CN106095525A - 一种虚拟机动态迁移安全防护方法 - Google Patents
一种虚拟机动态迁移安全防护方法 Download PDFInfo
- Publication number
- CN106095525A CN106095525A CN201610391618.4A CN201610391618A CN106095525A CN 106095525 A CN106095525 A CN 106095525A CN 201610391618 A CN201610391618 A CN 201610391618A CN 106095525 A CN106095525 A CN 106095525A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- encryption
- information
- data
- dynamic migration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013508 migration Methods 0.000 title claims abstract description 25
- 230000005012 migration Effects 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 title claims abstract description 23
- 230000007246 mechanism Effects 0.000 claims abstract description 5
- 238000002372 labelling Methods 0.000 claims description 6
- 238000006073 displacement reaction Methods 0.000 claims description 4
- 238000011084 recovery Methods 0.000 claims description 3
- 230000009466 transformation Effects 0.000 claims description 3
- 238000013509 system migration Methods 0.000 abstract description 2
- 230000009286 beneficial effect Effects 0.000 abstract 1
- 230000008569 process Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000007704 transition Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/485—Task life-cycle, e.g. stopping, restarting, resuming execution
- G06F9/4856—Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟机动态迁移安全防护方法,该虚拟机动态迁移安全防护方法步骤如下:在传统迁移机制的基础上增加安全等级分级模块和加密模块,安全等级分级模块对迁出的虚拟机的信息进行分级和标记,标记后的内存页进入加密模块,利用加密算法对数据进行相应等级的加密;在迁入宿主机端,对加密后的数据进行解密,恢复虚拟机。本发明具有以下有益效果:1)将虚拟机信息进行分级,实现数据信息的细粒度处理,使安全防护更加灵活;2)根据信息重要程度不同采用不同的加密算法,在保证数据安全的同时提高加密的效率;3)加密算法和密级可以动态更新,提高系统迁移安全性。
Description
技术领域
本发明涉及服务器软件领域,具体地说是一种虚拟机动态迁移安全防护方法。
背景技术
虚拟化技术是实现云计算服务的基础核心技术,该技术具有很好的灵活性和可控性,能够实现对物理资源的自由配置,极大的提高对物理资源的利用率。虚拟机动态迁移是指将一台虚拟机从一个宿主机迁移至另一个宿主机,迁移过程中虚拟机不中断原有指令的执行的一种技术,能够实现计算集群负载均衡、集中管理、容错等功能。目前流行的 KVM 虚拟化迁移技术是基于硬件虚拟化的 Linux 全虚拟化解决方案,迁移的本质是将虚拟机配置封装成数据包,通过高速网络将数据包发送至迁入宿主机,迁移过程中虚拟机不停机,至迁移完成后再迁入端继续运行。但由于迁移过程中存在不安全的通信通道,导致迁移数据时可能遭遇监听,泄露虚拟机中机密数据,同时系统缺少访问控制机制和完整性验证,存在未经授权的用户启动和迁移虚拟机到不可信的平台中,获取虚拟机信息,甚至篡改其中的机密信息,导致用户信息泄露和虚拟机被破坏。
传统KVM虚拟机迁移过程如下:
步骤1. 将虚拟机未修改的页面从迁出宿主机复制到迁入宿主机;
步骤2. 将上一轮过程中被修改过且到目前为止本轮复制过程中没有被修改过的页面复制到迁入宿主机,可重复这一步骤;
步骤3. 短暂停机,将剩余少量没有同步的内存页面和虚拟机系统运行信息复制到目的宿主机。
传统的虚拟机动态迁移的安全防护策略是对整个虚拟机的所有数据进行加密处理,或是对网络传输通道进行加密,处理的数据量较大,停机时间长,影响虚拟机迁移时间和系统整体性能。
发明内容
本发明的技术任务是提供一种虚拟机动态迁移安全防护方法。
本发明的技术任务是按以下方式实现的,该虚拟机动态迁移安全防护方法步骤如下:
在传统迁移机制的基础上增加安全等级分级模块和加密模块,安全等级分级模块对迁出的虚拟机的信息进行分级和标记,标记后的内存页进入加密模块,利用加密算法对数据进行相应等级的加密;在迁入宿主机端,对加密后的数据进行解密,恢复虚拟机。
所述的各个宿主机维持一个通用的密级和密级对应的加密算法数据库,同时更新,保证在迁入宿主机端能够对数据进行正确的解密和虚拟机的正常恢复。
所述的加密算法为移位代换、线性变换算法。
所述的虚拟机的信息分为用户信息和系统信息,动态迁出的虚拟机的信息为用户信息。
本发明的一种虚拟机动态迁移安全防护方法和现有技术相比,具有以下有益效果:
1)将虚拟机信息进行分级,实现数据信息的细粒度处理,使安全防护更加灵活;
2)根据信息重要程度不同采用不同的加密算法,在保证数据安全的同时提高加密的效率;
3)加密算法和密级可以动态更新,提高系统迁移安全性。
附图说明
附图1为一种虚拟机动态迁移安全防护方法的流程示意图。
具体实施方式
实施例1:
该虚拟机动态迁移安全防护方法步骤如下:
虚拟机中的信息重要性不同,分布也相对集中,可以将防护对象安全进行分级。虚拟机是在完全隔离的物理硬件环境下运行的完整计算机系统,运行空间与一般的计算机系统一样,分为系统空间和用户空间。而动态迁移过程中有价值的泄密信息主要来自用户信息,这样就可以将整个虚拟机的信息分为用户信息和系统信息。再者,用户信息又因重要性不同可以进行更细致的划分。因此,可以将防护对象分级,采用不同的加密办法,不仅有利于信息保护,同时会提高迁移过程中数据传输效率和加密、解码效率,细粒度的信息划分也能够使安全防护更加灵活。
在传统迁移机制的基础上增加安全等级分级模块和加密模块,安全等级分级模块对迁出的虚拟机的信息进行分级和标记,标记后的内存页进入加密模块,利用移位代换、线性变换算法对数据进行相应等级的加密;安全等级低的对象使用简单的线性变换加密算法,减少加密和解密的时间,提高迁移的效率;安全等级高的对象采用移位代换算法,提高数据的安全等级,减少泄密的机会;在迁入宿主机端,对加密后的数据进行解密,恢复虚拟机。
各个宿主机维持一个通用的密级和密级对应的加密算法数据库,同时更新,保证在迁入宿主机端能够对数据进行正确的解密和虚拟机的正常恢复。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的几种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
Claims (4)
1.一种虚拟机动态迁移安全防护方法,其特征在于,该虚拟机动态迁移安全防护方法步骤如下:
在传统迁移机制的基础上增加安全等级分级模块和加密模块,安全等级分级模块对迁出的虚拟机的信息进行分级和标记,标记后的内存页进入加密模块,利用加密算法对数据进行相应等级的加密;在迁入宿主机端,对加密后的数据进行解密,恢复虚拟机。
2.根据权利要求1所述的一种虚拟机动态迁移安全防护方法,其特征在于,所述的各个宿主机维持一个通用的密级和密级对应的加密算法数据库,同时更新,保证在迁入宿主机端能够对数据进行正确的解密和虚拟机的正常恢复。
3.根据权利要求1所述的一种虚拟机动态迁移安全防护方法,其特征在于,所述的加密算法为移位代换、线性变换算法。
4.根据权利要求1所述的一种虚拟机动态迁移安全防护方法,其特征在于,所述的虚拟机的信息分为用户信息和系统信息,动态迁出的虚拟机的信息为用户信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610391618.4A CN106095525A (zh) | 2016-06-06 | 2016-06-06 | 一种虚拟机动态迁移安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610391618.4A CN106095525A (zh) | 2016-06-06 | 2016-06-06 | 一种虚拟机动态迁移安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106095525A true CN106095525A (zh) | 2016-11-09 |
Family
ID=57447936
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610391618.4A Pending CN106095525A (zh) | 2016-06-06 | 2016-06-06 | 一种虚拟机动态迁移安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106095525A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106598713A (zh) * | 2016-11-24 | 2017-04-26 | 上海交通大学 | 虚拟机安全动态迁移的方法及系统 |
CN107295488A (zh) * | 2017-06-15 | 2017-10-24 | 合肥工业大学 | 一种基于文本重要属性标示法的短消息传输系统及其方法 |
CN107330336A (zh) * | 2017-05-23 | 2017-11-07 | 中国人民解放军信息工程大学 | Linux操作系统内存页面即时加解密方法和系统 |
CN107341046A (zh) * | 2017-07-17 | 2017-11-10 | 郑州云海信息技术有限公司 | 一种信息安全管理方法及装置 |
