CN117499028A - 基于dpu加密和度量云硬盘关键文件的方法、系统及装置 - Google Patents
基于dpu加密和度量云硬盘关键文件的方法、系统及装置 Download PDFInfo
- Publication number
- CN117499028A CN117499028A CN202311394096.XA CN202311394096A CN117499028A CN 117499028 A CN117499028 A CN 117499028A CN 202311394096 A CN202311394096 A CN 202311394096A CN 117499028 A CN117499028 A CN 117499028A
- Authority
- CN
- China
- Prior art keywords
- dpu
- hard disk
- key
- cloud hard
- operation system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000005259 measurement Methods 0.000 claims abstract description 34
- 238000009434 installation Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 6
- 238000005192 partition Methods 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 6
- 238000007726 management method Methods 0.000 description 32
- 239000002184 metal Substances 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011900 installation process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于DPU加密和度量云硬盘关键文件的方法、系统及装置,由DPU侧产生并存储公钥和私钥,属于带外存储,相比于公钥和私钥存储在本地服务器和云硬盘上,安全性更高;由DPU产生的秘钥对业务操作系统启动文件和安装包文件中的关键文件进行哈希度量和加解密,确保了云硬盘上的业务操作系统运行在安全的环境,从根本上实现业务操作系统的全度量,避免采用业务操作系统的安装包文件自己度量自己这种不安全的方式,能够保证云硬盘启动的业务操作系统是安全的。
Description
技术领域
本发明涉及虚拟化技术领域,具体涉及一种基于DPU加密和度量云硬盘关键文件的方法、系统及装置。
背景技术
虚拟化技术的出现极大地推动了云计算和物联网技术的发展,但是,随着云计算和物联网的广泛应用,虚拟化技术遇到了瓶颈。传统的虚拟化技术需要经过操作系统的调用才能访问硬件资源,对于对性能和延迟要求较高的应用与场景,这种方法已经显得不太适合。
裸金属虚拟化技术的提出,可以解决传统虚拟化技术的瓶颈问题,并为现代应用程序提供更好的性能和低延迟体验。同时,裸金属虚拟化技术可以使应用程序更快地运行,不但提高了硬件资源的利用率,同时还能够更好地满足应用程序的特定性能和服务需求。
弹性裸金属具有分钟级交付的特点,操作系统云硬盘即用即挂载,方便了用户需求,但是作为用户业务数据存储的主场所,安全问题越来越收到关注。在公开号为CN111177773A的一种基于网卡ROM的全盘加解密方法及系统中,其基于OS中的安装文件中的grub2访问网卡Rom,获取密钥,对称加密硬盘,由此可见,CN111177773A的使用场景为通用的物理机启动场景加密的是物理硬盘灵活度和场景比较局限;用密钥进行对称加密,风险度很高;此场景使用bootloader程序启动OS,并非是普遍采用的uefi,场景局限;同时,CN111177773A只涉及启动OS阶段运用OS本身grub2,度量安装完成的硬盘分区,grub2自身的合法性没有得到保证;并且CN111177773A没有涉及虚拟化场景,而且网卡Rom必须要和包含grub2的OS文件绑定,灵活度很差。
由此可见,现有技术存在以下技术缺陷:
1、业务相关OS镜像通过云管理平台(例如OpenStack)进行调度和备份,容易有丢包或者缺损的情况,造成云硬盘和业务相关的关键文件受损。
2、网络云硬盘运行在网络中,容易收到黑客攻击,染上病毒。
3、作为实现虚拟化裸金属关键部件的DPU、缺乏对云业务OS镜像检测和报警机制。
