CN105718301B - 一种基于vSwitch的虚拟机证书迁移方法 - Google Patents
一种基于vSwitch的虚拟机证书迁移方法 Download PDFInfo
- Publication number
- CN105718301B CN105718301B CN201610025745.2A CN201610025745A CN105718301B CN 105718301 B CN105718301 B CN 105718301B CN 201610025745 A CN201610025745 A CN 201610025745A CN 105718301 B CN105718301 B CN 105718301B
- Authority
- CN
- China
- Prior art keywords
- certificate
- virtual machine
- mac address
- vswitch
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013508 migration Methods 0.000 title claims abstract description 24
- 230000005012 migration Effects 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 title claims abstract description 15
- 230000003993 interaction Effects 0.000 claims description 6
- 238000003860 storage Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/485—Task life-cycle, e.g. stopping, restarting, resuming execution
- G06F9/4856—Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域;本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
Description
技术领域
本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域。
背景技术
交换机是局域网中的一种重要设备,它可将用户收到的数据包根据目的地址转发到相应的端口。当收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接到哪个端口台上,通过内容交换矩阵迅速将数据包传送到目的端口。vSwitch(虚拟交换机)是利用虚拟平台,通过软件的方式形成交换机部件。跟物理交换机相比,虚拟交换机配置更加灵活,一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择;而且成本更加低廉,通过虚拟交换可以获得昂贵的物理交换机才能达到的性能。vSwitch通过主机上的物理网卡作为上行链路与外界网络进行连接。每个虚拟机有着自己的虚拟网卡(virtual NIC),每个 virtual NIC有着自己的MAC地址和IP地址。vSwitch可划分出虚拟端口vPort。根据需要,vSwitch还可以支持二层转发、安全控制、端口镜像等功能。在vSwitch行驶功能时,往往虚拟机需要进行迁移,为保障虚拟机迁移的正确进行,本发明提供一种基于vSwitch的虚拟机证书迁移方法,利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
TPM(Trusted Platform Module)是TCG组织提出的嵌在硬件平台上的可信平台模块,可以提高计算机系统的安全性。
发明内容
本发明提供一种基于vSwitch的虚拟机证书迁移方法,提出的具体方案是:
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
本发明的有益之处是:
本发明源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
附图说明
图1本发明方法的框架示意图;
图2本发明方法中MAC地址更新示意图。
具体实施方式
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
根据上述方法及发明内容,结合附图对本发明做进一步说明。
源主机按照PKI,即公钥基础设施规定的证书申请流程申请虚拟机证书,证书申请下来后,由平台管理者将证书连同私钥一起导出暂放在证书管理器中;
当证书管理器中有证书存入时,证书管理器向TPM请求对证书加密,加密后的证书存放在证书管理器中;
当虚拟机(VM)需要证书时,向证书管理器提出申请,证书管理器请求TPM对证书解密,然后颁发给虚拟机,其中证书管理器内并维护建立证书数据表,记录证书与虚拟机的一一对应关系;
当虚拟机VM1迁移时,告知源主机证书管理器,源主机证书管理器分离出将要迁移的虚拟机的证书;
此时,若多部虚拟机进行迁移时,可以按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时Dom0域(特权域)虚拟机通过vNIC管理器与vSwitch交互广播本机MAC地址,并将目的端MAC地址添加到内部MAC地址表中;
目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
从而实现虚拟机证书的安全存放、迁移及迁移路径的记录。
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
Claims (4)
1.一种基于vSwitch的虚拟机证书迁移方法,其特征是源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
2.根据权利要求1所述的方法,其特征是所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
3.根据权利要求2所述的方法,其特征是多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
4.根据权利要求1或3所述的方法,其特征是多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610025745.2A CN105718301B (zh) | 2016-01-15 | 2016-01-15 | 一种基于vSwitch的虚拟机证书迁移方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610025745.2A CN105718301B (zh) | 2016-01-15 | 2016-01-15 | 一种基于vSwitch的虚拟机证书迁移方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105718301A CN105718301A (zh) | 2016-06-29 |
| CN105718301B true CN105718301B (zh) | 2018-10-09 |
Family
ID=56147202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610025745.2A Active CN105718301B (zh) | 2016-01-15 | 2016-01-15 | 一种基于vSwitch的虚拟机证书迁移方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105718301B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3340547B1 (en) | 2016-08-03 | 2019-11-27 | Huawei Technologies Co., Ltd. | Network interface card and data packet processing method |
| EP3340064B1 (en) * | 2016-08-03 | 2020-12-02 | Huawei Technologies Co., Ltd. | Network interface card, computer device and data packet processing method |
| CN106970829A (zh) * | 2017-04-01 | 2017-07-21 | 济南浪潮高新科技投资发展有限公司 | 一种虚拟机证书快速申请系统及方法 |
| US10904202B2 (en) | 2018-02-09 | 2021-01-26 | Red Hat, Inc. | Packet routing using a network device |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
| CN103645949A (zh) * | 2013-12-12 | 2014-03-19 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全框架 |
| US8990799B1 (en) * | 2008-01-30 | 2015-03-24 | Emc Corporation | Direct memory access through virtual switch in device driver |
| CN105208048A (zh) * | 2014-05-30 | 2015-12-30 | 株式会社日立制作所 | 全局迁移管理器、网关、虚拟机迁移系统及其方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9654392B2 (en) * | 2013-12-26 | 2017-05-16 | Red Hat, Inc. | MAC address prefixes used on virtual machine hosts |
-
2016
- 2016-01-15 CN CN201610025745.2A patent/CN105718301B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8990799B1 (en) * | 2008-01-30 | 2015-03-24 | Emc Corporation | Direct memory access through virtual switch in device driver |
| CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
| CN103645949A (zh) * | 2013-12-12 | 2014-03-19 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全框架 |
| CN105208048A (zh) * | 2014-05-30 | 2015-12-30 | 株式会社日立制作所 | 全局迁移管理器、网关、虚拟机迁移系统及其方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105718301A (zh) | 2016-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10972452B2 (en) | Secure access to virtual machines in heterogeneous cloud environments | |
| US10666609B2 (en) | Management of domain name systems in a large-scale processing environment | |
| JP6335363B2 (ja) | 仮想クラウドインフラストラクチャへの仮想セキュリティ装置アーキテクチャの提供 | |
| CN105718301B (zh) | 一种基于vSwitch的虚拟机证书迁移方法 | |
| US8997094B2 (en) | Migrating virtual machines between computing devices | |
| KR101982960B1 (ko) | 불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선 | |
| US20140052877A1 (en) | Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters | |
| CN107113219A (zh) | 虚拟环境中的vlan标记 | |
| CN102780608A (zh) | 用于分布式虚拟交换机的私有虚拟局域网方法和系统 | |
| EP2681874B1 (en) | Ipsec connection to private networks | |
| US9686237B2 (en) | Secure communication channel using a blade server | |
| JP2016502795A (ja) | データフロー処理の方法および装置 | |
| US10659440B2 (en) | Optimizing utilization of security parameter index (SPI) space | |
| US20120054850A1 (en) | Proxying for Clusters of Fiber Channel Servers to Reduce Configuration Requirements for Fiber Channel Storage Arrays | |
| US20140189357A1 (en) | Encryption and authentication based network management method and apparatus | |
| US11327782B2 (en) | Supporting migration of virtual machines containing enclaves | |
| EP3288235B1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
| CN114026826B (zh) | 提供商网络底层扩展的提供商网络连接管理 | |
| US11374789B2 (en) | Provider network connectivity to provider network substrate extensions | |
| WO2018125701A1 (en) | Network function virtualization (nfv) hardware trusted hosted mano | |
| US11726813B2 (en) | Systems and methods for establishing scalable credential creation and access | |
| US20130258901A1 (en) | Communication interface apparatus, computer-readable recording medium for recording communication interface program, and virtual network constructing method | |
| Chen et al. | Svdc: a highly scalable isolation architecture for virtualized layer-2 data center networks | |
| Nomura et al. | A system for supporting migration to overlay OpenFlow network using OpenStack | |
| WO2019015563A1 (zh) | 一种虚拟网络功能vnf的初始化凭据生成方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230414 Address after: 250000 building S02, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province Patentee after: Shandong Inspur Scientific Research Institute Co.,Ltd. Address before: No. 1036, Shun Ya Road, Ji'nan high tech Zone, Shandong Province Patentee before: INSPUR GROUP Co.,Ltd. |
|
| TR01 | Transfer of patent right |