可信云平台虚拟可信根实例的操作方法及系统与流程

文档序号:15828895发布日期:2018-11-03 00:14阅读:638来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术

本发明涉及云计算技术领域,更具体的,涉及一种可信云平台虚拟可信根实例的操作方法及系统。

背景技术

可信计算(trustedcomputing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。tcg从行为角度来定义可信tcg提出的可信计算(trustedcomputing)。从行为的角度给出实体可信的定义:如果一个实体的行为总是符合所期望的方式达到预期的目标,那么它是可信的。

近年来,已经发展出tpm这样的全球通用标准,也有tcm和tpcm就是中国标准的芯片,可信根的和可信链的传递在纯粹物理环境下,已经有众多的应用和实现。但是在云计算的虚拟环境下,仍然存在如何实现云平台物理机、虚拟机、镜像存储等资源的可信和管理,基于物理可信根如何将可信根透传到虚拟机内部、基于可信根如何实现虚拟机的创建、初始化、销毁、备份、恢复、迁移等技术问题。



技术实现要素:

有鉴于此,本发明提供了一种可信云平台虚拟可信根实例的操作方法,实现可信云平台中虚拟可信根的创建、初始化、调度、销毁、备份和恢复。

为了实现上述发明目的,本发明提供的具体技术方案如下:

一种可信云平台虚拟可信根实例的操作方法,应用于可信云平台,包括:

可信云平台接收用户发送的虚拟机创建请求,根据可信资源池和虚拟机创建机制创建可信虚拟机,当可信云平台监测到虚拟机启动命令时,生成虚拟可信根、虚拟可信根数据通道,并将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定;

当可信云平台接收到用户发送的虚拟可信根备份请求时,根据预设备份机制对所述虚拟可信根进行备份;

当可信云平台接收到用户发送的虚拟机迁移请求时,根据预设迁移机制对所述虚拟机和虚拟可信根进行迁移;

当可信云平台接收到用户发送的虚拟机销毁请求时,根据预设销毁机制对所述虚拟机、所述虚拟可信根和虚拟可信根数据通道进行销毁;

当可信云平台接收到用户发送的虚拟可信根恢复请求时,根据预设恢复机制对所述虚拟可信根进行恢复。

可选的,可信云平台包括可信调度模块、可信认证模块、可信镜像模块、可信计算模块、可信网络模块、可信存储模块、可信宿主机、可信根管理模块、支持kvm可信管理的虚拟化层和虚拟可信管理器;

所述可信云平台接收用户发送的虚拟机创建请求,根据可信资源池和虚拟机创建机制创建可信虚拟机,当可信云平台监测到虚拟机启动命令时,生成虚拟可信根、虚拟可信根数据通道,并将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定,包括:

可信调度模块接收用户发送的虚拟机创建请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信认证模块向可信镜像模块发起镜像认证请求,向可信计算模块发起计算认证请求,向可信网络模块发起网络认证请求,并向可信存储模块发起存储认证请求;

当所有认证通过后,可信调度模块获取可信镜像资源、可信计算资源、可信网络资源和可信存储资源,并向可信宿主机发送虚拟机创建请求;

可信宿主机根据可信镜像资源、可信计算资源、可信网络资源和可信存储资源创建可信虚拟机;

可信调度模块调用支持kvm可信管理的虚拟化层启动所述可信虚拟机;

虚拟可信管理器监测到虚拟机启动命令时,通知可信根管理模块生成虚拟可信根和虚拟可信根数据通道;

可信根管理模块将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定。

可选的,可信云平台包括可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

所述当可信云平台接收到用户发送的虚拟可信根备份请求时,根据预设备份机制对所述虚拟可信根进行备份,包括:

可信调度模块接收用户发送的虚拟可信根备份请求,并向可信认证模块发起可信认证;

当可信认证通过后,可信调度模块向可信宿主机发起备份请求;

虚拟可信管理器监测到备份请求时,调用可信根管理模块,使可信根管理模块导出虚拟可信根,完成虚拟可信根的备份。

可选的,可信云平台包括可信调度模块、可信认证模块、虚拟机所在的原可信宿主机、目标可信宿主机、虚拟可信管理器、可信根管理模块和支持kvm可信管理的虚拟化层;

所述当可信云平台接收到用户发送的虚拟机迁移请求时,根据预设迁移机制对所述虚拟机和虚拟可信根进行迁移,包括:

可信调度模块接收用户发送的虚拟机迁移请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信认证模块向虚拟机所在的原可信宿主机发起迁移请求;

原可信宿主机调用支持kvm可信管理的虚拟化层,获取秘钥,根据密钥将虚拟机迁移到目标可信宿主机,并将虚拟机镜像磁盘和配置文件同步到目标可信宿主机;

虚拟可信管理器监测到虚拟机迁移请求时,调用可信根管理模块导出虚机可信根;

原可信宿主机将虚拟可信根、可信信息同步到目标可信宿主机;

同步完成后可信调度模块通知支持kvm可信管理的虚拟化层启动虚拟机;

目标宿主机调用可信根管理模块重新绑定虚拟机、虚拟可信根数据通道和虚拟可信根;

当绑定完成后可信认证模块调用支持kvm可信管理的虚拟化层删除原宿主机相关可信资源。

可选的,可信云平台包括可信调度模块、可信认证模块、可信宿主机、支持kvm可信管理的虚拟化层、虚拟可信管理器和可信根管理模块;

所述当可信云平台接收到用户发送的虚拟机销毁请求时,根据预设销毁机制对所述虚拟机、所述虚拟可信根和虚拟可信根数据通道进行销毁,包括:

可信调度模块接收用户发送的虚拟机销毁请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信调度模块向可信宿主机发起销毁请求;

可信宿主机调用支持kvm可信管理的虚拟化层删除虚拟机;

虚拟可信管理器监测到可信宿主机删除虚拟机时,调用可信根管理模块删除虚拟可信根和虚拟可信根数据通道。

可选的,可信云平台包括可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

所述当可信云平台接收到用户发送的虚拟可信根恢复请求时,根据预设恢复机制对所述虚拟可信根进行恢复,包括:

可信调度模块接收用户发送的虚拟可信根恢复请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信调度模块向可信宿主机发起恢复请求;

虚拟可信管理器监测到恢复请求时,调用可信根管理模块将虚拟可信根导入可信宿主机,使可信宿主机完成对虚拟可信根的恢复。

一种可信云平台虚拟可信根实例的操作系统,包括:

创建单元,用于可信云平台接收用户发送的虚拟机创建请求,根据可信资源池和虚拟机创建机制创建可信虚拟机,当可信云平台监测到虚拟机启动命令时,生成虚拟可信根、虚拟可信根数据通道,并将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定;

备份单元,用于当可信云平台接收到用户发送的虚拟可信根备份请求时,根据预设备份机制对所述虚拟可信根进行备份;

迁移单元,用于当可信云平台接收到用户发送的虚拟机迁移请求时,根据预设迁移机制对所述虚拟机和虚拟可信根进行迁移;

销毁单元,用于当可信云平台接收到用户发送的虚拟机销毁请求时,根据预设销毁机制对所述虚拟机、所述虚拟可信根和虚拟可信根数据通道进行销毁;

恢复单元,用于当可信云平台接收到用户发送的虚拟可信根恢复请求时,根据预设恢复机制对所述虚拟可信根进行恢复。

可选的,所述创建单元包括:可信调度模块、可信认证模块、可信镜像模块、可信计算模块、可信网络模块、可信存储模块、可信宿主机、可信根管理模块、支持kvm可信管理的虚拟化层和虚拟可信管理器;

可信调度模块,用于接收用户发送的虚拟机创建请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信认证模块,用于向可信镜像模块发起镜像认证请求,向可信计算模块发起计算认证请求,向可信网络模块发起网络认证请求,并向可信存储模块发起存储认证请求;

当所有认证通过后,可信调度模块,还用于获取可信镜像资源、可信计算资源、可信网络资源和可信存储资源,并向可信宿主机发送虚拟机创建请求;

可信宿主机,用于根据可信镜像资源、可信计算资源、可信网络资源和可信存储资源创建可信虚拟机;

可信调度模块,还用于调用支持kvm可信管理的虚拟化层启动所述可信虚拟机;

虚拟可信管理器,用于监测到虚拟机启动命令时,通知可信根管理模块生成虚拟可信根和虚拟可信根数据通道;

可信根管理模块,用于将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定。

可选的,所述备份单元包括:可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

可信调度模块,用于接收用户发送的虚拟可信根备份请求,并向可信认证模块发起可信认证;

当可信认证通过后,可信调度模块,还用于向可信宿主机发起备份请求;

虚拟可信管理器,用于监测到备份请求时,调用可信根管理模块,使可信根管理模块导出虚拟可信根,完成虚拟可信根的备份。

可选的,所述迁移单元包括:可信调度模块、可信认证模块、虚拟机所在的原可信宿主机、目标可信宿主机、虚拟可信管理器、可信根管理模块和支持kvm可信管理的虚拟化层;

可信调度模块,用于接收用户发送的虚拟机迁移请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信认证模块,用于向虚拟机所在的原可信宿主机发起迁移请求;

原可信宿主机,用于调用支持kvm可信管理的虚拟化层,获取秘钥,根据密钥将虚拟机迁移到目标可信宿主机,并将虚拟机镜像磁盘和配置文件同步到目标可信宿主机;

虚拟可信管理器,用于监测到虚拟机迁移请求时,调用可信根管理模块导出虚机可信根;

原可信宿主机,还用于将虚拟可信根、可信信息同步到目标可信宿主机;

同步完成后可信调度模块,还用于通知支持kvm可信管理的虚拟化层启动虚拟机;

目标宿主机,还用于调用可信根管理模块重新绑定虚拟机、虚拟可信根数据通道和虚拟可信根;

当绑定完成后可信认证模块,还用于调用支持kvm可信管理的虚拟化层删除原宿主机相关可信资源。

可选的,所述销毁单元包括:可信调度模块、可信认证模块、可信宿主机、支持kvm可信管理的虚拟化层、虚拟可信管理器和可信根管理模块;

可信调度模块,用于接收用户发送的虚拟机销毁请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信调度模块,还用于向可信宿主机发起销毁请求;

可信宿主机,用于调用支持kvm可信管理的虚拟化层删除虚拟机;

虚拟可信管理器,用于监测到可信宿主机删除虚拟机时,调用可信根管理模块删除虚拟可信根和虚拟可信根数据通道。

可选的,所述恢复单元包括:可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

可信调度模块,用于接收用户发送的虚拟可信根恢复请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信调度模块,还用于向可信宿主机发起恢复请求;

虚拟可信管理器,用于监测到恢复请求时,调用可信根管理模块将虚拟可信根导入可信宿主机,使可信宿主机完成对虚拟可信根的恢复。

相对于现有技术,本发明的有益效果如下:

本发明公开的一种可信云平台虚拟可信根实例的操作方法,实现了在云环境下虚拟机和虚拟可信根的创建、初始化、备份、迁移、销毁和恢复,通过对虚拟机、虚拟可信根和虚拟可信管理平台通道进行绑定,基于物理可信根将可信根透传到虚拟机内部,实现云平台物理机、虚拟机、镜像存储等资源的可信和管理,降低了云平台的安全风险。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。

图1为本发明实施例公开的一种可信云平台虚拟可信根实例的操作方法流程图;

图2为本发明实施例公开的一种创建虚拟机的方法流程图;

图3为本发明实施例公开的一种备份虚拟可信根的方法流程图;

图4为本发明实施例公开的一种迁移虚拟机的方法流程图;

图5为本发明实施例公开的一种销毁虚拟机的方法流程图;

图6为本发明实施例公开的一种恢复虚拟可信根的方法流程图;

图7为本发明实施例公开的一种可信云平台虚拟可信根实例的操作系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

请参阅图1,本实施例公开的一种可信云平台虚拟可信根实例的操作方法,应用于云平台,具体包括以下步骤:

s101:可信云平台接收用户发送的虚拟机创建请求,根据可信资源池和虚拟机创建机制创建可信虚拟机,当可信云平台监测到虚拟机启动命令时,生成虚拟可信根、虚拟可信根数据通道,并将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定;

可信虚拟机在可信资源池中进行创建的,可信资源池用于定义可信宿主机集群组,承载可信云平台中可信虚拟机和可信虚拟根等云平台资源。

当可信虚拟机启动,并完成可信虚拟机、虚拟可信根和虚拟可信根数据通道的绑定后,完成可信虚拟机实例的创建和初始化。

虚拟可信根数据通道具体为vtpcm通道,是在宿主机和虚拟机之间建立一个信任链接传递的通道环境,传递可信根信息、加密信息等。

当完成对所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道的绑定时,生成虚拟可信根实例。

s102:当可信云平台接收到用户发送的虚拟可信根备份请求时,根据预设备份机制对所述虚拟可信根进行备份;

s103:当可信云平台接收到用户发送的虚拟机迁移请求时,根据预设迁移机制对所述虚拟机和虚拟可信根进行迁移;

s104:当可信云平台接收到用户发送的虚拟机销毁请求时,根据预设销毁机制对所述虚拟机、所述虚拟可信根和虚拟可信根数据通道进行销毁;

s105:当可信云平台接收到用户发送的虚拟可信根恢复请求时,根据预设恢复机制对所述虚拟可信根进行恢复。

需要说明的是,创建、初始化、备份、迁移、销毁和恢复是虚拟机生命周期的多个阶段,备份、迁移、销毁和恢复是在创建并初始化虚拟机后进行的,备份、迁移和销毁之间没有先后顺序,可以理解的是,恢复是在销毁之后进行的。

可选的,可信云平台包括可信调度模块、可信认证模块、可信镜像模块、可信计算模块、可信网络模块、可信存储模块、可信宿主机、可信根管理模块、支持kvm可信管理的虚拟化层和虚拟可信管理器;

在此基础上,请参阅图2,所述可信云平台接收用户发送的虚拟机创建请求,根据可信资源池和虚拟机创建机制创建可信虚拟机,当可信云平台监测到虚拟机启动命令时,生成虚拟可信根、虚拟可信根数据通道,并将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定,包括:

s201:可信调度模块接收用户发送的虚拟机创建请求,并向可信认证模块发起可信认证请求;

可信调度模块是可信云平台中所有请求的入口,提供可信云平台所有请求调度,使可信云平台中的各个模块正常有序的工作,支撑整个可信云平台的调度。

虚拟机创建请求中携带有用户信息、用户创建虚拟机的需求信息等。

可信认证模块提供可信云平台中可信镜像、可信计算、可信网络、可信存储的资源认证,通过可信调度模块的协同调度机制,提供各个模块的可信保障。

s202:当可信认证通过后,可信认证模块向可信镜像模块发起镜像认证请求,向可信计算模块发起计算认证请求,向可信网络模块发起网络认证请求,并向可信存储模块发起存储认证请求;

可信镜像模块提供可信云平台中具备可信驱动的操作系统模板,系统内核含有虚拟可信驱动,为可信度量提供原始数据。

可信计算模块提供可信云平台虚拟计算资源。

可信网络模块提供可信云平台虚拟网络资源。

可信存储模块提供可信云平台虚拟存储资源。

s203:当所有认证通过后,可信调度模块获取可信镜像资源、可信计算资源、可信网络资源和可信存储资源,并向可信宿主机发送虚拟机创建请求;

s204:可信宿主机根据可信镜像资源、可信计算资源、可信网络资源和可信存储资源创建可信虚拟机;

s205:可信调度模块调用支持kvm可信管理的虚拟化层启动所述可信虚拟机;

s206:虚拟可信管理器监测到虚拟机启动命令时,通知可信根管理模块生成虚拟可信根和虚拟可信根数据通道;

s207:可信根管理模块将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定。

可选的,可信云平台包括可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

在此基础上,请参阅图3,所述当可信云平台接收到用户发送的虚拟可信根备份请求时,根据预设备份机制对所述虚拟可信根进行备份,包括:

s301:可信调度模块接收用户发送的虚拟可信根备份请求,并向可信认证模块发起可信认证;

s302:当可信认证通过后,可信调度模块向可信宿主机发起备份请求;

s303:虚拟可信管理器监测到备份请求时,调用可信根管理模块,使可信根管理模块导出虚拟可信根,完成虚拟可信根的备份。

可选的,可信云平台包括可信调度模块、可信认证模块、虚拟机所在的原可信宿主机、目标可信宿主机、虚拟可信管理器、可信根管理模块和支持kvm可信管理的虚拟化层;

支持kvm可信管理的虚拟化层为hypervisor。

在此基础上,请参阅图4,所述当可信云平台接收到用户发送的虚拟机迁移请求时,根据预设迁移机制对所述虚拟机和虚拟可信根进行迁移,包括:

s401:可信调度模块接收用户发送的虚拟机迁移请求,并向可信认证模块发起可信认证请求;

s402:当可信认证通过后,可信认证模块向虚拟机所在的原可信宿主机发起迁移请求;

s403:原可信宿主机调用支持kvm可信管理的虚拟化层,获取秘钥,根据密钥将虚拟机迁移到目标可信宿主机,并将虚拟机镜像磁盘和配置文件同步到目标可信宿主机;

s404:虚拟可信管理器监测到虚拟机迁移请求时,调用可信根管理模块导出虚机可信根;

s405:原可信宿主机将虚拟可信根、可信信息同步到目标可信宿主机;

s406:同步完成后可信调度模块通知支持kvm可信管理的虚拟化层启动虚拟机;

s407:目标宿主机调用可信根管理模块重新绑定虚拟机、虚拟可信根数据通道和虚拟可信根;

s408:当绑定完成后可信认证模块调用支持kvm可信管理的虚拟化层删除原宿主机相关可信资源。

可选的,可信云平台包括可信调度模块、可信认证模块、可信宿主机、支持kvm可信管理的虚拟化层、虚拟可信管理器和可信根管理模块;

在此基础上,请参阅图5,所述当可信云平台接收到用户发送的虚拟机销毁请求时,根据预设销毁机制对所述虚拟机、所述虚拟可信根和虚拟可信根数据通道进行销毁,包括:

s501:可信调度模块接收用户发送的虚拟机销毁请求,并向可信认证模块发起可信认证请求;

s502:当可信认证通过后,可信调度模块向可信宿主机发起销毁请求;

s503:可信宿主机调用支持kvm可信管理的虚拟化层删除虚拟机;

s504:虚拟可信管理器监测到可信宿主机删除虚拟机时,调用可信根管理模块删除虚拟可信根和虚拟可信根数据通道。

可选的,可信云平台包括可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

在此基础上,请参阅图6,所述当可信云平台接收到用户发送的虚拟可信根恢复请求时,根据预设恢复机制对所述虚拟可信根进行恢复,包括:

s601:可信调度模块接收用户发送的虚拟可信根恢复请求,并向可信认证模块发起可信认证请求;

s602:当可信认证通过后,可信调度模块向可信宿主机发起恢复请求;

s603:虚拟可信管理器监测到恢复请求时,调用可信根管理模块将虚拟可信根导入可信宿主机,使可信宿主机完成对虚拟可信根的恢复。

综上,本实施例公开的可信云平台虚拟可信根实例的操作方法,在虚拟可信根的创建、备份、迁移、销毁和恢复过程中,通过对虚拟机、虚拟可信根和虚拟可信管理平台通道进行绑定,实现虚拟可信根与物理可信根度量机制的信息传递通信,保护虚拟可信根在传递过程中支持kvm可信管理的虚拟化层(hypervisor)无需做底层代码修改,规避修改hypervisor带来的内核冲突风险。

本实施例中的可信云平台包括可信调度模块、可信认证模块、可信镜像模块、可信计算模块、可信存储模块、可信宿主机和虚拟可信管理器、可信根管理模块、支持kvm可信管理的虚拟化层、可信硬件、可信虚拟化模块、可信度量模块等,支持云平台虚拟可信根实例的动态构建和可信根在计算资源、虚拟化软件、存储资源、网络资源、云平台、应用系统等传递过程中的信任链机制,并实现宿主机、虚拟机、操作系统、kvm和hypervisor虚拟化、镜像、配置文件等资源的可信机制保障。

其中,可信硬件为支持可信框架的硬件,是物理可信根的基础,可信框架保证系统可信传递机制的可信性。可信虚拟化模块针对kvm虚拟化实现了改造,实现了kvm的可信虚拟化。

通过可信芯片提供物理可信根,保障物理机的可信,虚拟可信根是基于物理可信根,通过可信根管理模块生成的,通过可信云平台对虚拟可信根进行管理和传输。

本实施例公开的一种可信云平台虚拟可信根实例的操作系统,实现了在云环境下虚拟机和虚拟可信根的创建、初始化、备份、迁移、销毁和恢复,通过对虚拟机、虚拟可信根和虚拟可信管理平台通道进行绑定,基于物理可信根将可信根透传到虚拟机内部,实现云平台物理机、虚拟机、镜像存储等资源的可信和管理,降低了云平台的安全风险。

基于上述实施例公开的一种可信云平台虚拟可信根实例的操作方法,请参阅图7,本实施例对应公开了一种可信云平台虚拟可信根实例的操作系统,包括:

创建单元701,用于可信云平台接收用户发送的虚拟机创建请求,根据可信资源池和虚拟机创建机制创建可信虚拟机,当可信云平台监测到虚拟机启动命令时,生成虚拟可信根、虚拟可信根数据通道,并将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定;

备份单元702,用于当可信云平台接收到用户发送的虚拟可信根备份请求时,根据预设备份机制对所述虚拟可信根进行备份;

迁移单元703,用于当可信云平台接收到用户发送的虚拟机迁移请求时,根据预设迁移机制对所述虚拟机和虚拟可信根进行迁移;

销毁单元704,用于当可信云平台接收到用户发送的虚拟机销毁请求时,根据预设销毁机制对所述虚拟机、所述虚拟可信根和虚拟可信根数据通道进行销毁;

恢复单元705,用于当可信云平台接收到用户发送的虚拟可信根恢复请求时,根据预设恢复机制对所述虚拟可信根进行恢复。

可选的,所述创建单元701包括:可信调度模块、可信认证模块、可信镜像模块、可信计算模块、可信网络模块、可信存储模块、可信宿主机、可信根管理模块、支持kvm可信管理的虚拟化层和虚拟可信管理器;

可信调度模块,用于接收用户发送的虚拟机创建请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信认证模块,用于向可信镜像模块发起镜像认证请求,向可信计算模块发起计算认证请求,向可信网络模块发起网络认证请求,并向可信存储模块发起存储认证请求;

当所有认证通过后,可信调度模块,还用于获取可信镜像资源、可信计算资源、可信网络资源和可信存储资源,并向可信宿主机发送虚拟机创建请求;

可信宿主机,用于根据可信镜像资源、可信计算资源、可信网络资源和可信存储资源创建可信虚拟机;

可信调度模块,还用于调用支持kvm可信管理的虚拟化层启动所述可信虚拟机;

虚拟可信管理器,用于监测到虚拟机启动命令时,通知可信根管理模块生成虚拟可信根和虚拟可信根数据通道;

可信根管理模块,用于将所述可信虚拟机、所述虚拟可信根和所述虚拟可信根数据通道进行绑定。

可选的,所述备份单元702包括:可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

可信调度模块,用于接收用户发送的虚拟可信根备份请求,并向可信认证模块发起可信认证;

当可信认证通过后,可信调度模块,还用于向可信宿主机发起备份请求;

虚拟可信管理器,用于监测到备份请求时,调用可信根管理模块,使可信根管理模块导出虚拟可信根,完成虚拟可信根的备份。

可选的,所述迁移单元703包括:可信调度模块、可信认证模块、虚拟机所在的原可信宿主机、目标可信宿主机、虚拟可信管理器、可信根管理模块和支持kvm可信管理的虚拟化层;

可信调度模块,用于接收用户发送的虚拟机迁移请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信认证模块,用于向虚拟机所在的原可信宿主机发起迁移请求;

原可信宿主机,用于调用支持kvm可信管理的虚拟化层,获取秘钥,根据密钥将虚拟机迁移到目标可信宿主机,并将虚拟机镜像磁盘和配置文件同步到目标可信宿主机;

虚拟可信管理器,用于监测到虚拟机迁移请求时,调用可信根管理模块导出虚机可信根;

原可信宿主机,还用于将虚拟可信根、可信信息同步到目标可信宿主机;

同步完成后可信调度模块,还用于通知支持kvm可信管理的虚拟化层启动虚拟机;

目标宿主机,还用于调用可信根管理模块重新绑定虚拟机、虚拟可信根数据通道和虚拟可信根;

当绑定完成后可信认证模块,还用于调用支持kvm可信管理的虚拟化层删除原宿主机相关可信资源。

可选的,所述销毁单元704包括:可信调度模块、可信认证模块、可信宿主机、支持kvm可信管理的虚拟化层、虚拟可信管理器和可信根管理模块;

可信调度模块,用于接收用户发送的虚拟机销毁请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信调度模块,还用于向可信宿主机发起销毁请求;

可信宿主机,用于调用支持kvm可信管理的虚拟化层删除虚拟机;

虚拟可信管理器,用于监测到可信宿主机删除虚拟机时,调用可信根管理模块删除虚拟可信根和虚拟可信根数据通道。

可选的,所述恢复单元705包括:可信调度模块、可信认证模块、可信宿主机、虚拟可信管理器和可信根管理模块;

可信调度模块,用于接收用户发送的虚拟可信根恢复请求,并向可信认证模块发起可信认证请求;

当可信认证通过后,可信调度模块,还用于向可信宿主机发起恢复请求;

虚拟可信管理器,用于监测到恢复请求时,调用可信根管理模块将虚拟可信根导入可信宿主机,使可信宿主机完成对虚拟可信根的恢复。

本实施例公开的一种可信云平台虚拟可信根实例的操作系统,实现了在云环境下虚拟机和虚拟可信根的创建、初始化、备份、迁移、销毁和恢复,通过对虚拟机、虚拟可信根和虚拟可信管理平台通道进行绑定,基于物理可信根将可信根透传到虚拟机内部,实现云平台物理机、虚拟机、镜像存储等资源的可信和管理,降低了云平台的安全风险。

对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:杨立红;董爱强;李云鹏;徐晓轶;姚一杨;赵保华;高灵超;杨永艳;桂胜;王勇刚;安宁钰
  • 技术所有人:国网信息通信产业集团有限公司;全球能源互联网研究院有限公司;北京中电普华信息技术有限公司;国网浙江省电力有限公司;国网江苏省电力有限公司;国家电网公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
云会员管理系统相关技术
云短信平台相关技术
云管理系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2