4、现行的SecureBoot(Secure Boot是一种安全功能,旨在保护计算机的启动过程免受恶意软件和未经授权的操作系统的影响,它是由微软引入的一项技术,现在被广泛应用于许多计算机和移动设备中)技术会阻止用户在计算机上安装自定义操作系统或修改启动过程中的某些组件;此外,如果数字签名的私钥被泄漏或受到攻击,Secure Boot也可能会受到影响;因此,在使用Secure Boot时,用户需要保护好数字签名的私钥,并确保计算机没有受到任何安全漏洞的影响,缺点是用户的业务不够灵活,对于关键文件缺乏加密和度量机制。
发明内容
有鉴于此,本发明提供了一种基于DPU加密和度量云硬盘关键文件的方法、系统及装置,能够大大提高云硬盘启动的业务操作系统的安全性以及用户感兴趣的关键文件的安全性。
第一方面,一种基于DPU加密和度量云硬盘关键文件的方法,所述方法包括:
插接于本地服务器上运行的DPU预先采用RSA算法生成一对公钥和私钥;
在装机阶段,运行在DPU上的PXE Rom Driver从镜像服务器下载待安装到云硬盘的业务操作系统;
DPU对业务操作系统的关键文件进行哈希运算,并将得到的度量值存入DPU;
通过工作于DPU侧的管理设备S-PF调用公钥对业务操作系统的关键文件进行加密;
DPU上存储的公钥通过PXE Rom Driver构建的Smbios table或ACPI传递给业务操作系统;
将加密后且携带有公钥的业务操作系统通过本地服务器传输至云硬盘;
本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由工作于本地服务器侧的管理设备M-PF通过PXE Rom Driver调用私钥对云硬盘上的业务操作系统的关键文件进行解密,使得云硬盘完成业务操作系统的安装。
进一步地,一种基于DPU加密和度量云硬盘关键文件的方法,还包括:
当安装好的业务操作系统在云硬盘上运行时,若用户需要对云硬盘上指定分区的指定文件进行加密,则业务操作系统对指定分区的指定文件进行哈希运算,并通过管理设备M-PF将运算得到的度量值经由本地服务器存入DPU中,同时,业务操作系统解析Smbios或ACPI传输过来的公钥,并采用公钥对指定分区的指定文件进行加密。
进一步地,一种基于DPU加密和度量云硬盘关键文件的方法,还包括:
当安装好的业务操作系统在云硬盘上运行时,若用户需要还原云硬盘上指定分区的指定文件,云硬盘上运行的M_PF驱动程序驱动管理设备M-PF,管理设备M-PF通过本地服务器从DPU中读取私钥并回传给云硬盘,云硬盘采用私钥对指定分区的指定文件进行解密,同时对指定分区的指定文件进行哈希运算,并对比解密前和解密后的度量值是否相同,若不相同,则指定分区的指定文件已被篡改或损坏,若相同且解密成功,则指定分区的指定文件成功被还原。
进一步地,一种基于DPU加密和度量云硬盘关键文件的方法,还包括:
若当前与云硬盘上的业务操作系统交互的本地服务器出现业务拥堵的情况时,云硬盘上的业务操作系统将被云管理平台调离至另一个业务空闲的本地服务器,当重新调度回到原本地服务器时,原本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由PXERom Driver通过管理设备M-PF调用私钥对云硬盘上的业务操作系统的关键文件进行解密,同时DPU重新对调度回来的业务操作系统的关键文件进行哈希运算,并将本次运算得到的度量值与业务操作系统未调离前存储于DPU中的度量值进行比对,若私钥可以解密且两次运算得到的度量值相同,则说明业务操作系统在被调离的过程中没有被损坏。
进一步地,一种基于DPU加密和度量云硬盘关键文件的方法,还包括:
由PXE Rom Driver通过管理设备M-PF调用私钥对云硬盘上的业务操作系统的关键文件进行解密时,若私钥不能解密,原本地服务器的BIOS将会弹出警报,由用户根据警报对业务操作系统进行处理。
进一步地,所述用户根据警报对业务操作系统进行处理包括:运行在DPU上的PXERom Driver从镜像服务器重新下载待安装到云硬盘的业务操作系统,并完成重新下载的业务操作系统在云硬盘上的重装;或者,DPU采用RSA算法重新生成一对公钥和私钥,采用重新生成的公钥和私钥完成重新下载的业务操作系统在云硬盘上的重装。
进一步地,所述DPU包括片上操作系统SOC、非易失设备Flash ROM,片上操作系统SOC预先采用RSA算法生成一对公钥和私钥后,将公钥和私钥写入非易失设备Flash ROM的约定位置中。
进一步地,一种基于DPU加密和度量云硬盘关键文件的方法,还包括:
本地服务器接通Adapter Connect以后,DPU上电自启动,片上操作系统SOC采用RSA算法生成一对公钥和私钥,并将公钥和私钥写入非易失设备Flash ROM的约定位置中。
