[发明专利]虚拟机快照保存、读取方法、装置及相关设备在审
| 申请号: | 202110694868.6 | 申请日: | 2021-06-22 |
| 公开(公告)号: | CN113342467A | 公开(公告)日: | 2021-09-03 |
| 发明(设计)人: | 徐本煜;冯浩;应志伟 | 申请(专利权)人: | 海光信息技术股份有限公司 |
| 主分类号: | G06F9/455 | 分类号: | G06F9/455;G06F16/11;G06F21/60;G06F21/57;G06F3/06 |
| 代理公司: | 上海知锦知识产权代理事务所(特殊普通合伙) 31327 | 代理人: | 汤陈龙 |
| 地址: | 300384 天津市滨海新区天津华苑*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 虚拟机 快照 保存 读取 方法 装置 相关 设备 | ||
1.一种虚拟机快照保存方法,其特征在于,应用于安全处理器,所述方法包括:
生成传输加密密钥TEK,以及生成密钥加密密钥KEK;
基于KEK至少对TEK进行加密,得到密钥加密信息;以及,基于TEK对目标虚拟机的快照内容进行加密,得到目标虚拟机的加密快照内容;
将所述密钥加密信息和加密快照内容保存在目标虚拟机的虚拟机快照中,所述虚拟机快照写入目标虚拟机的虚拟机镜像文件中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:保存明文的附加信息,所述附加信息包括如下至少一项信息:
密钥协商公钥信息,所述密钥协商公钥信息用于生成KEK;
对所述密钥加密信息进行完整性保护的密钥完整性保护信息;
对目标虚拟机的策略信息进行完整性保护的策略完整性保护信息;
对加密快照内容进行完整性保护的加密快照完整性保护信息。
3.根据权利要求2所述方法,其特征在于,所述生成密钥加密密钥KEK包括:
基于密钥协商信息,生成KEK;所述密钥协商信息包括密钥协商私钥信息以及密钥协商公钥信息;
所述方法还包括:
将所述密钥协商公钥信息保存在所述附加信息中。
5.根据权利要求4所述的方法,其特征在于,所述密钥协商私钥信息包括:安全处理器的安全证书私钥,和密钥协商标准的随机私钥;所述密钥协商公钥信息包括:安全处理器的安全证书公钥,和密钥协商标准的随机公钥。
6.根据权利要求2所述的方法,其特征在于,所述方法还包括:
生成密钥完整性密钥KIK;
基于KIK,计算所述密钥加密信息的哈希运算消息认证码HMAC,以得到密钥完整性保护信息;
将所述密钥完整性保护信息保存在所述附加信息中。
7.根据权利要求6所述的方法,其特征在于,所述生成密钥完整性密钥KIK包括:
基于密钥协商信息,使用密钥协商标准,确定公共密钥;
基于所述公共密钥派生主密钥;
基于所述主密钥派生KIK;其中,KIK与KEK的密钥类型不同。
8.根据权利要求2所述的方法,其特征在于,所述生成传输加密密钥TEK包括:
通过硬件真随机数发生器,生成TEK。
9.根据权利要求2所述的方法,其特征在于,还包括:
生成传输完整性密钥TIK;
获取目标虚拟机的策略信息;
基于TIK,计算目标虚拟机的策略信息的HMAC,以得到策略完整性保护信息;
将所述策略完整性保护信息,或者,所述策略完整性保护信息和所述策略信息,保存在所述附加信息中。
10.根据权利要求2所述的方法,其特征在于,还包括:
生成传输完整性密钥TIK;
使用TIK对加密快照内容进行完整性保护,得到加密快照完整性保护信息;
将所述加密快照完整性保护信息保存在所述附加信息中。
11.根据权利要求9或10所述的方法,其特征在于,所述生成传输完整性密钥TIK包括:
通过硬件真随机数发生器,生成TIK;其中,TIK与TEK的密钥类型不同;所述密钥加密信息至少由KEK对TIK与TEK整体进行加密得到。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于海光信息技术股份有限公司,未经海光信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110694868.6/1.html,转载请声明来源钻瓜专利网。
