CN112882799A - 一种基于内置安全芯片的虚拟机可信迁移系统 - Google Patents
一种基于内置安全芯片的虚拟机可信迁移系统 Download PDFInfo
- Publication number
- CN112882799A CN112882799A CN202110239790.9A CN202110239790A CN112882799A CN 112882799 A CN112882799 A CN 112882799A CN 202110239790 A CN202110239790 A CN 202110239790A CN 112882799 A CN112882799 A CN 112882799A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- virtual
- measurement
- built
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013508 migration Methods 0.000 title claims abstract description 54
- 230000005012 migration Effects 0.000 title claims abstract description 54
- 238000005259 measurement Methods 0.000 claims abstract description 45
- 230000015654 memory Effects 0.000 claims abstract description 36
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 230000003068 static effect Effects 0.000 claims abstract description 7
- 238000012423 maintenance Methods 0.000 claims description 5
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000011084 recovery Methods 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 claims description 2
- 238000000034 method Methods 0.000 abstract description 19
- 238000005516 engineering process Methods 0.000 description 12
- 238000011161 development Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开一种基于内置安全芯片的虚拟机可信迁移系统,涉及虚拟化安全领域,该系统包括内置安全芯片、服务器操作系统、虚拟机管理器,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。本发你能够实现对虚拟机进行可信迁移,防止虚拟机迁移过程中遭遇的恶意攻击。
Description
技术领域
本发明涉及虚拟化安全领域,具体涉及一种基于内置安全芯片的虚拟机可信迁移系统。
背景技术
信息技术的迅猛发展使得虚拟化技术得到了越来越广泛的应用,当前以虚拟化技术为支撑的云计算产业发展空前迅速。随着云计算技术不断发展和完善,越来越多的企业选择将其生产环境部署到云平台中。
虚拟化技术位于计算机体系结构中的某一层级,是用来向上层提供底层模拟结构的一种中间层技术。随着硬件技术的快速发展,新型服务器能提供远超原有服务器的运行速度和存储空间。除开服务器性能的不断更迭,随着运行时间的增长,原有服务器的软硬件意外发生概率也在日益增加。当服务器在遭受不可抗拒的自然灾难以及人为灾难时,虚拟机的迁移技术能够为用户数据的安全性提供容错方案。此外,对于部分业务访问量大的公司,可以根据某种负载策略把请求分发到集群中的每一台服务器上,让整个服务器集群来处理网站的请求,虚拟机迁移能够根据其策略增加服务器的吞吐量和处理能力以及承载能力。因此,虚拟机迁移技术在虚拟化进程中十分重要。
当前,虚拟机的迁移技术正在被广泛应用,对虚拟机迁移技术的研究也多了起来,但目前对其研究更多地集中于提高虚拟机迁移的效率及稳定性。鲜有关注于虚拟机迁移的安全问题。在虚拟机迁移过程中对虚拟机的攻击手段繁多,例如针对虚拟机监视程序、虚拟机迁移路线和迁移模块的攻击等。随着云计算技术的广泛应用,虚拟化技术在市场中的迅速普及,虚拟机迁移面临的安全挑战也在逐渐增多,因此全面提高虚拟机迁移的安全性是必然发展趋势。
发明内容
针对高安全需求的虚拟化平台下的虚拟机可信迁移问题,本发明提出了一种基于内置安全芯片的虚拟机可信迁移系统,利用源服务器和目的服务器的内置安全芯片、可信迁移模块、虚拟度量设备以及可信迁移模块等对虚拟机进行可信迁移,防止虚拟机迁移过程中遭遇的恶意攻击。
本发明采用技术方案如下:
一种基于内置安全芯片的虚拟机可信迁移系统,其包括:
内置安全芯片,安装于源服务器和目的服务器上,内置安全芯片之间形成独立的连接网络,用于当虚拟机从源服务器向目的服务器迁移时,源服务器和目的服务器的内置安全芯片之间进行虚拟机的可信信息和虚拟度量设备的内存信息加密传输;
服务器操作系统,安装于源服务器和目的服务器上,该服务器操作系统通过含有的内置安全芯片管理端驱动与内置安全芯片交互,以及加密传输虚拟机的内存信息;
