用于托管虛擬機(jī)的加密證實(shí)資源的制作方法
【專利說(shuō)明】用于托管虛擬機(jī)的加密證實(shí)資源
[0001] 相關(guān)申請(qǐng)的交叉引用
[0002] 本申請(qǐng)要求2013年7月1日提交的標(biāo)題為"CRYPTOGRAPHICALLY ATTESTED RESOURCES FOR冊(cè)STING VIRTUAL MACHI肥S"的美國(guó)非臨時(shí)專利申請(qǐng)序列號(hào)13/932,828的 優(yōu)先權(quán)���,所述專利申請(qǐng)?zhí)卮薟引用的方式全文并入本文并且用于所有目的。
【背景技術(shù)】
[0003] 隨著越來(lái)越多的應(yīng)用和服務(wù)在諸如互聯(lián)網(wǎng)的網(wǎng)絡(luò)上變得可用��,越來(lái)越多的內(nèi)容����、 應(yīng)用、和/或服務(wù)提供商轉(zhuǎn)向諸如云計(jì)算的技術(shù)��。一般來(lái)說(shuō)�,云計(jì)算是通過(guò)諸如網(wǎng)絡(luò)服務(wù)的 服務(wù)提供對(duì)電子資源的訪問(wèn)的方法��,其中用于支持那些服務(wù)的硬件和/或軟件是動(dòng)態(tài)可擴(kuò) 展的�,W便在任何給出的時(shí)間滿足服務(wù)的需要。用戶或客戶通常將通過(guò)云租用��、租出�、或另 外支付對(duì)資源的訪問(wèn),并且因此不必須購(gòu)買和維持需要的硬件和/或軟件�����。
[0004] 在運(yùn)種情況下,許多云計(jì)算供應(yīng)商利用虛擬化來(lái)允許多用戶共享基礎(chǔ)硬件和/或 軟件資源�。虛擬化可W允許計(jì)算服務(wù)器、存儲(chǔ)設(shè)備或其他資源被劃分為與特定用戶(例如����, 客戶)相關(guān)聯(lián)(例如,擁有)的多個(gè)孤立的實(shí)例(即虛擬機(jī))����。每一個(gè)虛擬機(jī)常規(guī)地包括它本身 的操作系統(tǒng),所述操作系統(tǒng)能夠代表用戶執(zhí)行一個(gè)或多個(gè)應(yīng)用����。虛擬化可W因此使各種用 戶能夠遠(yuǎn)程地運(yùn)行他們的應(yīng)用,在云計(jì)算提供商或操作人員的資源(例如��,主機(jī)服務(wù)器等) 上使用���。然而����,提供常規(guī)虛擬計(jì)算環(huán)境具有許多限制���。例如���,某些客戶可對(duì)由于在遠(yuǎn)程資源 上執(zhí)行虛擬機(jī)可產(chǎn)生的安全問(wèn)題特別敏感����。因?yàn)榭蛻舨痪哂袑?duì)運(yùn)些資源的物理訪問(wèn)���,所W 許多客戶想要獲取資源沒(méi)有被惡意用戶篡改或者W其他方式被盜用的某種加密保證�����。
【附圖說(shuō)明】
[0005] 將參照附圖描述根據(jù)本公開的各個(gè)實(shí)施方案�,在附圖中:
[0006] 圖1示出可W根據(jù)各種實(shí)施方案使用的電子資源環(huán)境的實(shí)例����;
[0007] 圖2示出根據(jù)各種實(shí)施方案,獲取在其上供應(yīng)虛擬機(jī)的主機(jī)計(jì)算設(shè)備上的資源的 加密測(cè)量的實(shí)例���;
[0008] 圖3示出根據(jù)各種實(shí)施方案,將加密測(cè)量與已經(jīng)被可信實(shí)體證實(shí)的一列認(rèn)可的測(cè) 量比較的實(shí)例�����;
[0009] 圖4示出根據(jù)各種實(shí)施方案,使用管理程序利用一個(gè)虛擬化技術(shù)的實(shí)例��;
[0010] 圖5示出根據(jù)各種實(shí)施方案����,提供可W被用來(lái)確保虛擬化計(jì)算環(huán)境的物理資源的 服務(wù)提供商的資源中屯、的實(shí)例��;
