CN109165079A - 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 - Google Patents
基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 Download PDFInfo
- Publication number
- CN109165079A CN109165079A CN201810891352.9A CN201810891352A CN109165079A CN 109165079 A CN109165079 A CN 109165079A CN 201810891352 A CN201810891352 A CN 201810891352A CN 109165079 A CN109165079 A CN 109165079A
- Authority
- CN
- China
- Prior art keywords
- virtual
- credible
- root
- virtual machine
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于虚拟化的云数据中心可信平台,围绕当前虚拟可信平台构建技术中存在的问题,通过采用全虚拟化的方式为每个虚拟机构建虚拟可信根使得虚拟机能够无修改的使用虚拟可信根、通过信任链机制确保虚拟可信根可信性并传递信任链至虚拟机、通过基于虚拟可信根的远程证明机制提供虚拟机远程证明服务,基于上述技术构建虚拟可信平台,为虚拟机租户提供可信计算资源及可信根服务;基于物理可信根密码法务保障虚拟可信根数据的机密性。
Description
技术领域
本发明涉及信息安全可信计算技术领域,尤其是基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法。
背景技术
当前,信息安全已成为制约云计算应用与发展的关键因素,其中云数据中心基础设施的安全性、云数据中心虚拟机租户数据及信息的完整性、云服务提供商与云服务租户之间的信任是提升云安全的关键基础,这些问题的解决需要从计算机底层硬件出发、从体系结构入手解决。可信计算作为一种从硬件平台出发、从体系结构入手,解决计算平台信息安全的安全技术,已成为提升云数据中心基础设施安全及租户信任问题的关键技术手段。当前,基于可信计算信任链技术、远程证明技术等核心技术构建的可信计算平台,只能实现从数据中心计算节点硬件可信根到虚拟化软件或宿主机层面的主机可信计算平台构建。从虚拟化软件或宿主机到虚拟机层面的可信计算平台构建,尚没有完整的技术方案,这对于基于可信计算技术解决虚拟机安全问题大大折扣,具体为无法将来自物理计算节点的信任链传递至虚拟机、无法为虚拟机提供可信根服务、虚拟机租户无法感知自身虚拟机的可信状态、虚拟机租户无法感知其虚拟机所在计算节点的可信状态。
根据可信计算相关标准与实践经验可信计算平台是在原有计算平台的基础上增加可信根、进一步基于可信根构建的信任链、并基于可信根及其度量存储报告提供的远程证明等机制共同构成;实现从计算平台上电之初到计算平台之上的操作系统运行期间的信任链构建与可信保障,为计算平台用户提供可信的计算资源服务。与之类似,虚拟可信平台是为虚拟机运行提供可信计算基础服务的平台及模块(包括相关程序、文件及数据),具体而言,虚拟可信平台主要包括虚拟可信根、支持可信功能的虚拟机BIOS、虚拟可信平台管理模块等。虚拟可信平台的构建需要解决虚拟可信平台中虚拟可信根实现、信任链构建、远程证明服务提供、虚拟可信平台迁移等问题。
虚拟可信平台构建涉及的技术包括虚拟可信根实现技术、虚拟可信根管理技术、信任链构建技术、远程证明技术、配备有虚拟可信根的虚拟机可信迁移技术,以下描述虚拟可信平台构建现有相关技术及存在的问题。
根据虚拟化平台的不同,当前公开的虚拟可信根实现技术可分为I型虚拟化平台虚拟可信根实现技术(如基于XEN的虚拟化环境)、II型虚拟化平台虚拟可信根实现技术(如基于QEMU+KVMQEMU+KVM虚拟化环境)。其中I型虚拟化环境主要实现技术包括早期基于半虚拟化技术的前后端驱动实现方式、后期基于stubdom的虚拟隔离实现技术;II型虚拟化环境主要实现技术为基于透传机制及IBMswTPM的实现方式、基于透传机制及物理可信根的实现。这些技术存在各种各样的问题,导致虚拟可信根的应用于推广推动缓慢。这些技术主要存在如下问题:
1)数量限制:采用透传机制及物理可信根的技术,由于物理可信根先天机制受限,每个物理可信根只能为一个操作系统及平台提供服务,只能透传给1台虚拟机,这对于当前计算节点动辄上百个虚拟机的场景显然不足;
2)功能限制:当前各实现技术存在各种功能限制,要么只支持半虚拟化需要同时修改虚拟机操作系统、兼容性受限;要么虚拟可信根与虚拟机生命周期同步需要额外的机制确保、虚拟可信根很容易被旁路;
3)效率限制:基于透传机制实现的虚拟可信根存在资源损耗的问题,由模拟器使用软件模拟可新平台模块设备的功能,再以用户空间字符设备的形式提供给虚拟机进行透传,当开启可信功能,在构建整个信任链的过程中存在性能损耗
4)安全性:现有虚拟可信根实现技术为构建从计算节点底层到虚拟机的信任链,无法确保为虚拟机提供服务的虚拟可信根的可信状态;同时,基于软件实现的虚拟可信根其数据存储在磁盘中,并且未进行加密处理,安全性大大降低,现有实现未考虑其机密性。
