CN111124616A - 一种虚拟机迁移方法、处理器及电子设备 - Google Patents
一种虚拟机迁移方法、处理器及电子设备 Download PDFInfo
- Publication number
- CN111124616A CN111124616A CN201911343888.8A CN201911343888A CN111124616A CN 111124616 A CN111124616 A CN 111124616A CN 201911343888 A CN201911343888 A CN 201911343888A CN 111124616 A CN111124616 A CN 111124616A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- data
- migrated
- encryption key
- machine migration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及一种虚拟机迁移方法、处理器及电子设备,属于计算机技术领域。该方法应用于虚拟机迁出设备,所述方法包括:获取待迁移虚拟机的加密密钥,并向虚拟机迁入设备发送所述加密密钥;获取所述待迁移虚拟机的内存页信息对应的待迁移数据,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;向所述虚拟机迁入设备发送所述待迁移数据。本申请实施例中,通过共享虚拟机加密密钥,减少基于安全虚拟化技术的虚拟机迁移过程中需要先对待迁移数据进行解密再加密带来的时间开销,从而提升虚拟机迁移效率。
Description
技术领域
本申请属于计算机技术领域,具体涉及一种虚拟机迁移方法、处理器及电子设备。
背景技术
虚拟机迁移属于虚拟机技术中一个重要的应用场景,目前的虚拟机迁移分为两种:普通虚拟机迁移和基于安全虚拟化技术的虚拟机迁移。
其中,普通虚拟机迁移过程为:虚拟机监视器扫描到需要迁移的内存页之后,直接将内存页对应的数据(未加密)发送给接收方。而基于安全虚拟化技术的虚拟机迁移过程为:由于安全虚拟化技术中,虚拟机内存数据使用了虚拟机加密密钥进行加密,因此,当虚拟机监视器扫描到需要迁移的内存页后,不能直接将该内存页对应的虚拟机数据(加密)发送出去,需要先由安全处理器对该虚拟机数据进行处理(先解密再加密)。具体为:每当虚拟器监视器扫描到需要迁移的内存页之后,需要将扫描到内存页转交给安全处理器处理,然后等待安全处理器处理结束,接着虚拟机监视器将处理后的虚拟机数据发送给对端。这种迁移方式中,虚拟机监视器和安全处理器需要频繁地进行交互,而安全处理器本身处理内存页也需要时间开销,从而导致了迁移效率低下,整个过程耗时较长。
发明内容
鉴于此,本申请的目的在于提供一种虚拟机迁移方法、处理器及电子设备,以解决现有的在安全虚拟化技术中的虚拟机迁移效率较低的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种虚拟机迁移方法,应用于虚拟机迁出设备,所述方法包括:获取待迁移虚拟机的加密密钥,并向虚拟机迁入设备发送所述加密密钥;获取所述待迁移虚拟机的内存页信息对应的待迁移数据,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;向所述虚拟机迁入设备发送所述待迁移数据。本申请实施例中,虚拟机迁出设备将待迁移虚拟机的加密密钥发送给对端实现密钥共享,使得在迁移的过程中,可以直接发送基于该加密密钥加密的待迁移数据,而无需先对待迁移数据进行解密再加密之后才发送给对端,通过共享虚拟机加密密钥,减少基于安全虚拟化技术的虚拟机迁移过程中需要先对待迁移数据进行解密再加密带来的时间开销,从而提升虚拟机迁移效率。
结合第一方面实施例的一种可能的实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述方法还包括:向所述虚拟机迁入设备发送所述虚拟机物理地址。本申请实施例中,在将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密,以保证数据的安全性,保证在虚拟机迁移过程中的数据不被攻击或者篡改,相应地,虚拟机迁出设备还向对端发送加扰时所使用的虚拟机物理地址,以使对端基于该虚拟机物理地址对该待迁移数据进行解扰,保证方案的可行性。
结合第一方面实施例的一种可能的实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述虚拟机迁出设备的主机物理地址的方式加密的数据,所述方法还包括:向所述虚拟机迁入设备发送所述主机物理地址。本申请实施例中,在将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆虚拟机迁出设备的主机物理地址的方式加密,以保证数据的安全性,保证在虚拟机迁移过程中的数据不被攻击或者篡改,相应地,虚拟机迁出设备还向对端发送加扰时所使用的主机物理地址,以使对端基于该主机物理地址对该待迁移数据进行解扰,保证方案的可行性。
结合第一方面实施例的一种可能的实施方式,向虚拟机迁入设备发送所述加密密钥,包括:对所述加密密钥加密,向所述虚拟机迁入设备发送加密后的所述加密密钥,其中,对所述加密密钥加密时所使用的密钥为所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥。本申请实施例中,为了保证加密密钥的安全性,在传输时,对该加密密钥使用双方约定的密钥进行加密,使得只有约定的对端才能正常解密。
第二方面,本申请实施例还提供了一种虚拟机迁移方法,应用于虚拟机迁入设备,所述方法包括:接收虚拟机迁出设备发送的待迁移数据和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;将所述待迁移数据写入所述虚拟机迁入设备的物理内存,其中,所述加密密钥还用于所述虚拟机迁入设备在访问所述待迁移数据时,对所述待迁移数据进行解密。本申请实施例中,通过使虚拟机迁入设备共享虚拟机迁出设备的加密密钥,使得虚拟机迁入设备在接收到对端发送的待迁移数据时,可以直接将该待迁移数据写入虚拟机迁入设备的物理内存中,而无需对该待迁移数据先解密再加密之后才写入物理内存,在后续访问该待迁移数据时,可基于该加密密钥对待迁移数据进行解密,省去了基于安全虚拟化技术的虚拟机迁移过程中需要先对待迁移数据进行解密再加密带来的时间开销,以及省去了在迁入端对待迁移数据先解密再加密带来的时间开销,从而提升虚拟机迁移效率。
结合第二方面实施例的一种可能的实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述方法还包括:接收虚拟机迁出设备发送所述虚拟机物理地址,其中,所述虚拟机物理地址用于所述虚拟机迁入设备在访问所述待迁移数据时,对其进行解扰。本申请实施例中,若该待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据时,虚拟机迁入设备接收对端发送的对待迁移虚拟机的数据加扰时所使用的虚拟机物理地址,使得虚拟机迁入设备可以直接将该待迁移数据直接写入物理内存,在后续虚拟机迁入设备访问该待迁移数据时,基于该虚拟机物理地址对该待迁移数据进行解扰,在保证方案的可实施的前提下,又增强了虚拟机数据的安全性。
结合第二方面实施例的一种可能的实施方式,接收虚拟机迁出设备发送的加密密钥,包括:接收所述虚拟机迁出设备发送的已加密密钥;通过解密所述已加密密钥,得到所述加密密钥。本申请实施例中,为了保证加密密钥的安全性,在传输时,对该加密密钥使用双方约定的密钥进行加密,使得只有约定的对端才能正常解密。
第三方面,本申请实施例还提供了一种虚拟机迁移方法,应用于虚拟机迁入设备,所述方法包括:接收虚拟机迁出设备发送的待迁移数据、主机物理地址和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述主机物理地址的方式加密的数据;利用所述加密密钥和所述主机物理地址对所述待迁移数据进行解密和解扰,得到所述待迁移虚拟机的数据;将所述待迁移虚拟机的数据写入所述虚拟机迁入设备的物理内存。本申请实施例中,若待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆主机物理地址的方式加密的数据时,则在迁移过程中,虚拟机迁出设备需要向对端发送待迁移数据、主机物理地址和加密密钥,以便对端基于该加密密钥和主机物理地址对该待迁移数据进行解密和解扰,得到待迁移虚拟机的数据,然后再将该待迁移虚拟机的数据写入虚拟机迁入设备的物理内存,在保证方案的可实施的前提下,通过使用主机物理地址对待迁移虚拟机的数据进行加扰,以增强虚拟机数据的安全性;同时,虚拟机迁出设备将待迁移虚拟机的加密密钥发送给对端实现密钥共享,使得在迁移的过程中,可以直接发送基于该加密密钥和混淆主机物理地址的方式加密的待迁移数据,而无需先对待迁移数据进行解密再加密之后才发送给对端,通过共享虚拟机加密密钥,减少基于安全虚拟化技术的虚拟机迁移过程中需要先对待迁移数据进行解密再加密带来的时间开销,从而提升虚拟机迁移效率。
第四方面,本申请实施例还提供了一种处理器,应用于虚拟机迁出设备,所述处理器包括:内核和安全处理器,所述内核上部署有虚拟机监视器;所述安全处理器,用于获取待迁移虚拟机的加密密钥,并将所述加密密钥发送给所述虚拟机监视器;所述虚拟机监视器,用于获取所述待迁移虚拟机的内存页信息对应的待迁移数据,以及向虚拟机迁入设备发送所述待迁移数据和所述加密密钥,所述待迁移数据为将所述待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据。
结合第四方面实施例的一种可能的实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述虚拟机监视器,还用于向所述虚拟机迁入设备发送所述虚拟机物理地址。
结合第四方面实施例的一种可能的实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述虚拟机迁出设备的主机物理地址的方式加密的数据,所述虚拟机监视器,还用于向所述虚拟机迁入设备发送所述主机物理地址。
结合第四方面实施例的一种可能的实施方式,所述安全处理器,还用于对所述加密密钥加密,得到加密后的加密密钥,其中,对所述加密密钥加密时所使用的密钥为所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥。
第五方面,本申请实施例还提供了一种处理器,虚拟机迁入设备,所述处理器包括:内核,所述内核上部署有虚拟机监视器;所述虚拟机监视器,用于接收虚拟机迁出设备发送的待迁移数据和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;所述虚拟机监视器,还用于将所述利用所述加密密钥加密的数据写入所述虚拟机迁入设备的物理内存,其中,所述加密密钥还用于所述虚拟机迁入设备在访问所述待迁移数据时,对所述待迁移数据进行解密。
结合第五方面实施例的一种可能的实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述虚拟机监视器,还用于接收虚拟机迁出设备发送所述虚拟机物理地址,以及将所述利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据写入所述虚拟机迁入设备的物理内存;其中,所述虚拟机物理地址,用于所述虚拟机迁入设备在访问所述利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据时,对其进行解扰。
结合第五方面实施例的一种可能的实施方式,所述虚拟机迁出设备发送的加密密钥为所述虚拟机迁入设备利用所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥加密的已加密密钥,所述处理器,还包括:安全处理器,所述安全处理器,用于解密所述已加密密钥,保存解密得到的加密密钥。
第六方面,本申请实施例还提供了一种处理器,虚拟机迁入设备,所述处理器包括:内核和安全处理器,所述内核上部署有虚拟机监视器;所述虚拟机监视器,用于接收虚拟机迁出设备发送的待迁移数据、主机物理地址和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述主机物理地址的方式加密的数据;所述安全处理器,用于利用所述加密密钥和所述主机物理地址对所述待迁移数据进行解密和解扰,得到所述待迁移虚拟机的数据;所述安全处理器,还用于将所述待迁移虚拟机的数据写入所述虚拟机迁入设备的物理内存。
