国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種可信虛擬平臺及其構(gòu)建方法、平臺之間數(shù)據(jù)遷移方法

      文檔序號:7553137閱讀:246來源:國知局
      專利名稱:一種可信虛擬平臺及其構(gòu)建方法、平臺之間數(shù)據(jù)遷移方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種可信虛擬平臺及其構(gòu)建方法,尤其是涉及一種基于可信服務(wù)域的可信虛擬平臺及其構(gòu)建方法、平臺之間數(shù)據(jù)遷移方法,屬于信息安全技術(shù)領(lǐng)域。
      背景技術(shù)
      目前,以虛擬化技術(shù)為基礎(chǔ)的云服務(wù)的快速發(fā)展與應(yīng)用,使虛擬化平臺得到進(jìn)一步推廣、使用,其安全問題也成為用戶關(guān)注的焦點(diǎn)。以虛擬化技術(shù)為支撐的新型計算環(huán)境中(例如Infrastructure as a Service,設(shè)施即服務(wù)IaaS云),資源與服務(wù)是以虛擬機(jī)的方式提供,用戶失去了對其數(shù)據(jù)的控制,無法像使用本地資源一樣實(shí)施安全管理,不能確保其數(shù)據(jù)與服務(wù)的可靠。同時,虛擬化平臺利用其隔離特性支持并發(fā)運(yùn)行多個虛擬機(jī),以節(jié)省企業(yè)運(yùn)營成本、提高資源利用效率,但也出現(xiàn)了眾多針對該特性的攻擊,導(dǎo)致用戶隱私數(shù)據(jù)泄露。因此,亟需解決虛擬化平臺可信運(yùn)行環(huán)境構(gòu)建問題??尚庞嬎慵夹g(shù)基于硬件安全芯片TPM(Trusted Platform Module,可信平臺模塊),通過建立從底層硬件到上層應(yīng)用程序的信任鏈,并利用可信度量與遠(yuǎn)程證明機(jī)制為外部提供信任證明,為用戶構(gòu)建平臺的可信運(yùn)行環(huán)境。因此,利用可信計算技術(shù)構(gòu)建虛擬化平臺可信運(yùn)行環(huán)境是目前研究的熱點(diǎn)??紤]到虛擬化平臺架構(gòu)并發(fā)運(yùn)行多操作系統(tǒng)實(shí)例的特殊性,需要為每個用戶域提供信任服務(wù),因此必須實(shí)現(xiàn)信任根的虛擬化,以避免硬件信任根資源使用沖突的問題,在此基礎(chǔ)上建立虛擬信任根與硬件信任根之間的綁定關(guān)系,并利用已有可信計算機(jī)制構(gòu)建可信虛擬平臺。針對不同的安全應(yīng)用需求,可信虛擬平臺的具體實(shí)現(xiàn)方案可能多種多樣。瑞士蘇黎世技術(shù)聯(lián)合研究所提出并實(shí)現(xiàn)了 TPM模擬器TPM emulator,以軟件形式實(shí)現(xiàn)了 TPM可信芯片的大部分功能,為TPM的虛擬化奠定了基礎(chǔ)。之后,IBM提出可信虛擬平臺實(shí)現(xiàn)方案,將虛擬信任根νΤΡΜ實(shí)現(xiàn)于虛擬化平臺管理域,首先基于硬件信任根建立從底層硬件到虛擬信任根的信任鏈,然后利用虛擬信任根為多個用戶虛擬機(jī)提供獨(dú)立的信任根實(shí)例,構(gòu)建完整的可信虛擬平臺,并給出νΤΡΜ遷移及平臺遠(yuǎn)程證明的方案。德國波鴻魯爾大學(xué)在此基礎(chǔ)上,對基于νΤΡΜ的證明方案進(jìn)行了優(yōu)化,提出基于屬性的νΤΡΜ以提高可信虛擬平臺遠(yuǎn)程證明的效率。國內(nèi)的武漢大學(xué)、北京工業(yè)大學(xué)等研究機(jī)構(gòu)也針對可信虛擬平臺構(gòu)建提出了許多優(yōu)化方案,主要考慮虛擬信任根與硬件信任根之間的映射關(guān)系及平臺應(yīng)用等方面。然而,現(xiàn)有可信虛擬平臺的構(gòu)建方法還不能適應(yīng)在新型計算環(huán)境(如云計算)中大規(guī)模應(yīng)用的需求,主要存在以下不足:1、虛擬信任根的運(yùn)行與維護(hù)導(dǎo)致平臺受攻擊的可能性不斷增加?,F(xiàn)有方法主要基于XEN虛擬化平臺特權(quán)管理域,使用該域中的管理進(jìn)程負(fù)責(zé)整個虛擬信任根可信功能調(diào)度與運(yùn)行。由于管理域中運(yùn)行著眾多守護(hù)進(jìn)程,由于虛擬信任根的運(yùn)行維護(hù)使得管理域的代碼量不斷增加,其功能也更加復(fù)雜,導(dǎo)致其受攻擊的可能性增加。2、現(xiàn)有方法中νΤΡΜ與管理域強(qiáng)綁定,與管理域的過度耦合使得可信虛擬平臺不易快速部署與功能遷移?,F(xiàn)有可信虛擬平臺方案過度依賴于管理域,增加了可信服務(wù)在大 型計算環(huán)境中的部署難度,也無法滿足這些環(huán)境對可信功能快速遷移的需求。

