专利名称:一种可信虚拟平台及其构建方法、平台之间数据迁移方法
技术领域:
本发明涉及一种可信虚拟平台及其构建方法,尤其是涉及一种基于可信服务域的可信虚拟平台及其构建方法、平台之间数据迁移方法,属于信息安全技术领域。
背景技术:
目前,以虚拟化技术为基础的云服务的快速发展与应用,使虚拟化平台得到进一步推广、使用,其安全问题也成为用户关注的焦点。以虚拟化技术为支撑的新型计算环境中(例如Infrastructure as a Service,设施即服务IaaS云),资源与服务是以虚拟机的方式提供,用户失去了对其数据的控制,无法像使用本地资源一样实施安全管理,不能确保其数据与服务的可靠。同时,虚拟化平台利用其隔离特性支持并发运行多个虚拟机,以节省企业运营成本、提高资源利用效率,但也出现了众多针对该特性的攻击,导致用户隐私数据泄露。因此,亟需解决虚拟化平台可信运行环境构建问题。可信计算技术基于硬件安全芯片TPM(Trusted Platform Module,可信平台模块),通过建立从底层硬件到上层应用程序的信任链,并利用可信度量与远程证明机制为外部提供信任证明,为用户构建平台的可信运行环境。因此,利用可信计算技术构建虚拟化平台可信运行环境是目前研究的热点。考虑到虚拟化平台架构并发运行多操作系统实例的特殊性,需要为每个用户域提供信任服务,因此必须实现信任根的虚拟化,以避免硬件信任根资源使用冲突的问题,在此基础上建立虚拟信任根与硬件信任根之间的绑定关系,并利用已有可信计算机制构建可信虚拟平台。针对不同的安全应用需求,可信虚拟平台的具体实现方案可能多种多样。瑞士苏黎世技术联合研究所提出并实现了 TPM模拟器TPM emulator,以软件形式实现了 TPM可信芯片的大部分功能,为TPM的虚拟化奠定了基础。之后,IBM提出可信虚拟平台实现方案,将虚拟信任根νΤΡΜ实现于虚拟化平台管理域,首先基于硬件信任根建立从底层硬件到虚拟信任根的信任链,然后利用虚拟信任根为多个用户虚拟机提供独立的信任根实例,构建完整的可信虚拟平台,并给出νΤΡΜ迁移及平台远程证明的方案。德国波鸿鲁尔大学在此基础上,对基于νΤΡΜ的证明方案进行了优化,提出基于属性的νΤΡΜ以提高可信虚拟平台远程证明的效率。国内的武汉大学、北京工业大学等研究机构也针对可信虚拟平台构建提出了许多优化方案,主要考虑虚拟信任根与硬件信任根之间的映射关系及平台应用等方面。然而,现有可信虚拟平台的构建方法还不能适应在新型计算环境(如云计算)中大规模应用的需求,主要存在以下不足:1、虚拟信任根的运行与维护导致平台受攻击的可能性不断增加。现有方法主要基于XEN虚拟化平台特权管理域,使用该域中的管理进程负责整个虚拟信任根可信功能调度与运行。由于管理域中运行着众多守护进程,由于虚拟信任根的运行维护使得管理域的代码量不断增加,其功能也更加复杂,导致其受攻击的可能性增加。2、现有方法中νΤΡΜ与管理域强绑定,与管理域的过度耦合使得可信虚拟平台不易快速部署与功能迁移。现有可信虚拟平台方案过度依赖于管理域,增加了可信服务在大 型计算环境中的部署难度,也无法满足这些环境对可信功能快速迁移的需求。
发明内容
本发明要解决的是现有可信虚拟平台构建方法中管理域代码量不断增加以及过度依赖管理域而导致受攻击可能性增加、不易灵活部署与快速迁移的问题。为此,本发明提供了一套基于可信服务域TSD(Trusted Service Domain)的可信虚拟平台及其构建方法、平台之间数据迁移方法。本发明通过设置一独立的可信服务域TSD(即虚拟机)为并发用户虚拟域提供虚拟信任根,而不是已知方法中的管理域中的一个程序,因此使得可信虚拟平台易于部署、便于运行与迁移;同时因为TSD功能单一,且是独立域,这样就能够基于虚拟平台提供的域间隔离机制提高可信服务的安全性。本发明涉及的可信虚拟平台涉及以下主要组件:硬件安全芯片、虚拟机监控器VMM (Virtual Machine Monitor)、管理域、可信服务域、普通用户域。其中,硬件安全芯片用于提供硬件信任,VMM与管理域负责对虚拟平台所属资源进行分配,并负责域间隔离及数据通信,可信服务域用于为并发用户域(即普通用户域)提供虚拟信任根。