CN105933123A - 一种kvm虚拟机通信方法 - Google Patents
一种kvm虚拟机通信方法 Download PDFInfo
- Publication number
- CN105933123A CN105933123A CN201610263316.9A CN201610263316A CN105933123A CN 105933123 A CN105933123 A CN 105933123A CN 201610263316 A CN201610263316 A CN 201610263316A CN 105933123 A CN105933123 A CN 105933123A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- kvm
- encryption
- communication method
- dummy address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种KVM虚拟机通信方法,实现过程为:构建虚拟机交互模型,该虚拟机交互模型基于可信计算和KVM的共享内存建立;设置加密的专属安全可信信道和加密的内存伪地址,从而保障交互双方虚拟机的可信性和它们之外的其他虚拟机的隔离性,完成虚拟机的通信。该一种KVM虚拟机通信方法与现有技术相比,将可信计算与共享内存通信方法相结合应用到KVM虚拟机中,验证交互双方的可信性,从而建立可信信道;采用加密共享内存的伪地址而非单纯加密传输内容,相比传统的方法更具灵活性和可信性,从而有效防止入侵者通过攻击虚拟机而访问共享内存而导致的安全问题,实用性强,易于实现,易于推广。
Description
技术领域
本发明涉及计算机通信技术领域,具体地说是一种实用性强、KVM虚拟机通信方法。
背景技术
目前,一般的KVM虚拟机主要优化了虚拟机间的通信效率,而其应用的安全策略过于笼统,并未保障虚拟机的可信性。
如图1所示,是目前流行的KVM虚拟机共享内存的架构模型。该架构结合virtio半虚拟化模型,从而有效提高了虚拟机的通信效率,然而该架构模式下的共享内存的实现并没有进行安全性保护,入侵者一旦入侵虚拟机,便可以假冒其他虚拟机操作共享内存或窃取及修改通信内容。
随着云计算和虚拟化的发展,处于同一物理主机上的虚拟机间的通信安全问题越来越多,针对云计算安全中的KVM虚拟化安全问题,本专利提出一种基于共享内存和可信信道的KVM虚拟机通信方法,此专利将可信计算和共享内存机制融入KVM虚拟化,从而有效保障KVM虚拟机之间通信的可信性和安全性。
发明内容
本发明的技术任务是针对以上不足之处,提供一种实用性强、KVM虚拟机通信方法。
一种KVM虚拟机通信方法,其具体实现过程为:
构建虚拟机交互模型,该虚拟机交互模型基于可信计算和KVM的共享内存建立;
设置加密的专属安全可信信道和加密的内存伪地址,从而保障交互双方虚拟机的可信性和它们之外的其他虚拟机的隔离性,完成虚拟机的通信。
虚拟机交互模型中有两种虚拟机:Domain 0的虚拟机MVM和Domain U的虚拟机VM,MVM为一个可信虚拟机,为其他虚拟机VM提供VTPM功能,并通过VTPM管理器实现对VTPM的访问,每个MVM虚拟机中都部署一个包含秘钥管理模块、身份认证模块和动态度量机制的TCB模块,从而保障运行环境的可信性。
在建立虚拟机时,MVM的秘钥管理模块为其生成公钥和私钥,并将私钥分配给虚拟机,公钥保存在秘钥管理模块中;
虚拟机请求共享内存时,首先进行请求虚拟机的身份验证;
验证通过后,密钥管理模块将加密后的内存信息从源虚拟机中发送给目标虚拟机,这里的目标虚拟机即为上述请求虚拟机;
目标虚拟机接收到内存信息后进行解密,确定信息未被篡改后,完成通信。
请求虚拟机的身份验证过程为:
请求虚拟机将自己分配到的私钥和内存的伪地址进行数字签名,通过QEMU将签名后的伪地址、伪地址、目标虚拟机ID转发给MVM虚拟机的秘钥管理模块,秘钥管理模块根据源虚拟机ID查找其对应的公钥,并对签名后的伪地址进行解密,再与伪地址进行对比,若一致则请求未被篡改;然后再根据动态度量值参考表验证程序的度量值是否变化,若未变化说明请求可信,可以继续;完成上述两项对比后,即完成请求虚拟机的身份验证。
发送加密信息给目标虚拟机的过程为:
完成请求虚拟机的身份验证后,秘钥管理模块使用目的虚拟机ID对应的公钥对内存伪地址进行加密,并对内存中的内容进行加密,然后发加密内存内容、加密的内存伪地址、源虚拟机ID给目标虚拟机,从而保证信道的可信。
目标虚拟机的解密过程为:
目标虚拟机使用私钥解密加密的内存伪地址,获取伪地址,并读取内存中的内容,然后使用相同的散列算法计算加密内存内容看是否和收到的加密内存内容一致,若一致说明共享内存中的信息未被篡改,从而完成信息通信。
本发明的一种KVM虚拟机通信方法,具有以下优点:
