[发明专利]一种基于净室环境的虚拟机安全迁移方法

摘要

本发明提供了一种基于净室环境的虚拟机安全迁移方法，通过该方法在虚拟机迁移之前验证目的物理计算机的可信性，保证虚拟机迁移到一个可信的物理计算机上，还可以确保虚拟机数据在传输过程中的机密性和完整性。而且该方法在一定程度上减少了迁移迭代的次数，提高了迁移效率，并且它的实现过程简单、易操作。

主权项

1.一种基于净室环境的虚拟机安全迁移方法，其特征在于，包括以下步骤：步骤1：源节点选择虚拟机迁移的目的节点，包括：步骤1.1：利用源节点的可信密钥的私钥对目的节点的ID进行加密，生成密文；步骤1.2：利用可信节点管理器的公钥对步骤1.1获得的密文和源节点的ID同时加密，生成密文；步骤1.3：源节点将步骤1.2生成的密文发送给可信节点管理器，进入步骤2；所述源节点是净室环境下的可信计算机，它运行着一个可信虚拟机，该虚拟机需要迁移到目的节点上去；所述目的节点是一台净室环境下的可信计算机，用于接收源节点迁移过来的虚拟机；所述可信节点管理器是位于净室环境之外，不受云服务提供商控制的用户运行的软件或者是用户委托可信第三方运行的软件；可信节点管理器维护着一张可信计算机的注册表，注册表包含可信计算机的身份标识码和可信密钥的公钥；可信节点管理器通过增加或删除注册表的记录来动态管理净室环境下的所有可信计算机；由可信节点管理器管理的计算机都是安全可信的；所述可信密钥是计算机自身根据非对称密钥机制生成的一个密钥对，包含一个公开密钥和一个私有密钥，私钥由拥有者自己保存，公钥则公布于众；所述公开密钥为公钥，所述私有密钥为私钥；所述ID是指节点的身份标识码，用以唯一标识一台净室环境下的计算机；步骤2：可信节点管理器利用基于步骤1.2生成的密文，验证目的节点是否安全可靠，包括：步骤2.1：可信节点管理器接收步骤1.3中源节点发送过来的密文使用自身可信密钥的私钥解密密文，得到的源节点的ID；步骤2.2：可信节点管理器根据步骤2.1得到的源节点的ID查询注册表，如果注册表中不存在该ID，则中断会话，结束本次虚拟机迁移；如果注册表中存在该ID，则进行如下操作：步骤2.3：可信节点管理器利用源节点的公钥继续解密密文得到目的节点的ID，再根据目的节点ID查询注册表；步骤2.4：如果目的节点的ID不在注册表中，当前目的节点不安全，则可信节点管理器发送给源节点一个认证失败消息，进入步骤3；如果存在，当前目的节点安全可靠，则可信节点管理器使用源节点的公钥加密目的节点的可信密钥的公钥，进入步骤2.5；步骤2.5：可信节点管理器用自身可信密钥的私钥再次加密步骤2.4生成的密文，并将最终密文发送给源节点，进入步骤3；步骤3：依据源节点接收的消息，判断是否生成迁移请求，包括：步骤3.1：若源节点接到的消息为认证失败，则返回步骤1；若源节点接收到的是密文，则源节点使用可信节点管理器管理的公钥对密文解密，进入步骤3.2；步骤3.2：源节点用自身私钥对解密之后的密文继续解密，得到目的节点的公钥；步骤3.3：源节点生成迁移请求，并利用自身可信密钥的私钥加密该迁移请求；步骤3.4：利用目的节点的可信密钥的公钥对步骤3.3加密生成的密文和源节点自身的ID同时加密，并将最后的密文发送至目的节点，进入步骤4；步骤4：对目的节点接收的密文进行解密和加密处理，包括：步骤4.1：利用目的节点自身的可信密钥的私钥对从源节点接收的密文进行解密，获得源节点的ID；步骤4.2：目的节点使用自身的私钥加密步骤4.1获得的源节点的ID，生成密文；步骤4.3：目的节点利用可信节点管理器的公钥对步骤4.2生成的密文和目的节点的ID同时加密，并将最后生成的密文发送至可信节点管理器，进入步骤5；步骤5：利用可信节点管理器基于步骤4.3的密文，验证源节点是否可信，包括：步骤5.1可信节点管理器采用自身的可信密钥的私钥对步骤4.3从目的节点发送过来的消息进行解密，获得目的节点