第二方面,一种基于DPU加密和度量云硬盘关键文件的系统,所述系统包括本地服务器、插接于本地服务器上运行的DPU、工作于本地服务器侧的管理设备M-PF、工作于DPU侧的管理设备S-PF,其中,DPU预先采用RSA算法生成一对公钥和私钥;
在装机阶段,运行在DPU上的PXE Rom Driver从镜像服务器下载待安装到云硬盘的业务操作系统;DPU对业务操作系统的关键文件进行哈希运算,并将得到的度量值存入DPU,然后通过管理设备S-PF调用公钥对业务操作系统的关键文件进行加密,同时,DPU上存储的公钥通过PXE Rom Driver构建的Smbios table或ACPI传递给业务操作系统,最后将加密后且携带有公钥的业务操作系统通过本地服务器传输至云硬盘;
本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由管理设备M-PF通过PXE Rom Driver调用私钥对云硬盘上的业务操作系统的关键文件进行解密,使得云硬盘完成业务操作系统的安装。
第三方面,一种基于DPU加密和度量云硬盘关键文件的装置,所述装置包括:上位机和用于存储能够在上位机上运行的计算机程序的存储器;其中,所述上位机用于运行所述计算机程序时,执行第一方面任一所述方法的步骤。
有益效果:
1、一种基于DPU加密和度量云硬盘关键文件的方法,由DPU侧产生并存储公钥和私钥,属于带外存储,相比于公钥和私钥存储在本地服务器和云硬盘上,安全性更高;由DPU产生的秘钥对业务操作系统启动文件和安装包文件中的关键文件进行哈希度量和加解密,确保了云硬盘上的业务操作系统运行在安全的环境,从根本上实现业务操作系统的全度量,避免采用业务操作系统的安装包文件自己度量自己这种不安全的方式,能够保证云硬盘启动的业务操作系统是安全的。
2、一种基于DPU加密和度量云硬盘关键文件的方法,整个过程均直接运行在硬件上,即本发明运行环境为裸金属场景;同时,本发明通过获取片上操作系统SOC上的公钥对关键文件进行度量和加密,能够保证用户关注的关键文件是安全的;也即本发明在裸金属服务器就能实现业务操作系统的安全和用户关注的关键文件安全。
3、一种基于DPU加密和度量云硬盘关键文件的方法,由DPU侧产生的公钥和私钥还参与安装好的业务操作系统在云硬盘上的运行过程中的指定文件加解密还原,提高了业务操作系统在云硬盘上运行过程的安全性。
4、一种基于DPU加密和度量云硬盘关键文件的方法,业务操作系统被云管理平台重新调度回原本地服务器后,若私钥不能对云硬盘上的业务操作系统的关键文件进行解密,则原本地服务器的BIOS将会弹出警报,方便用户做进一步的处理。
5、一种基于DPU加密和度量云硬盘关键文件的方法,由DPU侧产生公钥和私钥,并将公钥和私钥写入非易失设备Flash ROM的约定位置中,也就是说,本发明的公钥和私钥不存储在本地服务器和云硬盘上,属于带外存储,安全性更高,且DPU的非易失设备Flash ROM具有写保护功能,不容易泄露和破坏;同时,秘钥的传送路径为DPU->Flash ROM->PXE RomDriver(uefi)->通过Smbios table或ACPI放在云硬盘的业务操作系统上-业务操作系统,全程均为加密传送确保了密钥不被泄密和破坏。
6、一种基于DPU加密和度量云硬盘关键文件的系统,由DPU侧产生并存储公钥和私钥,属于带外存储,相比于公钥和私钥存储在本地服务器和云硬盘上,安全性更高;由DPU产生的秘钥对业务操作系统启动文件和安装包文件中的关键文件进行哈希度量和加解密,确保了云硬盘上的业务操作系统运行在安全的环境,从根本上实现业务操作系统的全度量,避免采用业务操作系统的安装包文件自己度量自己这种不安全的方式,能够保证云硬盘启动的业务操作系统是安全的。
7、一种基于DPU加密和度量云硬盘关键文件的装置,由DPU侧产生并存储公钥和私钥,属于带外存储,相比于公钥和私钥存储在本地服务器和云硬盘上,安全性更高;由DPU产生的秘钥对业务操作系统启动文件和安装包文件中的关键文件进行哈希度量和加解密,确保了云硬盘上的业务操作系统运行在安全的环境,从根本上实现业务操作系统的全度量,避免采用业务操作系统的安装包文件自己度量自己这种不安全的方式,能够保证云硬盘启动的业务操作系统是安全的。
附图说明
图1为一种基于DPU加密和度量云硬盘关键文件的方法的流程图。
图2为DPU采用RSA算法生成秘钥的流程图。
图3为云硬盘安装业务操作系统的流程图。
图4为用户对云硬盘上指定分区的指定文件进行加密的流程图。
图5为用户还原云硬盘上指定分区的指定文件的流程图。
