[发明专利]用于提供安全虚拟机的系统和方法

说明书

技术领域

本发明涉及云计算或基于网络计算的领域，特别是涉及安全虚拟机领域。

背景技术

虚拟计算是云计算的重要组成部分。一个人可以租借处于英特网某处的虚拟计算机来运行自己的应用程序。要实现廉价循环存取，这是相当合适的方式，但它也存在内在的威胁：因为应用程序运行在其他人的计算机上，无法保证该人的应用程序和数据的私密性。现在的通用处理器都不能提供防止云计算机或基于网络的计算机的所有者(例如，基础设备提供商)窥探联网的计算机。

发明内容

安全虚拟计算的缺乏已经严重阻碍了云计算的发展。在网络中托管应用程序的收益必须要权衡应用程序和/或应用数据面临公开的威胁，这种公开是由于现有处理器的内在的不安全属性造成的。

例如，在云计算机/基于网络的计算机上运行具有私有账户信息的网络服务器数据库，意味着与云计算机/基于网络计算机有物理连接的敌对者可以对内存条或接入内部处理器的寄存器进行存取(例如使用联合测试行为组织JTAG连接)。作为选择，通过修改主机操作系统或虚拟机管理器(在下文中称作“区域管理器”)，攻击者可以尝试侵入物理机器的操作。

此外，所述区域管理器中的软件闯入(break-ins)也能够对机器存储空间中其它用户的其它应用程序和应用数据进行存取。一种特定方式是攻击者使用root kit木马程序，它包含配置在操作系统之下的软件；不通过特殊而有针对性的程序，操作系统无法检测到该木马程序。

在安全架构中需要多个组件以允许将虚拟计算机安全地租借给用户。处理器需要提供安全处理环境，它需要使用经过验证的软件堆栈来建立安全引导过程，它需要通过计算机的所有者(例如，基础设备提供商)提供安全端点以用于在处理器中建立安全虚拟区域，它还需要能够安全地从用户那里加载应用程序。同时，所有者必须不能从其电脑上所执行的应用程序中学习任何有意义的私钥。

根据本发明所述的安全处理器的一般实施例包括：存储处理器私钥的内存；用于生成与区域管理器的实例相关联的第一公钥/私钥对的第一生成器；用于通过处理器私钥认证第一公钥/私钥对的第一认证代理；用于安全地接收虚拟机实例化命令的接收机；用于生成与所述多个虚拟机中的虚拟机的实例相关联的第二公钥/私钥对的第二生成器，所述虚拟机的实例是响应于所述实例化命令而创建的；以及用于通过第一公钥/私钥对来认证第二公钥/私钥对的第二认证代理。

在一个实施例中，本发明的处理器进一步包括用于存储初始化引导程序的私有引导区(410)。

在一个实施例中，本发明的处理器进一步包括用于接收和证实包含区域管理器的映象文件的装置。

本发明的处理器的一个实施例中，所述安全地接收虚拟机实例化命令的安全方面的问题依赖于通过PKI所获得的证书。

在一个实施例中，本发明的处理器进一步包括所述多个安全虚拟机所使用的内存，其中通过不同的加密密钥保障内存存取的安全，所述不同的加密密钥用于多个安全虚拟机中不同的安全虚拟机。

在一个实施例中，本发明的处理器进一步包括为多个安全虚拟机存储数字存取许可信息的内存。

根据本发明用于设置安全虚拟机的方法的一般实施例包括：通过区域管理器映象引导处理器；在处理器处获得与区域管理器会话相关联的第一公钥/私钥对；在处理器处，通过与处理器相关联的私钥来认证所述第一公钥/私钥对中的公钥；在区域管理器处接收安全虚拟机实例化命令；创建所述区域管理器与所述用户之间的安全通信信道；获取与所述安全虚拟机相关联的第二公钥/私钥对；并通过第一公钥/私钥对中的私钥来认证第二公钥/私钥对中的公钥。

在一个实施例中，本发明的方法进一步包括从存储在私有引导区的程序来引导处理器。

在一个实施例中，本发明的方法进一步包括将所述区域管理器映象下载到所述处理器，并在所述处理器处验证关于所述区域管理器映象的有效值，作为引导所述区域管理器映象的前提。

本发明的方法的一个实施例中，所述安全通信信道的安全方面的问题依赖于通过PKI获取的证书。

在一个实施例中，本发明的方法进一步包括将加密密钥与所述安全虚拟机相关联，所述加密密钥用于对处理器共享内存中存储的特定内容进行存取。

本发明的方法的一个实施例中，所述安全虚拟机实例化命令包括关于所述用户的证书。在特定实施例中，所述安全通信信道的安全问题依赖于所述关于用户的证书。

在另一个特定实施例中，该方法进一步包括将所述关于所述用户的证书提供给所述区域管理器。

在本发明的方法的一个实施例中，通过公钥加密保证所述安全通信信道的安全。