CN111158854A - 一种云环境虚拟机迁移时信任链的恢复方法 - Google Patents
一种云环境虚拟机迁移时信任链的恢复方法 Download PDFInfo
- Publication number
- CN111158854A CN111158854A CN201911316410.6A CN201911316410A CN111158854A CN 111158854 A CN111158854 A CN 111158854A CN 201911316410 A CN201911316410 A CN 201911316410A CN 111158854 A CN111158854 A CN 111158854A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- machine
- trusted
- vtpcm
- physical machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013508 migration Methods 0.000 title claims abstract description 99
- 230000005012 migration Effects 0.000 title claims abstract description 99
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000011084 recovery Methods 0.000 claims abstract description 34
- 230000003068 static effect Effects 0.000 claims abstract description 21
- 230000002085 persistent effect Effects 0.000 claims description 25
- 238000012795 verification Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 16
- 238000005259 measurement Methods 0.000 claims description 12
- 230000007246 mechanism Effects 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 23
- JBWKIWSBJXDJDT-UHFFFAOYSA-N triphenylmethyl chloride Chemical compound C=1C=CC=CC=1C(C=1C=CC=CC=1)(Cl)C1=CC=CC=C1 JBWKIWSBJXDJDT-UHFFFAOYSA-N 0.000 abstract 2
- 238000005516 engineering process Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006266 hibernation Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45575—Starting, stopping, suspending or resuming virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种云环境虚拟机迁移时信任链的恢复方法,恢复方法包括:S1、当可信虚拟机以动态迁移模式从源物理机迁移至目的物理机时,根据动态恢复模式建立可信虚拟机与目的物理机之间的信任链;S2、当可信虚拟机以静态迁移模式从源物理机迁移至目的物理机时,根据静态恢复模式建立可信虚拟机与目的物理机之间的信任链。本发明针对动态迁移和静态迁移两种不同模式的虚拟机迁移过程,断裂虚拟机与源物理机的TPCM之间的信任链,重新建立虚拟机与目的物理机的TPCM之间的信任链,重新恢复迁移虚拟机的物理可信基础。
Description
技术领域
本发明涉及虚拟机信任链技术领域,具体涉及一种云环境虚拟机迁移时信任链的恢复方法。
背景技术
现今云计算技术迅猛发展,已经成为国内外互联网行业的研究热点。作为一种新型计算模式,它以资源租用、应用托管、服务外包为核心,把IT资源、数据、应用作为服务通过互联网提供给云租户。云环境中,通过物理机上的虚拟机为云租户提供业务服务。目前,虚拟机迁移技术主要是指虚拟机动态迁移技术,虚拟机动态迁移技术可以在保持虚拟机运行的同时,把其从一台源物理机迁移到目的物理机,并在目的物理机上恢复运行,从而保证迁移过程对用户是透明的。对可信虚拟机来说,通过信任链的建立和传递方法建立起从硬件TPCM到虚拟机的信任链。由于虚拟机迁移过程使得虚拟机脱离了原有的物理TPCM,之前建立的信任链发生断裂,需要重新恢复迁移虚拟机的物理可信基础。
