发明名称 |
用于基础设施即服务云环境中的可信执行的方法和装置 |
摘要 |
本公开提出了一种方法和装置,所述方法和装置被配置为提供虚拟机(VM)在虚拟化服务器上的可信执行,例如在基础设施及服务(laaS)云环境内提供的虚拟化服务器上执行VM。物理的多核CPU可被配置有硬件信任锚。该信任锚本身可被配置为管理当一个VM(或超级管理程序)在这些CPU核之一上被执行时用于加密/解密指令和数据的密钥。当由于异常而进行上下文切换时,信任锚交换用于加密/解密被分配给VM(或超级管理程序)的存储器和缓存的内容的会话密钥。 |
申请公布号 |
CN103038746B |
申请公布日期 |
2017.03.29 |
申请号 |
CN201180036949.1 |
申请日期 |
2011.05.24 |
申请人 |
思科技术公司 |
发明人 |
法彼奥·R·麦诺;皮瑞·曼克鲁斯 |
分类号 |
G06F9/06(2006.01)I;G06F9/44(2006.01)I;H04L9/14(2006.01)I |
主分类号 |
G06F9/06(2006.01)I |
代理机构 |
北京东方亿思知识产权代理有限责任公司 11258 |
代理人 |
李晓冬 |
主权项 |
一种用于在中央处理单元CPU的处理核上进行上下文切换的方法,包括:接收所述处理核的传入执行上下文的指示,其中所述指示为所述传入执行上下文提供标识符;由与所述CPU耦合的信任锚在安全密钥存储装置中存储第一会话密钥,其中所述第一会话密钥与所述处理核的当前执行上下文相关联,其中所述安全密钥存储装置由所述CPU中的信任锚管理并且所述信任锚向多个会话密钥提供权威信任;从所述安全密钥存储装置取回与所述传入执行上下文相关联的第二会话密钥,其中所述第二会话密钥由所述信任锚生成并被所述信任锚存储在所述安全密钥存储装置中;以及使用所述第二会话密钥初始化所述CPU上的加密/解密块,其中所述加密/解密块被布置在所述处理核与所述处理核所访问的缓存之间;以及初始化所述处理核上的所述传入执行上下文,其中所述加密/解密块使用基于所述第二会话密钥的密钥流来解密从所述缓存读取的数据并且加密写入所述缓存的数据。 |
地址 |
美国加利福尼亚州 |