在虚拟机层面,现有信任链构建技术聚焦于虚拟机BIOS层面,未将虚拟基于计算节点虚拟化层面与硬件层面的可信状态进行管理,虚拟机租户无法感知其所在平台的可信状态;现有技术无法为虚拟机提供可信根服务,虚拟机无法发起远程证明。当前各实现技术在虚拟可信根迁移存在限制,如基于透传机制的虚拟可信根实现方法,由于虚拟可信根要么是由物理可信根承担、要么是宿主机层面软件模拟的可信根承担,他们无法实时感知来自虚拟机管理模块的迁移指令、需要额外支持,无法支持虚拟可信根热迁移甚至不能迁移。
发明内容
本发明的目的是提供基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法,构建虚拟可信平台,为虚拟机租户提供可信计算资源及可信根服务;基于物理可信根密码法务保障虚拟可信根数据的机密性。
为实现上述目的,本发明采用下述技术方案:
本发明第一方面提供了基于虚拟化的云数据中心可信平台,包括物理可信服务器和虚拟机,构建从物理可信服务器到虚拟机的信任链,完成虚拟机从所在计算节点到目标计算节点的迁移,还包括:
虚拟可信根模块,基于全虚拟化技术实现,用于向虚拟机提供虚拟可信根服务;
虚拟可信平台管理模块,用于管理配备有虚拟可信根的虚拟机,包括虚拟机与虚拟可信根的全生命周期同步、虚拟机启动前虚拟可信根的可信状态检测;
虚拟可信度量根核模块,用于在虚拟机启动时度量并检测虚拟机BIOS的可信状态;
虚拟机可信BIOS模块,用于承接来自虚拟可信度量根核模块的信任链,初始化虚拟可信根,完成虚拟机启动过程的功能模块的度量、扩展与日志记录,实现从虚拟机到虚拟机引导程序的信任链构建;
虚拟化软件管理可信模块,管理数据中心各计算节点可信状态、各主机可信状态、管理配备有虚拟可信根的虚拟机;
云计算节点可信管理模块,管理并收集云数据中心各计算节点可信状态,并为虚拟化软件提供可信状态查询服务。
结合第一方面,在第一方面第一种可能的实现方式中,所述虚拟可信根模块包括:虚拟可信根设备注册与IO响应单元,
虚拟可信根后端启动单元,基于QEMU设备全虚拟化机制注册虚拟可信根设备到虚拟机,并基于可信根设备接口规范向上提供IO口;
虚拟可信业务处理单元,用于根据可信根相关规范约束提供密码服务;用于管理虚拟机与虚拟可信根内部建立的会话;用于根据可信根相关规范约束提供策略管理功能;
虚拟可信根数据存储管理单元,完成虚拟可信根数据与虚拟可信根数据存储单元的传输,同时以透明的方式提供数据机密性保障机制,数据加密完成后再存储至虚拟可信根数据存储单元中;
虚拟可信根数据存储单元,作为虚拟可信根非易失性存储空间存放虚拟可信根数据。
结合第一方面,在第一方面第二种可能的实现方式中,所述虚拟可信平台管理模块包括:
虚拟可信根管理单元,虚拟机创建和启动时,解析虚拟机可信根相关字段、为虚拟可信根创建虚拟数据存储设备,作为虚拟可信根的非易失性空间;虚拟机迁移时建立源主机与目标主机之间的加密传输通道,确保迁移过程数据的机密性;
虚拟可信根可信度量与状态检测单元,度量并检测虚拟可信根可信状态,确保虚拟可信根可信后,继续度量QEMU并确保可信的状态下,通知QEMU启动虚拟机及其虚拟可信根设备。
结合第一方面,在第一方面第三种可能的实现方式中,所述虚拟可信度量根核模块位于虚拟机监控器或虚拟可信根模块中,在虚拟机设备虚拟化完成前、虚拟机BIOS接受控制权之前,完成对虚拟机BIOS的可信度量与状态检测。
结合第一方面,在第一方面第四种可能的实现方式中,所述虚拟机可信BIOS模块,包括:
初始化功能模块单元,完成对虚拟可信根的上电、状态信息初始化、状态检测;
BIOS层面可信度量单元,完成虚拟机启动过程中相关设备的度量、产生度量日志、扩展度量结果到虚拟可信根,并度量虚拟机操作系统引导程序之后转交控制权给虚拟机操作系统引导程序。
本发明第二方面提供了一种虚拟可信平台信任链构建方法,包括以下步骤:
虚拟化软件启动前,通过可信引导程序度量并检测虚拟机监控器的可信状态,确保虚拟机监控器可信后,启动虚拟化软件;
宿主机启动过程中基于宿主机内核的信任链构建机制,构建宿主机内核的信任链,确保宿主机内核的可信;
宿主机度量并检测虚拟可信平台管理模块的可信状态;
启动虚拟机时,通过虚拟可信平台管理模块中虚拟可信根可信度量与状态检测单元度量并检测QEMU的可信状态;
QEMU获得控制权时,通过位于QEMU的虚拟可信度量根核度量并检测虚拟机可信BIOS的可信状态;
QEMU将控制权转交给虚拟机BIOS时,虚拟机BIOS检测并初始化虚拟可信根,并基于虚拟可信根在虚拟机BIOS的启动设备的过程中,完成相关模块的度量、产生度量日志、扩展度量结果到虚拟可信根,并度量虚拟机操作系统引导程序之后转交控制权给虚拟机操作系统引导程序;
虚拟机操作系统引导程序检测虚拟机BIOS可信状态,确保虚拟机BIOS及硬件可信后,引导并加载虚拟机操作系统内核。
本发明第三方面提供了一种虚拟可信平台虚拟机可信迁移方法,其特征是,包括以下步骤:
静态迁移步骤:对于配备有虚拟可信根的虚拟机迁移时同步迁移虚拟可信根存储文件,并确保迁移后可用;
共享存储下动态迁移步骤:虚拟化软件管理可信模块,检测迁移源平台与目标平台的可信状态,确认可信后通过虚拟可信平台管理模块创建加密传输通道,之后启动虚拟机动态迁移;
