚拟平台一般主要包括3个层次:物理硬件层、虚拟平台层、虚拟机层。在物理硬件层加入了可信平台模块(trusted platformmodule,TPM)模块,因为TPM是构建可信平台的前提,并且它还能提供所需的密码服务,正如图3所示,为了安全起见尽量避免使用背书密钥(endorsement key,EK),而是用身份认证密钥(attestation identity key,AIK)来代替EK提供平台的证明,并且在一个安全平台上可以根据不同的目的创建多个AIK。
在虚拟平台层,设计了虚拟TPM管理器来提供对服务于虚拟机的虚拟TPM实例的整个生命周期的管理。整个生命周期包括虚拟TPM实例的创建、迁移、与虚拟机关联、状态变化和删除。
为了确保运行的虚拟机都可以拥有操作底层TPM设备的功能设计了TPM后端驱动,同时设计了宿主机可信平台模块来进行虚拟机与物理硬件的交互,以此实现物理平台的可信。这就设计了VMM透传模块103,用于截获VM的硬件访问请求,转换成I/O请求发送给所述vTPM管理器101;接收所述vTPM管理器101的响应,返回给VM。
所述vTPM管理器,包括:创建部,用于当未分配vTPM的VM发起请求时,创建vTPM供对应的VM使用;
初始化部,用于当已分配vTPM的VM发起初始化请求时,初始化对应的vTPM;
销毁部,用于当已分配vTPM的VM关闭时,销毁对应的vTPM;
迁移部,用于当有已分配vTPM的VM迁移时,利用迁移密钥加密对应的vTPM。
在虚拟平台层,设计了虚拟TPM管理器来提供对服务于虚拟机的虚拟TPM实例的整个生命周期的管理。整个生命周期包括虚拟TPM实例的创建(包括新建或迁移)、与虚拟机关联、状态变化和删除,迁移。
优选地,所述创建部,包括:
创建接收组件,用于接收VMM透传模块截获并转发的VM访问硬件资源的请求;
判断创建组件,用于判断发起请求的VM是否有对应的vTPM,如果没有,则创建相应的vTPM。
当一个VM向vTPM管理器101发起请求时,vTPM管理器101首先判断这个VM是否有对应的vTPM,如果没有,则要创建相应的vTPM。
优选地,所述指令包括:
数据加密和/或数字签名和/或安全存储和/或密码杂凑和/或身份标识和/或完整性存储和报告。
TPM模拟器102,是能够使得vTPM具有类似于物理TPM的功能,例如有数据加密、数字签名、安全存储、密码杂凑、身份标识、完整性存储和报告等功能。
优选地,所述TPM模拟器102,包括:
命令接收部,用于接受vTPM命令字;
判断授权部,用于判断所述命令字是否需要访问TPM获取关键授权,如果需要则获取授权,如果不需要则直接进行业务处理;
虚拟设备部,用于生成虚拟设备供VM使用。
虚拟机监视器(Virtual Machine Monitor,VMM),也称为VMM虚拟机,是架设在BIOS和操作系统之间的,由于该虚拟机监视器拥有多用户管理、系统网络控制、系统防火墙等重要功能,因此,虚拟机监视器的安全和可信将关系到整个计算机系统的安全和可信,虚拟出可信的vTPM供VM使用,也就成了延伸信任链到VM的关键。
请参考图2,图2为一种具体实施方式中vTPM供VM使用的实现过程图。
基于上述各个部分的功能,虚拟化TPM供VM使用的实现过程,具体实施过程如下:
VMM透传模块103截获VM访问硬件资源(可信平台模块,TPM)的请求,转发给vTPM管理器101;
vTPM管理器101判断此请求的VM是否有对应vTPM,如果没有,则创建相应的vTPM,如果有则根据具体请求动作,生成vTPM处理命令字;
TPM模拟器102接受vTPM处理命令字,如果需要则访问TPM获取关键授权,如果不需要则直接进行业务处理;
处理过程中,在/dev目录下生成虚拟设备(vTPM0、vTPM1……),供VM使用。
请参考图3、图4,图3为本发明第二种具体实施方式的一种虚拟平台信任链构建方法的流程图;图4为本发明第二种具体实施方式的一种虚拟平台信任链构建方法的具体流程图。所述方法包括:
S11:以TPM为信任根建立物理硬件层到虚拟平台的信任链。
可信计算是指在计算设备硬件平台引入安全芯片架构,通过其提供的安全特性来提高系统的安全性,从而在根本上实现了对各种不安全因素的主动防御。其核心就是在用户与计算机、网络平台间建立一种信任机制。可信计算可从几个方面来理解:(1)用户的身份认证,这是对使用者的信任;(2)平台软硬件配置的正确性,这体现了使用者对平台运行环境的信任;(3)应用程序的完整性和合法性,体现了应用程序运行的可信;(4)平台之间的可验证性,指网络环境下平台之间的相互信任。
一个可信计算平台必须包含三个信任根:可信度量根RTM、可信存储根RTS和可信报告根RTR。而信任根的可信性由物理安全和管理安全确保。RTM被用来完成完整性度量,通常使用核心度量可信根CRTM所控制的计算引擎。CRTM是平台执行RTM时的执行代码,一般存在BIOS中。RTM同时也是信任传递的原点。RTS是维护完整性摘要的值和摘要序列的引擎,一般由对存储加密的引擎和加密密钥组成。RTR是一个计算引擎,能够可靠的报告RTS持有的数据,这个可靠性一般由签名来保证。这三个根都是可信、功能正确而且不需要外界维护的。这些可信根存在于TPM和BIOS中,可以由专家的评估来确定是否符合可信的标准。一般地,在平台建立之后,认为TPM和BIOS是绝对可信的。
信任链把信任关系从信任根扩展到整个计算机系统。在可信PC技术规范中,具体给出了可信PC中的信任链。这个信任链以BIOS Boot Block和TPM芯片为信任根,经过BIOS→OS loader→OS。沿着这个信任链,一级度量认证一级,一级信任一级,以确保整个平台系统资源的完整性。
进一步地,CPU上电后,所述CPU度量BIOS,所述BIOS度量物理硬件,所述物理硬件度量MBR,所述MBR度量OSLoader,逐级存储度量结果到所述TPM;
所述OSLoader度量VMM加载项,所述VMM加载项度量Host OS,所述Host OS度量VMM启动项,逐级存储度量结果到所述TPM。
这样就完成了以TPM为信任根建立物理硬件层到虚拟平台的信任链。
S12:以vTPM为信任根建立VM内部的信任链。
在第一种具体实施方式的基础上,为VM提供了vTPM作为信任根,这样信任链就可以继续传递下去。信任链的传递是体现可信的重要手段,它是可信计算平台的核心机制。信任链的传递可以分为两个主要阶段:(1)从平台的加电开始到操作系统装载完毕;从操作系统开始运行以及应用系统的运行。第(1)阶段信任链是单向的,而进入多任务环境下,应用的运行是随机的,信任链也成为发散的树形。信任根和信任链是可信计算的最主要的关键技术之一。信任根是系统可信的基点。