发明内容
针对现有技术中存在的缺陷,本发明的目的在于提供一种云环境虚拟机迁移时信任链的恢复方法,。
为实现上述目的,本发明采用的技术方案如下:
一种云环境虚拟机迁移时信任链的恢复方法,所述恢复方法包括:
S1、当可信虚拟机以动态迁移模式从源物理机迁移至目的物理机时,根据动态恢复模式建立所述可信虚拟机与所述目的物理机之间的信任链;
S2、当所述可信虚拟机以静态迁移模式从所述源物理机迁移至所述目的物理机时,根据静态恢复模式建立所述可信虚拟机与所述目的物理机之间的信任链。
进一步,如上所述的恢复方法,步骤S1包括:
A1、所述目的物理机创建空壳的第一虚拟机及第一vTPCM,启动所述第一虚拟机及所述第一vTPCM;
A2、所述目的物理机建立自身的可信基础软件与所述第一虚拟机对应的第一虚拟机监控器之间的信任链,以及所述第一虚拟机监控器与所述第一vTPCM之间的信任链;
A3、所述目的物理机暂停所述第一虚拟机及所述第一vTPCM;
A4、在所述可信虚拟机以所述动态迁移模式从所述源物理机迁移至所述目的物理机的所述第一虚拟机之后,恢复运行所述第一虚拟机及所述第一vTPCM。
进一步,如上所述的恢复方法,步骤A2包括:
所述目的物理机通过自身的可信基础软件的可信支撑机制对所述第一虚拟机监控器的代码及虚拟机配置信息进行度量验证,验证通过后,将控制权转移给所述第一虚拟机监控器;
所述目的物理机通过所述第一虚拟机监控器对所述第一vTPCM进行代码度量和完整性验证,验证通过后,将控制权转移给所述第一vTPCM。
进一步,如上所述的恢复方法,步骤S1包括:
B1、在所述目的物理机恢复运行所述第一虚拟机及所述第一vTPCM之后,所述源物理机清除所述可信虚拟机对应的虚拟机监控器与所述可信虚拟机的vTPCM之间的信任链;
B2、所述源物理机关闭所述可信虚拟机对应的虚拟机监控器,清除自身的可信基础软件与所述可信虚拟机对应的虚拟机监控器之间的信任链;
B3、在所述可信虚拟机迁移结束后,所述源物理机断开连接。
进一步,如上所述的恢复方法,步骤S2包括:
C1、所述目的物理机接收所述源物理机传输的VM镜像文件及vTPCM持久化存储文件;
C2、所述目的物理机对所述VM镜像文件及所述vTPCM持久化存储文件的完整性、机密性、来源的可靠性、新鲜性进行验证,验证通过后,创建所述VM镜像文件对应的第二虚拟机和所述vTPCM持久化存储文件对应的第二vTPCM;
C3、所述目的物理机建立自身的可信基础软件与所述第二虚拟机对应的第二虚拟机监控器之间的信任链,以及所述第二虚拟机监控器与所述第二vTPCM之间的信任链;
C4、所述目的物理机运行所述第二虚拟机及所述第二vTPCM。
进一步,如上所述的恢复方法,步骤C3包括:
所述目的物理机通过自身的可信基础软件的可信支撑机制对所述第二虚拟机监控器的代码及虚拟机配置信息进行度量验证,验证通过后,将控制权转移给所述第二虚拟机监控器;
所述目的物理机通过所述第二虚拟机监控器对所述第二vTPCM进行代码度量和完整性验证,验证通过后,将控制权转移给所述第二vTPCM。
进一步,如上所述的恢复方法,步骤S2包括:
D1、所述源物理机在所述可信虚拟机的当前任务执行完毕后,保存所述可信虚拟机的VM镜像文件及vTPCM持久化存储文件,结束运行所述可信虚拟机;
D2、所述源物理机将所述VM镜像文件及所述vTPCM持久化存储文件传输至所述目的物理机;
D3、在所述目的物理机运行所述第二虚拟机及所述第二vTPCM之后,所述源物理机清除所述VM镜像文件及所述vTPCM持久化存储文件。
进一步,如上所述的恢复方法,在步骤S1和S2之前,还包括:
对所述源物理机和所述目的物理机的身份、可信状态进行验证,验证通过后,通信双方协商会话密钥,建立安全连接通道。
一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行本发明所述一种云环境虚拟机迁移时信任链的恢复方法。
一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行本发明所述的一种云环境虚拟机迁移时信任链的恢复方法。
本发明的有益效果在于:本发明针对动态迁移和静态迁移两种不同模式的虚拟机迁移过程,断裂虚拟机与源物理机的TPCM之间的信任链,重新建立虚拟机与目的物理机的TPCM之间的信任链,重新恢复迁移虚拟机的物理可信基础。
附图说明
图1为本发明实施例一中提供的一种云环境虚拟机迁移时信任链的恢复方法的流程示意图;
图2为本发明实施例一中提供的一种云环境虚拟机迁移时信任链的恢复方法的框架示意图;
图3为本发明实施例五中提供的可信虚拟机动态迁移过程的流程示意图;
图4为本发明实施例五中提供的可信虚拟机动态迁移时信任链恢复方法的流程示意图;
图5为本发明实施例六中提供的可信虚拟机静态迁移过程的流程示意图;
图6为本发明实施例六中提供的可信虚拟机动态迁移时信任链恢复方法的流程示意图。
具体实施方式
下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。
本发明提供的一种云环境虚拟机迁移时信任链的恢复方法是基于可信云系统实现的,可信云系统包括:云平台系统和租户业务系统,云平台系统,包括可信平台控制模块TPCM、物理机可信基础软件以及可信计算虚拟化支撑平台,通过TPCM和物理机可信基础软件保障底层云平台服务的安全运行,通过可信计算虚拟化支撑平台为每个虚拟机提供虚拟可信平台控制模块VTPCM;租户业务系统,包括虚拟机可信基础软件,虚拟机可信基础软件用于在VTPCM支撑下对虚拟机可信计算环境进行主动防护。
云平台系统可信架构技术原理如下:
1)通过物理TPCM和物理机可信基础软件保障物理计算环境可信。
云环境物理节点的信任链和可信环境建立方式与普通物理网络并无差别。每个物理节点包括计算节点(为虚拟机提供计算能力的节点)和非计算节点,都配置TPCM物理芯片。TPCM芯片一般镶嵌在系统主板上,并具有物理保护功能。通过主板电路设计,物理芯片在系统启动时,主动度量系统启动代码的初始部分(一般是BIOS固件),再由度量过的启动代码逐级度量下一级启动代码,直到操作系统和可信基础软件机启动。至此完成并通过信任链建立。之后可信基础软件以TPCM芯片的为支撑,保障物理节点和物理网络环境的可信。
2)物理计算环境可信保障云平台服务和虚机运行环境可信。
可信基础软件和物理TPCM芯片协同工作,保障了物理计算环境可信,并可以根据策略对云环境各种服务进行度量,保障他们在启动之前和运行过程中始终处于可信状态,并可以让外部系统和管理平台监控运行环境的可信状态。
云环境虚拟化系统部件是虚机运行的基础。云环境虚拟化系统部件也是物理机的软件,它们由物理机可信环境提供可信保障。
3)为每个虚机建立虚拟VTPCM,为虚机可信提供支撑。
通过虚拟化技术,模拟一个虚拟的TPCM(VTPCM)作为虚机的可信根。VTPCM以物理TPCM提供的硬件保障为基础,VTPCM本身作为物理机的软件被物理机可信软件基度量监控。与物理TPCM类似,VTPCM主动度量虚拟机启动过程的部件,逐步建立虚拟机可信的信任链,直到可信软件基启动,这样信任链传递到虚拟机内部;VTPCM所有涉及虚机计算的密码部分,VT都转发给物理TPCM执行和保存,虚拟TPCM具有与物理TPCM同等功能和安全性。
虚拟机相对物理机有不同的生命周期管理,需要一个特有的控制模块,以便处理虚拟机的启动、暂停、休眠、关闭、恢复执行、迁移等活动。
4)虚拟机内部可信基础软件以VTPCM为支持,保障虚拟机计算环境可信。
与物理计算环境类似,虚拟机计算环境可信由虚拟机内部可信基础软件利用VTPCM的支撑进行保护。虚拟机内部可信软件基与物理机可信软件机完全相同,只是部分虚拟化支持的功能不会生效。虚拟机内部可信基础软件并不直到自己在虚拟机中执行,VTPCM对可信基础软件而言是真实的TPCM。
虚拟机内部可信基础软件通过各种度量监控虚拟机运行时刻的安全可信,必要时将任务委托给VTPCM处理。
5)物理TPCM增加上下文管理,区分物理节点和多个虚拟节点的命令处理
为区分处理多个虚拟节点和物理节点的可行命令处理,物理TPCM增加上下文管理,为物理节点和和多个虚拟节建立不同上下文,保存命令队列和已加载的密钥,来自物理节点和多个节点的命令有不同的标识(物理机的命令标识为空值),以区分采用哪个上下文,TPCM为来之不同节点的命令进行合理调度,保障适当的公平、减少命令响应时间。
虚拟节点的上下文可创建、删除、暂停使用。也可保存到外部以便减少TPCM内部资源的使用,在必要时可加载已保存的上下文,配合虚机暂停、休眠/恢复、停止/启动、迁移等。
6)可信基础软件增加虚机上下文管理接口,修改命令格式。
可信基础软件的可信支持机制中增加虚机上下文管理接口,当虚机启动、暂停、休眠、关闭、恢复执行、迁移时,VTPCM会调用相应的上下文管理接口。
修改命令格式,来自物理节点和多个节点的命令有不同的标识,以便隔离物理机及不同虚拟机的命令。
7)VMM中虚机迁移过程中增加可行相关迁移。
在原有迁移过程中增加可信相关迁移,主要包括两部分:
迁移可信数据以便迁移后可信相关部件恢复原有工作。
迁移过程中利用可信机制保障可信数据和用户数据的安全。