本发明涉及的基于可信服务域的可信虚拟平台构建方法及平台数据迁移方法为:1、构建可信服务域,并基于硬件安全芯片建立从虚拟平台底层硬件到TSD的扩展信任链,然后利用TSD为用户域建立可信运行环境;2、建立管理域与TSD、管理域与普通用户域之间的安全通信机制,用户域通过与管理域交互完成其安全应用对可信功能的调用,管理域通过与TSD的交互完成可信命令的传输与处理;3、源平台迁移引擎与目标平台迁移引擎交互,将基于安全芯片与TSD生成的迁移数据迁移至目标平台,并在目标平台上恢复数据,完成TSD与虚拟机的快速迁移。其中,步骤I的实现方法主要包括:(I)、在虚拟化平台上创建并运行一个轻量级微内核域,其中编译运行TPMEmulator,构建可信服务域TSD ;TSD为各个用户域建立独立的密钥结构树,并在必要时,利用本地隐私认证权威PCA (Local Privacy Certification Authority)申请相应用户虚拟机(即用户域)的平台身份密钥AIK’(Attestation Identification Key)的证书,以完成用户虚拟机对外的信任证明;(2)、在基本信任链(CRTM — BIOS — VMM — D0M0 kernel)基础上,构建CRTM — BIOS — VMM — DOMOkernel — TSD的扩展信任链,保障可信服务域的可信运行;扩展信任链由VMM与管理域共同构建。其中CRTM(Core Root of Trust for Measurement)为核心度量根,BIOS是开机自检及系统初始启动程序,VMM是虚拟机监控器,最后是管理域DomO的内核;(3)、管理域利用TSD为普通用户域构建信任链TSD — INIT — BIOS — OS — APPs,其中,INIT是用户虚拟机初始(INITial)加载程序BIOS含义同上,OS是用户虚拟机的操作系统内核,APPs是用户应用程序。管理域domO与用户域、管理域与TSD之间的安全通信,采用的主要方法为:(I)初始化连接
1)TSD—管理域:TSD启动后主动发起与管理域的连接请求包,其中包括当前的TSD域标识ID、所需共享页的大小与数量等信息;2)管理域一TSD:根据请求包中的基本参数,分配相应资源并返回连接成功的状态响应,建立TSD与管理域的初始通信连接;3)用户域一管理域:用户域启动后主动向管理域注册,注册信息中包括当前用户域标识、所需共享页大小及页数量等信息;4)管理域一用户域:管理域首先确定自己与TSD已经建立连接,判断用户域ID是否小于TSD的域ID,如果是(True)则建立与用户域的连接,并等待用户域的数据请求指令,否则连接建立失败并通知用户域。(2)数据交互阶段5)用户域一管理域:用户域上层安全应用调用本地可信服务,发送可信功能命令数据包给管理域,其中包括用户域标识、命令类型、命令内容等;本地可信服务由管理域提供,主要负责接收来自上层的请求并与管理域通信。6)管理域一TSD:管理域解析命令类型,如果是本地平台内部的操作(如数据封装/解封、加密/解密、签名/验签等),则将命令转发至TSD ;如果是对外部平台操作(如用户域对外证明),则由管理域通过与TSD及底层TPM交互,直接处理该命令请求;7) TSD —管理域:TSD处理命令并返回其执行结果;8)管理域一用户域:管理域根据用户域标识,将处理结果返回转发至用户域,完成命令处理过程。在上述通信过程中,用户域只能与管理域交互,非法用户域的消息须由管理域进行检查后才能转发至TSD,从而进一步增强TSD的安全性。本发明提供的可信虚拟平台的快速迁移方法如下:(I)、源平台主动发起迁移请求,其中包含对随机数rs、迁移类型等信息的签名,并用目标平台的公钥加密;(2)、目标平台收到迁移请求,验证签名并得到随机数rs,根据迁移类型分配相应的资源:I)、单个即用户域迁移时,只需要在本平台已有可信服务域中创建新的虚拟信任根实例,并创建空的虚拟机实例,为即将迁移的实例提供运行资源(内存、文件系统等);2)、所有使用TSD的用户域(即用户VMs)迁移时,目标平台需要创建与源平台数量一致的空虚拟机实例,并为TSD的迁移分配所需资源;(3)、目标平台生成自己的随机数rD并与源平台随机数rs—起返回源平台,确认迁移连接建立;(4)、源平台收集所需信息,包括待迁移可信服务域(实例)及用户虚拟机镜像,将其与双方随机数(rs,rD) —起作为待迁移数据,生成消息摘要后,利用Km加密后发送给目标平台。