[发明专利]虚拟机监控器秘密的保护方法、装置和电子设备

说明书

本说明书实施例提出了一种虚拟机监控器秘密的保护方法、装置和电子设备，其中，上述虚拟机监控器秘密的保护方法中，Host OS kernel从initramfs中加载虚拟机监控器，度量虚拟机监控器的完整性，将完整性度量值扩展到TPM的寄存器中，之后在任何用户态应用执行之前启动虚拟机监控器；虚拟机监控器在TPM的非易失存储器中查找加密数据；如果查找到，则虚拟机监控器读取所述加密数据，使用TPM的寄存器中的所述完整性度量值，对所述加密数据进行解封操作，获得秘密，并将所述秘密保存在所述虚拟机监控器的内存中；所述虚拟机监控器扩展常数到TPM的寄存器中，掩盖TPM的寄存器中的所述完整性度量值。

【技术领域】

本说明书实施例涉及互联网技术领域，尤其涉及一种虚拟机监控器秘密的保护方法、装置和电子设备。

【背景技术】

虚拟化是云计算的基础支撑技术，而虚拟机监控器(hypervisor，或者virtualmachine monitor，VMM)是实现硬件虚拟化功能和虚拟机(Virtual Machine，VM)管理的核心部件。虚拟机监控器通常需要维护一些秘密(secrets)，包括代表自身身份的签名密钥对，或者用于为虚拟机监控器之上的可信执行环境(trusted execution environment，TEE)派生密钥的秘密随机数等。这些秘密一般需要进行持久化存储，以允许虚拟机监控器在重启后能够保持原来的状态，持续地提供业务服务。可信平台模块(Trusted PlatformModule，TPM)提供基于平台配置寄存器(Platform Configuration Register，PCR)的封装(seal)/解封(unseal)功能，使用TPM内的一个私钥对数据进行加密并提供完整性保护。封装操作允许虚拟机监控器将秘密与某个(或者某几个)代表虚拟机监控器自身完整性状态的PCR封装到一起。在虚拟机监控器希望恢复这些秘密时，TPM只有在封装时使用的PCR寄存器的值与这些寄存器的当前值完全相同时，才会解封出这些数据。这确保了虚拟机监控器只有在正确的完整性状态下才能恢复自己以前封装的秘密。

但在存在恶意应用的场景中，TPM封装机制本身并不能保证只有虚拟机监控器才能解封其秘密。由于TPM PCR是对所有软件共享的，且PCR的值也无法保密，恶意应用可以解封出虚拟机监控器的秘密。恶意应用可以在虚拟机监控器的完整性度量值被扩展到PCR之后，调用TPM的解封命令，使用当前PCR中的正确的虚拟机监控器的完整性度量值来解封虚拟机监控器的秘密。恶意应用也可以在虚拟机监控器的完整性度量值扩展到PCR之前，向PCR中扩展数据，使得PCR中的值正好与虚拟机监控器的完整性度量值完全一致，然后调用TPM的解封命令去恢复以前虚拟机监控器封装的秘密。恶意应用如果能够恢复虚拟机监控器的秘密，就可以实现对虚拟机监控器身份的冒充，或者威胁虚拟机监控器之上运行的TEE产生的数据的机密性。

因此，需要提供一种对虚拟机监控器秘密(hypervisor秘密)进行保护的方案，以确保虚拟机监控器秘密的机密性。

【发明内容】

本说明书实施例提供了一种虚拟机监控器秘密的保护方法、装置和电子设备，以防止恶意应用恢复虚拟机监控器封装的秘密，确保虚拟机监控器秘密的机密性。

第一方面，本说明书实施例提供一种虚拟机监控器秘密的保护方法，包括：主机操作系统内核从临时文件系统中加载虚拟机监控器，度量所述虚拟机监控器的完整性，将所述虚拟机监控器的完整性度量值扩展到可信平台模块的寄存器中，之后在任何用户态应用执行之前启动所述虚拟机监控器；所述虚拟机监控器在所述可信平台模块的非易失存储器中查找加密数据；如果查找到，则所述虚拟机监控器读取所述加密数据；所述虚拟机监控器使用所述可信平台模块的寄存器中的所述完整性度量值，对所述加密数据进行解封操作，获得秘密，并将所述秘密保存在所述虚拟机监控器的内存中；所述虚拟机监控器扩展常数到所述可信平台模块的寄存器中，掩盖所述可信平台模块的寄存器中的所述完整性度量值。