两个人的电影免费视频_国产精品久久久久久久久成人_97视频在线观看播放_久久这里只有精品777_亚洲熟女少妇二三区_4438x8成人网亚洲av_内谢国产内射夫妻免费视频_人妻精品久久久久中国字幕

一種kvm虛擬機(jī)通信方法

文檔序號(hào):10572484閱讀:969來源:國(guó)知局
一種kvm虛擬機(jī)通信方法
【專利摘要】本發(fā)明公開了一種KVM虛擬機(jī)通信方法,實(shí)現(xiàn)過程為:構(gòu)建虛擬機(jī)交互模型,該虛擬機(jī)交互模型基于可信計(jì)算和KVM的共享內(nèi)存建立;設(shè)置加密的專屬安全可信信道和加密的內(nèi)存?zhèn)蔚刂?,從而保障交互雙方虛擬機(jī)的可信性和它們之外的其他虛擬機(jī)的隔離性,完成虛擬機(jī)的通信。該一種KVM虛擬機(jī)通信方法與現(xiàn)有技術(shù)相比,將可信計(jì)算與共享內(nèi)存通信方法相結(jié)合應(yīng)用到KVM虛擬機(jī)中,驗(yàn)證交互雙方的可信性,從而建立可信信道;采用加密共享內(nèi)存的偽地址而非單純加密傳輸內(nèi)容,相比傳統(tǒng)的方法更具靈活性和可信性,從而有效防止入侵者通過攻擊虛擬機(jī)而訪問共享內(nèi)存而導(dǎo)致的安全問題,實(shí)用性強(qiáng),易于實(shí)現(xiàn),易于推廣。
【專利說明】
一種KVM虛擬機(jī)通信方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)通信技術(shù)領(lǐng)域,具體地說是一種實(shí)用性強(qiáng)、KVM虛擬機(jī)通信方法。
【背景技術(shù)】
[0002]目前,一般的KVM虛擬機(jī)主要優(yōu)化了虛擬機(jī)間的通信效率,而其應(yīng)用的安全策略過于籠統(tǒng),并未保障虛擬機(jī)的可信性。
[0003]如圖1所示,是目前流行的KVM虛擬機(jī)共享內(nèi)存的架構(gòu)模型。該架構(gòu)結(jié)合Virt1半虛擬化模型,從而有效提高了虛擬機(jī)的通信效率,然而該架構(gòu)模式下的共享內(nèi)存的實(shí)現(xiàn)并沒有進(jìn)行安全性保護(hù),入侵者一旦入侵虛擬機(jī),便可以假冒其他虛擬機(jī)操作共享內(nèi)存或竊取及修改通信內(nèi)容。
[0004]隨著云計(jì)算和虛擬化的發(fā)展,處于同一物理主機(jī)上的虛擬機(jī)間的通信安全問題越來越多,針對(duì)云計(jì)算安全中的KVM虛擬化安全問題,本專利提出一種基于共享內(nèi)存和可信信道的KVM虛擬機(jī)通信方法,此專利將可信計(jì)算和共享內(nèi)存機(jī)制融入KVM虛擬化,從而有效保障KVM虛擬機(jī)之間通信的可信性和安全性。

【發(fā)明內(nèi)容】

[0005]本發(fā)明的技術(shù)任務(wù)是針對(duì)以上不足之處,提供一種實(shí)用性強(qiáng)、KVM虛擬機(jī)通信方法。
[0006]—種KVM虛擬機(jī)通彳g方法,其具體實(shí)現(xiàn)過程為:
構(gòu)建虛擬機(jī)交互模型,該虛擬機(jī)交互模型基于可信計(jì)算和KVM的共享內(nèi)存建立;
設(shè)置加密的專屬安全可信信道和加密的內(nèi)存?zhèn)蔚刂?,從而保障交互雙方虛擬機(jī)的可信性和它們之外的其他虛擬機(jī)的隔離性,完成虛擬機(jī)的通信。
[0007]虛擬機(jī)交互模型中有兩種虛擬機(jī):Domain O的虛擬機(jī)MVM和Domain U的虛擬機(jī)VM,MVM為一個(gè)可信虛擬機(jī),為其他虛擬機(jī)VM提供VTPM功能,并通過VTPM管理器實(shí)現(xiàn)對(duì)VTPM的訪問,每個(gè)MVM虛擬機(jī)中都部署一個(gè)包含秘鑰管理模塊、身份認(rèn)證模塊和動(dòng)態(tài)度量機(jī)制的TCB模塊,從而保障運(yùn)行環(huán)境的可信性。
[0008]在建立虛擬機(jī)時(shí),MVM的秘鑰管理模塊為其生成公鑰和私鑰,并將私鑰分配給虛擬機(jī),公鑰保存在秘鑰管理模塊中;