      發(fā)明內(nèi)容
      本發(fā)明要解決的是現(xiàn)有可信虛擬平臺構(gòu)建方法中管理域代碼量不斷增加以及過度依賴管理域而導(dǎo)致受攻擊可能性增加、不易靈活部署與快速遷移的問題。為此,本發(fā)明提供了一套基于可信服務(wù)域TSD(Trusted Service Domain)的可信虛擬平臺及其構(gòu)建方法、平臺之間數(shù)據(jù)遷移方法。本發(fā)明通過設(shè)置一獨(dú)立的可信服務(wù)域TSD(即虛擬機(jī))為并發(fā)用戶虛擬域提供虛擬信任根,而不是已知方法中的管理域中的一個程序,因此使得可信虛擬平臺易于部署、便于運(yùn)行與遷移;同時因?yàn)門SD功能單一,且是獨(dú)立域,這樣就能夠基于虛擬平臺提供的域間隔離機(jī)制提高可信服務(wù)的安全性。本發(fā)明涉及的可信虛擬平臺涉及以下主要組件:硬件安全芯片、虛擬機(jī)監(jiān)控器VMM (Virtual Machine Monitor)、管理域、可信服務(wù)域、普通用戶域。其中,硬件安全芯片用于提供硬件信任,VMM與管理域負(fù)責(zé)對虛擬平臺所屬資源進(jìn)行分配,并負(fù)責(zé)域間隔離及數(shù)據(jù)通信,可信服務(wù)域用于為并發(fā)用戶域(即普通用戶域)提供虛擬信任根。本發(fā)明涉及的基于可信服務(wù)域的可信虛擬平臺構(gòu)建方法及平臺數(shù)據(jù)遷移方法為:1、構(gòu)建可信服務(wù)域,并基于硬件安全芯片建立從虛擬平臺底層硬件到TSD的擴(kuò)展信任鏈,然后利用TSD為用戶域建立可信運(yùn)行環(huán)境;2、建立管理域與TSD、管理域與普通用戶域之間的安全通信機(jī)制,用戶域通過與管理域交互完成其安全應(yīng)用對可信功能的調(diào)用,管理域通過與TSD的交互完成可信命令的傳輸與處理;3、源平臺遷移引擎與目標(biāo)平臺遷移引擎交互,將基于安全芯片與TSD生成的遷移數(shù)據(jù)遷移至目標(biāo)平臺,并在目標(biāo)平臺上恢復(fù)數(shù)據(jù),完成TSD與虛擬機(jī)的快速遷移。其中,步驟I的實(shí)現(xiàn)方法主要包括:(I)、在虛擬化平臺上創(chuàng)建并運(yùn)行一個輕量級微內(nèi)核域,其中編譯運(yùn)行TPMEmulator,構(gòu)建可信服務(wù)域TSD ;TSD為各個用戶域建立獨(dú)立的密鑰結(jié)構(gòu)樹,并在必要時,利用本地隱私認(rèn)證權(quán)威PCA (Local Privacy Certification Authority)申請相應(yīng)用戶虛擬機(jī)(即用戶域)的平臺身份密鑰AIK’(Attestation Identification Key)的證書,以完成用戶虛擬機(jī)對外的信任證明;(2)、在基本信任鏈(CRTM — BIOS — VMM — D0M0 kernel)基礎(chǔ)上,構(gòu)建CRTM — BIOS — VMM — DOMOkernel — TSD的擴(kuò)展信任鏈,保障可信服務(wù)域的可信運(yùn)行;擴(kuò)展信任鏈由VMM與管理域共同構(gòu)建。其中CRTM(Core Root of Trust for Measurement)為核心度量根,BIOS是開機(jī)自檢及系統(tǒng)初始啟動程序,VMM是虛擬機(jī)監(jiān)控器,最后是管理域DomO的內(nèi)核;(3)、管理域利用TSD為普通用戶域構(gòu)建信任鏈TSD — INIT — BIOS — OS — APPs,其中,INIT是用戶虛擬機(jī)初始(INITial)加載程序BIOS含義同上,OS是用戶虛擬機(jī)的操作系統(tǒng)內(nèi)核,APPs是用戶應(yīng)用程序。管理域domO與用戶域、管理域與TSD之間的安全通信,采用的主要方法為:(I)初始化連接
