CN111683052A - 基于租户身份信息的可信虚拟机vTPM私密信息保护方法、系统 - Google Patents

Abstract

本发明公开了一种基于租户身份信息的可信虚拟机vTPM私密信息保护方法、系统，其中，方法包括：建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig，并为RSA_mig密钥生成相应的数字证书Certificate_mig；由云租户在本地主机上生成身份认证信息并保存；在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；获取identity_info身份认证信息、vTPM标签及tenant_info进行完整性、时效性、合法性和一致性检查；同样，在可信虚拟机运行阶段、迁移可信虚拟机时、在退出、销毁、挂起、快照阶段，进行对应字段的完整性、时效性、合法性和一致性检查。本发明能够对添加到基于KVM虚拟化技术的IaaS云平台中的基于libtpms软件模拟的vTPM，进行全生命周期的安全防护，防止其私密信息泄露。

Description

基于租户身份信息的可信虚拟机vTPM私密信息保护方法、 系统

技术领域

本发明涉及可信计算、及虚拟化安全技术领域，具体涉及一种基于租户身份信息的可信虚拟机vTPM私密信息保护方法、系统。

背景技术

随着云计算技术的不断发展，云平台的安全性也受到了业界的广泛关注。可信计算技术可以为云平台提供虚拟机完整性的验证机制，从而增强其安全性和可信性。虚拟可信平台模块vTPM(vTPM，virtual Trusted Platform Module)是可信计算技术虚拟化的核心部件，是对硬件可信平台模块(TPM，Trusted Platform Module)功能的软件模拟，其中包含背书密钥、访问口令等非易失性私密信息的模拟。vTPM的这些非易失性私密信息称之为vTPM的私密信息，这些私密信息可能被窃取或滥用。

IaaS(IaaS，Infrastructure as a Service)基础设施即服务云平台基于KVM(KVM，Kernel-based Virtual Machine)虚拟化技术；IaaS是把IT基础设施作为一种服务通过网络向外提供，并根据用户对资源的实际使用量或占用量进行计费的一种云计算服务模式，其核心是虚拟机VM(VM，Vritual Machine)。根据云平台虚拟机的运行特点，可以将虚拟机的生命周期过程划分为6个主要阶段：创建、存储、部署、运行、退出和销毁，和3个辅助阶段：挂起、快照和迁移。

IaaS云平台中的vTPM实现方式主要有三类：TPM passthrough直通方式、基于libtpms的软件模拟方式和用户空间字符设备(CUSE TPM，Character Device inUserspace Trusted Platform Module)模拟方式，其中后两者属于全虚拟化可信平台模块的软件模拟实现方式。TPM passthrough直通方式允许虚拟机直接调用硬件TPM，同一时刻只允许一台虚拟机使用TPM。基于libtpms的软件模拟方式，通过在QEMU的进程地址空间中加载libtpms库模拟硬件TPM的功能，可为每台虚拟机都分配一个独立的vTPM设备，其和硬件TPM完全无关。用户空间字符设备模拟方式，是从基于libtpms的软件模拟方式发展而来，通过在宿主机使用libtpms库模拟硬件TPM，实现vTPM字符设备实例，然后QEMU虚拟机通过TPM字符设备驱动访问归属它的vTPM实例的调用接口，此方式与硬件TPM无关。

在将基于libtpms软件模拟方式实现的vTPM添加到基于KVM虚拟化的IaaS云平台时，vTPM的生命周期从属与虚拟机的生命周期，需要对vTPM的整个生命周期进行安全防护，防止vTPM私密信息的泄露。

发明内容

本发明所要解决的技术问题是提供一种基于租户身份信息的可信虚拟机vTPM私密信息保护方法、系统，对添加到基于KVM虚拟化技术的IaaS云平台中的基于libtpms软件模拟的vTPM，进行全生命周期的安全防护，防止其私密信息泄露。

为解决上述技术问题，本发明采用的技术方案是：

一种基于租户身份信息的可信虚拟机vTPM私密信息保护方法，包括以下步骤：

步骤1：在启动可信虚拟机时，向云租户请求身份认证信息，从虚拟机的镜像文件中提取vTPM标签，结合宿主机从云平台获取的tenant_info，检查其中对应字段；当这些条件均满足时，利用硬件TPM解密vTPM标签的加密信息字段，正常启动虚拟机；

步骤2：在可信虚拟机运行阶段，QEMU将vTPM的私密信息实时同步到vTPM实例文件中；通过截获QEMU对vTPM实例文件的读写操作，依靠得到的解密vTPM标签的加密信息字段得到的Key，在写入前进行加密操作，在读取后解密并验证哈希值，并验证vTPM私密信息；