虛擬機(jī)請(qǐng)求共享內(nèi)存時(shí),首先進(jìn)行請(qǐng)求虛擬機(jī)的身份驗(yàn)證;
驗(yàn)證通過后,密鑰管理模塊將加密后的內(nèi)存信息從源虛擬機(jī)中發(fā)送給目標(biāo)虛擬機(jī),這里的目標(biāo)虛擬機(jī)即為上述請(qǐng)求虛擬機(jī);
目標(biāo)虛擬機(jī)接收到內(nèi)存信息后進(jìn)行解密,確定信息未被篡改后,完成通信。
[0009]請(qǐng)求虛擬機(jī)的身份驗(yàn)證過程為:
請(qǐng)求虛擬機(jī)將自己分配到的私鑰和內(nèi)存的偽地址進(jìn)行數(shù)字簽名,通過QEMU將簽名后的偽地址、偽地址、目標(biāo)虛擬機(jī)ID轉(zhuǎn)發(fā)給MVM虛擬機(jī)的秘鑰管理模塊,秘鑰管理模塊根據(jù)源虛擬機(jī)ID查找其對(duì)應(yīng)的公鑰,并對(duì)簽名后的偽地址進(jìn)行解密,再與偽地址進(jìn)行對(duì)比,若一致則請(qǐng)求未被篡改;然后再根據(jù)動(dòng)態(tài)度量值參考表驗(yàn)證程序的度量值是否變化,若未變化說明請(qǐng)求可信,可以繼續(xù);完成上述兩項(xiàng)對(duì)比后,即完成請(qǐng)求虛擬機(jī)的身份驗(yàn)證。
[0010]發(fā)送加密信息給目標(biāo)虛擬機(jī)的過程為:
完成請(qǐng)求虛擬機(jī)的身份驗(yàn)證后,秘鑰管理模塊使用目的虛擬機(jī)ID對(duì)應(yīng)的公鑰對(duì)內(nèi)存?zhèn)蔚刂愤M(jìn)行加密,并對(duì)內(nèi)存中的內(nèi)容進(jìn)行加密,然后發(fā)加密內(nèi)存內(nèi)容、加密的內(nèi)存?zhèn)蔚刂?、源虛擬機(jī)ID給目標(biāo)虛擬機(jī),從而保證信道的可信。
[0011]目標(biāo)虛擬機(jī)的解密過程為:
目標(biāo)虛擬機(jī)使用私鑰解密加密的內(nèi)存?zhèn)蔚刂?,獲取偽地址,并讀取內(nèi)存中的內(nèi)容,然后使用相同的散列算法計(jì)算加密內(nèi)存內(nèi)容看是否和收到的加密內(nèi)存內(nèi)容一致,若一致說明共享內(nèi)存中的信息未被篡改,從而完成信息通信。
[0012]本發(fā)明的一種KVM虛擬機(jī)通信方法,具有以下優(yōu)點(diǎn):
該發(fā)明的一種KVM虛擬機(jī)通信方法將可信計(jì)算與共享內(nèi)存通信方法相結(jié)合應(yīng)用到KVM虛擬機(jī)中,驗(yàn)證交互雙方的可信性,從而建立可信信道;采用加密共享內(nèi)存的偽地址而非單純加密傳輸內(nèi)容,相比傳統(tǒng)的方法更具靈活性和可信性,從而有效防止入侵者通過攻擊虛擬機(jī)而訪問共享內(nèi)存而導(dǎo)致的安全問題,保證了虛擬機(jī)間通信交互過程中信息的安全性,具有通用性,實(shí)用性強(qiáng),易于實(shí)現(xiàn),易于推廣。
【附圖說明】
[0013]附圖1為現(xiàn)有KVM虛擬機(jī)共享內(nèi)存的架構(gòu)圖。
[0014]附圖2為本發(fā)明的虛擬機(jī)交互架構(gòu)圖。
[0015]附圖3為虛擬機(jī)間共享內(nèi)存可信通道的建立過程圖。
【具體實(shí)施方式】
[0016]下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說明。
[0017]一種KVM虛擬機(jī)通信方法,以可信計(jì)算為基礎(chǔ),通過KVM的共享內(nèi)存機(jī)制,采用加密的專屬安全可信信道和加密的內(nèi)存?zhèn)蔚刂?,從而保障交互雙方虛擬機(jī)的可信性和它們之外的其他虛擬機(jī)的隔離性。
[0018]其具體實(shí)現(xiàn)過程為:
構(gòu)建虛擬機(jī)交互模型,該虛擬機(jī)交互模型基于可信計(jì)算和KVM的共享內(nèi)存建立;
設(shè)置加密的專屬安全可信信道和加密的內(nèi)存?zhèn)蔚刂?,從而保障交互雙方虛擬機(jī)的可信性和它們之外的其他虛擬機(jī)的隔離性,完成虛擬機(jī)的通信。