其中,用于加密数据的对称密钥Km由源平台迁移引擎生成,并使用TPM提供的可迁移密钥Ktpm保护;(5)、目标平台利用TPM密钥迁移机制将源平台可迁移密钥Ktpm导入,解密收到的迁移数据,验证消息摘要及随机数成功后,通知源平台删除已迁移的源VM(即源平台的用户域)及对应的TSDs (或实例);
(6)、目标平台收到源数据删除的命令后,加载新的TSD(或实例),并恢复用户虚拟机的运行。本发明的另一目的是提供一个可信虚拟平台系统,它的主要组成包括:虚拟机监控器VMM、三种功能域(管理域、可信服务域、普通用户域)以及两个服务引擎(安全通信引擎与安全迁移引擎),此外,该可信虚拟平台配置硬件安全芯片TPM。VMM作为特权组件,负责实现虚拟化平台中不同域之间的隔离;管理域为用户提供管理界面,负责其他域的创建与管理。可信服务域作为特殊功能域,只需要运行一个微内核,主要用于提供与可信计算相关的功能,并能够与管理域之间进行必要有通信。普通用户域作为用户应用与服务的运行环境,需要通过与管理域交互,以获取基于TSD的可信功能请求处理响应,构建自身运行环境的可信。安全通信服务实现为内核设备驱动,负责保障域间数据通信;安全迁移服务实现为管理域内核中的守护进程,负责接收迁移指令并完成平台内部及平台之间的虚拟机迁移。 与现有技术相比,本发明的有益效果:在现有可信虚拟平台中,可信功能不断充实与更新导致管理域代码更加复杂与庞大,使得其受攻击的可能增加,而且,可信功能对管理域的过度依赖也影响整个平台在复杂计算环境中部署与迁移的效率。本发明中,将可信功能从管理域中分离,将其构建为独立的轻量级功能域(即可信服务域TSD),既能保证可信功能的使用,提高可信服务的安全性,又能为平台提供灵活的运行与部署机制。此外,轻量级可信服务域与管理域的松耦合关系,提高了平台迁移效率,与传统可信虚拟平台相比,基于可信虚拟域的平台迁移更加快速、灵活,能够满足新型计算环境(如云计算)的应用需求。
图1是基于可信服务域的可信虚拟平台基本结构示意图;图2是基于可信服务域的扩展信任链示意图;图3是基于可信服务域的虚拟化平台迁移流程图。
具体实施例方式本发明的方法是主要由以下的虚拟化平台功能部件实现的:可信服务域、管理进程、通信引擎、迁移引擎等。参见图1,虚拟化平台用户虚拟机利用虚拟机监控器VMM提供的共享通信机制,与管理域domO进行数据传输,而可信服务域则作为独立的轻量级功能域,利用管理域实现数据转发,在保障自身安全的同时,为多个用户虚拟机提供信任链构建、数据封装存储及远程证明等可信服务。1、可信服务域可信服务域是虚拟化平台上一个独立的功能域,运行着裁减后的微内核系统(MiniOS),其中包含可信服务处理进程及通信引擎。可信服务处理进程用于提供用户虚拟机所需的信任服务,包括各种可信命令处理及密钥结构生成与维护。下面对其可信服务处理进程进行详细描述。可信服务域用于为可信虚拟平台提供可信功能,因此必须确保它自身运行的可信。本发明通过扩展信任链的方法来保障可信服务域的安全性。如图2所示。利用硬件安全芯片构建从底层信任根到虚拟机监控器再到管理域(domO)的基本信任链,为了利用可信服务域构建用户虚拟机的信任链,需要在基本信任链上进行信任扩展,可采用a、b两种扩展信任链的方法:a是在管理域启动之后,将可信服务域作为一个功能域加载,但必须保证它先于各个用户域启动;b是采用动态信任根机制,利用处理器的特性为可信服务域创建可信运行环境。上述两种方法均可将信任从硬件信任根扩展至可信服务域,最后构建用户虚拟机的信任环境。可信服务处理进程是一个功能优化的TPM Emulator,作为微内核系统MiniOS的一个系统服务,是用C实现的一个内核进程,负责处理具体的可信功能需求:(I)消息通信处理。