CN109684037A - 一种虚拟机安全迁移方法 - Google Patents

Abstract

本发明涉及一种虚拟机安全迁移方法，包括目标节点的完整性验证、虚拟TPCM实例的封装发送、目标节点上虚拟TPCM的重新生成以及虚拟机的迁移等步骤，在虚拟机迁移过程中，实现了平台之间的安全认证，对传输数据进行加密和完整性校验，当迁移完成后，删除源节点上的虚拟TPCM实例，并将目标节点上的虚拟机和新生成的虚拟TPCM进行绑定，从而保证了虚拟可信根的原子性和虚拟机迁移的安全性。

Description

一种虚拟机安全迁移方法

技术领域

本发明涉及虚拟云安全领域，具体涉及一种虚拟机安全迁移方法。

背景技术

现今云计算技术迅猛发展，已经成为国内外互联网行业的研究热点。作为一种新型计算模式，它以资源租用、应用托管、服务外包为核心，把IT资源、数据、应用作为服务通过互联网提供给云租户。

云计算中最有价值的是虚拟机动态迁移技术。虚拟机动态迁移技术可以在保持虚拟机运行的同时，把其从一台源物理机迁移到目的物理机，并在目的物理机上恢复运行，从而保证迁移过程对用户是透明的。而且，虚拟机动态迁移技术可以实现服务器的动态负载均衡和在线维护，并提供了一种前瞻性容错方案。目前，针对虚拟机动态迁移技术的研究大多是对迁移效率的研究，如缩短迁移时间、快速迁移、减少迁移量等等，对迁移过程中存在安全问题研究较少。而在实际的云计算环境中，往往存在大量的安全威胁需要深入研究并提出合理的解决方案。其问题主要包括：数据传输信道的脆弱性，即迁移数据在没有任何保护的情况下，可能会受到被动侦听和主动控制的攻击；针对VMM的攻击，攻击者可能会使用网络欺骗和重放攻击等攻击方式，当缺乏访问控制时，攻击者能劫持VMM的控制权，任意的发起虚拟机迁移并控制客户机操作系统；针对迁移模块的攻击，VMM中实现虚拟机迁移的迁移模块中的漏洞会导致VMM和客户机OS遭到攻击者的破坏。

发明内容

针对现有技术中存在的上述问题，本发明提出了一种虚拟机安全迁移方法，满足了节点认证、数据传输保护、虚拟可信根原子性保护和VM-虚拟TPCM安全关联的四项安全需求。

本发明提出了一种虚拟机安全迁移方法，其特征在于，包括：

步骤1：对目标节点进行完整性验证，验证通过后进入步骤2，否则结束；

步骤2：将源节点上的虚拟TPCM实例进行封装并发送到目标节点上，发送成功后进入步骤3，否则结束；

步骤3：根据接收到的所述虚拟TPCM实例，在目标节点上生成新的虚拟TPCM，生成完毕后进入步骤4，否则结束；

步骤4：将待迁移虚拟机从源节点迁移到目标节点。

优选的，所述步骤1中还包括：

当源节点收到迁移信号后，确定目标节点地址，源节点和目标节点使用TLS握手协议进行密钥协商，获得两个对称密钥——Kenc和Kmac，使用密钥协商得到的会话密钥验证目标节点的完整性。

优选的，所述步骤2还包括：

虚拟TPCM管理器调用底层TPCM的可信计算资源对待迁移虚拟机的虚拟TPCM实例数据完成封装。

优选的，所述步骤3还包括：

目标节点的虚拟TPCM生命周期管理模块调用虚拟TPCM管理器对数据进行解封装，并使用该数据在目标节点重新生成虚拟TPCM实例。

优选的，所述步骤4还包括：

目标节点发送确认虚拟TPCM创建完成的信号到源节点；

源节点收到所述虚拟TPCM创建完成的信号后，通知虚拟TPCM管理器删除源节点本地的虚拟TPCM实例副本，并开始虚拟机迁移。

优选的，所述方法还包括：

目标节点对虚拟机迁移过程进行主动监控和主动安全度量，当发现异常时，中断该迁移过程。

优选的，所述方法还包括：

当确认虚拟机迁移完成，并且源节点上的虚拟TPCM实例已被删除时，启用目标节点本地的虚拟TPCM实例，并对虚拟机进行主动安全度量，若度量结果正确，则对虚拟机和新创建的本地虚拟TPCM实例进行绑定。

优选的，所述步骤1还包括：

a)源节点生成随机数Ns，与远程证明请求ATT_REQ一同发送给目标节点；

b)目标节点对信息进行完整性校验，并调用底层TPCM的身份认证密钥AIK对PCR值与接收到的Ns进行签名，将签名后信息与度量日志SML一同发送给源节点；

c)源节点验证目标节点的完整性等内容，确定迁移继续进行或者发出中断会话的指令。

本发明公开了一种虚拟机安全迁移方法，包括目标节点的完整性验证、虚拟TPCM实例的封装发送、目标节点上虚拟TPCM的重新生成以及虚拟机的迁移等步骤，在虚拟机迁移过程中，实现了平台之间的安全认证，对传输数据进行加密和完整性校验，当迁移完成后，删除源节点上的虚拟TPCM实例，并将目标节点上的虚拟机和新生成的虚拟TPCM进行绑定，从而保证了虚拟可信根的原子性和虚拟机迁移的安全性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1为现有技术中的XEN虚拟机迁移系统架构图；

图2为本发明实施例一中的一种虚拟机安全迁移系统架构图；

图3为本发明实施例二中的本地安全迁移引擎组成模块图；

图4为本发明实施例三中的一种虚拟机安全迁移方法流程图。

具体实施方式

现结合附图，对本发明的较佳实施例作详细说明。

现有技术中XEN虚拟机动态迁移系统如图1所示，它包括四个基本模块：迁移监听模块、运行迁移模块、冻结模块和目标节点唤醒模块。各模块的主要功能如下：

监听迁移模块：监听迁移模块的主要功能是确定要进行虚拟机迁移的虚拟机实例，迁移时间，迁移到的目标节点等问题。

运行迁移模块：运行迁移模块主要监控和管制整个虚拟机迁移过程。该模块是整个虚拟机迁移的关键，会直接影响迁移消耗时间和宕机时间。它接收来自迁移模块的信号，如果需要迁移则收集源节点及相关的运行信息并打包信息标记为域。然后和冻结模块进行通信，进而对源节点执行冻结指令，冻结源节点。当目标节点获得源节点中虚拟机运行的状态信息之后，该模块发起唤醒信号，唤醒目标服务器的虚拟机实例。

冻结模块：冻结模块用于对源节点和目标节点的虚拟机执行冻结操作，即虚拟机停机。为了保证数据的完整性、一致性和服务的连续性，停机时间十分短暂。

唤醒模块：目标节点获得源节点中虚拟机运行的状态信息之后，就可以将源节点上的虚拟机删除，同时唤醒目标节点上的虚拟机实例，保证迁移的完整性。

实施例一

现有的虚拟机迁移系统没有虚拟机迁移的节点认证，不能保证虚拟机迁移的源节点和目标节点的状态安全可信。同时缺乏数据传输保护，无法处理虚拟机迁移过程中出现的中间人攻击等威胁。

针对现有虚拟机迁移系统存在的缺陷，本实施例公开了一种虚拟机安全迁移系统，系统框架图如图2所示，包括云服务器硬件环境、宿主机系统、虚拟机监视器和虚拟机实例：

其中，底层硬件环境的硬件TPCM芯片为系统提供了可信计算的密码服务，而且TPCM与宿主机系统构成可信3.0提出的双系统体系结构，为系统提供主动监控和主动度量机制，优先于系统进行加电启动，监控系统运行环境，保障系统的安全性。

其中，宿主机系统包含可信软件基(TSB)。可信软件基中放置了提供管理全部本地虚拟TPCM实例的虚拟TPCM管理器和虚拟机安全迁移功能的核心——本地安全迁移引擎，二者都会调用底层TPCM的可信计算资源完成相应的迁移或者虚拟可信根管理功能。虚拟TPCM管理器作为一个服务程序，管理上层对虚拟TPCM实例的访问，根据上层对虚拟TPCM的访问情况，调度底层硬件环境的TPCM的可信计算资源，管理虚拟TPCM上下文的导入导出，并提供新的虚拟TPCM实例创建和虚拟TPCM迁移功能。

其中，宿主机系统的上层是虚拟机监视器VMM，VMM中包含虚拟TPCM后端驱动程序，用于加载虚拟TPCM管理器提供的虚拟TPCM上下文实例，给对应虚拟机提供主动监控和主动度量等功能。

其中，系统的最上层是由VMM统一管理的虚拟机实例，每个虚拟机实例中都包含一个虚拟机的可信软件基，提供虚拟机的度量机制、控制机制和判定机制等。

实施例二

本实施例将对上述虚拟机安全迁移系统中的本地安全迁移引擎进行详细的描述，如图3所示，所述安全迁移引擎包括密钥协商、远程证明、机密性保护、完整性保护和虚拟TPCM生命周期管理五个模块，下面详细介绍每个模块的功能：

(1)密钥协商模块

密钥协商模块用于源节点和目标节点相互身份认证，并且协商用于保护后继的数据交换的机密性和完整性的密钥，即提供本地迁移引擎的机密性保护模块和完整性保护模块的密钥。密钥协商模块通过TLS握手协议产生两个对称密钥——Kenc和Kmac，这两个密钥是由源和目标节点在握手过程中使用交换的信息分别计算出来的。

(2)远程证明模块

远程证明模块用于验证目标节点的完整性证明。远程证明模块使用密钥协商模块得到的加密密钥Kenc和完整性校验密钥Kmac。

远程证明模块主要工作流程如下：

a)源节点生成随机数Ns，与远程证明请求ATT_REQ一同发送给目标节点

b)目标节点对信息进行完整性校验，并调用底层TPCM的身份认证密钥AIK对PCR值与接收到的Ns进行签名，将签名后信息与度量日志SML一同发送给源节点

c)源节点验证目标节点的完整性等内容，确定迁移继续进行或者发出中断会话的指令。

(3)机密性保护模块和完整性保护模块

机密性保护模块和完整性保护模块均用于虚拟机迁移过程中传输数据的安全性保护，保护数据包括两部分：源节点虚拟机信息和对应的虚拟TPCM实例的相关信息。机密性保护模块和完整性保护模块会调用密钥协商模块得到的Kenc和Kmac密钥，对传输的数据流进行加解密和完整性校验工作。完整性校验成功，则目标节点的完整性校验模块会返回ATT_SUCCESS通知，失败则返回ATT_FAILED，中断会话。

(4)虚拟TPCM生命周期管理模块

虚拟TPCM生命周期管理模块用于虚拟机迁移过程中发起源节点虚拟TPCM实例的删除操作和目标节点的虚拟TPCM实例的创建操作，保证迁移过程中虚拟TPCM实例的原子性。

一旦发起迁移操作，需要将可迁移密钥发送至目标节点，由目标节点的虚拟TPCM生命周期管理模块调用虚拟TPCM管理器进行虚拟TPCM实例的创建操作。完成虚拟TPCM实例的创建后，虚拟TPCM生命周期管理模块调用目标节点的虚拟TPCM管理器启动虚拟TPCM实例。当虚拟机迁移到目标节点，由目标节点的虚拟TPCM实例对虚拟机进行主动监控和主动度量，度量结果正确，虚拟TPCM和虚拟机进行绑定，保证虚拟TPCM-VM的安全关联，并通知虚拟TPCM生命周期管理模块删除源节点的虚拟TPCM实例。

如果迁移失败，虚拟TPCM生命周期管理模块调用虚拟TPCM管理器删除目标节点上的虚拟TPCM。保证虚拟TPCM的故障恢复以及防止产生重复拷贝。

通过本实施例中提出的一种虚拟机安全迁移系统，通过四重安全机制保证虚拟机在源节点和目标节点之间的安全迁移：第一，密钥协商和远程证明模块，实现了虚拟机迁移过程的节点之间认证；第二，机密性保护模块和完整性保护模块使用密钥协商模块得到的会话密钥，对传输数据进行加解和完整性校验，保证了源节点和目标节点间构建了安全的通信信道；第三，虚拟TPCM生命周期管理模块得知虚拟机迁移到目标节点，调度虚拟TPCM

管理器启动虚拟TPCM实例对虚拟机进行主动监控和主动度量，并完成VM-虚拟TPCM的绑定操作，保证了VM-虚拟TPCM的安全关联；第四，虚拟TPCM生命周期管理模块调度虚拟TPCM管理器完成虚拟TPCM实例的创建、删除等操作，保证了迁移过程中不会因为迁移失败而丢失虚拟TPCM实例，也不会因为迁移完成，在源节点出现旧的未删除的虚拟TPCM实例副本，从而保证了虚拟可信根的原子性。

实施例三

基于上述两个实施例中的虚拟机安全迁移系统，本实施例提出了一种虚拟机安全迁移方法，如图4所示，其迁移流程为：

(1)当源节点收到迁移信号后，确定目标节点地址，源节点和目标节点使用TLS握手协议进行密钥协商，获得两个对称密钥——Kenc和Kmac。

(2)源节点与目标节点通过远程证明模块，使用密钥协商得到的会话密钥验证目标节点的完整性。

(3)源节点虚拟TPCM生命周期管理模块调用虚拟TPCM管理器进行虚拟TPCM实例的数据封装，虚拟TPCM管理器调用底层TPCM的可信计算资源对待迁移虚拟机的虚拟TPCM实例数据完成封装。

(4)源节点发送封装后的虚拟TPCM实例数据到目标节点。

(5)目标节点的虚拟TPCM生命周期管理模块调用虚拟TPCM管理器对数据进行解封装，并使用该数据在目标节点重新生成虚拟TPCM实例，完成虚拟可信根的迁移。

(6)目标节点发送确认虚拟TPCM创建完成的信号到源节点。

(7)源节点收到虚拟TPCM迁移完成的信号，虚拟TPCM生命周期管理模块通知虚拟TPCM管理器删除本地虚拟TPCM实例副本，并开始虚拟机迁移。

(8)目标节点对虚拟机迁移过程进行主动监控和主动度量。

(9)当虚拟机迁移完成并且源节点发送虚拟TPCM实例删除通知，虚拟TPCM生命周期管理模块通知虚拟TPCM管理器启用本地vTCPM实例，对虚拟机进行主动度量，如果度量结果正确，完成VM-虚拟TPCM绑定，整个迁移过程结束。

通过本实施例中的一种虚拟机安全迁移方法，可实现虚拟机在源节点和目标节点之间的安全迁移，其中，密钥协商和远程证明模块，实现了虚拟机迁移过程的节点之间认证；机密性保护模块和完整性保护模块使用密钥协商模块得到的会话密钥，对传输数据进行加解和完整性校验，保证了源节点和目标节点间构建了安全的通信信道；虚拟TPCM生命周期管理模块得知虚拟机迁移到目标节点，调度虚拟TPCM管理器启动虚拟TPCM实例对虚拟机进行主动监控和主动度量，并完成VM-虚拟TPCM的绑定操作，保证了VM-虚拟TPCM的安全关联；虚拟TPCM生命周期管理模块调度虚拟TPCM管理器完成虚拟TPCM实例的创建、删除等操作，保证了迁移过程中不会因为迁移失败而丢失虚拟TPCM实例，也不会因为迁移完成，在源节点出现旧的未删除的虚拟TPCM实例副本，从而保证了虚拟可信根的原子性和安全性。

在本发明所提供的几个实施例中，应该理解到，所揭露的方法和终端，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

另外，在不发生矛盾的情况下，上述几个实施例中的技术方案可以相互组合和替换。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个模块或装置也可以由一个模块或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

Claims (8)

1.一种虚拟机安全迁移方法，其特征在于，包括：

步骤1：对目标节点进行完整性验证，验证通过后进入步骤2，否则结束；

步骤2：将源节点上的虚拟TPCM实例进行封装并发送到目标节点上，发送成功后进入步骤3，否则结束；

步骤3：根据接收到的所述虚拟TPCM实例，在目标节点上生成新的虚拟TPCM，生成完毕后进入步骤4，否则结束；

步骤4：将待迁移虚拟机从源节点迁移到目标节点。

2.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，所述步骤1中还包括：

当源节点收到迁移信号后，确定目标节点地址，源节点和目标节点使用TLS握手协议进行密钥协商，获得两个对称密钥——Kenc和Kmac，使用密钥协商得到的会话密钥验证目标节点的完整性。

3.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，所述步骤2还包括：

虚拟TPCM管理器调用底层TPCM的可信计算资源对待迁移虚拟机的虚拟TPCM实例数据完成封装。

4.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，所述步骤3还包括：

目标节点的虚拟TPCM生命周期管理模块调用虚拟TPCM管理器对数据进行解封装，并使用该数据在目标节点重新生成虚拟TPCM实例。

5.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，所述步骤4还包括：

目标节点发送确认虚拟TPCM创建完成的信号到源节点；

源节点收到所述虚拟TPCM创建完成的信号后，通知虚拟TPCM管理器删除源节点本地的虚拟TPCM实例副本，并开始虚拟机迁移。

6.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，还包括：

目标节点对虚拟机迁移过程进行主动监控和主动安全度量，当发现异常时，中断该迁移过程。

7.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，还包括：

当确认虚拟机迁移完成，并且源节点上的虚拟TPCM实例已被删除时，启用目标节点本地的虚拟TPCM实例，并对虚拟机进行主动安全度量，若度量结果正确，则对虚拟机和新创建的本地虚拟TPCM实例进行绑定。

8.如权利要求1中所述的一种虚拟机安全迁移方法，其特征在于，所述步骤1还包括：

a)源节点生成随机数Ns，与远程证明请求ATT_REQ一同发送给目标节点；

b)目标节点对信息进行完整性校验，并调用底层TPCM的身份认证密钥AIK对PCR值与接收到的Ns进行签名，将签名后信息与度量日志SML一同发送给源节点；

c)源节点验证目标节点的完整性等内容，确定迁移继续进行或者发出中断会话的指令。