[0011] 圖6示出根據(jù)各種實(shí)施方案����,可W在虛擬化計(jì)算環(huán)境中對(duì)用戶提供的多個(gè)虛擬機(jī) 的虛擬網(wǎng)絡(luò)的實(shí)例;
[0012] 圖7示出根據(jù)各種實(shí)施方案�,用于證實(shí)被配置來(lái)托管虛擬機(jī)的計(jì)算資源過(guò)程的實(shí) 例;
[0013] 圖8示出根據(jù)各種實(shí)施方案��,用于編譯一列認(rèn)可的加密測(cè)量并將所述列提供到可 信第=方的過(guò)程的實(shí)例�����;
[0014] 圖9示出可W根據(jù)各種實(shí)施方案被利用的示例性計(jì)算設(shè)備的一組通用部件的邏輯 布置;并且
[0015] 圖10示出用于根據(jù)各種實(shí)施方案實(shí)現(xiàn)各方面的環(huán)境的實(shí)例�����。
【具體實(shí)施方式】
[0016] 在W下描述中���,將在附圖的圖式中作為實(shí)例而非作為限制示出各種實(shí)施方案���。對(duì) 在本公開中的各種實(shí)施方案的參考對(duì)于相同的實(shí)施方案是不必要的�,并且此類參考意味著 至少一個(gè)���。盡管討論了指定的實(shí)現(xiàn)和其他細(xì)節(jié)��,應(yīng)理解����,僅僅為了示例性目的執(zhí)行運(yùn)個(gè)���。相 關(guān)領(lǐng)域的技術(shù)人員將意識(shí)到在不背離所要求保護(hù)的主題的范圍和精神的情況下�,可使用其 他部件和配置�。
[0017] 根據(jù)本公開的各種實(shí)施方案的系統(tǒng)和方法可克服在用于加密證實(shí)計(jì)算資源的常 規(guī)方法中經(jīng)歷的前述缺點(diǎn)和其他缺點(diǎn)中的一個(gè)或多個(gè)。具體來(lái)說(shuō)���,各種實(shí)施方案使虛擬化 多組織計(jì)算環(huán)境的操作人員能夠加密證實(shí)和/或驗(yàn)證用來(lái)代表用戶(例如��,客戶、客戶端等) 執(zhí)行一個(gè)或多個(gè)虛擬機(jī)的計(jì)算資源的配置��。當(dāng)用戶請(qǐng)求對(duì)于用戶供應(yīng)虛擬機(jī)時(shí),虛擬化計(jì) 算環(huán)境(例如��,云計(jì)算服務(wù)提供商)的操作人員可W開始虛擬機(jī)的兩相啟動(dòng)�。在第一相中,操 作人員可在主機(jī)計(jì)算設(shè)備上供應(yīng)虛擬機(jī)��,并且隨后獲取在主機(jī)計(jì)算設(shè)備上的軟件和/或硬 件資源的加密測(cè)量�。加密測(cè)量可使用可信平臺(tái)模塊(TPM)來(lái)獲取,并存儲(chǔ)在TPM的平臺(tái)配置 寄存器(PCR)中�����。操作人員可隨后將加密測(cè)量提供到請(qǐng)求虛擬機(jī)的用戶����。如果用戶認(rèn)可加密 測(cè)量,那么操作人員可繼續(xù)進(jìn)行第二相并在主機(jī)計(jì)算設(shè)備上實(shí)際啟動(dòng)(即�����,開始執(zhí)行)虛擬 機(jī)�。在一些實(shí)施方案中,替代(或除了)將加密測(cè)量提供到用戶�����,操作人員可將加密測(cè)量與已 知測(cè)量或一列認(rèn)可的測(cè)量(例如,"白名單")或其他參考值比較���,W便確定主機(jī)計(jì)算設(shè)備對(duì) 托管虛擬機(jī)是否是可接受的��。所述列的認(rèn)可的加密測(cè)量可由用戶提供作為對(duì)供應(yīng)虛擬機(jī)的 請(qǐng)求的一部分�����,或可由可信實(shí)體(例如�����,可信第=方)提供����。