主要是接收来自管理域转发的连接请求,确定用户虚拟机标识并建立通信连接;(2)密钥创建与维护。为用户虚拟机VM建立所需要的密钥结构(含相应的EK、AIK、SRK等),并根据需要生成新的密钥如签名密钥、加密密钥等;(3)功能命令处理。除了上述密钥管理相关命令之外,该功能主要是对涉及平台内部操作命令的处理,比如加密/解密、封装/解封等。对于平台外部操作命令,比如远程证明、密钥迁移等,考虑到它们与底层TPM的绑定关系,对TSD中TPM Emulator接口进行剪裁,使该部分功能由管理域中的守护进程直接处理。2、管理进程管理进程位于管理域domO中,主要负责向上层用户提供交互接口,同时管理底层的数据通信引擎与迁移引擎,并处理对外的可信功能操作。其主要流程为:2-1、管理进程接收来自上层用户的指令,通过与用户控制台(用户交互界面)交互,解析指令并根据指令调用相应的处理引擎,包括TSD及用户域的创建与管理、域迁移、通信引擎与迁移引擎的管理等;2-2、管理进程处理平台对外的可信功能操作,包括TSD迁移、用户虚拟域对外的证明等,通信引擎将该类消息转发至管理进程,管理进程通过与TSD和TPM交互,得到所需数据并返回通信引擎。3、通信引擎通信引擎负责可信虚拟平台域间安全通信,主要包括可信服务域、管理域及用户域中的通信驱动。这些驱动程序在系统运行之前以内核模块形式加载,并按确定的顺序执行。安全通信的流程如下:3-1、可信服务域在管理域启动后加载运行,其通信引擎(通信设备前端)首先向管理域发起初始连接请求REQtsd = (IDtsd| |pagesize| |pagenum) ;IDtsd是TSD域的标识。3-2、管理域通信引擎(通信后端)收到可信服务域的连接请求后,根据其提供的页大小、数量等信息,为其提供相应的共享内存页,建立与可信服务域的连接并返回连接状
state = ready ;3-3、可信服务域TSD收到响应后,在该连接上等待可信指令请求;3-4、用户域在可信服务域运行后加载运行,其通信引擎主动向管理域发起连接请求 REQvm= (IDvm| |pagesize| |pagenum) ;IDVM 是用户域标识。3-5、管理域根据IDvm,判定该用户域是否能够使用TSD的可信服务(该域须在TSD之后加载,并基于TSD构建其信任链;只有IDvm大于IDtsd的用户域才可使用TSD,因为域ID大小表现的是相应域创建的顺序,值越小创建得越早。),验证通过后建立与该用户域的连接,并向其返回连接状态state = ready ;3-6、用户域收到来自管理域的连接建立响应后,等待上层安全应用发起可信功能请求;3-7、用户域安全应用调用可信功能接口,将可信功能请求传递给通信引擎,通信引擎将数据封装为标准形式cmdpkgVM = (cmdtype | | cmdcontent),并发送给管理域;3-8、管理域通信引擎对收到的cmdpkgVM中命令类型cmdtype进行判定:I)如果是本地平台操作,则转发给可信服务域TSD,TSD可信服务进程处理请求后将处理结果返回给管理域通信引擎;2)如果是对外操作,则将命令转发至管理进程处理,管理进程将处理结果返回给通信引擎;3-9、管理域通信引擎将收到的处理结果转发给标识为IDvm的用户域;3-10、用户域通信引擎将处理结果提交给上层安全应用。上述通信过程主要由通信引擎与相应的功能组件合作完成,用户域在整个通信过程中并不能感知到可信服务域的存在,其数据请求均通过管理域进行转发,进一步保障的可信服务域的安全性。4、迁移引擎迁移引擎负责实现基于可信服务域的可信虚拟平台快速迁移。如图3所示。考虑到可信虚拟平台单个虚拟机及整个平台的迁移情况,迁移过程分为a单个虚拟机迁移和b整个平台迁移两种情况。其主要方法为:4-1、源平台迁移引擎收到管理员的迁移命令后,向目标平台迁移引擎发出迁移请求 REQm:aenc (sign (type |rs, SKs), PKD);4-2、目标平台收到迁移请求,验证源平台的签名,根据迁移类型分配相应的资源:(I)单个VM迁移,为该VM其分配相应的资源(内存、文件系统等),并在目标平台TSDd 中创建空的 TSD 实例 instance =TSDId ;(2)所有使用TSD的VM迁移,为待迁移的多个VM及TSD分配相应资源,并确保目标平台中不存在其他TSD ;如果有其他TSD,为迁移完整的TSD,则需要将原有平台TSD删除。4-3、目标平台迁移引擎基于其TPMd生成一个随机数rD,并向源平台确认迁移连接建立:aenc (sign (rD |rs, SKD), PKs);4-4、源平台收到响应并验证目标平台签名后,迁移引擎生成一个用于迁移的对称密钥KM,该密钥由TPMs的可迁移密钥Ktpm封装后发送给目标平台,然后生成迁移数据:(I)单个迁移时,迁移引擎生成待迁移VM的镜像VM1、该VM对应的TSD实例instance =TSDIs及其状态数据后,使用Km对上述数据及双方随机数进行加密,然后基于SHA-1算法生成摘要MAC值,发送至目标平台:(senC(VMl| TSDIs |rs|rD,KM) | |MAC);(2)所有使用TSD的VM迁移时,迁移引擎使用Km对全部待迁移VM的镜像VM1、整个TSD及双方随机数加密,然后与其摘要值一起发送至目标平台(senc(VMl| TSD rs|rD,KM) I I MAC);
(3)用于加密迁移数据的对称密钥Km由TPM的可迁移密钥Ktpm封装后加密传输至目标平台:aenc ((senc (KM, KTPM)), PKd)。4-5、目标平台验证消息摘要,利用已有的TPM密钥迁移协议导入KTPM,并得到KM,解密迁移数据并验证随机数,验证通过后通知目标平台删除VM及对应的TSDs(或实例TSDIs);4-6、源平台删除源数据后通知目标平台,目标平台恢复TSD (或实例)及VM,完成迁移过程。尽管为说明本发明的目的公开了具体实施例和附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于实施例和附图所公开的内容,本发明要求保护的范围以权利要求书界定的范围为准。
权利要求
1.一种可信虚拟平台,包括硬件安全芯片、虚拟机监控器VMM、管理域、用户域,其特征在于还包括一可信服务域TSD ;所述可信服务域TSD利用扩展信任链为用户域建立可信运行环境,所述扩展信任链为管理域与虚拟机监控器VMM基于硬件安全芯片建立从虚拟平台底层硬件到可信服务域TSD的信任链。
2.如权利要求1所述的可信虚拟平台,其特征在于所述可信服务域TSD为虚拟平台上一轻量级微内核域,其中编译运行可信平台模块;所述可信服务域TSD为该虚拟化平台上各个用户域建立独立的密钥结构树。
3.如权利要求2所述的方法,其特征在于所述可信服务域TSD利用隐私认证权威PCA为所述用户域申请平台身份密钥AIK’的证书,为用户域提供信任证明。
4.一种可信虚拟平台构建方法,其步骤为: 1)构建一可信服务域TSD,并基于硬件安全芯片建立从虚拟平台底层硬件到TSD的扩展信任链,然后可信服务域TSD根据所述扩展信任链为用户域建立可信运行环境; 2)用户域上层安全应用调用本地可信服务,发送可信功能命令数据包给管理域; 3)管理域解析该可信功能命令数据包,如果是本地平台内部的操作,则将其转发至可信服务域TSD ;如果是对外部平台操作,则通过与可信服务域TSD及底层硬件安全芯片交互,由管理域直接处理该可信功能命令数据包; 4)可信服务域TSD将该可信功能命令数据包的处理结果发给管理域;管理域根据用户域标识,将处理结果返回用户域。
5.如权利要求1所述的方法,其特征在于构建所述可信服务域TSD的方法为:在虚拟化平台上创建并运行一个轻量级微内核域,其中编译运行可信平台模块,构建可信服务域TSD ;所述可信服务域TSD为该虚拟化平台上各个用户域建立独立的密钥结构树。
6.如权利要求2所述的方法,其特征在于所述可信服务域TSD利用隐私认证权威PCA为所述用户域申请平台身份密钥AIK’的证书,利用AIK’为用户域对外提供信任证明。
7.如权利要求4或5或6所述的方法,其特征在于所述扩展信任链的建立方法为:首先利用硬件安全芯片构建从底层信任根到虚拟机监控器再到管理域的基本信任链,然后在管理域启动之后、用户域启动之前,将可信服务域TSD作为一个功能域加载;或者采用动态信任根机制对所述基本信任链进行扩展,得到所述扩展信任链。
8.如权利要求4或5或6所述的方法,其特征在于管理域与可信服务域TSD之间建立一安全通信机制进行通信,其方法为: 1)可信服务域TSD向管理域发起连接请求包,其包括可信服务域TSD域标识ID、所需共享页的大小与数量; 2)管理域根据该连 接请求包分配相应资源并返回连接成功的状态响应,建立可信服务域TSD与管理域的通信连接。
9.如权利要求4或5或6所述的方法,其特征在于管理域与用户域之间建立一安全通信机制进行通信,其方法为: 1)用户域向管理域注册,注册信息中包括当前用户域标识、所需共享页大小及页数量; 2)管理域首先确定自己与可信服务域TSD已经建立连接,然后判断用户域ID是否小于可信服务域TSD的域ID,如果是则建立与用户域的连接,否则连接建立失败并通知用户域。
10.一种可信虚拟平台的平台之间数据迁移方法,其步骤为: 1)源平台向目标平台发起迁移请求;其中,所述源平台、目标平台均包括一可信服务域TSD ;所述可信服务域TSD利用扩展信任链为用户域建立可信运行环境,所述扩展信任链为管理域与虚拟机监控器VMM基于硬件安全芯片建立从虚拟平台底层硬件到可信服务域TSD的信任链; 2)目标平台根据该迁移请求分配出相应的资源;其中:a)如果迁移请求为单个虚拟机迁移,目标平台创建一空的虚拟机实例,并在其可信服务域TSD中创建一新的虚拟信任根实例山)如果迁移请求为所有使用源平台可信服务域TSDs的虚拟机迁移,目标平台创建与源平台数量一致的空虚拟机实例,并将目标平台原有TSDd删除; 3)目标平台通知源平台确认迁移连接建立; 4)源平台收集待迁移数据,将其发送给目标平台; 5)目标平台收到该迁移数据后,返回确认信息给源平台。
11.如权利要求10所述的方法,其特征在于构建所述可信服务域TSD的方法为:在虚拟化平台上创建并运行一个轻量级微内核域,其中编译运行可信平台模块,构建可信服务域TSD ;所述可信服务域TSD为该虚拟化平台上各个用户域建立独立的密钥结构树。
12.如权利要求11所述的方法,其特征在于所述可信服务域TSD利用隐私认证权威PCA为所述用户域申请平台身份密钥AIK’的证书,为用户域提供对外的信任证明。
13.如权利要求10或11或12所述的方法,其特征在于所述迁移请求包括迁移类型、源平台迁移引擎生成的随机数^签名信息;所述源平台采用目标平台的公钥加密所述迁移请求。
14.如权利要求13所述的 方法,其特征在于所述目标平台收到该迁移请求后,验证签名并得到随机数^,然后所述目标平台生成自己的随机数rD并与随机数rs—起返回所述源平台,确认迁移连接建立。
15.如权利要求14所述的方法,其特征在于所述源平台将随机数rs、随机数rD与所述待迁移数据一起生成消息摘要后,利用Km加密发送给目标平台;目标平台利用硬件安全芯片TPM的密钥迁移机制将源平台可迁移密钥Ktpm导入,解密收到的迁移数据,成功验证消息摘要及随机数后,通知源平台删除已迁移的源VM及对应的TSDs或实例;其中,用于加密数据的对称密钥Km由源平台迁移引擎生成,并使用硬件安全芯片TPM提供的可迁移密钥Ktpm保护。
全文摘要
本发明公开了一种可信虚拟平台及其构建方法、平台之间数据迁移方法。本可信虚拟平台包括硬件安全芯片、虚拟机监控器VMM、管理域、用户域,可信服务域TSD;TSD利用扩展信任链为用户域建立可信运行环境。本方法为构建可信服务域,然后建立管理域与TSD、管理域与普通用户域之间的安全通信机制,用户域通过与管理域交互完成其安全应用对可信功能的调用,管理域通过与TSD的交互完成可信命令的传输与处理;源平台迁移引擎与目标平台迁移引擎交互,将基于安全芯片与TSD生成的迁移数据迁移至目标平台,并在目标平台上恢复数据,完成TSD与虚拟机的快速迁移。本发明既提高可信服务的安全性,又能为平台提供灵活的运行与部署机制。
文档编号H04L29/06GK103139221SQ20131007265
公开日2013年6月5日 申请日期2013年3月7日 优先权日2013年3月7日
发明者常德显, 冯伟, 邵建雄, 杨波 申请人:中国科学院软件研究所