[发明专利]基于标签的vTPM私密信息保护方法在审
申请号: | 201810620056.5 | 申请日: | 2018-06-15 |
公开(公告)号: | CN108804203A | 公开(公告)日: | 2018-11-13 |
发明(设计)人: | 陈兴蜀;王伟;金鑫;陈佳昕;金逸灵;蔡梦娟;蒋超;王启旭;兰晓 | 申请(专利权)人: | 四川大学 |
主分类号: | G06F9/455 | 分类号: | G06F9/455;G06F21/60;H04L9/08;H04L9/32 |
代理公司: | 成都信博专利代理有限责任公司 51200 | 代理人: | 张辉 |
地址: | 610065 四川*** | 国省代码: | 四川;51 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | 本发明公开了一种基于标签的vTPM私密信息保护方法,包括:步骤1、系统部署前的初始化工作;步骤2:为每一个虚拟机的vTPM实例分别建立一个vTPM标签;步骤3:从虚拟机的镜像文件中提取vTPM标签,检查vTPM标签相关内容,判断虚拟机和vTPM的对应关系是否正确,进而决定虚拟机是否启动;步骤4:根据步骤3得到的解密vTPM标签的加密信息字段得到的KEY,进行哈希操作、加密、解密、验证哈希值等,对vTPM私密信息进行机密性保护和完整性验证;步骤5:当虚拟机在动态迁移时,安全迁移vTPM的易失性信息、私密信息以及vTPM标签。本发明利用vTPM标签实时地保护vTPM私密信息的机密性、完整性、虚拟机与vTPM实例关联关系的一致性,建立vTPM和物理可信平台模块之间的关联。 | ||
搜索关键词: | 虚拟机 标签 私密信息 私密信息保护 解密 哈希 可信平台模块 机密性保护 完整性验证 动态迁移 关联关系 加密信息 镜像文件 系统部署 初始化 机密性 易失性 字段 加密 迁移 验证 关联 检查 安全 | ||
【主权项】:
1.一种基于标签的vTPM私密信息保护方法,其特征在于,包括以下步骤:步骤1:系统部署前的初始化工作;在每一台宿主机上建立物理可信平台模块的两个不可迁移密钥RSA_local和RSA_mig,并通过证书颁发机构为RSA_mig密钥生成相应的数字证书;步骤2:为每一个虚拟机的vTPM实例分别建立一个vTPM标签,标签的具体结构为:状态字段、有效期字段、加密信息字段、UUID哈希值字段、QEMU度量值字段、签名算法字段、签名值字段;收集启动虚拟机的进程代码段、虚拟机的UUID,借助于物理可信平台模块的功能填充vTPM标签中的各个字段,最后将vTPM标签存储于虚拟机的QCOW2格式镜像文件的头部扩展中;步骤3:当虚拟机启动时,从虚拟机的镜像文件中提取vTPM标签,检查vTPM标签的完整性和有效期、启动虚拟机的进程的代码段是否和vTPM标签中记录的一致、虚拟机的UUID是否和vTPM标签中记录的一致三项内容,进而判断虚拟机和vTPM的对应关系是否正确,如果正确,利用物理可信平台模块解密vTPM标签的加密信息字段,并正常启动虚拟机,否则终止虚拟机启动;步骤4:当虚拟机正常运行时,QEMU会将vTPM的私密信息实时地同步到vTPM实例文件中,通过截获QEMU对于vTPM实例文件的读写操作,根据步骤3得到的解密vTPM标签的加密信息字段得到的KEY,在写入之前进行哈希操作并加密,读取之后进行解密并验证哈希值,实时地对vTPM私密信息进行机密性保护和完整性验证;步骤5:利用vTPM标签支持不同状态的特性,当虚拟机在动态迁移时,安全迁移vTPM的易失性信息、私密信息以及vTPM标签。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810620056.5/,转载请声明来源钻瓜专利网。