[发明专利]托管在虚拟安全环境中的安全服务的计算系统及方法

权利要求书

1.一种计算系统，包括：

至少一个处理器；以及

存储器，所述存储器存储由所述至少一个处理器可执行的指令，其中所述指令当被执行时，提供：

策略引擎，所述策略引擎被配置为：

接收角色标识符，所述角色标识符标识角色，所述角色表示要由执行环境托管的服务，

接收虚拟机VM镜像测量，所述VM镜像测量指示被部署在所述执行环境中的VM镜像，

基于测量到角色映射来确定所述VM镜像测量是否被映射到所述角色，以及

生成指示所述确定的评估信号；

密钥包装密码引擎，所述密钥包装密码引擎被配置为：

基于指示所述VM镜像测量被映射到所述角色的所述评估信号，来包装一组角色密钥，所述角色密钥：

对应于所述角色，以及

支持所述执行环境执行所述服务；以及

密钥服务，所述密钥服务被配置为为所述执行环境提供经包装的所述一组角色密钥。

2.根据权利要求1所述的计算系统，其中所述策略引擎被配置为接收所述角色标识符、所述VM镜像测量和来自请求执行环境的执行环境标识符，所述执行环境标识符标识所述请求执行环境。

3.根据权利要求2所述的计算系统，其中所述策略引擎被配置为基于所述执行环境标识符来确定所述请求执行环境是否被映射到所述VM镜像测量，并且基于所述确定来生成所述评估信号。

4.根据权利要求2所述的计算系统，其中所述策略引擎被配置为：

访问一组测量到角色映射，所述一组测量到角色映射将多个不同组角色中的每个角色映射到不同的VM镜像测量；以及

基于所述一组测量到角色映射来确定所述VM镜像测量是否被映射到所述角色。

5.根据权利要求4所述的计算系统，其中所述指令提供：

角色密钥储存器/生成器，所述角色密钥储存器/生成器被配置为向所述密钥包装密码引擎提供所述一组角色密钥；以及

一组密钥包装器密钥，每个密钥包装器密钥被映射到给定角色，

其中所述密钥包装密码引擎被配置为：

标识被映射到由所述角色标识符标识的所述角色的一个或多个密钥包装器密钥，以及

利用所标识的所述一个或多个密钥包装器密钥来加密所述角色密钥。

6.根据权利要求1所述的计算系统，其中所述指令提供：

部署引擎，所述部署引擎被配置为：

接收所述角色标识符，

基于所述角色标识符来获取所述VM镜像，以及

将所述VM镜像部署到所述执行环境。

7.根据权利要求6所述的计算系统，其中所述指令提供：

一组角色到镜像映射，每个角色到镜像映射将角色映射到VM镜像，

其中所述部署引擎被配置为访问所述一组角色到镜像映射以标识所述VM镜像。

8.根据权利要求7所述的计算系统，其中所述指令提供：

VM镜像存储库，所述VM镜像存储库被配置为：

存储所述VM镜像，

其中所述部署引擎被配置为从所述VM镜像存储库获取所述VM镜像以用于部署。

9.根据权利要求6所述的计算系统，其中所述执行环境包括：

测量系统，所述测量系统被配置为生成所述VM镜像测量并且向所述密钥服务提供所述VM镜像测量。

10.根据权利要求9所述的计算系统，其中所述测量系统被配置为对所述VM镜像执行散列函数以获取包括所述VM镜像测量的散列值。