步骤3：在迁移可信虚拟机时，需分别从源平台和目的平台向云租户、云平台请求身份认证信息和tenant_info，从虚拟机的镜像文件中提取vTPM标签，检查其中对应字段；在通过验证后，执行迁移可信虚拟机操作，否则，终止迁移过程。

进一步地，在启动可信虚拟机之前，还包括：

在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息；

在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中。

进一步地，还包括步骤4：

在退出、销毁、挂起、快照阶段，请求云租户发送identity_info，从虚拟机的镜像文件中提取vTPM标签，同时结合宿主机从云平台获取的tenant_info，检查其中对应字段的完整性、时效性、合法性和一致性，在通过验证后，执行相应的退出、销毁、挂起、快照操作。

进一步地，所述在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息具体为：

步骤1)：租户和云平台协商生成用户的注册信息，包含用户名、用户自定义的特殊字符串；用户按协商的格式填充后做哈希运算，在本地将哈希值保存为user_info，并通过和云平台的安全通信通道将哈希值上传到云平台，保存为tenant_info；

步骤2)：云租户在本地主机上生成属于用户自己的非对称密钥对RSA_u和RSA_u_pub，并通过第三方证书颁发机构CA为RSA_u_pub生成数字证书Certificate_u；

步骤3)：云租户利用本地主机上的硬件TPM2.0设备，生成不可迁移密钥对RSA_t和RSA_t_pub，并通过第三方证书颁发机构CA为RSA_t_pub生成数字证书Certificate_t；

步骤4)：使用私钥RSA_u和RSA_t先后对user_info加密，生成user_info_tmp；

步骤5)：每次云平台需要验证用户身份认证信息时，由云平台发起请求，请求附带由宿主机硬件TPM2.0产生的随机数Nonce和Certificate_mig，向云租户获取identity_info；

步骤6)：云租户获得请求后，验证Certificate_mig的真实性，若证书合法，则提取其中的公钥RSA_mig，将user_info_tmp和Nonce连接，并用RSA_mig加密，生成user_info_encrypted；否则，忽略请求并报警；

步骤7)：云租户在本地生成身份认证信息identity_info并提交云平台做验证；identity_info包含：时间戳字段stamp_i_encrypted、证书Certificate_t、证书Certificate_u、用户注册信息字段user_info_encrypted和加密算法字段alg_i，其中，时间戳字段stamp_i_encrypted经由RSA_u和RSA_t先后加密后填充。

进一步地，所述在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中具体为：

步骤1)：对启动虚拟机的进程QEMU的代码段进行度量，生成度量值HASH(QEMU.code)，对当前虚拟机的UUID进行度量，生成度量值HASH(UUID)；

步骤2)：创建vTPM标签；初始化状态字段为本地状态；初始化有效期字段为自定义时间段time；从物理可信平台模块中获得一个随机数，物理可信平台模块使用密钥RSA_local来对该随机数进行加密，然后将密文赋值给加密信息字段；初始化UUID哈希值字段为HASH(UUID)；初始化QEMU度量值字段为HASH(QEMU.code)；初始化签名算法字段为密钥RSA_local的签名算法；物理可信平台模块使用密钥RSA_local对标签的以上信息做签名运算，生成签名值赋值给签名值字段；

步骤3)：宿主机通过云平台向云租户请求identity_info数据结构，验证证书Certificate_u和Certificate_t的合法性；

步骤4)：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内，t_gap由云平台自定义；

步骤5)：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，验证两者一致性，通过则生成最后的vTPM标签，否则终止创建过程；

步骤6)：生成虚拟机QCOW2格式镜像文件的一个头部扩展{类型,长度,数据}，其中，类型为该头部扩展的唯一标识，数据用来存储vTPM标签，长度为vTPM标签的长度，然后将该头部扩展写入到虚拟机的镜像文件中。

进一步地，所述步骤1具体为：

步骤1.1：启动可信虚拟机时，从虚拟机的镜像文件中提取vTPM标签，检查vTPM标签的完整性和有效性、启动虚拟机的进程的代码段度量值和vTPM标签中记录的一致性、虚拟机的UUID和vTPM标签中记录的一致性；

步骤1.2：宿主机通过云平台向云租户请求identity_info，验证证书Certificate_u和Certificate_t的合法性；

步骤1.3：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内，t_gap由云平台自定义，且大于从vTPM标签中提取的identity_info的旧的时间戳所示时间；

步骤1.4：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，同时提取vTPM标签中identity_info中旧的user_info，验证三者一致性；

