CN109858265B - 一种加密方法、装置及相关设备 - Google Patents
一种加密方法、装置及相关设备 Download PDFInfo
- Publication number
- CN109858265B CN109858265B CN201910060494.5A CN201910060494A CN109858265B CN 109858265 B CN109858265 B CN 109858265B CN 201910060494 A CN201910060494 A CN 201910060494A CN 109858265 B CN109858265 B CN 109858265B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- memory
- data
- key
- root key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明实施例提供一种加密方法、装置及相关设备,该加密方法包括:获取从虚拟机内存向外部传输的虚拟机数据;调用虚拟机根密钥;所述虚拟机根密钥为安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成;根据所述虚拟机根密钥,对所述虚拟机数据进行加密;将加密后的虚拟机数据从虚拟机内存传输到外部。本发明实施例可提升虚拟机内存向外部传输的虚拟机数据的安全性。
Description
技术领域
本发明实施例涉及虚拟机技术领域,具体涉及一种加密方法、装置及相关设备。
背景技术
通过虚拟化技术(Virtualization),物理主机可虚拟化出多台虚拟机(VirtualMachine,VM),从而最大化的利用物理主机的硬件资源;虚拟化出的每台虚拟机可被分配内存(空间),称为虚拟机内存;虚拟机内存主要用于任务消耗及支持虚拟化。
目前虚拟机内存向外部传输的虚拟机数据缺乏保护,比如从虚拟机内存保存到磁盘的虚拟机数据(或者从虚拟机内存交换到交换分区的虚拟机数据)缺乏加密保护,这无疑降低了虚拟机内存向外部传输的虚拟机数据的安全性。
发明内容
有鉴于此,本发明实施例提供一种加密方法、装置及相关设备,以提升虚拟机内存向外部传输的虚拟机数据的安全性。
为实现上述目的,本发明实施例提供如下技术方案:
一种加密方法,包括:
获取从虚拟机内存向外部传输的虚拟机数据;
调用虚拟机根密钥;所述虚拟机根密钥为安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成;
根据所述虚拟机根密钥,对所述虚拟机数据进行加密;
将加密后的虚拟机数据从虚拟机内存传输到外部。
本发明实施例还提供一种加密装置,包括:
获取模块,用于获取从虚拟机内存向外部传输的虚拟机数据;
根密钥调用模块,用于调用虚拟机根密钥;所述虚拟机根密钥为安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成;
加密执行模块,用于根据所述虚拟机根密钥,对所述虚拟机数据进行加密;
传输模块,用于将加密后的虚拟机数据从虚拟机内存传输到外部。
本发明实施例还提供一种虚拟机,包括上述所述的加密装置。
本发明实施例还提供一种芯片,包括安全处理器,以及上述所述的虚拟机;所述安全处理器至少用于,在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成所述虚拟机的虚拟机根密钥。
本发明实施例还提供一种电子设备,包括上述所述的芯片。
本发明实施例提供的加密方法中,安全处理器可在初始化虚拟机时,至少根据虚拟机的虚拟机初始状态信息,以及安全处理器的根密钥生成虚拟机根密钥,使得虚拟机可具有自身的虚拟机根密钥;从而,虚拟机可在将虚拟机内存的虚拟机数据传输给外部时,获取从虚拟机内存向外部传输的虚拟机数据,进而调用虚拟机根密钥,根据所述虚拟机根密钥,对所述虚拟机数据进行加密,将加密后的虚拟机数据从虚拟机内存传输到外部,实现对从虚拟机内存向外部传输的虚拟机数据进行加密。本发明实施例提供的方案中,虚拟机可在将虚拟机内存的虚拟机数据传输给外部时,根据虚拟机自身的虚拟机根密钥,实现加密虚拟机内存向外部传输的虚拟机数据,提升了虚拟机内存向外部传输的虚拟机数据的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为虚拟化环境的系统架构示意图;
图2为虚拟化环境的另一系统架构示意图;
图3为安全虚拟化技术的微架构示意图;
图4为本发明实施例提供的生成虚拟机根密钥的流程图;
图5为本发明实施例提供的加密方法的流程图;
图6为本发明实施例提供的加密方法的另一流程图;
图7为物理内存包括安全内存和普通内存的示意图;
图8为安全内存和普通内存的内存访问示意架构图;
图9为安全内存和普通内存的另一内存访问示意架构图;
图10为本发明实施例提供的加密装置的框图;
图11为本发明实施例提供的加密装置的另一框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
作为一种可选示例,图1示出了虚拟化环境的系统架构示意图,如图1所示,虚拟化环境的系统架构可以包括:CPU(Central Processing Unit,中央处理器)核心1,内存控制器2,内存3;
其中,CPU核心可通过软件形式配置虚拟机管理器11,并通过虚拟化技术虚拟化出多台虚拟机12,该多台虚拟机12可由虚拟机管理器11进行内存管理,如由虚拟机管理器11管理虚拟机12的虚拟机内存;
内存控制器2是控制内存3,并且使内存3与CPU核心之间交换数据的硬件;在典型的计算机系统中,内存控制器2负责处理内存访问请求,对于内存访问请求,内存控制器2可检测缓存是否记录内存访问请求对应的地址,若是,则从缓存读取该地址相应的数据,否则,遍历内存的页表查找该地址并读取该地址相应的数据。
图1所示的系统架构可以是基于传统虚拟化技术实现,传统虚拟化技术并不对虚拟机内存进行安全保护,因此虚拟机数据的安全性存在威胁,为了提升虚拟机数据的安全性,区别于传统虚拟化技术的安全虚拟化技术应运而生;
安全虚拟化技术是可对虚拟机内存进行安全保护的虚拟化技术,例如可对虚拟机内存进行加密等安全保护的虚拟化技术,当然,安全虚拟化技术还可例如对虚拟机内存进行隔离等保护的虚拟化技术;
在一种示例的安全虚拟化技术中,通过安全虚拟化技术可对部分或所有虚拟机内存进行加密,而且不同虚拟机使用的内存通过不同的密钥加密,虚拟机管理器也无法访问密钥,从而防止物理主机、虚拟机管理器对虚拟机的数据访问和篡改,提升虚拟机的数据安全性;
