一种vTPM2.0的密钥迁移方法及装置与流程

本发明实施例涉及可信计算技术领域，特别是涉及一种vtpm2.0的密钥迁移方法及装置。

背景技术：

随着越来越多的木马程序以及骇客的入侵，保密资料(敏感数据)的外泄风险越来越高。为了提高保密资料的安全性，避免用户遭受损失，一系列加强防止资料外泄的机制应用而生。

tcg(trustedcomputinggroup，可信计算组织)基于跨平台和操作环境制定了可信计算相关标准和规范，并提出tpm(trustedplatformmodule，可信平台模块)规范。tpm芯片即为符合tpm规范的安全芯片，内置了密码学功能，具有产生加解密密钥的功能、能够高速的对资料进行加密和解密、以及充当保护bios和操作系统不被修改的辅助处理器，可有效地防止对bios和系统的非法篡改。tpm芯片的密钥体系中包括pk(platformkey，平台密钥)、ek(endorsementkey，背书密钥)、sk(storagekey，存储密钥)三种根密钥，pk、ek属于公钥密码体制，用于远程可信证明，sk属于对称密码体制，用于可信存储。可信证明是指使用pk或ek对可信度量结果进行签名，提交给求证者，可信存储是指为虚拟机提供安全加解密功能。

在云计算时代，虚拟技术迅猛发展。通常多个虚拟机运行在同一物理平台上，需虚拟化实现tpm，向虚拟机提供与物理tpm芯片无差别的可信服务。由于多种因素的影响，虚拟机存在向不同物理平台迁移的需求，此时，与之绑定的vtpm(virtualizingtpm，虚拟tpm)应一起迁移至目标物理平台，实现可信服务的不间断。

现有技术中的vtpm在迁移时，通常将vtpm的密钥整体迁移到目标物理平台上，即将vpk(virtualizingplatformkey，虚拟平台密钥)、vek(virtualizingendorsementkey，虚拟背书密钥)及vsk(virtulizingstoragekey，虚拟存储密钥)迁移到目标物理平台。但是，如果由于vpk与vek需要迁移，便不能与物理tpm芯片进行绑定，所以其自身可信性缺少保障；另外，由于vpk与vek属于公钥密码体系，需与证书配套使用，未与物理tpm芯片的证书绑定的vpk与vek无法形成证书链，可信报告不具备可追溯性。

技术实现要素：

本发明实施例的目的是提供一种vtpm2.0的密钥迁移方法及装置，以提高vtpm2.0的密钥迁移的效率与可信性。

为解决上述技术问题，本发明实施例提供以下技术方案：

本发明实施例一方面提供了一种vtpm2.0的密钥迁移方法，包括：

将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台；

当检测到将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台的指令时，在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥；

将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理tpm芯片的平台密钥证书及背书密钥证书发送至证书管理中心，以申请所述vtpm的虚拟背书密钥证书及虚拟平台密钥证书，用于生成所述目标物理平台的证书链，并保存生成的证书链。

可选的，在所述将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台之后，还包括：

将所述待迁移vtpm2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。

可选的，在所述在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥之后，还包括：

将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥，使用所述物理tpm芯片的存储密钥加密存储到所述物理tpm芯片中。

可选的，所述将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台包括：

将所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行加密；

将加密后的vtpm2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。

可选的，在所述将加密后的vtpm2.0及虚拟存储密钥发送至目标物理平台之后，还包括：

当接收到所述目标物理平台反馈的正确的验证信息时，将所述源物理平台设置的密钥发送至所述目标物理平台，以用于对加密后的所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行解密。

本发明实施例另一方面提供了一种vtpm2.0的密钥迁移装置，包括：

密钥发送模块，用于将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台；

密钥生成模块，用于当检测到将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台的指令时，在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥；

证书链生成模块，用于将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理tpm芯片的平台密钥证书及背书密钥证书发送至证书管理中心，以申请所述vtpm的虚拟背书密钥证书及虚拟平台密钥证书，用于生成所述目标物理平台的证书链，并保存生成的证书链。

可选的，还包括：

销毁模块，用于将所述待迁移vtpm2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。

可选的，还包括：

私钥存储模块，用于将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥，使用所述物理tpm芯片的存储密钥加密存储到所述物理tpm芯片中。

可选的，所述密钥生成模块包括：

加密单元，用于将所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行加密；

发送单元，用于将加密后的vtpm2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。

可选的，还包括：

验证模块，用于当接收到所述目标物理平台反馈的正确的验证信息时，将所述源物理平台设置的密钥发送至所述目标物理平台，以用于对加密后的所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行解密。

