专利名称:计算机秘密的迁移的制作方法
计算机秘密的迁移背景在许多计算场景中,存在着安全地对信息保密的各种原因。最典型的示例是密 码密钥,其用于出于隐私而加密数据或用于对数据进行数字签名或用于计算消息认证码 (MAC)。因为软件解决方案不提供保持这些秘密的特别安全的方式,所以当代计算设备转 向硬件解决方案来保持秘密。为此,一些现代计算机器包括诸如可信平台模块(TPM)等硬 件设备或类似设备(此处为简明起见,TPM或TPM类设备将被称为TPM类设备而不论其实 际上是否是TPM设备)。TPM类设备维护系统状态的测量的防篡改存储器,其用于测量该机 器的引导过程(以检测对该机器的系统代码的篡改)。系统状态的测量是防篡改的并且不 是秘密,但TPM类设备可以通过被称为“密封”的过程来持有或准备秘密,该过程保留密封 的秘密以只发行给系统的运行被授权能够访问该密封秘密的代码的将来实例,其中该代码 由系统状态的测量来标识。TPM类设备还能够在其支持的系统请求该应用时在一定程度上 担当密码处理器,其一般是持有密码密钥并可视需要应用它们的硬件设备。通常,秘密的密封被绑定到测量链并最终绑定到物理TPM类设备的物理防篡改 性,所以其可以实施如下典型策略只将这样的秘密发行给密封该秘密的软件的免篡改版 本。所测量的代码的任何部分的任何修改都改变该代码的测量,从而造成与该密封秘密的 典型访问控制策略的匹配失败并造成TPM类设备拒绝发行该密封秘密。在保护以防软件篡 改时,这是合乎需要的安全效果。然而,存在着其中这一安全效果不合需要的情况。作为示例,考虑虚拟机的概念。 虚拟机旨在用作物理机,但可与其他虚拟机一起在同一物理机上运行,如出于服务器合并 的目的。出于包括维护、负载平衡等各种原因,将虚拟机迁移到不同的物理机有时是合乎需 要的。然而,在秘密被硬件绑定到特定物理机的情况下,如果该虚拟机的运作需要使用密封 秘密,则上述安全效果阻止这样的虚拟机迁移。这一问题还在其他计算场景中发生,如在群 集服务器的各节点之间交换秘密。当在原始物理计算机停止运作的情况下需要将备份秘密 还原到新物理计算机时,也发生这一问题。此处参考的TPM类设备可以是诸如TPM等硬件 设备或执行相同功能的软件功能。概述提供本概述以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表 性概念。本概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在以限制 所要求保护的主题的范围的任何方式来使用。简言之,此处描述的主题各方面针对可用于将被密封到TPM类设备的秘密安全地 从一个物理源机器迁移到物理上不同的目的地机器的技术。这一技术将密封秘密当作从一 个TPM类设备在稍后时间(具有可能不同的软件环境)到其自身的消息。用于该秘密的发 行的安全策略需要将目的地软件环境的测量与同被密封的秘密一起包括在密封“消息”内 的策略中列出的测量进行比较。在传统情况下,该消息由密钥进行加密和完整性保护,该密 钥对该一个硬件TPM类设备是私有的。
此处提供了该消息的变型,其使用属于第三实体(即该源所信任的服务(密钥服 务器))的密钥进行加密和完整性保护。这可包括目的地机器用于将它所测量的软件配置 的证明提供给密钥服务器(被称为“证明”的过程)的协议,并且密钥服务器对照密封“消 息”中的策略来评估该软件配置并决定是否发行该秘密。如果满足该策略,则密钥服务器向 目的地机器发行密封秘密或用于加密该密封秘密的会话密钥。如果该秘密将不与密钥服务 器共享而只与目的地机器共享,则使用后一变型。