该发明的一种KVM虚拟机通信方法将可信计算与共享内存通信方法相结合应用到KVM虚拟机中,验证交互双方的可信性,从而建立可信信道;采用加密共享内存的伪地址而非单纯加密传输内容,相比传统的方法更具灵活性和可信性,从而有效防止入侵者通过攻击虚拟机而访问共享内存而导致的安全问题,保证了虚拟机间通信交互过程中信息的安全性,具有通用性,实用性强,易于实现,易于推广。
附图说明
附图1为现有KVM虚拟机共享内存的架构图。
附图2为本发明的虚拟机交互架构图。
附图3为虚拟机间共享内存可信通道的建立过程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步说明。
一种KVM虚拟机通信方法,以可信计算为基础,通过KVM的共享内存机制,采用加密的专属安全可信信道和加密的内存伪地址,从而保障交互双方虚拟机的可信性和它们之外的其他虚拟机的隔离性。
其具体实现过程为:
构建虚拟机交互模型,该虚拟机交互模型基于可信计算和KVM的共享内存建立;
设置加密的专属安全可信信道和加密的内存伪地址,从而保障交互双方虚拟机的可信性和它们之外的其他虚拟机的隔离性,完成虚拟机的通信。
在建立虚拟机时,MVM的秘钥管理模块为其生成公钥和私钥,并将私钥分配给虚拟机,公钥保存在秘钥管理模块中;
虚拟机请求共享内存时,首先进行请求虚拟机的身份验证;
验证通过后,密钥管理模块将加密后的内存信息从源虚拟机中发送给目标虚拟机,这里的目标虚拟机即为上述请求虚拟机;
目标虚拟机接收到内存信息后进行解密,确定信息未被篡改后,完成通信。
具体为:
如附图2、图3所示,将图1的模型与将可信平台模块(TPM)相结合,构建出基于可信计算和共享内存的虚拟机交互模型。该模型中共有两种虚拟机:Domain 0的虚拟机MVM和Domain U的虚拟机VM,MVM为一个可信虚拟机,为其他VM提供VTPM功能,并通过VTPM管理器实现对VTPM的访问。每个虚拟机中都要部署一个包含秘钥管理、身份认证和动态度量机制的TCB模块,从而保障运行环境的可信性。
虚拟机请求共享内存时,将自己分配到的私钥和内存的伪地址(LAdrress)进行数字签名,即SHA-1(LAdrress),通过QEMU将信息{ SHA-1(LAdrress),LAdrress ,目标虚拟机ID}转发给秘钥管理模块,秘钥管理模块根据源虚拟机ID查找其对应的公钥KUi,并对SHA-1(LAdrress)进行解密KUi(SHA-1(LAdrress)),再与LAdrress进行对比,若一致则请求未被篡改。然后再根据动态度量值参考表验证程序的度量值是否变化,若未变化说明请求可信,可以继续。
完成以上请求虚拟机的身份验证后,秘钥管理使用目的虚拟机ID对应的公钥KUj 对内存伪地址LAdrress进行加密KUj(LAdrress),并对内存中的内容Message进行加密SHA-1(Message),然后发信息{ SHA-1(Message),KUj(LAdrress),源虚拟机ID}给目标虚拟机,从而保证信道的可信。
目标虚拟机使用私钥KRj解密KUj(LAdrress)获取LAdrress,并读取内存中的内容Mss,然后使用相同的散列算法计算SHA-1(Mss)看是否和收到的SHA-1(Message)一致,若一致说明共享内存中的信息未被篡改。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的一种KVM虚拟机通信方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (6)
1.一种KVM虚拟机通信方法,其特征在于,实现过程为:
构建虚拟机交互模型,该虚拟机交互模型基于可信计算和KVM的共享内存建立;
设置加密的专属安全可信信道和加密的内存伪地址,从而保障交互双方虚拟机的可信性和它们之外的其他虚拟机的隔离性,完成虚拟机的通信。
2.根据权利要求1所述的一种KVM虚拟机通信方法,其特征在于,虚拟机交互模型中有两种虚拟机:Domain
0的虚拟机MVM和Domain U的虚拟机VM,MVM为一个可信虚拟机,为其他虚拟机VM提供VTPM功能,并通过VTPM管理器实现对VTPM的访问,每个MVM虚拟机中都部署一个包含秘钥管理模块、身份认证模块和动态度量机制的TCB模块,从而保障运行环境的可信性。
3.根据权利要求2所述的一种KVM虚拟机通信方法,其特征在于,在建立虚拟机时,MVM的秘钥管理模块为其生成公钥和私钥,并将私钥分配给虚拟机,公钥保存在秘钥管理模块中;
虚拟机请求共享内存时,首先进行请求虚拟机的身份验证;
验证通过后,密钥管理模块将加密后的内存信息从源虚拟机中发送给目标虚拟机,这里的目标虚拟机即为上述请求虚拟机;
目标虚拟机接收到内存信息后进行解密,确定信息未被篡改后,完成通信。
4.根据权利要求3所述的一种KVM虚拟机通信方法,其特征在于,请求虚拟机的身份验证过程为:
请求虚拟机将自己分配到的私钥和内存的伪地址进行数字签名,通过QEMU将签名后的伪地址、伪地址、目标虚拟机ID转发给MVM虚拟机的秘钥管理模块,秘钥管理模块根据源虚拟机ID查找其对应的公钥,并对签名后的伪地址进行解密,再与伪地址进行对比,若一致则请求未被篡改;然后再根据动态度量值参考表验证程序的度量值是否变化,若未变化说明请求可信,可以继续;完成上述两项对比后,即完成请求虚拟机的身份验证。
5.根据权利要求3所述的一种KVM虚拟机通信方法,其特征在于,发送加密信息给目标虚拟机的过程为:
完成请求虚拟机的身份验证后,秘钥管理模块使用目的虚拟机ID对应的公钥对内存伪地址进行加密,并对内存中的内容进行加密,然后发加密内存内容、加密的内存伪地址、源虚拟机ID给目标虚拟机,从而保证信道的可信。
6.根据权利要求3所述的一种KVM虚拟机通信方法,其特征在于,目标虚拟机的解密过程为:
目标虚拟机使用私钥解密加密的内存伪地址,获取伪地址,并读取内存中的内容,然后使用相同的散列算法计算加密内存内容看是否和收到的加密内存内容一致,若一致说明共享内存中的信息未被篡改,从而完成信息通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610263316.9A CN105933123A (zh) | 2016-04-26 | 2016-04-26 | 一种kvm虚拟机通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610263316.9A CN105933123A (zh) | 2016-04-26 | 2016-04-26 | 一种kvm虚拟机通信方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105933123A true CN105933123A (zh) | 2016-09-07 |
Family
ID=56837205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610263316.9A Pending CN105933123A (zh) | 2016-04-26 | 2016-04-26 | 一种kvm虚拟机通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105933123A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422478A (zh) * | 2019-08-21 | 2021-02-26 | 烽火通信科技股份有限公司 | 一种虚拟机安全认证方法及系统 |
| CN117544419A (zh) * | 2024-01-05 | 2024-02-09 | 北京数盾信息科技有限公司 | 用于提高物联网设备间信息通信安全性的高速加密方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073821A (zh) * | 2011-01-27 | 2011-05-25 | 北京工业大学 | 基于xen平台的虚拟安全通信隧道的建立方法 |
-
2016
- 2016-04-26 CN CN201610263316.9A patent/CN105933123A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073821A (zh) * | 2011-01-27 | 2011-05-25 | 北京工业大学 | 基于xen平台的虚拟安全通信隧道的建立方法 |
Non-Patent Citations (1)
| Title |
|---|
| 冯登国等: "可信计算理论与实践", 《清华大学出版社》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112422478A (zh) * | 2019-08-21 | 2021-02-26 | 烽火通信科技股份有限公司 | 一种虚拟机安全认证方法及系统 |
| CN112422478B (zh) * | 2019-08-21 | 2022-10-21 | 烽火通信科技股份有限公司 | 一种虚拟机安全认证方法及系统 |
| CN117544419A (zh) * | 2024-01-05 | 2024-02-09 | 北京数盾信息科技有限公司 | 用于提高物联网设备间信息通信安全性的高速加密方法 |