      1)TSD—管理域:TSD啟動后主動發(fā)起與管理域的連接請求包,其中包括當(dāng)前的TSD域標(biāo)識ID、所需共享頁的大小與數(shù)量等信息;2)管理域一TSD:根據(jù)請求包中的基本參數(shù),分配相應(yīng)資源并返回連接成功的狀態(tài)響應(yīng),建立TSD與管理域的初始通信連接;3)用戶域一管理域:用戶域啟動后主動向管理域注冊,注冊信息中包括當(dāng)前用戶域標(biāo)識、所需共享頁大小及頁數(shù)量等信息;4)管理域一用戶域:管理域首先確定自己與TSD已經(jīng)建立連接,判斷用戶域ID是否小于TSD的域ID,如果是(True)則建立與用戶域的連接,并等待用戶域的數(shù)據(jù)請求指令,否則連接建立失敗并通知用戶域。(2)數(shù)據(jù)交互階段5)用戶域一管理域:用戶域上層安全應(yīng)用調(diào)用本地可信服務(wù),發(fā)送可信功能命令數(shù)據(jù)包給管理域,其中包括用戶域標(biāo)識、命令類型、命令內(nèi)容等;本地可信服務(wù)由管理域提供,主要負(fù)責(zé)接收來自上層的請求并與管理域通信。6)管理域一TSD:管理域解析命令類型,如果是本地平臺內(nèi)部的操作(如數(shù)據(jù)封裝/解封、加密/解密、簽名/驗(yàn)簽等),則將命令轉(zhuǎn)發(fā)至TSD ;如果是對外部平臺操作(如用戶域?qū)ν庾C明),則由管理域通過與TSD及底層TPM交互,直接處理該命令請求;7) TSD —管理域:TSD處理命令并返回其執(zhí)行結(jié)果;8)管理域一用戶域:管理域根據(jù)用戶域標(biāo)識,將處理結(jié)果返回轉(zhuǎn)發(fā)至用戶域,完成命令處理過程。在上述通信過程中,用戶域只能與管理域交互,非法用戶域的消息須由管理域進(jìn)行檢查后才能轉(zhuǎn)發(fā)至TSD,從而進(jìn)一步增強(qiáng)TSD的安全性。本發(fā)明提供的可信虛擬平臺的快速遷移方法如下:(I)、源平臺主動發(fā)起遷移請求,其中包含對隨機(jī)數(shù)rs、遷移類型等信息的簽名,并用目標(biāo)平臺的公鑰加密;(2)、目標(biāo)平臺收到遷移請求,驗(yàn)證簽名并得到隨機(jī)數(shù)rs,根據(jù)遷移類型分配相應(yīng)的資源:I)、單個即用戶域遷移時,只需要在本平臺已有可信服務(wù)域中創(chuàng)建新的虛擬信任根實(shí)例,并創(chuàng)建空的虛擬機(jī)實(shí)例,為即將遷移的實(shí)例提供運(yùn)行資源(內(nèi)存、文件系統(tǒng)等);2)、所有使用TSD的用戶域(即用戶VMs)遷移時,目標(biāo)平臺需要創(chuàng)建與源平臺數(shù)量一致的空虛擬機(jī)實(shí)例,并為TSD的遷移分配所需資源;(3)、目標(biāo)平臺生成自己的隨機(jī)數(shù)rD并與源平臺隨機(jī)數(shù)rs—起返回源平臺,確認(rèn)遷移連接建立;(4)、源平臺收集所需信息,包括待遷移可信服務(wù)域(實(shí)例)及用戶虛擬機(jī)鏡像,將其與雙方隨機(jī)數(shù)(rs,rD) —起作為待遷移數(shù)據(jù),生成消息摘要后,利用Km加密后發(fā)送給目標(biāo)平臺。其中,用于加密數(shù)據(jù)的對稱密鑰Km由源平臺遷移引擎生成,并使用TPM提供的可遷移密鑰Ktpm保護(hù);(5)、目標(biāo)平臺利用TPM密鑰遷移機(jī)制將源平臺可遷移密鑰Ktpm導(dǎo)入,解密收到的遷移數(shù)據(jù),驗(yàn)證消息摘要及隨機(jī)數(shù)成功后,通知源平臺刪除已遷移的源VM(即源平臺的用戶域)及對應(yīng)的TSDs (或?qū)嵗?;
