-
公开(公告)号:CN113448681B
公开(公告)日:2024-05-03
申请号:CN202010229922.5
申请日:2020-03-27
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本申请公开了一种虚拟机监控器公钥的注册方法,包括:接收注册请求信息;其中,注册请求信息至少包括待注册虚拟机监控器公钥和业务服务器执行可信启动的完整性报告;其中,完整性报告包含:平台可信启动过程的完整性度量结果、虚拟机监控器可信启动过程的完整性度量结果和虚拟机监控器可信启动过程产生的虚拟机监控器公钥的完整性度量结果;对请求注册信息包含的数据进行验证;根据验证结果判断待注册虚拟机监控器公钥是否为虚拟机监控器可信启动过程产生的虚拟机监控器公钥;如果是,则接受所述待注册虚拟机监控器公钥的注册。本方案可以确保被验证服务器接受的公钥一定是真实的虚拟机监控器公钥,从而确保了虚拟机监控器公钥注册过程的安全性。
-
公开(公告)号:CN113448682B
公开(公告)日:2024-04-19
申请号:CN202010231214.5
申请日:2020-03-27
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F9/455
Abstract: 本说明书实施例公开了一种虚拟机监控器加载方法、装置及电子设备,在宿主机上配置有操作系统、动态可信模块、虚拟机和用于管理所述虚拟机的虚拟机监控器,该方法包括:根据宿主机的操作系统调用动态可信模块,基于动态可信模块来确定与虚拟机监控器对应的完整性度量值,并将完整性测量值在TPM的PCR寄存器中进行扩展,根据完整性度量值来加载虚拟机监控器,然后基于虚拟机监控器来将操作系统降格为客户机模式,可以安全地加载虚拟机监控器。
-
公开(公告)号:CN111966470B
公开(公告)日:2023-11-14
申请号:CN202010935373.3
申请日:2020-09-08
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器的加载方法、装置和电子设备,其中,上述虚拟机监控器的加载方法中,操作系统的启动加载器(boot loader)加载Host OS kernel和initramfs之后,上述Host OS kernel将上述initramfs安装到内存中的临时根目录(/),将控制权转移给上述initramfs的内存中的临时根目录下的初始化程序(/init),进入早期用户空间开始执行,然后上述initramfs的初始化程序调用钩子函数进行hypervisor的加载,在上述hypervisor加载完成之后,上述initramfs的初始化程序完成对磁盘上的真正根文件系统的安装(mount),并将控制权移交给上述真正根文件系统下的初始化程序。从而可以实现在系统完成内核加载之后并且进入用户空间之前实现虚拟机监控器的可信加载。
-
公开(公告)号:CN112364343B
公开(公告)日:2022-05-06
申请号:CN202011280930.9
申请日:2020-11-16
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器秘密的保护方法、装置和电子设备,其中,上述虚拟机监控器秘密的保护方法中,Host OS kernel从initramfs中加载虚拟机监控器,度量虚拟机监控器的完整性,将完整性度量值扩展到TPM的寄存器中,之后在任何用户态应用执行之前启动虚拟机监控器;虚拟机监控器在TPM的非易失存储器中查找加密数据;如果查找到,则虚拟机监控器读取所述加密数据,使用TPM的寄存器中的所述完整性度量值,对所述加密数据进行解封操作,获得秘密,并将所述秘密保存在所述虚拟机监控器的内存中;所述虚拟机监控器扩展常数到TPM的寄存器中,掩盖TPM的寄存器中的所述完整性度量值。
-
Patent Agency Ranking
公开(公告)号:CN113448682A
公开(公告)日:2021-09-28
申请号:CN202010231214.5
申请日:2020-03-27
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F9/455
