则可以数学地 求解该条目以回放在平台上发生的事件序列。由此,能够证明平台完整性。
[0087] 然而,由于系统810没有物理地绑定到任何客户端801而是取而代之通过网络进 行通信,使系统810确定各个客户端801中的任一个客户端是否经历电力循环是困难的。然 而,如果客户端的确具有TPM,则该TPM可追踪刚好够推断已经发生电力循环的信息。甚至 在给定可信执行环境命令可能未被给予本地TPM而是取而代之被截取并且指派给系统810 从而本地客户端TPM无法完全运转的情况下,这也是可能的。例如,在图8中,客户端80IA 被示为包括TPM 802A,客户端801B被示为包括TPM 802B,而客户端801E被示为包括TPM 802E〇
[0088] 在此情形中,账户管理模块812和/或系统810作为整体可以通过与安装在该客 户端中的本地客户端TPM进行通信(例如,在客户端802A的情形中与TPM 80IA进行通信) 来检测给定客户端已经被重新引导。例如,系统810可以从客户端801A接收指示已经发生 动力循环的加密陈述。存在能够发生这一操作的若干方式。
[0089] 在第一示例中,系统810和本地客户端TPM可以通信,以使得系统810接收到在电 力循环之际将被重置的与寄存器相关联的PCR值。系统810随后将系统处的受保护数据中 的PCR的当前值与本地客户端TPM中的PCR值作比较,并且可以推断是否已经发生了电力 循环。
[0090] 在第二示例中,本地客户端TPM可以在客户端每次通电之际建立短暂密钥,并且 随后与客户端处理器协商关于使用这一短暂密钥以便通信。系统810知晓这一短暂密钥, 因为它追踪通信。如果系统810检测到它不再能够理解通信,则该短暂密钥一定已经改变, 从而暗示客户端经历了电力循环。
[0091] 在一替换实施例中,系统810的电力循环甚至可以在系统810上没有TPM的情况 下被检测到。例如,这可以通过具有能够监视客户端系统的电力循环的系统监视器来完 成。这一系统监视器的一个非限制示例是MICROSOFT?的系统中央虚拟机监视器(即 SCVMM)〇
[0092] 只要新的客户端被添加到账户,系统810就可以将受保护数据添加到给定账户。 例如,当检测到与特定账户的通信并且该通信或多或少指示了该通信来自未经识别的客户 端时,则可以将新的数据集添加到该账户。因而,例如,假定客户端使用加密密钥来与系统 通信,如果使用未经识别的加密密钥的通信到达,则可能已经添加了新的客户端。同样地, 在对应客户端不再在账户上操作之后,可以删除该账户的受保护数据集。例如,可能存在垃 圾收集动作,其中在某一时间段(可能几年)内未被使用的受保护数据集从账户删除。
[0093] 策略模块814可用于取决于关于对应于客户端的受保护数据集的一个或多个数 据字段是否满足准则来允许客户端作出的动作。替换地或附加地,策略模块814可用于取 决于关于账户级数据集的一个或多个数据字段是否满足准则来允许与账户相关联的任何 客户端作出的动作。结合与受保护数据集相关联的存储器与本地TPM相比可被显著扩充的 事实,这能够实现极多的可能性。
[0094] 例如,假定给定客户端的受保护数据集包括客户端的恢复状态的整个映像(例 如,操作系统、任何标准应用、标准配置设置等)。如果该客户端被丢失或破坏,账户上的另 一客户端可以访问该映像并且将该映像安装到新的客户端上(假定满足某些策略),该策 略旨在受保护以免不正确地获得客户端的恢复状态。或者,密钥可被保持在受保护数据集 中,并且该密钥保护其他位置处的恢复状态。在这种情况下,只在策略被满足的情况下才使 得密钥可被访问。
[0095] 本发明可具体化为其它具体形式而不背离其精神或本质特征。所描述的实施例在 所有方面都应被认为仅是说明性而非限制性的。因此,本发明的范围由所附权利要求书而 非前述描述指示。落入权利要求书的等效方案的含义和范围内的所有改变应被权利要求书 的范围所涵盖。
【主权项】
1. 一种用于克隆具有相关联的可信执行环境的源虚拟机状态以制定目标虚拟机状态 的方法,所述方法包括: 访问具有身份的源虚拟机的源虚拟机状态的动作,所述源虚拟机状态包括至少具有背 书分层结构的可信执行环境,所述背书分层结构基于所述源虚拟机的身份; 复制所述源虚拟机状态以制定要与目标虚拟机相关联的目标虚拟机状态的动作,所述 目标虚拟机具有与所述源虚拟机的身份不同的身份,其中所复制的背书分层结构的签署部 分被禁用;以及 修改所述目标虚拟机状态使得所述目标虚拟机状态的背书分层结构基于所述目标虚 拟机的身份的动作。
2. 根据权利要求1所述的方法,其特征在于,所述源虚拟机状态表示在先前时间状态 时的虚拟机状态,其中所述克隆被执行以执行所述源虚拟机的回滚,使得所述目标虚拟机 能作为所述源虚拟机的经回滚版本来继续,并使得所述源虚拟机自身不再操作。
3. 根据权利要求1所述的方法,其特征在于,所述源虚拟机状态表示所述源虚拟机的 暂停状态,使得在所述克隆之后,所述源虚拟机以所述源虚拟机状态开始来继续操作,并使 得所述目标虚拟机使用所述目标虚拟机状态来开始操作。
4. 根据权利要求1所述的方法,其特征在于,所述背书分层结构的签署部分的启用是 以相关联的虚拟机的身份没有从形成所述背书分层结构的基础的身份改变为条件的。
5. 根据权利要求1所述的方法,其特征在于,所述源虚拟机状态是第一源虚拟机状态, 所述目标虚拟机是第一目标虚拟机,并且所述目标虚拟机状态是第一目标虚拟机状态,所 述方法进一步包括: 在所述源虚拟机从所述第一源虚拟机状态继续操作之后访问所述源虚拟机的第二源 虚拟机状态的动作,所述第二源虚拟机状态还包括基于所述源虚拟机的身份的背书分层结 构; 复制所述第二源虚拟机状态以制定要与第二目标虚拟机相关联的第二目标虚拟机状 态的动作,所述第二目标虚拟机具有与所述源虚拟机的身份不同的身份,其中复制到所述 第二目标虚拟机状态的背书分层结构的签署部分被禁用;以及 修改所述第二目标虚拟机状态使得所述第二目标虚拟机状态的背书分层结构基于所 述第二目标虚拟机的身份的动作。
6. 根据权利要求1所述的方法,其特征在于,所述源虚拟机是第一源虚拟机,所述目标 虚拟机是第二源虚拟机,所述方法进一步包括: 在所述第二源虚拟机从所述第一目标虚拟机状态继续操作之后访问所述第二源虚拟 机的第二源虚拟机状态的动作,所述第二源虚拟机状态还包括基于所述第二源虚拟机的身 份的背书分层结构; 复制所述第二源虚拟机状态以制定要与第二目标虚拟机相关联的第二目标虚拟机状 态的动作,所述第二目标虚拟机具有与所述第二源虚拟机的身份不同的身份,其中复制到 所述第二目标虚拟机状态的背书分层结构的签署部分被禁用;以及 修改所述第二目标虚拟机状态使得所述第二目标虚拟机状态的背书分层结构基于所 述第二目标虚拟机的身份的动作。
7. 根据权利要求1所述的方法,其特征在于,所述可信执行环境是基于软件的可信执 行环境。
8. 根据权利要求1所述的方法,其特征在于,所述可信执行环境至少部分地存在于云 计算环境中。
9. 根据权利要求1所述的方法,其特征在于,为存在于所述目标虚拟机状态内的可信 执行环境创建新背书密钥。
10. -种包括在其上具有计算机可执行指令的一个或多个计算机存储介质的计算机程 序产品,当所述计算机可执行指令由计算系统的一个或多个处理器执行时,使得所述计算 系统作为克隆组件,所述克隆组件执行以下操作: 检测源虚拟机的克隆要发生的动作; 响应于检测,访问具有身份的源虚拟机的源虚拟机状态的动作,所述源虚拟机状态包 括具有背书分层结构的可信执行环境,所述背书分层结构基于所述源虚拟机的身份; 复制所访问的源虚拟机状态以制定要与目标虚拟机相关联的目标虚拟机状态的动作, 所述目标虚拟机具有与所述源虚拟机的身份不同的身份; 确保至少所述背书分层结构的签署部分在复制之前被启用但在复制之后被临时禁用 的动作; 以所述背书分层结构的所复制的签署部分在所述目标虚拟机上被再次启用的方式创 建绑定到所复制的背书分层结构的新背书密钥的动作;以及 修改所述目标虚拟机状态使得所述目标虚拟机状态的背书分层结构基于所述目标虚 拟机的身份的动作。
【专利摘要】具有可信执行环境(诸如基于软件的可信平台模块)的虚拟机的克隆。为了克隆虚拟机,源虚拟机的虚拟机状态被复制以制定要与目标虚拟机相关联的目标虚拟机状态。目标虚拟机是源虚拟机状态的克隆,并且因而针对源虚拟机状态和目标虚拟机状态中的可信执行环境的存储分层结构可以是相同的。然而,因为目标虚拟机的身份与源虚拟机的身份不同,所以目标虚拟机状态的背书分层结构被更改,使得它基于目标虚拟机的身份而非源虚拟机。
【IPC分类】G06F9-455, G06F21-53
【公开号】CN104520869
【申请号】CN201380041313
【发明人】M·F·诺瓦克, A·J·雷曼, M·尼斯特伦, S·汤姆
【申请人】微软公司
【公开日】2015年4月15日
【申请日】2013年8月1日
【公告号】EP2880589A1, US8954965, US20140040890, WO2014022604A1