用于提供隔離的熵元素和熵元素生成器的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般地涉及用于為虛擬機(jī)提供隔離的熵元素的方法�。本發(fā)明進(jìn)一步涉及熵元素生成器、計(jì)算系統(tǒng)��、數(shù)據(jù)處理程序和計(jì)算機(jī)程序產(chǎn)品����。
【背景技術(shù)】
[0002]在虛擬化的計(jì)算環(huán)境中,僅有若干個(gè)熵源(即���,隨機(jī)數(shù))是可用的��,因?yàn)橥ǔ]有實(shí)際的時(shí)鐘中斷�、沒有實(shí)際裝置、隔離的網(wǎng)絡(luò)不顯示出虛擬機(jī)中的任何業(yè)務(wù)���。即使有的話�,也可能是存在若干個(gè)其他的熵源��。這可能導(dǎo)致軟件安裝問題�,例如,在安裝虛擬機(jī)的期間不得不生成安全密鑰����,因?yàn)橄到y(tǒng)可能缺少足夠的熵,或多個(gè)虛擬化操作系統(tǒng)映像之間的熵可能太相似而無法滿足安全標(biāo)準(zhǔn)的需要����。有時(shí),即使在虛擬機(jī)中安裝操作系統(tǒng)由于沒有足夠的熵可用而不成功��,并且必要的主機(jī)安全密鑰不能被生成�����。一個(gè)典型的例子是計(jì)劃的Linux操作系統(tǒng)安裝��,其需要在安裝期間生成隨機(jī)安全密鑰���,以與ssh后臺(tái)程序(安全外殼后臺(tái)程序)一起使用�����,以用于SSL通信協(xié)議(SSL =安全套接層)�����。此類的協(xié)議可以用于登入進(jìn)新安裝的Linux操作系統(tǒng)���。因?yàn)榛谝粋€(gè)或多個(gè)隨機(jī)數(shù)的安全密鑰不能被生成��,因此可以簡(jiǎn)單地停止安全過程��。
[0003]存在各種方法來緩解該問題�����,這些方法可以按照虛擬化效率的順序:
[0004](I)在虛擬機(jī)中添加偽熵源���,像媒體接入控制號(hào)或可用的序列號(hào)。然而��,通常這可能不會(huì)產(chǎn)生足夠量的熵�����,并且可能僅提供具有有限質(zhì)量的熵��。此外,該方法目標(biāo)針對(duì)于嵌入式裝置并且可以僅部分地應(yīng)用于虛擬化的環(huán)境���。
[0005](2)從主機(jī)計(jì)算機(jī)向虛擬服務(wù)器轉(zhuǎn)發(fā)熵源:這將使用在主機(jī)計(jì)算機(jī)上產(chǎn)生的熵�����。
[0006](3)使用硬件隨機(jī)數(shù)生成器:這可能是一個(gè)好的解決方案。然而���,這可能是昂貴的并且可能取決于相應(yīng)硬件的可用性����。
[0007]如上所述�,可能的解決方案⑴和(3)具有缺陷。第二方案⑵可能引入附加的缺陷:在多租戶環(huán)境中-例如�,由基礎(chǔ)設(shè)施即服務(wù)(IaaS)提供商所提供的云計(jì)算環(huán)境中,攻擊者可能影響在管理程序(“hypervisor”)中可獲得的熵的質(zhì)量�����,例如通過規(guī)律地發(fā)送小的消息分組以影響對(duì)已知時(shí)間模式的中斷�,或類似的攻擊。即使依賴于輸入/輸出中斷的定時(shí)的密鑰生成過程可能不是100%可預(yù)測(cè)的�,對(duì)使用基于此類的熵元素的安全密鑰的虛擬機(jī)的強(qiáng)力安全攻擊可能降低其所需的努力來闖入進(jìn)受攻擊的虛擬機(jī)�。
[0008]熵的問題已經(jīng)通過各種文獻(xiàn)來解決了�����。這些文獻(xiàn)中的之一可以是US2001/0047545A1�����,其解決了用于虛擬機(jī)的熵池�。在計(jì)算裝置的主機(jī)操作系統(tǒng)中,至少部分地基于計(jì)算裝置的一個(gè)或多個(gè)硬件組件的每個(gè)硬件組件來收集熵?cái)?shù)據(jù)�。至少部分地基于收集的熵?cái)?shù)據(jù)來更新熵池,并且向運(yùn)行為計(jì)算裝置的虛擬機(jī)的客戶操作系統(tǒng)提供來自于熵池的數(shù)據(jù)����。
[0009]然而,該技術(shù)方案也留有缺陷����,因?yàn)楣粽邔?duì)于一系列已經(jīng)安裝的虛擬機(jī)的I/O攻擊可能導(dǎo)致針對(duì)于另一用戶的另外虛擬機(jī)的安裝的隨機(jī)數(shù)生成。
[0010]因此��,存在對(duì)于在虛擬計(jì)算環(huán)境中特別是多租戶云計(jì)算環(huán)境中更好的熵元素��,SP具有更高的隨機(jī)性的數(shù)據(jù)元素的需求。
【發(fā)明內(nèi)容】
[0011]該需求可以通過根據(jù)獨(dú)立權(quán)利要求的用于提供隔離的熵元素的方法�����、熵元素生成器���、計(jì)算系統(tǒng)�����、數(shù)據(jù)處理程序和計(jì)算機(jī)程序產(chǎn)品來解決。
[0012]根據(jù)一個(gè)方面����,可以提供一種用于為虛擬機(jī)提供隔離的熵元素的方法。該方法可以包括可選地提供管理程序并且在該管理程序上部署至少一個(gè)虛擬機(jī)����。另外,該方法可以包括由管理程序基于觸發(fā)生成熵元素��,以及向每個(gè)熵元素分配標(biāo)識(shí)符�����,其中對(duì)于選擇的虛擬機(jī),基于觸發(fā)的熵元素可以分配有相同的標(biāo)識(shí)符�����。進(jìn)一步�����,該方法可以包括對(duì)于選擇的虛擬機(jī)�,限制使用具有相同標(biāo)識(shí)符的熵元素。
[0013]根據(jù)另一方面��,可以提供一種用于為虛擬機(jī)提供隔離的熵元素的熵元素生成器�����,其可以包括部署單元�,該部署單元適于在管理程序上部署至少一個(gè)虛擬機(jī)。進(jìn)一步�����,熵元素生成器可以包括生成器模塊���,該生成器模塊適于由管理程序基于觸發(fā)來生成熵元素�����。分配單元可以適于向每個(gè)熵元素分配標(biāo)識(shí)符����。對(duì)于選擇的虛擬機(jī),基于觸發(fā)的熵元素可以分配有相同的標(biāo)識(shí)符��。其可以包括可選地管理程序單元��,其適于提供管理程序�����,具體地在主機(jī)計(jì)算機(jī)上�����。
[0014]另外���,限制單元可以進(jìn)一步適于對(duì)于選擇的虛擬機(jī),限制使用具有相同標(biāo)識(shí)符的熵元素��。
[0015]根據(jù)另一方面����,可以提供一種計(jì)算機(jī)系統(tǒng)���,其包括中央處理單元和存儲(chǔ)器,以及熵元素生成器����。
[0016]也可以注意到熵元素也可以被視為偽隨機(jī)數(shù)。此外���,標(biāo)識(shí)符可以有助于將熵元素限制到恰一個(gè)���,即,選擇的虛擬機(jī)���。具有分配的不同標(biāo)識(shí)符的不同熵元素可以用于不同的虛擬機(jī)�����。
[0017]在本說明書的上下文中���,可以使用下面的約定、術(shù)語(yǔ)和/或表達(dá):
[0018]術(shù)語(yǔ)“熵”可以表示并且在這可以是隨機(jī)性的同義詞����。數(shù)據(jù)元素的熵越高或越好��,則各個(gè)數(shù)據(jù)元素的隨機(jī)性可以越好����。
[0019]在上述熵定義的意義下�����,術(shù)語(yǔ)“熵元素”可以表示偽隨機(jī)數(shù)����。如所知的,在計(jì)算機(jī)系統(tǒng)中需要隨機(jī)數(shù)來用于生成例如用于加密目的的安全密鑰���。
[0020]術(shù)語(yǔ)“熵元素池”可以表示多個(gè)熵元素�,即隨機(jī)數(shù)���。熵元素池可以是空的,即���,可以不包括任意的隨機(jī)數(shù)��。熵元素池可以包括具有共同特性(例如��,相同的分配的標(biāo)識(shí)符)的熵元素��。
[0021]術(shù)語(yǔ)“隔離的熵元素”可以表示可以專用于特定的虛擬機(jī)的熵元素�����?���?梢哉f用于一個(gè)特定虛擬機(jī)的熵元素可以與用于另一虛擬機(jī)的其他熵元素隔離。用于區(qū)分專用于不同熵元素池的熵元素的一個(gè)特征是向熵元素分配標(biāo)識(shí)符���。
[0022]“管理程序”可以表示一塊計(jì)算機(jī)程序或固件�、其允許包括用于虛擬機(jī)的運(yùn)行時(shí)環(huán)境的創(chuàng)建�����。管理程序可以表示為虛擬機(jī)監(jiān)視器����。管理程序可以運(yùn)行在物理主機(jī)計(jì)算機(jī)上并且虛擬機(jī)可以表示為完全以軟件實(shí)施的客戶機(jī)器。因此�,管理程序可以表示具有虛擬計(jì)算平臺(tái)的客戶操作系統(tǒng)���,并且可以管理客戶操作系統(tǒng)的執(zhí)行,包括到物理主機(jī)計(jì)算機(jī)的物理世界的所有信息交換����。各種操作系統(tǒng)的多個(gè)實(shí)例可以共享對(duì)于物理資源的虛擬化主控。也提到大型機(jī)環(huán)境可以允許嵌套的虛擬化��,即���,管理程序可以運(yùn)行在大型機(jī)環(huán)境的LPAR(邏輯分區(qū))中����??梢允褂靡部梢员灰暈楣芾沓绦虻奶幚砥髻Y源/系統(tǒng)管理器來實(shí)現(xiàn)大型機(jī)計(jì)算機(jī)的資源的分離。
[0023]術(shù)語(yǔ)“觸發(fā)”可以表示一種外部發(fā)起的事件���,像例如鍵盤上的擊鍵的效果�、進(jìn)入的網(wǎng)絡(luò)業(yè)務(wù)�、來自于指向裝置的點(diǎn)擊事件、或類似等�。觸發(fā)可以基于硬件或軟件源�����,或其組合。
[0024]建議的用于提供隔離的熵元素的方法可以提供以下的幾個(gè)優(yōu)勢(shì):
[0025]所建議的用于向虛擬機(jī)提供隔離的熵元素的方法可以允許將通過使用管理程序生成的熵元素專用于特定的或選擇的虛擬機(jī)�。這可以限制由運(yùn)行在相同的管理程序上的其他虛擬機(jī)對(duì)虛擬機(jī)的熵元素生成的影響。因此���,用于為一個(gè)或多個(gè)專用虛擬機(jī)的熵元素的生成的輸入/輸出業(yè)務(wù)可以不影響用于不屬于一個(gè)或多個(gè)專用虛擬機(jī)的虛擬機(jī)的熵元素��。因此�,對(duì)于在相同管理程序上的不同虛擬機(jī)的熵元素生成和專用可以彼此分開和隔離�。因此,相比較于其中熵元素的聯(lián)合池用于所有虛擬機(jī)的情形����,基于源自于管理程序的熵元素的虛擬機(jī)的安全密鑰生成可以具有更高的隨機(jī)性。
[0026]用于提供隔離的熵元素的建議的方法和相關(guān)生成器可以(作為結(jié)果)對(duì)于新近安裝的虛擬機(jī)實(shí)現(xiàn)更高程度的安全性���。攻擊者可能無法通過檢測(cè)管理程序上的一系列虛擬機(jī)來預(yù)測(cè)或限制新近生成的熵元素的范圍��。熵元素可以用于向虛擬機(jī)生成用于安全的通信協(xié)議的安全密鑰�����。
[0027]根據(jù)該方法的一個(gè)實(shí)施例��,觸發(fā)可以基于包括下面的組中的一個(gè):對(duì)于選擇的虛擬機(jī)的輸入信號(hào)的時(shí)間戳�、選擇的虛擬機(jī)的輸出信號(hào)的時(shí)間戳以及專用于選擇的虛擬機(jī)的其他中斷。這可以包括硬件或軟件定時(shí)器���?���?梢宰⒁獾氖沁@里的“專用”可以意味著例如中斷由于目標(biāo)針對(duì)于選擇的虛擬機(jī)的數(shù)據(jù)而提出���。這可以源自于進(jìn)入的網(wǎng)絡(luò)分組中�����,其內(nèi)容可以專用于特定的虛擬機(jī)����。此類的觸發(fā)對(duì)于熵元素的隨機(jī)性可能或多或少是個(gè)好的源�。另外,可以使用基于硬件的熵元素生成器����。它們可以例如基于白噪聲生成二極管。
[0028]根據(jù)該方法的進(jìn)一步實(shí)施例,具有相同的標(biāo)識(shí)符的熵元素可以構(gòu)建具體在管理程序內(nèi)的熵元素池����。通過這種方式��,生成的選擇的熵元素可以僅分配給單個(gè)的虛擬機(jī)�����。具體地����,基于涉及第一虛擬機(jī)的觸發(fā)