当有多个VM时,则要创建多个vTPM,每个VM在使用vTPM时,都有自己独有的对应的vTPM来使用。
更进一步地,为了将信任链构建延伸到VM内,增强云计算环境下租户的平台安全,保证租户的数据完整可信,在所述VMM启动后,所述VMM度量VM BIOS,所述VM BIOS度量VM硬件,所述VM硬件度量VM MBR,所述VM MBR度量VM OSLoader,逐级存储度量结果到所述vTPM。
请参考图5,图5为本发明具体实施方式提供一种虚拟平台信任链构建装置的组成示意图。
本发明提供一种虚拟平台信任链构建装置,应用于上述系统,包括:
TPM信任链构建模块501,用于以TPM为信任根根建立物理硬件层到虚拟平台的信任链;
vTPM信任链构建模块502,用于以vTPM为信任根建立VM内部的信任链。
本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述具体实施方式中的信任链构建方法的步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种虚拟平台vTPM管理系统,其特征在于,包括:
vTPM管理器,用于管理vTPM;
TPM模拟器,用于处理指令;
VMM透传模块,用于截获VM的硬件访问请求,转换成I/O请求发送给所述vTPM管理器;接收所述vTPM管理器的响应,返回给所述VM;
并且,所述TPM模拟器,包括:
命令接收部,用于接受vTPM命令字;
判断授权部,用于判断所述命令字是否需要访问TPM获取关键授权,如果需要则获取授权,如果不需要则直接进行业务处理;
虚拟设备部,用于生成虚拟设备供VM使用。
2.根据权利要求1所述的系统,其特征在于,所述vTPM管理器,包括:
创建部,用于当未分配vTPM的VM发起请求时,创建vTPM供对应的VM使用;
初始化部,用于当已分配vTPM的VM发起初始化请求时,初始化对应的vTPM;
销毁部,用于当已分配vTPM的VM关闭时,销毁对应的vTPM;
迁移部,用于当有已分配vTPM的VM迁移时,利用迁移密钥加密对应的vTPM。
3.根据权利要求2所述的系统,其特征在于,所述创建部,包括:
创建接收组件,用于接收所述VMM透传模块截获并转发的VM访问硬件资源的请求;
判断创建组件,用于判断发起请求的VM是否有对应的vTPM,如果没有,则创建相应的vTPM。
4.根据权利要求1所述的系统,其特征在于,所述指令包括:
数据加密和/或数字签名和/或安全存储和/或密码杂凑和/或身份标识和/或完整性存储和报告。
5.一种虚拟平台信任链构建方法,应用于如权利要求1至4任一项所述的系统,其特征在于,包括:
以TPM为信任根建立物理硬件层到虚拟平台的信任链;
以vTPM为信任根建立VM内部的信任链。
6.根据权利要求5所述的方法,其特征在于,所述以TPM为信任根建立物理硬件层到虚拟平台的信任链,包括:
CPU上电后,所述CPU度量BIOS,所述BIOS度量物理硬件,所述物理硬件度量主引导记录MBR,所述主引导记录MBR度量操作系统加载器OSLoader,逐级存储度量结果到所述TPM;
所述操作系统加载器OSLoader度量VMM加载项,所述VMM加载项度量主操作系统HostOS,所述主操作系统Host OS度量VMM启动项,逐级存储度量结果到所述TPM。
7.根据权利要求5或6所述的方法,其特征在于,所述以vTPM为信任根建立虚拟机内部的信任链,包括:
VMM启动后,所述VMM度量VM BIOS,所述VM BIOS度量VM硬件,所述VM硬件度量VM MBR,所述VM MBR度量VM OSLoader,逐级存储度量结果到所述vTPM。
8.一种虚拟平台信任链构建装置,应用于如权利要求1至4任一项所述的系统,其特征在于,包括:
TPM信任链构建模块,用于以TPM为信任根建立物理硬件层到虚拟平台的信任链;
vTPM信任链构建模块,用于以vTPM为信任根建立VM内部的信任链。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求5至7任一项所述信任链构建方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710852702.6A CN107704308B (zh) | 2017-09-19 | 2017-09-19 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710852702.6A CN107704308B (zh) | 2017-09-19 | 2017-09-19 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107704308A CN107704308A (zh) | 2018-02-16 |
CN107704308B true CN107704308B (zh) | 2020-10-02 |
Family
ID=61173144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710852702.6A Active CN107704308B (zh) | 2017-09-19 | 2017-09-19 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107704308B (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109101284A (zh) * | 2018-07-18 | 2018-12-28 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟机启动方法、装置、设备及存储介质 |
CN109165079B (zh) * | 2018-08-07 | 2021-07-27 | 郑州云海信息技术有限公司 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
CN109167785B (zh) * | 2018-09-03 | 2022-04-29 | 郑州云海信息技术有限公司 | 一种虚拟可信根的调用方法和业务服务器 |
CN109255242A (zh) * | 2018-09-18 | 2019-01-22 | 郑州云海信息技术有限公司 | 一种基于可信uefi固件引导虚拟机启动的方法及系统 |
CN114625484A (zh) * | 2022-03-31 | 2022-06-14 | 苏州浪潮智能科技有限公司 | 虚拟化实现方法、装置、电子设备、介质及arm平台 |
