[发明专利]密码密钥的虚拟化

说明书

技术领域

本发明一般地涉及在虚拟计算环境中的处理，尤其是在该环境中提供安全性。

背景技术

在虚拟环境中提供安全性的一个方面是保护在密码装置所执行的密码操作中所使用的密码密钥(cryptographic key)。在一个例子中，这些密钥通过加密来保护。例如，密码密钥被主密钥(master key)加密，提供加密的密码密钥。主密钥被保持在密码装置的安全边界内。加密的密码密钥可以存储在密码装置的安全边界之外，然后用于密码操作中。

单个处理器系统具有与其相关联的一组主密钥。也就是说，单个处理器系统对于每种密码密钥具有一主密钥。但是，在分区环境中，对每个区域或分区具有一组主密钥。

发明内容

虽然分区系统中的每个分区具有其自己的一组主密钥，传统上，这些密钥被该分区中的所有虚拟系统共享。如此处所使用的，每个虚拟系统是在虚拟环境中运行的计算系统。其包括例如在像Linux的客户操作系统控制下的资源(例如一个或多个CPU，存储器，I/O等)。这样，术语“客户(guest)”指代虚拟系统。为了提高安全性，希望每个客户具有其自己的一组虚拟主密钥。这样，需要为每个运行于分区中的客户提供单独虚拟密钥的能力。

另外，需要虚拟化除主密钥之外的密钥(例如其他密码密钥或其他密钥)的能力。

通过提供用于虚拟化密码密钥的计算机程序产品而克服了现有技术的缺点并提供了附加的优势。计算机程序产品包括可由处理电路读取的存储介质，该存储介质存储由处理电路执行来实现一方法的指令。该方法包括，例如，获取密码密钥；和使用操作、密码密钥和掩码产生虚拟密码密钥。

关于本发明的一个或多个方面的方法和系统也在此描述并要求保护。另外，关于本发明的一个或多个方面的服务也在此描述并要求保护。

附加的特征和优点通过本发明的技术来实现。本发明的其他实施例和方面在此详细描述并被认为是所要求保护的发明的一部分。

附图说明

在说明书结尾部分的权利要求中，本发明的一个或多个方面作为例子被特别指出并清楚地被要求保护。本发明的上述及其他目的、特征和优点从以下详细描述结合附图来看是显然的，其中：

图1示出包含并使用本发明一个或多个方面的计算环境的一个例子；

图2示出了客户的控制模块的一个例子，包括根据本发明一方面使用的一个或多个客户主密钥掩码；

图3示出了根据本发明一方面的提供虚拟密钥的逻辑的一个实施例；

图4示出了根据本发明一方面，使用在虚拟密钥下加密的加密密钥的逻辑的一个实施例；并且

图5示出了包括本发明的一个或多个方面的计算机程序产品的一个实施例。

具体实施方式

根据本发明的一方面，提供虚拟化密码密钥的能力。在一个特别示例中，用来保护其他密码密钥的主密钥被虚拟化，使得计算环境的分区的每个客户可以拥有其自己的一组主密钥。这组主密钥对于每种要保护的密码密钥(例如AES或DEA)包括一密钥，因此，该组主密钥可以包括一个或多个主密钥。

参考图1来描述包含并使用本发明的一个或多个方面的计算环境的一个实施例。计算环境100包括例如划分到一个或多个分区或区域104(例如，逻辑分区1-N)的中央处理器复合体(CPC)102，至少一个主机106(例如，控制程序，例如管理程序)，一个或多个中央处理器108，以及输入/输出子系统110。

每个逻辑分区104可以作为单独的系统来运行。也就是说，每个逻辑分区可以独立地重置，如果有需要，可以初始加载操作系统，并操作不同的程序。在逻辑分区中运行的操作系统或应用程序看起来能访问整个完整的系统，但是实际上只是其一部分可用。

中央处理器108是可分配给逻辑分区的物理处理器资源。例如，每个逻辑分区104包括一个或多个逻辑处理器，其每个表示可动态分配到分区的所有或一部分物理处理器资源。尤其是，物理资源由主机106拥有，并且共享的物理资源由主机分派给在由主机106管理的分区中运行的一个或多个客户112。例如，主机可以在运行于处理器108上的微码中实施或者是执行于机器上的主机操作系统的一部分。