作为一种可选示例,基于安全虚拟化技术,图2示出了虚拟化环境的另一系统架构示意图,结合图1和图2所示,图2所示系统架构相比于图1所示系统架构还可以包括:安全处理器4;
安全处理器4为专门设置的负责处理与虚拟机的安全相关操作的处理器,例如,安全处理器4可进行内存加解密等操作;在本发明实施例中,虚拟机管理器11可配置与安全处理器4相通信的API接口,实现虚拟机管理器11与安全处理器4的数据交互;
在本发明实施例中,内存控制器2可配置加密引擎21,加密引擎21可存储密钥;
安全处理器4可通过加密引擎21存储的密钥为部分或所有虚拟机内存进行加密,并且不同虚拟机使用的内存通过不同的密钥进行加密;可选的,为了更好地预防重放攻击,虚拟机内存中不同物理地址可使用不同的加密参数;需要说明的是,重放攻击(ReplayAttacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要在身份认证场景下破坏认证的正确性。
示例的,图3示出了安全虚拟化技术的微架构示意图,如图3所示,安全处理器是SoC(System on Chip,片上系统)中处理内存加解密和启动虚拟机的处理器,安全处理器4可与CPU核心1通过API接口交互,安全处理器4与内存控制器(memory controller)2通过总线交互,并运行program(程式);
在SoC内部涉及到的部件有CPU核心1,安全处理器4,和内存控制器2;SOC外部设计有内存3(例如动态随机存取存储器DRAM等);可选的,SOC外部的数据可以为加密后的密文,SOC内部为明文;
图3中多个VEK(Virtualization Encrypted Key,虚拟机加密密钥)分别用于不同的虚拟机,使得每个不同的虚拟机(或主机)都可以有各自独立的密钥,保证不同虚拟机和主机都无法读到其它虚拟机或主机的正确数据。
可选的,图2和图3所示系统架构中,CPU核心,内存控制器,安全处理器可集成在SOC(System on Chip,片上系统)上;显然,SOC仅是计算机体系结构的一种可选形式,本发明实施例也可支持其他形式的计算机体系结构,例如,处理器和南桥相耦合的计算机体系结构,分设南桥和北桥的计算机体系结构等,此时,CPU核心,内存控制器,内存,和安全处理器可相应部署,此处不再展开说明。
安全虚拟化技术通过不同的虚拟机使用不同的密钥,使得不同的虚拟机或主机之间都不能正确解读相互之间的内存数据,达到了内存数据机密性的保护要求,但是安全虚拟化技术只对虚拟机内存数据进行保护,而虚拟机内存向外部传输的虚拟机数据往往缺乏保护,比如从虚拟机内存保存到磁盘空间的虚拟机数据(或者从虚拟机内存交换到交换分区的虚拟机数据)缺乏加密保护,这使得虚拟机内存向外部传输的虚拟机数据的安全性较低。
基于此,本发明的发明人提出改进安全虚拟化技术:安全处理器可生成虚拟机的虚拟机根密钥,从而虚拟机可通过虚拟机根密钥生成虚拟机密钥,以虚拟机密钥对从虚拟机内存向外部传输的虚拟机数据进行加密,实现从虚拟机内存向外部传输的虚拟机数据的保护。需要说明的是,在安全虚拟化技术中,每个虚拟机往往缺乏自己的根密钥,因此虚拟机很难建立自己的安全密钥链来对从虚拟机内存向外部传输的虚拟机数据进行保护,因此本发明的发明人提出改进:通过生成虚拟机的虚拟机根密钥,使得虚拟机具有自己的虚拟机根密钥,从而虚拟机可通过虚拟机根密钥生成虚拟机密钥,以对从虚拟机内存向外部传输的虚拟机数据进行保护。
作为本发明实施例公开内容的一种可选实现,图4示出了本发明实施例提供的生成虚拟机根密钥的一种可选流程,所生成的虚拟机根密钥可用于对从虚拟机内存向外部传输的虚拟机数据进行加密;图4所示方法可由安全处理器执行,参照图4,该方法可以包括:
步骤S10、获取虚拟机的虚拟机初始状态信息。
可选的,安全处理器可在初始化虚拟机时,获取虚拟机的虚拟机初始状态信息。示例的,本发明实施例可由安全处理器实现虚拟机内存管理,并在对虚拟机进行初始化时,安全处理器可获取虚拟机的虚拟机初始状态信息。
可选的,虚拟机初始状态信息可通过虚拟机初始状态摘要信息表示。
步骤S11、调用安全处理器的根密钥。
可选的,在启动一个虚拟机时,安全处理器可以使用自己的根密钥对虚拟机启动信息进行数字签名,从而证明虚拟机是运行在安全环境下;
示例的,在安全虚拟化技术中,可由安全处理器负责虚拟机内存管理,安全处理器可具有根密钥CEK,该根密钥CEK对应的证书可被芯片厂家的签名密钥ASK签名,以证明安全处理器的安全性;而安全处理器的CEK会对一个系统平台密钥PEK的证书进行签名,然后通过PEK对一个用于密钥交换的PDH公钥进行签名,以达到和外部软件建立共享密钥,以及证明安全处理器所启动和管理的虚拟机是运行在安全环境下,从而达到向外部软件证明虚拟机是运行在安全环境。
需要说明的是,安全处理器需要能够访问一个或多个严格保密的芯片根密钥,芯片根密钥通常保存在Fuse之中,芯片根密钥可以在芯片生产期间由芯片生产商烧入或之后由OEM厂商甚至用户直接烧入;同样,安全处理器还需要能够知道芯片生产商的签名公钥,可选的,签名公钥可以直接保存在ROM代码中;根据芯片根密钥可以通过密钥派生算法(如KDF)派生出各种不同的芯片密钥,例如,其中可以有一个芯片密钥对应的公钥由芯片生产商签名产生芯片证书,用于证明芯片来源的可靠性。
步骤S12、至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥,生成所述虚拟机的虚拟机根密钥。
可选的,可使用密钥派生算法,例如KDF(密钥导出函数,Key DerivationFunction),至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥,生成所述虚拟机的虚拟机根密钥。
可选的,对于每一虚拟机,安全处理器可通过该虚拟机的初始状态摘要信息,和安全处理器的根密钥等信息,以密钥派生算法派生出该虚拟机的虚拟机根密钥,不同虚拟机的虚拟机根密钥不同。从而本发明实施例可为物理主机中的每个虚拟机提供不同的根密钥,使得虚拟机可以使用自身的虚拟机根密钥提供加密等服务。
可选的,生成的虚拟机根密钥可用于与密钥相关的功能,例如,虚拟机可根据虚拟机根密钥,加密从虚拟机内存向外部传输的虚拟机数据,或者进行数字签名等;示例的,虚拟机可根据虚拟机根密钥派生虚拟机密钥,从而以虚拟机密钥对从虚拟机内存向外部传输的虚拟机数据进行加密。
可选的,在一种可选实现中,本发明实施例生成虚拟机根密钥后,可根据密钥派生算法,以所述虚拟机根密钥派生所述虚拟机的虚拟机密钥,从而可通过所述虚拟机密钥对从虚拟机内存向外部传输的虚拟机数据进行加密;通过密钥派生算法,派生的虚拟机密钥可以重复使用,即使在主机或虚拟机重启以后,派生的虚拟机密钥还是可以继续正常使用;