| CN117544419B (zh) * | 2024-01-05 | 2024-05-14 | 北京数盾信息科技有限公司 | 用于提高物联网设备间信息通信安全性的高速加密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9698988B2 (en) | Management control method, apparatus, and system for virtual machine | |
| CN103888251B (zh) | 一种云环境中虚拟机可信保障的方法 | |
| Du et al. | Secure encrypted virtualization is unsecure | |
| CN109756492B (zh) | 基于sgx的云平台可信执行方法、装置、设备及介质 | |
| CN110138799A (zh) | 一种基于sgx的安全云存储方法 | |
| CN103051455B (zh) | 一种云计算环境下的可信密码模块密码功能授权代理的实现方法 | |
| CN112953855B (zh) | 将消息广播给加速器的系统和方法 | |
| WO2012148324A1 (en) | Secure virtual machine provisioning | |
| US11436305B2 (en) | Method and system for signing an artificial intelligence watermark using implicit data | |
| US10230738B2 (en) | Procedure for platform enforced secure storage in infrastructure clouds | |
| EP3794477B1 (en) | Method and system for validating kernel objects to be executed by a data processing accelerator of a host system | |
| Wan et al. | An improved vTPM migration protocol based trusted channel | |
| WO2016045458A1 (zh) | 一种安全控制方法及网络设备 | |
| US11775692B2 (en) | Method and system for encrypting data using a kernel | |
| CN105933123A (zh) | 一种kvm虚拟机通信方法 | |
| US11552790B2 (en) | Method for key sharing between accelerators | |
| US11645116B2 (en) | Method and system for making an artificial intelligence inference using a watermark-enabled kernel for a data processing accelerator | |
| EP4375861A1 (en) | Data security processing method and apparatus | |
| CN111310173A (zh) | 一种可信芯片的终端虚拟机身份认证方法及系统 | |
| US11496287B2 (en) | Privacy preserving fully homomorphic encryption with circuit verification | |
| Hao et al. | Trusted block as a service: Towards sensitive applications on the cloud | |
| US11709712B2 (en) | Method and system for artificial intelligence model training using a watermark-enabled kernel for a data processing accelerator | |
| US20240184909A1 (en) | Data security processing method and apparatus | |
| US11537689B2 (en) | Method and system for signing an artificial intelligence watermark using a kernel | |
| US11457002B2 (en) | Method and system for encrypting data using a command |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160907 |