在一个方面,向密钥服务器执行证明包括提供来自目的地机器的凭证和配置数据 (例如,与代码的测量相对应的数据)。此外,可以向密钥服务器提供附加策略数据,如目的 地机器所提供的指示该目的地机器的当前状态的状态数据,密钥服务器对照当前状态来评 估该附加策略数据。在一个示例实现中,目的地机器处接收到的秘密或秘密集合与虚拟TPM类秘密相 对应。在经由与密钥服务器的交互来解封时,这些秘密可用来将虚拟机从源机器迁移到目 的地机器。即,虚拟机(或任何其他软件状态,如进程)能以小片的形式从一个环境迁移到 另一个,包括该软件所使用的非秘密和秘密的集合。非秘密被从一个环境复制到另一个。秘 密如此处所指定地迁移。只有在两者都到达目的地环境并且都对目的地环境可用时,软件 迁移才完成。在一个方面,源机器上的软件通过构建与TPM类设备在密封秘密时所构建的消息 相类似的迁移消息来准备供迁移的秘密数据。迁移消息包括秘密和按要被允许访问该秘密 的软件环境(如其TPM类测量)的特性来表达的策略。这一迁移消息可以与该软件一起保 持,并且如果该软件也要迁移的话则与它一起迁移。在迁移该软件及其数据的情况下,迁移 消息中的密封秘密因而可由目的地机器访问。该机器向持有可将密封迁移消息解封的密码 密钥的密钥服务器呈现迁移消息。密钥服务器还从目的地机器接收软件环境特性的、其需 要对照迁移消息的策略来进行比较的证明,并且如果满足该策略,则将数据返回到目的地 机器。密钥服务器可以合并到源机器中,或可以独立于源机器。密钥服务器向目的地机器 所揭示的秘密可以是实际秘密或用于对实际秘密加密的临时加密密钥(后一选项在不与 密钥服务器共享实际秘密的情况下使用)。在一个方面,密钥服务器可以从目的地机器接收密封迁移消息和证明数据。该证 明数据包括目的地环境的测量或其他特性以允许密钥服务器评估迁移消息中的安全策略。 该证明数据还需要密码地进行完整性保护和认证,如用公钥数字签名。目的地服务器本身 的认证可以使用公知实践通过数字证书来证明,并且来自该证书的一个或多个字段可以用 作迁移消息中的安全策略的一部分,以使得只有被授权的目的地机器才被允许报告测量和 接收迁移秘密。结合附图阅读以下详细描述,本发明的其他优点会变得显而易见。附图简述作为示例而非限制,在附图中示出了本发明,附图中相同的附图标记指示相同或 相似的元素,附图中
图1是表示用于在物理机之间迁移秘密的示例网络配置的框图。图2是表示用于在物理机之间迁移秘密的替换示例网络配置的框图。图3是表示其中秘密只被迁移到适当的物理机的替换示例网络配置的框图。
图4是表示一个机器采取来处理来自另一机器的虚拟机迁移请求的示例逻辑的 流程图。图5是表示密钥服务器采取来方便虚拟机迁移的示例逻辑的流程图。详细描述此处描述的技术的各方面一般针对克服阻止秘密迁移的安全效果,该秘密是经由 使用所保持的嵌入在TPM类设备的硬件内的存储密钥(s-密钥或Ks)来保持的。为此,该 技术通过使用不同的存储密钥(称为迁移密钥(m-密钥或KJ)来方便秘密的迁移,该迁移 密钥可以是由诸如现有RMS服务器(权限管理服务,微软Windows Server产品)等密钥 服务器提供的密钥。这一密钥可以只在迁移过程中使用,或可在所有时间使用以使得在需 要将秘密解封的任何时间都不需要与服务器的进一步通信。尽管此处使用的示例一般针对出于迁移虚拟机的目的的秘密迁移,但可以理解, 可以迁移任何类型的秘密。因此,此处使用任何密封数据集或数据团的概念来指至少一个 秘密及可能相关的信息(如提供关于哪一或哪些实体可以查看该秘密的准则的策略)的集 合。如此,本发明不限于此处所描述的任何特定实施例、方面、概念、结构、功能或示例。