CN105718301A - 一种基于vSwitch的虚拟机证书迁移方法 - Google Patents

一种基于vSwitch的虚拟机证书迁移方法 Download PDF

Info

Publication number
CN105718301A
CN105718301A CN201610025745.2A CN201610025745A CN105718301A CN 105718301 A CN105718301 A CN 105718301A CN 201610025745 A CN201610025745 A CN 201610025745A CN 105718301 A CN105718301 A CN 105718301A
Authority
CN
China
Prior art keywords
certificate
virtual machine
manager
mac address
vswitch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610025745.2A
Other languages
English (en)
Other versions
CN105718301B (zh
Inventor
段同苑
郝虹
于治楼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Inspur Science Research Institute Co Ltd
Original Assignee
Inspur Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Group Co Ltd filed Critical Inspur Group Co Ltd
Priority to CN201610025745.2A priority Critical patent/CN105718301B/zh
Publication of CN105718301A publication Critical patent/CN105718301A/zh
Application granted granted Critical
Publication of CN105718301B publication Critical patent/CN105718301B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/485Task life-cycle, e.g. stopping, restarting, resuming execution
    • G06F9/4856Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域;本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。

Description

一种基于vSwitch的虚拟机证书迁移方法
技术领域
本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域。
背景技术
交换机是局域网中的一种重要设备,它可将用户收到的数据包根据目的地址转发到相应的端口。当收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接到哪个端口台上,通过内容交换矩阵迅速将数据包传送到目的端口。vSwitch(虚拟交换机)是利用虚拟平台,通过软件的方式形成交换机部件。跟物理交换机相比,虚拟交换机配置更加灵活,一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择;而且成本更加低廉,通过虚拟交换可以获得昂贵的物理交换机才能达到的性能。vSwitch通过主机上的物理网卡作为上行链路与外界网络进行连接。每个虚拟机有着自己的虚拟网卡(virtualNIC),每个virtualNIC有着自己的MAC地址和IP地址。vSwitch可划分出虚拟端口vPort。根据需要,vSwitch还可以支持二层转发、安全控制、端口镜像等功能。在vSwitch行驶功能时,往往虚拟机需要进行迁移,为保障虚拟机迁移的正确进行,本发明提供一种基于vSwitch的虚拟机证书迁移方法,利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
TPM(TrustedPlatformModule)是TCG组织提出的嵌在硬件平台上的可信平台模块,可以提高计算机系统的安全性。
发明内容
本发明提供一种基于vSwitch的虚拟机证书迁移方法,提出的具体方案是:
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
本发明的有益之处是:
本发明源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
附图说明
图1本发明方法的框架示意图;
图2本发明方法中MAC地址更新示意图。
具体实施方式
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
根据上述方法及发明内容,结合附图对本发明做进一步说明。
源主机按照PKI,即公钥基础设施规定的证书申请流程申请虚拟机证书,证书申请下来后,由平台管理者将证书连同私钥一起导出暂放在证书管理器中;
当证书管理器中有证书存入时,证书管理器向TPM请求对证书加密,加密后的证书存放在证书管理器中;
当虚拟机(VM)需要证书时,向证书管理器提出申请,证书管理器请求TPM对证书解密,然后颁发给虚拟机,其中证书管理器内并维护建立证书数据表,记录证书与虚拟机的一一对应关系;
当虚拟机VM1迁移时,告知源主机证书管理器,源主机证书管理器分离出将要迁移的虚拟机的证书;
此时,若多部虚拟机进行迁移时,可以按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时Dom0域(特权域)虚拟机通过vNIC管理器与vSwitch交互广播本机MAC地址,并将目的端MAC地址添加到内部MAC地址表中;
目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
从而实现虚拟机证书的安全存放、迁移及迁移路径的记录。
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。

Claims (4)

1.一种基于vSwitch的虚拟机证书迁移方法,其特征是源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
2.根据权利要求1所述的方法,其特征是所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
3.根据权利要求2所述的方法,其特征是多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
4.根据权利要求1或3所述的方法,其特征是所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
CN201610025745.2A 2016-01-15 2016-01-15 一种基于vSwitch的虚拟机证书迁移方法 Active CN105718301B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610025745.2A CN105718301B (zh) 2016-01-15 2016-01-15 一种基于vSwitch的虚拟机证书迁移方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610025745.2A CN105718301B (zh) 2016-01-15 2016-01-15 一种基于vSwitch的虚拟机证书迁移方法

Publications (2)

Publication Number Publication Date
CN105718301A true CN105718301A (zh) 2016-06-29
CN105718301B CN105718301B (zh) 2018-10-09

Family

ID=56147202

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610025745.2A Active CN105718301B (zh) 2016-01-15 2016-01-15 一种基于vSwitch的虚拟机证书迁移方法

Country Status (1)

Country Link
CN (1) CN105718301B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106970829A (zh) * 2017-04-01 2017-07-21 济南浪潮高新科技投资发展有限公司 一种虚拟机证书快速申请系统及方法
CN109074330A (zh) * 2016-08-03 2018-12-21 华为技术有限公司 网络接口卡、计算设备以及数据包处理方法
US10623310B2 (en) 2016-08-03 2020-04-14 Huawei Technologies Co., Ltd. Network interface card, computing device, and data packet processing method
US10904202B2 (en) 2018-02-09 2021-01-26 Red Hat, Inc. Packet routing using a network device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103516728A (zh) * 2013-10-14 2014-01-15 武汉大学 一种防止云平台虚拟机非法启动的镜像加解密方法
CN103645949A (zh) * 2013-12-12 2014-03-19 浪潮电子信息产业股份有限公司 一种虚拟机动态迁移安全框架
US8990799B1 (en) * 2008-01-30 2015-03-24 Emc Corporation Direct memory access through virtual switch in device driver
US20150186174A1 (en) * 2013-12-26 2015-07-02 Red Hat, Inc. Mac address prefixes used on virtual machine hosts
CN105208048A (zh) * 2014-05-30 2015-12-30 株式会社日立制作所 全局迁移管理器、网关、虚拟机迁移系统及其方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8990799B1 (en) * 2008-01-30 2015-03-24 Emc Corporation Direct memory access through virtual switch in device driver
CN103516728A (zh) * 2013-10-14 2014-01-15 武汉大学 一种防止云平台虚拟机非法启动的镜像加解密方法
CN103645949A (zh) * 2013-12-12 2014-03-19 浪潮电子信息产业股份有限公司 一种虚拟机动态迁移安全框架
US20150186174A1 (en) * 2013-12-26 2015-07-02 Red Hat, Inc. Mac address prefixes used on virtual machine hosts
CN105208048A (zh) * 2014-05-30 2015-12-30 株式会社日立制作所 全局迁移管理器、网关、虚拟机迁移系统及其方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109074330A (zh) * 2016-08-03 2018-12-21 华为技术有限公司 网络接口卡、计算设备以及数据包处理方法
US10581729B2 (en) 2016-08-03 2020-03-03 Huawei Technologies Co., Ltd. Network interface card, computing device, and data packet processing method
US10623310B2 (en) 2016-08-03 2020-04-14 Huawei Technologies Co., Ltd. Network interface card, computing device, and data packet processing method
CN106970829A (zh) * 2017-04-01 2017-07-21 济南浪潮高新科技投资发展有限公司 一种虚拟机证书快速申请系统及方法
US10904202B2 (en) 2018-02-09 2021-01-26 Red Hat, Inc. Packet routing using a network device

Also Published As

Publication number Publication date
CN105718301B (zh) 2018-10-09

Similar Documents

Publication Publication Date Title
US10666609B2 (en) Management of domain name systems in a large-scale processing environment
US11451434B2 (en) System and method for correlating fabric-level group membership with subnet-level partition membership in a high-performance computing environment
Wu et al. Network security for virtual machine in cloud computing
JP6151394B2 (ja) 仮想クラウドインフラストラクチャへの仮想セキュリティ装置アーキテクチャの提供
US8929377B2 (en) Systems and methods for automatic rack detection
US9083651B2 (en) Controlling a network interface using virtual switch proxying
EP2873214B1 (en) Virtual gateways for isolating virtual machines
EP2731292B1 (en) Access point device, system and relevant method for wireless local area network
US20140007089A1 (en) Migrating virtual machines between computing devices
CN105718301A (zh) 一种基于vSwitch的虚拟机证书迁移方法
RU2017130338A (ru) Способ разбиения функции обработки данных между уровнями системы
US20170180274A1 (en) Packets Processing
Kappes et al. Dike: Virtualization-aware Access Control for Multitenant Filesystems
CN107113219A (zh) 虚拟环境中的vlan标记
US9686237B2 (en) Secure communication channel using a blade server
JP2018508856A5 (zh)
US20140019959A1 (en) Automated provisioning of virtual machines
US11068606B2 (en) Secured encrypted shared cloud storage
US20170230245A1 (en) Verifying network elements
US20130173904A1 (en) Secure data communications with network back end devices
US20120054850A1 (en) Proxying for Clusters of Fiber Channel Servers to Reduce Configuration Requirements for Fiber Channel Storage Arrays
TW201335787A (zh) 虛擬機安全操作系統及方法
US9582676B2 (en) Adding or replacing disks with re-key processing
Kamla et al. An implementation of software routing for building a private cloud
US20130173906A1 (en) Cloning storage devices through secure communications links

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230414

Address after: 250000 building S02, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province

Patentee after: Shandong Inspur Scientific Research Institute Co.,Ltd.

Address before: No. 1036, Shun Ya Road, Ji'nan high tech Zone, Shandong Province

Patentee before: INSPUR GROUP Co.,Ltd.