一种虚拟机镜像保护方法、相关器件、芯片及电子设备与流程

技术特征：
1.一种虚拟机镜像保护方法，其特征在于，包括：获取虚拟机加密镜像中的镜像证书；其中，所述虚拟机加密镜像包括加密的镜像证书以及加密的虚拟机镜像文件，所述镜像证书携带虚拟机的镜像加密密钥，所述虚拟机镜像文件以所述镜像加密密钥进行加密并保存到硬盘中；解密所述镜像证书，以从所述镜像证书中至少获取到虚拟机的镜像加密密钥；至少将所述镜像加密密钥配置到硬盘控制器中，以便虚拟机在对硬盘中的虚拟机镜像文件进行读写时，使得所述硬盘控制器利用密码协处理器，以所述镜像加密密钥对虚拟机镜像文件进行加解密。2.根据权利要求1所述的方法，其特征在于，所述镜像证书以芯片私钥进行加密并签名；所述解密所述镜像证书，以从所述镜像证书中至少获取到所述虚拟机的镜像加密密钥包括：利用芯片公钥对镜像证书进行验签，在所述镜像证书验签成功后，从所述镜像证书中至少获取虚拟机的镜像加密密钥。3.根据权利要求1所述的方法，其特征在于，所述虚拟机加密镜像由cpu从机密计算服务器预先下载；在获取虚拟机加密镜像中的镜像证书之前，所述方法还包括：获取cpu从机密计算服务器下载的虚拟机的开放虚拟机固件ovmf、ovmf的原始度量信息；重新计算所述ovmf的度量信息；将重新计算的ovmf的度量信息与原始度量信息进行比较，以验证ovmf的完整性；其中，在验证ovmf完整时，虚拟机开始运行。4.根据权利要求3所述的方法，其特征在于，所述ovmf的原始度量信息以芯片私钥进行加密和签名；在验证ovmf的完整性之前，所述方法还包括：利用芯片公钥对所述原始度量信息进行验签，在所述原始度量信息验签成功后，获取解密的原始度量信息。5.根据权利要求1所述的方法，其特征在于，还包括：获取虚拟机发送的虚拟机镜像文件的读写请求；根据所述读写请求，向硬盘控制器设置数据传输信息，以便所述硬盘控制器基于所述数据传输信息启动虚拟机镜像文件在硬盘与虚拟机内存空间之间的数据传输；其中，在数据传输过程中，所述硬盘控制器利用密码协处理器，以所述镜像加密密钥对从硬盘读出的虚拟机镜像文件进行解密，以及对写入硬盘的虚拟机镜像文件进行加密；硬盘中虚拟机镜像文件保持以镜像加密密钥进行加密的加密状态。6.根据权利要求5所述的方法，其特征在于，所述读写请求至少包括读写的内存地址；所述根据所述读写请求，向硬盘控制器设置数据传输信息包括：根据所述内存地址以及虚拟机的地址空间标记asid，向硬盘控制器设置数据传输信息；所述至少将所述镜像加密密钥配置到硬盘控制器中包括：确定虚拟机的asid，将虚拟机的asid与镜像加密密钥配置到硬盘控制器中；其中，虚拟机的asid与虚拟机的镜像加密密钥相对应，并且与虚拟机在虚拟机内存空间中进行加解密的虚拟机加密密钥相绑定；所述虚拟机加密密钥用于对读取到虚拟机内存
空间的虚拟机镜像文件进行加密，以及对从虚拟机内存空间读出的虚拟机镜像文件进行解密；虚拟机内存空间中的虚拟机镜像文件保持以虚拟机加密密钥进行加密的加密状态。7.根据权利要求5或6所述的方法，其中，所述数据传输信息包括存储器直接访问dma信息，所述数据传输包括dma传输。8.根据权利要求1所述的方法，其特征在于，所述获取虚拟机加密镜像中的镜像证书包括：从虚拟机的虚拟机内存空间中获取以虚拟机加密密钥进行加密的镜像证书；通过内存控制器，以虚拟机的虚拟机加密密钥，对加密的镜像证书进行解密，以获取到虚拟机传输的镜像证书。