CN107885586A (zh) * | 2017-11-15 | 2018-04-06 | 北京易讯通信息技术股份有限公司 | 一种在私有云中迁移虚拟机的安全防护方法 |
CN109165080A (zh) * | 2018-08-10 | 2019-01-08 | 云宏信息科技股份有限公司 | 虚拟机在线迁移过程内存数据的保护方法、装置及物理机 |
CN109508224A (zh) * | 2018-11-15 | 2019-03-22 | 中国电子科技网络信息安全有限公司 | 一种基于kvm虚拟机的用户数据隔离防护系统及方法 |
CN110659509A (zh) * | 2019-08-29 | 2020-01-07 | 北京浪潮数据技术有限公司 | 一种内存快照文件的生成方法、装置、电子设备及介质 |
CN110708154A (zh) * | 2019-08-31 | 2020-01-17 | 苏州浪潮智能科技有限公司 | 一种虚拟机迁移方法、系统、终端及存储介质 |
CN111124599A (zh) * | 2019-11-08 | 2020-05-08 | 海光信息技术有限公司 | 虚拟机内存数据迁移方法、装置、电子设备及存储介质 |
CN111124616A (zh) * | 2019-12-23 | 2020-05-08 | 海光信息技术有限公司 | 一种虚拟机迁移方法、处理器及电子设备 |
CN113554776A (zh) * | 2021-06-23 | 2021-10-26 | 广东润建电力科技有限公司 | 基于5g消息的配电房智能巡检与运维方法、系统及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102455942A (zh) * | 2010-12-02 | 2012-05-16 | 中标软件有限公司 | 一种广域网虚拟机动态迁移方法及系统 |
CN103780622A (zh) * | 2014-01-24 | 2014-05-07 | 华中科技大学 | 一种面向云存储的数据分类加密方法 |
CN104079574A (zh) * | 2014-07-02 | 2014-10-01 | 南京邮电大学 | 云环境下基于属性和同态混合加密的用户隐私保护方法 |
-
2016
- 2016-06-06 CN CN201610391618.4A patent/CN106095525A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102455942A (zh) * | 2010-12-02 | 2012-05-16 | 中标软件有限公司 | 一种广域网虚拟机动态迁移方法及系统 |
CN103780622A (zh) * | 2014-01-24 | 2014-05-07 | 华中科技大学 | 一种面向云存储的数据分类加密方法 |
CN104079574A (zh) * | 2014-07-02 | 2014-10-01 | 南京邮电大学 | 云环境下基于属性和同态混合加密的用户隐私保护方法 |
Non-Patent Citations (1)
Title |
---|
陈怡丹: "《面向云计算的虚拟机动态迁移安全策略研究》", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106598713A (zh) * | 2016-11-24 | 2017-04-26 | 上海交通大学 | 虚拟机安全动态迁移的方法及系统 |
CN107330336A (zh) * | 2017-05-23 | 2017-11-07 | 中国人民解放军信息工程大学 | Linux操作系统内存页面即时加解密方法和系统 |
CN107330336B (zh) * | 2017-05-23 | 2020-02-14 | 中国人民解放军信息工程大学 | Linux操作系统内存页面即时加解密方法和系统 |
CN107295488A (zh) * | 2017-06-15 | 2017-10-24 | 合肥工业大学 | 一种基于文本重要属性标示法的短消息传输系统及其方法 |
CN107341046A (zh) * | 2017-07-17 | 2017-11-10 | 郑州云海信息技术有限公司 | 一种信息安全管理方法及装置 |
CN107885586A (zh) * | 2017-11-15 | 2018-04-06 | 北京易讯通信息技术股份有限公司 | 一种在私有云中迁移虚拟机的安全防护方法 |
CN109165080A (zh) * | 2018-08-10 | 2019-01-08 | 云宏信息科技股份有限公司 | 虚拟机在线迁移过程内存数据的保护方法、装置及物理机 |
CN109508224B (zh) * | 2018-11-15 | 2022-07-05 | 中国电子科技网络信息安全有限公司 | 一种基于kvm虚拟机的用户数据隔离防护系统及方法 |
CN109508224A (zh) * | 2018-11-15 | 2019-03-22 | 中国电子科技网络信息安全有限公司 | 一种基于kvm虚拟机的用户数据隔离防护系统及方法 |
CN110659509A (zh) * | 2019-08-29 | 2020-01-07 | 北京浪潮数据技术有限公司 | 一种内存快照文件的生成方法、装置、电子设备及介质 |
CN110708154A (zh) * | 2019-08-31 | 2020-01-17 | 苏州浪潮智能科技有限公司 | 一种虚拟机迁移方法、系统、终端及存储介质 |
CN110708154B (zh) * | 2019-08-31 | 2022-05-10 | 苏州浪潮智能科技有限公司 | 一种虚拟机迁移方法、系统、终端及存储介质 |
CN111124599B (zh) * | 2019-11-08 | 2021-04-30 | 海光信息技术股份有限公司 | 虚拟机内存数据迁移方法、装置、电子设备及存储介质 |
CN111124599A (zh) * | 2019-11-08 | 2020-05-08 | 海光信息技术有限公司 | 虚拟机内存数据迁移方法、装置、电子设备及存储介质 |
CN111124616A (zh) * | 2019-12-23 | 2020-05-08 | 海光信息技术有限公司 | 一种虚拟机迁移方法、处理器及电子设备 |
CN111124616B (zh) * | 2019-12-23 | 2023-08-08 | 海光信息技术股份有限公司 | 一种虚拟机迁移方法、处理器及电子设备 |
CN113554776A (zh) * | 2021-06-23 | 2021-10-26 | 广东润建电力科技有限公司 | 基于5g消息的配电房智能巡检与运维方法、系统及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106095525A (zh) | 一种虚拟机动态迁移安全防护方法 | |
CN112005237B (zh) | 安全区中的处理器与处理加速器之间的安全协作 | |
US10171432B2 (en) | Systems to implement security in computer systems | |
EP3326102B1 (en) | Cryptographic protection of i/o data for dma capable i/o controllers | |
US11949775B2 (en) | Network bound encryption for recovery of trusted execution environments | |
US20190238323A1 (en) | Key managers for distributed computing systems using key sharing techniques | |
CN1331017C (zh) | 安全芯片 | |
CN101630270B (zh) | 数据处理系统和方法 | |
US11671412B2 (en) | Network bound encryption for orchestrating workloads with sensitive data | |
CN103885830A (zh) | 一种虚拟机跨数据中心动态迁移中的数据处理方法 | |
CN104160407A (zh) | 利用存储控制器总线接口以确保存储设备和主机之间的数据传输安全 | |
Wang et al. | A shared memory based cross-VM side channel attacks in IaaS cloud | |
CN105678173A (zh) | 基于硬件事务内存的vTPM安全保护方法 | |
Shi et al. | A security-improved scheme for virtual TPM based on KVM | |
CN104639313B (zh) | 一种密码算法的检测方法 | |
CN109684856B (zh) | 一种针对MapReduce计算的数据保密方法及系统 | |
US20230273808A1 (en) | Confidential offloading of persistent storage operations in confidential computing environments | |
Parast et al. | CephArmor: a lightweight cryptographic interface for secure high-performance CEPH storage systems | |
CN105468983A (zh) | 基于sata接口的数据传输方法与装置 | |
WO2016072999A1 (en) | Data conversion using an address space identifier | |
CN104951407B (zh) | 一种可加密u盘及其加密方法 | |
KR102392626B1 (ko) | 가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템 및 방법 | |
CN112579255B (zh) | 虚拟机迁移的压缩保护方法、迁入迁出加速器模块和soc芯片 | |
US20240330033A1 (en) | Guest secret protection for virtual machines | |
WO2024189770A1 (ja) | 情報処理装置、情報処理装置の制御方法、及び、プログラムが格納された非一時的なコンピュータ可読媒体 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161109 |
|
RJ01 | Rejection of invention patent application after publication |