CN106127024A - 一种高效的vm迁移数据保护方案 - Google Patents
一种高效的vm迁移数据保护方案 Download PDFInfo
- Publication number
- CN106127024A CN106127024A CN201610571607.4A CN201610571607A CN106127024A CN 106127024 A CN106127024 A CN 106127024A CN 201610571607 A CN201610571607 A CN 201610571607A CN 106127024 A CN106127024 A CN 106127024A
- Authority
- CN
- China
- Prior art keywords
- data
- migrates
- protection
- aae
- efficient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
Abstract
本发明公开了一种高效的VM迁移数据保护方案,所述方案在VM迁移中使用AAE方法保护数据,通过将加密和完整性计算结合,一次计算同时输出密文和完整性认证码。本发明将数据保护的机密性和完整性结合,一次运算同时输出数据密文和完整性认证码,实现高效的VM数据保护。
Description
技术领域
本发明涉及虚拟机(VM)的安全迁移技术领域,具体涉及一种高效的VM迁移数据保护方案,一种适用于虚拟机(VM)迁移过程中数据保护的高效方案。
背景技术
随着云服务的兴起和虚拟机的广泛部署,VM迁移的需求日益增多,迁移过程中的数据保护是必须解决的技术问题。从现有采取较多的数据保护方案看,数据的机密性和完整性是独立实现的,即首先用对称算法加密,保障机密性,然后用杂凑算法计算HMAC,保障完整性。VM迁移之前,参与方需要协商共同支持的加密算法和工作模式,同时协商生成相应的密钥。如果数据的机密性和完整性独立实现,就需要分别协商对称算法和杂凑算法,同时生成对应的两种密钥。VM迁移一般具有数据量大、迁移时间短的特点,上述独立实现方案在计算阶段,需多次调用对称算法函数主体和杂凑函数主体,会造成性能上的瓶颈。
本发明涉及的应用场景中, VM迁移是指VM数据(包括操作系统、应用程序和用户数据)从一个物理平台上的VMM迁移至另一平台上的VMM。
具备可信功能的物理平台,在VM迁移过程中应对VM数据进行保护,保证数据迁移过程中的机密性和完整性。
本发明涉及的方法和术语包括:VM、VM迁出端、VM迁入端、对称算法、杂凑算法,Authticate-and-Encrypt方法,其中:
VM:虚拟机,包括操作系统、应用程序和用户数据等;
VM迁出端:VM的源平台;
VM迁入端:VM的目标平台;
对称算法:加密数据,提供机密性保护;
杂凑算法:计算HAMC,提供完整性保护。
Authenticate-and-Encrypt(AAE)方法:一次运算同时输出密文和完整性认证码的方法。
发明内容
本发明要解决的技术问题是:本发明针对以上问题,提供一种高效的VM迁移数据保护方案。
本发明所采用的技术方案为:
一种高效的VM迁移数据保护方案,所述方案在VM迁移中使用Authenticate-and-Encrypt(AAE)方法保护数据,通过将加密和完整性计算结合,一次计算同时输出密文和完整性认证码,该方案可以明显提高计算性能,节省了多次杂凑函数的调用开销,性能得以提高;同时可以选取适用于并行计算的AAE方法,充分利用云服务的高性能,完成计算过程,将数据保护的机密性和完整性结合,一次运算同时输出数据密文和完整性认证码,实现高效的VM数据保护。
所述VM迁移包括两个阶段:迁移前的认证协商阶段、数据处理阶段,其中:
在VM迁移前的认证协商阶段,迁入端和迁出端根据策略,仅需协商出共同支持的对称算法,并协商生成相应密钥;
数据处理阶段,AAE方法一次计算同时输出数据密文和完整性认证码。
所述方案在认证协商阶段,VM迁移参与双方(迁入端和迁出端)完成双向认证,并协商共同支持的密码算法,用于数据加密保护和完整性保护,认证过程通过交换证书,然后进行签名验签完成,即交互数据包(Cert, Sign);所述方案采取Authenticate-and-Encrypt(AAE)方法保护数据,采用AAE方法保护数据时,协商阶段仅需协商输出对称算法,无需杂凑算法,协商输出为(Alg1, key1)。
所述方案在数据处理阶段,利用认证协商阶段输出的密码算法和密钥,对VM数据进行加密处理和完整性保护处理,数据处理采取AAE方法:
(cipher, mac)= Alg1_AAE((VM_data, key1) //加密和mac计算输出为(cipher,mac)。
本发明的有益效果为:
本发明将数据保护的机密性和完整性结合,一次运算同时输出数据密文和完整性认证码,实现高效的VM数据保护。
附图说明
图1为VM迁移示意图;
图2为VM迁移协议示意图。
具体实施方式
下面结合附图,根据具体实施方式对本发明进一步说明:
实施例1:
一种高效的VM迁移数据保护方案,所述方案在VM迁移中使用Authenticate-and-Encrypt(AAE)方法保护数据,通过将加密和完整性计算结合,一次计算同时输出密文和完整性认证码。
如图1所示,VM迁移是指VM数据(包括操作系统、应用程序和用户数据)从一个物理平台上的VMM迁移至另一平台上的VMM。
具备可信功能的物理平台,在VM迁移过程中应对VM数据进行保护,保证数据迁移过程中的机密性和完整性。
该方案可以明显提高计算性能,节省了多次杂凑函数的调用开销,性能得以提高;同时可以选取适用于并行计算的AAE方法,充分利用云服务的高性能,完成计算过程,将数据保护的机密性和完整性结合,一次运算同时输出数据密文和完整性认证码,实现高效的VM数据保护。
实施例2
在实施例1的基础上,本实施例所述VM迁移包括两个阶段:迁移前的认证协商阶段、数据处理阶段,其中:
在VM迁移前的认证协商阶段,迁入端和迁出端根据策略,仅需协商出共同支持的对称算法,并协商生成相应密钥;
数据处理阶段,AAE方法一次计算同时输出数据密文和完整性认证码。
实施例3
如图2所示,在实施例2的基础上,本实施例所述方案在认证协商阶段,VM迁移参与双方(迁入端和迁出端)完成双向认证,并协商共同支持的密码算法,用于数据加密保护和完整性保护,认证过程通过交换证书,然后进行签名验签完成,即交互数据包(Cert, Sign);所述方案采取Authenticate-and-Encrypt(AAE)方法保护数据,采用AAE方法保护数据时,协商阶段仅需协商输出对称算法,无需杂凑算法,协商输出为(Alg1, key1)。
协商密码算法过程,常用方法是协商出对称算法和杂凑算法,分别用于加密保护和完整性保护,然后协商生成相应的密钥,协商输出为(Alg1,Alg2),(key1,key2),Alg1为对称算法,Alg2为杂凑算法。
实施例4
如图2所示,在实施例2的基础上,本实施例所述方案在数据处理阶段,利用认证协商阶段输出的密码算法和密钥,对VM数据进行加密处理和完整性保护处理,数据处理采取AAE方法:
(cipher, mac)= Alg1_AAE((VM_data, key1) //加密和mac计算输出为(cipher,mac)。
在常用方法中,先用对称算法对数据进行加密处理,然后用杂凑算法进行完整性认证码的计算:
cipher=Alg1(VM_data, key1) //加密计算
hmac = Alg2(cipher, key2) //计算HMAC
输出为(cipehr, hmac), hmac表示用杂凑函数计算出的mac值。
实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种高效的VM迁移数据保护方案,其特征在于:所述方案在VM迁移中使用AAE方法保护数据,通过将加密和完整性计算结合,一次计算同时输出密文和完整性认证码。
2.根据权利要求1所述的一种高效的VM迁移数据保护方案,其特征在于:所述VM迁移包括两个阶段:迁移前的认证协商阶段、数据处理阶段,其中:
在VM迁移前的认证协商阶段,迁入端和迁出端根据策略,协商出共同支持的对称算法,并协商生成相应密钥;
数据处理阶段,AAE方法一次计算同时输出数据密文和完整性认证码。
3.根据权利要求2所述的一种高效的VM迁移数据保护方案,其特征在于:所述方案在认证协商阶段,VM迁移参与双方(完成双向认证,并协商共同支持的密码算法,用于数据加密保护和完整性保护,认证过程通过交换证书,然后进行签名验签完成;所述方案采取AAE方法保护数据,协商阶段仅需协商输出对称算法,无需杂凑算法,协商输出为(Alg1, key1)。
4.根据权利要求2所述的一种高效的VM迁移数据保护方案,其特征在于:所述方案在数据处理阶段,利用认证协商阶段输出的密码算法和密钥,对VM数据进行加密处理和完整性保护处理,数据处理采取AAE方法:
(cipher, mac)= Alg1_AAE((VM_data, key1) //加密和mac计算输出为(cipher,mac)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610571607.4A CN106127024A (zh) | 2016-07-20 | 2016-07-20 | 一种高效的vm迁移数据保护方案 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610571607.4A CN106127024A (zh) | 2016-07-20 | 2016-07-20 | 一种高效的vm迁移数据保护方案 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106127024A true CN106127024A (zh) | 2016-11-16 |
Family
ID=57290149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610571607.4A Pending CN106127024A (zh) | 2016-07-20 | 2016-07-20 | 一种高效的vm迁移数据保护方案 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106127024A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111158853A (zh) * | 2019-12-13 | 2020-05-15 | 海光信息技术有限公司 | 虚拟机内存数据迁移方法、cpu芯片及服务器 |
| CN111949372A (zh) * | 2020-08-17 | 2020-11-17 | 海光信息技术有限公司 | 一种虚拟机迁移方法、通用处理器及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103455373A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全框架 |
| CN104104692A (zh) * | 2014-08-05 | 2014-10-15 | 山东中孚信息产业股份有限公司 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
-
2016
- 2016-07-20 CN CN201610571607.4A patent/CN106127024A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103455373A (zh) * | 2013-09-18 | 2013-12-18 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全框架 |
| CN104104692A (zh) * | 2014-08-05 | 2014-10-15 | 山东中孚信息产业股份有限公司 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
Non-Patent Citations (1)
| Title |
|---|
| BEN LYNN: "Authenticated Identity-Based Encryption", 《IACR CRYPTOLOPY EPRINT ARCHIVE》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111158853A (zh) * | 2019-12-13 | 2020-05-15 | 海光信息技术有限公司 | 虚拟机内存数据迁移方法、cpu芯片及服务器 |
| CN111949372A (zh) * | 2020-08-17 | 2020-11-17 | 海光信息技术有限公司 | 一种虚拟机迁移方法、通用处理器及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109510708B (zh) | 一种基于Intel SGX机制的公钥密码计算方法和系统 | |
| CN104158653B (zh) | 一种基于商密算法的安全通信方法 | |
| CN103118027B (zh) | 基于国密算法建立tls通道的方法 | |
| CN103441839A (zh) | 一种量子密码在ip安全通信中的使用方法和系统 | |
| US11316671B2 (en) | Accelerated encryption and decryption of files with shared secret and method therefor | |
| US9515821B2 (en) | Apparatus and method for data encryption | |
| CN101478548B (zh) | 数据传输的加密和完整性校验方法 | |
| CN111475796A (zh) | 基于秘密共享和量子通信服务站的抗量子计算身份认证方法及系统 | |
| JP2016533048A5 (zh) | ||
| CN108155994B (zh) | 应用于rsa解密的安全外包计算方法 | |
| WO2009143749A1 (zh) | 数据加密和解密的方法、装置及通信系统 | |
| CN101834840A (zh) | 具有业务可视性的用于端到端网络安全性的高效密钥推导 | |
| CN107005413A (zh) | 安全连接及相关服务的高效启动 | |
| CN105099672A (zh) | 混合加密方法及实现该方法的装置 | |
| CN110889696A (zh) | 一种基于sgx技术的联盟区块链秘钥存储方法、装置、设备及介质 | |
| CN103716157A (zh) | 分组多密钥加密方法及装置 | |
| CN103248650A (zh) | 一种文件下载方法及系统 | |
| CN110969431A (zh) | 区块链数字币私钥的安全托管方法、设备和系统 | |
| CN106972924B (zh) | 加密、解密、电子签章、验证签章的方法及装置 | |
| CN104202158A (zh) | 一种基于云计算的数据对称和非对称混合加解密方法 | |
| CN101808089A (zh) | 基于非对称加密算法同态性的秘密数据传输保护方法 | |
| CN106209360A (zh) | 一种基于国密算法的预共享密钥的身份鉴别方法 | |
| CN103634266A (zh) | 一种对服务器、终端双向认证的方法 | |
| US10630466B1 (en) | Apparatus and method for exchanging cryptographic information with reduced overhead and latency | |
| CN107634950A (zh) | 一种利用流水线硬件设计卸载ssl/tls协议的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161116 |