非共享存储动态迁移步骤:借助QEMU中提供磁盘迁移机制,扩展实现对虚拟机虚拟可信根存储设备的动态迁移;如果启用了虚拟可信根数据机密性保障机制,优先迁移物理可信根存储密钥和数据存储管理模块密钥,密钥迁移成功后再迁移虚拟机及虚拟可信根。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明提出一种基于虚拟化的云数据中心虚拟可信平台构建方法,围绕当前虚拟可信平台构建技术中存在的问题,通过采用全虚拟化的方式为每个虚拟机构建虚拟可信根使得虚拟机能够无修改的使用虚拟可信根、通过信任链机制确保虚拟可信根可信性并传递信任链至虚拟机、通过基于虚拟可信根的远程证明机制提供虚拟机远程证明服务,基于上述技术构建虚拟可信平台,为虚拟机租户提供可信计算资源及可信根服务;基于物理可信根密码法务保障虚拟可信根数据的机密性。一是基于全虚拟化的方式实现虚拟可信根,从根本上确保了虚拟机与虚拟可信根的生命周期同步、并提升了虚拟可信根安全性与兼容性;二是基于在虚拟机启动过程中涉及的各个模块中增加度量子模块,构建从虚拟化软件层面到虚拟机的信任链,从而确保虚拟可信根的可信状态、虚拟机BIOS的可信状态、确保虚拟机使用的虚拟可信根是可信的;三是基于双向远程证明确保配备有虚拟可信根的虚拟机迁移过程的安全可信;四是基于虚拟可信根提供的可信报告服务,协助虚拟机对外提供远程证明;五是基于基于物理可信根提供密码算法服务,加密保护虚拟可信根持久性数据,保障虚拟可信根的机密性。
附图说明
图1为虚拟可信平台组成结构图;
图2为虚拟可信平台虚拟可信根组成图;
图3为虚拟可信平台管理模块组成图;
图4为虚拟可信平台信任链构建流程图;
图5为虚拟可信平台虚拟机可信迁移流程图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
本发明以QEMU+KVM虚拟化平台为例、并结合附图对发明做进一步详细描述。
如图1所示,虚拟可信平台由虚拟机监控器、虚拟可信根、虚拟可信度量根核虚拟可信平台管理模块等共同组成。其中,要求虚拟可信平台所在计算节点为可信计算节点,完成了从物理可信根到虚拟机监控器的信任链构建;本发明介绍的虚拟可信平台构建方法涉及的模块及机制包括虚拟可信根模块、虚拟可信平台管理模块、远程证明模块、虚拟可信度量根核、虚拟机可信BIOS、虚拟化软件管理平台(云操作系统)可信子模块、信任链构建机制、虚拟可信根机密性保障机制、虚拟机可信迁移机制等。其中:
虚拟可信根:基于全虚拟化技术实现,用于向虚拟机提供可信根服务,同时为了确保兼容性,虚拟机可以像访问物理可信根一样去访问虚拟可信根。
远程证明模块:位于虚拟化软件层面,用于对外提供可信远程证明服务,提供所在计算节点主机的可信报告;
虚拟可信平台管理模块:用于管理配备有虚拟可信根的虚拟机,包括虚拟机与虚拟可信根的全生命周期同步、虚拟机启动前虚拟可信根的可信状态检测。具体实现上可以通过在虚拟机管理功能中扩展虚拟可信根管理子模块,并增加可信度量子模块;
虚拟可信度量根核:用于在虚拟机启动时度量并检测虚拟机BIOS的可信状态。具体实现上位于虚拟机监控器或虚拟可信根模块中,在虚拟机设备虚拟化完成前、虚拟机BIOS接受控制权之前,完成对虚拟机BIOS的可信度量与状态检测;
虚拟机可信BIOS:用于承接来自虚拟可信度量根核的信任链,完成虚拟机启动过程的各模块的度量、扩展与日志记录,同时在完成对虚拟可信根的上电、状态信息初始化、状态检测等功能,如果是UEFI,同时向上提供访问虚拟可信根的protocol。
虚拟化软件管理平台(云操作系统)可信子模块:虚拟化软件管理平台是用于管理云数据中心计算资源,根据租户需求提供服务的管理平台,本发明中虚拟化软件管理平台可信子模块是在现有虚拟化软件管理平台的基础上扩展实现可信功能,达到管理数据中心各计算节点可信状态、各主机可信状态、管理配备有虚拟可信根的虚拟机等功能的目标。
计算节点可信管理平台:管理并收集云数据中心各计算节点可信状态,并能够为虚拟化软件(云操作系统)提供可信状态查询服务;虚拟化软件管理平台在创建或启动虚拟机时通过该服务检测目标主机的可信状态;
信任链机制:用于实现将来自硬件层面的信任链,从虚拟化软件层传递到虚拟机,确保虚拟机启动过程涉及的各模块均是可信的,进一步确保虚拟机运行在可信的计算平台之上。具体实现上,在虚拟化软件或宿主机层面增加可信度量模块、在虚拟机监控器层面增加可信度量模块、在虚拟机限制为仅使用虚拟机可信BIOS作为虚拟机的BIOS;
虚拟机可信迁移机制:一方面,本发明要求配备由虚拟可信根的虚拟机迁移时,虚拟化软件管理平台应可信子模块需根据虚拟机迁移的目标计算节点与虚拟机所在计算节点的可信状态,确保虚拟机迁移是建立在双向远程证明的基础上进行的;另一方面,由于本发明中虚拟可信根是基于全虚拟化的方式实现的,所以虚拟可信根迁移可以基于虚拟化软件的迁移机制扩展实现,这要求,虚拟机迁移过程中,基于SSL加密通道传输迁移的数据。
如图2所示,虚拟可信根是基于QEMU设备全虚拟化机制实现,主要包括虚拟可信根设备注册与IO响应模块、虚拟可信根后端启动、虚拟可信业务处理单元、虚拟可信根数据存储管理子模块、虚拟可信根数据存储设备等模块共同构成,并辅以虚拟可信根数据加密模块确保持久性数据存储空间的机密性。主要实现可信根相关规范规定的功能,能够响应来自虚拟机BIOS或操作系统的访问请求,并提供安全存储空间。
虚拟可信根设备注册与IO响应模块:基于QEMU设备全虚拟化机制,注册虚拟可信根设备到虚拟机;并基于可信根设备接口规范向上提供IO口(即访问虚拟可信根寄存器);
虚拟可信根后端启动;
业务处理单元包括算法引擎,用于根据可信根(如可信平台模块、可信密码模块等)相关规范约束提供密码服务;会话引擎,用于管理虚拟机与虚拟可信根内部建立的会话;策略引擎,用于根据可信根相关规范约束提供策略管理功能;其他功能模块可信根规范提供的支撑功能如状态计数器等;
虚拟可信根数据存储管理子模块:完成虚拟可信根数据与数据存储设备的传输功能,同时以透明的方式提供数据机密性保障机制,数据加密完成后再存储至数据存储设备中。为保证数据存储管理模块中密钥的安全性,本发明通过使用物理可信根保护密钥,虚拟可信根启动时,数据存储管理模块通过物理可信根恢复密钥,每次进行数据传输时,使用该密钥加解密传输数据。;