图6为用户根据警报对业务操作系统进行处理的流程图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明的基本原理为:旨在从DPU卡出发,对于业务操作系统OS(OperatingSystem,操作系统)的关键文件进行加密和度量,首先在装机阶段,DPU片上操作系统SOC通过对安装镜像的关键文件包括但不限于vmlinx、initrd、grub、cfg等关键文件进行度量和加密后发送到云管理平台(例如OpenStack),具体通过SOC产生一对公钥和私钥,公钥对云OS安装文件进行加密,通过装机网络发送到云管理平台;安装过程中,在服务器BIOS通过加载DPU卡上的PXE Rom驱动,下载云管理平台初始调度的安装镜像(此时已经加密过了),先解密后度量,还原出原始文件,再进行业务OS的安装;其次,在业务OS启动和运行阶段,启动阶段,本地服务器BIOS通过加载DPU上的PXE Rom Driver,通过私钥进行解密,并检测度量值(一串hash数字),确保启动的云硬盘OS是安全的;最后,通过DPU的PXE Rom Driver,对公钥进行加密,通过smbios table传递给业务OS,业务OS通过解密后获得公钥,通过公钥对指定分区文件,进行加密,使得关键文件不容易破解;如果业务OS的公钥丢失或者损坏,在业务OS启动阶段,用私钥解密时就会出现失败,这时,DPU的PXE Rom Driver就会提示报警信息,用户根据提示信息,重新要求SOC产生公钥和私钥。
具体的,如图1所示,一种基于DPU加密和度量云硬盘关键文件的方法,所述方法包括:
S1:插接于本地服务器上运行的DPU预先采用RSA算法生成一对公钥和私钥;其中,如图2所示,所述DPU包括片上操作系统SOC、非易失设备Flash ROM,本地服务器接通Adapter Connect以后,DPU上电自启动,片上操作系统SOC启动,初始化Host侧(服务器能看到的)的管理设备M-PF,片上操作系统SOC预先采用RSA算法生成一对公钥和私钥,并将公钥和私钥写入非易失设备Flash ROM的约定位置中;例如,通过手动运行产生一对公钥和私钥的命令,包括但不限于,举例如下:
#openssl genrsa-out private.key 1024
#openssl rsa-in private.key-pubout-out pub.key
同时需要说明的是,RSA是基于数论中大素数的乘积难分解理论上的非对称加密法,使用公私钥的方法进行加解密,其中公钥用于加密,它是向所有人公开的,私钥用于解密,只有DPU厂商产生和持有。
S2:在装机阶段,运行在DPU上的PXE Rom Driver从镜像服务器下载待安装到云硬盘的业务操作系统;
S3:DPU对业务操作系统的关键文件进行哈希运算,并将得到的度量值存入DPU;
S4:通过工作于DPU侧的管理设备S-PF调用公钥对业务操作系统的关键文件进行加密;需要说明的是,管理设备S-PF是在片上操作系统SOC侧通过FPGA逻辑产生的一个特殊的管理设备;
S5:DPU上存储的公钥通过PXE Rom Driver构建的Smbios table或ACPI传递给业务操作系统;
S6:将加密后且携带有公钥的业务操作系统通过本地服务器传输至云硬盘;
S7:本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由工作于本地服务器侧的管理设备M-PF通过PXE Rom Driver调用私钥对云硬盘上的业务操作系统的关键文件进行解密,使得云硬盘完成业务操作系统的安装,如图3所示。
需要说明的是,业务操作系统的关键文件即为业务操作系统安装包中的内核启动文件,例如系统安全涉及的vmlinux、initrd、grub、cfg以及/etc/下内核的配置文件等。
可选的,当安装好的业务操作系统在云硬盘上运行时,若用户需要对云硬盘上指定分区的指定文件进行加密,则业务操作系统对指定分区的指定文件进行哈希运算,并通过管理设备M-PF将运算得到的度量值经由本地服务器存入DPU中,同时,业务操作系统解析Smbios或ACPI传输过来的公钥,并采用公钥对指定分区的指定文件进行加密,如图4所示。
当安装好的业务操作系统在云硬盘上运行时,若用户需要还原云硬盘上指定分区的指定文件,云硬盘上运行的M_PF驱动程序驱动管理设备M-PF,管理设备M-PF通过本地服务器从DPU中读取私钥并回传给云硬盘,云硬盘采用私钥对指定分区的指定文件进行解密,同时对指定分区的指定文件进行哈希运算,并对比解密前和解密后的度量值是否相同,若不相同,则指定分区的指定文件已被篡改或损坏,若相同且解密成功,则指定分区的指定文件成功被还原,如图5所示。
需要说明的是,若当前与云硬盘上的业务操作系统交互的本地服务器出现业务拥堵的情况时,云硬盘上的业务操作系统将被云管理平台调离至另一个业务空闲的本地服务器,基于用户关心的文件在业务操作系统被调走之前都已经被度量和加密,则为了确保关键文件不丢失,当重新调度回到原本地服务器时,原本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由PXE Rom Driver通过管理设备M-PF调用私钥对云硬盘上的业务操作系统的关键文件进行解密,同时DPU重新对调度回来的业务操作系统的关键文件进行哈希运算,并将本次运算得到的度量值与业务操作系统未调离前存储于DPU中的度量值进行比对,若私钥可以解密且两次运算得到的度量值相同,则说明业务操作系统在被调离的过程中没有被损坏。