[0019]在建立虛擬機(jī)時(shí),MVM的秘鑰管理模塊為其生成公鑰和私鑰,并將私鑰分配給虛擬機(jī),公鑰保存在秘鑰管理模塊中;
虛擬機(jī)請(qǐng)求共享內(nèi)存時(shí),首先進(jìn)行請(qǐng)求虛擬機(jī)的身份驗(yàn)證;
驗(yàn)證通過后,密鑰管理模塊將加密后的內(nèi)存信息從源虛擬機(jī)中發(fā)送給目標(biāo)虛擬機(jī),這里的目標(biāo)虛擬機(jī)即為上述請(qǐng)求虛擬機(jī);
目標(biāo)虛擬機(jī)接收到內(nèi)存信息后進(jìn)行解密,確定信息未被篡改后,完成通信。
[0020]具體為: 如附圖2、圖3所示,將圖1的模型與將可信平臺(tái)模塊(TPM)相結(jié)合,構(gòu)建出基于可信計(jì)算和共享內(nèi)存的虛擬機(jī)交互模型。該模型中共有兩種虛擬機(jī):Domain O的虛擬機(jī)MVM和DomainU的虛擬機(jī)VM,MVM為一個(gè)可信虛擬機(jī),為其他VM提供VTPM功能,并通過VTPM管理器實(shí)現(xiàn)對(duì)VTPM的訪問。每個(gè)虛擬機(jī)中都要部署一個(gè)包含秘鑰管理、身份認(rèn)證和動(dòng)態(tài)度量機(jī)制的TCB模塊,從而保障運(yùn)行環(huán)境的可信性。
[0021]虛擬機(jī)請(qǐng)求共享內(nèi)存時(shí),將自己分配到的私鑰和內(nèi)存的偽地址(LAdrress )進(jìn)行數(shù)字簽名,即 SHA-1 (LAdrress),通過QEMU將信息{ SHA-1(LAdrress) ,LAdrress,目標(biāo)虛擬機(jī)ID}轉(zhuǎn)發(fā)給秘鑰管理模塊,秘鑰管理模塊根據(jù)源虛擬機(jī)ID查找其對(duì)應(yīng)的公鑰KUi,并對(duì)SHA-1(LAdrress)進(jìn)行解密KUi(SHA-1 (LAdrress)),再與LAdrress進(jìn)行對(duì)比,若一致則請(qǐng)求未被篡改。然后再根據(jù)動(dòng)態(tài)度量值參考表驗(yàn)證程序的度量值是否變化,若未變化說明請(qǐng)求可信,可以繼續(xù)。
[0022]完成以上請(qǐng)求虛擬機(jī)的身份驗(yàn)證后,秘鑰管理使用目的虛擬機(jī)ID對(duì)應(yīng)的公鑰KUj對(duì)內(nèi)存?zhèn)蔚刂稬Adrress進(jìn)行加密KUj(LAdrress),并對(duì)內(nèi)存中的內(nèi)容Message進(jìn)行加密SHA-1(Message),然后發(fā)信息{ SHA-1(Message) ,KUj(LAdrress),源虛擬機(jī)ID}給目標(biāo)虛擬機(jī),從而保證信道的可信。
[0023]目標(biāo)虛擬機(jī)使用私鑰KRj解密KUj(LAdrress)獲取LAdrress,并讀取內(nèi)存中的內(nèi)容Mss,然后使用相同的散列算法計(jì)算SHA-1 (Mss)看是否和收到的SHA-1 (Message)—致,若一致說明共享內(nèi)存中的信息未被篡改。
[0024]上述【具體實(shí)施方式】?jī)H是本發(fā)明的具體個(gè)案,本發(fā)明的專利保護(hù)范圍包括但不限于上述【具體實(shí)施方式】,任何符合本發(fā)明的一種KVM虛擬機(jī)通信方法的權(quán)利要求書的且任何所述技術(shù)領(lǐng)域的普通技術(shù)人員對(duì)其所做的適當(dāng)變化或替換,皆應(yīng)落入本發(fā)明的專利保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種KVM虛擬機(jī)通信方法,其特征在于,實(shí)現(xiàn)過程為: 構(gòu)建虛擬機(jī)交互模型,該虛擬機(jī)交互模型基于可信計(jì)算和KVM的共享內(nèi)存建立; 設(shè)置加密的專屬安全可信信道和加密的內(nèi)存?zhèn)蔚刂?,從而保障交互雙方虛擬機(jī)的可信性和它們之外的其他虛擬機(jī)的隔離性,完成虛擬機(jī)的通信。2.