第七方面,本申请实施例还提供了一种电子设备,包括:内存和如上述第四方面实施例和/或结合第四方面实施例的任一种可能的实施方式提供的所述处理器,或者,如上述第五方面实施例和/或结合第五方面实施例的任一种可能的实施方式提供的所述处理器,或者,如上述第六方面实施例提供的所述处理器。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种虚拟机迁移系统的结构示意图。
图2示出了本申请实施例提供的一种虚拟机迁移方法的流程示意图。
图3示出了本申请实施例提供的一种虚拟机迁出设备以及虚拟机迁入设备中的虚拟机监视器和安全处理器的交互示意图。
图4示出了本申请实施例提供的一种虚拟机迁移方法的流程示意图。
图5示出了本申请实施例提供的又一种虚拟机迁出设备以及虚拟机迁入设备中的虚拟机监视器和安全处理器的交互示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
如图1所示,为本申请实施例提供的一种基于安全虚拟化的虚拟机迁移系统,包括:虚拟机迁入设备和虚拟机迁出设备。虚拟机迁入设备和虚拟机迁出设备之间通过共享虚拟机加密密钥,减少基于安全虚拟化技术的虚拟机迁移过程中,虚拟机迁入设备中的虚拟机监视器与安全处理器的频繁交互带来的时间开销,同时也节约了安全处理器本身处理内存页需要的时间开销,从而提升虚拟机迁移效率。以下将结合附图来详细描述本申请的实施例及其优点。
当部署在虚拟机迁出设备上的虚拟机需要迁移时,该虚拟机迁出设备获取待迁移虚拟机的加密密钥,并向虚拟机迁入设备发送该加密密钥,以便虚拟机迁入设备保存该加密密钥,以备后续使用。此外,考虑到传输过程中的加密密钥的安全性,避免被攻击者轻易获取,该虚拟机迁出设备还可以对获取到的待迁移虚拟机的加密密钥进行加密,然后向虚拟机迁入设备发送加密的加密密钥,虚拟机迁入设备在接收到加密的加密密钥后,对其进行解密。其中,对加密密钥加密时所使用的密钥为虚拟机迁入设备和虚拟机迁出设备之间约定的密钥,该密钥可以通过协商、预置或者其他方式获得。
该虚拟机迁出设备扫描待迁移虚拟机的内存页信息,获取对应的待迁移数据,并将该待迁移数据发送给虚拟机迁入设备。其中,该待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥加密的数据。虚拟机迁入设备在接收到该待迁移数据时,直接将待迁移数据(利用加密密钥加密的数据)写入虚拟机迁入设备的物理内存,当后续在访问该物理内存中的利用加密密钥加密的数据时,利用保存的加密密钥对该数据进行解密。
作为一种实施方式,为了进一步增加数据的安全性,保障在虚拟机迁移过程中的数据不被攻击或者篡改,在将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中除了利用加密密钥对其加密外,还可以通过混淆物理地址(待迁移虚拟机的虚拟机物理地址,或者虚拟机迁出设备的主机物理地址)的方式对待迁移虚拟机的数据或者对加密密钥进行加扰。其可以是,在待迁移虚拟机的数据中混淆该物理地址形成新的数据,然后再利用加密密钥对形成的新数据加密;当然也可以是,在加密密钥中混淆该物理地址形成新的密钥,再利用该新的密钥对待迁移虚拟机的数据进行加密。
其中,当待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据时,虚拟机迁出设备还需要向虚拟机迁入设备发送加扰时所使用的虚拟机物理地址,以便虚拟机迁入设备在访问待迁移数据(此时为利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据)基于该虚拟机物理地址对待迁移数据进行解扰。由于加扰所使用的是虚拟机物理地址,因此,虚拟机迁入设备在接收到该待迁移数据(此时为利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据)时,可以直接将其写入自身的物理内存中。
当待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆虚拟机迁出设备的主机物理地址的方式加密的数据时,虚拟机迁出设备还需要向虚拟机迁入设备发送加扰时所使用的主机物理地址,以便虚拟机迁入设备基于该主机物理地址和待迁移虚拟机的加密密钥对该待迁移虚拟机(此时为利用加密密钥和混淆虚拟机迁出设备的主机物理地址的方式加密的数据)进行解密和解扰,得到待迁移虚拟机的数据(未加密),然后将该待迁移虚拟机的数据写入虚拟机迁入设备的物理内存,在这个过程中,由内存控制器对该待迁移虚拟机的数据进行加密。此时,加密所使用的密钥可以是待迁移虚拟机的加密密钥,也可以是其他的加密密钥。
虚拟机迁出设备不断的扫描需要迁移的内存页信息,并将该内存页信息对应的待迁移数据发送给对端,直到虚拟机迁出设备判断满足迁移结束条件的时候,完成收尾工作后结束迁移流程。例如虚拟机迁出设备发送完所有需要迁移的内存页信息对应的待迁移数据时,则满足迁移结束条件。虚拟机迁入设备不断的将获取到的待迁移数据写入内存中,直到虚拟机迁入设备判断满足迁移结束条件的时候,完成收尾工作后结束迁移流程。例如虚拟机迁入设备在预设时长内未接收到虚拟机迁出设备发送的待迁移数据,或者,接收到对端发送的迁移结束标识,则表征满足迁移结束条件。
其中,需要说明的是,处理器或控制器在访问内存中的数据时,均是通过内存控制器来进行访问的,即通过内存控制器向内存写入数据,或者,通过内存控制器从内存中读取数据。其中,内存控制器用于基于物理地址向内存中写入数据,或者从内存中读出数据。内存控制器在写入数据的过程中,若需要对该数据进行加密或加扰,则内存控制器会对该数据进行加密或加扰处理;内存控制器在从内存中读取数据的过程中,若需要对该数据进行解密或解扰,则内存控制器会对读取的数据进行解密或解扰。内存控制器对写入内存的数据进行加密或加扰或内存控制器对从内存中读取的数据进行解密或解的具体过程已经为本领域技术人员所熟知,此处不作过多介绍。
