[发明专利]硬化随机访问存储器中的软件执行的方法和装置

说明书

本专利文档的部分公开可以包含命令格式和其他计算机语言列表，所有这些均受版权保护。版权所有者不反对任何人对本专利文档或专利公开的复制重现，因为其出现在专利商标局专利文件或记录中，但是除此之外保留所有版权权利。

技术领域

本申请涉及验证计算机平台的存储器中执行的受保护代码的完整性。

背景技术

管理程序(hypervisor)(也即，虚拟机监控器)管理硬件平台在多个客户系统之间的共享，并且其通常用作云计算中的基础设施即服务(IaaS)中的特权软件。管理程序具有相对小的代码库以及与外部世界的有限交互，因此其被认为是受到良好保护并且容易检验的。

发明内容

本发明的示例实施方式涉及验证计算机平台的存储器中执行的受保护代码的完整性的方法和装置。该方法包括：从计算机平台接收存储的受保护代码的启动时度量，从计算机平台获取执行的受保护代码的运行时度量，以及从计算机平台获取该执行的受保护代码的活性(liveliness)指示符。继而根据启动时度量、运行时度量以及活性指示符来验证执行的受保护代码的完整性。

其他示例实施方式涉及用于利用外部检验器来验证存储器中的执行的受保护代码的完整性的方法和装置，包括：向外部检验器提供存储的受保护代码的启动时度量，响应于来自外部检验器的针对运行时度量的请求而向外部检验器提供执行的受保护代码的运行时度量，以及响应于来自外部检验器的针对活性指示符的请求而向外部检验器提供执行的受保护代码的活性指示符，其中如果在该外部检验器处比较启动时度量和运行时度量成功，则从该外部检验器发送针对活性指示符的请求。

本发明的示例实施方式还包括用于执行方法步骤的系统和计算机程序产品。

附图说明

通过参考下面结合附图的描述，可以更好地理解本发明的上述以及其他优势，附图中：

图1是示出了可以在其中采用本发明的示例实施方式的示例环境的图示；

图2是示出了本发明的示例实施方式的系统和装置的框图，该系统和装置用于验证计算机平台的存储器中的执行的受保护代码的完整性；

图3A-图3B是示出了本发明的示例实施方式的方法的流程图，该方法在计算机平台处执行以用于利用外部检验器来验证存储器中的执行的受保护代码的完整性；

图4A-图4B是示出了本发明的示例实施方式的方法的流程图，该方法在外部检验器处执行以用于验证计算机平台的存储器中的执行的受保护代码的完整性；

图5是示出了实施为程序代码或程序产品的本发明的示例实施方式的方法的图示。

具体实施方式

管理程序并不是完全安全的，其易于受到多种攻击，诸如管理程序代码和数据在运行时被修改。管理程序面临与传统操作系统类似的完整性威胁，因此它们需要保护、测量和检验其完整性。在系统引导时检验管理程序的完整性可以通过诸如可信引导之类的传统技术来完成。同样地，已经开发了用于在运行时检验管理程序的完整性的传统技术。然而，这些传统技术无法在计算机平台的随机访问存储器(RAM)中执行期间检验管理程序的完整性。

例如，这种传统技术仅保护软件版本，并且不能阻止“检查时间到使用时间”(TOC2TOU)攻击。在TOC2TOU攻击中，代码的完整性可能在从检查代码完整性的时刻到使用该代码时刻的攻击窗口期间遭到损坏。在很多情形下，攻击窗口可以是扩展的时段。

而且，这种传统技术不适于在服务器可被网络引导的数据中心中使用。网络引导是从网络而不是从本地驱动引导计算机的过程。在没有检验网络引导源的情况下，无法可靠地假定网络引导源的完整性，因此不是所有被引导的服务器都是可信的。

图1是示出了可以在其中采用本发明的示例实施方式的示例环境100的图示。环境100可以是用于基础设施即服务(IaaS)的云计算环境。环境100包括通过网络130(诸如因特网)连接的多个服务器110-1到110-N(统称110)和多个客户端120-1到120-N(统称120)。每个服务器110可以是运行管理程序(也即，虚拟机监控器)的计算机平台，其中管理程序管理硬件平台在多个客户系统(例如，客户端120)之间的共享。