虚拟可信根数据存储设备:作为虚拟可信根非易失性存储空间,存放虚拟可信根数据(如根密钥、PCR、状态数据等)。
如图3所示,虚拟可信平台管理模块包括配备有虚拟可信根的虚拟机可信管理子模块,虚拟可信根可信度量与状态检测子模块等构成。其中,配备有虚拟可信根的虚拟机可信管理子模块主要实现的功能有:
虚拟机创建和启动时,解析虚拟机可信根相关字段、为虚拟可信根创建虚拟数据存储设备,作为虚拟可信根的非易失性空间;驱动虚拟可信根可信度量与状态检测子模块,度量并检测虚拟可信根可信状态,确保虚拟可信根可信后,继续度量QEMU并确保可信的状态下,通知QEMU启动虚拟机及其虚拟可信根设备;虚拟机迁移时,建立源主机与目标主机之间的加密传输通道,确保迁移过程数据的机密性。
虚拟可信BIOS是在虚拟机BIOS原有功能模块的基础上扩展实现,可信设备识别、初始化与启动功能模块,BIOS层面可信度量子模块(度量执行、度量日志生成、度量值扩展)等,实现从虚拟机到虚拟机引导程序的信任链构建。
如图4所示,一种虚拟可信平台信任链构建方法,包括以下步骤:
虚拟化软件启动前,通过可信引导程序度量并检测虚拟机监控器的可信状态,确保虚拟机监控器可信后,启动虚拟化软件(KVM下为宿主机);
宿主机启动过程中基于宿主机内核的信任链构建机制,构建宿主机内核的信任链,确保宿主机内核的可信;
宿主机度量并检测虚拟可信平台管理模块的可信状态;
启动虚拟机时,通过虚拟可信平台管理模块中虚拟可信根可信度量与状态检测单元度量并检测QEMU(含虚拟可信根)的可信状态;
QEMU获得控制权时,通过位于QEMU的虚拟可信度量根核度量并检测虚拟机可信BIOS的可信状态;
QEMU将控制权转交给虚拟机BIOS时,虚拟机BIOS检测并初始化虚拟可信根,并基于虚拟可信根在虚拟机BIOS的启动设备的过程中,完成相关模块的度量、产生度量日志、扩展度量结果到虚拟可信根,并度量虚拟机操作系统引导程序之后转交控制权给虚拟机操作系统引导程序;
虚拟机操作系统引导程序检测虚拟机BIOS可信状态,确保虚拟机BIOS及硬件可信后,引导并加载虚拟机操作系统内核。
如图5所示,虚拟可信平台中虚拟机可信迁移流程包括静态迁移、动态迁移,其中动态迁移又分为共享存储动态迁移、非共享存储动态迁移,以下分别叙述。
静态迁移:静态迁移主要为存储迁移,本发明对于配备有虚拟可信根的虚拟机迁移,要求虚拟机迁移时同步迁移虚拟可信根存储文件,并确保迁移后可用。具体实现上,要求迁移的目标环境为安全可信的环境。
共享存储动态迁移:共享存储下动态迁移,如图5所示,在虚拟机迁移,通过虚拟化软件管理平台可信子模块,检测迁移源平台(图中计算节点A)与目标平台(计算节点B)的可信状态,确认可信后通过虚拟可信平台管理模块创建加密传输通道,之后启动虚拟机动态迁移(即内存迁移)。
非共享存储动态迁移:非共享存储下虚拟机动态迁移涉及内存迁移与存储迁移,且需要确保虚拟机存储数据的同步。具体实现上,可借助QEMU中提供磁盘迁移机制,扩展实现对虚拟机虚拟可信根存储设备的动态迁移(图示第①③步)。如果启用了虚拟可信根数据机密性保障机制(基于物理可信根保护数据存储管理模块密钥的机密性),在实现上,本发明提出优先迁移物理可信根存储密钥、和数据存储管理模块密钥,密钥迁移成功后再迁移虚拟机及虚拟可信根(图示第②步)。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (7)
1.基于虚拟化的云数据中心可信平台,包括物理可信服务器和虚拟机,构建从物理可信服务器到虚拟机的信任链,完成虚拟机从所在计算节点到目标计算节点的迁移,其特征是,还包括:
虚拟可信根模块,基于全虚拟化技术实现,用于向虚拟机提供虚拟可信根服务;
虚拟可信平台管理模块,用于管理配备有虚拟可信根的虚拟机,包括虚拟机与虚拟可信根的全生命周期同步、虚拟机启动前虚拟可信根的可信状态检测;
虚拟可信度量根核模块,用于在虚拟机启动时度量并检测虚拟机BIOS的可信状态;
虚拟机可信BIOS模块,用于承接来自虚拟可信度量根核模块的信任链,初始化虚拟可信根,完成虚拟机启动过程的功能模块的度量、扩展与日志记录,实现从虚拟机到虚拟机引导程序的信任链构建;
虚拟化软件管理可信模块,管理数据中心各计算节点可信状态、各主机可信状态、管理配备有虚拟可信根的虚拟机;
云计算节点可信管理模块,管理并收集云数据中心各计算节点可信状态,并为虚拟化软件提供可信状态查询服务。
2.如权利要求1所述基于虚拟化的云数据中心可信平台,其特征是,所述虚拟可信根模块包括:虚拟可信根设备注册与IO响应单元,
虚拟可信根后端启动单元,基于QEMU设备全虚拟化机制注册虚拟可信根设备到虚拟机,并基于可信根设备接口规范向上提供IO口;
虚拟可信业务处理单元,用于根据可信根相关规范约束提供密码服务;用于管理虚拟机与虚拟可信根内部建立的会话;用于根据可信根相关规范约束提供策略管理功能;
虚拟可信根数据存储管理单元,完成虚拟可信根数据与虚拟可信根数据存储单元的传输,同时以透明的方式提供数据机密性保障机制,数据加密完成后再存储至虚拟可信根数据存储单元中;
虚拟可信根数据存储单元,作为虚拟可信根非易失性存储空间存放虚拟可信根数据。
3.如权利要求1所述基于虚拟化的云数据中心可信平台,其特征是,所述虚拟可信平台管理模块包括:
虚拟可信根管理单元,虚拟机创建和启动时,解析虚拟机可信根相关字段、为虚拟可信根创建虚拟数据存储设备,作为虚拟可信根的非易失性空间;虚拟机迁移时建立源主机与目标主机之间的加密传输通道,确保迁移过程数据的机密性;
虚拟可信根可信度量与状态检测单元,度量并检测虚拟可信根可信状态,确保虚拟可信根可信后,继续度量QEMU并确保可信的状态下,通知QEMU启动虚拟机及其虚拟可信根设备。