9.一种虚拟机镜像保护方法，其特征在于，包括：至少获取安全处理器配置的虚拟机的镜像加密密钥；所述镜像加密密钥由所述安全处理器从虚拟机加密镜像中的镜像证书中解密得到，所述虚拟机加密镜像包括加密的镜像证书以及加密的虚拟机镜像文件，所述镜像证书携带所述虚拟机的镜像加密密钥，所述虚拟机镜像文件以所述镜像加密密钥进行加密并保存到硬盘中；获取安全处理器设置的数据传输信息，所述数据传输信息用于在虚拟机对硬盘中的虚拟机镜像文件进行读写时，启动虚拟机镜像文件在硬盘与虚拟机内存空间之间的数据传输；在数据传输过程中，利用密码协处理器，以所述镜像加密密钥对虚拟机镜像文件进行加解密。10.根据权利要求9所述的方法，其特征在于，所述在数据传输过程中，利用密码协处理器，以所述镜像加密密钥对虚拟机镜像文件进行加解密包括：在数据传输过程中，利用密码协处理器，以所述镜像加密密钥对从硬盘读出虚拟机镜像文件进行解密，以及对写入硬盘的虚拟机镜像文件进行加密；硬盘中虚拟机镜像文件保持以镜像加密密钥进行加密的加密状态。11.根据权利要求10所述的方法，其特征在于，所述数据传输信息包括虚拟机读写虚拟机镜像文件的内存地址，以及虚拟机的asid；所述方法还包括：获取安全处理器配置的虚拟机的asid，配置的虚拟机的asid与虚拟机的镜像加密密钥相对应，且虚拟机的asid与虚拟机在虚拟机内存空间中进行加解密的虚拟机加密密钥相绑定；其中，所述虚拟机加密密钥用于对读取到虚拟机内存空间的虚拟机镜像文件进行加密，以及对从虚拟机内存空间读出的虚拟机镜像文件进行解密；虚拟机内存空间中的虚拟机镜像文件保持以虚拟机加密密钥进行加密的加密状态。12.根据权利要求9-11任一项所述的方法，其特征在于，所述数据传输信息包括dma信息，所述数据传输包括dma传输。13.根据权利要求9所述的方法，其特征在于，还包括：在数据传输完毕后，发送中断信息给虚拟机，以指示虚拟机镜像文件完成传输。14.一种安全处理器，其特征在于，所述安全处理器被配置为执行如权利要求1-8任一项所述的虚拟机镜像保护方法。15.一种硬盘控制器，其特征在于，所述硬盘控制器被配置为执行如权利要求9-13任一
项所述的虚拟机镜像保护方法。16.一种芯片，其特征在于，包括如权利要求14所述的安全处理器，以及如权利要求15所述的硬盘控制器。17.一种电子设备，其特征在于，包括如权利要求16所述的芯片。

技术总结
本申请实施例提供一种虚拟机镜像保护方法、相关器件、芯片及电子设备，其中方法包括：获取虚拟机加密镜像中的镜像证书；其中，虚拟机加密镜像包括加密的镜像证书以及加密的虚拟机镜像文件，镜像证书携带虚拟机的镜像加密密钥，虚拟机镜像文件以镜像加密密钥进行加密并保存到硬盘中；解密镜像证书，以从镜像证书中至少获取到虚拟机的镜像加密密钥；至少将镜像加密密钥配置到硬盘控制器中，以便虚拟机在对硬盘中的虚拟机镜像文件进行读写时，使得硬盘控制器利用密码协处理器，以镜像加密密钥对虚拟机镜像文件进行加解密。本申请实施例能够通过多重保障手段，实现硬盘中的虚拟机镜像文件的可靠安全保护，并且能够降低用户使用复杂度和CPU资源开销。度和CPU资源开销。度和CPU资源开销。


技术研发人员：姜新 应志伟
受保护的技术使用者：海光信息技术股份有限公司
技术研发日：2021.12.24
技术公布日：2022/4/8