      (6)、目標(biāo)平臺收到源數(shù)據(jù)刪除的命令后,加載新的TSD(或?qū)嵗?,并恢復(fù)用戶虛擬機(jī)的運(yùn)行。本發(fā)明的另一目的是提供一個可信虛擬平臺系統(tǒng),它的主要組成包括:虛擬機(jī)監(jiān)控器VMM、三種功能域(管理域、可信服務(wù)域、普通用戶域)以及兩個服務(wù)引擎(安全通信引擎與安全遷移引擎),此外,該可信虛擬平臺配置硬件安全芯片TPM。VMM作為特權(quán)組件,負(fù)責(zé)實(shí)現(xiàn)虛擬化平臺中不同域之間的隔離;管理域?yàn)橛脩籼峁┕芾斫缑?,?fù)責(zé)其他域的創(chuàng)建與管理??尚欧?wù)域作為特殊功能域,只需要運(yùn)行一個微內(nèi)核,主要用于提供與可信計算相關(guān)的功能,并能夠與管理域之間進(jìn)行必要有通信。普通用戶域作為用戶應(yīng)用與服務(wù)的運(yùn)行環(huán)境,需要通過與管理域交互,以獲取基于TSD的可信功能請求處理響應(yīng),構(gòu)建自身運(yùn)行環(huán)境的可信。安全通信服務(wù)實(shí)現(xiàn)為內(nèi)核設(shè)備驅(qū)動,負(fù)責(zé)保障域間數(shù)據(jù)通信;安全遷移服務(wù)實(shí)現(xiàn)為管理域內(nèi)核中的守護(hù)進(jìn)程,負(fù)責(zé)接收遷移指令并完成平臺內(nèi)部及平臺之間的虛擬機(jī)遷移。 與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果:在現(xiàn)有可信虛擬平臺中,可信功能不斷充實(shí)與更新導(dǎo)致管理域代碼更加復(fù)雜與龐大,使得其受攻擊的可能增加,而且,可信功能對管理域的過度依賴也影響整個平臺在復(fù)雜計算環(huán)境中部署與遷移的效率。本發(fā)明中,將可信功能從管理域中分離,將其構(gòu)建為獨(dú)立的輕量級功能域(即可信服務(wù)域TSD),既能保證可信功能的使用,提高可信服務(wù)的安全性,又能為平臺提供靈活的運(yùn)行與部署機(jī)制。此外,輕量級可信服務(wù)域與管理域的松耦合關(guān)系,提高了平臺遷移效率,與傳統(tǒng)可信虛擬平臺相比,基于可信虛擬域的平臺遷移更加快速、靈活,能夠滿足新型計算環(huán)境(如云計算)的應(yīng)用需求。


      圖1是基于可信服務(wù)域的可信虛擬平臺基本結(jié)構(gòu)示意圖;圖2是基于可信服務(wù)域的擴(kuò)展信任鏈?zhǔn)疽鈭D;圖3是基于可信服務(wù)域的虛擬化平臺遷移流程圖。
      具體實(shí)施例方式本發(fā)明的方法是主要由以下的虛擬化平臺功能部件實(shí)現(xiàn)的:可信服務(wù)域、管理進(jìn)程、通信引擎、遷移引擎等。參見圖1,虛擬化平臺用戶虛擬機(jī)利用虛擬機(jī)監(jiān)控器VMM提供的共享通信機(jī)制,與管理域domO進(jìn)行數(shù)據(jù)傳輸,而可信服務(wù)域則作為獨(dú)立的輕量級功能域,利用管理域?qū)崿F(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),在保障自身安全的同時,為多個用戶虛擬機(jī)提供信任鏈構(gòu)建、數(shù)據(jù)封裝存儲及遠(yuǎn)程證明等可信服務(wù)。1、可信服務(wù)域可信服務(wù)域是虛擬化平臺上一個獨(dú)立的功能域,運(yùn)行著裁減后的微內(nèi)核系統(tǒng)(MiniOS),其中包含可信服務(wù)處理進(jìn)程及通信引擎??尚欧?wù)處理進(jìn)程用于提供用戶虛擬機(jī)所需的信任服務(wù),包括各種可信命令處理及密鑰結(jié)構(gòu)生成與維護(hù)。下面對其可信服務(wù)處理進(jìn)程進(jìn)行詳細(xì)描述??尚欧?wù)域用于為可信虛擬平臺提供可信功能,因此必須確保它自身運(yùn)行的可信。本發(fā)明通過擴(kuò)展信任鏈的方法來保障可信服務(wù)域的安全性。如圖2所示。利用硬件安全芯片構(gòu)建從底層信任根到虛擬機(jī)監(jiān)控器再到管理域(domO)的基本信任鏈,為了利用可信服務(wù)域構(gòu)建用戶虛擬機(jī)的信任鏈,需要在基本信任鏈上進(jìn)行信任擴(kuò)展,可采用a、b兩種擴(kuò)展信任鏈的方法:a是在管理域啟動之后,將可信服務(wù)域作為一個功能域加載,但必須保證它先于各個用戶域啟動;b是采用動態(tài)信任根機(jī)制,利用處理器的特性為可信服務(wù)域創(chuàng)建可信運(yùn)行環(huán)境。上述兩種方法均可將信任從硬件信任根擴(kuò)展至可信服務(wù)域,最后構(gòu)建用戶虛擬機(jī)的信任環(huán)境。