[发明专利]硬件支持的虚拟化密码服务

权利要求书

1.一种具有计算机可执行指令的计算机可读介质，所述计算机可执行指令用于使用基于硬件的安全模块(150)来提供对在由计算设备(100)主存的虚拟计算环境(201)中执行的进程的基于硬件的保护，所述计算设备包括所述基于硬件的安全模块(150)，所述计算机可执行指令执行以下步骤：

生成所述虚拟计算环境(201)内的密码服务(251)的表示；

经由所述密码服务(251)的表示向在所述虚拟计算环境(201)内执行的进程枚举一个或多个密钥；

向所述基于硬件的安全模块(150)提供所枚举的密钥中的至少一个，以便通过所述基于硬件的安全模块专用的密钥(151)来保护；

经由所述密码服务(251)的表示从在所述虚拟计算环境(201)内执行的进程接收：所述进程访问所述虚拟计算环境(201)内的受保护数据所需的密钥(310)的受保护版本(350)；以及将用于保护所述受保护密钥的所选密钥(340)的从所枚举的密钥中标识出来的标识；

定位所标识的所选密钥(341)的受保护版本(430)；

向所述基于硬件的安全模块(150)提供在所述虚拟计算环境(201)中执行的进程所需要的密钥(310)的受保护版本(350)以及所标识的所选密钥(341)的受保护版本(430)；

从所述基于硬件的安全模块(150)接收在所述虚拟计算环境(201)中执行的进程所需要的密钥(310)；以及

经由所述密码服务(251)的表示向在所述虚拟计算环境(201)内执行的进程提供在所述虚拟计算环境(201)内执行的进程所需要的密钥(310)。

2.如权利要求1所述的计算机可读介质，其特征在于，还包括用于响应于所述枚举从在所述虚拟计算环境中执行的进程接收所选密钥的标识的计算机可执行指令；其中提供给所述基于硬件的安全模块以便通过所述基于硬件的安全模块专用的密钥来保护的所枚举的密钥中的至少一个是所标识的所选密钥的私有版本。

3.如权利要求1所述的计算机可读介质，其特征在于，还包括用于执行以下步骤的计算机可执行指令：响应于提供所枚举的密钥中的至少一个以便通过所述基于硬件的安全模块专用的密钥来保护，从所述基于硬件的安全模块接收所提供的至少一个密钥的受保护版本；以及将所提供的至少一个密钥的受保护版本存储在通信耦合到所述计算设备的存储介质上。

4.如权利要求1所述的计算机可读介质，其特征在于：所枚举的密钥仅包括公钥/私钥对的公共版本；提供给所述基于硬件的安全模块以便通过所述基于硬件的安全模块专用的密钥来保护的所枚举的密钥中的至少一个是对应于所述公共版本的私有版本；所选密钥的标识是所标识的所选密钥的公共版本的标识；并且所标识的所选密钥的受保护版本是所标识的所选密钥的私有版本的受保护版本。

5.如权利要求1所述的计算机可读介质，其特征在于，在所述虚拟计算环境中执行的进程是整卷加密进程，所述整卷加密进程加密存储在虚拟存储设备文件中的数据，所述虚拟存储设备文件在所述虚拟计算环境内被表示为一个或多个存储介质。

6.如权利要求1所述的计算机可读介质，其特征在于，所述用于枚举一个或多个密钥的计算机可执行指令包括用于从不同于主存所述虚拟计算环境的计算设备的服务器计算设备获得所述一个或多个密钥。

7.如权利要求1所述的计算机可读介质，其特征在于，所述用于枚举一个或多个密钥的计算机可执行指令包括用于对所述一个或多个密钥的每一个枚举相关联的角色的计算机可执行指令。

8.如权利要求1所述的计算机可读介质，其特征在于，还包括用于执行以下步骤的计算机可执行指令：获得与另一计算设备相关联的基于硬件的安全模块专用的密钥；用与所述另一计算设备相关联的基于硬件的安全模块专用的密钥来保护所选密钥的私有版本；以及提供用与所述另一计算设备相关联的基于硬件的安全模块专用的密钥来保护的所选密钥的受保护的私有版本以便发送到所述另一计算设备。