其中,由PXE Rom Driver通过管理设备M-PF调用私钥对云硬盘上的业务操作系统的关键文件进行解密时,若私钥不能解密,说明公钥过期或者非法,原本地服务器的BIOS将会弹出警报,由用户根据警报对业务操作系统进行处理。
可选的,所述用户根据警报对业务操作系统进行处理包括:运行在DPU上的PXERom Driver从镜像服务器重新下载待安装到云硬盘的业务操作系统,并完成重新下载的业务操作系统在云硬盘上的重装;或者,DPU采用RSA算法重新生成一对公钥和私钥,采用重新生成的公钥和私钥完成重新下载的业务操作系统在云硬盘上的重装,如图6所示。
需要说明的是,以上过程均直接运行在硬件上,即本发明提供的一种基于DPU加密和度量云硬盘关键文件的方法运行环境为裸金属场景;经过上述步骤,能够确保云硬盘启动的业务操作系统是安全的,同时,本发明通过获取片上操作系统SOC上的公钥对关键文件进行度量和加密,能够保证用户关注的关键文件是安全的。
作为另一种实现方式,本发明还提供一种基于DPU加密和度量云硬盘关键文件的系统,其特征在于,所述系统包括本地服务器、插接于本地服务器上运行的DPU、工作于本地服务器侧的管理设备M-PF、工作于DPU侧的管理设备S-PF,其中,DPU预先采用RSA算法生成一对公钥和私钥;
在装机阶段,运行在DPU上的PXE Rom Driver从镜像服务器下载待安装到云硬盘的业务操作系统;DPU对业务操作系统的关键文件进行哈希运算,并将得到的度量值存入DPU,然后通过管理设备S-PF调用公钥对业务操作系统的关键文件进行加密,同时,DPU上存储的公钥通过PXE Rom Driver构建的Smbios table或ACPI传递给业务操作系统,最后将加密后且携带有公钥的业务操作系统通过本地服务器传输至云硬盘;
本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由管理设备M-PF通过PXE Rom Driver调用私钥对云硬盘上的业务操作系统的关键文件进行解密,使得云硬盘完成业务操作系统的安装。
作为又一种实现方式,本发明还提供一种基于DPU加密和度量云硬盘关键文件的装置,所述装置包括:上位机和用于存储能够在上位机上运行的计算机程序的存储器;其中,所述上位机用于运行所述计算机程序时,执行如前所述的基于DPU加密和度量云硬盘关键文件的方法的各个步骤。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,所述方法包括:
插接于本地服务器上运行的DPU预先采用RSA算法生成一对公钥和私钥;
在装机阶段,运行在DPU上的PXE Rom Driver从镜像服务器下载待安装到云硬盘的业务操作系统;
DPU对业务操作系统的关键文件进行哈希运算,并将得到的度量值存入DPU;
通过工作于DPU侧的管理设备S-PF调用公钥对业务操作系统的关键文件进行加密;
DPU上存储的公钥通过PXE Rom Driver构建的Smbios table或ACPI传递给业务操作系统;
将加密后且携带有公钥的业务操作系统通过本地服务器传输至云硬盘;
本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由工作于本地服务器侧的管理设备M-PF通过PXE Rom Driver调用私钥对云硬盘上的业务操作系统的关键文件进行解密,使得云硬盘完成业务操作系统的安装。
2.如权利要求1所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,还包括:
当安装好的业务操作系统在云硬盘上运行时,若用户需要对云硬盘上指定分区的指定文件进行加密,则业务操作系统对指定分区的指定文件进行哈希运算,并通过管理设备M-PF将运算得到的度量值经由本地服务器存入DPU中,同时,业务操作系统解析Smbios或ACPI传输过来的公钥,并采用公钥对指定分区的指定文件进行加密。
3.如权利要求1所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,还包括:
当安装好的业务操作系统在云硬盘上运行时,若用户需要还原云硬盘上指定分区的指定文件,云硬盘上运行的M_PF驱动程序驱动管理设备M-PF,管理设备M-PF通过本地服务器从DPU中读取私钥并回传给云硬盘,云硬盘采用私钥对指定分区的指定文件进行解密,同时对指定分区的指定文件进行哈希运算,并对比解密前和解密后的度量值是否相同,若不相同,则指定分区的指定文件已被篡改或损坏,若相同且解密成功,则指定分区的指定文件成功被还原。
