[发明专利]一种基于内置安全芯片的虚拟机可信迁移系统

说明书

本发明公开一种基于内置安全芯片的虚拟机可信迁移系统，涉及虚拟化安全领域，该系统包括内置安全芯片、服务器操作系统、虚拟机管理器，该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块，虚拟BIOS用于对虚拟机核心文件进行静态度量，虚拟度量设备用于对虚拟机内存进行动态度量，将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中；可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。本发你能够实现对虚拟机进行可信迁移，防止虚拟机迁移过程中遭遇的恶意攻击。

技术领域

本发明涉及虚拟化安全领域，具体涉及一种基于内置安全芯片的虚拟机可信迁移系统。

背景技术

信息技术的迅猛发展使得虚拟化技术得到了越来越广泛的应用，当前以虚拟化技术为支撑的云计算产业发展空前迅速。随着云计算技术不断发展和完善，越来越多的企业选择将其生产环境部署到云平台中。

虚拟化技术位于计算机体系结构中的某一层级，是用来向上层提供底层模拟结构的一种中间层技术。随着硬件技术的快速发展，新型服务器能提供远超原有服务器的运行速度和存储空间。除开服务器性能的不断更迭，随着运行时间的增长，原有服务器的软硬件意外发生概率也在日益增加。当服务器在遭受不可抗拒的自然灾难以及人为灾难时，虚拟机的迁移技术能够为用户数据的安全性提供容错方案。此外，对于部分业务访问量大的公司，可以根据某种负载策略把请求分发到集群中的每一台服务器上，让整个服务器集群来处理网站的请求，虚拟机迁移能够根据其策略增加服务器的吞吐量和处理能力以及承载能力。因此，虚拟机迁移技术在虚拟化进程中十分重要。

当前，虚拟机的迁移技术正在被广泛应用，对虚拟机迁移技术的研究也多了起来，但目前对其研究更多地集中于提高虚拟机迁移的效率及稳定性。鲜有关注于虚拟机迁移的安全问题。在虚拟机迁移过程中对虚拟机的攻击手段繁多，例如针对虚拟机监视程序、虚拟机迁移路线和迁移模块的攻击等。随着云计算技术的广泛应用,虚拟化技术在市场中的迅速普及,虚拟机迁移面临的安全挑战也在逐渐增多，因此全面提高虚拟机迁移的安全性是必然发展趋势。

发明内容

针对高安全需求的虚拟化平台下的虚拟机可信迁移问题，本发明提出了一种基于内置安全芯片的虚拟机可信迁移系统，利用源服务器和目的服务器的内置安全芯片、可信迁移模块、虚拟度量设备以及可信迁移模块等对虚拟机进行可信迁移，防止虚拟机迁移过程中遭遇的恶意攻击。

本发明采用技术方案如下：

一种基于内置安全芯片的虚拟机可信迁移系统，其包括：

内置安全芯片，安装于源服务器和目的服务器上，内置安全芯片之间形成独立的连接网络，用于当虚拟机从源服务器向目的服务器迁移时，源服务器和目的服务器的内置安全芯片之间进行虚拟机的可信信息和虚拟度量设备的内存信息加密传输；

服务器操作系统，安装于源服务器和目的服务器上，该服务器操作系统通过含有的内置安全芯片管理端驱动与内置安全芯片交互，以及加密传输虚拟机的内存信息；

虚拟机管理器，部署于源服务器和目的服务器上，该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块，其中，虚拟BIOS用于对虚拟机核心文件进行静态度量，虚拟度量设备用于对虚拟机内存进行动态度量，将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中；可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。

进一步地，虚拟度量设备的构成包括以下模块：

加密算法模块，用于将虚拟机迁移中需要传递的数据进行加密；

内存度量模块，用于定时对虚拟机内存的关键位置进行度量，将产生的度量值和基准值比对，以确保虚拟机的数据不被篡改；

安全存储模块，用于将度量后得到的数据进行安全存储；