虚拟机管理器,部署于源服务器和目的服务器上,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,其中,虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。
进一步地,虚拟度量设备的构成包括以下模块:
加密算法模块,用于将虚拟机迁移中需要传递的数据进行加密;
内存度量模块,用于定时对虚拟机内存的关键位置进行度量,将产生的度量值和基准值比对,以确保虚拟机的数据不被篡改;
安全存储模块,用于将度量后得到的数据进行安全存储;
可信信息生命周期维护模块,用于控制可信信息的创建和删除,以维护虚拟机及其虚拟度量设备的原子性;
日志信息生成模块,用于生成并捕获虚拟机相关的度量日志,并将度量日志传输给管理端。
进一步地,虚拟度量设备的度量为动态度量,在虚拟机启动后通过对虚拟机内存的关键对象进行定时度量,并将度量日志上传至内置安全芯片,防止虚拟机的数据被篡改,确保虚拟机运行的安全性。
进一步地,虚拟BIOS在虚拟机启动前对虚拟机镜像中的虚拟机核心文件进行静态度量,以防止虚拟机的核心文件被篡改,确保虚拟机启动的安全性。
进一步地,虚拟机的可信信息包括虚拟机的度量基准值和度量日志,该度量基准值用于和度量值进行校验,防止虚拟机数据被篡改,增强虚拟机抵御恶意攻击的能力;该度量日志用于存放异常操作信息如篡改操作等。
进一步地,内置安全芯片通过插接于源服务器和目的服务器的主板PCI插槽中实现安装。
进一步地,内置安全芯片包括独立的处理器、内存、存储以及网络,用于对所在的源服务器或目的服务器的系统内存中的对象进行主动动态度量,以及记录日志。
与既有技术相比,本发明的有益效果如下:
1.本发明的虚拟度量设备中的加密算法模块对传输数据进行加密,能够在迁移过程中确保传输数据的安全性;虚拟机迁移过程中传递的数据主要包括虚拟机的可信信息、虚拟机的内存信息、虚拟度量设备的内存信息。
2.本发明借助内置安全芯片和虚拟机管理器中的可信迁移模块使虚拟机的可信信息仅在内置安全芯片之间构成的独立网络之间迁移,保证了虚拟机可信状态的完整性和一致性;该内置安全芯片是服务器的独立安全单元,通过单向物理隔离保障安全性,先于服务器系统启动,是整个系统的可信根,能够对系统的整个引导启动过程和运行过程进行安全度量,防止或监测非法篡改。
3.通过加入内置安全芯片和虚拟度量设备、虚拟BIOS构成了虚拟机可信迁移系统核心,保证了虚拟机在迁移过程中的稳定性;其中虚拟度量设备的内存信息用于恢复虚拟度量设备的内存以保持可信状态的持续;虚拟度量设备和虚拟BIOS二者的度量功能作用于虚拟机运行的整个周期,以确保虚拟机的可信状态。
综上,本发明提出的一种基于内置安全芯片的虚拟机可信迁移系统,通过在可信服务器硬件环境中加入内置安全芯片,以及在虚拟机管理器中加入虚拟BIOS以及虚拟度量设备形成了完备的虚拟机可信迁移系统。该系统将可信范围覆盖到了整个虚拟机周期,保证了虚拟机在迁移过程中传输数据的安全性、可信状态的完整性和一致性以及虚拟机本身的稳定性,从而确保了虚拟机迁移的安全可信。
附图说明
图1为基于内置安全芯片的虚拟机可信迁移系统架构图。
具体实施方式
下面将结合本发明的实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本实施例公开一种基于内置安全芯片的虚拟机可信迁移系统,如图1所示,其结构包括:
1)可信服务器硬件环境
其服务器主板的PCI插槽中接有特殊硬件设备——内置安全芯片。内置安全芯片拥有独立的处理器、内存、存储以及网络。可以对宿主机系统内存中的重要对象进行主动动态度量,并在内置安全芯片上的存储中记录日志。在迁移过程中通过内置安全芯片间独立的网络进行数据传输。
2)服务器操作系统
其操作系统包含内置安全芯片管理端驱动,用于和内置安全芯片交互。
3)虚拟机管理器
虚拟机管理器包括宿主机操作系统上的部分内核模块和部分应用程序,用于管理虚拟机执行的整个生命周期。
虚拟机管理器包括:
A)虚拟BIOS,用于在虚拟机启动阶段引导虚拟机操作系统镜像,且在过程中对虚拟机操作系统镜像中关键文件执行度量操作。
B)虚拟度量设备,用于在虚拟机执行过程中执行主动动态度量操作。在虚拟机系统启动的过程。
C)可信迁移模块,用于保证虚拟机迁移过程和前迁移后的可信。
本实施例中的虚拟度量设备集成于虚拟机管理器中,其模块主要包括:加密算法模块、安全存储模块、可信信息生命周期维护模块、内存度量模块和日志信息生成模块;其中:
加密算法模块:将虚拟机迁移中需要传递的数据进行加密,具体地,加密传输虚拟机的内存信息,当刷新脏页至设定阈值(该阈值为qemu虚拟机的默认阈值)以下,且源服务器的虚拟机进入挂起状态时,再加密传输虚拟机的剩余内存信息;
安全存储模块:将度量后得到的数据进行安全存储;
可信信息生命周期维护模块:控制可信信息的创建和删除,以维护虚拟机及其虚拟度量设备的原子性;具体地,根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复,如果恢复成功,则删除源服务器中虚拟机的可信信息,解除目的服务器中虚拟机的挂起状态,虚拟机迁移成功;如果恢复失败,则删除目的服务器中虚拟机的可信信息,并终止虚拟机迁移,解除源服务器中虚拟机的挂起状态;
内存度量模块:定时对虚拟机内存的关键位置进行度量,将产生的度量值和基准值比对,以确保虚拟机的数据不被篡改;
日志信息生成模块:生成并捕获虚拟机相关的度量日志,并将度量日志传输给管理端。
在本实施例中,目的服务器接收到虚拟机迁移指令后,加密传输源服务器内置安全芯片独立存储中此虚拟机的可信信息及虚拟度量设备的内存信息到目的服务器内置安全芯片独立存储中,其中可信信息通过内置安全芯片间的独立网络进行迁移。迁移完成后,恢复虚拟机状态的同时,对虚拟机的度量也一并恢复。