迁移可信数据主要包括TPCM内部虚机上下文(主要是已加载密钥)的迁移、VTPCM运行时状态迁移、VTPCM离线数据迁移、密钥树迁移。VTPCM离线数据包括持久状态配置、密钥(通过物理TPCM保护存储)、基准、策略。虚机内部也包括可信数据,这部分数据随虚机快照迁移,不用单独处理。迁移可信数据主要是在原有迁移过程中增加可信相关数据的迁移。包括获取保存可信数据、传输可信数据、恢复执行可信数据。密钥树迁移需要保障原因密钥在目标环境种可以重新加载运行,需要双方物理TPCM协同完成迁移。
迁移过程数据安全是利用可信机制,对可信数据和用户数据进行加密和完整性保护,以便保证可信数据和用户数据不泄露,不被篡改。
对可信虚拟机来说,通过信任链的建立和传递方法建立起从硬件TPCM到虚拟机的信任链。由于虚拟机迁移过程使得虚拟机脱离了原有的物理TPCM,之前建立的信任链发生断裂,需要重新恢复迁移虚拟机的物理可信基础。
实施例一
如图1所示,一种云环境虚拟机迁移时信任链的恢复方法,恢复方法包括:
S1、当可信虚拟机以动态迁移模式从源物理机迁移至目的物理机时,根据动态恢复模式建立可信虚拟机与目的物理机之间的信任链;
S2、当可信虚拟机以静态迁移模式从源物理机迁移至目的物理机时,根据静态恢复模式建立可信虚拟机与目的物理机之间的信任链。
在步骤S1和S2之前,还包括:
对源物理机和目的物理机的身份、可信状态进行验证,验证通过后,通信双方协商会话密钥,建立安全连接通道。
当虚拟机执行迁移操作后,由于虚拟机对应的物理TPCM发生变化,迁移虚拟机与目的物理机之间的信任关系未建立,与源物理机之间的信任关系发生断裂(图2中使用“×”标示)。因此需要在目的物理机上恢复该虚拟机与硬件TPCM间的信任关系,恢复该迁移虚拟机断裂的信任链(图2中使用“√”标示)。
可信虚拟机迁移包括动态迁移和静态迁移两种模式,动态迁移适用于租户业务时间连续性要求高的场景,静态迁移适用于租户业务时间连续性要求不高的场景。本发明针对两种不同模式的虚拟机迁移过程,重新恢复虚拟机与硬件TPCM之间的信任链,断裂虚拟机与源物理机的TPCM之间的信任链,重新建立虚拟机与目的物理机的TPCM之间的信任链,重新恢复迁移虚拟机的物理可信基础。
实施例二
下面描述动态恢复模式下以目的物理机为执行主体的可信虚拟机与硬件TPCM之间的信任链恢复过程。
实施例一的步骤S1包括:
A1、目的物理机创建空壳的第一虚拟机及第一vTPCM,启动第一虚拟机及第一vTPCM;
A2、目的物理机建立自身的可信基础软件与第一虚拟机对应的第一虚拟机监控器之间的信任链,以及第一虚拟机监控器与第一vTPCM之间的信任链;
步骤A2包括:
目的物理机通过自身的可信基础软件的可信支撑机制对第一虚拟机监控器的代码及虚拟机配置信息进行度量验证,验证通过后,将控制权转移给第一虚拟机监控器;
目的物理机通过第一虚拟机监控器对第一vTPCM进行代码度量和完整性验证,验证通过后,将控制权转移给第一vTPCM。
A3、目的物理机暂停第一虚拟机及第一vTPCM;
A4、在可信虚拟机以动态迁移模式从源物理机迁移至目的物理机的第一虚拟机之后,恢复运行第一虚拟机及第一vTPCM。
实施例三
下面描述动态恢复模式下以源物理机为执行主体的可信虚拟机与硬件TPCM之间的信任链恢复过程。
实施例一的步骤S1包括:
B1、在目的物理机恢复运行第一虚拟机及第一vTPCM之后,源物理机清除可信虚拟机对应的虚拟机监控器与可信虚拟机的vTPCM之间的信任链;
B2、源物理机关闭可信虚拟机对应的虚拟机监控器,清除自身的可信基础软件与可信虚拟机对应的虚拟机监控器之间的信任链;
B3、在可信虚拟机迁移结束后,源物理机断开连接。
实施例四
下面描述静态恢复模式下以目的物理机为执行主体的可信虚拟机与硬件TPCM之间的信任链恢复过程。
实施例一的步骤S2包括:
C1、目的物理机接收源物理机传输的VM镜像文件及vTPCM持久化存储文件;
C2、目的物理机对VM镜像文件及vTPCM持久化存储文件的完整性、机密性、来源的可靠性、新鲜性进行验证,验证通过后,创建VM镜像文件对应的第二虚拟机和vTPCM持久化存储文件对应的第二vTPCM;
C3、目的物理机建立自身的可信基础软件与第二虚拟机对应的第二虚拟机监控器之间的信任链,以及第二虚拟机监控器与第二vTPCM之间的信任链;
步骤C3包括:
目的物理机通过自身的可信基础软件的可信支撑机制对第二虚拟机监控器的代码及虚拟机配置信息进行度量验证,验证通过后,将控制权转移给第二虚拟机监控器;
目的物理机通过第二虚拟机监控器对第二vTPCM进行代码度量和完整性验证,验证通过后,将控制权转移给第二vTPCM。
C4、目的物理机运行第二虚拟机及第二vTPCM。
实施例四
下面描述静态恢复模式下以源物理机为执行主体的可信虚拟机与硬件TPCM之间的信任链恢复过程。
实施例一的步骤S2包括:
D1、源物理机在可信虚拟机的当前任务执行完毕后,保存可信虚拟机的VM镜像文件及vTPCM持久化存储文件,结束运行可信虚拟机;
D2、源物理机将VM镜像文件及vTPCM持久化存储文件传输至目的物理机;
D3、在目的物理机运行第二虚拟机及第二vTPCM之后,源物理机清除VM镜像文件及vTPCM持久化存储文件。
实施例五
下面描述以目的物理机和源物理机为执行主体的可信虚拟机的迁移过程,以及与硬件TPCM之间的信任链恢复过程。
如图3所示,可信虚拟机动态迁移流程具体说明如下:
1)建立迁移连接通道。在迁移前,源物理机迁移进程需要验证目的物理机的安全状态,确认对方身份并验证目的物理机可信状态。验证通过后,通信双方需要协商会话密钥,建立安全连接通道。
2)目的物理机创建空壳的第一虚拟机及第一vTPCM。在第一虚拟机及第一vTPCM中初始化对应的内存数据结构。之后暂停第一虚拟机及第一vTPCM,留待后续接收源物理机相关内存数据信息。
3)VM实例文件传输。通过脏页重传机制,传输VM内存状态数据及VM镜像文件,当剩余VM脏页数量小于阀值时,暂停虚拟机及vTPCM。
4)传输余下的VM内存状态数据及VM镜像文件。
5)在源物理机上保存VM设备状态,传输VM设备状态,之后在目的物理机上验证并加载VM设备状态。
6)传输vTPCM持久化存储文件。
7)在源物理机上保存及传输vTPCM设备状态,在目的物理机上验证并加载vTPCM设备状态。
8)传输vTPCM上下文及vTPCM已加载密钥。在源物理机上保存vTPCM上下文及vTPCM已加载密钥,之后将其传输到目的物理机,最后在目的物理机上验证并加载vTPCM上下文及vTPCM已加载密钥。
9)在目的物理机恢复第一虚拟机及第一vTPCM。
10)当可信虚拟机及vTPCM正常迁移完毕后,断开迁移连接,结束迁移过程。
如图4所示,可信虚拟机动态迁移时信任链恢复流程具体说明如下:
1)执行可信虚拟机动态迁移流程,在目的物理机启动空壳的第一虚拟机。
2)建立目的物理机TSB到VMM的信任链。可信支撑机制度量验证VMM代码及虚拟机配置信息后,将控制权交给VMM。
3)建立VMM到vTPCM的信任链。VMM度量vTPCM代码段,验证vTPCM完整性后,将控制权交给vTPCM组件。
4)完成可信虚拟机动态迁移流程,在目的物理机成功启动第一虚拟机。
5)在源物理机迁移vTPCM,清除VMM到vTPCM的信任链。
6)在源物理机关闭可信虚拟机对应的VMM,清除TSB到VMM的信任链。
7)迁移结束,断开连接。
实施例六
下面描述以目的物理机和源物理机为执行主体的可信虚拟机的迁移过程,以及与硬件TPCM之间的信任链恢复过程。
如图5所示,可信虚拟机静态迁移流程具体说明如下:
1)迁移准备工作。在静态迁移前,对源物理机与目的物理机进行身份验证,检测目的物理机的可信状态,交换迁移所需的密钥。
2)源物理机虚拟机运行状态保存。虚拟机当前任务执行完毕后,保存虚拟机持久化信息后,结束虚拟机运行。
3)使用源物理机密钥、目的物理机密钥、会话密钥、Nonce值等加密VM镜像文件及vTPCM持久化存储文件。
4)安全传输加密后的VM镜像文件及vTPCM持久化存储文件到目的物理机。
5)在目的物理机上验证VM镜像文件及vTPCM持久化存储文件完整性、机密性及来源的可靠性和新鲜性。
6)目的物理机上虚拟机运行状态恢复。
7)源物理机上VM镜像文件及vTPCM持久化存储文件清除。
8)静态迁移结束。
如图6所示,可信虚拟机静态迁移信任链恢复流程具体说明如下:
1)执行可信虚拟机静态迁移流程,完成可信虚拟机信息保存及目的物理机上虚拟机完整性、机密性、可靠性及新鲜性。
2)在目的物理机上建立TSB到虚拟机对应的VMM信任链,启动虚拟机对应的VMM,将控制权交给VMM。
3)建立目的物理机上建立VMM到vTPCM的信任链。VMM度量vTPCM代码段,验证vTPCM完整性后,将控制权交给vTPCM组件。
4)目的物理机上虚拟机加载运行后,在源物理机上清除VM镜像文件及vTPCM实例文件,完成虚拟机静态迁移。
实施例七
本发明还提供一种存储介质,存储介质中存储有计算机程序,其中,计算机程序运行时可以执行本发明的一种云环境虚拟机迁移时信任链的恢复方法。该存储介质包括以下至少之一:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、MMC卡、SM卡、记忆棒(MemoryStick)、xD卡等,将本发明的一种云环境虚拟机迁移时信任链的恢复方法转化成数据(计算机程序)刻录到上述存储介质中,比如将刻有本发明方法的计算机程序的硬盘放入电脑运行,则可以实现本发明的方法。
实施例八