可信服務(wù)處理進(jìn)程是一個功能優(yōu)化的TPM Emulator,作為微內(nèi)核系統(tǒng)MiniOS的一個系統(tǒng)服務(wù),是用C實(shí)現(xiàn)的一個內(nèi)核進(jìn)程,負(fù)責(zé)處理具體的可信功能需求:(I)消息通信處理。主要是接收來自管理域轉(zhuǎn)發(fā)的連接請求,確定用戶虛擬機(jī)標(biāo)識并建立通信連接;(2)密鑰創(chuàng)建與維護(hù)。為用戶虛擬機(jī)VM建立所需要的密鑰結(jié)構(gòu)(含相應(yīng)的EK、AIK、SRK等),并根據(jù)需要生成新的密鑰如簽名密鑰、加密密鑰等;(3)功能命令處理。除了上述密鑰管理相關(guān)命令之外,該功能主要是對涉及平臺內(nèi)部操作命令的處理,比如加密/解密、封裝/解封等。對于平臺外部操作命令,比如遠(yuǎn)程證明、密鑰遷移等,考慮到它們與底層TPM的綁定關(guān)系,對TSD中TPM Emulator接口進(jìn)行剪裁,使該部分功能由管理域中的守護(hù)進(jìn)程直接處理。2、管理進(jìn)程管理進(jìn)程位于管理域domO中,主要負(fù)責(zé)向上層用戶提供交互接口,同時管理底層的數(shù)據(jù)通信引擎與遷移引擎,并處理對外的可信功能操作。其主要流程為:2-1、管理進(jìn)程接收來自上層用戶的指令,通過與用戶控制臺(用戶交互界面)交互,解析指令并根據(jù)指令調(diào)用相應(yīng)的處理引擎,包括TSD及用戶域的創(chuàng)建與管理、域遷移、通信引擎與遷移引擎的管理等;2-2、管理進(jìn)程處理平臺對外的可信功能操作,包括TSD遷移、用戶虛擬域?qū)ν獾淖C明等,通信引擎將該類消息轉(zhuǎn)發(fā)至管理進(jìn)程,管理進(jìn)程通過與TSD和TPM交互,得到所需數(shù)據(jù)并返回通信引擎。3、通信引擎通信引擎負(fù)責(zé)可信虛擬平臺域間安全通信,主要包括可信服務(wù)域、管理域及用戶域中的通信驅(qū)動。這些驅(qū)動程序在系統(tǒng)運(yùn)行之前以內(nèi)核模塊形式加載,并按確定的順序執(zhí)行。安全通信的流程如下:3-1、可信服務(wù)域在管理域啟動后加載運(yùn)行,其通信引擎(通信設(shè)備前端)首先向管理域發(fā)起初始連接請求REQtsd = (IDtsd| |pagesize| |pagenum) ;IDtsd是TSD域的標(biāo)識。3-2、管理域通信引擎(通信后端)收到可信服務(wù)域的連接請求后,根據(jù)其提供的頁大小、數(shù)量等信息,為其提供相應(yīng)的共享內(nèi)存頁,建立與可信服務(wù)域的連接并返回連接狀
      state = ready ;3-3、可信服務(wù)域TSD收到響應(yīng)后,在該連接上等待可信指令請求;3-4、用戶域在可信服務(wù)域運(yùn)行后加載運(yùn)行,其通信引擎主動向管理域發(fā)起連接請求 REQvm= (IDvm| |pagesize| |pagenum) ;IDVM 是用戶域標(biāo)識。3-5、管理域根據(jù)IDvm,判定該用戶域是否能夠使用TSD的可信服務(wù)(該域須在TSD之后加載,并基于TSD構(gòu)建其信任鏈;只有IDvm大于IDtsd的用戶域才可使用TSD,因?yàn)橛騃D大小表現(xiàn)的是相應(yīng)域創(chuàng)建的順序,值越小創(chuàng)建得越早。),驗(yàn)證通過后建立與該用戶域的連接,并向其返回連接狀態(tài)state = ready ;3-6、用戶域收到來自管理域的連接建立響應(yīng)后,等待上層安全應(yīng)用發(fā)起可信功能請求;3-7、用戶域安全應(yīng)用調(diào)用可信功能接口,將可信功能請求傳遞給通信引擎,通信引擎將數(shù)據(jù)封裝為標(biāo)準(zhǔn)形式cmdpkgVM = (cmdtype | | cmdcontent),并發(fā)送給管理域;3-8、管理域通信引擎對收到的cmdpkgVM中命令類型cmdtype進(jìn)行判定:I)如果是本地平臺操作,則轉(zhuǎn)發(fā)給可信服務(wù)域TSD,TSD可信服務(wù)進(jìn)程處理請求后將處理結(jié)果返回給管理域通信引擎;2)如果是對外操作,則將命令轉(zhuǎn)發(fā)至管理進(jìn)程處理,管理進(jìn)程將處理結(jié)果返回給通信引擎;3-9、管理域通信引擎將收到的處理結(jié)果轉(zhuǎn)發(fā)給標(biāo)識為IDvm的用戶域;3-10、用戶域通信引擎將處理結(jié)果提交給上層安全應(yīng)用。上述通信過程主要由通信引擎與相應(yīng)的功能組件合作完成,用戶域在整個通信過程中并不能感知到可信服務(wù)域的存在,其數(shù)據(jù)請求均通過管理域進(jìn)行轉(zhuǎn)發(fā),進(jìn)一步保障的可信服務(wù)域的安全性。4、遷移引擎遷移引擎負(fù)責(zé)實(shí)現(xiàn)基于可信服務(wù)域的可信虛擬平臺快速遷移。如圖3所示。考慮到可信虛擬平臺單個虛擬機(jī)及整個平臺的遷移情況,遷移過程分為a單個虛擬機(jī)遷移和b整個平臺遷移兩種情況。其主要方法為:4-1、源平臺遷移引擎收到管理員的遷移命令后,向目標(biāo)平臺遷移引擎發(fā)出遷移請求 REQm:aenc (sign (type |rs, SKs), PKD);4-2、目標(biāo)平臺收到遷移請求,驗(yàn)證源平臺的簽名,根據(jù)遷移類型分配相應(yīng)的資源:(I)單個VM遷移,為該VM其分配相應(yīng)的資源(內(nèi)存、文件系統(tǒng)等),并在目標(biāo)平臺TSDd 中創(chuàng)建空的 TSD 實(shí)例 instance =TSDId ;(2)所有使用TSD的VM遷移,為待遷移的多個VM及TSD分配相應(yīng)資源,并確保目標(biāo)平臺中不存在其他TSD ;如果有其他TSD,為遷移完整的TSD,則需要將原有平臺TSD刪除。4-3、目標(biāo)平臺遷移引擎基于其TPMd生成一個隨機(jī)數(shù)rD,并向源平臺確認(rèn)遷移連接建立:aenc (sign (rD |rs, SKD), PKs);4-4、源平臺收到響應(yīng)并驗(yàn)證目標(biāo)平臺簽名后,遷移引擎生成一個用于遷移的對稱密鑰KM,該密鑰由TPMs的可遷移密鑰Ktpm封裝后發(fā)送給目標(biāo)平臺,然后生成遷移數(shù)據(jù):(I)單個遷移時,遷移引擎生成待遷移VM的鏡像VM1、該VM對應(yīng)的TSD實(shí)例instance =TSDIs及其狀態(tài)數(shù)據(jù)后,使用Km對上述數(shù)據(jù)及雙方隨機(jī)數(shù)進(jìn)行加密,然后基于SHA-1算法生成摘要MAC值,發(fā)送至目標(biāo)平臺:(senC(VMl| TSDIs |rs|rD,KM) | |MAC);(2)所有使用TSD的VM遷移時,遷移引擎使用Km對全部待遷移VM的鏡像VM1、整個TSD及雙方隨機(jī)數(shù)加密,然后與其摘要值一起發(fā)送至目標(biāo)平臺(senc(VMl| TSD rs|rD,KM) I I MAC);
      (3)用于加密遷移數(shù)據(jù)的對稱密鑰Km由TPM的可遷移密鑰Ktpm封裝后加密傳輸至目標(biāo)平臺:aenc ((senc (KM, KTPM)), PKd)。4-5、目標(biāo)平臺驗(yàn)證消息摘要,利用已有的TPM密鑰遷移協(xié)議導(dǎo)入KTPM,并得到KM,解密遷移數(shù)據(jù)并驗(yàn)證隨機(jī)數(shù),驗(yàn)證通過后通知目標(biāo)平臺刪除VM及對應(yīng)的TSDs(或?qū)嵗齌SDIs);4-6、源平臺刪除源數(shù)據(jù)后通知目標(biāo)平臺,目標(biāo)平臺恢復(fù)TSD (或?qū)嵗?及VM,完成遷移過程。盡管為說明本發(fā)明的目的公開了具體實(shí)施例和附圖,其目的在于幫助理解本發(fā)明的內(nèi)容并據(jù)以實(shí)施,但是本領(lǐng)域的技術(shù)人員可以理解:在不脫離本發(fā)明及所附的權(quán)利要求的精神和范圍內(nèi),各種替換、變化和修改都是可能的。因此,本發(fā)明不應(yīng)局限于實(shí)施例和附圖所公開的內(nèi)容,本發(fā)明要求保護(hù)的范圍以權(quán)利要求書界定的范圍為準(zhǔn)。
      權(quán)利要求
      1.一種可信虛擬平臺,包括硬件安全芯片、虛擬機(jī)監(jiān)控器VMM、管理域、用戶域,其特征在于還包括一可信服務(wù)域TSD ;所述可信服務(wù)域TSD利用擴(kuò)展信任鏈為用戶域建立可信運(yùn)行環(huán)境,所述擴(kuò)展信任鏈為管理域與虛擬機(jī)監(jiān)控器VMM基于硬件安全芯片建立從虛擬平臺底層硬件到可信服務(wù)域TSD的信任鏈。
      2.如權(quán)利要求1所述的可信虛擬平臺,其特征在于所述可信服務(wù)域TSD為虛擬平臺上一輕量級微內(nèi)核域,其中編譯運(yùn)行可信平臺模塊;所述可信服務(wù)域TSD為該虛擬化平臺上各個用戶域建立獨(dú)立的密鑰結(jié)構(gòu)樹。
      3.如權(quán)利要求2所述的方法,其特征在于所述可信服務(wù)域TSD利用隱私認(rèn)證權(quán)威PCA為所述用戶域申請平臺身份密鑰AIK’的證書,為用戶域提供信任證明。
      4.一種可信虛擬平臺構(gòu)建方法,其步驟為: 1)構(gòu)建一可信服務(wù)域TSD,并基于硬件安全芯片建立從虛擬平臺底層硬件到TSD的擴(kuò)展信任鏈,然后可信服務(wù)域TSD根據(jù)所述擴(kuò)展信任鏈為用戶域建立可信運(yùn)行環(huán)境; 2)用戶域上層安全應(yīng)用調(diào)用本地可信服務(wù),發(fā)送可信功能命令數(shù)據(jù)包給管理域; 3)管理域解析該可信功能命令數(shù)據(jù)包,如果是本地平臺內(nèi)部的操作,則將其轉(zhuǎn)發(fā)至可信服務(wù)域TSD ;如果是對外部平臺操作,則通過與可信服務(wù)域TSD及底層硬件安全芯片交互,由管理域直接處理該可信功能命令數(shù)據(jù)包; 4)可信服務(wù)域TSD將該可信功能命令數(shù)據(jù)包的處理結(jié)果發(fā)給管理域;管理域根據(jù)用戶域標(biāo)識,將處理結(jié)果返回用戶域。
      5.如權(quán)利要求1所述的方法,其特征在于構(gòu)建所述可信服務(wù)域TSD的方法為:在虛擬化平臺上創(chuàng)建并運(yùn)行一個輕量級微內(nèi)核域,其中編譯運(yùn)行可信平臺模塊,構(gòu)建可信服務(wù)域TSD ;所述可信服務(wù)域TSD為該虛擬化平臺上各個用戶域建立獨(dú)立的密鑰結(jié)構(gòu)樹。
      6.如權(quán)利要求2所述的方法,其特征在于所述可信服務(wù)域TSD利用隱私認(rèn)證權(quán)威PCA為所述用戶域申請平臺身份密鑰AIK’的證書,利用AIK’為用戶域?qū)ν馓峁┬湃巫C明。
      7.如權(quán)利要求4或5或6所述的方法,其特征在于所述擴(kuò)展信任鏈的建立方法為:首先利用硬件安全芯片構(gòu)建從底層信任根到虛擬機(jī)監(jiān)控器再到管理域的基本信任鏈,然后在管理域啟動之后、用戶域啟動之前,將可信服務(wù)域TSD作為一個功能域加載;或者采用動態(tài)信任根機(jī)制對所述基本信任鏈進(jìn)行擴(kuò)展,得到所述擴(kuò)展信任鏈。
      8.如權(quán)利要求4或5或6所述的方法,其特征在于管理域與可信服務(wù)域TSD之間建立一安全通信機(jī)制進(jìn)行通信,其方法為: 1)可信服務(wù)域TSD向管理域發(fā)起連接請求包,其包括可信服務(wù)域TSD域標(biāo)識ID、所需共享頁的大小與數(shù)量; 2)管理域根據(jù)該連 接請求包分配相應(yīng)資源并返回連接成功的狀態(tài)響應(yīng),建立可信服務(wù)域TSD與管理域的通信連接。
      9.如權(quán)利要求4或5或6所述的方法,其特征在于管理域與用戶域之間建立一安全通信機(jī)制進(jìn)行通信,其方法為: 1)用戶域向管理域注冊,注冊信息中包括當(dāng)前用戶域標(biāo)識、所需共享頁大小及頁數(shù)量; 2)管理域首先確定自己與可信服務(wù)域TSD已經(jīng)建立連接,然后判斷用戶域ID是否小于可信服務(wù)域TSD的域ID,如果是則建立與用戶域的連接,否則連接建立失敗并通知用戶域。