步骤1.5：以上验证均通过后，更新vTPM标签中的identity_info云租户身份认证信息字段并启动虚拟机，否则，终止启动过程。

进一步地，所述步骤3具体为：

步骤3.1：重复步骤1.2、步骤1.3、步骤1.4的验证过程，仅当验证通过时，更新identity_info并开始执行迁移操作，否则终止；

步骤3.2：目的平台启动空壳虚拟机和空壳vTPM，然后暂停虚拟机运行，等待源端虚拟机的迁入，此时记录当前时间为t_start；

步骤3.3：源平台向目的平台发起迁移请求，双方初始化迁移，建立连接；

步骤3.4：源平台更新vTPM标签中的加密信息字段，保证每次迁移过程中，加密使用的KEY都是不同的；

步骤3.5：源平台更新vTPM标签中的有效期字段为当前时间；

步骤3.6：源平台使用RSA_local的私钥解密vTPM标签的加密信息字段，得到Key；

步骤3.7：源平台向目的平台请求的数字证书Certificate_mig，并通过证书颁发结构验证数字证书的真实性，提取对应目的平台RSA_mig密钥的公钥；

步骤3.8：源平台利用源平台RSA_mig密钥的私钥和目的平台RSA_mig密钥的公钥转换vTPM标签为迁移状态；

步骤3.9：源平台利用脏页重传的机制，开始传输虚拟机的内存、镜像文件以及vTPM实例文件；

步骤3.10：源平台向目的平台传输vTPM标签；

步骤3.11：目的平台检查vTPM标签的有效期字段time是否符合“t_start<＝vTPM标签的有效期字段的开始时间time.start<＝当前时间t_current”；

步骤3.12：在目的平台的宿主机向云租户请求identity_info，验证证书Certificate_u和Certificate_t的合法性；

步骤3.13：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内，t_gap由云平台自定义，且大于从源平台接收到的vTPM标签中提取的identity_info的旧的时间戳所示时间；

步骤3.14：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，同时提取来自源平台vTPM标签中identity_info中旧的user_info，验证三者一致性；

步骤3.15：当上述3个步骤验证通过后，继续执行迁移并更新identity_info，否则回滚并向云平台告警；

步骤3.16：目的平台向源平台请求公钥的数字证书Certificate_mig，通过证书颁发机构验证证书真实性，并提取对应源平台RSA_mig的公钥；

步骤3.17：目的平台利用源平台RSA_mig的公钥和目的平台RSA_mig密钥的私钥转换vTPM标签为本地状态；

步骤3.18：目的平台使用RSA_local的私钥解密vTPM标签的加密信息字段，得到Key；

步骤3.19：源平台暂停虚拟机运行，并开始传输虚拟机的设备状态；

步骤3.20：源平台收集vTPM的设备状态vTPM_status，计算vTPM的设备状态的哈希值，然后将vTPM_status||HASH(vTPM_status)打包成package，使用Key对package进行加密；

步骤3.21：源平台传输加密后的package；

步骤3.22：目的平台使用Key值解密package，得到vTPM的设备状态，然后校验vTPM的设备状态的哈希值；

步骤3.23：目的平台重新加载vTPM实例文件，同步源平台虚拟机暂停前对vTPM私密信息的所有修改；

步骤3.24：目的平台加载vTPM的设备状态；

步骤3.25：迁移结束，源平台销毁虚拟机，目的平台运行虚拟机。

进一步地，在执行由云租户在本地主机上生成身份认证信息之前，还包括系统部署前的初始化工作；在每一台宿主机上建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig，并通过证书颁发机构为RSA_mig密钥生成相应的数字证书Certificate_mig。

一种基于租户身份信息的可信虚拟机vTPM私密信息保护系统，包括以下模块：

身份认证信息生成模块：在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息；

vTPM标签创建模块：在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中；

vTPM标签检查及虚拟机启动模块：在启动可信虚拟机时，向云租户请求identity_info身份认证信息，从虚拟机的镜像文件中提取vTPM标签，结合宿主机从云平台获取的tenant_info，检查其中对应字段；当这些条件均满足时，利用硬件TPM解密vTPM标签的加密信息字段，正常启动虚拟机；

vTPM私密信息机密性保护和完整性验证模块：在可信虚拟机运行阶段，QEMU将vTPM的私密信息实时同步到vTPM实例文件中；通过截获QEMU对vTPM实例文件的读写操作，依靠得到的解密vTPM标签的加密信息字段得到的Key，在写入前进行加密操作，在读取后解密并验证哈希值，并验证vTPM私密信息；

镜像文件中提取的vTPM标签检查模块：在迁移可信虚拟机时，需分别从源平台和目的平台向云租户、云平台请求identity_info和tenant_info，从虚拟机的镜像文件中提取vTPM标签，检查其中对应字段；在通过验证后，执行迁移可信虚拟机操作，否则，终止迁移过程。