此外,除了在将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用混淆物理地址的方式对其加扰外(此时,获取到的待迁移数据即为加扰后的数据),还可以是在传输的过程中,对传输的数据(此时,该数据仅加密未加扰)进行加扰,也即虚拟机迁出设备在获取到未加扰的待迁移数据后,对其进行加扰(如通过混淆物理地址的方式进行加扰),然后将加扰后的待迁移数据(利用加密密钥加密的数据)发送给虚拟机迁入设备,同时还需要将加扰所使用的信息(如待迁移虚拟机的虚拟机物理地址,或者虚拟机迁出设备的主机物理地址)发给虚拟机迁入设备,虚拟机迁入设备在接收到该加扰信息后,利用该加扰信息对加扰后的利用加密密钥加密的数据进行解扰,得到利用加密密钥加密的数据。
其中,需要说的是,虚拟机迁出设备在迁移待迁移虚拟机的过程中,除了向对端发送待迁移数据外,还需要发送待迁移虚拟机的其他信息,如迁移的数据长度、校验值以及虚拟机物理地址等,以便于用于恢复虚拟机内存,以及用于校验数据的完整性和一致性。该部分内容已经为本领域技术人员所熟知的内容,为了避免累赘,此处不在介绍。
其中,示例性的,上述的加密或解密所用到的算法包括但不限于:数字签名算法(Digital Signature Algorithm,DSA)、高级加密标准(Advanced Encryption Standard,AES)、数据加密标准(Data Encryption Standard,DES)、MD5算法等。
如图1所示,该虚拟机迁出设备,包括:处理器和内存。该处理器包括:内核(处理器核)和安全处理器。其中,内核上部署有虚拟机监视器(Virtual Machine Monitor VMM),在硬件虚拟化技术中,使用VMM来隔离虚拟系统与宿主硬件。VMM也可称为虚拟机管理器,其可直接运行在系统硬件上,也可以运行在宿主操作系统上。VMM实现了从虚拟资源到物理资源的映射,并利用本地物理资源进行计算。当虚拟系统访问系统资源时,VMM将接管这个请求,并将处理结果返回给虚拟机系统,这样就实现了多个硬件设备的虚拟,保证虚拟系统的有效隔离。
由于基于安全虚拟化技术的虚拟机内存使用了虚拟机加密密钥进行加密,因此在迁移开始的时候,该虚拟机监视器向安全处理器发送密钥获取请求,其中,该密钥获取请求中携带有待迁移虚拟机的识别号,安全处理器响应该密钥获取请求,获取该识别号对应的待迁移虚拟机的加密密钥,然后将该加密密钥返回给虚拟机监视器。若该密钥获取请求中还携带有加密标识,则安全处理器在获取到迁移虚拟机的加密密钥,还对其进行加密,得到加密的加密密钥,其中,对加密密钥加密时所使用的密钥为虚拟机迁入设备和虚拟机迁出设备之间约定的密钥。
虚拟机监视器,用于获取待迁移虚拟机的内存页信息对应的待迁移数据,以及向虚拟机迁入设备发送待迁移数据和加密密钥,待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥加密的数据,以使虚拟机迁入设备在接收到该待迁移数据时,直接将待迁移数据(利用加密密钥加密的数据)写入虚拟机迁入设备的物理内存,以及保存该加密密钥,当后续在访问该物理内存中的利用加密密钥加密的数据时,利用保存的加密密钥对该数据进行解密。
作为一种实施方式,待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据,虚拟机监视器,还用于向虚拟机迁入设备发送虚拟机物理地址。以便虚拟机迁入设备在访问待迁移数据(此时为利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据)基于该虚拟机物理地址对待迁移数据进行解扰。
作为一种实施方式,待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆虚拟机迁出设备的主机物理地址的方式加密的数据,虚拟机监视器,还用于向虚拟机迁入设备发送主机物理地址。以便虚拟机迁入设备基于该主机物理地址和待迁移虚拟机的加密密钥对该待迁移虚拟机(此时为利用加密密钥和混淆虚拟机迁出设备的主机物理地址的方式加密的数据)进行解密和解扰,得到待迁移虚拟机的数据(未加密),然后将该待迁移虚拟机的数据写入虚拟机迁入设备的物理内存,在这个过程中,由内存控制器对该待迁移虚拟机的数据进行加密。
其中,在该应用场景中的实施流程中,实施流程中涉及到的各个步骤的详细实施方式在前述系统实施例中已经作了详细介绍,为了说明书的简洁,在此不再重复介绍。
如图1所示,该虚拟机迁入设备,包括:处理器和内存。该处理器包括:内核(处理器核)。其中,内核上部署有虚拟机监视器(软件)。
其中,虚拟机监视器,用于接收虚拟机迁出设备发送的待迁移数据和加密密钥,待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥加密的数据。虚拟机监视器,还用于将待迁移数据写入虚拟机迁入设备的物理内存。其中,加密密钥还用于虚拟机迁入设备在访问待迁移数据时,对待迁移数据进行解密。
作为一种实施方式,当待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据时,虚拟机监视器,还用于接收虚拟机迁出设备发送虚拟机物理地址,以及将待迁移数据(此时为利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据)写入虚拟机迁入设备的物理内存。其中,虚拟机物理地址,用于虚拟机迁入设备在访问待迁移数据(利用加密密钥和混淆待迁移虚拟机的虚拟机物理地址的方式加密的数据)时,对其进行解扰。
作为一种实施方式,虚拟机迁出设备发送的加密密钥为虚拟机迁入设备利用虚拟机迁入设备和虚拟机迁出设备之间约定的密钥加密的已加密密钥,该处理器,还包括:安全处理器,安全处理器,用于解密已加密密钥,保存解密得到的加密密钥。也即,虚拟机监视器在接收到虚拟机迁出设备发送的已加密密钥时,将该已加密密钥发送给安全处理器,由安全处理器对其进行解密,得到待迁移虚拟机的加密密钥。
