[发明专利]一种虚拟可信平台模块的实现方法及相关装置

说明书

本申请公开了一种虚拟可信平台模块vTPM的实现方法，该方法应用于计算机中。该计算机的可信执行环境中运行有vTPM服务组件，该计算机的丰富执行环境中运行有第一虚拟机VM和vTPM代理组件。该方法包括：vTPM服务组件获取来自于vTPM代理组件的第一请求信息，该第一请求信息包括第一VM的标识，且该第一请求信息用于请求执行TPM操作。vTPM服务组件基于第一存储空间中的数据处理第一请求信息，其中，该第一存储空间是在可信执行环境中与第一VM的标识对应的存储空间，第一存储空间用于存储第一VM的TPM数据。通过该方法，能够在为多个VM提供TPM服务的基础上，保证数据的安全性。

本申请要求于2020年10月27日提交中国专利局、申请号为202011159996.2、发明名称为“一种可信平台模块的实现方法和相关装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术领域，尤其涉及一种虚拟可信平台模块(virtual TrustedPlatform Module，vTPM)的实现方法及相关装置。

背景技术

可信平台模块(Trusted Platform Module，TPM)是一项安全密码处理器的国际标准。这项标准规定使用设备中集成的专用微控制器(安全硬件)处理设备中的加密密钥。符合TPM标准的专用微控制器被称为TPM芯片。TPM芯片是一种含有密码运算部件和存储部件的小型芯片系统，用于安全地存储用于验证平台(例如个人电脑等网络设备)安全性的信息，比如密码、证书或加密密钥等信息。通过由TPM芯片存储这些信息，能够有效防止非法用户对敏感信息进行更改。

由于TPM芯片逻辑简单，无法支持虚拟化特性，即无法同时为多个虚拟机(virtualMachine，VM)提供TPM服务。因此，相关技术中，通过软件虚拟出多个功能模块，每个功能模块具有TPM芯片的功能，以保证能够同时为多个VM提供TPM服务。通过软件虚拟实现的上述功能模块被称为虚拟可信平台模块(virtual Trusted Platform Module，vTPM)芯片，也被简称为vTPM。

然而，由于vTPM芯片通过软件虚拟得到，相对于硬件形态的TPM芯片，其安全性较差，难以保证数据的安全性。

发明内容

本申请提供了一种vTPM的实现方法，用于在为多个VM提供TPM服务的基础上，保证数据的安全性。

本申请第一方面提供一种vTPM的实现方法，该方法应用于计算机中。该计算机的可信执行环境中运行有vTPM服务组件，该计算机的丰富执行环境中运行有第一VM和vTPM代理组件。该方法包括：vTPM服务组件获取来自于vTPM代理组件的第一请求信息，该第一请求信息包括第一VM的标识，且该第一请求信息用于请求执行TPM操作。vTPM服务组件例如是获取可信空间驱动(TrustZone Driver)组件在监控模式下传递的第一请求信息。例如，该第一请求信息用于请求执行生成密钥、加密数据或解密数据等TPM操作。基于该第一请求信息中的第一VM的标识，vTPM服务组件能够确定第一VM的标识对应的第一存储空间。vTPM服务组件基于第一存储空间中的数据处理第一请求信息，其中，该第一存储空间是在可信执行环境中与第一VM的标识对应的存储空间，第一存储空间用于存储第一VM的TPM数据。

本方案中，通过运行于可信执行环境中的vTPM服务组件根据获取到的请求信息中的VM的标识确定对应的存储空间，并且基于VM的标识对应的存储空间中的数据为该请求信息中的VM的标识对应的VM提供TPM服务，使得vTPM服务组件能够基于不同的存储空间为不同的VM提供TPM服务。从而能够在为多个VM提供TPM服务的基础上，保证vTPM中数据的安全性。