与现有技术相比，本发明的有益效果是：

1)建立云租户、云租户所使用的登录设备和其所拥有可信虚拟机的vTPM、vTPM所在宿主机的硬件TPM之间的关联关系；

2)通过在vTPM的生命周期中验证对可信虚拟机动作的发起者，防止了从云平台发起的对可信虚拟机的恶意操作；

3)通过在vTPM的生命周期中验证对可信虚拟机动作的发起者，防止了来自云租户登录设备的非法用户的恶意操作。

附图说明

图1是用户身份认证信息identity_info。

图2是扩展后的vTPM标签。

具体实施方式

下面通过附图和具体实施方式对本发明作进一步详细的说明，具体如下：

步骤1：系统部署前的初始化工作；在每一台宿主机上建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig，并通过证书颁发机构为RSA_mig密钥生成相应的数字证书Certificate_mig。

步骤2：在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息，保存为数据结构identity_info。步骤2具体为：

步骤2.1：租户和云平台协商生成用户的注册信息，可包含用户名、用户自定义的特殊字符串等字段。用户按协商的格式填充后，做哈希运算后，在本地将哈希值保存为user_info，并通过和云平台的安全通信通道将哈希值上传到云平台，保存为tenant_info；

步骤2.2：云租户在本地主机上利用软件等方式生成属于用户自己的非对称密钥对RSA_u和RSA_u_pub，并通过第三方证书颁发机构CA为RSA_u_pub生成数字证书Certificate_u；

步骤2.3：云租户利用本地主机上的硬件TPM2.0设备，生成不可迁移密钥对RSA_t和RSA_t_pub，并通过第三方证书颁发机构CA为RSA_t_pub生成数字证书Certificate_t；

步骤2.4：使用私钥RSA_u和RSA_t先后对user_info加密，生成user_info_tmp；

步骤2.5：每次云平台需要验证用户身份认证信息时，由云平台发起请求，请求附带由宿主机硬件TPM2.0产生的随机数Nonce和Certificate_mig，向云租户获取identity_info；

步骤2.6：云租户获得请求后，验证Certificate_mig的真实性，若证书合法，则提取其中的公钥RSA_mig，将user_info_tmp和Nonce连接，并用RSA_mig加密，生成user_info_encrypted；否则，忽略请求并报警；

步骤2.7：云租户在本地生成身份认证信息identity_info并提交云平台做验证。如图1所示，identity_info包含：时间戳字段stamp_i_encrypted、证书Certificate_t、证书Certificate_u、用户注册信息字段user_info_encrypted和加密算法字段alg_i，其中时间戳字段stamp_i_encrypted经由RSA_u和RSA_t先后加密后填充。

步骤3：在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签，如图2所示，包含：状态字段、有效期字段、加密信息字段、UUID哈希值字段、QEMU度量值字段、签名算法字段、签名值字段以及identity_info云租户身份认证信息字段；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中。步骤3具体为：

步骤3.1：对启动虚拟机的进程QEMU的代码段进行度量，生成度量值HASH(QEMU.code)，对当前虚拟机的UUID进行度量，生成度量值HASH(UUID)；

步骤3.2：创建vTPM标签；初始化状态字段为本地状态；初始化有效期字段为自定义时间段time；从物理可信平台模块中获得一个随机数，物理可信平台模块使用密钥RSA_local来对该随机数进行加密，然后将密文赋值给加密信息字段；初始化UUID哈希值字段为HASH(UUID)；初始化QEMU度量值字段为HASH(QEMU.code)；初始化签名算法字段为密钥RSA_local的签名算法；物理可信平台模块使用密钥RSA_local对标签的以上信息做签名运算，生成签名值赋值给签名值字段；

步骤3.3：宿主机通过云平台向云租户请求identity_info数据结构，验证证书Certificate_u和Certificate_t的合法性；

步骤3.4：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内(t_gap由云平台自定义)；

步骤3.5：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，验证两者一致性，通过则生成最后的vTPM标签，否则终止创建过程；

步骤3.6：生成虚拟机QCOW2格式镜像文件的一个头部扩展{类型,长度,数据}，其中，类型为该头部扩展的唯一标识，数据用来存储vTPM标签，长度为vTPM标签的长度，然后将该头部扩展写入到虚拟机的镜像文件中。