的ID；步骤5.2：根据目的节点的ID查询注册表，如果该ID不存在于注册表中，则中断会话，结束本次虚拟机迁移；如果存在，则可信节点管理器用目的节点的公钥继续解密步骤4.3的密文得到源节点的ID；步骤5.3：可信节点管理器根据源节点的ID查询注册表，如果注册表中不存在该ID，源节点不可信，则回复目的节点一个认证失败消息；如果存在，源节点可信，则可信节点管理器使用目的节点的公钥加密源节点的可信密钥的公钥，生成密文；步骤5.4：可信节点管理器用自己的私钥加密步骤5.3生成的密文，最后将最终密文发送给目的节点，进入步骤6；步骤6：判断目的节点接受的消息类型，判断是否接受源节点的迁移请求，包括：步骤6.1：若目的节点从可信节点管理器接受的消息为认证失败，则结束本次虚拟机迁移；若目的节点接收的消息不是认证失败，则目的节点使用可信节点管理器的公钥对步骤5.4的密文解密，再用自身私钥对步骤5.4的密文继续解密，得到源节点的可信密钥的公钥；步骤6.2：目的节点用步骤6.1中得到的源节点的可信密钥的公钥继续解密步骤3.4中发送给目的节点的密文，得到迁移请求；步骤6.3：目的节点检查自身的可用资源，如果满足迁移请求资源，则用源节点的公钥加密请求成功消息并发送给源节点，进入步骤7；反之，回复源节点请求失败，进入步骤7；步骤7：依据源节点接收的步骤6.3发送过来的消息，判断源节点和目的节点之间是否进行商议会话密钥；若源节点从目的节点接收的消息为请求失败，则返回步骤1；若源节点从目的节点接收的消息是请求成功，则源节点生成一个会话密钥，将会话密钥和数字签名用目的节点的公钥同时加密，生成密文，最后将密文发送给目的节点，进入步骤8；所述会话密钥是源节点利用对称密钥机制随机生成的一个对称密钥，用于虚拟机迁移过程中数据传输的加密和解密；所述数字签名是源节点用自身私钥加密自身ID后的密文，目的节点用以确认消息来源；步骤8：依据目的节点接收步骤7发送来的密文，决定会话密钥的商议是否成功，包括：步骤8.1：目的节点用自身私钥对密文解密，得到会话密钥和源节点的数字签名；步骤8.2：目的节点用源节点的公钥对步骤8.1得到的数字签名进行解密，将解密的结果与步骤4.1中得到的源节点的ID进行匹配；如果二者相同，说明验证通过，则保留会话密钥，回复源节点成功信号，进入步骤9；反之，回复源节点失败信号，进入步骤9；步骤9：依据源节点接收的步骤8.2的消息，决定是否进行虚拟机数据的完整性验证，包括：步骤9.1：若源节点接收到目的节点发送的失败信号，则结束本次虚拟机迁移；步骤9.2：若源节点接收到目的节点发送的成功信号，则计算虚拟机身份的哈希值，然后用会话密钥对哈希值和虚拟机身份ID一起加密，最后将密文发送给目的节点，进入步骤10；步骤10：目的节点根据接收步骤9.2发送的密文，验证虚拟机数据的完整性，包括：步骤10.1：目的节点用会话密钥对密文解密，得到虚拟机的身份ID和哈希值；步骤10.2：目的节点对步骤10.1得到的虚拟机的身份ID进行哈希值计算，将计算结果与步骤10.1得到的哈希值进行匹配，若匹配成功，则保留虚拟机身份ID，并回复源节点成功信号，然后目的节点为虚拟机准备好资源空间，开始进行迁移虚拟机；反之，回复源节点失败信号，结束本次虚拟机迁移；步骤11：目的节点接收源节点进行虚拟机迁移过程中发送的消息，验证完整性后解密得到虚拟机迁移过程中发送的最后一批数据；源节点进行虚拟机迁移过程中发送的消息包括对虚拟机迁移的数据加密得到的密文和计算密文得到的哈希值；目的节点部署启动虚拟机，如果启动成功，则回复源节点迁移成功信号；反之，删除所有接收的虚拟机数据，回复迁移失败信号；步骤12：源节点接收步骤11目的节点发送的消息，如果是迁移成功信号，则删除虚拟机，释放其占用资源，完成本次虚拟机迁移；如果是失败信号，源节点放弃本次迁移，回到步骤1；所述净室环境是指用户签订安全服务协议之后的计算执行环境。