示例的,密钥派生算法可以使用Key Derivation Function(密钥导出函数);在密码学中,密钥导出函数(KDF)可使用伪随机函数从秘密值导出一个或多个密钥,KDF可用于将密钥扩展到更长的密钥或获得所需格式的密钥。
可选的,在另一种可选实现中,本发明实施例生成虚拟机根密钥后,也可在虚拟机与外部设备传输虚拟机数据时,利用虚拟机的虚拟机根密钥和外部设备的根密钥,生成公共密钥,然后通过随机密钥算法产生随机密钥,从而根据所述公共密钥将随机密钥加密传送给外部设备,实现在虚拟机和外部设备间交换随机密钥;进而,虚拟机可通过随机密钥加密虚拟机数据,并将加密的虚拟机数据传输给外部设备。需要说明的是,此种情况下产生的随机密钥无法重复使用,一般可用于需要一次性密钥的加密场景。
本发明实施例提供的方案中,安全处理器可至少根据虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥,生成虚拟机自身可用的虚拟机根密钥,使得虚拟机具有自身的虚拟机根密钥,进而可通过所述虚拟机根密钥生成虚拟机密钥,从而为通过虚拟机密钥加密从虚拟机内存向外部传输的虚拟机数据提供了可能。
在安全处理器生成虚拟机的虚拟机根密钥后,虚拟机可在将虚拟机内存的虚拟机数据传输给外部时,获取从虚拟机内存向外部传输的虚拟机数据,从而调用虚拟机根密钥,根据虚拟机根密钥加密所述虚拟机数据,进而将加密后的虚拟机数据从虚拟机内存传输到外部;本发明实施例提供的方案中,虚拟机可在将虚拟机内存的虚拟机数据传输给外部时,可根据虚拟机的虚拟机密钥,实现加密虚拟机内存向外部传输的虚拟机数据,提升了虚拟机内存向外部传输的虚拟机数据的安全性。
作为本发明实施例公开内容的一种可选实现,本发明实施例可在从虚拟机内存向本地外设传输虚拟机数据时,根据密钥派生算法,以虚拟机根密钥派生虚拟机密钥,从而以派生的虚拟机密钥对从虚拟机内存向本地外设的虚拟机数据进行加密;
可选的,图5示出了本发明实施例提供的加密方法的流程图,该加密方法可由虚拟机执行,参照图5,该方法可以包括:
步骤S20、获取从虚拟机内存向本地外设传输的虚拟机数据。
可选的,本地外设例如本地磁盘等;可能的场景例如,从虚拟机内存向磁盘保存虚拟机数据,又如将虚拟机内存的虚拟机数据保存到交换分区等,交换分区可以认为是磁盘中的虚拟内存。
步骤S21、调用虚拟机根密钥。
可选的,所述虚拟机根密钥可由安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成。
步骤S22、根据密钥派生算法,以所述虚拟机根密钥派生虚拟机密钥。
可选的,在虚拟机内存向本地外设传输虚拟机数据的情况下,本发明实施例可调用虚拟机根密钥,从而根据密钥派生算法(如KDF),以所述虚拟机根密钥派生用于加密的虚拟机密钥,从而该虚拟机密钥可以在主机或虚拟机重启后重新产生,使得主机或虚拟机重启后,再从本地外设恢复虚拟机数据到内存时,可以通过重新产生的虚拟机密钥进行虚拟机数据的解密。
步骤S23、以所述虚拟机密钥对所述虚拟机数据进行加密。
步骤S24、将加密后的虚拟机数据从虚拟机内存传输到本地外设。
作为本发明实施例公开内容的另一种可选实现,本发明实施例可在从虚拟机内存向外部设备在线传输虚拟机数据时,根据随机密钥算法,以虚拟机根密钥生成虚拟机密钥,从而以生成的虚拟机密钥对从虚拟机内存向外部设备在线传输的虚拟机数据进行加密;
可选的,图6示出了本发明实施例提供的加密方法的另一流程图,该加密方法可由虚拟机执行,参照图6,该方法可以包括:
步骤S30、获取从虚拟机内存向外部设备在线传输的虚拟机数据。
可选的,虚拟机所在主机与另一主机(外部设备的一种可选形式)在线传输虚拟机数据时,可以认为是从虚拟机内存向外部设备在线传输虚拟机数据的一种形式;例如用户1将虚拟机内存中的虚拟机数据,传输给用户2,用户1与用户2所属主机不同。
步骤S31、调用虚拟机根密钥。
可选的,所述虚拟机根密钥可由安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成。
步骤S32、根据虚拟机根密钥和外部设备的根密钥,生成公共密钥。
可选的,在从虚拟机内存向外部设备在线传输虚拟机数据的情况下,本发明实施例可调用虚拟机根密钥,从而根据虚拟机根密钥和外部设备的根密钥,生成公共密钥,实现虚拟机和外部设备的公共密钥约定。
步骤S33、根据所述公共密钥将所述随机密钥加密传送给外部设备。
可选的,通过步骤S33,虚拟机和外部设备间可实现交换随机密钥。
步骤S34、以所述随机密钥对所述虚拟机数据进行加密。
可选的,通过随机密钥算法产生的随机密钥可以是一次性密钥(即主机或虚拟机重启后,随机密钥无法重现),进而在从虚拟机内存向外部设备在线传输虚拟机数据的场景下,可以使用一次性的密钥,提升在线虚拟机数据的安全性。
步骤S35、将加密后的虚拟机数据从虚拟机内存传输到外部设备。
作为本发明实施例公开内容的一种可选实现,本发明实施例可由安全处理器至少根据虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥,派生虚拟机的虚拟机根密钥;从而在从虚拟机内存向外部传输虚拟机数据的情况下,虚拟机可根据不同的数据传输场景,根据虚拟机根密钥,实现对从虚拟机内存向外部传输的虚拟机数据进行机密,提升虚拟机内存向外部传输的虚拟机数据的安全性。
可选的,本发明实施例中,虚拟机也可先检测虚拟机数据传输场景,如果虚拟机数据传输场景是从虚拟机内存向本地外设传输虚拟机数据,则可执行图5加密方法流程,如果虚拟机数据传输场景是虚拟机内存向外部设备在线传输虚拟机数据,则可执行图6所示加密方法流程。
可选的,在实现交换分区功能时,虚拟机可利用本发明实施例生成的虚拟机密钥,对从虚拟机内存保存到交换分区的虚拟机数据进行加密。
可选的,进一步,在实现交换分区功能时,本发明实施例可通过哈希树对交换分区(虚拟内存)中的数据进行完整性保护;需要说明的是,虚拟机运行时,为了能够有效使用虚拟机的内存,可将内存的部分虚拟机数据交换到交换(Swap)分区中,从而更大限度的利用内存资源,这个功能称为交换分区功能(交换分区还涉及从交换分区恢复数据到内存),交换分区可以认为是磁盘中的虚拟内存;
在使用交换分区功能时,为防止交换分区的虚拟机数据被篡改,可以对交换分区的数据进行加密和/或完整性保护,以提高交换分区的安全性,实现具有数据完整性保护的交换分区;其中加解密使用的密钥可以本发明实施例根据虚拟机根密钥生成的虚拟机密钥,该虚拟机密钥可以根据密钥派生算法派生得到,从而实现永久密钥,该虚拟机密钥也可以根据随机密钥算法生成,从而实现临时密钥;使用永久密钥可以用来实现类似计算机冬眠的功能,使得虚拟机所有内存数据保存到交换分区以后,在主机重启以后还可以让虚拟机从上次进入冬眠时的状态恢复。虚拟机可以根据自己的安全级别和使用灵活性要求是否支持冬眠功能。
