一种基于可信计算的容器实时迁移方法技术

本发明专利技术公开一种基于可信计算的容器实时迁移方法。操作系统虚拟化与容器已经成为云计算中的关键技术。数据中心和云供应商对计算资源的控制使用户数据面临泄露的风险并降低了用户对数据的实际控制，带来了容器迁移过程的安全威胁。本发明专利技术引入迁移代理的概念，借助可信平台模块提出一种在安全的加密虚拟机中迁移容器的方法。目的地平台的真实性和完整性在数据传输之前通过远程认证来验证，迁移过程中容器内的进程保持不变，也不必重新启动。容器内数据通过迁移代理间的安全会话进行传输，其完整性和保密性在迁移过程中以及在目的地平台上都得到了保证，提升了容器迁移的安全性。提升了容器迁移的安全性。提升了容器迁移的安全性。

【技术实现步骤摘要】
一种基于可信计算的容器实时迁移方法


[0001]本专利技术属于虚拟化安全
，具体为一种基于可信计算的容器实时迁移方法。

技术介绍

[0002]容器化已经成为一种流行的方法，以可扩展的方式部署和运行软件。服务或应用程序作为进程组被隔离在容器中，使用操作系统(OS)级别的虚拟化。
[0003]所有运行容器所需的文件都在一个可移植和独立的镜像(Image)中提供。同样，数据中心和云计算中的共享资源变得越来越普遍。在一个系统出现资源短缺或维护的情况下，将运行中的容器迁移到另一个系统可以确保服务的持续执行和可用性。
[0004]容器从一个系统转移到另一个系统，并在目标系统继续执行而不中断，在这一过程中需要采取适当的措施来保护容器数据，防止恶意平台运营商利用了平台漏洞进行攻击或者非法访问。
[0005]运行容器的基础设施和相应的管理工具通常由数据中心供应商提供。然而数据和应用程序的完整性和保密性并不总是由数据中心的运营商保证。本专利技术通过可信计算技术确保数据在传输、静止和使用中的完整性和保密性，同时提供一个透明的容器迁移过程。
[0006]可信计算技术：可信计算技术是指从物理安全的可信根出发，在计算环境中构筑从可信根到应用的完整可信链条，以为系统提供可信度量、可信存储、可信报告等可信支撑功能，支持系统应用的可信运行。可信计算技术明确了信息系统的可信应从一个物理保护的、具备可信密码服务的可信根出发，通过一环套一环的可信扩展过程，将可信从可信根扩展到整个系统。可信计算技术明确了可信存储、可信报告和可信度量等机制的实施方式，提出了比较完整的可信体系实施的工程方法。
[0007]可信报告和可信认证：一般使用可信报告和可信认证机制来远程证明用户身份和平台可信性。可信报告和可信认证机制的基础是可信根中的背书密钥(EK，Endorsement Key)。背书密钥是系统的可信报告根，是一组非对称密钥，在每个可信根中唯一存在。EK一般用于用户和认证中心的关键鉴别密钥生成过程，在平台上生成与用户身份对应的AIK，平台用户可以使用AIK产生可信报告，向外界证明当前可信根的寄存器状态以及可信根中密钥的一些信息。利用可信报告中的这些信息，结合可信平台上的安全机制，实现对用户身份以及平台当前可信状况的远程认证。
[0008]CRIU：CRIU(Checkpoint/Restore In Userspace)是一个Linux软件，它可以冻结一个正在运行的容器(或一个单独的应用程序)，并将其状态检查点到磁盘上。保存的数据可以用来恢复应用程序，并完全按照冻结时的状态运行。利用这一功能，应用程序或容器的实时迁移、快照、远程调试和其他许多事情现在都可以实现。
[0009]虚拟机实时迁移：又称为热迁移(Live Migration)。是指在保证虚拟机上服务正常运行的同时，虚拟机在不同的物理主机之间进行迁移，其逻辑步骤与离线迁移几乎完全一致。不同的是，为了保证迁移过程中虚拟机服务的可用，迁移过程仅有非常短暂的停机时
间。迁移的前面阶段，服务在源主机运行，当迁移进行到一定阶段，目的主机已经具备了运行系统的必须资源，经过一个非常短暂的切换，源主机将控制权转移到目的主机，服务在目的主机上继续运行。对于服务本身而言，由于切换的时间非常短暂，用户感觉不到服务的中断，因而迁移过程对用户是透明的。实时迁移适用于对服务可用性要求很高的场景。
[0010]预拷贝迁移算法(Pre
‑
copy)：该算法核心思想是通过多次迭代拷贝将源虚拟机的内存拷贝到目的主机。当剩余内存中的脏页比率低于某一阈值时将源虚拟机挂起，将剩余的内存、CPU与I/O设备状态信息一并进行实时迁移。
[0011]后拷贝迁移算法(Post
‑
copy)：该算法先将源虚拟机的CPU与I/O设备状态信息进行实时迁移，然后在目的虚拟机对设备进行恢复。完成设备恢复后，目的虚拟机开始对外提供服务。之后再将源虚拟机的内存逐步拷贝到目的虚拟机上，直到所有源虚拟机的内存拷贝完成。
[0012]综合上述两种内存迁移算法优势，学术界提出名为“混合方法”的新迁移算法。这种算法将预拷贝与后拷贝算法进行有机结合，即先进行预拷贝操作，在保证源虚拟机正常运行的同时将全部的内存信息复制到目的虚拟机上，然后源虚拟机停机，将CPU和I/O设备信息传输到目的虚拟机中，之后启动目的虚拟机，在目的虚拟机端按照后拷贝的方法对内存脏页进行处理。

技术实现思路

[0013]本专利技术的目的是提出一种基于可信计算的容器实时迁移方法，该方案的整体架构如图1所示。
[0014]本专利技术引入了迁移代理角色(Migration Agents)，他们控制着容器的迁移。迁移代理是本身不能被迁移的虚拟机，它们与其他平台上的代理进行通信，判断对方迁移代理和平台是否可以信任，以及是否执行迁移过程。
[0015]本专利技术相关缩写说明如下：
[0016]P0:源平台；P1:目的平台；F0:源平台的可信芯片；F1:目的平台的可信芯片；MA0:源平台的迁移代理；MA1:目的平台的迁移代理。
[0017]本专利技术中迁移过程包括以下部分：
[0018]迁移环境建立：平台认证阶段以及迁移双方资源准备。
[0019]实时迁移阶段：实时迁移阶段包括预拷贝(Pre
‑
copy Phrase)、停机阶段(Downtime Phrase)和后拷贝阶段(Post
‑
copy Phrase)。
[0020]结束迁移阶段：目的虚拟机接收到全部内存，迁移完成，清理源虚拟机数据。
[0021]下述为本专利技术中迁移过程的详细内容，图2为迁移过程的时序图。
[0022]一、迁移环境建立
[0023]该步骤包括平台认证阶段以及迁移双方资源准备。实施步骤如下：
[0024]步骤1：源平台P0的可信芯片F0通过对本地环境进行安全度量后，使用背书密钥生成相应的身份认证密钥AIK作为平台的认证密钥，记为硬件平台认证密钥，并通过硬件认证CA签署证书证明其真实性。对于每个平台，由平台所有者的证书颁发机构为平台所有者密钥签署证书以证明其真实性，用以识别平台和它的所有者。当F0验证F1是一个有效的目的地后，创建迁移会话。
[0025]步骤2：源平台P0向源平台的迁移代理MA0发起执行迁移请求，并提供容器清单。清单中定义了允许的平台所有者证书(POCA)，并且只允许迁移到这些平台上。
[0026]步骤3：迁移代理MA0对选择的目的平台P1进行认证。MA0将目的地的可信芯片F1的平台所有者证书(POCA)密钥与清单中列出的授权目标平台的POCA进行比较。当P1被认证为有效的目的地，此次迁移便获得授权。
[0027]步骤4：迁移代理MA0向目的平台P1发起会话请求，P1启动目的平台的迁移代理MA1并返回联系信息。
[0028]步骤5：迁移代理MA0请求目的平台的迁移代理MA1提供证明报告，并发送一个随机数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信计算的容器实时迁移方法，其特征在于，该方法包括如下步骤：迁移环境建立：平台认证阶段以及迁移双方资源准备；实时迁移阶段：实时迁移阶段包括预拷贝(Pre
‑
copy Phrase)、停机阶段(Downtime Phrase)和后拷贝阶段(Post
‑
copy Phrase)；结束迁移阶段：目的虚拟机接收到全部内存，迁移完成，清理源虚拟机数据。2.根据权利要求1所述的容器实时迁移方法，其特征在于，所述迁移环境建立步骤具体包括：该步骤包括平台认证阶段以及迁移双方资源准备；实施步骤如下：步骤1：源平台P0的可信芯片F0通过对本地环境进行安全度量后，使用背书密钥生成相应的身份认证密钥AIK作为平台的认证密钥，记为硬件平台认证密钥，并通过硬件认证CA签署证书证明其真实性；对于每个平台，由平台所有者的证书颁发机构为平台所有者密钥签署证书以证明其真实性，用以识别平台和它的所有者；当F0验证F1是一个有效的目的地后，创建迁移会话；步骤2：源平台P0向迁移代理MA0发起执行迁移请求，并提供容器清单；清单中定义了允许的平台所有者证书(POCA)，并且只允许迁移到这些平台上；步骤3：迁移代理MA0对选择的目标平台P1进行认证；MA0将可信芯片F1的平台所有者证书(POCA)密钥与清单中列出的授权目标平台的POCA进行比较；当P1被认证为有效的目的地，此次迁移便获得授权；步骤4：迁移代理MA0向目的平台P1发起会话请求，P1启动迁移代理MA1并返回联系信息；步骤5：迁移代理MA0请求MA1提供证明报告，并发送一个随机数Nonce；步骤6：迁移代理MA1将证明请求转发给可信芯片F1；F1创建包含Nonce和MA1的公钥和度量信息的证明报告，并使用F1的芯片背书密钥(EK)生成的身份认证密钥(AIK)进行签名；步骤7：迁移代理MA0验证带有F1背书密钥生成的AIK签名的证明报告；成功验证后，双方身份认证完整，迁移环境建立完成。3.根据权利要求1所述的容器实时迁移方法，其特征在于，所述实时迁移阶段步骤具体包括：本阶段是实时迁移的核心流程；其中包括预拷贝(Pre
‑

【专利技术属性】
技术研发人员：王冠，殷刘智子，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：