4.如权利要求1所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,还包括:
若当前与云硬盘上的业务操作系统交互的本地服务器出现业务拥堵的情况时,云硬盘上的业务操作系统将被云管理平台调离至另一个业务空闲的本地服务器,当重新调度回到原本地服务器时,原本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由PXE RomDriver通过管理设备M-PF调用私钥对云硬盘上的业务操作系统的关键文件进行解密,同时DPU重新对调度回来的业务操作系统的关键文件进行哈希运算,并将本次运算得到的度量值与业务操作系统未调离前存储于DPU中的度量值进行比对,若私钥可以解密且两次运算得到的度量值相同,则说明业务操作系统在被调离的过程中没有被损坏。
5.如权利要求4所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,还包括:
由PXE Rom Driver通过管理设备M-PF调用私钥对云硬盘上的业务操作系统的关键文件进行解密时,若私钥不能解密,原本地服务器的BIOS将会弹出警报,由用户根据警报对业务操作系统进行处理。
6.如权利要求5所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,所述用户根据警报对业务操作系统进行处理包括:运行在DPU上的PXE Rom Driver从镜像服务器重新下载待安装到云硬盘的业务操作系统,并完成重新下载的业务操作系统在云硬盘上的重装;或者,DPU采用RSA算法重新生成一对公钥和私钥,采用重新生成的公钥和私钥完成重新下载的业务操作系统在云硬盘上的重装。
7.如权利要求1~6任一权利要求所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,所述DPU包括片上操作系统SOC、非易失设备Flash ROM,片上操作系统SOC预先采用RSA算法生成一对公钥和私钥后,将公钥和私钥写入非易失设备Flash ROM的约定位置中。
8.如权利要求7所述的一种基于DPU加密和度量云硬盘关键文件的方法,其特征在于,还包括:
本地服务器接通Adapter Connect以后,DPU上电自启动,片上操作系统SOC采用RSA算法生成一对公钥和私钥,并将公钥和私钥写入非易失设备Flash ROM的约定位置中。
9.一种基于DPU加密和度量云硬盘关键文件的系统,其特征在于,所述系统包括本地服务器、插接于本地服务器上运行的DPU、工作于本地服务器侧的管理设备M-PF、工作于DPU侧的管理设备S-PF,其中,DPU预先采用RSA算法生成一对公钥和私钥;
在装机阶段,运行在DPU上的PXE Rom Driver从镜像服务器下载待安装到云硬盘的业务操作系统;DPU对业务操作系统的关键文件进行哈希运算,并将得到的度量值存入DPU,然后通过管理设备S-PF调用公钥对业务操作系统的关键文件进行加密,同时,DPU上存储的公钥通过PXE Rom Driver构建的Smbios table或ACPI传递给业务操作系统,最后将加密后且携带有公钥的业务操作系统通过本地服务器传输至云硬盘;
本地服务器的BIOS启动后,加载DPU中的PXE Rom Driver,由管理设备M-PF通过PXERom Driver调用私钥对云硬盘上的业务操作系统的关键文件进行解密,使得云硬盘完成业务操作系统的安装。
10.一种基于DPU加密和度量云硬盘关键文件的装置,其特征在于,所述装置包括:上位机和用于存储能够在上位机上运行的计算机程序的存储器;其中,所述上位机用于运行所述计算机程序时,执行权利要求1至8任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311394096.XA CN117499028A (zh) | 2023-10-25 | 2023-10-25 | 基于dpu加密和度量云硬盘关键文件的方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311394096.XA CN117499028A (zh) | 2023-10-25 | 2023-10-25 | 基于dpu加密和度量云硬盘关键文件的方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117499028A true CN117499028A (zh) | 2024-02-02 |
Family
ID=89669950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311394096.XA Pending CN117499028A (zh) | 2023-10-25 | 2023-10-25 | 基于dpu加密和度量云硬盘关键文件的方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117499028A (zh) |
-
2023
- 2023-10-25 CN CN202311394096.XA patent/CN117499028A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10931451B2 (en) | Securely recovering a computing device | |
| JP7121112B2 (ja) | セキュアストレージデバイス | |
| CN107003866B (zh) | 来自加密模板的加密虚拟机的安全创建 | |
| CN109669734B (zh) | 用于启动设备的方法和装置 | |
| US9690498B2 (en) | Protected mode for securing computing devices | |
| JP6100834B2 (ja) | マルチ・テナント・クラウドにおける顧客仮想計算機の保護 | |
| US9698988B2 (en) | Management control method, apparatus, and system for virtual machine | |
| JP4971466B2 (ja) | コンピューティング・デバイスの安全なブート | |
| US8291480B2 (en) | Trusting an unverified code image in a computing device | |
| US10423791B2 (en) | Enabling offline restart of shielded virtual machines using key caching | |
| US20190065736A1 (en) | Systems and methods for preventing malicious applications from exploiting application services | |
| US20130185564A1 (en) | Systems and methods for multi-layered authentication/verification of trusted platform updates | |
| US20220398321A1 (en) | Data management | |
| EP3588354B1 (en) | Automatic verification method and system | |
| US10909248B2 (en) | Executing encrypted boot loaders | |
| US9292708B2 (en) | Protection of interpreted source code in virtual appliances | |
| CN117113332A (zh) | 一种可信机密虚拟机系统的实现方法 | |
| US10887339B1 (en) | Systems and methods for protecting a cloud storage against suspected malware | |
| KR101604892B1 (ko) | 안드로이드 기반 어플리케이션의 부정사용 방지 방법 및 장치 | |
| CN117499028A (zh) | 基于dpu加密和度量云硬盘关键文件的方法、系统及装置 | |
| WO2019133298A1 (en) | Managed securitized containers and container communications | |
| US20240163260A1 (en) | Persistent data security for data processing units | |
| CN112564888B (zh) | 一种部署私有云的方法和设备 | |
| CN118101201A (zh) | 一种基于DICE和pKVM的隐私数据保护系统和方法 | |
| Vojtěšek | Analýza rescue souboru BestCrypt Volume Encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |