CN105718301A - 一种基于vSwitch的虚拟机证书迁移方法 - Google Patents
一种基于vSwitch的虚拟机证书迁移方法 Download PDFInfo
- Publication number
- CN105718301A CN105718301A CN201610025745.2A CN201610025745A CN105718301A CN 105718301 A CN105718301 A CN 105718301A CN 201610025745 A CN201610025745 A CN 201610025745A CN 105718301 A CN105718301 A CN 105718301A
- Authority
- CN
- China
- Prior art keywords
- certificate
- virtual machine
- manager
- mac address
- vswitch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005012 migration Effects 0.000 title claims abstract description 22
- 238000013508 migration Methods 0.000 title claims abstract description 22
- 238000000034 method Methods 0.000 claims abstract description 17
- 230000003993 interaction Effects 0.000 claims description 7
- 230000006870 function Effects 0.000 description 2
- 101000896740 Solanum tuberosum Cysteine protease inhibitor 9 Proteins 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/485—Task life-cycle, e.g. stopping, restarting, resuming execution
- G06F9/4856—Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域;本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
Description
技术领域
本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域。
背景技术
交换机是局域网中的一种重要设备,它可将用户收到的数据包根据目的地址转发到相应的端口。当收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接到哪个端口台上,通过内容交换矩阵迅速将数据包传送到目的端口。vSwitch(虚拟交换机)是利用虚拟平台,通过软件的方式形成交换机部件。跟物理交换机相比,虚拟交换机配置更加灵活,一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择;而且成本更加低廉,通过虚拟交换可以获得昂贵的物理交换机才能达到的性能。vSwitch通过主机上的物理网卡作为上行链路与外界网络进行连接。每个虚拟机有着自己的虚拟网卡(virtualNIC),每个virtualNIC有着自己的MAC地址和IP地址。vSwitch可划分出虚拟端口vPort。根据需要,vSwitch还可以支持二层转发、安全控制、端口镜像等功能。在vSwitch行驶功能时,往往虚拟机需要进行迁移,为保障虚拟机迁移的正确进行,本发明提供一种基于vSwitch的虚拟机证书迁移方法,利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
TPM(TrustedPlatformModule)是TCG组织提出的嵌在硬件平台上的可信平台模块,可以提高计算机系统的安全性。
发明内容
本发明提供一种基于vSwitch的虚拟机证书迁移方法,提出的具体方案是:
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
本发明的有益之处是:
本发明源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
附图说明
图1本发明方法的框架示意图;
图2本发明方法中MAC地址更新示意图。
具体实施方式
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
根据上述方法及发明内容,结合附图对本发明做进一步说明。
源主机按照PKI,即公钥基础设施规定的证书申请流程申请虚拟机证书,证书申请下来后,由平台管理者将证书连同私钥一起导出暂放在证书管理器中;
当证书管理器中有证书存入时,证书管理器向TPM请求对证书加密,加密后的证书存放在证书管理器中;
当虚拟机(VM)需要证书时,向证书管理器提出申请,证书管理器请求TPM对证书解密,然后颁发给虚拟机,其中证书管理器内并维护建立证书数据表,记录证书与虚拟机的一一对应关系;
当虚拟机VM1迁移时,告知源主机证书管理器,源主机证书管理器分离出将要迁移的虚拟机的证书;
此时,若多部虚拟机进行迁移时,可以按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时Dom0域(特权域)虚拟机通过vNIC管理器与vSwitch交互广播本机MAC地址,并将目的端MAC地址添加到内部MAC地址表中;
目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
从而实现虚拟机证书的安全存放、迁移及迁移路径的记录。
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
Claims (4)
1.一种基于vSwitch的虚拟机证书迁移方法,其特征是源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
2.根据权利要求1所述的方法,其特征是所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
3.根据权利要求2所述的方法,其特征是多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
4.根据权利要求1或3所述的方法,其特征是所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610025745.2A CN105718301B (zh) | 2016-01-15 | 2016-01-15 | 一种基于vSwitch的虚拟机证书迁移方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610025745.2A CN105718301B (zh) | 2016-01-15 | 2016-01-15 | 一种基于vSwitch的虚拟机证书迁移方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105718301A true CN105718301A (zh) | 2016-06-29 |
CN105718301B CN105718301B (zh) | 2018-10-09 |
Family
ID=56147202
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610025745.2A Active CN105718301B (zh) | 2016-01-15 | 2016-01-15 | 一种基于vSwitch的虚拟机证书迁移方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105718301B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106970829A (zh) * | 2017-04-01 | 2017-07-21 | 济南浪潮高新科技投资发展有限公司 | 一种虚拟机证书快速申请系统及方法 |
CN109074330A (zh) * | 2016-08-03 | 2018-12-21 | 华为技术有限公司 | 网络接口卡、计算设备以及数据包处理方法 |
US10623310B2 (en) | 2016-08-03 | 2020-04-14 | Huawei Technologies Co., Ltd. | Network interface card, computing device, and data packet processing method |
US10904202B2 (en) | 2018-02-09 | 2021-01-26 | Red Hat, Inc. | Packet routing using a network device |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN103645949A (zh) * | 2013-12-12 | 2014-03-19 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全框架 |
US8990799B1 (en) * | 2008-01-30 | 2015-03-24 | Emc Corporation | Direct memory access through virtual switch in device driver |
US20150186174A1 (en) * | 2013-12-26 | 2015-07-02 | Red Hat, Inc. | Mac address prefixes used on virtual machine hosts |
CN105208048A (zh) * | 2014-05-30 | 2015-12-30 | 株式会社日立制作所 | 全局迁移管理器、网关、虚拟机迁移系统及其方法 |
-
2016
- 2016-01-15 CN CN201610025745.2A patent/CN105718301B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8990799B1 (en) * | 2008-01-30 | 2015-03-24 | Emc Corporation | Direct memory access through virtual switch in device driver |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN103645949A (zh) * | 2013-12-12 | 2014-03-19 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全框架 |
US20150186174A1 (en) * | 2013-12-26 | 2015-07-02 | Red Hat, Inc. | Mac address prefixes used on virtual machine hosts |
CN105208048A (zh) * | 2014-05-30 | 2015-12-30 | 株式会社日立制作所 | 全局迁移管理器、网关、虚拟机迁移系统及其方法 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109074330A (zh) * | 2016-08-03 | 2018-12-21 | 华为技术有限公司 | 网络接口卡、计算设备以及数据包处理方法 |
US10581729B2 (en) | 2016-08-03 | 2020-03-03 | Huawei Technologies Co., Ltd. | Network interface card, computing device, and data packet processing method |
US10623310B2 (en) | 2016-08-03 | 2020-04-14 | Huawei Technologies Co., Ltd. | Network interface card, computing device, and data packet processing method |
CN106970829A (zh) * | 2017-04-01 | 2017-07-21 | 济南浪潮高新科技投资发展有限公司 | 一种虚拟机证书快速申请系统及方法 |
US10904202B2 (en) | 2018-02-09 | 2021-01-26 | Red Hat, Inc. | Packet routing using a network device |
Also Published As
Publication number | Publication date |
---|---|
CN105718301B (zh) | 2018-10-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10666609B2 (en) | Management of domain name systems in a large-scale processing environment | |
US11451434B2 (en) | System and method for correlating fabric-level group membership with subnet-level partition membership in a high-performance computing environment | |
Wu et al. | Network security for virtual machine in cloud computing | |
JP6151394B2 (ja) | 仮想クラウドインフラストラクチャへの仮想セキュリティ装置アーキテクチャの提供 | |
US8929377B2 (en) | Systems and methods for automatic rack detection | |
US9083651B2 (en) | Controlling a network interface using virtual switch proxying | |
EP2873214B1 (en) | Virtual gateways for isolating virtual machines | |
EP2731292B1 (en) | Access point device, system and relevant method for wireless local area network | |
US20140007089A1 (en) | Migrating virtual machines between computing devices | |
CN105718301A (zh) | 一种基于vSwitch的虚拟机证书迁移方法 | |
RU2017130338A (ru) | Способ разбиения функции обработки данных между уровнями системы | |
US20170180274A1 (en) | Packets Processing | |
Kappes et al. | Dike: Virtualization-aware Access Control for Multitenant Filesystems | |
CN107113219A (zh) | 虚拟环境中的vlan标记 | |
US9686237B2 (en) | Secure communication channel using a blade server | |
JP2018508856A5 (zh) | ||
US20140019959A1 (en) | Automated provisioning of virtual machines | |
US11068606B2 (en) | Secured encrypted shared cloud storage | |
US20170230245A1 (en) | Verifying network elements | |
US20130173904A1 (en) | Secure data communications with network back end devices | |
US20120054850A1 (en) | Proxying for Clusters of Fiber Channel Servers to Reduce Configuration Requirements for Fiber Channel Storage Arrays | |
TW201335787A (zh) | 虛擬機安全操作系統及方法 | |
US9582676B2 (en) | Adding or replacing disks with re-key processing | |
Kamla et al. | An implementation of software routing for building a private cloud | |
US20130173906A1 (en) | Cloning storage devices through secure communications links |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230414 Address after: 250000 building S02, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province Patentee after: Shandong Inspur Scientific Research Institute Co.,Ltd. Address before: No. 1036, Shun Ya Road, Ji'nan high tech Zone, Shandong Province Patentee before: INSPUR GROUP Co.,Ltd. |