一种保护密钥的迁移方法、装置、设备及可读存储介质制造方法及图纸

技术编号:18208168 阅读:48 留言:0更新日期:2018-06-13 08:03
本发明专利技术公开了一种虚拟机迁移方法,该方法包括以下步骤:当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥,将交换密钥对应的目标密钥发送给源主机,以便源主机生成硬件密钥密文,获取并解密硬件密钥密文,获得硬件密钥;基于虚拟机迁移机制迁移目标虚拟机和软件密钥。在迁移虚拟机时,将其对应的硬件密钥密文同软件密钥一并迁移至目标主机中,并通过解密该硬件密钥密文可获取硬件密钥。进而使得迁移之后的虚拟机可在硬件密钥和软件密钥的作用下读取和利用硬件密码和软件密钥共同保护的内容。提升了迁移后的虚拟机的可用性。本发明专利技术还公开了一种虚拟机迁移装置、设备及计算机可读存储介质,具有相应的技术效果。

【技术实现步骤摘要】
一种保护密钥的迁移方法、装置、设备及可读存储介质
本专利技术涉及虚拟化安全
,特别是涉及一种虚拟机迁移方法、装置、设备及可读存储介质。
技术介绍
随着云计算和大数据的兴起,多数业务系统已经由原有的搭建在物理平台上的系统中迁移至了虚拟系统环境中。在虚拟系统中,Qemu尤其突出。Qemu(虚拟操作系统模拟器)可以模拟X86、ARM等多种平台。Qemu也是KVM、Xen等Hypervisor(虚拟机管理器)核心组件。部分Qemu模拟出的设备需要维护数据信息,这些信息一般存放在磁盘文件中,其中也包含一些敏感信息,对这些敏感信息的保护一般采用加密存储的方式进行,但软件密钥以文件形式存放在磁盘中,一旦密钥文件被窃取,敏感信息的保护也无从谈起,这大大降低了Qemu的安全性。在实际应用中,通常会涉及虚拟机的迁移,以处理各种业务。进行虚拟机迁移时,如何对虚拟机中的磁盘文件进行保护,以保证迁移之后的虚拟机的可用性等问题,是目前本领域技术人员急需解决的技术问题。
技术实现思路
本专利技术的目的是提供一种虚拟机迁移方法、装置、设备及可读存储介质,通过迁移虚拟机的硬件密码和软件密码,提升迁移之后的虚拟机的可用性。为解决上述技术问题,本专利技术提供如下技术方案:一种虚拟机迁移方法,包括:当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥;将所述交换密钥对应的目标密钥发送给所述源主机,以便所述源主机生成硬件密钥密文;获取并解密所述硬件密钥密文,获得所述硬件密钥;基于虚拟机迁移机制迁移所述目标虚拟机和软件密钥。优选地,在所述创建交换密钥之后,在将所述交换密钥对应的目标密钥发送给所述源主机,还包括:与所述源主机建立传输通道。优选地,将所述交换密钥对应的目标密钥发送给所述源主机,包括:通过所述传输通道将所述交换密钥对应的目标密钥发送给所述源主机。优选地,所述将所述交换密钥对应的目标密钥发送给所述源主机,包括:基于所述交换密钥,创建目标密钥;将所述目标密钥发送给所述源主机。优选地,所述目标密钥为所述交换密钥的公钥。优选地,创建交换密钥,包括:创建与所述迁移请求对应的交换密钥,并将所述交换密钥加载至目标硬件设备。优选地,所述获取并解密所述硬件密钥密文,获得所述硬件密钥,包括:获取所述硬件密钥密文;根据所述交换密钥解密所述硬件密钥密文,并将获得的所述硬件密钥存储至所述目标硬件设备。一种虚拟机迁移装置,包括:交换密钥创建模块,用于当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥;目标密钥发送模块,用于将所述交换密钥对应的目标密钥发送给所述源主机,以便所述源主机生成硬件密钥密文;硬件密钥获得模块,用于获取并解密所述硬件密钥密文,获得所述硬件密钥;虚拟机迁移模块,用于基于虚拟机迁移机制迁移所述目标虚拟机和软件密钥。一种虚拟机迁移设备,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现上述虚拟机迁移方法的步骤。一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述虚拟机迁移方法的步骤。应用本专利技术实施例所提供的方法,当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥,将交换密钥对应的目标密钥发送给源主机,以便源主机生成硬件密钥密文,获取并解密硬件密钥密文,获得硬件密钥;基于虚拟机迁移机制迁移目标虚拟机和软件密钥。在迁移虚拟机时,将其对应的硬件密钥密文同软件密钥一并迁移至目标主机中,并通过解密该硬件密钥密文可获取硬件密钥。进而使得迁移之后的虚拟机可在硬件密钥和软件密钥的作用下读取和利用硬件密码和软件密钥共同保护的内容。提升了迁移后的虚拟机的可用性。本专利技术还提供了一种虚拟机迁移装置、设备及一种计算机可读存储介质,具有上述技术效果,在此不再赘述。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种虚拟机迁移方法的实施流程图;图2为本专利技术实施例中一种虚拟机迁移方法的具体实施流程图;图3为本专利技术实施例中一种虚拟机迁移装置的结构示意图;图4为本专利技术实施例中一种虚拟机迁移设备的结构示意图。具体实施方式本专利技术的核心是提供一种虚拟机迁移方法,该方法包括:当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥,将交换密钥对应的目标密钥发送给源主机,以便源主机生成硬件密钥密文,获取并解密硬件密钥密文,获得硬件密钥;基于虚拟机迁移机制迁移目标虚拟机和软件密钥。在迁移虚拟机时,将其对应的硬件密钥密文同软件密钥一并迁移至目标主机中,并通过解密该硬件密钥密文可获取硬件密钥。进而使得迁移之后的虚拟机可在硬件密钥和软件密钥的作用下读取和利用硬件密码和软件密钥共同保护的内容。提升了迁移后的虚拟机的可用性。本专利技术的核心思想为:利用具备硬件密钥交换功能的芯片来完成硬件密钥迁移,并完成Qemu虚拟机及软件密钥的迁移,以保证Qemu虚拟机迁移后可以在目标平台正常使用软件密钥操作敏感数据。最终达到提升迁移后的计算机的可用性的目的。在实际应用中,在进行虚拟机的迁移的时候,可以具体结合硬件密钥存储芯片实现本专利技术提供的虚拟机迁移方法。例如,可以使用TPM2.0芯片实现虚拟机的迁移。其中,TPM2.0芯片为由TCG(TrustedComputingGroup,可信计算组织)发布的可信芯片,其包含了密钥管理、授权管理、身份管理等多种密码学功能,同时支持国密SM算法系列。与将软件密钥以文件的形式存放磁盘中的方法相比较,利用TPM2.0硬件密钥加密保护软件密钥的方法可以提供更安全的保证,保证加密时的效率,更好的保护软件密钥。本专利技术的另一核心是提供一种虚拟机迁移装置、设备及一种计算机可读存储介质,具有上述技术效果,在此不再赘述。为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。请参考图1,图1为本专利技术实施例中一种虚拟机迁移方法的流程图,该方法包括以下步骤:S101、当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥。源主机可以根据实际的需要,可以通过Qemu向目标主机发送目标虚拟机迁移请求。该迁移请求可以携带迁移对象、迁移要求等信息,如请求冷迁移或热迁移。目标主机在接收到源主机发送的目标虚拟机迁移请求之后,可以创建与迁移请求对应的交换密钥。需要说明的是,该交换密钥为在不同的主机之间交换硬件密钥的交互密钥,即,通过该交换密钥,可以将源主机中的硬件密钥迁移至目标主机。S102、将交换密钥对应的目标密钥发送给源主机。以便源主机生成硬件密钥密文。目标主机创建好交换密钥之后,可以将交互密钥对应的目标密钥发送给源主机。其中,目标密钥可以为交换密钥的公钥或私钥。具体的,目标主机可以基于交换密钥,创建目标密钥,将目标密钥发送给源主机。其中,目标密钥为交换密钥的公钥。源主机接收到目标密钥本文档来自技高网
...
一种保护密钥的迁移方法、装置、设备及可读存储介质

【技术保护点】
一种虚拟机迁移方法,其特征在于,包括:当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥;将所述交换密钥对应的目标密钥发送给所述源主机,以便所述源主机生成硬件密钥密文;获取并解密所述硬件密钥密文,获得所述硬件密钥;基于虚拟机迁移机制迁移所述目标虚拟机和软件密钥。

【技术特征摘要】
1.一种虚拟机迁移方法,其特征在于,包括:当接收到源主机发送的目标虚拟机迁移请求时,创建交换密钥;将所述交换密钥对应的目标密钥发送给所述源主机,以便所述源主机生成硬件密钥密文;获取并解密所述硬件密钥密文,获得所述硬件密钥;基于虚拟机迁移机制迁移所述目标虚拟机和软件密钥。2.根据权利要求1所述的虚拟机迁移方法,其特征在于,在所述创建交换密钥之后,在将所述交换密钥对应的目标密钥发送给所述源主机,还包括:与所述源主机建立传输通道。3.根据权利要求2所述的虚拟机迁移方法,其特征在于,将所述交换密钥对应的目标密钥发送给所述源主机,包括:通过所述传输通道将所述交换密钥对应的目标密钥发送给所述源主机。4.根据权利要求1所述的虚拟机迁移方法,其特征在于,所述将所述交换密钥对应的目标密钥发送给所述源主机,包括:基于所述交换密钥,创建目标密钥;将所述目标密钥发送给所述源主机。5.根据权利要求1所述的虚拟机迁移方法,其特征在于,所述目标密钥为所述交换密钥的公钥。6.根据权利要求1至5任一项所述虚拟机迁移方法,其特征在于,创建交换密钥,包括:创建与所述迁...

【专利技术属性】
技术研发人员:许鑫
申请(专利权)人:浪潮北京电子信息产业有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1