根據(jù)權(quán)利要求1所述的一種KVM虛擬機(jī)通信方法,其特征在于,虛擬機(jī)交互模型中有兩種虛擬機(jī):Domain O的虛擬機(jī)MVM和Domain U的虛擬機(jī)VM,MVM為一個(gè)可信虛擬機(jī),為其他虛擬機(jī)VM提供VTPM功能,并通過VTPM管理器實(shí)現(xiàn)對(duì)VTPM的訪問,每個(gè)MVM虛擬機(jī)中都部署一個(gè)包含秘鑰管理模塊、身份認(rèn)證模塊和動(dòng)態(tài)度量機(jī)制的TCB模塊,從而保障運(yùn)行環(huán)境的可信性。3.根據(jù)權(quán)利要求2所述的一種KVM虛擬機(jī)通信方法,其特征在于,在建立虛擬機(jī)時(shí),MVM的秘鑰管理模塊為其生成公鑰和私鑰,并將私鑰分配給虛擬機(jī),公鑰保存在秘鑰管理模塊中; 虛擬機(jī)請(qǐng)求共享內(nèi)存時(shí),首先進(jìn)行請(qǐng)求虛擬機(jī)的身份驗(yàn)證; 驗(yàn)證通過后,密鑰管理模塊將加密后的內(nèi)存信息從源虛擬機(jī)中發(fā)送給目標(biāo)虛擬機(jī),這里的目標(biāo)虛擬機(jī)即為上述請(qǐng)求虛擬機(jī); 目標(biāo)虛擬機(jī)接收到內(nèi)存信息后進(jìn)行解密,確定信息未被篡改后,完成通信。4.根據(jù)權(quán)利要求3所述的一種KVM虛擬機(jī)通信方法,其特征在于,請(qǐng)求虛擬機(jī)的身份驗(yàn)證過程為: 請(qǐng)求虛擬機(jī)將自己分配到的私鑰和內(nèi)存的偽地址進(jìn)行數(shù)字簽名,通過QEMU將簽名后的偽地址、偽地址、目標(biāo)虛擬機(jī)ID轉(zhuǎn)發(fā)給MVM虛擬機(jī)的秘鑰管理模塊,秘鑰管理模塊根據(jù)源虛擬機(jī)ID查找其對(duì)應(yīng)的公鑰,并對(duì)簽名后的偽地址進(jìn)行解密,再與偽地址進(jìn)行對(duì)比,若一致則請(qǐng)求未被篡改;然后再根據(jù)動(dòng)態(tài)度量值參考表驗(yàn)證程序的度量值是否變化,若未變化說明請(qǐng)求可信,可以繼續(xù);完成上述兩項(xiàng)對(duì)比后,即完成請(qǐng)求虛擬機(jī)的身份驗(yàn)證。5.根據(jù)權(quán)利要求3所述的一種KVM虛擬機(jī)通信方法,其特征在于,發(fā)送加密信息給目標(biāo)虛擬機(jī)的過程為: 完成請(qǐng)求虛擬機(jī)的身份驗(yàn)證后,秘鑰管理模塊使用目的虛擬機(jī)ID對(duì)應(yīng)的公鑰對(duì)內(nèi)存?zhèn)蔚刂愤M(jìn)行加密,并對(duì)內(nèi)存中的內(nèi)容進(jìn)行加密,然后發(fā)加密內(nèi)存內(nèi)容、加密的內(nèi)存?zhèn)蔚刂?、源虛擬機(jī)ID給目標(biāo)虛擬機(jī),從而保證信道的可信。6.根據(jù)權(quán)利要求3所述的一種KVM虛擬機(jī)通信方法,其特征在于,目標(biāo)虛擬機(jī)的解密過程為: 目標(biāo)虛擬機(jī)使用私鑰解密加密的內(nèi)存?zhèn)蔚刂罚@取偽地址,并讀取內(nèi)存中的內(nèi)容,然后使用相同的散列算法計(jì)算加密內(nèi)存內(nèi)容看是否和收到的加密內(nèi)存內(nèi)容一致,若一致說明共享內(nèi)存中的信息未被篡改,從而完成信息通信。
【文檔編號(hào)】H04L29/06GK105933123SQ201610263316
【公開日】2016年9月7日
【申請(qǐng)日】2016年4月26日
【發(fā)明人】楊曉娟
【申請(qǐng)人】浪潮電子信息產(chǎn)業(yè)股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1
无棣县| 赤壁市| 兴国县| 横峰县| 阿巴嘎旗| 广元市| 枣阳市| 澄江县| 尚志市| 福鼎市| 永川市| 崇义县| 普安县| 荃湾区| 舟曲县| 仪征市| 库尔勒市| 桃江县| 肇庆市| 银川市| 全南县| 灵台县| 乌兰浩特市| 淅川县| 泾阳县| 博客| 千阳县| 汶川县| 乌兰察布市| 左贡县| 荆门市| 望江县| 永春县| 云安县| 沾化县| 旺苍县| 灵寿县| 普洱| 绥化市| 兴宁市| 洱源县|