法律状态公告日
法律状态信息
法律状态
2023-04-28
专利权的转移 IPC(主分类):G06F 9/455 专利号:ZL2016100257452 登记生效日:20230414 变更事项:专利权人 变更前权利人:浪潮集团有限公司 变更后权利人:山东浪潮科学研究院有限公司 变更事项:地址 变更前权利人:250101 山东省济南市高新区舜雅路1036号 变更后权利人:250000 山东省济南市高新区浪潮路1036号S02号楼
专利申请权、专利权的转移
2018-10-09
授权
授权
2016-07-27
实质审查的生效 IPC(主分类):G06F9/455 申请日:20160115
实质审查的生效
2016-06-29
公开
公开
技术领域
本发明公开一种基于vSwitch的虚拟机证书迁移方法,属于虚拟认证领域。
背景技术
交换机是局域网中的一种重要设备,它可将用户收到的数据包根据目的地址转发到相应的端口。当收到数据包以后,处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接到哪个端口台上,通过内容交换矩阵迅速将数据包传送到目的端口。vSwitch(虚拟交换机)是利用虚拟平台,通过软件的方式形成交换机部件。跟物理交换机相比,虚拟交换机配置更加灵活,一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择;而且成本更加低廉,通过虚拟交换可以获得昂贵的物理交换机才能达到的性能。vSwitch通过主机上的物理网卡作为上行链路与外界网络进行连接。每个虚拟机有着自己的虚拟网卡(virtualNIC),每个virtualNIC有着自己的MAC地址和IP地址。vSwitch可划分出虚拟端口vPort。根据需要,vSwitch还可以支持二层转发、安全控制、端口镜像等功能。在vSwitch行驶功能时,往往虚拟机需要进行迁移,为保障虚拟机迁移的正确进行,本发明提供一种基于vSwitch的虚拟机证书迁移方法,利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
TPM(TrustedPlatformModule)是TCG组织提出的嵌在硬件平台上的可信平台模块,可以提高计算机系统的安全性。
发明内容
本发明提供一种基于vSwitch的虚拟机证书迁移方法,提出的具体方案是:
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
所述证书管理器内建立证书数据表,记录证书与虚拟机的一一对应关系。
多部虚拟机进行迁移时,按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书。
所述多部虚拟机进行迁移时,由特权域虚拟机通过vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
本发明的有益之处是:
本发明源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
附图说明
图1本发明方法的框架示意图;
图2本发明方法中MAC地址更新示意图。
具体实施方式
一种基于vSwitch的虚拟机证书迁移方法,源主机为虚拟机申请证书与私钥放置在证书管理器中,证书存入后,证书管理器向TPM请求对证书加密,加密后的证书仍存放在证书管理器中;
虚拟机向证书管理器提出申请使用证书,证书管理器请求TPM对证书解密,颁发给虚拟机,在虚拟机进行迁移时告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时vNIC管理器与vSwitch交互广播源主机MAC地址,并将目的端MAC地址添加到内部MAC地址表中,目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书。
根据上述方法及发明内容,结合附图对本发明做进一步说明。
源主机按照PKI,即公钥基础设施规定的证书申请流程申请虚拟机证书,证书申请下来后,由平台管理者将证书连同私钥一起导出暂放在证书管理器中;
当证书管理器中有证书存入时,证书管理器向TPM请求对证书加密,加密后的证书存放在证书管理器中;
当虚拟机(VM)需要证书时,向证书管理器提出申请,证书管理器请求TPM对证书解密,然后颁发给虚拟机,其中证书管理器内并维护建立证书数据表,记录证书与虚拟机的一一对应关系;
当虚拟机VM1迁移时,告知源主机证书管理器,源主机证书管理器分离出将要迁移的虚拟机的证书;
此时,若多部虚拟机进行迁移时,可以按照一定证书数据表中的顺序,告知源主机证书管理器,分离出将要迁移的虚拟机的证书;
同时Dom0域(特权域)虚拟机通过vNIC管理器与vSwitch交互广播本机MAC地址,并将目的端MAC地址添加到内部MAC地址表中;
目的主机的vSwitch接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书;
从而实现虚拟机证书的安全存放、迁移及迁移路径的记录。
即本发明利用TPM对虚拟机提供身份的证书进行加密存储,当虚拟机迁移时,源主机证书管理器分离出将要迁移的虚拟机的证书,并通过vSwitch以及vNIC管理器实现源主机MAC地址的广播,目的主机接受消息后更新MAC地址表,同时目的端证书管理器接收虚拟机证书,实现虚拟机证书的迁移及迁移路径记录。
机译: 虚拟机迁移程序,虚拟机迁移系统和虚拟机迁移方法
机译: 虚拟机迁移程序,虚拟机迁移系统和虚拟机迁移方法
机译: 虚拟机迁移系统,虚拟机迁移程序和虚拟机迁移方法