本发明实施例可通过哈希树对交换分区的数据进行完整性保护,在执行交换分区功能前,安全处理器或主虚拟机可验证交换分区存储的数据对应的哈希树的根节点数据,与安全处理器或主虚拟机存储的根节点的数据是否一致(可以是在主虚拟机或安全处理器对应的特定私有存储区域,存储根节点的数据);其中,哈希树的一个叶子节点的数据是虚拟机内存的一个内存页面交换到交换分区的数据的哈希值,非叶子节点的数据是该非叶子节点所对应的子节点的哈希值综合后的哈希值,哈希树的数据保存在交换分区,且哈希树的根节点的数据存储在主虚拟机或安全处理器;其中,所述主虚拟机为安全处理器配置的具有信任根的虚拟机;
若是,允许执行交换分区功能,并进行交换分区中哈希树的数据更新,以及进行安全处理器或主虚拟机存储的根节点的数据更新;
若否,禁止执行交换分区功能。
可选的,验证交换分区存储的数据对应的哈希树的根节点数据与主虚拟机或安全处理器存储的根节点的数据是否一致时,本发明实施例以执行交换分区功能对应的目标页面的目标叶子节点以及兄弟叶子节点的哈希值为基础,按照逐层渐进至根节点层的顺序,依序计算目标叶子节点在哈希树对应的各层祖先节点的哈希值,直至计算的根节点的哈希值与虚拟机管理器传送的根节点的哈希值一致;其中,任一次计算的祖先节点的哈希值与虚拟机管理器传送的哈希值不一致,则停止计算;进而,将计算的根节点的哈希值与主虚拟机或安全处理器存储的根节点的数据进行比对。
可选的,利用本发明实施例提供的虚拟机密钥,可对从安全内存向外部传输的虚拟机数据进行加密,安全内存可以是为安全虚拟机分配的虚拟机内存;结合图1至图3所示,本发明实施例中内存3包括安全内存(空间)和普通内存(空间),一般的,安全内存的安全性高于普通内存,例如,安全内存可以采用安全保护机制;
示例的,图7示出了物理内存可以包括安全内存和普通内存的示意图,作为一种可选实现,本发明实施例可将内存中的若干内存区域(该若干内存区域可以是内存的部分空间,也可以是内存的全部空间),标记为安全内存;例如,通过物理寄存器记录安全内存的内存区域的地址范围,实现通过硬件标记安全内存,并采用安全保护机制进行保护(如安全内存可使用加密,隔离等机制进行保护);内存中的非安全内存可称为普通内存,普通内存一般未采用安全保护机制进行保护;安全内存的安全性可高于普通内存;
作为一种可选示例,安全内存的大小可大于普通内存,当然,本发明实施例也可支持安全内存的大小可小于普通内存;需要说明的是,图7所示示例中,安全内存为内存的部分内存区域,本发明实施例也可支持安全内存为内存的全部内存区域;
可选的,使用安全保护机制的虚拟机可称为安全虚拟机,如使用安全内存的虚拟机可称为安全虚拟机,未使用安全保护机制的虚拟机可称为普通虚拟机,如使用普通内存的虚拟机可称为普通虚拟机,一般的,安全虚拟机的安全性可高于普通虚拟机。
作为一种可选实现,图8示出了安全内存和普通内存的内存访问示意架构,如图8所示,对于任一客户机而言,客户机OS(Operating System,操作系统)可运行于普通内存,也可运行于安全内存,客户机OS也可在普通内存和安全内存同时运行,其中,客户机在虚拟机上运行;
如果虚拟机的客户机OS运行于普通内存,此时虚拟机为普通虚拟机,普通虚拟机的内存由虚拟机管理器管理;如果虚拟机的客户机OS运行于安全内存,此时虚拟机为安全虚拟机,安全虚拟机的内存可由安全处理器或主虚拟机管理;以此方式可使得安全虚拟机的安全内存即使虚拟机管理器也无法访问,虚拟机管理器可运行于主机OS之上;即本发明实施例可通过隔离出安全虚拟机独占的安全内存,对不同虚拟机之间的内存访问进行隔离,使得即使主机也不能访问安全虚拟机处于被保护的安全内存中的虚拟机数据。
需要说明的是,如果改进安全虚拟化技术,将对虚拟机内存的管理由虚拟机管理器移交由安全处理器实现,虽然可以提升虚拟机内存的安全性,但安全处理器将成为性能瓶颈(安全处理器的性能一般弱于通用处理器);因此为对虚拟机进行内存管理时,兼顾安全性和性能,本发明实施例可设计一个特殊的虚拟机来管理其他虚拟机使用的内存,该特殊的虚拟机可称为主虚拟机,除主虚拟机外的其他虚拟机可称为从虚拟机。可选的,主虚拟机的代码可通过软件形式进行事先设定,安全处理器负责配置主虚拟机,并在配置主虚拟机的过程中,为主虚拟机授予对从虚拟机的内存管理权限,从而由主虚拟机实现对从虚拟机的内存管理工作。
在对安全虚拟机隔离出独占的安全内存后,对于安全虚拟机的安全内存的访问可由内存控制器执行实现,通过为安全虚拟机的安全内存配置访问权限(访问权限的配置可由安全处理器或主虚拟机实现),从而使得对于安全虚拟机的安全内存的访问请求(该访问请求可由主机或者虚拟机发出)仅在满足配置的安全内存的访问权限时,才允许执行访问请求。
可选的,在对安全虚拟机隔离出独占的安全内存后,为使得安全虚拟机与主机可以交换必要的信息,本发明实施例中普通内存可以包括由安全虚拟机和主机(如运行于主机的虚拟机管理器)共享的共享普通内存,如图9示出了安全内存和普通内存的另一内存访问示意架构,共享普通内存可由运行于安全内存的安全虚拟机和虚拟机管理器共同访问,以进行信息交互。
本发明实施例提供的方案可通过对不同虚拟机的内存数据进行隔离,为不同的虚拟机隔离出独占的安全内存,使得主机无法访问虚拟机的安全内存,避免了虚拟机的安全内存数据被主机篡改的威胁,可为虚拟机安全内存中的内存数据提供完整性保护,提升虚拟机数据的安全性。
利用本发明实施例提供的虚拟机密钥,可对安全内存向外部传输的虚拟机数据进行加密;当然,本发明实施例也可支持对普通内存向外部传输的虚拟机数据进行加密。
上文描述了本发明实施例提供的多个实施例方案,各实施例方案介绍的各可选方式可在不冲突的情况下相互结合、交叉引用,从而延伸出多种可能的实施例方案,这些均可认为是本发明实施例披露、公开的实施例方案。
下面对本发明实施例提供的加密装置进行介绍,下文描述的加密装置可以认为是虚拟机为实现本发明实施例提供的加密方法所需设置的功能模块。下文描述的加密装置的内容,可与上文描述的内容相互对应参照。
图10为本发明实施例提供的加密装置的框图,参照图10,该加密装置可以包括:
获取模块100,用于获取从虚拟机内存向外部传输的虚拟机数据;
根密钥调用模块110,用于调用虚拟机根密钥;所述虚拟机根密钥为安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成;
加密执行模块120,用于根据所述虚拟机根密钥,对所述虚拟机数据进行加密;
传输模块130,用于将加密后的虚拟机数据从虚拟机内存传输到外部。
可选的,图11示出了本发明实施例提供的加密装置的另一框图,结合图10和图11所示,该加密装置还可以包括:
检测模块140,用于检测虚拟机数据传输场景。
可选的,若检测模块140检测的虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据,则获取模块100,用于获取从虚拟机内存向外部传输的虚拟机数据,具体包括:
获取从虚拟机内存向本地外设传输的虚拟机数据。
相应的,加密执行模块120,用于根据所述虚拟机根密钥,对所述虚拟机数据进行加密,具体包括:
根据密钥派生算法,以所述虚拟机根密钥派生虚拟机密钥;
以所述虚拟机密钥加密所述虚拟机数据;
传输模块130,用于将加密后的虚拟机数据从虚拟机内存传输到外部,具体包括:
将加密后的虚拟机数据从虚拟机内存传输到本地外设。
可选的,若检测模块140检测的虚拟机数据传输场景为从虚拟机内存向外部设备在线传输虚拟机数据,则获取模块100,用于获取从虚拟机内存向外部传输的虚拟机数据,具体包括:
获取从虚拟机内存向外部设备在线传输的虚拟机数据。
相应的,加密执行模块120,用于根据所述虚拟机根密钥,对所述虚拟机数据进行加密,具体包括:
根据所述虚拟机根密钥和外部设备的根密钥,生成公共密钥;
根据所述公共密钥将随机密钥加密传送给外部设备,其中所述随机密钥根据随机密钥算法产生;
以所述随机密钥对所述虚拟机数据进行加密;
传输模块130,用于将加密后的虚拟机数据从虚拟机内存传输到外部,具体包括:
将加密后的虚拟机数据从虚拟机内存传输到外部设备。
可选的,所述虚拟机内存是为安全虚拟机分配的安全内存,所述安全内存采用安全保护机制保护。
可选的,所述虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据包括:所述虚拟机数据传输场景为将虚拟机内存的虚拟机数据保存到交换分区;
相应的,获取模块100,用于获取从虚拟机内存向本地外设传输的虚拟机数据,具体包括:
获取从虚拟机内存保存到交换分区的虚拟机数据;
传输模块130,用于将加密后的虚拟机数据从虚拟机内存传输到本地外设,具体包括:
将加密后的虚拟机数据从虚拟机内存保存到交换分区。
可选的,交换分区存储有交换到交换分区的数据对应的哈希树,哈希树的一个叶子节点的数据是虚拟机内存的一个内存页面交换到交换分区的数据的哈希值,非叶子节点的数据是该非叶子节点所对应的子节点的哈希值综合后的哈希值,哈希树的数据保存在交换分区,哈希树的根节点的数据存储在主虚拟机或安全处理器的私有存储区域;其中,所述主虚拟机为安全处理器配置的具有信任根的虚拟机。
本发明实施例还提供一种虚拟机,该虚拟机可以包括上述所述的加密装置。
本发明实施例还提供一种芯片,如SoC芯片,该芯片可以包括:安全处理器以及上述所述的虚拟机;所述安全处理器至少用于,在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成所述虚拟机的虚拟机根密钥。
本发明实施例还提供一种电子设备,该电子设备可以包括上述所述的芯片;该电子设备可以是终端设备,也可以是服务器设备。
虽然本发明实施例披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (11)
1.一种加密方法,其特征在于,包括:
获取从虚拟机内存向外部传输的虚拟机数据;
调用通过安全处理器生成的虚拟机根密钥;所述虚拟机根密钥为所述安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成;
根据所述虚拟机根密钥,对所述虚拟机数据进行加密;
将加密后的虚拟机数据从虚拟机内存传输到外部;
在获取从虚拟机内存向外部传输的虚拟机数据之前,检测虚拟机数据传输场景;若虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据,所述获取从虚拟机内存向外部传输的虚拟机数据包括:
获取从虚拟机内存向本地外设传输的虚拟机数据。
2.根据权利要求1所述的加密方法,其特征在于,所述根据所述虚拟机根密钥,对所述虚拟机数据进行加密包括:
根据密钥派生算法,以所述虚拟机根密钥派生虚拟机密钥;
以所述虚拟机密钥加密所述虚拟机数据;
所述将加密后的虚拟机数据从虚拟机内存传输到外部包括:
将加密后的虚拟机数据从虚拟机内存传输到本地外设。
3.根据权利要求1所述的加密方法,其特征在于,若虚拟机数据传输场景为从虚拟机内存向外部设备在线传输虚拟机数据,所述获取从虚拟机内存向外部传输的虚拟机数据包括:
获取从虚拟机内存向外部设备在线传输的虚拟机数据。
4.根据权利要求3所述的加密方法,其特征在于,所述根据所述虚拟机根密钥,对所述虚拟机数据进行加密包括:
根据所述虚拟机根密钥和外部设备的根密钥,生成公共密钥;
根据所述公共密钥将随机密钥加密传送给外部设备,其中所述随机密钥根据随机密钥算法产生;
以所述随机密钥对所述虚拟机数据进行加密;
所述将加密后的虚拟机数据从虚拟机内存传输到外部包括:
将加密后的虚拟机数据从虚拟机内存传输到外部设备。
5.根据权利要求1-4任一项所述的加密方法,其特征在于,所述虚拟机内存是为安全虚拟机分配的安全内存,所述安全内存采用安全保护机制保护。
6.根据权利要求2所述的加密方法,其特征在于,所述虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据包括:所述虚拟机数据传输场景为将虚拟机内存的虚拟机数据保存到交换分区;
所述获取从虚拟机内存向本地外设传输的虚拟机数据包括:
获取从虚拟机内存保存到交换分区的虚拟机数据;
所述将加密后的虚拟机数据从虚拟机内存传输到本地外设包括:
将加密后的虚拟机数据从虚拟机内存保存到交换分区。
7.根据权利要求6所述的加密方法,其特征在于,所述交换分区存储有交换到交换分区的数据对应的哈希树,哈希树的一个叶子节点的数据是虚拟机内存的一个内存页面交换到交换分区的数据的哈希值,非叶子节点的数据是该非叶子节点所对应的子节点的哈希值综合后的哈希值,哈希树的数据保存在交换分区,哈希树的根节点的数据存储在主虚拟机或安全处理器的私有存储区域;其中,所述主虚拟机为安全处理器配置的具有信任根的虚拟机。
8.一种加密装置,其特征在于,包括:
获取模块,用于获取从虚拟机内存向外部传输的虚拟机数据;
根密钥调用模块,用于调用通过安全处理器生成的虚拟机根密钥;所述虚拟机根密钥为所述安全处理器在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成;