本发明实施例提供了一种vtpm2.0的密钥迁移方法，将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台；在将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台的同时，在目标物理平台生成虚拟平台密钥及虚拟背书密钥；并将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、与物理tpm芯片的平台密钥证书及背书密钥证书发送至证书管理中心，以申请vtpm的虚拟背书密钥证书及虚拟平台密钥证书，用于生成证书链，最后将生成的证书链保存。

本申请提供的技术方案的优点在于，仅将虚拟存储密钥随着vtpm迁移到目标物理平台，且在迁移过程中虚拟平台密钥及虚拟背书密钥在目标物理平台生成，提高了vtpm2.0的迁移效率，有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理tpm绑定的问题，其证书申请过程有物理平台的证书做信用背书，且可与物理tpm芯片证书绑定，提高了vtpm的可信性，以及可信报告的可追溯性。

此外，本发明实施例还针对vtpm2.0的密钥迁移方法提供了相应的实现装置，进一步使得所述方法更具有实用性，所述装置具有相应的优点。

附图说明

为了更清楚的说明本发明实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种vtpm2.0的密钥迁移方法的流程示意图；

图2为本发明实施例提供的另一种vtpm2.0的密钥迁移方法的流程示意图；

图3为本发明实施例提供的再一种vtpm2.0的密钥迁移方法的流程示意图；

图4为本发明实施例提供的vtpm2.0的密钥迁移装置的一种具体实施方式结构图；

图5为本发明实施例提供的vtpm2.0的密钥迁移装置的另一种具体实施方式结构图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。

首先参见图1，图1为本发明实施例提供的一种vtpm2.0的密钥迁移方法的流程示意图，本发明实施例可包括以下内容：

s101：将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台。

待迁移vtpm2.0为当前在源物理平台上，与源物理平台的虚拟机绑定，当该虚拟机进行迁移到目标物理平台时，相应的vtpm2.0也需进行迁移，以确保可信服务的不间断。

vtpm2.0在迁移到目标物理平台时，需要将vtpm2.0相关的数据迁移过去以便重启后，可成功运行在目标物理平台。

s102：当检测到将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台的指令时，在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥。

在将待迁移vtpm2.0及虚拟存储密钥发送至目标物理平台的过程中，同时在目标物理平台上随机生成虚拟平台密钥和虚拟背书密钥。两个过程并行处理，有利于缩短vtpm2.0迁移的时间，提升vtpm2.0迁移效率。

s103：将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理tpm芯片的平台密钥证书及背书密钥证书发送至证书管理中心，以申请所述vtpm的虚拟背书密钥证书及虚拟平台密钥证书，用于生成所述目标物理平台的证书链，并保存生成的证书链。

物理tpm芯片为目标物理平台上的tpm芯片。物理tpm芯片为物理芯片，vtpm软件模拟实现了物理tpm芯片的功能。物理tpm芯片包括密码单元、存储单元等单元；密钥是密码单元的数据，包括在vtpm内部，随vtpm一起迁移。一般情况下，一台物理服务器配置一个物理tpm芯片，但物理服务器上运行多个虚拟机，所以需要虚拟出vtpm为每个虚拟机服务。

目标物理平台随机产生vpk，其公钥部分与物理tpm芯片的pk证书一起提交给证书管理中心，申请vpk证书，形成证书链，即证书管理中心根证书、物理tpm的pk证书、vtpm的vpk证书。

目标物理平台随机产生vek，其公钥部分与物理tpm的ek证书一起提交给证书管理中心，申请vek证书，形成证书链，即证书管理中心根证书、物理tpm的ek证书、vtpm的vek证书。

在物理目标平台上生成虚拟平台密钥与虚拟背书密钥，有效的避免了虚拟平台密钥及虚拟背书密钥无法与物理tpm绑定的问题，其证书申请过程有物理平台的证书做信用背书，实现了物理tpm芯片证书的绑定。

在证书链生成后，且vtpm2.0及虚拟存储密钥成功迁移至目标物理平台后，重新启用该vtpm2.0。

在本发明实施例提供的技术方案中，仅将虚拟存储密钥随着vtpm迁移到目标物理平台，且在迁移过程中虚拟平台密钥及虚拟背书密钥在目标物理平台生成，提高了vtpm2.0的迁移效率，有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理tpm绑定的问题，其证书申请过程有物理平台的证书做信用背书，且可与物理tpm芯片证书绑定，提高了vtpm的可信性，以及可信报告的可追溯性。

基于上述实施例，本申请还提供了另外一个实施例，请参阅图2，具体可包括：

s104：将所述待迁移vtpm2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。

将源目标物理平台上vtpm2.0台的虚拟平台密钥及虚拟背书密钥进行销毁，节省源目标物理平台的空间，且有利于后续vtpm2.0与该物理平台对应的物理tpm芯片进行绑定。

还可包括：

s105：将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥，使用所述物理tpm芯片的存储密钥加密存储到所述物理tpm芯片中。

将虚拟平台密钥的私钥及虚拟背书密钥的私钥存储在目标物理平台对应的物理tpm芯片的存储密钥中，有利于保护虚拟平台密钥的私钥及虚拟背书密钥的私钥被泄漏，提升整个系统的安全性。

为了进一步提升vtpm2.0的安全性，本申请还提供了另外一个实施例，例如可应用在tpm2.0，请参阅图3，具体可包括：

s201：将所述待迁移vtpm2.0的数据信息及所述存储密钥进行加密。

s202：将加密后的vtpm2.0及虚拟存储密钥发送至目标物理平台。

源物理平台可采用与目标物理平台协商的加密方案对vtpm2.0中迁移的数据以及虚拟存储密钥进行加密，以防止这些信息泄漏，给造成用户损失。

s203：当接收到所述目标物理平台反馈的正确的验证信息时，将所述源物理平台设置的密钥发送至所述目标物理平台，以用于对加密后的所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行解密。

为了进一步防止被第三方窃取到解密密钥，在向目标物理平台发送密钥之前，可先向其发送验证信息，当接收准确的验证信息后，再将密钥发送过去。当然，也可预先与目标物理平台进行协议，按照协议的密钥对迁移数据进行加密，或者预先协议的验证信息，当接收到迁移数据后，自动发送验证信息，以提示源物理平台发送解密密钥。

s204-s205：具体的，与上述实施例中的s102与s103描述相一致，此处不再赘述。

通过在待迁移vtpm2.0迁移过程中，对待迁移vtpm2.0的迁移数据信息与存储密钥进行加密，可避免这些信息泄漏，有利于提升迁移的安全性。

本发明实施例还针对vtpm2.0的密钥迁移方法提供了相应的实现装置，进一步使得所述方法更具有实用性。下面对本发明实施例提供的vtpm2.0的密钥迁移装置进行介绍，下文描述的vtpm2.0的密钥迁移装置与上文描述的vtpm2.0的密钥迁移方法可相互对应参照。

参见图4，图4为本发明实施例提供的vtpm2.0的密钥迁移装置在一种具体实施方式下的结构图，该装置可包括：

密钥发送模块401，用于将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台。

密钥生成模块402，用于当检测到将待迁移vtpm2.0的虚拟存储密钥发送至目标物理平台的指令时，在所述目标物理平台生成虚拟平台密钥及虚拟背书密钥。

证书链生成模块403，用于将所述虚拟平台密钥的公钥、所述虚拟背书密钥的公钥、物理tpm芯片的平台密钥证书及背书密钥证书发送至证书管理中心，以申请所述vtpm的虚拟背书密钥证书及虚拟平台密钥证书，用于生成所述目标物理平台的证书链，并保存生成的证书链。

在本实施例的一些实施方式中，所述密钥生成模块401可包括：

加密单元4011，用于将所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行加密；

发送单元4012，用于将加密后的vtpm2.0的数据信息及所述虚拟存储密钥发送至目标物理平台。

可选的，在本申请的一些实施方式中，请参阅图5，所述装置例如还可以包括：

销毁模块404，用于将所述待迁移vtpm2.0在源物理平台的虚拟平台密钥及虚拟背书密钥进行销毁。

所述装置例如还可以包括：

私钥存储模块405，用于用于将所述虚拟平台密钥的私钥及所述虚拟背书密钥的私钥，使用所述物理tpm芯片的存储密钥加密存储到所述物理tpm芯片中。

在本申请的另一些实施方式中，请参阅图5，所述装置还可以包括：

验证模块406，用于当接收到所述目标物理平台反馈的正确的验证信息时，将所述源物理平台设置的密钥发送至所述目标物理平台，以用于对加密后的所述待迁移vtpm2.0的数据信息及所述虚拟存储密钥进行解密。

本发明实施例所述vtpm2.0的密钥迁移装置的各功能模块的功能可根据上述方法实施例中的方法具体实现，其具体实现过程可以参照上述方法实施例的相关描述，此处不再赘述。

由上可知，本发明实施例仅将虚拟存储密钥随着vtpm迁移到目标物理平台，且在迁移过程中虚拟平台密钥及虚拟背书密钥在目标物理平台生成，提高了vtpm2.0的迁移效率，有效的解决了虚拟平台密钥及虚拟背书密钥无法与物理tpm绑定的问题，其证书申请过程有物理平台的证书做信用背书，且可与物理tpm芯片证书绑定，提高了vtpm的可信性，以及可信报告的可追溯性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上对本发明所提供的一种vtpm2.0的密钥迁移方法以及装置进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。