CN114756335A (zh) * | 2022-06-15 | 2022-07-15 | 中电云数智科技有限公司 | 混合架构的可信云服务器的信任链构建方法及服务器 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101295340A (zh) * | 2008-06-20 | 2008-10-29 | 北京工业大学 | 一种可信平台模块及其主动度量方法 |
CN101488174A (zh) * | 2009-01-15 | 2009-07-22 | 北京交通大学 | 动态透明的虚拟可信平台模块的实现方法 |
CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
CN105956465A (zh) * | 2016-05-04 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于vtpm构建虚拟可信平台的方法 |
-
2017
- 2017-09-19 CN CN201710852702.6A patent/CN107704308B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101295340A (zh) * | 2008-06-20 | 2008-10-29 | 北京工业大学 | 一种可信平台模块及其主动度量方法 |
CN101488174A (zh) * | 2009-01-15 | 2009-07-22 | 北京交通大学 | 动态透明的虚拟可信平台模块的实现方法 |
CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
CN105956465A (zh) * | 2016-05-04 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于vtpm构建虚拟可信平台的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107704308A (zh) | 2018-02-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
De Benedictis et al. | Integrity verification of Docker containers for a lightweight cloud environment | |
US9288155B2 (en) | Computer system and virtual computer management method | |
US10635821B2 (en) | Method and apparatus for launching a device | |
Ibrahim et al. | Trusted cloud computing architectures for infrastructure as a service: Survey and systematic literature review | |
US8151262B2 (en) | System and method for reporting the trusted state of a virtual machine | |
US8595483B2 (en) | Associating a multi-context trusted platform module with distributed platforms | |
US9202062B2 (en) | Virtual machine validation | |
US9081600B2 (en) | Virtual machine validation | |
US11693952B2 (en) | System and method for providing secure execution environments using virtualization technology | |
CN102244684B (zh) | 基于usbkey的efi可信云链引导方法 | |
CN109165079B (zh) | 基于虚拟化的云数据中心可信平台、信任链构建方法 | |
JP2008541279A (ja) | ソフトウェア・ベースのセキュリティ・コプロセッサを提供する方法および装置 | |
KR102527949B1 (ko) | 보안 실행 게스트 소유자 환경 컨트롤 | |
Stumpf et al. | An approach to a trustworthy system architecture using virtualization | |
EP3217310B1 (en) | Hypervisor-based attestation of virtual environments | |
Jayaram et al. | Trustworthy geographically fenced hybrid clouds | |
EP3701411A1 (en) | Software packages policies management in a securela booted enclave | |
Yu et al. | A trusted architecture for virtual machines on cloud servers with trusted platform module and certificate authority | |
Guo et al. | Building trust in container environment | |
TW202307712A (zh) | 一安全客體之認證 | |
CN114547656A (zh) | 一种云环境下基于Intel SGX的两阶段远程证明方法 | |
AT&T | ||
Sisinni | Verification of Software Integrity in Distributed Systems | |
aw Ideler | Cryptography as a service in a cloud computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |