[發明專利]一種基于內置安全芯片的虛擬機可信遷移方法在審
| 申請號: | 202110240840.5 | 申請日: | 2021-03-04 |
| 公開(公告)號: | CN112860380A | 公開(公告)日: | 2021-05-28 |
| 發明(設計)人: | 孟丹;賈曉啟;張偉娟;韋秋石;陳家赟;白璐;周啟航;武希耀;孫慧琪;黃慶佳 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455;G06F9/50;G06F21/60 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 李文濤 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 內置 安全 芯片 虛擬機 可信 遷移 方法 | ||
1.一種基于內置安全芯片的虛擬機可信遷移方法,其特征在于,步驟包括:
1)在進行虛擬機由源服務器到目的服務器遷移之前,在源服務器的虛擬機管理器中設置一虛擬度量設備模塊,利用該虛擬度量設備對虛擬機內存進行讀取和度量,將度量得到的虛擬機可信信息存儲在該源服務器的內置安全芯片中;
2)進行虛擬機遷移時,將源服務器的內置安全芯片中存儲的虛擬機的可信信息和虛擬度量設備的內存信息加密傳輸給目的服務器的內置安全芯片中;
3)加密傳輸虛擬機的內存信息,當刷新臟頁至一設定閾值以下時,使源服務器的虛擬機進入掛起狀態,然后加密傳輸虛擬機的剩余內存信息;
4)目的服務器根據虛擬度量設備的內存信息對虛擬度量設備內存進行恢復,如果恢復成功,則刪除源服務器中虛擬機的可信信息,解除目的服務器中虛擬機的掛起狀態,虛擬機遷移成功;如果恢復失敗,則刪除目的服務器中虛擬機的可信信息,并終止虛擬機遷移,解除源服務器中虛擬機的掛起狀態。
2.如權利要求1所述的方法,其特征在于,虛擬度量設備的度量為動態度量,在虛擬機啟動后通過對虛擬機內存的關鍵對象進行定時度量,并將度量日志上傳至內置安全芯片,防止虛擬機的數據被篡改。
3.如權利要求2所述的方法,其特征在于,虛擬機管理器還設置有虛擬BIOS,該虛擬BIOS在虛擬機啟動前對虛擬機鏡像中的虛擬機核心文件進行靜態度量,以防止虛擬機的核心文件被篡改。
4.如權利要求3所述的方法,其特征在于,虛擬機的可信信息由靜態度量和動態度量共同得到。
5.如權利要求1或4所述的方法,其特征在于,虛擬機的可信信息包括虛擬機的度量基準值和度量日志,該度量基準值用于和度量值進行校驗,防止虛擬機數據被篡改;該度量日志用于存放異常操作信息。
6.如權利要求1所述的方法,其特征在于,終止虛擬機遷移時報告異常信息,并更新度量日志。
7.如權利要求1所述的方法,其特征在于,虛擬度量設備的構成包括以下模塊:
加密算法模塊,用于將虛擬機遷移中需要傳遞的數據進行加密;
內存度量模塊,用于定時對虛擬機內存的關鍵位置進行度量,將產生的度量值和基準值比對,以確保虛擬機的數據不被篡改;
安全存儲模塊,用于將度量后得到的數據進行安全存儲;
可信信息生命周期維護模塊,用于控制可信信息的創建和刪除,以維護虛擬機及其虛擬度量設備的原子性;
日志信息生成模塊,用于生成并捕獲虛擬機相關的度量日志,并將度量日志傳輸給管理端。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110240840.5/1.html,轉載請聲明來源鉆瓜專利網。