加密执行模块,用于根据所述虚拟机根密钥,对所述虚拟机数据进行加密;
传输模块,用于将加密后的虚拟机数据从虚拟机内存传输到外部;
在所述获取模块获取从虚拟机内存向外部传输的虚拟机数据之前,检测虚拟机数据传输场景;若虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据,所述获取模块,用于获取从虚拟机内存向外部传输的虚拟机数据包括:
获取从虚拟机内存向本地外设传输的虚拟机数据。
9.一种虚拟机,其特征在于,包括权利要求8所述的加密装置。
10.一种芯片,其特征在于,包括安全处理器,以及权利要求9所述的虚拟机;所述安全处理器至少用于,在初始化虚拟机时,至少根据所述虚拟机的虚拟机初始状态信息,以及所述安全处理器的根密钥生成所述虚拟机的虚拟机根密钥。
11.一种电子设备,其特征在于,包括权利要求10所述的芯片。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2018114018390 | 2018-11-22 | ||
| CN201811401839 | 2018-11-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109858265A CN109858265A (zh) | 2019-06-07 |
| CN109858265B true CN109858265B (zh) | 2022-01-28 |
Family
ID=66861836
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910060494.5A Active CN109858265B (zh) | 2018-11-22 | 2019-01-22 | 一种加密方法、装置及相关设备 |
| CN201910059800.3A Active CN109828827B (zh) | 2018-11-22 | 2019-01-22 | 一种检测方法、装置及相关设备 |
| CN201910060502.6A Active CN109901911B (zh) | 2018-11-22 | 2019-01-22 | 一种信息设置方法、控制方法、装置及相关设备 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910059800.3A Active CN109828827B (zh) | 2018-11-22 | 2019-01-22 | 一种检测方法、装置及相关设备 |
| CN201910060502.6A Active CN109901911B (zh) | 2018-11-22 | 2019-01-22 | 一种信息设置方法、控制方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (3) | CN109858265B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110348204B (zh) * | 2019-06-17 | 2023-05-16 | 海光信息技术股份有限公司 | 一种代码保护系统、认证方法、装置、芯片及电子设备 |
| CN110380854A (zh) * | 2019-08-12 | 2019-10-25 | 南京芯驰半导体科技有限公司 | 针对多个系统的根密钥生成、隔离方法及根密钥模块 |
| CN111045605B (zh) * | 2019-12-12 | 2023-10-20 | 海光信息技术股份有限公司 | 利用处理器缓存和安全处理器改进系统安全性的技术方案 |
| CN111143900B (zh) * | 2019-12-24 | 2023-09-26 | 海光信息技术(苏州)有限公司 | 数据处理、访问控制方法、系统、器件、设备、存储介质 |
| US11604671B2 (en) | 2020-03-19 | 2023-03-14 | Red Hat, Inc. | Secure virtual machine and peripheral device communication |
| CN111984374B (zh) * | 2020-08-20 | 2021-07-23 | 海光信息技术股份有限公司 | 用于管理安全内存的方法及其系统、装置和存储介质 |
| CN111949376B (zh) * | 2020-08-24 | 2021-12-17 | 海光信息技术股份有限公司 | 虚拟机系统和用于虚拟机系统的方法 |
| CN111949995B (zh) * | 2020-08-25 | 2021-07-16 | 海光信息技术股份有限公司 | 安全管理硬件资源的主机cpu架构系统和方法 |
| CN112363797B (zh) * | 2020-10-19 | 2022-04-05 | 海光信息技术股份有限公司 | 一种虚拟机安全运行方法、电子设备及存储介质 |
| CN112363800B (zh) * | 2020-11-10 | 2023-03-07 | 海光信息技术股份有限公司 | 一种网卡的内存访问方法、安全处理器、网卡及电子设备 |
| CN112363801B (zh) * | 2020-11-10 | 2022-10-21 | 海光信息技术股份有限公司 | 虚拟机迁移方法、处理方法、系统、装置、芯片及介质 |
| CN112433817B (zh) * | 2020-11-27 | 2022-11-25 | 海光信息技术股份有限公司 | 信息配置方法、直接存储访问方法及相关装置 |
| CN112748984B (zh) * | 2020-12-28 | 2022-12-06 | 海光信息技术股份有限公司 | 虚拟机数据处理、控制方法、处理器、芯片、装置及介质 |
| CN112540833B (zh) * | 2020-12-28 | 2022-11-11 | 海光信息技术股份有限公司 | 进程运行方法、装置、处理器、存储介质及电子设备 |
| CN113342735B (zh) * | 2021-06-28 | 2024-04-16 | 海光信息技术股份有限公司 | 一种处理器芯片及电子设备 |
| CN113485785B (zh) * | 2021-06-28 | 2023-10-27 | 海光信息技术股份有限公司 | 一种虚拟化可信平台模块实现方法、安全处理器及存储介质 |
| CN114564724A (zh) * | 2021-12-30 | 2022-05-31 | 海光信息技术股份有限公司 | 虚拟机内存完整性保护方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2426852A1 (en) * | 2009-04-30 | 2012-03-07 | ZTE Corporation | Method and system for implementing secure forking calling session in ip multi-media subsystem |
| CN102752301A (zh) * | 2012-07-04 | 2012-10-24 | 深圳市京华科讯科技有限公司 | 应用于虚拟化环境的数据传输系统及方法 |
| CN105718794A (zh) * | 2016-01-27 | 2016-06-29 | 华为技术有限公司 | 基于vtpm对虚拟机进行安全保护的方法及系统 |
| CN108599930A (zh) * | 2018-04-02 | 2018-09-28 | 湖南国科微电子股份有限公司 | 固件加解密系统与方法 |
| CN108804203A (zh) * | 2018-06-15 | 2018-11-13 | 四川大学 | 基于标签的vTPM私密信息保护方法 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050204357A1 (en) * | 2004-03-15 | 2005-09-15 | Ajay Garg | Mechanism to protect extensible firmware interface runtime services utilizing virtualization technology |
| EP1811387A4 (en) * | 2004-08-25 | 2016-04-13 | Nec Corp | INFORMATION COMMUNICATION DEVICE AND PROGRAMMING ENVIRONMENTAL CONTROL METHOD |
| EP2876593B1 (en) * | 2013-11-21 | 2018-09-26 | Nxp B.V. | Method of generating a structure and corresponding structure |
| JP6324127B2 (ja) * | 2014-03-14 | 2018-05-16 | 三菱電機株式会社 | 情報処理装置、情報処理方法及びプログラム |
| FR3020160B1 (fr) * | 2014-04-16 | 2017-08-11 | Commissariat Energie Atomique | Systeme d'execution de code avec mecanisme d'hypervision en aveugle |
| US9454497B2 (en) * | 2014-08-15 | 2016-09-27 | Intel Corporation | Technologies for secure inter-virtual-machine shared memory communication |
| CN104572488B (zh) * | 2015-02-13 | 2017-11-17 | 西安酷派软件科技有限公司 | 内存管理方法、内存管理装置和终端 |
| CN106295267B (zh) * | 2015-06-09 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 一种访问电子设备的物理内存中私密数据的方法和装置 |
| CN106445628A (zh) * | 2015-08-11 | 2017-02-22 | 华为技术有限公司 | 一种虚拟化方法、装置和系统 |
| CN107038128B (zh) * | 2016-02-03 | 2020-07-28 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| US10536274B2 (en) * | 2016-03-31 | 2020-01-14 | Intel Corporation | Cryptographic protection for trusted operating systems |
| CN106293873B (zh) * | 2016-07-29 | 2019-11-05 | 北京北信源软件股份有限公司 | 一种准确获取虚拟机控制块(vmcs)中关键数据位置的方法 |
| US10303899B2 (en) * | 2016-08-11 | 2019-05-28 | Intel Corporation | Secure public cloud with protected guest-verified host control |
| CN106970823B (zh) * | 2017-02-24 | 2021-02-12 | 上海交通大学 | 高效的基于嵌套虚拟化的虚拟机安全保护方法及系统 |
| CN107341115B (zh) * | 2017-06-30 | 2021-07-16 | 联想(北京)有限公司 | 虚拟机内存访问方法、系统和电子设备 |
| CN107450962B (zh) * | 2017-07-03 | 2020-04-24 | 北京东土科技股份有限公司 | 一种虚拟化运行环境下的异常处理方法、装置及系统 |
| CN107368354B (zh) * | 2017-08-03 | 2021-02-02 | 海光信息技术股份有限公司 | 一种虚拟机安全隔离方法 |
| CN107562515B (zh) * | 2017-08-04 | 2021-09-07 | 海光信息技术股份有限公司 | 一种在虚拟化技术中管理内存的方法 |
-
2019
- 2019-01-22 CN CN201910060494.5A patent/CN109858265B/zh active Active
- 2019-01-22 CN CN201910059800.3A patent/CN109828827B/zh active Active
- 2019-01-22 CN CN201910060502.6A patent/CN109901911B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2426852A1 (en) * | 2009-04-30 | 2012-03-07 | ZTE Corporation | Method and system for implementing secure forking calling session in ip multi-media subsystem |
| CN102752301A (zh) * | 2012-07-04 | 2012-10-24 | 深圳市京华科讯科技有限公司 | 应用于虚拟化环境的数据传输系统及方法 |
| CN105718794A (zh) * | 2016-01-27 | 2016-06-29 | 华为技术有限公司 | 基于vtpm对虚拟机进行安全保护的方法及系统 |
| CN108599930A (zh) * | 2018-04-02 | 2018-09-28 | 湖南国科微电子股份有限公司 | 固件加解密系统与方法 |
| CN108804203A (zh) * | 2018-06-15 | 2018-11-13 | 四川大学 | 基于标签的vTPM私密信息保护方法 |
Non-Patent Citations (3)
| Title |
|---|
| Comprehensive VM Protection Against Untrusted Hypervisor Through Retrofitted AMD Memory Encryption;Yuming Wu et al;《IEEE》;20180329;第441-453页 * |
| 云计算访问控制技术研究综述;王于丁 等;《软件学报》;20150531;第26卷(第5期);第1129-1150页 * |
| 元数据安全存储技术;冯朝胜 等;《计算机学报》;20150131;第38卷(第1期);第150-163页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109828827B (zh) | 2023-10-27 |
| CN109858265A (zh) | 2019-06-07 |
| CN109901911B (zh) | 2023-07-07 |
| CN109901911A (zh) | 2019-06-18 |
| CN109828827A (zh) | 2019-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109858265B (zh) | 一种加密方法、装置及相关设备 | |
| US9698988B2 (en) | Management control method, apparatus, and system for virtual machine | |
| EP3540626B1 (en) | Enclave launch and authentication | |
| JP5670578B2 (ja) | 機密コードおよびデータを保護するためのアーキテクチャを含む方法および装置 | |
| JP5635539B2 (ja) | リモートプリブート認証 | |
| US8959350B2 (en) | Token for securing communication | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| KR20050085678A (ko) | 고정형 토큰 및 이동형 토큰 모두를 이용한 어테스테이션 | |
| CN111444553A (zh) | 支持tee扩展的安全存储实现方法及系统 | |
| US20220245255A1 (en) | Systems and methods for processor virtualization | |
| CN114296873B (zh) | 一种虚拟机镜像保护方法、相关器件、芯片及电子设备 | |
| CN110334531B (zh) | 虚拟机密钥的管理方法、主节点、系统、存储介质及装置 | |
| JP6951375B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN116868195A (zh) | 数据处理方法及系统 | |
| US9202056B2 (en) | Inter-processor attestation hardware | |
| CN112363800B (zh) | 一种网卡的内存访问方法、安全处理器、网卡及电子设备 | |
| CN113961939B (zh) | 嵌入式操作系统安全的防护方法和系统 | |
| Hao et al. | Trusted block as a service: Towards sensitive applications on the cloud | |
| Ren et al. | AccGuard: Secure and trusted computation on remote FPGA accelerators | |
| CN107609405B (zh) | 一种外部安全内存装置及系统级芯片soc | |
| WO2018092289A1 (ja) | 情報処理装置 | |
| US20240037217A1 (en) | Digital content management through on-die cryptography and remote attestation | |
| CN117375804B (zh) | 一种密钥派生方法、相关设备及存储介质 | |
| US20230267214A1 (en) | Virtual trusted platform module implementation method and related apparatus | |
| CN117910057A (zh) | 可信执行环境的运行方法、计算机架构系统、加密硬盘 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin Applicant after: Haiguang Information Technology Co., Ltd Address before: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin Applicant before: HAIGUANG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |