在管理器控制的系统中处理客户事件的制作方法
【技术领域】
[0001]本发明通常涉及数据处理系统,尤其是涉及用于在管理器控制的系统中处理客户事件的方法和系统。
【背景技术】
[0002]公共云的客户接受度被限制于非任务关键数据。核心业务数据经常是客户的重要资产,数据的保密性对企业的成功至关重要。只要客户不信任云环境,这些业务敏感环境的云接受度就会停留在最小。其中客户的主要关注点是对云供应商和云的安全缺乏信任。
[0003]对云供应商的信任是至关重要的,因为供应商的管理员能够完全监视客户的负载和数据。这种可能的用于刺探的违约是许多客户不愿意的原因。
[0004]对云安全的信任涉及管理器违约的威胁,即如果黑客获得对虚拟机管理器的访问,客户的负载和数据就再次处于风险中了。
[0005]保证机密性和隐私的方法这时受限于输入/输出(I/O):网络加密技术如安全套接字层(SSL)可以用来加密套接字连接并且磁盘加密工具如Linux上的dm-crypt可用于加密磁盘设备上的数据。
[0006]已经开发了可信平台模块(TPM),以保证在客户运行其负载时,引导链是有效的,但它不是部署在云环境。而且,TPMS不保证隐私而是充其量保证安装的完整性。
[0007]所有这些技术,即使使用,也不能解决管理器可以总是能全面监视客户,并用使用运行在客户机上的映像的潜在的敏感数据读取存储器内容的问题,其中客户通常可以是在管理器控制的系统上的虚拟机。上述提到的问题不能由这些技术消除。
[0008]US0302400/2011A1描述了一种方法,其通常包括由在具有多个处理核的中央处理单元(CPU)上的信任锚接收虚拟机(VM)映像。一旦接收到,虚拟机的映像被使用虚拟机映像加密密钥加密。该方法还包括获得虚拟机映像加密密钥,并使用虚拟机映像加密密钥配置第一加密/解密块。该方法还包括生成一个存储器会话密钥,并使用存储器会话密钥配置一个第二加密/解密块。该方法还包括将该虚拟机映像中的一个或多个页面抓取到多个处理内核可访问的存储器中。每个抓取的页面由第一加密/解密块使用虚拟机映像加密密钥解密,并且随后由第二加密/解密块使用存储器会话密钥加密。
【发明内容】
[0009]本发明的一个目的是提供一种在不可信的云环境中安全地处理客户数据的方法。
[0010]另一个目的是提供一种在不可信的云环境中安全地处理客户数据的系统。
[0011]这些目的是由独立权利要求的特征来实现的。其它权利要求,附图和说明书公开了本发明的优选的实施例。
[0012]根据本发明的方法的第一个方面,提出了一种在管理器控制的系统中处理客户事件的方法,包括步骤:(i)客户事件触发固件中专用于客户事件的第一固件服务,所述客户事件与客户、使用客户密钥加密的客户状态和客户存储器相关联;(ii)所述固件处理与所述客户事件相关联的信息,包括所述客户状态和所述客户存储器的信息,并且向管理器只展示以解密形式的所述客户状态和所述客户存储器的信息的子集,其中所述信息的子集被选择以满足所述管理器处理所述客户事件的需要;(iii)所述固件保留所述客户状态和所述客户存储器的没有发送给所述管理器的部分信息;(iv)所述管理器基于所述接收到的所述客户状态和所述客户存储器的信息的子集处理所述客户事件,并且向所述固件发送处理结果,所述固件触发专用于所述客户事件的第二固件服务;(V)所述固件处理所述接收到的处理结果以及没有被发送给所述管理器的所述客户状态和所述客户存储器的部分信息,生成状态和/或存储器的修改;(vi)所述固件在以加密形式的所述客户存储器上执行与所述客户事件相关的所述状态和/或存储器的修改。
[0013]第一个固件服务优选可以包括步骤(ii)和(iii),即步骤(ii)固件处理与客户事件相关的信息,包括;客户状态和客户存储器的信息,以及并且向管理器只展示处于加密形式的所述客户状态和所述客户存储器的信息的子集,其中所述信息的子集被选择以满足所述管理器处理所述客户事件的需要;以及(iii)所述固件保留所述客户状态和所述客户存储器的没有发送给所述管理器的部分信息。
[0014]第二固件服务优选地可以包括步骤(V)和(Vi),S卩(V)所述固件处理所述接收到的处理结果以及没有被发送给所述管理器的所述客户状态和所述客户存储器的部分信息,生成状态和/或存储器的修改;以及(vi)所述固件在以加密形式的所述客户存储器上执行与所述客户事件相关的所述状态和/或存储器的修改。
[0015]特别是,提到用于在管理器控制的系统中处理客户事件的方法展示了保护客户保密性的优势。因此,根据本发明的方法一般描述了安全管理虚拟机,同时保持虚拟机的内容对管理器的隐私,包括一个或者多个虚拟机,每个虚拟机具有包括加密的存储器和语境数据的资源,管理虚拟机资源和虚拟机状态的管理器,通过固件服务管理器执行对虚拟机的状态/存储器/语境的限制的访问的CPU辅助的虚拟化。
[0016]特别是,根据本发明的方法描述了在管理器控制的系统中处理客户事件,其中客户数据被使用管理器不能访问的客户密钥加密,并且其中CPU和固件被认为可信的,且当在客户语境中运行时能够访问客户密钥。在该语境中的固件,特别指在基于硬件环境中实现的系统软件。
[0017]由于根据本发明的方法描述了从为虚拟机加密的存储器运行虚拟机。然而,该方法防止管理器能够总是充分监视其客户,即虚拟机/映像,以及读取具有可能敏感数据的存储器的内容。优点是,所描述的方法不使用流程,如对具有(客户)秘钥服务的信任锚的认证,或者当从磁盘加载加密图像到存储器时,虚拟机映像的重加密(使用第二密钥)。该方法不需要使用不安全的普通计数器(CRT)模式加密,而是建议使用CRT模式加密的变种,像使用安全的密文窃取(XTS)模式加密的基于异或(XEX)调整的码书模式,它能处理中断或管理器拦截。该方法能够保护非加密的高速缓存内容,防止非授权访问并且能够处理I/O。所描述的方法不需要在CPU上的认证模块(例如TPM)。
[0018]特别用于扩展CPU架构的虚拟环境,优选地该方法还包括步骤:(i)如果CPU运行在客户语境中,由所述CPU解密或者加密所述客户存储器(22); (ii)允许所述客户通过非加密的存储器范围与外部通信;(iii)由所述管理器对所述客户存储器的加密页面分页。可以扩展CPU架构的虚拟化机制,使得客户的存储器总是被加密。这可以在CPU处理期间操作并且防止管理器以明文读取存储器或者注册内容。为有效处理,高速缓存器可以不被加密。然而,当客户的数据离开CPU时,该内容可以被加密。在客户执行过程中,客户存储器的加密可以通过CPU透明地发生,但只有当CPU正运行客户语境时才发生。
[0019]特别是对虚拟机的安全部署和执行,该方法优选地可以进一步地包括步骤(i)为所述客户提供所述客户密钥,该客户密钥被使用所述CHJ的私钥相关联的所述公钥加密,以传输给所述CHJ的所述密钥存储器;(i i)为所述CPU提供所述私钥,该私钥被存储在所述CPU中并被用于解密所述加密的密钥;(iii)当在客户语境中由所述CHJ运行客户或者固件代码时,所述客户密钥被用于加密和解密所述客户存储器(22)。因此,在管理器控制的系统中可以使能虚拟机的安全部署和执行。
[0020]每个CPU可以得到一个密钥对,它的私钥可以只被存储在CPU中,并且可以用来解密客户密钥。CPU的公钥可用于加密(和传输)客户私钥到CPU,在该CPU中,客户密钥可以被安全地存储和使用。
[0021]客户也可以产生密钥。客户密钥在传送给CHJ之前可以被使用CHJ的公钥进行加密。CPU可以使用该客户密钥来加密客户的存储器(但只有当在CPU虚拟化功能的语境中运行客户时)。客户密钥也可以被用于布署来自云环境中的客户的映像。
[0022]尤其是对引导映像生成和部署,根据本发明的方法优选地可以进一步包括步骤:
(i)由客户端或客户生成引导映像;(ii)使用所述客户密钥加密所述引导映像;(iii)将所述加密的映像传输给引导盘;(iv)由所述管理器将客户的所述加密的引导映像加载到所述客户存储器中;(V)启动客户作为在所述CPU级别的虚拟机的执行。其中客户是被加密的存储器区域、未加密的存储区域和加密的客户密钥定义的。客户密钥可以只由客户端、客户以及在客户语境的CPU分别知道,为了传输到CPU,客户密钥可以被使用与CPU的私钥相关联的公钥加密。不需要知道云操作者或者管理器。客户密钥可以为一个或者多个系统或者CPU被加密。
[0023]尤其对于引导镜像的引导过程,该方法优选地可以进一步包括步骤(i)当所述CPU在客户(20)语境中时,将执行在所述启动映像上的虚拟机内的执行线程解密为明文;(ii)当所述CPU在客户语境和所述客户状态时,解密所述客户存储器,所述客户语境和所述客户状态被保护防止所述管理器和其他客户访问。管理器可将引导映像的内容从引导盘读取到客户存储器而不重定位,其中引导盘的内容可以包括内核、参数、初始RAM磁盘。加载引导图像也可以包括安装常规加密(例如通过dm-crypt,一种通用的Linux加密工具)根文件系统。引导盘的内容可以进一步包括从常规加密的目标引导装置加载一个新内核的内核执行(kexec)环境。
[0024]特别是对虚拟机执行,该方法优选地可以包括步骤(i)扩展所述CHJ的虚拟化功能,以当所述客户存储器的所述加密区域以客户(20)语境被写入时,加密所述客户存储器;
(ii)当客户存储器的所述加密区域在客户(20)语境下被读出时,解密所述客户存储器;
(iii)保持所述客户存储器和客户寄存器的所述加密区域能够被所述管理器只以加密的形式访问。可以扩展该CHJ架构以提供定义好的装置来访问客户状态,其中访问方法可以只向管理器提供必要的信息来执行其任务(例如处理陷阱)。然而,所述访问方法之外不可以访问客户存储器和寄存器文件。这样可以保护客户的秘密,因为管理器完