4.如权利要求1所述基于虚拟化的云数据中心可信平台,其特征是,所述虚拟可信度量根核模块位于虚拟机监控器或虚拟可信根模块中,在虚拟机设备虚拟化完成前、虚拟机BIOS接受控制权之前,完成对虚拟机BIOS的可信度量与状态检测。
5.如权利要求1所述基于虚拟化的云数据中心可信平台,其特征是,所述虚拟机可信BIOS模块,包括:
初始化功能模块单元,完成对虚拟可信根的上电、状态信息初始化、状态检测;
BIOS层面可信度量单元,完成虚拟机启动过程中相关设备的度量、产生度量日志、扩展度量结果到虚拟可信根,并度量虚拟机操作系统引导程序之后转交控制权给虚拟机操作系统引导程序。
6.一种虚拟可信平台信任链构建方法,其特征是,包括以下步骤:
虚拟化软件启动前,通过可信引导程序度量并检测虚拟机监控器的可信状态,确保虚拟机监控器可信后,启动虚拟化软件;
宿主机启动过程中基于宿主机内核的信任链构建机制,构建宿主机内核的信任链,确保宿主机内核的可信;
宿主机度量并检测虚拟可信平台管理模块的可信状态;
启动虚拟机时,通过虚拟可信平台管理模块中虚拟可信根可信度量与状态检测单元度量并检测QEMU的可信状态;
QEMU获得控制权时,通过位于QEMU的虚拟可信度量根核度量并检测虚拟机可信BIOS的可信状态;
QEMU将控制权转交给虚拟机BIOS时,虚拟机BIOS检测并初始化虚拟可信根,并基于虚拟可信根在虚拟机BIOS的启动设备的过程中,完成相关模块的度量、产生度量日志、扩展度量结果到虚拟可信根,并度量虚拟机操作系统引导程序之后转交控制权给虚拟机操作系统引导程序;
虚拟机操作系统引导程序检测虚拟机BIOS可信状态,确保虚拟机BIOS及硬件可信后,引导并加载虚拟机操作系统内核。
7.一种虚拟可信平台虚拟机可信迁移方法,其特征是,包括以下步骤:
静态迁移步骤:对于配备有虚拟可信根的虚拟机迁移时同步迁移虚拟可信根存储文件,并确保迁移后可用;
共享存储下动态迁移步骤:虚拟化软件管理可信模块,检测迁移源平台与目标平台的可信状态,确认可信后通过虚拟可信平台管理模块创建加密传输通道,之后启动虚拟机动态迁移;
非共享存储动态迁移步骤:借助QEMU中提供磁盘迁移机制,扩展实现对虚拟机虚拟可信根存储设备的动态迁移;如果启用了虚拟可信根数据机密性保障机制,优先迁移物理可信根存储密钥和数据存储管理模块密钥,密钥迁移成功后再迁移虚拟机及虚拟可信根。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810891352.9A CN109165079B (zh) | 2018-08-07 | 2018-08-07 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810891352.9A CN109165079B (zh) | 2018-08-07 | 2018-08-07 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109165079A true CN109165079A (zh) | 2019-01-08 |
| CN109165079B CN109165079B (zh) | 2021-07-27 |
Family
ID=64895249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810891352.9A Active CN109165079B (zh) | 2018-08-07 | 2018-08-07 | 基于虚拟化的云数据中心可信平台、信任链构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109165079B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951527A (zh) * | 2019-02-20 | 2019-06-28 | 华东师范大学 | 面向虚拟化系统的hypervisor完整性检测方法 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
| CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
| CN111147252A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
| CN111158906A (zh) * | 2019-12-19 | 2020-05-15 | 北京可信华泰信息技术有限公司 | 一种主动免疫可信云系统 |
| CN112597502A (zh) * | 2020-12-17 | 2021-04-02 | 山东乾云启创信息科技股份有限公司 | 一种基于可信云的大规模计算服务配置方法及系统 |
| CN113157386A (zh) * | 2021-03-03 | 2021-07-23 | 中国科学院信息工程研究所 | 一种从物理机到虚拟机的信任链构建方法及系统 |
| CN113542266A (zh) * | 2021-07-13 | 2021-10-22 | 中国人民解放军战略支援部队信息工程大学 | 一种基于云模型的虚拟网元信任度量方法及系统 |
| CN114385248A (zh) * | 2020-10-22 | 2022-04-22 | 四零四科技股份有限公司 | 处理信任链的计算系统及装置 |