步骤4：在启动可信虚拟机时，向云租户请求identity_info身份认证信息，从虚拟机的镜像文件中提取vTPM标签，同时结合宿主机从云平台获取的tenant_info，检查其中对应字段的完整性、时效性、合法性和一致性。仅当这些条件均满足时，才可利用硬件TPM解密vTPM标签的加密信息字段，正常启动虚拟机，否则终止启动虚拟机。步骤4具体为：

步骤4.1：启动可信虚拟机时，从虚拟机的镜像文件中提取vTPM标签，检查vTPM标签的完整性和有效性、启动虚拟机的进程的代码段度量值和vTPM标签中记录的一致性、虚拟机的UUID和vTPM标签中记录的一致性；

步骤4.2：宿主机通过云平台向云租户请求identity_info，验证证书Certificate_u和Certificate_t的合法性；

步骤4.3：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内(t_gap由云平台自定义)，且大于从vTPM标签中提取的identity_info的旧的时间戳所示时间；

步骤4.4：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，同时提取vTPM标签中identity_info中旧的user_info，验证三者一致性；

步骤4.5：以上验证均通过后，更新vTPM标签中的identity_info云租户身份认证信息字段并启动虚拟机，否则，终止启动过程。

步骤5：在可信虚拟机运行阶段，QEMU将vTPM的私密信息实时同步到vTPM实例文件中。通过截获QEMU对vTPM实例文件的读写操作，依靠步骤3中得到的解密vTPM标签的加密信息字段得到的Key，在写入前进行加密操作，在读取后解密并验证哈希值的一致性，实时地对vTPM私密信息进行机密性保护和完整性验证。

步骤6：在迁移可信虚拟机时，需分别从源平台和目的平台向云租户、云平台请求identity_info和tenant_info，从虚拟机的镜像文件中提取vTPM标签，检查其中对应字段的完整性、时效性、合法性和一致性。在通过验证后，才可执行迁移可信虚拟机操作，否则，终止迁移过程。步骤6具体为：

步骤6.1：重复4.2、4.3、4.4的验证过程，仅当验证通过时，更新identity_info并开始执行迁移操作，否则终止；

步骤6.2：目的平台启动空壳虚拟机和空壳vTPM，然后暂停虚拟机运行，等待源端虚拟机的迁入，此时记录当前时间为t_start；

步骤6.3：源平台向目的平台发起迁移请求，双方初始化迁移，建立连接；

步骤6.4：源平台更新vTPM标签中的加密信息字段，保证每次迁移过程中，加密使用的KEY都是不同的，防止旧的vTPM私密信息或者vTPM易失性信息的重放；

步骤6.5：源平台更新vTPM标签中的有效期字段为当前时间，这样在目的平台对vTPM标签的有效期进行检查，防止旧的vTPM标签的重放；

步骤6.6：源平台使用RSA_local的私钥解密vTPM标签的加密信息字段，得到Key；

步骤6.7：源平台向目的平台请求的数字证书Certificate_mig，并通过证书颁发结构验证数字证书的真实性，提取对应目的平台RSA_mig密钥的公钥；

步骤6.8：源平台利用源平台RSA_mig密钥的私钥和目的平台RSA_mig密钥的公钥转换vTPM标签为迁移状态；

步骤6.9：源平台利用脏页重传的机制，开始传输虚拟机的内存、镜像文件以及vTPM实例文件，此时vTPM实例文件中的信息处于加密状态；

步骤6.10：源平台向目的平台传输vTPM标签；

步骤6.11：目的平台检查vTPM标签的有效期字段time是否符合“t_start<＝vTPM标签的有效期字段的开始时间time.start<＝当前时间t_current”，防止旧的vTPM标签的重放；

步骤6.12：在目的平台的宿主机向云租户请求identity_info，验证证书Certificate_u和Certificate_t的合法性；

步骤6.13：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内(t_gap由云平台自定义)，且大于从源平台接收到的vTPM标签中提取的identity_info的旧的时间戳所示时间；

步骤6.14：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，同时提取来自源平台vTPM标签中identity_info中旧的user_info，验证三者一致性；

步骤6.15：仅当上述3个步骤验证通过，继续执行迁移并更新identity_info，否则回滚并向云平台告警；

步骤6.16：目的平台向源平台请求公钥的数字证书Certificate_mig，通过证书颁发机构验证证书真实性，并提取对应源平台RSA_mig的公钥；

步骤6.17：目的平台利用源平台RSA_mig的公钥和目的平台RSA_mig密钥的私钥转换vTPM标签为本地状态；

步骤6.18：目的平台使用RSA_local的私钥解密vTPM标签的加密信息字段，得到Key；

步骤6.19：源平台暂停虚拟机运行，并开始传输虚拟机的设备状态；

步骤6.20：源平台收集vTPM的设备状态(即易失性信息)vTPM_status，计算vTPM的设备状态的哈希值，然后将vTPM_status||HASH(vTPM_status)打包成package，使用Key对package进行加密；

步骤6.21：源平台传输加密后的package；

步骤6.22：目的平台使用Key值解密package，得到vTPM的设备状态，然后校验vTPM的设备状态的哈希值；

步骤6.23：目的平台重新加载vTPM实例文件，同步源平台虚拟机暂停前对vTPM私密信息的所有修改；

步骤6.24：目的平台加载vTPM的设备状态；

步骤6.25：迁移结束，源平台销毁虚拟机，目的平台运行虚拟机。

步骤7：在退出、销毁、挂起、快照阶段，请求云租户发送identity_info，从虚拟机的镜像文件中提取vTPM标签，同时结合宿主机从云平台获取的tenant_info，检查其中对应字段的完整性、时效性、合法性和一致性，才能执行对应操作。

本发明同时提供一种基于租户身份信息的可信虚拟机vTPM私密信息保护系统，包括以下模块：

身份认证信息生成模块：在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息，保存为数据结构identity_info；

vTPM标签创建模块：在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签，包含：状态字段、有效期字段、加密信息字段、UUID哈希值字段、QEMU度量值字段、签名算法字段、签名值字段以及identity_info云租户身份认证信息字段；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中；

vTPM标签检查及虚拟机启动模块：在启动可信虚拟机时，向云租户请求identity_info身份认证信息，从虚拟机的镜像文件中提取vTPM标签，同时结合宿主机从云平台获取的tenant_info，检查其中对应字段的完整性、时效性、合法性和一致性；当这些条件均满足时，利用硬件TPM解密vTPM标签的加密信息字段，正常启动虚拟机，否则终止启动虚拟机；

vTPM私密信息机密性保护和完整性验证模块：在可信虚拟机运行阶段，QEMU将vTPM的私密信息实时同步到vTPM实例文件中；通过截获QEMU对vTPM实例文件的读写操作，依靠步骤2中得到的解密vTPM标签的加密信息字段得到的Key，在写入前进行加密操作，在读取后解密并验证哈希值的一致性，实时地对vTPM私密信息进行机密性保护和完整性验证；

镜像文件中提取的vTPM标签检查模块：在迁移可信虚拟机时，需分别从源平台和目的平台向云租户、云平台请求identity_info和tenant_info，从虚拟机的镜像文件中提取vTPM标签，检查其中对应字段的完整性、时效性、合法性和一致性；在通过验证后，执行迁移可信虚拟机操作，否则，终止迁移过程；

退出、销毁、挂起、快照操作执行模块：在退出、销毁、挂起、快照阶段，请求云租户发送identity_info，从虚拟机的镜像文件中提取vTPM标签，同时结合宿主机从云平台获取的tenant_info，检查其中对应字段的完整性、时效性、合法性和一致性，在通过验证后，执行相应的退出、销毁、挂起、快照操作。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims (9)

1.一种基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，包括以下步骤：

步骤1：在启动可信虚拟机时，向云租户请求身份认证信息，从虚拟机的镜像文件中提取vTPM标签，结合宿主机从云平台获取的tenant_info，检查其中对应字段；当这些条件均满足时，利用硬件TPM解密vTPM标签的加密信息字段，正常启动虚拟机；

步骤2：在可信虚拟机运行阶段，QEMU将vTPM的私密信息实时同步到vTPM实例文件中；通过截获QEMU对vTPM实例文件的读写操作，依靠得到的解密vTPM标签的加密信息字段得到的Key，在写入前进行加密操作，在读取后解密并验证哈希值，并验证vTPM私密信息；

步骤3：在迁移可信虚拟机时，需分别从源平台和目的平台向云租户、云平台请求身份认证信息和tenant_info，从虚拟机的镜像文件中提取vTPM标签，检查其中对应字段；在通过验证后，执行迁移可信虚拟机操作，否则，终止迁移过程。

2.根据权利要求1所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，在启动可信虚拟机之前，还包括：

在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息；

在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中。

3.根据权利要求1所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，还包括步骤4：

在退出、销毁、挂起、快照阶段，请求云租户发送identity_info，从虚拟机的镜像文件中提取vTPM标签，同时结合宿主机从云平台获取的tenant_info，检查其中对应字段的完整性、时效性、合法性和一致性，在通过验证后，执行相应的退出、销毁、挂起、快照操作。

4.根据权利要求2所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，所述在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息具体为：

步骤1)：租户和云平台协商生成用户的注册信息，包含用户名、用户自定义的特殊字符串；用户按协商的格式填充后做哈希运算，在本地将哈希值保存为user_info，并通过和云平台的安全通信通道将哈希值上传到云平台，保存为tenant_info；

步骤2)：云租户在本地主机上生成属于用户自己的非对称密钥对RSA_u和RSA_u_pub，并通过第三方证书颁发机构CA为RSA_u_pub生成数字证书Certificate_u；

步骤3)：云租户利用本地主机上的硬件TPM2.0设备，生成不可迁移密钥对RSA_t和RSA_t_pub，并通过第三方证书颁发机构CA为RSA_t_pub生成数字证书Certificate_t；

步骤4)：使用私钥RSA_u和RSA_t先后对user_info加密，生成user_info_tmp；

步骤5)：每次云平台需要验证用户身份认证信息时，由云平台发起请求，请求附带由宿主机硬件TPM2.0产生的随机数Nonce和Certificate_mig，向云租户获取identity_info；

步骤6)：云租户获得请求后，验证Certificate_mig的真实性，若证书合法，则提取其中的公钥RSA_mig，将user_info_tmp和Nonce连接，并用RSA_mig加密，生成user_info_encrypted；否则，忽略请求并报警；

步骤7)：云租户在本地生成身份认证信息identity_info并提交云平台做验证；identity_info包含：时间戳字段stamp_i_encrypted、证书Certificate_t、证书Certificate_u、用户注册信息字段user_info_encrypted和加密算法字段alg_i，其中，时间戳字段stamp_i_encrypted经由RSA_u和RSA_t先后加密后填充。

5.根据权利要求2所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，所述在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中具体为：

步骤1)：对启动虚拟机的进程QEMU的代码段进行度量，生成度量值HASH(QEMU.code)，对当前虚拟机的UUID进行度量，生成度量值HASH(UUID)；

步骤2)：创建vTPM标签；初始化状态字段为本地状态；初始化有效期字段为自定义时间段time；从物理可信平台模块中获得一个随机数，物理可信平台模块使用密钥RSA_local来对该随机数进行加密，然后将密文赋值给加密信息字段；初始化UUID哈希值字段为HASH(UUID)；初始化QEMU度量值字段为HASH(QEMU.code)；初始化签名算法字段为密钥RSA_local的签名算法；物理可信平台模块使用密钥RSA_local对标签的以上信息做签名运算，生成签名值赋值给签名值字段；

步骤3)：宿主机通过云平台向云租户请求identity_info数据结构，验证证书Certificate_u和Certificate_t的合法性；

步骤4)：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内，t_gap由云平台自定义；

步骤5)：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，验证两者一致性，通过则生成最后的vTPM标签，否则终止创建过程；

步骤6)：生成虚拟机QCOW2格式镜像文件的一个头部扩展{类型,长度,数据}，其中，类型为该头部扩展的唯一标识，数据用来存储vTPM标签，长度为vTPM标签的长度，然后将该头部扩展写入到虚拟机的镜像文件中。

6.根据权利要求5所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，所述步骤1具体为：

步骤1.1：启动可信虚拟机时，从虚拟机的镜像文件中提取vTPM标签，检查vTPM标签的完整性和有效性、启动虚拟机的进程的代码段度量值和vTPM标签中记录的一致性、虚拟机的UUID和vTPM标签中记录的一致性；

步骤1.2：宿主机通过云平台向云租户请求identity_info，验证证书Certificate_u和Certificate_t的合法性；

步骤1.3：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内，t_gap由云平台自定义，且大于从vTPM标签中提取的identity_info的旧的时间戳所示时间；

步骤1.4：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，同时提取vTPM标签中identity_info中旧的user_info，验证三者一致性；

步骤1.5：以上验证均通过后，更新vTPM标签中的identity_info云租户身份认证信息字段并启动虚拟机，否则，终止启动过程。

7.根据权利要求6所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，所述步骤3具体为：

步骤3.1：重复步骤1.2、步骤1.3、步骤1.4的验证过程，仅当验证通过时，更新identity_info并开始执行迁移操作，否则终止；

步骤3.2：目的平台启动空壳虚拟机和空壳vTPM，然后暂停虚拟机运行，等待源端虚拟机的迁入，此时记录当前时间为t_start；

步骤3.3：源平台向目的平台发起迁移请求，双方初始化迁移，建立连接；

步骤3.4：源平台更新vTPM标签中的加密信息字段，保证每次迁移过程中，加密使用的KEY都是不同的；

步骤3.5：源平台更新vTPM标签中的有效期字段为当前时间；

步骤3.6：源平台使用RSA_local的私钥解密vTPM标签的加密信息字段，得到Key；

步骤3.7：源平台向目的平台请求的数字证书Certificate_mig，并通过证书颁发结构验证数字证书的真实性，提取对应目的平台RSA_mig密钥的公钥；

步骤3.8：源平台利用源平台RSA_mig密钥的私钥和目的平台RSA_mig密钥的公钥转换vTPM标签为迁移状态；

步骤3.9：源平台利用脏页重传的机制，开始传输虚拟机的内存、镜像文件以及vTPM实例文件；

步骤3.10：源平台向目的平台传输vTPM标签；

步骤3.11：目的平台检查vTPM标签的有效期字段time是否符合“t_start<＝vTPM标签的有效期字段的开始时间time.start<＝当前时间t_current”；

步骤3.12：在目的平台的宿主机向云租户请求identity_info，验证证书Certificate_u和Certificate_t的合法性；

步骤3.13：从证书中提取公钥RSA_u_pub和RSA_t_pub，解密stamp_i_encrypted，验证时间戳所示时间在系统当前时间往前t_gap分钟以内，t_gap由云平台自定义，且大于从源平台接收到的vTPM标签中提取的identity_info的旧的时间戳所示时间；

步骤3.14：使用RSA_local解密user_info_encrypted得到Nonce并验证，使用RSA_t_pub和RSA_u_pub，得到user_info，向云平台请求安全地得到tenant_info，同时提取来自源平台vTPM标签中identity_info中旧的user_info，验证三者一致性；

步骤3.15：当上述3个步骤验证通过后，继续执行迁移并更新identity_info，否则回滚并向云平台告警；

步骤3.16：目的平台向源平台请求公钥的数字证书Certificate_mig，通过证书颁发机构验证证书真实性，并提取对应源平台RSA_mig的公钥；

步骤3.17：目的平台利用源平台RSA_mig的公钥和目的平台RSA_mig密钥的私钥转换vTPM标签为本地状态；

步骤3.18：目的平台使用RSA_local的私钥解密vTPM标签的加密信息字段，得到Key；

步骤3.19：源平台暂停虚拟机运行，并开始传输虚拟机的设备状态；

步骤3.20：源平台收集vTPM的设备状态vTPM_status，计算vTPM的设备状态的哈希值，然后将vTPM_status||HASH(vTPM_status)打包成package，使用Key对package进行加密；

步骤3.21：源平台传输加密后的package；

步骤3.22：目的平台使用Key值解密package，得到vTPM的设备状态，然后校验vTPM的设备状态的哈希值；

步骤3.23：目的平台重新加载vTPM实例文件，同步源平台虚拟机暂停前对vTPM私密信息的所有修改；

步骤3.24：目的平台加载vTPM的设备状态；

步骤3.25：迁移结束，源平台销毁虚拟机，目的平台运行虚拟机。

8.根据权利要求2所述的基于租户身份信息的可信虚拟机vTPM私密信息保护方法，其特征在于，在执行由云租户在本地主机上生成身份认证信息之前，还包括系统部署前的初始化工作；在每一台宿主机上建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig，并通过证书颁发机构为RSA_mig密钥生成相应的数字证书Certificate_mig。

9.一种基于租户身份信息的可信虚拟机vTPM私密信息保护系统，其特征在于，包括以下模块：

身份认证信息生成模块：在云平台为租户创建可信虚拟机之前，由云租户在本地主机上生成身份认证信息；

vTPM标签创建模块：在创建可信虚拟机时，为每一个虚拟机的vTPM实例分别创建一个vTPM标签；借助宿主机的硬件TPM填充vTPM标签中的各字段后，将其存储在虚拟机的QCOW2格式镜像文件的头部扩展中；

vTPM标签检查及虚拟机启动模块：在启动可信虚拟机时，向云租户请求identity_info身份认证信息，从虚拟机的镜像文件中提取vTPM标签，结合宿主机从云平台获取的tenant_info，检查其中对应字段；当这些条件均满足时，利用硬件TPM解密vTPM标签的加密信息字段，正常启动虚拟机；

vTPM私密信息机密性保护和完整性验证模块：在可信虚拟机运行阶段，QEMU将vTPM的私密信息实时同步到vTPM实例文件中；通过截获QEMU对vTPM实例文件的读写操作，依靠得到的解密vTPM标签的加密信息字段得到的Key，在写入前进行加密操作，在读取后解密并验证哈希值，并验证vTPM私密信息；

镜像文件中提取的vTPM标签检查模块：在迁移可信虚拟机时，需分别从源平台和目的平台向云租户、云平台请求identity_info和tenant_info，从虚拟机的镜像文件中提取vTPM标签，检查其中对应字段；在通过验证后，执行迁移可信虚拟机操作，否则，终止迁移过程。

Images