[发明专利]虚拟机数据处理、控制方法、处理器、芯片、装置及介质

说明书

本申请提供虚拟机数据处理、控制方法、处理器、芯片、装置及介质，其中，通过存储一根密钥，在虚拟机存在数据的加解密需求的情况下，利用根密钥和虚拟机的虚拟机标识生成属于该虚拟机的虚拟机密钥，以完成所述加解密需求，故而在处理器芯片的存储资源中只需存放该根密钥即可，而不必如现有技术一般存放各个虚拟机的虚拟机密钥，节省芯片的硬件资源。此外，还可以通过更换根密钥的手段来防范虚拟机密钥重复，并能灵活扩展处理器芯片所能支持的加密虚拟机数量。

技术领域

本申请实施例涉及数据安全技术领域，尤其涉及虚拟机数据处理、控制方法、处理器、芯片、装置及介质。

背景技术

各大处理器(CPU、SoC等)厂商相继推出硬件辅助的硬件虚拟化技术，虚拟化技术可以实现在一台宿主机上运行多个虚拟机(Virtual Machine，VM)。

为了每个虚拟机的安全性，即不会被其它虚拟机或宿主机获得其数据，在一些方案中会针对每个虚拟机生成专用的密钥，用于对其数据的加密及解密。为安全考虑，对应每个虚拟机生成的密钥会存放在处理器中，即占用处理器中的存储资源，在需要进行加密或解密时加以读取，如此一来，当虚拟机数量较大时，就会极大地占用资源，导致处理器的成本增加。并且，处理器在设计完成时，其最大可存储的密钥数量即是确定而不可更改的，相应的，其所支持的虚拟机的数量是和密钥数量相同而不可更改的，不能适用于更多虚拟机数量的场景，扩展能力有限。

因此，如何找到一种新的安全虚拟机的密钥管理方案，已成为业界亟待解决的技术问题。

发明内容

有鉴于此，本申请实施例中提供虚拟机数据处理、控制方法、处理器、芯片、装置及介质，解决现有技术中的问题。

本申请实施例提供了一种虚拟机数据处理方法，应用于安全处理器；所述虚拟机数据处理方法包括：生成并存储根密钥；响应于为每个虚拟机申请虚拟机标识的第一申请，安全处理器为每个所述虚拟机分配虚拟机标识；响应于对目标虚拟机的目标数据的加密或解密的第二申请，安全处理器根据所述根密钥和所述目标虚拟机的虚拟机标识生成目标虚拟机的虚拟机密钥，以用于对所述目标数据进行加密或解密。

可选的，所述安全处理器为每个所述虚拟机分配虚拟机标识，包括：在向每个虚拟机分配虚拟机标识时，判断是否还有可用的虚拟机标识；若否，则更换所述根密钥，并在更换所述根密钥后为所述虚拟机分配虚拟机标识；若是，则分配虚拟机标识。

可选的，在判断没有可用的虚拟机标识时，更换所述根密钥，包括：在判断没有可用的虚拟机标识时，响应所述第一申请而发送表示需更换根密钥的通知信息；在接收到更换根密钥的指令时，更换所述根密钥；返回根密钥更换完成的信息以响应所述指令。

可选的，所述的虚拟机数据处理方法包括：在更换所述根密钥之后，重复利用各虚拟机标识进行分配。

可选的，所述目标数据包括：用于运行所述虚拟机的程序代码及数据。

可选的，所述虚拟机密钥的生成算法包括以下至少一种：哈希算法；消息认证码算法。

可选的，所述的虚拟机数据处理方法包括：在每次生成根密钥时，发送所述根密钥至内存控制器以作更新。

本申请实施例提供了一种虚拟机数据处理方法，应用于内存控制器；所述虚拟机数据处理方法包括：

响应于虚拟机对内存地址的读和/或写操作的相应指令，根据预先存储的根密钥以及所述虚拟机的虚拟机标识生成所述虚拟机的虚拟机密钥；

通过所述虚拟机密钥对所述内存地址中数据进行加密或解密。

可选的，所述的虚拟机数据处理方法包括：接收并更新根密钥。