技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，特別涉及一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)出方法及裝置。

背景技術(shù)

云計(jì)算(Cloud?computing)，是一種新興的共享基礎(chǔ)架構(gòu)的方法，它可以將巨大的系統(tǒng)池連接在一起以提供各種IT服務(wù)。它使得超級(jí)計(jì)算能力通過(guò)互聯(lián)網(wǎng)自由流通成為了可能。也就是說(shuō)。云計(jì)算是一種面向互聯(lián)網(wǎng)的分布式計(jì)算服務(wù)，按照服務(wù)類(lèi)型大致可以分為三類(lèi)：將基礎(chǔ)設(shè)施作為服務(wù)IAAS、將平臺(tái)作為服務(wù)PAAS和將軟件作為服務(wù)SAAS。企業(yè)與個(gè)人用戶無(wú)需再投入昂貴的硬件購(gòu)置成本，只需要通過(guò)互聯(lián)網(wǎng)來(lái)購(gòu)買(mǎi)租賃計(jì)算力，“把你的計(jì)算機(jī)當(dāng)作互聯(lián)網(wǎng)的接入口。提供資源的網(wǎng)絡(luò)被稱(chēng)為“云”。其中，云分為公有云、私有云和混合云。

目前，在現(xiàn)有云計(jì)算應(yīng)用中虛擬機(jī)鏡像導(dǎo)入或?qū)С黾軜?gòu)中，特權(quán)虛擬機(jī)和云管理服務(wù)器之間的虛擬機(jī)鏡像的導(dǎo)入或?qū)С鰶](méi)有進(jìn)行安全性檢查和校驗(yàn)。導(dǎo)出的虛擬機(jī)鏡像在不同的私有云中進(jìn)行遷移的時(shí)候，或者虛擬機(jī)鏡像從公有云遷移到私有云時(shí)，沒(méi)有進(jìn)行身份限制，這樣可以使其他私有云外的虛擬機(jī)鏡像也可以被引入該私有云中。

也就是說(shuō)，在對(duì)現(xiàn)有技術(shù)的研究和實(shí)踐過(guò)程中，本發(fā)明的發(fā)明人發(fā)現(xiàn)，現(xiàn)有的實(shí)現(xiàn)方式中，由于在私有云中導(dǎo)出的虛擬機(jī)鏡像文件沒(méi)有身份標(biāo)識(shí)認(rèn)證，那么實(shí)際上新的虛擬機(jī)鏡像從公有云遷移入該私有云中或者舊的鏡像再次進(jìn)入到該云中的時(shí)候，沒(méi)有進(jìn)行身份驗(yàn)證而直接允許導(dǎo)入并運(yùn)行，如果該鏡像被偽裝或者加入了一些惡意的不符合該私有云安全性限制條件的服務(wù)或者代碼，將會(huì)對(duì)整個(gè)私有云安全造成嚴(yán)重的威脅。

發(fā)明內(nèi)容

本發(fā)明提供一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)出方法及裝置，以解決虛擬機(jī)鏡像的安全導(dǎo)出問(wèn)題。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)出方法，所述方法包括：

在導(dǎo)出虛擬機(jī)鏡像時(shí)，計(jì)算所述虛擬機(jī)鏡像的哈希值；

對(duì)所述哈希值進(jìn)行加密，得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名；

將所述數(shù)據(jù)簽名添加到導(dǎo)出的所述虛擬機(jī)鏡像中。

優(yōu)選的，所述對(duì)哈希值進(jìn)行加密，得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名包括：

利用自身的私鑰對(duì)所述哈希值進(jìn)行加密，得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名；或者

利用接收端的公鑰對(duì)所述哈希值進(jìn)行加密得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名。

優(yōu)選的，所述將數(shù)據(jù)簽名添加到導(dǎo)出的所述虛擬機(jī)鏡像中具體包括：

將所述數(shù)據(jù)簽名添加到導(dǎo)出的所述虛擬機(jī)鏡像的頭部、尾部或中間。

優(yōu)選的，所述方法還包括：記錄添加到所述虛擬機(jī)鏡像中的所述數(shù)據(jù)簽名的位置信息。

相應(yīng)的，本發(fā)明還提供一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)出裝置，包括：

計(jì)算單元，用于在導(dǎo)出虛擬機(jī)鏡像時(shí)，計(jì)算所述虛擬機(jī)鏡像的哈希值；

加密單元，用于對(duì)所述哈希值進(jìn)行加密，得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名；

添加單元，用于將所述數(shù)據(jù)簽名添加到導(dǎo)出的所述虛擬機(jī)鏡像中。

優(yōu)選的，所述加密單元包括：

第一加密單元，用于利用自身的私鑰對(duì)所述哈希值進(jìn)行加密，得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名；和/或

第二加密單元，用于利用接收端的公鑰對(duì)所述哈希值進(jìn)行加密得到所述虛擬機(jī)鏡像的數(shù)據(jù)簽名。

優(yōu)選的，所述添加單元：具體用于將所述數(shù)據(jù)簽名添加到導(dǎo)出的所述虛擬機(jī)鏡像的頭部、尾部或中間。

優(yōu)選的，還包括：

記錄單元，用于記錄所述添加單元添加到所述虛擬機(jī)鏡像中的所述數(shù)據(jù)簽名的位置信息。

優(yōu)選的，所述云計(jì)算中虛擬機(jī)鏡像導(dǎo)出裝置集成在特權(quán)虛擬機(jī)或獨(dú)立部署。

本發(fā)明為導(dǎo)出的虛擬機(jī)鏡像添加數(shù)據(jù)簽名(身份認(rèn)證)，保證了虛擬機(jī)鏡像在私有云(或者混合云)的部署，通過(guò)修改虛擬機(jī)鏡像(增加了簽名數(shù)據(jù)信息)，改變了虛擬機(jī)鏡像的大小和內(nèi)容，使得在不知道該機(jī)制的情況下，在私有云外部使用該鏡像，不能被校驗(yàn)通過(guò)。這種方法的實(shí)現(xiàn)在一定程度上保證了鏡像的私有化(云內(nèi)部使用)。也就是說(shuō)，本發(fā)明在需要已經(jīng)導(dǎo)出的虛擬機(jī)(VM)鏡像上添加數(shù)據(jù)簽名，即通過(guò)安全校驗(yàn)機(jī)制，加上屬于某一私有云的簽名校驗(yàn)，形成身份校驗(yàn)層，使得不符合安全校驗(yàn)條件的虛擬機(jī)鏡像不能被導(dǎo)入該云，從而避免潛在的云主機(jī)污染，同時(shí)也提高了虛擬機(jī)鏡像的安全導(dǎo)出。

附圖說(shuō)明

圖1為本發(fā)明提供的一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)出方法的流程圖；

圖2為本發(fā)明提供的一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)入方法的流程圖；

圖3為本發(fā)明提供的一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)入方法的應(yīng)用實(shí)例的流程圖；

圖4為本發(fā)明提供的一種云計(jì)算中虛擬機(jī)鏡像導(dǎo)出裝置的結(jié)構(gòu)示意圖；