[发明专利]实施虚拟化环境中的特权加密服务的计算装置及方法

权利要求书

1.一种实施虚拟化环境中的特权加密服务的计算装置，其包括：

至少一个处理器；和

存储器，其包括指令，所述指令在由所述至少一个处理器执行时使得所述计算装置实施：

管理程序，其管理一个或多个虚拟机且访问存储器的第一部分；和

特权服务，其访问不能由所述管理程序访问的存储器的至少第二部分，所述特权服务能够被操作来：

将密钥存储于所述计算装置上；

从以下至少一个接收使用所述密钥的请求：所述管理程序或所述一个或多个虚拟机；和

产生对所述请求的响应，所述响应至少部分基于存储于所述计算装置上的所述密钥；

其中所述特权服务进一步能够被操作来：

在启动时间测量与所述管理程序关联的第一组值以验证所述管理程序；

从所述计算装置上的虚拟机接收第一系统管理中断以验证所述管理程序；

由系统管理中断处理程序测量与所述管理程序关联的第二组值；

由所述系统管理中断处理程序将所述第二组值与所述第一组值相比较；

如果所述第二组值匹配启动时间测量的所述第一组值，那么由所述系统管理中断处理程序验证所述管理程序；和

从所述虚拟机接收第二系统管理中断以检索所述密钥或存储新密钥。

2.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中使用以下至少一个执行所述特权服务：

加密处理器、远程管理卡、基板管理控制器、以系统管理模式执行的组件或可管理性引擎。

3.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中存储器的所述第二部分是以下至少一个：使用一个或多个范围寄存器分区的主存储器的一部分，一个或多个协同处理器外部的存储器，附接至一个或多个协同处理器的存储器，专用于一个或多个模式的寄存器或特定加密密钥寄存器。

4.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中所述特权服务进一步能够被操作来：

响应于检测到所述管理程序已被改变而通知外部实体；或

响应于检测到所述管理程序已被改变而删除所述密钥。

5.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其进一步包括：

组件，其被配置来通过使用系统管理中断将所述请求提交至所述特权服务，所述组件驻留于以下至少一个中：所述管理程序或所述虚拟机。

6.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中所述密钥存储于可信平台模块中且其中所述特权服务进一步能够被操作来控制由所述管理程序和所述一个或多个虚拟机对存储于所述可信平台模块中的所述密钥的访问。

7.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中所述特权服务进一步能够被操作来：

使虚拟可信平台模块暴露于所述一个或多个虚拟机，其中所述一个或多个虚拟机能够被操作来使用系统管理中断访问所述密钥，所述密钥不能由所述管理程序访问。

8.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中产生所述响应进一步基于与所述密钥关联的授权信息。

9.根据权利要求1所述的实施虚拟化环境中的特权加密服务的计算装置，其中使用所述密钥的所述请求进一步包括以下至少一个：

使用所述密钥执行一个或多个计算的请求；或

传输使用所述密钥加密或发信号的一个或多个消息的请求。