一种基于内置安全芯片的虚拟机可信迁移方法

摘要

本发明公开一种基于内置安全芯片的虚拟机可信迁移方法，涉及虚拟化安全领域，在源服务器的虚拟机管理器中设置虚拟度量设备模块，对虚拟机内存进行读取和度量，将度量得到的虚拟机可信信息存储在该源服务器的内置安全芯片中，再加密传输给目的服务器的内置安全芯片中；当刷新脏页至设定阈值以下时，使源服务器的虚拟机进入挂起状态，然后加密传输虚拟机的剩余内存信息；目的服务器根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复，并根据恢复情况执行对应操作。本发明可以防止虚拟机迁移过程中遭遇的恶意攻击。

说明书

技术领域

本发明涉及虚拟化安全领域，具体涉及一种基于内置安全芯片的虚拟机可信迁移方法。

背景技术

信息技术的迅猛发展使得虚拟化技术得到了越来越广泛的应用，当前以虚拟化技术为支撑的云计算产业发展空前迅速。随着云计算技术不断发展和完善，越来越多的企业选择将其生产环境部署到云平台中。

虚拟化技术位于计算机体系结构中的某一层级，是用来向上层提供底层模拟结构的一种中间层技术。随着硬件技术的快速发展，新型服务器能提供远超原有服务器的运行速度和存储空间。除开服务器性能的不断更迭，随着运行时间的增长，原有服务器的软硬件意外发生概率也在日益增加。当服务器在遭受不可抗拒的自然灾难以及人为灾难时，虚拟机的迁移技术能够为用户数据的安全性提供容错方案。此外，对于部分业务访问量大的公司，可以根据某种负载策略把请求分发到集群中的每一台服务器上，让整个服务器集群来处理网站的请求，虚拟机迁移能够根据其策略增加服务器的吞吐量和处理能力以及承载能力。因此，虚拟机迁移技术在虚拟化进程中十分重要。

当前，虚拟机的迁移技术正在被广泛应用，对虚拟机迁移技术的研究也多了起来，但目前对其研究更多地集中于提高虚拟机迁移的效率及稳定性。鲜有关注于虚拟机迁移的安全问题。在虚拟机迁移过程中对虚拟机的攻击手段繁多，例如针对虚拟机监视程序、虚拟机迁移路线和迁移模块的攻击等。随着云计算技术的广泛应用,虚拟化技术在市场中的迅速普及，虚拟机迁移面临的安全挑战也在逐渐增多，因此全面提高虚拟机迁移的安全性是必然发展趋势。

发明内容

针对高安全需求的虚拟化平台下的虚拟机可信迁移问题，本发明提出了一种基于内置安全芯片的虚拟机可信迁移方法，利用源服务器和目的服务器的内置安全芯片对虚拟机进行可信迁移，防止虚拟机迁移过程中遭遇的恶意攻击。

本发明采用技术方案如下：

一种基于内置安全芯片的虚拟机可信迁移方法，其步骤包括：

1)在进行虚拟机由源服务器到目的服务器迁移之前，在源服务器的虚拟机管理器中设置一虚拟度量设备模块，利用该虚拟度量设备对虚拟机内存进行读取和度量，将度量得到的虚拟机可信信息存储在该源服务器的内置安全芯片中；

2)进行虚拟机迁移时，将源服务器的内置安全芯片中存储的虚拟机的可信信息和虚拟度量设备的内存信息加密传输给目的服务器的内置安全芯片中；

3)加密传输虚拟机的内存信息，当刷新脏页至设定阈值以下时，使源服务器的虚拟机进入挂起状态，然后加密传输虚拟机的剩余内存信息；

4)目的服务器根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复，如果恢复成功，则删除源服务器中虚拟机的可信信息，解除目的服务器中虚拟机的挂起状态，虚拟机迁移成功；如果恢复失败，则删除目的服务器中虚拟机的可信信息，并终止虚拟机迁移，解除源服务器中虚拟机的挂起状态。

进一步地，虚拟度量设备的度量为动态度量，在虚拟机启动后通过对虚拟机内存的关键对象进行定时度量，并将度量日志上传至内置安全芯片，防止虚拟机的数据被篡改，确保虚拟机运行的安全性。

进一步地，虚拟机管理器还设置有虚拟BIOS，该虚拟BIOS在虚拟机启动前对虚拟机镜像中的虚拟机核心文件进行静态度量，以防止虚拟机的核心文件被篡改，确保虚拟机启动的安全性。

进一步地，虚拟机的可信信息由静态度量和动态度量共同得到。

进一步地，虚拟机的可信信息包括虚拟机的度量基准值和度量日志，该度量基准值用于和度量值进行校验，防止虚拟机数据被篡改，增强虚拟机抵御恶意攻击的能力；该度量日志用于存放异常操作信息如篡改操作等。

进一步地，终止虚拟机迁移时报告异常信息，并更新度量日志。

进一步地，虚拟度量设备的构成包括以下模块：

加密算法模块，用于将虚拟机迁移中需要传递的数据进行加密；

内存度量模块，用于定时对虚拟机内存的关键位置进行度量，将产生的度量值和基准值比对，以确保虚拟机的数据不被篡改；

安全存储模块，用于将度量后得到的数据进行安全存储；

可信信息生命周期维护模块，用于控制可信信息的创建和删除，以维护虚拟机及其虚拟度量设备的原子性；

日志信息生成模块，用于生成并捕获虚拟机相关的度量日志，并将度量日志传输给管理端。

与既有技术相比，本发明的有益效果如下：

1.本发明借助服务器的内置安全芯片，通过对传输数据进行加密，能够在迁移过程中确保传输数据的安全性以及可信状态的完整性；该内置安全芯片是服务器的独立安全单元，通过单向物理隔离保障安全性，先于服务器系统启动，是整个系统的可信根，能够对系统的整个引导启动过程和运行过程进行安全度量，防止或监测非法篡改。