作为一种实施方式,当待迁移数据为将待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用加密密钥和混淆主机物理地址的方式加密的数据时,此时,虚拟机迁出设备除了向虚拟机迁入设备的虚拟机监视器发送待迁移数据和加密密钥外,还需要向其发送加扰使所使用的主机物理地址(虚拟机迁出设备的主机物理地址),由于该待迁移数据为混淆虚拟机迁出设备的主机物理地址进行加扰的数据,因此虚拟机监视器不能直接将其写入物理内存中,此时,虚拟机监视器在接收到虚拟机迁出设备发送的待迁移数据、主机物理地址和加密密钥时,需要将该待迁移数据转交给安全处理器进行处理,进一步地,安全处理器,用于利用加密密钥和主机物理地址对待迁移数据进行解密和解扰,得到待迁移虚拟机的数据;以及将待迁移虚拟机的数据写入虚拟机迁入设备的物理内存。在这个过程中,由内存控制器对该待迁移虚拟机的数据进行加密。此时,加密所使用的密钥可以是待迁移虚拟机的加密密钥,也可以是其他的加密密钥。其中,需要说明的是,控制器或处理器(如上述的安全处理器或内核)在访问物理内存中的数据时,均是通过内存控制器来进行访问的,即通过内存控制器向内存写入数据,或者,通过内存控制器从内存中读取数据。
其中,上述的处理器可以是中央处理器(Central Processing Unit,CPU)、图形处理器(Graphics Processing Unit,GPU)、加速处理器(Accelerated Processing Unit)等,也还可以是其他类型的处理器,如网络处理器(Network Processor,NP)、应用处理器,当然在某些产品中,应用处理器就是CPU。
上述的内存用于暂时存放处理器需要的运算数据,以及与硬盘等外部存储器交换的数据,该内存可以是双倍速率同步动态随机存储器(Double Data Rate,DDR),也还可以是其他的存储器,如随机存取存储器(Random Access Memory,RAM),动态随机存储器(Dynamic Random Access Memory,DRAM)等。
其中,需要说明的是,本申请实施例中,虚拟机迁出设备以及虚拟机迁入设备中的处理器的内核的数量为至少一个,以提高运算能力及提高系统的稳定性等,即便是某个处理器核损坏时,也能保证稳定运行。至少一个处理器核上部署有虚拟机(软件)和虚拟机监视器(软件)。
其中,在该应用场景中的实施流程中,实施流程中涉及到的各个步骤的详细实施方式在前述系统实施例中已经作了详细介绍,为了说明书的简洁,在此不再重复介绍。
请参阅图2为本申请实施例提供的一种应用于基于安全虚拟化的虚拟机迁移系统中的虚拟机迁移方法,下面将结合图2对其所包含的步骤进行说明。
步骤S101:虚拟机迁出设备获取待迁移虚拟机的加密密钥以及获取待迁移虚拟机的内存页信息对应的待迁移数据。
步骤S102:虚拟机迁出设备向虚拟机迁入设备发送所述待迁移数据和加密密钥。
步骤S103:虚拟机迁入设备将所述待迁移数据写入所述虚拟机迁入设备的物理内存以及保存所述加密密钥。
其中,作为一种实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据,相应地,虚拟机迁入设备将待迁移数据写入所述虚拟机迁入设备的物理内存的实质为:虚拟机迁入设备将利用所述加密密钥加密的数据写入所述虚拟机迁入设备的物理内存。
作为又一种实施方式,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,此时,虚拟机迁出设备还需要向所述虚拟机迁入设备发送所述虚拟机物理地址,相应地,虚拟机迁入设备将待迁移数据写入所述虚拟机迁入设备的物理内存的实质为:虚拟机迁入设备将利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据写入所述虚拟机迁入设备的物理内存。
此外,虚拟机迁出设备还可以对加密密钥采用所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥进行加密后发送,此时虚拟机迁入设备在接收到加密的加密密钥后,对其进行解密,然后将其保存。
为了便于理解虚拟机迁移过程中虚拟机迁出设备以及虚拟机迁入设备中的虚拟机监视器和安全处理器的交互过程,可以参阅图3所示的流程图。其中,需要说明的是,图3所示的流程图仅是众多实施例中的一种,因此不能将其理解成是对本申请的限制。
请参阅图4,为本申请实施例提供的一种应用于基于安全虚拟化的虚拟机迁移系统中的虚拟机迁移方法,下面将结合图4对其所包含的步骤进行说明。
步骤S201:虚拟机迁出设备获取待迁移虚拟机的加密密钥、待迁移数据以及主机物理地址。
其中,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述主机物理地址的方式加密的数据。
步骤S202:虚拟机迁出设备向虚拟机迁入设备发送所述待迁移数据、所述加密密钥和所述主机物理地址。
步骤S203:虚拟机迁入设备基于所述加密密钥和所述主机物理地址对所述待迁移数据进行解密和解扰,得到待迁移虚拟机的数据。
步骤S204:虚拟机迁入设备将所述待迁移虚拟机的数据写入所述虚拟机迁入设备的物理内存。
为了便于理解虚拟机迁移过程中虚拟机迁出设备以及虚拟机迁入设备中的虚拟机监视器和安全处理器的交互过程,可以参阅图5所示的流程图。其中,需要说明的是,图5所示的流程图仅是众多实施例中的一种,因此不能将其理解成是对本申请的限制。
本申请实施例所提供的虚拟机迁移方法,其实现原理及产生的技术效果和前述装置实施例相同,为简要描述,方法实施例部分未提及之处,可参考前述装置实施例中相应内容。
本申请实施例还提供了一种非易失性计算机可读取存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备200运行时,执行上述方法实施例所示的虚拟机迁移方法。该存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (17)
1.一种虚拟机迁移方法,其特征在于,应用于虚拟机迁出设备,所述方法包括:
获取待迁移虚拟机的加密密钥,并向虚拟机迁入设备发送所述加密密钥;
获取所述待迁移虚拟机的内存页信息对应的待迁移数据,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;
向所述虚拟机迁入设备发送所述待迁移数据。
2.根据权利要求1所述的方法,其特征在于,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述方法还包括:
向所述虚拟机迁入设备发送所述虚拟机物理地址。
3.根据权利要求1所述的方法,其特征在于,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述虚拟机迁出设备的主机物理地址的方式加密的数据,所述方法还包括:
向所述虚拟机迁入设备发送所述主机物理地址。
4.根据权利要求1-3中任一项所述的方法,其特征在于,向虚拟机迁入设备发送所述加密密钥,包括:
对所述加密密钥加密,向所述虚拟机迁入设备发送加密后的所述加密密钥,其中,对所述加密密钥加密时所使用的密钥为所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥。
5.一种虚拟机迁移方法,其特征在于,应用于虚拟机迁入设备,所述方法包括:
接收虚拟机迁出设备发送的待迁移数据和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;
将所述待迁移数据写入所述虚拟机迁入设备的物理内存,其中,所述加密密钥还用于所述虚拟机迁入设备在访问所述待迁移数据时,对所述待迁移数据进行解密。
6.根据权利要求5所述的方法,其特征在于,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述方法还包括:
接收虚拟机迁出设备发送所述虚拟机物理地址,其中,所述虚拟机物理地址用于所述虚拟机迁入设备在访问所述待迁移数据时,对其进行解扰。
7.根据权利要求5或6所述的方法,其特征在于,接收虚拟机迁出设备发送的加密密钥,包括:
接收所述虚拟机迁出设备发送的已加密密钥;
通过解密所述已加密密钥,得到所述加密密钥。
8.一种虚拟机迁移方法,其特征在于,应用于虚拟机迁入设备,所述方法包括:
接收虚拟机迁出设备发送的待迁移数据、主机物理地址和加密密钥,待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述主机物理地址的方式加密的数据;
利用所述加密密钥和所述主机物理地址对所述待迁移数据进行解密和解扰,得到所述待迁移虚拟机的数据;
将所述待迁移虚拟机的数据写入所述虚拟机迁入设备的物理内存。
9.一种处理器,其特征在于,应用于虚拟机迁出设备,所述处理器包括:
内核,所述内核上部署有虚拟机监视器;
安全处理器,用于获取待迁移虚拟机的加密密钥,并将所述加密密钥发送给所述虚拟机监视器;
所述虚拟机监视器,用于获取所述待迁移虚拟机的内存页信息对应的待迁移数据,以及向虚拟机迁入设备发送所述待迁移数据和所述加密密钥,所述待迁移数据为将所述待迁移虚拟机的数据写入虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据。
10.根据权利要求9所述的处理器,其特征在于,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述虚拟机监视器,还用于向所述虚拟机迁入设备发送所述虚拟机物理地址。
11.根据权利要求9所述的处理器,其特征在于,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述虚拟机迁出设备的主机物理地址的方式加密的数据,所述虚拟机监视器,还用于向所述虚拟机迁入设备发送所述主机物理地址。
12.根据权利要求9-11中任一项所述的处理器,其特征在于,所述安全处理器,还用于对所述加密密钥加密,得到加密后的加密密钥,其中,对所述加密密钥加密时所使用的密钥为所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥。
13.一种处理器,其特征在于,虚拟机迁入设备,所述处理器包括:
内核,所述内核上部署有虚拟机监视器;
所述虚拟机监视器,用于接收虚拟机迁出设备发送的待迁移数据和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥加密的数据;
所述虚拟机监视器,还用于将所述待迁移数据写入所述虚拟机迁入设备的物理内存,其中,所述加密密钥还用于所述虚拟机迁入设备在访问所述待迁移数据时,对所述待迁移数据进行解密。
14.根据权利要求13所述的处理器,其特征在于,所述待迁移数据为将所述待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述待迁移虚拟机的虚拟机物理地址的方式加密的数据,所述虚拟机监视器,还用于接收虚拟机迁出设备发送所述虚拟机物理地址,其中,所述虚拟机物理地址用于所述虚拟机迁入设备在访问所述待迁移数据时,对其进行解扰。
15.根据权利要求13或14所述的处理器,其特征在于,所述虚拟机迁出设备发送的加密密钥为所述虚拟机迁入设备利用所述虚拟机迁入设备和所述虚拟机迁出设备之间约定的密钥加密的已加密密钥,所述处理器,还包括:安全处理器,所述安全处理器,用于解密所述已加密密钥,保存解密得到的加密密钥。
16.一种处理器,其特征在于,应用于虚拟机迁入设备,所述处理器包括:
内核,所述内核上部署有虚拟机监视器;
所述虚拟机监视器,用于接收虚拟机迁出设备发送的待迁移数据、主机物理地址和加密密钥,所述待迁移数据为将待迁移虚拟机的数据写入所述虚拟机迁出设备的物理内存的过程中利用所述加密密钥和混淆所述主机物理地址的方式加密的数据;
安全处理器,用于利用所述加密密钥和所述主机物理地址对所述待迁移数据进行解密和解扰,得到所述待迁移虚拟机的数据;
所述安全处理器,还用于将所述待迁移虚拟机的数据写入所述虚拟机迁入设备的物理内存。
17.一种电子设备,其特征在于,包括:内存和如权利要求9-12中任一项所述处理器,或者,如权利要求13-15中任一项所述的处理器,或者,如权利要求16所述的处理器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911343888.8A CN111124616B (zh) | 2019-12-23 | 2019-12-23 | 一种虚拟机迁移方法、处理器及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911343888.8A CN111124616B (zh) | 2019-12-23 | 2019-12-23 | 一种虚拟机迁移方法、处理器及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111124616A true CN111124616A (zh) | 2020-05-08 |
CN111124616B CN111124616B (zh) | 2023-08-08 |
Family
ID=70501589
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911343888.8A Active CN111124616B (zh) | 2019-12-23 | 2019-12-23 | 一种虚拟机迁移方法、处理器及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111124616B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111949372A (zh) * | 2020-08-17 | 2020-11-17 | 海光信息技术有限公司 | 一种虚拟机迁移方法、通用处理器及电子设备 |
CN112380070A (zh) * | 2020-12-04 | 2021-02-19 | 海光信息技术股份有限公司 | 一种虚拟机容错系统及其容错方法 |
CN112433817A (zh) * | 2020-11-27 | 2021-03-02 | 海光信息技术股份有限公司 | 信息配置方法、直接存储访问方法及相关装置 |
CN115189928A (zh) * | 2022-06-25 | 2022-10-14 | 中国人民解放军战略支援部队信息工程大学 | 一种密码服务虚拟机动态安全迁移方法及系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105700945A (zh) * | 2016-01-12 | 2016-06-22 | 中南大学 | 一种基于净室环境的虚拟机安全迁移方法 |
US20160323098A1 (en) * | 2015-04-28 | 2016-11-03 | United States Government As Represented By The Secretary Of The Navy | System and Method for High-Assurance Data Storage and Processing based on Homomorphic Encryption |
CN106095525A (zh) * | 2016-06-06 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全防护方法 |
CN106341228A (zh) * | 2016-11-01 | 2017-01-18 | 广东浪潮大数据研究有限公司 | 一种虚拟机迁移方法、系统及虚拟机迁入端和迁出端 |
US9712503B1 (en) * | 2015-03-23 | 2017-07-18 | Amazon Technologies, Inc. | Computing instance migration |
CN107294710A (zh) * | 2017-06-30 | 2017-10-24 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
CN108509250A (zh) * | 2017-02-28 | 2018-09-07 | 英特尔公司 | 具有受保护的访客机验证主机控制的安全公共云 |
CN109165080A (zh) * | 2018-08-10 | 2019-01-08 | 云宏信息科技股份有限公司 | 虚拟机在线迁移过程内存数据的保护方法、装置及物理机 |
CN110515863A (zh) * | 2018-05-22 | 2019-11-29 | 东芝存储器株式会社 | 控制非易失性存储器的存储系统以及方法 |
-
2019
- 2019-12-23 CN CN201911343888.8A patent/CN111124616B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9712503B1 (en) * | 2015-03-23 | 2017-07-18 | Amazon Technologies, Inc. | Computing instance migration |
US20160323098A1 (en) * | 2015-04-28 | 2016-11-03 | United States Government As Represented By The Secretary Of The Navy | System and Method for High-Assurance Data Storage and Processing based on Homomorphic Encryption |
CN105700945A (zh) * | 2016-01-12 | 2016-06-22 | 中南大学 | 一种基于净室环境的虚拟机安全迁移方法 |
CN106095525A (zh) * | 2016-06-06 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全防护方法 |
CN106341228A (zh) * | 2016-11-01 | 2017-01-18 | 广东浪潮大数据研究有限公司 | 一种虚拟机迁移方法、系统及虚拟机迁入端和迁出端 |
CN108509250A (zh) * | 2017-02-28 | 2018-09-07 | 英特尔公司 | 具有受保护的访客机验证主机控制的安全公共云 |
CN107294710A (zh) * | 2017-06-30 | 2017-10-24 | 浪潮(北京)电子信息产业有限公司 | 一种vTPM2.0的密钥迁移方法及装置 |