本系统通过对内置安全芯片及虚拟度量设备的模块定制,实现了对虚拟机迁移过程中被传递数据的加密,保证了迁移前后虚拟度量设备状态的连续,维护了虚拟机及其可信信息的唯一,确保了虚拟机迁移的可信和安全。
可以理解的是,所描述的实施例仅是本发明一部分,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Claims (9)
1.一种基于内置安全芯片的虚拟机可信迁移系统,其特征在于,包括:
内置安全芯片,安装于源服务器和目的服务器上,内置安全芯片之间形成独立的连接网络,用于当虚拟机从源服务器向目的服务器迁移时,源服务器和目的服务器的内置安全芯片之间进行虚拟机的可信信息和虚拟度量设备的内存信息加密传输;
服务器操作系统,安装于源服务器和目的服务器上,该服务器操作系统通过含有的内置安全芯片管理端驱动与内置安全芯片交互,以及加密传输虚拟机的内存信息;
虚拟机管理器,部署于源服务器和目的服务器上,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,其中虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。
2.如权利要求1所述的系统,其特征在于,虚拟度量设备的构成包括以下模块:
加密算法模块,用于将虚拟机迁移中需要传递的数据进行加密;
内存度量模块,用于定时对虚拟机内存的关键位置进行度量,将产生的度量值和基准值比对,以确保虚拟机的数据不被篡改;
安全存储模块,用于将度量后得到的数据进行安全存储;
可信信息生命周期维护模块,用于控制可信信息的创建和删除,以维护虚拟机及其虚拟度量设备的原子性;
日志信息生成模块,用于生成并捕获虚拟机相关的度量日志,并将度量日志传输给管理端。
3.如权利要求2所述的系统,其特征在于,加密算法模块用于加密传输虚拟机的内存信息,当刷新脏页至设定阈值以下,且源服务器的虚拟机进入挂起状态时,加密传输虚拟机的剩余内存信息。
4.如权利要求2所述的系统,其特征在于,可信信息生命周期维护模块用于根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复,如果恢复成功,则删除源服务器中虚拟机的可信信息,解除目的服务器中虚拟机的挂起状态;如果恢复失败,则删除目的服务器中虚拟机的可信信息,并终止虚拟机迁移。
5.如权利要求1或2所述的系统,其特征在于,虚拟度量设备的度量为动态度量,在虚拟机启动后通过对虚拟机内存的关键对象进行定时度量,并将度量日志上传至内置安全芯片,防止虚拟机的数据被篡改。
6.如权利要求1所述的系统,其特征在于,虚拟BIOS在虚拟机启动前对虚拟机镜像中的虚拟机核心文件进行静态度量,以防止虚拟机的核心文件被篡改。
7.如权利要求1所述的系统,其特征在于,虚拟机的可信信息包括虚拟机的度量基准值和度量日志,该度量基准值用于和度量值进行校验,防止虚拟机数据被篡改;该度量日志用于存放异常操作信息。
8.如权利要求1所述的系统,其特征在于,内置安全芯片通过插接于源服务器和目的服务器的主板PCI插槽中实现安装。
9.如权利要求1所述的系统,其特征在于,内置安全芯片包括独立的处理器、内存、存储以及网络,用于对所在的源服务器或目的服务器的系统内存中的对象进行主动动态度量,以及记录日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110239790.9A CN112882799A (zh) | 2021-03-04 | 2021-03-04 | 一种基于内置安全芯片的虚拟机可信迁移系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110239790.9A CN112882799A (zh) | 2021-03-04 | 2021-03-04 | 一种基于内置安全芯片的虚拟机可信迁移系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112882799A true CN112882799A (zh) | 2021-06-01 |
Family
ID=76055420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110239790.9A Pending CN112882799A (zh) | 2021-03-04 | 2021-03-04 | 一种基于内置安全芯片的虚拟机可信迁移系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112882799A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101866408A (zh) * | 2010-06-30 | 2010-10-20 | 华中科技大学 | 一种基于虚拟机架构的透明信任链构建系统 |
CN106610863A (zh) * | 2015-10-21 | 2017-05-03 | 华为技术有限公司 | 虚拟机可信迁移方法及装置 |
CN109086118A (zh) * | 2018-07-25 | 2018-12-25 | 浪潮(北京)电子信息产业有限公司 | 基于KVM的vTPM虚拟机迁移方法、装置及设备 |
CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
-
2021
- 2021-03-04 CN CN202110239790.9A patent/CN112882799A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101866408A (zh) * | 2010-06-30 | 2010-10-20 | 华中科技大学 | 一种基于虚拟机架构的透明信任链构建系统 |
CN106610863A (zh) * | 2015-10-21 | 2017-05-03 | 华为技术有限公司 | 虚拟机可信迁移方法及装置 |
CN109086118A (zh) * | 2018-07-25 | 2018-12-25 | 浪潮(北京)电子信息产业有限公司 | 基于KVM的vTPM虚拟机迁移方法、装置及设备 |
CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9575789B1 (en) | Systems and methods for enabling migratory virtual machines to expedite access to resources | |
JP6166839B2 (ja) | 実行時のアプリケーションメソッドを置き換えるためのシステム及び方法 | |
US7624283B2 (en) | Protocol for trusted platform module recovery through context checkpointing | |
US9197662B2 (en) | Systems and methods for optimizing scans of pre-installed applications | |
US11290492B2 (en) | Malicious data manipulation detection using markers and the data protection layer | |
US10176329B2 (en) | Systems and methods for detecting unknown vulnerabilities in computing processes | |
US10169577B1 (en) | Systems and methods for detecting modification attacks on shared physical memory | |
US9813443B1 (en) | Systems and methods for remediating the effects of malware | |
US9178904B1 (en) | Systems and methods for detecting malicious browser-based scripts | |
WO2015031537A1 (en) | Systems and methods for identifying private keys that have been compromised | |
Platania et al. | Towards a practical survivable intrusion tolerant replication system | |
US10528736B1 (en) | Systems and methods for detecting preparatory-stages of rowhammer attacks | |
US11449637B1 (en) | Systems and methods for providing web tracking transparency to protect user data privacy | |
EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
US10466924B1 (en) | Systems and methods for generating memory images of computing devices | |
Butler et al. | Rootkit-resistant disks | |
CN108229162B (zh) | 一种云平台虚拟机完整性校验的实现方法 | |
CN112883369A (zh) | 一种可信虚拟化系统 | |
US11113152B1 (en) | Systems and methods for managing file backup | |
CN112860380A (zh) | 一种基于内置安全芯片的虚拟机可信迁移方法 | |
US11216559B1 (en) | Systems and methods for automatically recovering from malware attacks | |
Xiong et al. | Shelf: Preserving business continuity and availability in an intrusion recovery system | |
US10339308B1 (en) | Systems and methods for remediating computer reliability issues | |
CN112882799A (zh) | 一种基于内置安全芯片的虚拟机可信迁移系统 | |
US20220129593A1 (en) | Limited introspection for trusted execution environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |