虚拟化计算机系统中经由桥接设备的安全外围设备通信的制作方法

本发明的实施例涉及虚拟化系统，更具体而言，涉及在虚拟化计算机系统中经由桥接设备的安全外围设备通信。

背景技术：

1、虚拟机(vm)是软件的一部分，当在宿主计算机系统的硬件上执行时，其创建允许对宿主计算机系统的某些物理组件进行抽象的环境，以允许各种模块(例如，多个操作系统)同时运行，并与其他模块隔离。例如，虚拟化允许将多个物理服务器整合为一个运行多个vm的物理服务器，以提高硬件利用率。宿主将其一定量的资源分配给每个vm。每个vm然后可以使用分配的资源来执行应用，包括操作系统(访客操作系统(os))。提供虚拟化的软件层可以被称为管理程序(hypervisor)、虚拟机监视器(vmm)或基于内核的管理程序，仅举几例。管理程序模拟宿主计算机系统的底层硬件，使得vm的使用对于访客os和vm的用户是透明的。vm可以具有虚拟处理器、虚拟系统内存、虚拟存储以及各种虚拟设备。

技术实现思路

技术特征：

1.一种方法，包括：

2.根据权利要求1所述的方法，其中所述虚拟化的执行环境由以下之一来表示：虚拟机或容器。

3.根据权利要求1所述的方法，其中所述桥接设备是外围组件互连(pci)到pci桥。

4.根据权利要求1所述的方法，其中所述外围设备是以下之一：外围组件互连高速(pcie)设备、pcie设备的虚拟功能或pcie设备的子功能。

5.根据权利要求1所述的方法，其中所述桥接设备是以下之一：物理桥接设备或虚拟桥接设备。

6.根据权利要求1所述的方法，其中生成所述临时密钥包括对临时值和所述设备密钥应用预定变换。

7.根据权利要求1所述的方法，其中验证所述状态测量包括：

8.根据权利要求1所述的方法，其中发送所述临时密钥包括加密所述临时密钥。

9.根据权利要求8所述的方法，还包括：

10.根据权利要求1所述的方法，其中所述访问请求由运行在所述计算系统上的所述虚拟化的执行环境的应用程序发起。

11.根据权利要求1所述的方法，还包括：

12.一种计算系统的桥接设备，所述桥接设备包括：

13.根据权利要求12所述的桥接设备，其中所述处理设备用于：

14.根据权利要求13所述的桥接设备，其中响应于确定当前状态测量与由所述宿主验证的所述状态测量相匹配，向所述外围设备转发解密的访问请求被执行。

15.根据权利要求13所述的桥接设备，其中所述处理设备还用于：

16.根据权利要求13所述的桥接设备，其中所述处理设备还用于：

17.一种包括指令的非暂时性计算机可读存储介质，当所述指令由处理设备执行时，使得所述处理设备执行包括以下的方法：

18.根据权利要求17所述的非暂时性计算机可读存储介质，其中所述虚拟化的执行环境由以下之一来表示：虚拟机或容器。

19.根据权利要求17所述的非暂时性计算机可读存储介质，其中所述桥接设备是外围组件互连(pci)到pci桥。

20.根据权利要求17所述的非暂时性计算机可读存储介质，其中所述外围设备是以下之一：外围组件互连高速(pcie)设备、pcie设备的虚拟功能或pcie设备的子功能。

技术总结
用于在虚拟化计算机系统中经由桥接设备的安全外围设备通信的系统和方法。一种示例方法可以包括：由运行在计算系统上的虚拟化的执行环境接收与计算系统的桥接设备相关联的状态测量；生成临时密钥；响应于验证状态测量向桥接设备发送临时密钥，使用与桥接设备相关联的设备密钥对临时密钥进行加密；以及向桥接设备发送针对经由桥接设备可访问的外围设备的访问请求，其中使用从临时密钥导出的值对访问请求进行加密。

技术研发人员：A.伊兰,M.齐尔金
受保护的技术使用者：红帽公司
技术研发日：
技术公布日：2024/3/4