[发明专利]一种云计算中虚拟机镜像导出方法及装置

说明书

技术领域

本发明涉及计算机网络技术，特别涉及一种云计算中虚拟机镜像导出方法及装置。

背景技术

云计算(Cloud computing)，是一种新兴的共享基础架构的方法，它可以将巨大的系统池连接在一起以提供各种IT服务。它使得超级计算能力通过互联网自由流通成为了可能。也就是说。云计算是一种面向互联网的分布式计算服务，按照服务类型大致可以分为三类：将基础设施作为服务IAAS、将平台作为服务PAAS和将软件作为服务SAAS。企业与个人用户无需再投入昂贵的硬件购置成本，只需要通过互联网来购买租赁计算力，“把你的计算机当作互联网的接入口。提供资源的网络被称为“云”。其中，云分为公有云、私有云和混合云。

目前，在现有云计算应用中虚拟机镜像导入或导出架构中，特权虚拟机和云管理服务器之间的虚拟机镜像的导入或导出没有进行安全性检查和校验。导出的虚拟机镜像在不同的私有云中进行迁移的时候，或者虚拟机镜像从公有云迁移到私有云时，没有进行身份限制，这样可以使其他私有云外的虚拟机镜像也可以被引入该私有云中。

也就是说，在对现有技术的研究和实践过程中，本发明的发明人发现，现有的实现方式中，由于在私有云中导出的虚拟机镜像文件没有身份标识认证，那么实际上新的虚拟机镜像从公有云迁移入该私有云中或者旧的镜像再次进入到该云中的时候，没有进行身份验证而直接允许导入并运行，如果该镜像被伪装或者加入了一些恶意的不符合该私有云安全性限制条件的服务或者代码，将会对整个私有云安全造成严重的威胁。

发明内容

本发明提供一种云计算中虚拟机镜像导出方法及装置，以解决虚拟机镜像的安全导出问题。

为解决上述技术问题，本发明提供一种云计算中虚拟机镜像导出方法，所述方法包括：

在导出虚拟机镜像时，计算所述虚拟机镜像的哈希值；

对所述哈希值进行加密，得到所述虚拟机镜像的数据签名；

将所述数据签名添加到导出的所述虚拟机镜像中。

优选的，所述对哈希值进行加密，得到所述虚拟机镜像的数据签名包括：

利用自身的私钥对所述哈希值进行加密，得到所述虚拟机镜像的数据签名；或者

利用接收端的公钥对所述哈希值进行加密得到所述虚拟机镜像的数据签名。

优选的，所述将数据签名添加到导出的所述虚拟机镜像中具体包括：

将所述数据签名添加到导出的所述虚拟机镜像的头部、尾部或中间。

优选的，所述方法还包括：记录添加到所述虚拟机镜像中的所述数据签名的位置信息。

相应的，本发明还提供一种云计算中虚拟机镜像导出装置，包括：

计算单元，用于在导出虚拟机镜像时，计算所述虚拟机镜像的哈希值；

加密单元，用于对所述哈希值进行加密，得到所述虚拟机镜像的数据签名；

添加单元，用于将所述数据签名添加到导出的所述虚拟机镜像中。

优选的，所述加密单元包括：

第一加密单元，用于利用自身的私钥对所述哈希值进行加密，得到所述虚拟机镜像的数据签名；和/或

第二加密单元，用于利用接收端的公钥对所述哈希值进行加密得到所述虚拟机镜像的数据签名。

优选的，所述添加单元：具体用于将所述数据签名添加到导出的所述虚拟机镜像的头部、尾部或中间。

优选的，还包括：

记录单元，用于记录所述添加单元添加到所述虚拟机镜像中的所述数据签名的位置信息。

优选的，所述云计算中虚拟机镜像导出装置集成在特权虚拟机或独立部署。

本发明为导出的虚拟机镜像添加数据签名(身份认证)，保证了虚拟机镜像在私有云(或者混合云)的部署，通过修改虚拟机镜像(增加了签名数据信息)，改变了虚拟机镜像的大小和内容，使得在不知道该机制的情况下，在私有云外部使用该镜像，不能被校验通过。这种方法的实现在一定程度上保证了镜像的私有化(云内部使用)。也就是说，本发明在需要已经导出的虚拟机(VM)镜像上添加数据签名，即通过安全校验机制，加上属于某一私有云的签名校验，形成身份校验层，使得不符合安全校验条件的虚拟机镜像不能被导入该云，从而避免潜在的云主机污染，同时也提高了虚拟机镜像的安全导出。

附图说明

图1为本发明提供的一种云计算中虚拟机镜像导出方法的流程图；

图2为本发明提供的一种云计算中虚拟机镜像导入方法的流程图；

图3为本发明提供的一种云计算中虚拟机镜像导入方法的应用实例的流程图；

图4为本发明提供的一种云计算中虚拟机镜像导出装置的结构示意图；