| CN114938275A (zh) * | 2022-07-21 | 2022-08-23 | 国开启科量子技术(北京)有限公司 | 使用量子密钥迁移虚拟机的方法、装置、介质和设备 |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488173A (zh) * | 2009-01-15 | 2009-07-22 | 北京交通大学 | 支持零宕机的可信虚拟域启动文件完整性度量的方法 |
| CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
| CN101866408A (zh) * | 2010-06-30 | 2010-10-20 | 华中科技大学 | 一种基于虚拟机架构的透明信任链构建系统 |
| CN101876921A (zh) * | 2009-04-29 | 2010-11-03 | 华为技术有限公司 | 一种虚拟机迁移决策方法、装置及系统 |
| CN102136043A (zh) * | 2010-01-22 | 2011-07-27 | 中国长城计算机深圳股份有限公司 | 一种计算机系统及其度量方法 |
| CN103139221A (zh) * | 2013-03-07 | 2013-06-05 | 中国科学院软件研究所 | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 |
| US20150261978A1 (en) * | 2005-05-13 | 2015-09-17 | Intel Corporation | Method and apparatus for remotely provisioning software-based security coprocessors |
| US20150286582A1 (en) * | 2013-03-06 | 2015-10-08 | Intel Corporation | Roots-of-trust for measurement of virtual machines |
| CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
| CN105159744A (zh) * | 2015-08-07 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的度量方法及装置 |
| CN105528239A (zh) * | 2016-01-15 | 2016-04-27 | 北京工业大学 | 基于可信根服务器的虚拟可信平台模块的密钥管理方法 |
| US20160149912A1 (en) * | 2014-11-26 | 2016-05-26 | Intel Corporation | Trusted Computing Base Evidence Binding for a Migratable Virtual Machine |
| CN105956465A (zh) * | 2016-05-04 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于vtpm构建虚拟可信平台的方法 |
| CN107294710A (zh) * | 2017-06-30 | 2017-10-24 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| CN107704308A (zh) * | 2017-09-19 | 2018-02-16 | 浪潮(北京)电子信息产业有限公司 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
| CN108255579A (zh) * | 2018-01-11 | 2018-07-06 | 浪潮(北京)电子信息产业有限公司 | 一种基于kvm平台的虚拟机管理方法及装置 |
-
2018
- 2018-08-07 CN CN201810891352.9A patent/CN109165079B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150261978A1 (en) * | 2005-05-13 | 2015-09-17 | Intel Corporation | Method and apparatus for remotely provisioning software-based security coprocessors |
| CN101488173A (zh) * | 2009-01-15 | 2009-07-22 | 北京交通大学 | 支持零宕机的可信虚拟域启动文件完整性度量的方法 |
| CN101876921A (zh) * | 2009-04-29 | 2010-11-03 | 华为技术有限公司 | 一种虚拟机迁移决策方法、装置及系统 |
| CN101599025A (zh) * | 2009-07-07 | 2009-12-09 | 武汉大学 | 可信密码模块安全虚拟化方法 |
| CN102136043A (zh) * | 2010-01-22 | 2011-07-27 | 中国长城计算机深圳股份有限公司 | 一种计算机系统及其度量方法 |
| CN101866408A (zh) * | 2010-06-30 | 2010-10-20 | 华中科技大学 | 一种基于虚拟机架构的透明信任链构建系统 |
| US20150286582A1 (en) * | 2013-03-06 | 2015-10-08 | Intel Corporation | Roots-of-trust for measurement of virtual machines |
| CN103139221A (zh) * | 2013-03-07 | 2013-06-05 | 中国科学院软件研究所 | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 |
| US20160149912A1 (en) * | 2014-11-26 | 2016-05-26 | Intel Corporation | Trusted Computing Base Evidence Binding for a Migratable Virtual Machine |
| CN105159744A (zh) * | 2015-08-07 | 2015-12-16 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的度量方法及装置 |
| CN105095768A (zh) * | 2015-08-20 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于虚拟化的可信服务器信任链的构建方法 |
| CN105528239A (zh) * | 2016-01-15 | 2016-04-27 | 北京工业大学 | 基于可信根服务器的虚拟可信平台模块的密钥管理方法 |
| CN105956465A (zh) * | 2016-05-04 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于vtpm构建虚拟可信平台的方法 |
| CN107294710A (zh) * | 2017-06-30 | 2017-10-24 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
| CN107545184A (zh) * | 2017-08-17 | 2018-01-05 | 大唐高鸿信安(浙江)信息科技有限公司 | 云主机的可信度量系统及方法 |
| CN107704308A (zh) * | 2017-09-19 | 2018-02-16 | 浪潮(北京)电子信息产业有限公司 | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 |
| CN108255579A (zh) * | 2018-01-11 | 2018-07-06 | 浪潮(北京)电子信息产业有限公司 | 一种基于kvm平台的虚拟机管理方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| MUDASSAR ASLAM 等: "Security and Trust Preserving VM Migrations in Public Clouds", 《2012 IEEE 11TH INTERNATIONAL CONFERENCE ON TRUST, SECURITY AND PRIVACY IN COMPUTING AND COMMUNICATIONS》 * |
| 王焕君: "基于可信根服务器的云平台虚拟域可信保障研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109951527B (zh) * | 2019-02-20 | 2020-08-25 | 华东师范大学 | 面向虚拟化系统的hypervisor完整性检测方法 |
| CN109951527A (zh) * | 2019-02-20 | 2019-06-28 | 华东师范大学 | 面向虚拟化系统的hypervisor完整性检测方法 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
| CN109992972B (zh) * | 2019-04-10 | 2021-04-20 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
| CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
| CN111147252B (zh) * | 2019-12-19 | 2022-03-15 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
| CN111147252A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
| CN111158906A (zh) * | 2019-12-19 | 2020-05-15 | 北京可信华泰信息技术有限公司 | 一种主动免疫可信云系统 |
| CN111158906B (zh) * | 2019-12-19 | 2023-04-28 | 北京可信华泰信息技术有限公司 | 一种主动免疫可信云系统 |
| CN114385248B (zh) * | 2020-10-22 | 2024-04-23 | 四零四科技股份有限公司 | 处理信任链的计算系统及装置 |
| CN114385248A (zh) * | 2020-10-22 | 2022-04-22 | 四零四科技股份有限公司 | 处理信任链的计算系统及装置 |
