[發(fā)明專利]一種云計算中虛擬機鏡像導入方法及裝置有效
| 申請?zhí)枺?/td> | 201010597537.2 | 申請日: | 2010-12-20 |
| 公開(公告)號: | CN102024123A | 公開(公告)日: | 2011-04-20 |
| 發(fā)明(設(shè)計)人: | 宋卓;胡中;沈啟龍;王鵬;任海寶;徐安;牛立新 | 申請(專利權(quán))人: | 北京世紀互聯(lián)工程技術(shù)服務有限公司 |
| 主分類號: | G06F21/22 | 分類號: | G06F21/22;G06F9/455 |
| 代理公司: | 北京集佳知識產(chǎn)權(quán)代理有限公司 11227 | 代理人: | 逯長明;王寶筠 |
| 地址: | 100015 北京市*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 計算 虛擬機 導入 方法 裝置 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及計算機網(wǎng)絡(luò)技術(shù),特別涉及一種云計算中虛擬機鏡像導入方法及裝置。
背景技術(shù)
云計算(Cloud?computing),是一種新興的共享基礎(chǔ)架構(gòu)的方法,它可以將巨大的系統(tǒng)池連接在一起以提供各種IT服務。它使得超級計算能力通過互聯(lián)網(wǎng)自由流通成為了可能。也就是說。云計算是一種面向互聯(lián)網(wǎng)的分布式計算服務,按照服務類型大致可以分為三類:將基礎(chǔ)設(shè)施作為服務IAAS、將平臺作為服務PAAS和將軟件作為服務SAAS。企業(yè)與個人用戶無需再投入昂貴的硬件購置成本,只需要通過互聯(lián)網(wǎng)來購買租賃計算力,“把你的計算機當作互聯(lián)網(wǎng)的接入口。提供資源的網(wǎng)絡(luò)被稱為“云”。其中,云分為公有云、私有云和混合云。
目前,在現(xiàn)有云計算應用中虛擬機鏡像導入或?qū)С黾軜?gòu)中,特權(quán)虛擬機和云管理服務器之間的虛擬機鏡像的導入或?qū)С鰶]有進行安全性檢查和校驗。導出的虛擬機鏡像在不同的私有云中進行遷移的時候,或者虛擬機鏡像從公有云遷移到私有云時,沒有進行身份限制,這樣可以使其他私有云外的虛擬機鏡像也可以被引入該私有云中。
也就是說,在對現(xiàn)有技術(shù)的研究和實踐過程中,本發(fā)明的發(fā)明人發(fā)現(xiàn),現(xiàn)有的實現(xiàn)方式中,由于在私有云中導出的虛擬機鏡像文件沒有身份標識認證,那么實際上新的虛擬機鏡像從公有云遷移入該私有云中或者舊的鏡像再次進入到該云中的時候,沒有進行身份驗證而直接允許導入并運行,如果該鏡像被偽裝或者加入了一些惡意的不符合該私有云安全性限制條件的服務或者代碼,將會對整個私有云安全造成嚴重的威脅。
發(fā)明內(nèi)容
本發(fā)明提供一種云計算中虛擬機鏡像導入及裝置,以解決非法虛擬機鏡像導入的問題。
為解決上述技術(shù)問題,本發(fā)明還提供一種云計算中虛擬機鏡像導入方法,所述方法包括:
接收導入的虛擬機鏡像;
提取所述虛擬機鏡像的數(shù)據(jù)簽名;
對所述數(shù)據(jù)簽名進行解密,得到所述虛擬機鏡像的哈希值;
計算所述虛擬機鏡像的原始哈希值;
若判斷得到的所述哈希值與計算的原始哈希值相同,則允許所述虛擬機鏡像導入。
優(yōu)選的,所述提取所述虛擬機鏡像的數(shù)據(jù)簽名包括:
從所述特權(quán)虛擬機中獲取所述數(shù)據(jù)簽名的位置信息;
根據(jù)所述位置信息提取所述虛擬機鏡像中的數(shù)據(jù)簽名。
優(yōu)選的,所述對所述數(shù)據(jù)簽名進行解密,得到所述虛擬機鏡像的哈希值包括:
利用發(fā)送端的公鑰對所述數(shù)據(jù)簽名進行解密,如果解密成功,則得到所述虛擬機鏡像的哈希值;或者
利用自身的私鑰對所述數(shù)據(jù)簽名進行解密,如果解密成功,則得到所述虛擬機鏡像的哈希值。
本發(fā)明還一種云計算中虛擬機鏡像導入裝置,包括:
接收單元,用于接收導入的虛擬機鏡像;
提取單元,用于提取所述虛擬機鏡像的數(shù)據(jù)簽名;
解密單元,用于對所述數(shù)據(jù)簽名進行解密,得到所述虛擬機鏡像的哈希值;
計算單元,用于計算所述虛擬機鏡像的原始哈希值;
判斷單元,用于判斷獲得的所述哈希值與計算的原始哈希值是否相同;
導入單元,用于在判斷單元的判斷結(jié)果相同時,允許所述虛擬機鏡像導入。
優(yōu)選的,所述提取單元包括:
位置信息獲取單元,用于從所述特權(quán)虛擬機中獲取所述數(shù)據(jù)簽名的位置信息;
提取單元,用于根據(jù)所述位置信息獲取單元獲取的位置信息提取所述虛擬機鏡像中的數(shù)據(jù)簽名。
優(yōu)選的,所述解密單元包括:
第一解密單元,用于利用發(fā)送端的公鑰對所述數(shù)據(jù)簽名進行解密,如果解密成功,則得到所述虛擬機鏡像的哈希值;和/或
第二解密單元,用于利用自身的私鑰對所述數(shù)據(jù)簽名進行解密,如果解密成功,則得到所述虛擬機鏡像的哈希值。
優(yōu)選的,所述云計算中虛擬機鏡像導入裝置集成在云管理服務器中或獨立部署。
本發(fā)明為導入的虛擬機鏡像的身份的合法性進行判斷,避免不合法的虛擬機鏡像的啟動和運行對私有云內(nèi)部的潛在安全威脅,如:惡意攻擊,機密竊取等。在私有云外部使用該鏡像,不能被校驗通過。這種方法的實現(xiàn)在一定程度上保證了鏡像的私有化(云內(nèi)部使用)。也就是說,本發(fā)明由于導入的虛擬機(VM)鏡像上添加了數(shù)據(jù)簽名,即通過安全校驗機制,加上屬于某一私有云的簽名校驗,形成身份校驗層,使得不符合安全校驗條件的虛擬機鏡像不能被導入該云,從而避免潛在的云主機污染,同時也提高了虛擬機鏡像的安全導入。
附圖說明
圖1為本發(fā)明提供的一種云計算中虛擬機鏡像導出方法的流程圖;
圖2為本發(fā)明提供的一種云計算中虛擬機鏡像導入方法的流程圖;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京世紀互聯(lián)工程技術(shù)服務有限公司,未經(jīng)北京世紀互聯(lián)工程技術(shù)服務有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201010597537.2/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
