本发明专利技术公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域;本发明专利技术利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
【技术实现步骤摘要】
本专利技术公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域。
技术介绍
交换机是局域网中的一种重要设备,它可将用户收到的数据包根据目的地址转发到相应的端口。当收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接到哪个端口台上,通过内容交换矩阵迅速将数据包传送到目的端口。vSwitch(虚拟交换机)是利用虚拟平台,通过软件的方式形成交换机部件。跟物理交换机相比,虚拟交换机配置更加灵活,一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择;而且成本更加低廉,通过虚拟交换可以获得昂贵的物理交换机才能达到的性能。vSwitch通过主机上的物理网卡作为上行链路与外界网络进行连接。每个虚拟机有着自己的虚拟网卡(virtualNIC),每个virtualNIC有着自己的MAC地址和IP地址。vSwitch可划分出虚拟端口vPort。根据需要,vSwitch还可以支持二层转发、安全控制、端口镜像等功能。在vSwitch行驶功能时,往往虚拟机需要进行迁移,为保障虚拟机迁移的正确进行,本专利技术提供一种基于vSwitch的虚拟机证书迁移方法,利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。TPM(TrustedPlatformModule)是TCG组织提出的嵌在硬件平台上的可信平台模块,可以提高计算机系统的安全性。
技术实现思路
本专利技术提供一种基于vSwitch的虚拟机证书迁移方法,提出的具体方案是:一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。本专利技术的有益之处是:本专利技术源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;即本专利技术利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。附图说明图1本专利技术方法的框架示意图;图2本专利技术方法中MAC地址更新示意图。具体实施方式一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。根据上述方法及
技术实现思路
,结合附图对本专利技术做进一步说明。源主机按照PKI,即公钥基础设施规定的证书申请流程申请虚拟机证书,证书申请下来后,由平台管理者将证书连同私钥一起导出暂放在证书管理器中;当证书管理器中有证书存入时,证书管理器向TPM请求对证书加密,加密后的证书存放在证书管理器中;当虚拟机(VM)需要证书时,向证书管理器提出申请,证书管理器请求TPM对证书解密,然后颁发给虚拟机,其中证书管理器内并维护建立证书数据表,记录证书与虚拟机的一一对应关系;当虚拟机VM1迁移时,告知源主机证书管理器,源主机证书管理器分离出将要迁移的虚拟机的证书;此时,若多部虚拟机进行迁移时,可以按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书;同时Dom0域(特权域)虚拟机通过vNIC管理器与vSwitch交互广播本机MAC地址,并将目的端MAC地址添加到内部MAC地址表中;目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;从而实现虚拟机证书的安全存放、迁移及迁移路径的记录。即本专利技术利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。本文档来自技高网...
【技术保护点】
一种基于vSwitch的虚拟机证书迁移方法,其特征是源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
【技术特征摘要】
1.一种基于vSwitch的虚拟机证书迁移方法,其特征是源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
【专利技术属性】
技术研发人员:段同苑,郝虹,于治楼,
申请(专利权)人:浪潮集团有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。