Abstract: 本说明书实施例公开了一种虚拟机监控器加载方法、装置及电子设备,在宿主机上配置有操作系统、动态可信模块、虚拟机和用于管理所述虚拟机的虚拟机监控器,该方法包括:根据宿主机的操作系统调用动态可信模块,基于动态可信模块来确定与虚拟机监控器对应的完整性度量值,并将完整性测量值在TPM的PCR寄存器中进行扩展,根据完整性度量值来加载虚拟机监控器,然后基于虚拟机监控器来将操作系统降格为客户机模式,可以安全地加载虚拟机监控器。
-
公开(公告)号:CN113448681A
公开(公告)日:2021-09-28
申请号:CN202010229922.5
申请日:2020-03-27
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本申请公开了一种虚拟机监控器公钥的注册方法,包括:接收注册请求信息;其中,注册请求信息至少包括待注册虚拟机监控器公钥和业务服务器执行可信启动的完整性报告;其中,完整性报告包含:平台可信启动过程的完整性度量结果、虚拟机监控器可信启动过程的完整性度量结果和虚拟机监控器可信启动过程产生的虚拟机监控器公钥的完整性度量结果;对请求注册信息包含的数据进行验证;根据验证结果判断待注册虚拟机监控器公钥是否为虚拟机监控器可信启动过程产生的虚拟机监控器公钥;如果是,则接受所述待注册虚拟机监控器公钥的注册。本方案可以确保被验证服务器接受的公钥一定是真实的虚拟机监控器公钥,从而确保了虚拟机监控器公钥注册过程的安全性。
-
公开(公告)号:CN112364356A
公开(公告)日:2021-02-12
申请号:CN202110029023.5
申请日:2021-01-11
Applicant: 支付宝(杭州)信息技术有限公司
IPC: G06F21/57
Abstract: 本申请公开了一种数据处理设备和方法,包括:TEE板卡,用于实现可信执行环境,其中,所述TEE板卡包括第一内存与能够提供可信执行环境指令的第一中央处理器;以及主机,与TEE板卡具有信号连接,用于将至少部分数据处理操作部署到TEE板卡的可信执行环境中,以便至少部分数据处理操作在可信执行环境中执行。
-
公开(公告)号:CN112364343A
公开(公告)日:2021-02-12
申请号:CN202011280930.9
申请日:2020-11-16
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器秘密的保护方法、装置和电子设备,其中,上述虚拟机监控器秘密的保护方法中,Host OS kernel从initramfs中加载虚拟机监控器,度量虚拟机监控器的完整性,将完整性度量值扩展到TPM的寄存器中,之后在任何用户态应用执行之前启动虚拟机监控器;虚拟机监控器在TPM的非易失存储器中查找加密数据;如果查找到,则虚拟机监控器读取所述加密数据,使用TPM的寄存器中的所述完整性度量值,对所述加密数据进行解封操作,获得秘密,并将所述秘密保存在所述虚拟机监控器的内存中;所述虚拟机监控器扩展常数到TPM的寄存器中,掩盖TPM的寄存器中的所述完整性度量值。
-
公开(公告)号:CN111966470A
公开(公告)日:2020-11-20
申请号:CN202010935373.3
申请日:2020-09-08
Applicant: 支付宝(杭州)信息技术有限公司
Abstract: 本说明书实施例提出了一种虚拟机监控器的加载方法、装置和电子设备,其中,上述虚拟机监控器的加载方法中,操作系统的启动加载器(boot loader)加载Host OS kernel和initramfs之后,上述Host OS kernel将上述initramfs安装到内存中的临时根目录(/),将控制权转移给上述initramfs的内存中的临时根目录下的初始化程序(/init),进入早期用户空间开始执行,然后上述initramfs的初始化程序调用钩子函数进行hypervisor的加载,在上述hypervisor加载完成之后,上述initramfs的初始化程序完成对磁盘上的真正根文件系统的安装(mount),并将控制权移交给上述真正根文件系统下的初始化程序。从而可以实现在系统完成内核加载之后并且进入用户空间之前实现虚拟机监控器的可信加载。
-
-
-
-
-
-
-
-
Search Results
9
records
(took 0.028 seconds)