| CN112597502B (zh) * | 2020-12-17 | 2023-02-10 | 山东乾云启创信息科技股份有限公司 | 一种基于可信云的大规模计算服务配置方法及系统 |
| CN112597502A (zh) * | 2020-12-17 | 2021-04-02 | 山东乾云启创信息科技股份有限公司 | 一种基于可信云的大规模计算服务配置方法及系统 |
| CN113157386A (zh) * | 2021-03-03 | 2021-07-23 | 中国科学院信息工程研究所 | 一种从物理机到虚拟机的信任链构建方法及系统 |
| CN113542266A (zh) * | 2021-07-13 | 2021-10-22 | 中国人民解放军战略支援部队信息工程大学 | 一种基于云模型的虚拟网元信任度量方法及系统 |
| CN114938275B (zh) * | 2022-07-21 | 2022-10-14 | 国开启科量子技术(北京)有限公司 | 使用量子密钥迁移虚拟机的方法、装置、介质和设备 |
| CN114938275A (zh) * | 2022-07-21 | 2022-08-23 | 国开启科量子技术(北京)有限公司 | 使用量子密钥迁移虚拟机的方法、装置、介质和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109165079B (zh) | 2021-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109165079A (zh) | 基于虚拟化的云数据中心可信平台、信任链构建方法、迁移方法 | |
| CN103139221B (zh) | 一种可信虚拟平台及其构建方法、平台之间数据迁移方法 | |
| EP2798562B1 (en) | Trusted application migration across computer nodes | |
| CN102214277B (zh) | 创建多核处理器虚拟机系统可信环境的方法及装置 | |
| EP3997600B1 (en) | Using secure memory enclaves from the context of process containers | |
| KR102527949B1 (ko) | 보안 실행 게스트 소유자 환경 컨트롤 | |
| TWI744797B (zh) | 用於將安全客體之安全金鑰繫結至硬體安全模組之電腦實施方法、系統及電腦程式產品 | |
| BR112015002347B1 (pt) | Método para clonar estado de máquina virtual fonte possuindo um ambiente de execução confiável associado para formular um estado de máquina virtual alvo e meio de armazenamento em computador | |
| US8108940B2 (en) | Method for protecting data from unauthorised access | |
| CN107704308B (zh) | 虚拟平台vTPM管理系统、信任链构建方法及装置、存储介质 | |
| WO2009085977A2 (en) | Virtual computing management systems and methods | |
| WO2016107394A1 (zh) | 虚拟机的深度证明方法、计算设备和计算机系统 | |
| US10860359B2 (en) | Key management for encrypted virtual machines | |
| TWI734379B (zh) | 用於使用初始程式載入機制啟動安全客體之電腦實施方法、電腦系統及電腦程式產品 | |
| TWI737172B (zh) | 用於安全作業系統映像之增量解密及完整度驗證之電腦系統、電腦程式產品及電腦實施方法 | |
| US11150926B2 (en) | Native code generation for cloud services | |
| CN114116026B (zh) | 一种云平台信任链分层模型构建方法 | |
| CN115803740A (zh) | 监视程序保护的密钥 | |
| CN105556473A (zh) | 一种i/o任务处理的方法、设备和系统 | |
| KR20220107029A (ko) | 보안 게스트를 위해 하나 혹은 그 이상의 보안 모듈들의 예약 | |
| JP2022522664A (ja) | ページ変更検出によるセキュアなページング | |
| Wan et al. | Building trust into cloud computing using virtualization of TPM | |
| Toegl et al. | acTvSM: A dynamic virtualization platform for enforcement of application integrity | |
| TWI808749B (zh) | 用於安全客體映像及後設資料更新之電腦程式產品、電腦系統及電腦實施方法 | |
| TWI840804B (zh) | 相關於安全客體資源之延後取回之電腦程式產品、電腦系統及電腦實施方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |