静态迁移过程中虚拟机与vTPCM的绑定方法与流程

本发明涉及信息安全领域，具体涉及一种在静态迁移过程中虚拟机与vtpcm的绑定方法。

背景技术：

随着云计算技术发展的日益成熟，云计算以其虚拟化、高可靠性、按需服务等优秀特点赢得了越来越多用户的青睐。而虚拟化技术作为云计算环境中的核心技术，给用户带来便利的同时也隐藏着巨大的安全问题，即一旦虚拟机甚至虚拟机管理器被恶意侵入或者控制，就有可能使得大量使用虚拟机服务的云租户的数据被泄露或者遭到破坏。而可信计算作为一种重要的安全技术为云环境下的虚拟化安全提供了一些新的解决方法。在底层物理机上利用我国自主可控主动免疫的可信计算机制，通过信任链的扩展，利用虚拟化技术为云平台上的每个虚拟机实例提供一个唯一对应的虚拟可信根vtpcm，建立起从底层硬件到云平台虚拟机的完整的可信链，从而为云平台的虚拟机安全提供可信保障。

虚拟机静态迁移技术是云计算技术的重要组成部分，可以实现服务器的负载均衡和在线维护，并提供了一种前瞻性灾备容错方案。虚拟机静态迁移具体指：将一台虚拟机从源平台迁移到目标平台，重新启动虚拟机之后所有数据以及状态能够安全平稳的运行，不影响云租户的正常使用。

在引入可信计算的云平台环境下，多个虚拟机实例是共享同一个底层物理硬件可信根tpcm，各个虚拟机实例可以使用各自唯一相对应的虚拟可信根vtpcm来实现敏感信息的安全存储以及自身平台的完整性报告。因此，为了保证迁移之后虚拟机在目标平台能够保证云环境下可信链的完整从而能够对虚拟机状态数据的完整性以及上层应用程序的安全提供可信保障，必须将虚拟可信根vtpcm随其服务的虚拟机实例一起绑定迁移。

当前的大多数研究人员对于静态迁移的研究重点主要集中在迁移过程中可信通道的建立或者平台间相互认证这两个方面，专利公开号为cn201480077888.7专利名称为“虚拟机迁移”的发明专利主要研究云环境下虚拟机的迁移，主要考虑的是通过迁移控制器在迁移平台间建立一个或者多个迁移协约并基于虚拟机的使用频率来对虚拟机进行迁移，并未提及迁移过程中利用虚拟可信根进行保护及二者绑定的关系。而虚拟机及其对应虚拟可信根vtpcm的安全绑定又关系到迁移过程中数据的完整性、虚拟机及其对应的虚拟可信根vtpcm绑定关系的唯一性以及迁移至目标平台后重新建立起从底层硬件芯片到上层云平台虚拟机中完整可信链，因此，在云平台下如何有效的保证静态迁移过程中虚拟机及其对应的虚拟可信根vtpcm的安全绑定是非常有必要的，更是应该成为本领域相关技术人员的研究重点。

技术实现要素：

有鉴于此，本发明的目的在于提供一种云平台下的静态迁移过程中的虚拟机及其对应的虚拟可信根vtpcm的绑定方法。

本发明的特征在于，依次含有以下步骤：

步骤1：在源平台拷贝待迁移虚拟机及虚拟可信根相关状态数据并使用相关加密算法进行加密；

步骤2：使用对称加密算法对步骤1的加密数据进行加密，使用非对称加密算法公钥对本步骤使用的对称加密算法的密钥进行加密，并将加密结果通过可信通道发送至目标平台；

步骤3：在目标平台得到源平台发送的相关数据，首先使用非对称加密算法私钥对步骤2中被加密的对称加密密钥进行解密，然后使用解密后的对称加密算法密钥对步骤1的加密数据进行解密，然后验证数据的完整性是否遭到破坏，如果遭到破坏则删除迁移至目标平台的虚拟机实例状态数据及虚拟可信根数据；如果没有遭到破坏则在目标平台恢复虚拟机实例及其对应的虚拟可信根的状态；

步骤4：首先利用虚拟机的唯一标识及其相对应的虚拟可信根实例的唯一标识的映射关系建立映射表，并将该映射表作为绑定关系唯一性的判断准则，然后判断绑定关系的唯一性是否遭到破坏，如果遭到破坏则删除迁移至目标平台的虚拟机实例数据及虚拟可信根数据；如果没有遭到破坏则将绑定关系加入到目标平台的关联列表中，并将源平台的关联列表的绑定关系删除；

步骤5：将源平台的虚拟机实例和虚拟可信根删除，在目标平台将迁移来带有虚拟机绑定标识的虚拟可信根纳入虚拟可信根管理器的管理。本发明的优点是不仅能够保证被迁移虚拟机实例及其对应的虚拟可信根vtpcm绑定关系的唯一性及安全性从而能够使得虚拟机实例在目标平台能够通过虚拟可信根vtpcm重新建立起延伸至虚拟机的完整信任链，而且还能提供对虚拟机实例及虚拟可信根vtpcm的原子性保护。

附图说明

图1为本发明实施实例的整体流程图。

图2为本发明实施实例的绑定迁移关系图，vtpcm为虚拟可信根，vtpcm管理器为虚拟可信根管理器，vm_id为虚拟机的唯一通用标识，vtpcm_id为虚拟可信根的唯一标识。

具体实施方式

下面将结合本发明实施例中的附图，对本发明的技术方案进行清晰、详细的描述。

本发明提供一种静态迁移过程中虚拟机实例与虚拟可信根vtpcm的安全绑定方法，该方法通过在虚拟可信根管理器中增加虚拟机实例及其对应的虚拟可信根vtpcm绑定关系的映射列表、设计相关待迁移虚拟机及虚拟可信根vtpcm状态数据的加解密机制及验证状态数据的唯一性和二者绑定关系的对比机制来保证被迁移虚拟机实例及其对应的虚拟可信根的原子性以及它们绑定关系的唯一性。

本发明通过对迁移过程中待迁移虚拟机实例及虚拟可信根vtpcm的安全绑定的方法解决了迁移过程中因虚拟机实例与虚拟可信根vtpcm绑定关系不够健壮与明确而易遭受破坏而导致的迁移到目标平台后虚拟可信根不能成为被迁移虚拟机信任“锚点”从而致使可信链无法延伸至虚拟机层面的问题，以及被迁移状态数据的完整性遭到破坏而使得虚拟机实例及其虚拟可信根vtpcm在目标平台不能恢复迁移之前的状态的问题，从而使得被迁移虚拟机在目标平台能够正确的被操作使用并重新建立起从底层硬件到虚拟机上层应用的完整可信链。具体包括：

迁移动作发生之前，由宿主机的关联列表来标识虚拟机及其对应的虚拟可信根vtpcm的唯一绑定关系。所述关联列表存放在虚拟可信根管理器中，主要用于保存虚拟机实例与其相应的虚拟可信根vtpcm的映射关系；虚拟机实例的唯一性主要由其通用唯一识别码来标识，虚拟可信根vtpcm的唯一性由经过该虚拟可信根实例使用国产密码杂凑算法sm3对虚拟背书秘钥vek进行哈希运算得到的数据来标识。

当迁移动作发生时，经过目标平台和源平台的相互安全认证以及可信迁移通道的安全建立之后，通过设计的加密机制对待迁移的虚拟机实例的状态数据及其对应的虚拟可信根vtpcm相关待迁移数据进行加密，保证其迁移至目标平台后数据的完整性不遭受破坏。然后在使用协商密钥簇中的相关密钥对上一步的解密数据及对称加密密钥进行加密，并通过可信通道将最终的加密结果数据发送至目标平台。

当把虚拟机实例及虚拟可信根vtpcm整体迁移至目标平台之后，首先对虚拟机实例及其相关联的虚拟可信根vtpcm的完整性和不可篡改性做验证。验证通过则表明数据的完整性未遭受破坏，并恢复虚拟机和虚拟可信根vtpcm的状态。通过在目标平台得到被迁移的虚拟机的通用唯一识别码和当前虚拟可信根vtpcm使用国产密码杂凑算法sm3对其虚拟背书秘钥vek进行哈希运算得到的两组数据与源平台的关联列表中被迁移虚拟机实例及其对应的虚拟可信根vtpcm的映射关系数据进行比较，若相同，则表明绑定关系的唯一性没有遭到破坏。

最后，当迁移数据的完整性和绑定关系的唯一性都通过验证之后，在源平台将它们的关联映射关系从关联表中删除，然后增加到目标平台的由虚拟可信根管理器维护的关联列表中。在源平台将被迁移的虚拟机实例删除、通过源平台的虚拟可信根管理器将虚拟机实例所对应的可信根vtpcm删除，并在目标平台将恢复状态的虚拟可信根vtpcm重新纳入该平台虚拟可信根管理器的管理。若迁移数据的完整性和绑定关系的唯一性验证不通过，则删除迁移至目标平台的虚拟机实例及虚拟可信根vtpcm的相关数据，保证虚拟机及其对应的虚拟可信根vtpcm的原子性。

本发明实施例的核心是静态迁移过程中虚拟机实例及其对应的虚拟可信根vtpcm的安全绑定，从而能够行之有效的保障openstack云平台下，在保证可信链的完整性不遭受任何破坏或者迟滞的情况下，虚拟机实例及其对应的虚拟可信根vtpcm迁移动作的安全进行。

为了使本领域技术人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细解释说明。

应当理解，虽然本说明书根据实施方式加以描述，但是并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为了清楚起见，本领域的技术人员应当将说明书作为一个整体，各个实施方式中的技术方案也可以适当组合，按照本领域技术人员的理解来实施。

上文所列出的一系列详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用于限制本发明的保护范围，凡是未脱离发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

云管理项目openstack在本发明中主要包括一个控制节点controllernode1和计算节点1computenode1、计算节点2computenode2。控制节点运行身份认证服务，镜像服务，计算服务nova的管理部分，网络的管理部分，各种网络代理和仪表板。它还包括支持服务，如sql数据库，消息队列等，可选地，控制节点运行块存储，对象存储，编排和计量服务的部分。

控制节点至少需要两个网络接口，以满足需要：一个是管理/数据网络，用于主机节点间的数据传输和网络连接，另一个是公共网络，用于虚拟机实例的网络连接。管理/数据网络的网段为：172.21.5.0/24；公共网络的网段为：192.168.1.0/24。

计算节点运行计算服务nova的操作系统部分来操作实例。计算节点还运行网络服务代理，用于提供虚拟机实例及其网络连接，并通过安全组为实例提供防火墙服务。每个计算节点至少需要两个网络接口，作用与控制节点相同。在云管理项目openstack环境中可以部署多个计算节点，以增加整个云管理项目openstack环境的计算资源的容量和体量。

迁移之前：源平台计算节点1computenode1及目标平台计算节点2computenode2上均维护的有运行在其上的虚拟机实例及其相对应的虚拟可信根vtpcm的映射关系列表。关联列表由虚拟可信根管理器持有并维护，映射关系列表的格式如下：

vm_id：虚拟机的唯一标识，该vm_id为云平台下某个特定虚拟机实例的唯一通用标识，具体获取方法多样，在本发明中不作特别阐述。

vtpcm_id：虚拟机对应的虚拟可信根vtpcm的唯一标识数据，得到虚拟可信根vtpcm的唯一标识数据的详细方法：首先，获取代表该虚拟可信根vtpcm平台身份的背书密钥，记为vek；然后利用该虚拟可信根vtpcm的国产密码杂凑算法sm3对虚拟可信根的背书秘钥vek进行哈希运算，得到最终数据即为虚拟可信根vtpcm的唯一标识数据，即vtpcm_id。

下面介绍本发明实施例的具体实施方式：

迁移动作发生时候：首先，对待迁移的虚拟机实例的镜像数据以及其对应的虚拟可信根vtpcm的相关待迁移数据进行拷贝，并使用该虚拟可信根vtpcm的对称密钥算法sm4对上述拷贝数据加密，并将得到的数据记为data01；然后将加密结果data01保存在一个文件中并使用该虚拟可信根vtpcm实例的非对称密钥算法sm2公钥进行加密，将得到文件加密数据记为data02；接下来使用使用协商秘钥簇中的非对称秘钥的公钥的对对称秘钥sm4进行加密，得到的数据记为data03；

值得说明的是，协商密钥簇为迁移过程中建立可信通道过程中使用的一系列密钥。

使用可信通道建立过程中的协商秘钥簇中的对称秘钥对(data01||data02||data03)进行加密，并将得到数据记为encdata1。然后使用协商秘钥中的非对称秘钥的公钥对对称秘钥进行加密得到数据记为encdata2。接下来将encdata1和encdata2通过静态迁移安全通道发送至目标平台。

值得说明的是在本实施例中，目标平台与源平台相互之间的可信认证以及迁移过程中的安全可信通道的建立并不是本发明研究的重点，在此实施例对上述二者的建立方式并不做过多的阐述与规定。

迁移之后：在目标平台得到源平台发送的数据之后。

第一步：使用协商秘钥中非对称秘钥算法的私钥对上述数据encdata2进行解密，得到被加密的协商密钥簇中的对称密钥。

第二步：使用解密后的对称秘钥对数据encdata1进行解密得到上述被加密的数据data01、data02、data03。

第三步：使用协商密钥簇中的非对称密钥的私钥对上述数据data03进行解密，得到虚拟可信根vtpcm中的对称密钥算法sm4的对称密钥。

第四步：利用第三步得到的对称密钥解密上述被加密数据data01，解密得到虚拟机实例以及虚拟可信根vtpcm数据；此时再使用该虚拟可信根vtpcm存放的国密非对称算法sm2的私钥对数据data02进行解密并将得到结果数据记为decdata1。

将decdata1与上述数据data01进行对比，若相同，则表明虚拟机及其相对应的虚拟可信根vtpcm实例的完整性未遭到破坏。

恢复状态的方法在本实例中不作具体阐述与限定，静态迁移中可以由多种方式恢复虚拟机实例状态及其对应的虚拟可信根vtpcm状态的方法。

第五步：将虚拟机实例及其相对应的虚拟可信根vtpcm恢复至迁移前的状态。恢复状态后，再次通过得到虚拟机的唯一通用标识vm_id和当前虚拟可信根vtpcm的唯一通用标识vtpcm_id与源平台的关联列表被迁移虚拟机实例与虚拟可信根vtpcm的映射关系数据进行比较。

若相同，说明虚拟机实例及其对应的虚拟可信根vtpcm的一致性没有遭到破坏，则在当前平台上重新确定虚拟机实例和其对应的虚拟可信根vtpcm的绑定关联关系，并把该关联关系的映射关系数据添加到目标平台的关联列表中。最后，在源平台将被迁移的虚拟机实例以及其对应的虚拟可信根vtpcm的关联映射关系从关联表中删除，同时删除源平台的虚拟机实例以及对应的虚拟可信根vtpcm。在源平台将被迁移的虚拟机实例及其对应的由虚拟可信根管理器管理的虚拟可信根vtpcm删除之前，要首先确定目标平台的虚拟机实例以及其相对应的虚拟可信根vtpcm已经正常启动，并恢复至被迁移之前的状态。同时在目标平台上将迁移来的虚拟可信根vtpcm纳入虚拟可信根管理器的管理。等到一切状态恢复之后，再在源平台对虚拟机进行删除以及通过源平台的虚拟可信根管理器对被迁移的虚拟可信根vtpcm进行相应的销毁，以保证虚拟机实例及其对应的虚拟可信根vtpcm数据的原子性。

若不相同，则说明在目标平台上的绑定关系不成立，则删除迁移至目标平台的虚拟机实例及对应的虚拟可信根vtpcm以及其他通过可信通道迁移到目标平台的数据。

本发明实施例中所涉及的静态迁移过程中虚拟机实例与虚拟可信根vtpcm绑定的方法给出了一种明确而又清晰的绑定关系，具有别的论文中所提出的隐式的绑定关系所不具备的健壮性，稳定的绑定关系不仅能够确定虚拟机实例及虚拟可信根对应的唯一关系而且能够在被迁移至目标平台后重新建立从底层硬件到上层虚拟机完整信任关系。同时本发明实施例还考虑了别的发明专利中所没有提到的相关待迁移虚拟机实例及虚拟可信根vtpcm状态数据的完整性及原子性保护，相关状态数据的完整性不仅是重新恢复被迁移虚拟机实例状态的前提，更是对虚拟机及其对应的虚拟可信根vtpcm的绑定关系的一个隐式保护。

上述实例仅仅为本发明的较佳实施例，并非用于限定本发明的保护范围，本领域的技术人员可以在不脱离本发明的宗旨和精神的情况下对本发明的细节做出修改或者变型。