技術領域

本發明涉及計算機網絡技術，特別涉及一種云計算中虛擬機鏡像導入和導出系統。

背景技術

云計算(Cloud?computing)，是一種新興的共享基礎架構的方法，它可以將巨大的系統池連接在一起以提供各種IT服務。它使得超級計算能力通過互聯網自由流通成為了可能。也就是說。云計算是一種面向互聯網的分布式計算服務，按照服務類型大致可以分為三類：將基礎設施作為服務IAAS、將平臺作為服務PAAS和將軟件作為服務SAAS。企業與個人用戶無需再投入昂貴的硬件購置成本，只需要通過互聯網來購買租賃計算力，“把你的計算機當作互聯網的接入口。提供資源的網絡被稱為“云”。其中，云分為公有云、私有云和混合云。

目前，在現有云計算應用中虛擬機鏡像導入或導出架構中，特權虛擬機和云管理服務器之間的虛擬機鏡像的導入或導出沒有進行安全性檢查和校驗。導出的虛擬機鏡像在不同的私有云中進行遷移的時候，或者虛擬機鏡像從公有云遷移到私有云時，沒有進行身份限制，這樣可以使其他私有云外的虛擬機鏡像也可以被引入該私有云中。

也就是說，在對現有技術的研究和實踐過程中，本發明的發明人發現，現有的實現方式中，由于在私有云中導出的虛擬機鏡像文件沒有身份標識認證，那么實際上新的虛擬機鏡像從公有云遷移入該私有云中或者舊的鏡像再次進入到該云中的時候，沒有進行身份驗證而直接允許導入并運行，如果該鏡像被偽裝或者加入了一些惡意的不符合該私有云安全性限制條件的服務或者代碼，將會對整個私有云安全造成嚴重的威脅。

發明內容

本發明實施例提供一種云計算中虛擬機鏡像導入和導出系統，以解決非法虛擬機鏡像導入的問題，同時也保證了虛擬機鏡像安全導出的全問題。

為解決上述技術問題，本發明提供一種云計算中虛擬機鏡像導入和導出系統，包括：云計算中虛擬機鏡像導出裝置和云計算中虛擬機鏡像導入裝置，其中，

所述云計算中虛擬機鏡像導出裝置，用于在導出虛擬機鏡像時，計算所述虛擬機鏡像的哈希值，對所述哈希值進行加密，得到所述虛擬機鏡像的數據簽名，將所述數據簽名添加到導出的所述虛擬機鏡像中；

所述云計算中虛擬機鏡像導入裝置，用于接收所述云計算中虛擬機鏡像導出裝置導入的虛擬機鏡像，提取所述虛擬機鏡像的數據簽名，對所述數據簽名進行解密，得到所述虛擬機鏡像的哈希值，計算所述虛擬機鏡像的原始哈希值，若判斷得到的所述哈希值與計算的原始哈希值相同，則允許所述虛擬機鏡像導入。

優選的，所述云計算中虛擬機鏡像導出裝置包括：

計算單元，用于在導出虛擬機鏡像時，計算所述虛擬機鏡像的哈希值；

加密單元，用于對所述哈希值進行加密，得到所述虛擬機鏡像的數據簽名；

添加單元，用于將所述數據簽名添加到導出的所述虛擬機鏡像中。

優選的，所述加密單元包括：

第一加密單元，用于利用自身的私鑰對所述哈希值進行加密，得到所述虛擬機鏡像的數據簽名；和/或

第二加密單元，用于利用接收端的公鑰對所述哈希值進行加密得到所述虛擬機鏡像的數據簽名。

優選的，所述添加單元：具體用于將所述數據簽名添加到導出的所述虛擬機鏡像的頭部、尾部或中間。

優選的，所述云計算中虛擬機鏡像導出裝置還包括：

記錄單元，用于記錄所述添加單元添加到所述虛擬機鏡像中的所述數據簽名的位置信息。

優選的，所述云計算中虛擬機鏡像導入裝置包括：

接收單元，用于接收導入的虛擬機鏡像；

提取單元，用于提取所述虛擬機鏡像的數據簽名；

解密單元，用于對所述數據簽名進行解密，得到所述虛擬機鏡像的哈希值；

計算單元，用于計算所述虛擬機鏡像的原始哈希值；

判斷單元，用于判斷獲得的所述哈希值與計算的原始哈希值是否相同；

導入單元，用于在判斷單元的判斷結果相同時，允許所述虛擬機鏡像導入。

優選的，所述提取單元包括：

位置信息獲取單元，用于從所述特權虛擬機中獲取所述數據簽名的位置信息；

提取單元，用于根據所述位置信息獲取單元獲取的位置信息提取所述虛擬機鏡像中的數據簽名。

優選的，所述解密單元包括：

第一解密單元，用于利用發送端的公鑰對所述數據簽名進行解密，如果解密成功，則得到所述虛擬機鏡像的哈希值；和/或

第二解密單元，用于利用自身的私鑰對所述數據簽名進行解密，如果解密成功，則得到所述虛擬機鏡像的哈希值。

優選的，所述云計算中虛擬機鏡像導入裝置集成在云管理服務器中或獨立部署。