[发明专利]虚拟机启动方法、相关设备和系统

说明书

技术领域

本申请涉及IT技术领域，具体涉及一种虚拟机启动方法、相关设备和系统。

背景技术

网络飞速发展，信息化在社会中不断深入，电子商务等相关应用日益广泛，技术的开放性和互联性带来很多的安全问题，即使云计算服务能够很大程度的节约存储量和计算数据的成本，却在信息安全服务方面仍然有很大的限制和问题，致使云计算平台不能更好的发挥其作用。

基于网络分配资源的云计算面临诸多的安全挑战，如身份认证安全、虚拟化安全和数据安全等等安全隐患，然而身份认证安全是网络信息安全的基础。在信息安全技术方面，从最早的静态口令身份认证技术到后续的生物认证（脸像、虹膜、指纹、掌纹、声音、笔迹）、智能卡（USB Key）认证、双因素认证等，其中，USB Key认证技术由于其方便、安全、易用的特点在各领域中得到了广泛应用。USB Key认证技术是用户与云计算服务器之间通过信息交互，对用户身份的合法性及权限进行了认证和授权，从而管理和约束用户对云计算服务器的访问。

然而，由于云计算环境的虚拟化、共享性，使得用户失去了对自己使用的虚拟机的完全控制，无法信任当前使用的虚拟环境是否安全。进一步，管理员可以在虚拟环境下以管理员的身份登录虚拟环境，在非授权的情况下使用虚拟机，对用户的利益造成损坏，可能带来极其严重的后果，同时阻碍了云业务的推广和发展，因而使得云计算的身份认证技术成为云计算发展的技术瓶颈。

发明内容

本申请实施例提供了一种虚拟机启动方法、相关设备和系统，解决了云环境中虚拟机被非法用户使用的问题。

第一方面，本申请实施例提供了一种虚拟机启动方法，包括：

云管理模块接收用户的启动虚拟机的请求；所述请求携带所述用户的用户身份认证信息；

所述云管理模块根据所述请求中的用户身份认证信息判断用户是否为合法用户；

如果是，所述云管理模块获取与所述用户对应的第一密钥，其中，在所述虚拟机被创建时，所述云管理模块针对所述用户生成所述第一密钥，使所述虚拟机的代理模块根据所述第一密钥加密所述虚拟机；

所述云管理模块发送所述第一密钥给所述虚拟机的代理模块，以使所述虚拟机的代理模块根据所述第一密钥对所述虚拟机进行解密，并启动所述虚拟机。

结合第一方面，在第一种可能的实施方式中，所述云管理模块接收所述启动虚拟机的请求之前，所述方法还包括：

所述云管理模块生成所述用户身份认证信息和所述第一密钥，其中，所述云管理模块包含可信赖平台模块，所述第一密钥由所述可信赖平台模块生成；

所述云管理模块发送所述用户身份认证信息以及所述第一密钥至所述用户的智能卡进行保存。

结合第一方面的第一种可能的实施方式，在第二种可能的实施方式中，所述云管理模块生成所述第一密钥之后，所述方法还包括：

所述云管理模块生成存储密钥；

所述云管理模块通过所述存储密钥加密所述第一密钥，并存储所述加密后的第一密钥。

结合第一方面的第二种可能的实施方式，在第三种可能的实施方式中，所述云管理模块获取与所述用户对应的第一密钥，包括：

获取与所述用户对应的通过所述存储密钥加密的所述第一密钥；

解密通过所述存储密钥加密的所述第一密钥。

结合第一方面的第一种可能的实施方式，在第四种可能的实施方式中，所述云管理模块获取与所述用户对应的第一密钥，包括：

所述云管理模块获取所述用户的智能卡中保存的所述第一密钥。

结合第一方面的第一种可能的实施方式或者第一方面的第三种可能的实施方式或者第一方面的第四种可能的实施方式，在第五种可能的实施方式中，所述虚拟机的代理模块包含可信赖平台模块，所述云管理模块发送所述第一密钥给所述虚拟机的代理模块，包括：

建立所述云管理模块的可信赖平台模块与所述虚拟机的代理模块的可信赖平台模块之间的信息传送安全通道，通过所述信息传送安全通道移植所述第一密钥至所述虚拟机的代理模块上的可信赖平台模块中。

结合第一方面，在第六种可能的实施方式中，所述启动所述虚拟机之后，所述方法还包括：

所述虚拟机的代理模块与所述用户的智能卡之间进行所述第一密钥的单向或双向认证，若所述第一密钥的单向或双向认证成功，启动所述虚拟机与所述用户之间的业务连接。

第二方面，本申请实施例提供了一种虚拟机启动方法，包括：

云管理模块接收用户的启动虚拟机的请求，所述请求携带所述用户的用户身份认证信息；