2.本发明实现了针对高安全需求的虚拟化平台下对虚拟机虚拟度量设备内存的恢复，通过虚拟度量设备内存信息的迁移，解决了因为迁移而导致的虚拟度量设备内存地址变动等难题，保证了迁移前后度量的连续性；其中虚拟度量设备的内存信息用于恢复虚拟度量设备的内存以保持可信状态的持续。

3.本发明通过增加对虚拟机可信信息的生命周期进行管理，必要性在于当虚拟机迁移中的内存传输操作的脏页更新到阈值之下后，虚拟机会短暂挂起，在挂起期间传输剩余内存信息，并根据虚拟度量设备的内存信息恢复虚拟度量设备内存，通过根据虚拟度量设备内存恢复是否成功执行两种不同的操作，从而实现在高安全需求的虚拟化平台下对虚拟机的可信迁移，保证了被迁移的虚拟机的原子性。

综上，本发明提出的一种基于内置安全芯片的虚拟机可信迁移方法，其主要步骤包含虚拟机的可信信息及内存的加密传输、虚拟度量设备内存的恢复、可信信息的生命周期管理。能够加密传输数据并确保其完整性，并保证迁移前后度量的连续性，在虚拟度量设备以及虚拟机的内存恢复后删除源服务器的可信信息以保证被迁移虚拟机的原子性，从而确保了虚拟机迁移的安全可信。

附图说明

图1为基于内置安全芯片的虚拟机可信迁移方案流程图。

具体实施方式

下面将结合本发明的实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

本实施例公开一种基于内置安全芯片的虚拟机可信迁移方法，如图1所示，其步骤包括：

1)目的服务器接收到虚拟机迁移指令后，加密传输源服务器内置安全芯片独立存储中此虚拟机的可信信息及虚拟度量设备的内存信息到目的服务器内置安全芯片独立存储中；

2)加密传输虚拟机内存信息，不断刷新脏页，直至设定阈值(该阈值为qemu虚拟机默认阈值)之下时，源服务器上的虚拟机进入挂起状态，在挂起期间，加密传输剩余的虚拟机内存，传输到目的服务器上的虚拟机处于挂起状态；

3)根据虚拟度量设备的内存信息恢复虚拟度量设备内存；

4)如果步骤3)中虚拟度量设备内存恢复失败，则跳到步骤5)，若恢复成功，则跳到步骤6)；

5)删除目的服务器中虚拟机的可信信息，并终止虚拟机迁移，解除源服务器中虚拟机的挂起状态，并跳至步骤7)；

6)删除源服务器中虚拟机的可信信息，解除目的服务器中虚拟机的挂起状态，并跳至步骤8)；

7)生成异常日志并上传至虚拟化平台管理端，虚拟机迁移失败；

8)虚拟机迁移成功。

本实施例中而虚拟度量设备集成于虚拟机管理器中，其模块主要包括：加密算法模块、安全存储模块、可信信息生命周期维护模块、内存度量模块和日志信息生成模块，其中：

加密算法模块：将虚拟机迁移中需要传递的数据进行加密；

安全存储模块：将度量后得到的数据进行安全存储；

可信信息生命周期维护模块：控制可信信息的创建和删除，以维护虚拟机及其虚拟度量设备的原子性；

内存度量模块：定时对虚拟机内存的关键位置进行度量，将产生的度量值和基准值比对，以确保虚拟机的数据不被篡改；

日志信息生成模块：生成并捕获虚拟机相关的度量日志，并将度量日志传输给管理端。

上述方法通过对内置安全芯片及虚拟度量设备的模块定制，实现了对虚拟机迁移过程中被传递数据的加密，保证了迁移前后虚拟度量设备状态的连续，维护了虚拟机及其可信信息的唯一，确保了虚拟机迁移的可信和安全。

实验结果：

首先对基于内置安全芯片的虚拟机可信迁移方法进行性能测试，并与未内置安全芯片的虚拟机迁移进行比对。内置安全芯片的虚拟机可信迁移实验使用已构建的nfs共享存储，在两台配置相同的物理服务器之间进行，其中一台为源服务器，一台为目的服务器。首先在两台服务器之间建立通信，目的服务器上创建挂起的虚拟机进行监听，源服务器上创建虚拟机并执行迁移操作，传输内存大小为2G，多次试验得到其整体迁移时间在25s至30s，其中关于可信信息的迁移时间为0.5s至1s。使用同样型号的未内置安全芯片的服务器进行测试，在虚拟机配置相同(同样地，此类虚拟机中并无虚拟度量设备模块)的条件下进行迁移测试，多次试验得到其整体迁移时间在24s至30s。测试结果表明通过本发明提出的方法可以在高安全需求的虚拟化环境中完成对虚拟机的迁移操作，对虚拟化层的功能和性能影响较小，同时对整个迁移过程的性能影响可以忽略不计。

其次对虚拟机可信迁移过程中虚拟机可信信息的迁移和虚拟度量设备内存的恢复进行测试，通过实时对目的及源服务器的内置安全芯片的存储信息进行监听，其测试结果表明虚拟机的可信信息可以正确迁移到目的服务器并恢复虚拟度量设备的内存，并且根据本发明提出的方案，可以恢复对虚拟机内存的度量，并且对虚拟机性能影响较小。说明本发明能够在虚拟化平台中，完整对虚拟机及其可信信息的迁移，本发明是可行有效的。

可以理解的是，所描述的实施例仅是本发明一部分，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。