CN110515863A (zh) * | 2018-05-22 | 2019-11-29 | 东芝存储器株式会社 | 控制非易失性存储器的存储系统以及方法 |
CN109165080A (zh) * | 2018-08-10 | 2019-01-08 | 云宏信息科技股份有限公司 | 虚拟机在线迁移过程内存数据的保护方法、装置及物理机 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111949372A (zh) * | 2020-08-17 | 2020-11-17 | 海光信息技术有限公司 | 一种虚拟机迁移方法、通用处理器及电子设备 |
CN111949372B (zh) * | 2020-08-17 | 2021-07-06 | 海光信息技术股份有限公司 | 一种虚拟机迁移方法、通用处理器及电子设备 |
CN112433817A (zh) * | 2020-11-27 | 2021-03-02 | 海光信息技术股份有限公司 | 信息配置方法、直接存储访问方法及相关装置 |
CN112433817B (zh) * | 2020-11-27 | 2022-11-25 | 海光信息技术股份有限公司 | 信息配置方法、直接存储访问方法及相关装置 |
CN112380070A (zh) * | 2020-12-04 | 2021-02-19 | 海光信息技术股份有限公司 | 一种虚拟机容错系统及其容错方法 |
CN115189928A (zh) * | 2022-06-25 | 2022-10-14 | 中国人民解放军战略支援部队信息工程大学 | 一种密码服务虚拟机动态安全迁移方法及系统 |
CN115189928B (zh) * | 2022-06-25 | 2023-10-17 | 中国人民解放军战略支援部队信息工程大学 | 一种密码服务虚拟机动态安全迁移方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111124616B (zh) | 2023-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111124616B (zh) | 一种虚拟机迁移方法、处理器及电子设备 | |
CN108599930B (zh) | 固件加解密系统与方法 | |
US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
EP3355232B1 (en) | Input/output data encryption | |
US20080285747A1 (en) | Encryption-based security protection method for processor and apparatus thereof | |
CN111949372B (zh) | 一种虚拟机迁移方法、通用处理器及电子设备 | |
JP2009518742A (ja) | マイクロコントローラにおけるデータの安全な取扱いのための方法および装置 | |
US9256756B2 (en) | Method of encryption and decryption for shared library in open operating system | |
CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
CN108491724A (zh) | 一种基于硬件的计算机接口加密装置及方法 | |
US11735319B2 (en) | Method and system for processing medical data | |
CN110650191A (zh) | 一种分布式存储系统的数据读写方法 | |
CN111177773B (zh) | 一种基于网卡rom的全盘加解密方法及系统 | |
KR20080029687A (ko) | 암호화 기능이 내장된 메모리를 이용한 고속 대용량의암호화 장치 및 그 구현 방법 | |
CN101447009A (zh) | 软件安装方法、装置及系统 | |
CN110955904B (zh) | 一种数据加密方法、数据解密方法、处理器及计算机设备 | |
CN111124956B (zh) | 一种容器保护方法、处理器、操作系统及计算机设备 | |
CN111159726B (zh) | 一种基于uefi环境变量的全盘加解密方法及系统 | |
CN110020533B (zh) | 一种vr资源的安全保护方法及终端 | |
CN103530169A (zh) | 虚拟机文件保护方法和用户终端 | |
CN111290830B (zh) | 一种虚拟机迁移方法、处理器及电子设备 | |
CN106570410B (zh) | 一种数据的加密方法、解密方法、装置和系统 | |
CN111159737A (zh) | 一种基于sgx的图像数据保护方法、装置、设备和存储介质 | |
CN110837627A (zh) | 一种基于硬盘序列号的软件版权认证方法、系统和设备 | |
CN111475844A (zh) | 一种数据共享方法、装置、设备及计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 300450 Tianjin Binhai New Area Huayuan Industrial Zone Haitai West Road 18 North 2-204 Industrial Incubation-3-8 Applicant after: Haiguang Information Technology Co.,Ltd. Address before: 1809-1810, block B, blue talent port, No.1, Intelligent Island Road, high tech Zone, Qingdao, Shandong Province Applicant before: HAIGUANG INFORMATION TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |