| 发明名称 | 一种对虚拟机作动态密码学保护与所需的密钥管理方法 | ||
| 摘要 | 提供一种用于虚拟机动态密码学保护以及所需密钥的密钥管理的方法。该方法包括,将虚拟机分割成多个数据块,当每个数据块发生输入输出时进行动态加解密处理,其中加解密所需的密钥由虚拟机监控器次可信计算基或者基于硬件的可信计算基进行保护,以使密钥得到安全级别更高的保护,服务控制台从虚拟机监控器次可信计算基查询并获取该密钥,并使用该密钥对客体虚拟机的数据块加密,将被加密后的数据块保存在客体虚拟机映像数据包中,从而在客体虚拟机映像数据包失窃的情况下,该失窃的加密数据包也难以被解密。并且,在客体虚拟机从外存输入数据块时,服务控制台利用所述密钥对该数据块解密,将解密后的数据块发送到客体虚拟机内部记忆体处理。 | ||
| 申请公布号 | CN102609643A | 申请公布日期 | 2012.07.25 |
| 申请号 | CN201210006168.4 | 申请日期 | 2012.01.10 |
| 申请人 | 道里云信息技术(北京)有限公司 | 发明人 | 毛文波 |
| 分类号 | G06F21/00(2006.01)I;G06F9/455(2006.01)I;H04L9/08(2006.01)I | 主分类号 | G06F21/00(2006.01)I |
| 代理机构 | 北京鸿元知识产权代理有限公司 11327 | 代理人 | 许向彤;林锦辉 |
| 主权项 | 一种在虚拟化计算平台架构上的虚拟机动态密码学保护与密钥管理方法,该虚拟化计算平台架构包括,一个或多个客体虚拟机,每一个客体虚拟机都唯一关联着一个映像数据包作为该客体虚拟机的虚拟磁盘,映像数据包存储在外部存储器上;每一个客体虚拟机都也都唯一关联着一个虚拟网络设备与外部世界通信;基于软件的虚拟机监控器次可信计算基,用于支持、监控客体虚拟机的运行;基于硬件的主可信计算基,用于通过密码学方法保护基于软件的虚拟机监控器次可信计算基;服务控制台,可以是虚拟机监控器次可信计算基的一个功能模块部件,也可以是由虚拟机监控器次可信计算基所支持的一个虚拟机,所述一个或多个客体虚拟机在运行时通过该服务控制台的帮助来完成数据块从映像数据包输入与数据块向映像数据包输出;也通过该服务控制台的帮助来完成数据块与外部世界的通信;所述虚拟机动态密码学保护与密钥管理方法包括:当运行中的所述客体虚拟机发生从其内部记忆体输出数据块到其位于外部存储器上的映像数据包时,或从其内部记忆体向虚拟网络设备发出数据块时,所述服务控制台对该输出数据块进行加密,当所述客体虚拟机发生从其位于外部存储器上的映像数据包输入数据块到其内部记忆体时,或从虚拟网络设备接受数据块时,所述服务控制台对该数据块进行解密;所述服务控制台向所述虚拟机监控器次可信计算基发出密钥管理服务请求,使得所述虚拟机监控器次可信计算基对所述加密和解密所采用的密钥提供密钥管理服务。 | ||
| 地址 | 100080 北京市海淀区上地西路8号中关村软件园3号楼3B1115室 | ||