[0018] 根據(jù)實(shí)施方案���,用戶通過(guò)使用一個(gè)或多個(gè)應(yīng)用程序編程接口(APIK諸如由虛擬化 多組織計(jì)算環(huán)境的操作人員提供的網(wǎng)絡(luò)服務(wù)API)提交對(duì)虛擬機(jī)的請(qǐng)求����。在一些實(shí)施方案 中��,作為提交請(qǐng)求的一部分�����,當(dāng)供應(yīng)虛擬機(jī)時(shí)����,用戶可指定主機(jī)計(jì)算設(shè)備的特定配置或提供 待使用的一列認(rèn)可的加密測(cè)量。響應(yīng)于接收來(lái)自用戶的運(yùn)種請(qǐng)求�����,操作人員(例如�,在服務(wù) 器上的服務(wù))可W開始對(duì)用戶供應(yīng)虛擬機(jī)。具體來(lái)說(shuō)���,供應(yīng)虛擬機(jī)可包括選擇主機(jī)計(jì)算設(shè) 備;解壓包含虛擬機(jī)配置的機(jī)器圖像���;W及執(zhí)行任何其他必要步驟來(lái)對(duì)用戶供應(yīng)虛擬機(jī)。一 旦虛擬機(jī)已經(jīng)被供應(yīng)并且準(zhǔn)備在主機(jī)計(jì)算設(shè)備上被啟動(dòng)(即�,執(zhí)行),那么可暫停過(guò)程并且 可W獲取在主機(jī)計(jì)算設(shè)備上的各種軟件和/或硬件資源的一個(gè)或多個(gè)加密測(cè)量��。例如�����,在主 機(jī)計(jì)算設(shè)備上的可信平臺(tái)模塊(TPM)或其他加密模塊可被用來(lái)創(chuàng)建主機(jī)計(jì)算設(shè)備的軟件配 置的散列測(cè)量?���?蒞通過(guò)讀取在某些存儲(chǔ)器位置中的值并將散列函數(shù)應(yīng)用到那些值來(lái)生成 散列測(cè)量而創(chuàng)建散列測(cè)量。存儲(chǔ)器位置可與主機(jī)計(jì)算設(shè)備的基本輸入/輸出系統(tǒng)(BIOS)����、在 主機(jī)計(jì)算設(shè)備上的管理程序(或虛擬機(jī)管理器)、虛擬機(jī)的客體操作系統(tǒng)的配置���、硬件配置 寄存器�、在外圍部件互連(PCI)卡上的固件W及其他的相關(guān)聯(lián)����。在一個(gè)實(shí)施方案中,散列測(cè) 量是存儲(chǔ)在TPM的PCR中的安全散列算法1 (SHA-I)測(cè)量�����。
[0019] 一旦已經(jīng)獲取加密測(cè)量��,那么它們可W被用來(lái)確定在主機(jī)計(jì)算設(shè)備上的資源是否 處在可接受的狀態(tài)來(lái)啟動(dòng)虛擬機(jī)���。在一個(gè)實(shí)施方案中���,虛擬化多組織計(jì)算環(huán)境的操作人員 可將加密測(cè)量(例如�,SHA-1)提供到請(qǐng)求虛擬機(jī)的用戶����,并且用戶可在啟動(dòng)虛擬機(jī)之前認(rèn)可 或拒絕加密測(cè)量����。在另一個(gè)實(shí)施方案中,如果用戶已經(jīng)指定主機(jī)計(jì)算設(shè)備的特定配置作為 請(qǐng)求的一部分����,那么操作人員可將主機(jī)的加密測(cè)量與對(duì)應(yīng)于指定配置的已知和認(rèn)可的加密 測(cè)量(例如,已知的細(xì)A-1)比較��。在另一個(gè)實(shí)施方案中����,如果用戶已經(jīng)將一列認(rèn)可的加密測(cè) 量提供到操作人員(例如,作為虛擬機(jī)的請(qǐng)求的一部分或在不同的時(shí)間處)��,那么操作人員 可將加密測(cè)量與所述列的認(rèn)可的測(cè)量比較來(lái)確定是否認(rèn)可啟動(dòng)虛擬機(jī)或拒絕它��。在一些實(shí) 施方案中���,可由可信第=方證實(shí)所述列的認(rèn)可的測(cè)量���,諸如由多用戶通過(guò)(例如��,在互聯(lián)網(wǎng) 上)公布所述列���。
[0020] 在各種實(shí)施方案中,如果操作人員確定主機(jī)計(jì)算設(shè)備的配置的加密測(cè)量不匹配任 何認(rèn)可的參考值���,那么操作人員可W卷回恢復(fù)或撤銷在主機(jī)計(jì)算設(shè)備上供應(yīng)虛擬機(jī)的過(guò) 程�?���;蛘撸僮魅藛T可能W其他方式不將虛擬機(jī)提供到用戶����,諸如通過(guò)防止虛擬機(jī)加入用戶 的虛擬網(wǎng)絡(luò)。
[0021] 圖1示出可W根據(jù)各種實(shí)施方案使用的電子資源環(huán)境100的實(shí)例����。在運(yùn)個(gè)實(shí)例中, 終端用戶的計(jì)算設(shè)備102被展示能夠進(jìn)行呼叫通過(guò)至少一個(gè)網(wǎng)絡(luò)106(例如,互聯(lián)網(wǎng)��、蜂窩網(wǎng) 絡(luò)����、無(wú)線網(wǎng)絡(luò)、局域網(wǎng)絡(luò)(LAN)等巧Ij控制平面108中���,W便執(zhí)行諸如來(lái)在數(shù)據(jù)平面110中供應(yīng) 數(shù)據(jù)儲(chǔ)存庫(kù)或啟動(dòng)虛擬機(jī)的任務(wù)���。例如�,用戶或應(yīng)用104可W直接通過(guò)數(shù)據(jù)平面110的接口 訪問(wèn)儲(chǔ)存庫(kù)和/或虛擬機(jī)。盡管出于解釋的目的使用終端用戶計(jì)算設(shè)備和應(yīng)用�����,但是應(yīng)理 解�����,如在各種實(shí)施方案中適當(dāng)?shù)?,任何適當(dāng)?shù)挠脩簟?yīng)用���、服務(wù)��、設(shè)備�����、部件或資源可W訪問(wèn) 控制平面和/或數(shù)據(jù)平面的接口���。此外�,盡管部件被分成控制和數(shù)據(jù)"平面"�����,但是應(yīng)理解運(yùn) 可指用來(lái)提供各自功能性的至少一些資源(例如��,硬件和/或軟件)的邏輯上或地理上的真 實(shí)或虛擬分離���。
[0022] 在運(yùn)個(gè)實(shí)例中的控制平面108基本上是處理控制和管理行動(dòng)(諸如供應(yīng)����、實(shí)例化�����、 啟動(dòng)、縮放��、復(fù)制等)的硬件和軟件部件的虛擬層��。在運(yùn)個(gè)實(shí)施方案中的控制平面包括網(wǎng)絡(luò) 服務(wù)層112,或可W包括例如��,與計(jì)算機(jī)可執(zhí)行軟件����、應(yīng)用服務(wù)器或其他此類部件一起的至 少一個(gè)網(wǎng)絡(luò)服務(wù)器的層。網(wǎng)絡(luò)服務(wù)層還可W包括用于從跨過(guò)至少一個(gè)網(wǎng)絡(luò)106接收網(wǎng)絡(luò)服 務(wù)呼叫或請(qǐng)求的一組API 132(或其他此類接口)����。每一個(gè)API可被提供來(lái)接收對(duì)相對(duì)于數(shù)據(jù) 環(huán)境待執(zhí)行的至少一個(gè)指定行動(dòng)的請(qǐng)求。在接收對(duì)一個(gè)API的請(qǐng)求時(shí)�,網(wǎng)絡(luò)服務(wù)層可W解析 或者另外分析請(qǐng)求來(lái)確定需要作用于或處理呼叫的步驟或行動(dòng)���。例如�����,可能接收包括對(duì)啟 動(dòng)虛擬機(jī)的請(qǐng)求的網(wǎng)絡(luò)服務(wù)呼叫���。在運(yùn)個(gè)實(shí)例中�,網(wǎng)絡(luò)服務(wù)層可W解析請(qǐng)求來(lái)確定待創(chuàng)建 的虛擬機(jī)的類型�、請(qǐng)求的硬件的類型(如果存在的話)、或其他此類方面��。請(qǐng)求的信息可W被 寫入到管理(A血in)數(shù)據(jù)存儲(chǔ)���,或其他適當(dāng)?shù)拇鎯?chǔ)體位置或作業(yè)隊(duì)列�����,用于隨后的處理�����。
[0023] 在一個(gè)實(shí)施方案中的網(wǎng)絡(luò)服務(wù)層包括可擴(kuò)展的一組面向客戶服務(wù)器�,所述面向客 戶服務(wù)器可W提供各種控制平面API并基于API規(guī)范返回適當(dāng)?shù)捻憫?yīng)���。網(wǎng)絡(luò)服務(wù)層還可W包 括至少一個(gè)API服務(wù)層���,所述API服務(wù)層在一個(gè)實(shí)施方案中由處理面向外部客戶API的無(wú)狀 態(tài)、復(fù)制服務(wù)器組成�����。網(wǎng)絡(luò)服務(wù)層可W對(duì)網(wǎng)絡(luò)服務(wù)前端特征負(fù)責(zé),諸如基于證書驗(yàn)證客戶���; 授權(quán)客戶���;將客戶請(qǐng)求限流到API服務(wù)器;驗(yàn)證用戶輸入;W及封送或解封送請(qǐng)求和響應(yīng)�����。 API層還可W響應(yīng)于API呼叫���,對(duì)從管理數(shù)據(jù)存儲(chǔ)讀取配置數(shù)據(jù)/將配置數(shù)據(jù)寫入到管理數(shù) 據(jù)存儲(chǔ)負(fù)責(zé)����。在很多實(shí)施方案中�����,網(wǎng)絡(luò)服務(wù)層和/或API服務(wù)層將是唯一外部可見的部件��,或 對(duì)于控制服務(wù)的客戶可見���,并可被控制服務(wù)的客戶訪問(wèn)的唯一部件�。如在本領(lǐng)域中已知的��, 網(wǎng)絡(luò)服務(wù)層的服務(wù)器可W是無(wú)狀態(tài)的和水平縮放的��。API服務(wù)器��,W及持久性數(shù)據(jù)存儲(chǔ)���,可 W在區(qū)域中傳遍多數(shù)據(jù)中屯��、�����,例如����,W使得服務(wù)器對(duì)單一數(shù)據(jù)中屯���、故障是彈性的�。API或其 他此類部件的功能或配置可W由至少一個(gè)系統(tǒng)管理部件114或其他此類系統(tǒng)或服務(wù)管理����。
[0024] 在運(yùn)個(gè)實(shí)施方案中的控制平面108包括至少一個(gè)主機(jī)監(jiān)測(cè)部件116�����。主機(jī)監(jiān)測(cè)部件 可W包括硬件和/或軟件的任何適當(dāng)?shù)慕M合����,所述硬件和/或軟件包括用于監(jiān)測(cè)數(shù)據(jù)平面的 方面的指令�。例如,主機(jī)監(jiān)測(cè)部件可W包括專用主機(jī)����、跨許多機(jī)器分布的過(guò)程、或網(wǎng)絡(luò)服務(wù)���, 在其他此類選擇中�����。當(dāng)在數(shù)據(jù)平面中創(chuàng)建虛擬機(jī)(VM)時(shí)��,可W將VM的信息寫到在控制平面 中的數(shù)據(jù)存儲(chǔ)�,諸如監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)120��。應(yīng)理解�,監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)可W是單獨(dú)的數(shù)據(jù)存儲(chǔ),或可 W是另一個(gè)數(shù)據(jù)存儲(chǔ)的一部分(諸如在Admin數(shù)據(jù)存儲(chǔ)122中的一組不同表格)�����,或其他適當(dāng) 的儲(chǔ)存庫(kù)��。主機(jī)監(jiān)測(cè)部件116可W訪問(wèn)在監(jiān)測(cè)數(shù)據(jù)存儲(chǔ)中的信息�����,W便確定有效VM����、資源實(shí) 例、或在數(shù)據(jù)平面110中的其他此類資源或部件134��。主機(jī)監(jiān)測(cè)部件還可W執(zhí)行其他任務(wù)��,諸 如收集來(lái)自控制平面和/或數(shù)據(jù)平面(諸如網(wǎng)絡(luò)服務(wù)層和各種主機(jī)管理器128)的多部件的 日志和/或事件信息����。出于諸如實(shí)現(xiàn)面向客戶的API的目的,使用此類事件信息����,監(jiān)測(cè)部件可 W暴露客戶可見的事件����。監(jiān)測(cè)部件可W不斷監(jiān)測(cè)控制平面的所有運(yùn)行儲(chǔ)存