相 反,此处所描述的实施例、方面、概念、结构、功能或示例中的任一个都是非限制性的,并且 本发明一般能够以在计算和数据迁移方面提供好处和优点的各种方式来使用。转向图1,示出了尝试或准备将某数据集(数据团)104迁移到机器B 106的机器 A 102,数据集104包括密封秘密(或秘密集合)108。在该示例中,迁移数据104包括如下 所述的策略110,其用在机器A的TPM类设备TPMa中维护的密钥Ksa来进行完整性保护(签 名)。密封策略的一部分(或全部)包括用来对秘密108进行加密的迁移密钥Km,该迁移 密钥自身用密钥服务器的加密密钥Kks来加密。在机器B 106接收到数据104时,机器B 106不能直接将数据集104解封(解密), 因为它不知道Kks。相反,作为被称为证明的过程的一部分,机器B106与密钥服务器112进 行通信,并且还将其凭证连同该团一起提供给密钥服务器112。密钥服务器112直接或作为 公钥/私钥关系的一部分而知道Ksa,用于验证该消息的策略的完整性。其还拥有Kks的解 密密钥。注意,机器A 102不必将数据集104直接发送到机器B 106。该数据集(迁移消息) 可以与软件状态(如果该软件要迁移的话)一起留在要迁移的机器A上。该数据集可以留 在某一储存库中(诸如但不限于密钥服务器)并且只有它的路径被传递到机器B 106,或者 该数据集可以与软件状态一起存储在机器A102上。该数据集可以连同作为软件状态的一 部分的其他数据一起存储在备份介质中并且只在数据恢复过程期间被传递到机器B 106。关于证明,密钥服务器112验证机器B 106是否有权将该秘密解封,在图1的示例 中这可以与接收迁移密钥Km相对应。评估机器B的凭证,该凭证是确保机器B 106除具有 正确的凭证之外尚未被篡改的任何配置数据。例如,证明可包括指示在引导过程中测量的 并在机器B的TPM类设备维护的机器配置的注册表值(被签名)和/或报告日志 连同注册表值(两者都被签名)。注意,机器B自身可以是TPM类设备并且秘密108可以是 结构上类似于数据110的策略和Km。在这种情况下,可从一个TPM类设备向另一个传递密 封数据的解封策略,以使接收TPM类设备稍后可根据所需策略将该数据解封。还要注意,密 钥Km可以是实际秘密,在这种情况下,迁移消息104中没有加密的秘密108。
6
此外,除声明机器B 106确实是机器B并且另外处于良好的配置中的策略数据之 外,需要满足策略数据110中阐明的附加准则。例如,机器B可能只能够在一天的特定时间 访问一个或多个秘密106的集合,在机器B 106在其当前正在运行程序XYZ的情况下可能 不能够访问秘密108,机器B可能需要遵循其他安全检查,等等。如果机器B 106有权接收迁移密钥Km,则密钥服务器112提供它(使用安全协议 等)。有了迁移密钥Km,机器B 106将秘密108(如果有的话)解密,并可以在需要时使用 它们。在以上示例中,迁移密钥Km提供TPM类密封秘密108,其只对迁移密_Km密封(TPM 类设备担当安全处理器)。在该示例中,对秘密集合108的每一次解封都需要与密钥服务器 112进行通信,该密钥服务器是该解封的迁移密钥的持有者。给定密封秘密的迁移密钥Km对该秘密而言是唯一的。每一秘密可以由全局唯一 ID(例如,密钥服务器所分配的大随机数或序列号)来标识并且密钥服务器可为该秘密提 供迁移密钥Km。如可容易地明白的并如下所述,因为提供了迁移的TPM类密封秘密,所以该秘密 可以经由存储密钥被密封到本地TPM类设备或对于虚拟机而言可以密封到虚拟TPM类设备 (V. TPM)。通过用会话类迁移密_Km重新加密该秘密来准备该秘密以用于迁移,如用于该特 定迁移。这一加密的团随后被发送到目的地TPM类设备(在该示例中是机器B 106),该TPM 类设备参与同密钥服务器112的协议,向该服务器认证(通过证明),接收该团的迁移密钥 Km,解密该团并在该TPM类设备的具有其自己的存储密钥Kste的TPMb中重新加密该团。或者,还如图1所示,与密钥服务器112的每一次通信都可建立唯一的新鲜会话密 钥Ksess,由此密钥服务器112从不需要发行迁移密钥Km。密钥服务器112改为使用迁移密 钥Km来解密该团,并且用会话密钥Ksess来重新加密该解密的团的秘密。密钥服务器随后将 Ksess和用Ksess重新加密的秘密提供给机器B 106。在该示例中,迁移密_Km可以对机器A 102所密封的任何秘密保持相同。另一替换在图2中表示,其中机器A内的源TPM类设备或某一其他受保护环境合 并了密钥服务器212。这样的过程可以对等地操作,从而消除了对图1中的单独密钥服务器 的需求。如上所述,在这一过程期间作出了访问控制决定。例如,源TPM类设备(例如,机 器A)需要决定是否允许特定密钥服务器访问它所保护的秘密。作出所使用的协议是否允 许密钥服务器处理受保护的秘密的各个位的这一决定。从密码分析的观点看,假定攻击者 能够将这些位复制并传递给密钥服务器。—旦机器A允许密钥服务器访问,则密钥服务器作出访问控制决定,从而决定目 的地TPM类设备(例如,机器B)是否被授权接收受保护的秘密。在只被用于将秘密从一个 平台迁移到另一个时,这可以是密钥服务器可作出的唯一决定。然而,如上所示,可能存在关于是否可以迁移秘密集合的决策准则的大型集合。例 如,在所迁移的是虚拟机的情况下,策略可以声称同一物理机不能允许一个虚拟机(VMl) 与另一虚拟机(VM2)共存。因此,目的地机器可具有用于接受并运行虚拟机VM2的凭证和 引导配置数据,但在其当前正在运行VMl的情况下不满足该策略,由此不允许迁移。这样的 准则可以基于安全要求、商业惯例或任何其他事物,然而,是否允许目的地TPM类设备访问特定受保护秘密的安全决定是该更大决定的一部分。关于证明,每一 TPM类设备都使用一协议中的某一密码密钥将其自身向证明拥有 该密钥(通常通过对消息进行签名)的密钥服务器(例如,密钥服务器112)认证。密钥服 务器随后使用一个或多个证书来确定目的地TPM类设备的性质(例如,其篡改保护强度) 并可能确定其中容纳该TPM类设备的物理计算机的保护器的性质,包括该保护器对密钥服 务和被保护数据的一个或多个所有者的关系。这一经验证的关系集合使得正在迁移的受保 护的秘密或具有这样的秘密的虚拟机免于迁移到该秘密的所有者或该所有者的某一代理 的控制之外的机器。用于证明这些属性(关系、硬件特性等)的证书可以是任何格式。通 常,当今的证书包括X. 509、SAML以及XrML,但可以使用诸如SPKI/SDSI等实验格式以及尚 未开发出的格式。在一典型实现中,这些证书不向商业证书授权机构进行验证(这是X. 509 证书使用中的一般惯例),而是向由所实施的安全策略的创建者所控制的特定根进行验证。 这是公知的良好实践,但不是通常应用的,因为据信其一般引入管理和代码复杂度。注意,在图2中,源TPM类设备合并了密钥服务器212并且不需要向自身授予任何 特殊访问。换言之,包括TPMA的机器A 202已经能够访问所讨论的秘密。然而,在其作为 密钥服务器212的角色时,作出以上参考机器B 206描述的一个或多个安全决定。作为虚拟机的迁移的示例,包括诸如虚拟TPM来设备等适当的秘密的示例,图3示 出具有机器A 302、机器B 306以及机器C 330的联网环境。