本发明还提供一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行本发明的一种云环境虚拟机迁移时信任链的恢复方法。该存储器属于实施例七中的存储介质,能够存储本发明方法的计算机程序,该处理器可以对存储器中的数据进行处理,该电子装置可以是计算机、手机或者其他包括存储器和处理器的任何装置。在计算机启动后,启动处理器运行存储器中的本发明方法的计算机程序,则可以实现本发明的方法。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种云环境虚拟机迁移时信任链的恢复方法,其特征在于,所述恢复方法包括:
S1、当可信虚拟机以动态迁移模式从源物理机迁移至目的物理机时,根据动态恢复模式建立所述可信虚拟机与所述目的物理机之间的信任链;
S2、当所述可信虚拟机以静态迁移模式从所述源物理机迁移至所述目的物理机时,根据静态恢复模式建立所述可信虚拟机与所述目的物理机之间的信任链。
2.根据权利要求1所述的恢复方法,其特征在于,步骤S1包括:
A1、所述目的物理机创建空壳的第一虚拟机及第一vTPCM,启动所述第一虚拟机及所述第一vTPCM;
A2、所述目的物理机建立自身的可信基础软件与所述第一虚拟机对应的第一虚拟机监控器之间的信任链,以及所述第一虚拟机监控器与所述第一vTPCM之间的信任链;
A3、所述目的物理机暂停所述第一虚拟机及所述第一vTPCM;
A4、在所述可信虚拟机以所述动态迁移模式从所述源物理机迁移至所述目的物理机的所述第一虚拟机之后,恢复运行所述第一虚拟机及所述第一vTPCM。
3.根据权利要求2所述的恢复方法,其特征在于,步骤A2包括:
所述目的物理机通过自身的可信基础软件的可信支撑机制对所述第一虚拟机监控器的代码及虚拟机配置信息进行度量验证,验证通过后,将控制权转移给所述第一虚拟机监控器;
所述目的物理机通过所述第一虚拟机监控器对所述第一vTPCM进行代码度量和完整性验证,验证通过后,将控制权转移给所述第一vTPCM。
4.根据权利要求2所述的恢复方法,其特征在于,步骤S1包括:
B1、在所述目的物理机恢复运行所述第一虚拟机及所述第一vTPCM之后,所述源物理机清除所述可信虚拟机对应的虚拟机监控器与所述可信虚拟机的vTPCM之间的信任链;
B2、所述源物理机关闭所述可信虚拟机对应的虚拟机监控器,清除自身的可信基础软件与所述可信虚拟机对应的虚拟机监控器之间的信任链;
B3、在所述可信虚拟机迁移结束后,所述源物理机断开连接。
5.根据权利要求1所述的恢复方法,其特征在于,步骤S2包括:
C1、所述目的物理机接收所述源物理机传输的VM镜像文件及vTPCM持久化存储文件;
C2、所述目的物理机对所述VM镜像文件及所述vTPCM持久化存储文件的完整性、机密性、来源的可靠性、新鲜性进行验证,验证通过后,创建所述VM镜像文件对应的第二虚拟机和所述vTPCM持久化存储文件对应的第二vTPCM;
C3、所述目的物理机建立自身的可信基础软件与所述第二虚拟机对应的第二虚拟机监控器之间的信任链,以及所述第二虚拟机监控器与所述第二vTPCM之间的信任链;
C4、所述目的物理机运行所述第二虚拟机及所述第二vTPCM。
6.根据权利要求5所述的恢复方法,其特征在于,步骤C3包括:
所述目的物理机通过自身的可信基础软件的可信支撑机制对所述第二虚拟机监控器的代码及虚拟机配置信息进行度量验证,验证通过后,将控制权转移给所述第二虚拟机监控器;
所述目的物理机通过所述第二虚拟机监控器对所述第二vTPCM进行代码度量和完整性验证,验证通过后,将控制权转移给所述第二vTPCM。
7.根据权利要求5所述的恢复方法,其特征在于,步骤S2包括:
D1、所述源物理机在所述可信虚拟机的当前任务执行完毕后,保存所述可信虚拟机的VM镜像文件及vTPCM持久化存储文件,结束运行所述可信虚拟机;
D2、所述源物理机将所述VM镜像文件及所述vTPCM持久化存储文件传输至所述目的物理机;
D3、在所述目的物理机运行所述第二虚拟机及所述第二vTPCM之后,所述源物理机清除所述VM镜像文件及所述vTPCM持久化存储文件。
8.根据权利要求1所述的恢复方法,其特征在于,在步骤S1和S2之前,还包括:
对所述源物理机和所述目的物理机的身份、可信状态进行验证,验证通过后,通信双方协商会话密钥,建立安全连接通道。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至8任一项中所述一种云环境虚拟机迁移时信任链的恢复方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至8任一项中所述的一种云环境虚拟机迁移时信任链的恢复方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911316410.6A CN111158854A (zh) | 2019-12-19 | 2019-12-19 | 一种云环境虚拟机迁移时信任链的恢复方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911316410.6A CN111158854A (zh) | 2019-12-19 | 2019-12-19 | 一种云环境虚拟机迁移时信任链的恢复方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111158854A true CN111158854A (zh) | 2020-05-15 |
Family
ID=70557379
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911316410.6A Pending CN111158854A (zh) | 2019-12-19 | 2019-12-19 | 一种云环境虚拟机迁移时信任链的恢复方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111158854A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115002181A (zh) * | 2022-07-22 | 2022-09-02 | 北京工业大学 | 一种虚拟可信根及其虚拟信任链方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109101319A (zh) * | 2018-08-09 | 2018-12-28 | 郑州云海信息技术有限公司 | 一种在qemu上实现tpcm全虚拟化的平台及其工作方法 |
| CN109684044A (zh) * | 2019-01-03 | 2019-04-26 | 北京工业大学 | 静态迁移过程中虚拟机与vTPCM的绑定方法 |
| CN109684037A (zh) * | 2018-12-18 | 2019-04-26 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移方法 |
| CN109710386A (zh) * | 2019-01-03 | 2019-05-03 | 北京工业大学 | 一种虚拟机的虚拟可信根实例的整体动态迁移方法 |
| CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
| CN109783474A (zh) * | 2019-01-08 | 2019-05-21 | 北京工业大学 | 虚拟可信根实例及其自身状态数据的安全迁移方法 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
| CN110012074A (zh) * | 2019-03-12 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
-
2019
- 2019-12-19 CN CN201911316410.6A patent/CN111158854A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109101319A (zh) * | 2018-08-09 | 2018-12-28 | 郑州云海信息技术有限公司 | 一种在qemu上实现tpcm全虚拟化的平台及其工作方法 |
| CN109684037A (zh) * | 2018-12-18 | 2019-04-26 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移方法 |
| CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
| CN109684044A (zh) * | 2019-01-03 | 2019-04-26 | 北京工业大学 | 静态迁移过程中虚拟机与vTPCM的绑定方法 |
| CN109710386A (zh) * | 2019-01-03 | 2019-05-03 | 北京工业大学 | 一种虚拟机的虚拟可信根实例的整体动态迁移方法 |
| CN109783474A (zh) * | 2019-01-08 | 2019-05-21 | 北京工业大学 | 虚拟可信根实例及其自身状态数据的安全迁移方法 |
| CN110012074A (zh) * | 2019-03-12 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信上下文管理方法 |
| CN109992972A (zh) * | 2019-04-10 | 2019-07-09 | 北京可信华泰信息技术有限公司 | 一种云环境内信任链的建立方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115002181A (zh) * | 2022-07-22 | 2022-09-02 | 北京工业大学 | 一种虚拟可信根及其虚拟信任链方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109086100B (zh) | 一种高安全可信移动终端安全体系架构及安全服务方法 | |
| JP6186374B2 (ja) | 仮想化されたプラットフォームへ安全に移行するためのシステム及び方法 | |
| TWI387923B (zh) | 用於在一例如虛擬機器或固化作業系統內管理電腦安全的方法及系統 | |
| US9336384B2 (en) | Systems and methods for replacing application methods at runtime | |
| US9021546B1 (en) | Systems and methods for workload security in virtual data centers | |
| CN110622138B (zh) | 一种数据迁移方法及装置 | |
| US8938782B2 (en) | Systems and methods for providing network access control in virtual environments | |
| CN105556478B (zh) | 用于保护虚拟机数据的系统和方法 | |
| US11062021B2 (en) | Systems and methods for preventing malicious applications from exploiting application services | |
| Wang et al. | Secured and reliable VM migration in personal cloud | |
| CN111858004A (zh) | 基于tee扩展的计算机安全世界实时应用动态加载方法及系统 | |
| EP4006726A1 (en) | Method for virtual machine migration with checkpoint authentication in virtualization environment | |
| CN108595983B (zh) | 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法 | |
| US10061683B2 (en) | Systems and methods for collecting error data to troubleshoot product errors | |
| US9703651B2 (en) | Providing availability of an agent virtual computing instance during a storage failure | |
| CN110968392B (zh) | 一种升级虚拟化模拟器的方法和装置 | |
| Li et al. | Potassium: penetration testing as a service | |
| CN111143030B (zh) | 一种云环境可信虚拟机的迁移方法 | |
| CN106445641B (zh) | 一种离散计算节点上安全虚拟平台间的数据迁移方法 | |
| CN111158854A (zh) | 一种云环境虚拟机迁移时信任链的恢复方法 | |
| CN107203410B (zh) | 一种基于系统调用重定向的vmi方法及系统 | |
| CN113297133A (zh) | 一种服务迁移质量保障方法及系统 | |
| CN103019847A (zh) | 对虚拟机数据进行迁移的方法及系统 | |
| US11216559B1 (en) | Systems and methods for automatically recovering from malware attacks | |
| EP4002114A2 (en) | Method for virtual machine migration with artificial intelligence accelerator status validation in virtualization environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200515 |