      10.一種可信虛擬平臺的平臺之間數(shù)據(jù)遷移方法,其步驟為: 1)源平臺向目標(biāo)平臺發(fā)起遷移請求;其中,所述源平臺、目標(biāo)平臺均包括一可信服務(wù)域TSD ;所述可信服務(wù)域TSD利用擴(kuò)展信任鏈為用戶域建立可信運(yùn)行環(huán)境,所述擴(kuò)展信任鏈為管理域與虛擬機(jī)監(jiān)控器VMM基于硬件安全芯片建立從虛擬平臺底層硬件到可信服務(wù)域TSD的信任鏈; 2)目標(biāo)平臺根據(jù)該遷移請求分配出相應(yīng)的資源;其中:a)如果遷移請求為單個虛擬機(jī)遷移,目標(biāo)平臺創(chuàng)建一空的虛擬機(jī)實(shí)例,并在其可信服務(wù)域TSD中創(chuàng)建一新的虛擬信任根實(shí)例山)如果遷移請求為所有使用源平臺可信服務(wù)域TSDs的虛擬機(jī)遷移,目標(biāo)平臺創(chuàng)建與源平臺數(shù)量一致的空虛擬機(jī)實(shí)例,并將目標(biāo)平臺原有TSDd刪除; 3)目標(biāo)平臺通知源平臺確認(rèn)遷移連接建立; 4)源平臺收集待遷移數(shù)據(jù),將其發(fā)送給目標(biāo)平臺; 5)目標(biāo)平臺收到該遷移數(shù)據(jù)后,返回確認(rèn)信息給源平臺。
      11.如權(quán)利要求10所述的方法,其特征在于構(gòu)建所述可信服務(wù)域TSD的方法為:在虛擬化平臺上創(chuàng)建并運(yùn)行一個輕量級微內(nèi)核域,其中編譯運(yùn)行可信平臺模塊,構(gòu)建可信服務(wù)域TSD ;所述可信服務(wù)域TSD為該虛擬化平臺上各個用戶域建立獨(dú)立的密鑰結(jié)構(gòu)樹。
      12.如權(quán)利要求11所述的方法,其特征在于所述可信服務(wù)域TSD利用隱私認(rèn)證權(quán)威PCA為所述用戶域申請平臺身份密鑰AIK’的證書,為用戶域提供對外的信任證明。
      13.如權(quán)利要求10或11或12所述的方法,其特征在于所述遷移請求包括遷移類型、源平臺遷移引擎生成的隨機(jī)數(shù)^簽名信息;所述源平臺采用目標(biāo)平臺的公鑰加密所述遷移請求。
      14.如權(quán)利要求13所述的 方法,其特征在于所述目標(biāo)平臺收到該遷移請求后,驗(yàn)證簽名并得到隨機(jī)數(shù)^,然后所述目標(biāo)平臺生成自己的隨機(jī)數(shù)rD并與隨機(jī)數(shù)rs—起返回所述源平臺,確認(rèn)遷移連接建立。
      15.如權(quán)利要求14所述的方法,其特征在于所述源平臺將隨機(jī)數(shù)rs、隨機(jī)數(shù)rD與所述待遷移數(shù)據(jù)一起生成消息摘要后,利用Km加密發(fā)送給目標(biāo)平臺;目標(biāo)平臺利用硬件安全芯片TPM的密鑰遷移機(jī)制將源平臺可遷移密鑰Ktpm導(dǎo)入,解密收到的遷移數(shù)據(jù),成功驗(yàn)證消息摘要及隨機(jī)數(shù)后,通知源平臺刪除已遷移的源VM及對應(yīng)的TSDs或?qū)嵗?;其中,用于加密?shù)據(jù)的對稱密鑰Km由源平臺遷移引擎生成,并使用硬件安全芯片TPM提供的可遷移密鑰Ktpm保護(hù)。
      全文摘要
      本發(fā)明公開了一種可信虛擬平臺及其構(gòu)建方法、平臺之間數(shù)據(jù)遷移方法。本可信虛擬平臺包括硬件安全芯片、虛擬機(jī)監(jiān)控器VMM、管理域、用戶域,可信服務(wù)域TSD;TSD利用擴(kuò)展信任鏈為用戶域建立可信運(yùn)行環(huán)境。本方法為構(gòu)建可信服務(wù)域,然后建立管理域與TSD、管理域與普通用戶域之間的安全通信機(jī)制,用戶域通過與管理域交互完成其安全應(yīng)用對可信功能的調(diào)用,管理域通過與TSD的交互完成可信命令的傳輸與處理;源平臺遷移引擎與目標(biāo)平臺遷移引擎交互,將基于安全芯片與TSD生成的遷移數(shù)據(jù)遷移至目標(biāo)平臺,并在目標(biāo)平臺上恢復(fù)數(shù)據(jù),完成TSD與虛擬機(jī)的快速遷移。本發(fā)明既提高可信服務(wù)的安全性,又能為平臺提供靈活的運(yùn)行與部署機(jī)制。
      文檔編號H04L29/06GK103139221SQ20131007265
      公開日2013年6月5日 申請日期2013年3月7日 優(yōu)先權(quán)日2013年3月7日
      發(fā)明者常德顯, 馮偉, 邵建雄, 楊波 申請人:中國科學(xué)院軟件研究所
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1