注意,在图3的示例中,所示密 钥服务器312与源机器A 302分开,但可改为与图2的示例一样被合并到机器A中。在该示例中,机器A 302正尝试将虚拟机VM2迁移到网络上的另一机器。作为这一 过程的一部分,虚拟机管理器(VMMa)在虚拟TPM类设备V. TPM2中维护虚拟机VM2的秘密, 并且还维护虚拟机VM2的虚拟硬盘驱动器VHD2。V. TPM2中的秘密由V. TPM2私有的存储密钥K2来保护。使用K2加密的秘密随后是 与其他数据一起存储在的正常数据。要迁移的秘密因此只有K2。由V.TPM2保护的 秘密例如可包括密码密钥、散列值以及可能包括虚拟硬盘驱动器VHD2的各部分的密钥。机 器A 302通过用迁移密钥Km进行加密来密封存储密钥K2308。如上所述,这一迁移密钥Km 可以密封在策略数据310内,该策略数据由密钥服务器312已知的存储密钥1来加密。在图3的示例中,机器C 330接收迁移请求团并将它连同其证明数据一起传递到 密钥服务器312。然而,不论是因为不正确的凭证、配置和/或是因为机器C未能满足该策 略,密钥服务器都拒绝该对于迁移密钥(或用会话密钥重新加密的数据集)的请求。成功 迁移的这一失败可以用某种方式返回给机器A302,或在例如机器C是不确认迁移请求失败 的恶意机器的情况下可以超时。另选地或在某一其他时间,机器A寻找另一机器来向其迁移虚拟机VM2。在该示例 中,这一次机器B 306接收该迁移请求/数据团3042。在该示例中,机器B的证明数据和策 略遵从对密钥服务器312而言是可接受的,并且因此机器B接收机器B可用于将V. TPM2秘 密解封的迁移密钥Km或会话密钥Ks_,并使用它们来迁移虚拟机VM2,包括使用TPMb存储密 钥重新加密它们以供在机器B 306上的虚拟V. TPM2的新实例中使用。图4示出可由目的地机器在处理虚拟机迁移请求(包括来自虚拟TPM类设备的秘 密)时采用的示例逻辑。步骤402表示接收包括策略和V. TPM秘密以及可能其他秘密的团。 步骤404评估目的地机器是否将允许该迁移,其可出于各种原因(例如,本身过度负载)来
8选择不迁移。注意,步骤404可以在源和目的地机器之间预先协商,由此允许服从正确的证 明和/或满足其他策略的迁移。步骤414表示在不允许迁移的情况下用合适的错误代码通 知源机器。如果相反,目的地机器愿意接受迁移的虚拟机,则步骤406表示将该团发送到密 钥服务器,包括目的地机器需要来正确地认证自身并传递配置要求以及传递其他策略准则 的任何证明数据。注意,这各种信息可以在超过一次来回通信中分开交换。此外,注意,只 有策略需要在其中该策略可由目的地从秘密中分开(例如,两个团)并且返回迁移密钥而 非会话密钥的环境中发送;密钥服务器不必总是在这样的环境中接收秘密。步骤408表示评估密钥服务器是否返回了可用于解密秘密的迁移密钥。注意,如 上所述,代替迁移密钥,会话密钥可以与用该会话密钥解密的秘密相关联地返回。在任何情 况下,如果满足证明要求和策略遵从,则执行步骤410以解密秘密(否则在步骤414向源返 回错误以向源通知迁移失败)。步骤412表示使用秘密来完成虚拟机在目的地(物理)机 器上的安装并使其运行。图5表示可由密钥服务器在确定是否向发出请求的目的地机器授予对可从中解 密秘密的密钥的访问时采取的示例逻辑。步骤502表示从(接收)目的地机器接收团和证 明数据以及任何其他数据。步骤504评估证明数据以基于目的地机器的凭证和可能的其他配置相关数据(如 指示引导代码测量的注册表值或日志)来确定其是否是有权接收来自该源的秘密的有效 机器。如果无权接收秘密,则步骤504分支到步骤512以向发出请求的机器返回错误。如 果是,则步骤504分支到步骤506。步骤506表示使用只有源机器和密钥服务器(如上所述,它们可以是同一机器) 知道的存储密钥信息来解码策略和迁移密钥。可以使用公钥_私钥,或两者都可以知道存 储密钥。步骤508基于目的地机器的当前状态确定它是否满足其他策略(如果有的话)。 注意,如上所述,目的地机器与密钥服务器之间的附加通信可以发生以交换这样的信息。如 果满足这样的策略,则在步骤510将迁移密钥(或会话密钥与用会话密钥重新加密的秘密 集合一起)返回到目的地机器,否则返回错误消息(步骤512)。以此方式,可以在两个机器之间交换秘密,同时评估证明数据和策略以迫使只有 适当的机器才能访问这些秘密。尽管本发明易于作出各种修改和替换构造,但其某些说明性实施例在附图中示出 并在上面被详细地描述。然而应当了解,这不旨在将本发明限于所公开的具体形式,而是相 反地,旨在覆盖落入本发明的精神和范围之内的所有修改、替换构造和等效方案。
9
权利要求
一种具有计算机可执行指令的计算机可读介质,所述计算机可执行指令在被执行时执行以下步骤,包括在目的地机器(206)处接收与从源机器(102)发送的数据集相对应的信息(402),所述数据集在所述源机器处用密钥密封到TMP类设备并且包括包含迁移密钥(Km)的密码密钥;将所述迁移密钥(Km)提供给密钥服务器(112、212)(406);向所述密钥服务器执行证明以证明所述目的地机器有权访问所述密封的秘密(406);以及从所述密钥服务器接收返回的密钥(408、410)。
2.如权利要求1所述的计算机可读介质,其特征在于,从所述密钥服务器接收到的所 述返回的密钥包括被用来将所述密封的秘密解封的所述迁移密钥(Km)。
3.如权利要求1所述的计算机可读介质,其特征在于,从所述密钥服务器接收到的所 述返回的密钥包括被用来将所述秘密解封的会话密钥(Ksess),并且所述指令还包括从所述 密钥服务器接收与所述会话密钥相关联地重新密封的所述密封的秘密。
4.如权利要求1所述的计算机可读介质,其特征在于,将所述迁移密钥提供给所述密 钥服务器包括将所述数据集(104、204)的至少一部分提供给所述密钥服务器。
5.如权利要求1所述的计算机可读介质,其特征在于,向所述密钥服务器执行证明包 括提供对于测量的引导代码相对应的数据(406)。
6.如权利要求1所述的计算机可读介质,其特征在于,将所述迁移密钥提供给所述密 钥服务器包括将策略数据(210)提供给所述密钥服务器(406),所述策略数据包括所述迁 移密钥。
7.如权利要求6所述的计算机可读介质,其特征在于,还具有计算机可执行指令,所述 计算机可执行指令包括将指示所述目的地机器的状态的数据提供给所述密钥服务器以供 所述密钥服务器对照所述策略数据的至少一部分来进行评估(508)。
8.如权利要求1所述的计算机可读介质,其特征在于,在所述目的地机器处接收到的 所述数据集与可信平台模块类秘密相对应,并且所述计算机可读介质还具有计算机可执行 指令,所述计算机可执行指令包括使用所述可信平台模块类秘密将虚拟机从所述源机器迁 移到所述目的地机器(412)。
9.如权利要求1所述的计算机可读介质,其特征在于,所述数据集包括策略(110、210) 和密封存储的存储密钥,并且其中所述目的地机器包括使用所述策略和存储密钥来用于稍 后的解封操作的TPM类设备(TPMb)。
10.一种计算环境中的包括源机器(102、202)的系统,所述源机器包括可信平台模块 类设备(TPMA),所述源机器被配置成用迁移密钥(Km)将至少一个秘密密封到密封秘密集合 (104,204)中,用所述可信平台模块类设备的存储密钥将所述迁移密钥密封成密封迁移密 钥,并且使所述密封秘密集合可由耦合到密钥服务器(112、212)的目的地机器(106、206) 访问,所述密钥服务器被配置成将所述密封迁移密钥解封并将数据返回给所述目的地机 器,所述目的地机器通过该数据将所述密封秘密集合解封。
11.如权利要求10所述的系统,其特征在于,所述密钥服务器(212)被合并到所述源机 器(202)中。
12.如权利要求10所述的系统,其特征在于,所述密钥服务器(112)独立于所述源机器(102)。
13.如权利要求10所述的系统,其特征在于,所述密钥服务器(112、212)将所述数据返 回给所述目的地机器(106、206),所述数据包括所述迁移密钥。
14.如权利要求10所述的系统,其特征在于,所述密钥服务器(112、212)将所述数据返 回给所述目的地机器(106、206),所述数据包括会话密钥和与所述会话密钥相关联地重新 密封的所述秘密集合。
15.如权利要求10所述的系统,其特征在于,所述目的地机器(106、206)向所述密钥服 务器(112、212)执行证明,包括通过在所述目的地机器处用与所述密钥服务器处的公钥相 对应的私钥对信息签名。
16.一种在计算环境中的方法,包括在密钥服务器处接收密封的数据集(502);从目的地机器接收证明数据(502);从所述证明数据确定所述目的地机器有权将所述密封数据集的至少一部分解封 (504);在所述密钥服务器处将迁移密钥解封(506);以及将允许所述目的地机器将所述密封数据集的至少一部分解封的数据提供给所述目的 地机器(510)。
17.如权利要求16所述的方法,其特征在于,从所述证明数据确定所述目的地机器有 权将所述密封数据集的至少一部分解封包括在与所述目的地机器交互期间对照所述目的 地机器的公钥证书来评估安全策略(508)。
18.如权利要求16所述的方法,其特征在于,从所述证明数据确定所述目的地机器有 权将所述密封数据集的至少一部分解封包括从引导相关数据确定所述目的地机器处于已 知的良好配置(504)。
19.如权利要求16所述的方法,其特征在于,所述密封数据集包括策略信息,并且对照 当前状态信息评估所述策略信息以进一步确定所述目的地机器有权将所述密封数据集的 至少一部分解封(508)。
20.如权利要求16所述的方法,其特征在于,将允许所述目的地机器将所述密封数据 集的至少一部分解封的数据提供给所述目的地机器包括将所述目的地机器能用于将所述 密封数据集内的至少一个秘密解封的所述迁移密钥提供给所述目的地机器,或用会话密钥 (Ksess)重新加密所述密封数据集内的所述至少一个秘密并将与所述会话密钥相对应的、所 述目的地机器能用于将所述至少一个秘密解封的数据提供给所述目的地机器。
全文摘要
描述的是可将由可信平台模块(TPM)或类似设备密封的计算机数据秘密从物理源计算机器安全地迁移到物理上不同的目的地机器的技术。例如,TPM秘密的迁移允许将虚拟机从一个物理机器迁移到另一个。目的地机器接收在源机器处密封的数据集。该数据集包括迁移密钥和由该迁移密钥密封的秘密。目的地机器经由凭证、已知的良好配置和/或其他策略遵从向密钥服务器执行证明以证明该目的地机器有权访问密封的秘密。密钥服务器将迁移密钥解封,并将返回的密钥(例如,迁移密钥或会话密钥)提供给目的地机器以供将秘密解封。
文档编号H04K1/00GK101897211SQ200880121256
公开日2010年11月24日 申请日期2008年11月20日 优先权日2007年12月17日
发明者C·M·埃利森 申请人:微软公司