一种云环境下虚拟可信根的管理方法与系统转让专利
申请号 : CN201910316522.5
文献号 : CN110109731B
文献日 : 2021-02-09
发明人 : 许鑫
申请人 : 苏州浪潮智能科技有限公司
摘要 :
本发明提供了一种云环境下虚拟可信根的管理方法与系统,包括:在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。本发明围绕当前云环境下使用虚拟可信根会造成虚拟可信根发布者隐私数据泄露的风险,提出由发布者生成虚拟可信根状态数据文件供云管理平台分配使用,由于云管理平台在创建虚拟机时已拥有了状态数据文件,虚拟可信根可直接加载使用,无需虚拟机模拟器再进行初始化。
权利要求 :
1.一种云环境下虚拟可信根的管理方法,其特征在于,所述方法包括以下步骤:S1、在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;
S2、云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。
2.根据权利要求1所述的一种云环境下虚拟可信根的管理方法,其特征在于,所述步骤S1具体包括以下操作:S101、在虚拟可信根发布者环境中生成默认状态数据;
S102、发布者使用其隐私数据生成私有数据,然后导入到状态数据中;
S103、将状态数据以及发布者私有数据写入文件,并转换成虚拟可信根可直接使用的文件形式;
S104、将已经可用的状态数据文件由发布者的环境写入用户环境中,由云管理平台管理这些文件。
3.根据权利要求1所述的一种云环境下虚拟可信根的管理方法,其特征在于,所述步骤S2具体包括以下操作:S201、查询状态文件列表是否包含发布者导入的文件;
S202、创建虚拟机,云管理平台为虚拟机分配各种所需资源;
S203、云管理平台将状态数据文件传递至计算机节点中供虚拟机使用;
S204、虚拟机模拟器启动加载各种资源,包括状态数据文件,虚拟机加载其中的状态数据供虚拟可信根使用。
4.根据权利要求1-3任意一项所述的一种云环境下虚拟可信根的管理方法,其特征在于,所述云管理平台为Openstack,虚拟机模拟器为Qemu,Openssl CA为发布者CA。
5.一种云环境下虚拟可信根的管理系统,其特征在于,所述系统包括:状态数据文件生成模块,用于在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;
状态数据文件管理模块,用于云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。
6.根据权利要求5所述的一种云环境下虚拟可信根的管理系统,其特征在于,所述状态数据文件生成模块包括:默认状态数据生成单元,用于在虚拟可信根发布者环境中生成默认状态数据;
私有数据生成单元,用于发布者使用其隐私数据生成私有数据,然后导入到状态数据中;
状态数据文件生成单元,用于将状态数据以及发布者私有数据写入文件,并转换成虚拟可信根可直接使用的文件形式;
文件导入单元,用于将已经可用的状态数据文件由发布者的环境写入用户环境中,由云管理平台管理这些文件。
7.根据权利要求5所述的一种云环境下虚拟可信根的管理系统,其特征在于,所述状态数据文件管理模块包括:文件列表查询单元,用于查询状态文件列表是否包含发布者导入的文件;
虚拟机创建单元,用于创建虚拟机,云管理平台为虚拟机分配各种所需资源;
状态数据传输单元,用于云管理平台将状态数据文件传递至计算机节点中供虚拟机使用;
虚拟机启动单元,用于虚拟机模拟器启动加载各种资源,包括状态数据文件,虚拟机加载其中的状态数据供虚拟可信根使用。
8.根据权利要求5-7任意一项所述的一种云环境下虚拟可信根的管理系统,其特征在于,所述云管理平台为Openstack,虚拟机模拟器为Qemu,Openssl CA为发布者CA。
说明书 :
一种云环境下虚拟可信根的管理方法与系统
技术领域
[0001] 本发明涉及服务器云计算技术领域,特别是一种云环境下虚拟可信根的管理方法与系统。
背景技术
[0002] 信息安全已成为制约云计算应用与发展的关键因素,其中云数据中心基础设施的安全性、云数据中心虚拟机租户数据及信息的完整性、云服务提供商与云服务租户之间的信任是提升云安全的关键基础,这些问题的解决需要从计算机底层硬件出发、从体系结构入手解决。可信计算作为一种从硬件平台出发、从体系结构入手,解决计算平台信息安全的安全技术,已成为提升云数据中心基础设施安全及租户信任问题的关键技术手段。当前,基于虚拟化功能的虚拟可信根技术已经实现,这使得虚拟机用户可以在虚拟机中使用信任链、远程证明等可信计算的核心技术。
[0003] 作为一种安全组件,可信根需要生产厂商在其中固化一些厂商私有信息来唯一标识各可信根(比如可信根中的背书密钥证书,Endorsement Certificate),这些信息的生成依赖厂商的隐私数据(比如背书密钥证书需要厂商的CA系统颁发)。物理可信根在出厂时已经固化了初始化的信息,厂商的隐私数据不会随芯片流入到客户手中。而在虚拟可信根中,当虚拟机模拟器检测不到虚拟可信根状态信息时,虚拟机模拟器会完成这些信息的创建,这意味着虚拟机模拟器需要虚拟可信根发布者的隐私数据来生成虚拟可信根中的一些发布者私有数据。当虚拟可信根应用到云环境下时,云管理平台要带有虚拟可信根发布者的隐私数据才可完成虚拟可信根的初始化,而云管理平台一般是运行在客户环境中,这意味着虚拟可信根发布者的的隐私数据也要驻留到客户环境中,这对虚拟可信根发布者造成了安全隐患。
[0004] 基于上述问题,本发明提出了一种云环境下虚拟可信根的管理方法,使得云管理平台无需拥有虚拟可信根发布者的隐私数据,也可在客户环境中为客户提供虚拟可信根功能服务。
发明内容
[0005] 本发明的目的是提供一种云环境下虚拟可信根的管理方法与系统,旨在解决当前云环境下使用虚拟可信根会造成虚拟可信根发布者隐私数据泄露的问题,实现防止隐私数据泄露,提高安全性。
[0006] 为达到上述技术目的,本发明提供了一种云环境下虚拟可信根的管理方法,所述方法包括以下步骤:
[0007] S1、在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;
[0008] S2、云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。
[0009] 优选地,所述步骤S1具体包括以下操作:
[0010] S101、在虚拟可信根发布者环境中生成默认状态数据;
[0011] S102、发布者使用其隐私数据生成私有数据,然后导入到状态数据中;
[0012] S103、将状态数据以及发布者私有数据写入文件,并转换成虚拟可信根可直接使用的文件形式;
[0013] S104、将已经可用的状态数据文件由发布者的环境写入用户环境中,由云管理平台管理这些文件。
[0014] 优选地,所述步骤S2具体包括以下操作:
[0015] S201、查询状态文件列表是否包含发布者导入的文件;
[0016] S202、创建虚拟机,云管理平台为虚拟机分配各种所需资源;
[0017] S203、云管理平台将状态数据文件传递至计算机节点中供虚拟机使用;
[0018] S204、虚拟机模拟器启动加载各种资源,包括状态数据文件,虚拟机加载其中的状态数据供虚拟可信根使用。
[0019] 优选地,所述云管理平台为Openstack,虚拟机模拟器为Qemu,Openssl CA为发布者CA。
[0020] 本发明还提供了一种云环境下虚拟可信根的管理系统,所述系统包括:
[0021] 状态数据文件生成模块,用于在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;
[0022] 状态数据文件管理模块,用于云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。
[0023] 优选地,所述状态数据文件生成模块包括:
[0024] 默认状态数据生成单元,用于在虚拟可信根发布者环境中生成默认状态数据;
[0025] 私有数据生成单元,用于发布者使用其隐私数据生成私有数据,然后导入到状态数据中;
[0026] 状态数据文件生成单元,用于将状态数据以及发布者私有数据写入文件,并转换成虚拟可信根可直接使用的文件形式;
[0027] 文件导入单元,用于将已经可用的状态数据文件由发布者的环境写入用户环境中,由云管理平台管理这些文件。
[0028] 优选地,所述状态数据文件管理模块包括:
[0029] 文件列表查询单元,用于查询状态文件列表是否包含发布者导入的文件;
[0030] 虚拟机创建单元,用于创建虚拟机,云管理平台为虚拟机分配各种所需资源;
[0031] 状态数据传输单元,用于云管理平台将状态数据文件传递至计算机节点中供虚拟机使用;
[0032] 虚拟机启动单元,用于虚拟机模拟器启动加载各种资源,包括状态数据文件,虚拟机加载其中的状态数据供虚拟可信根使用。
[0033] 优选地,所述云管理平台为Openstack,虚拟机模拟器为Qemu,Openssl CA为发布者CA。
[0034] 发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
[0035] 与现有技术相比,本发明提出了一种云环境下虚拟可信根的管理方法,通过在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件,在创建虚拟机时分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用,实现防止隐私数据泄露。本发明围绕当前云环境下使用虚拟可信根会造成虚拟可信根发布者隐私数据泄露的风险,提出由发布者生成虚拟可信根状态数据文件供云管理平台分配使用,由于云管理平台在创建虚拟机时已拥有了状态数据文件,虚拟可信根可直接加载使用,无需虚拟机模拟器再进行初始化。
附图说明
[0036] 图1为本发明实施例中所提供的一种云环境下虚拟可信根的管理方法流程图;
[0037] 图2为本发明实施例中所提供的一种云环境下虚拟可信根的管理系统结构框图。
具体实施方式
[0038] 为了能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
[0039] 下面结合附图对本发明实施例所提供的一种云环境下虚拟可信根的管理方法与系统进行详细说明。
[0040] 如图1所示,本发明实施例公开了一种云环境下虚拟可信根的管理方法,所述方法包括以下步骤:
[0041] S1、在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;
[0042] S2、云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。
[0043] 本发明实施例以Openstack为云管理平台、Qemu为虚拟机模拟器、Openssl CA为发布者CA为例,对本发明做详细描述。
[0044] 虚拟可信根状态数据文件由虚拟可信根发布者完成虚拟可信根状态数据及发布者私有数据初始化,并生成状态数据文件供虚拟可信根使用,无需云环境下的虚拟机模拟器再次进行状态数据的初始化。
[0045] 生成默认状态数据;该过程与虚拟机模拟器初始化状态数据的过程一致,只不过该过程是在发布者的环境中进行;
[0046] 生成发布者私有信息;发布者使用其隐私数据生成私有数据,然后导入到状态数据中,例如可以使用发布者的CA系统对状态数据中的EK签发证书,由于该过程是在发布者的环境中进行,发布者的隐私数据不会泄露给用户;
[0047] 生成状态数据文件;将状态数据以及发布者私有数据写入文件,并转换成虚拟可信根可直接使用的文件形式,保证在云管理平台下的虚拟机模拟器无需作任何修改就可直接加载供虚拟可信根使用;
[0048] 状态数据文件导入云管理平台;将已经可用的状态数据文件由发布者的环境写入用户环境中,由云管理平台管理这些文件,在创建虚拟机时由云管理平台分配给虚拟机使用。
[0049] 云管理平台管理虚拟可信根发布者导入的状态数据文件,在创建虚拟机时将其中一个文件分配给虚拟机使用,虚拟机创建流程如下:
[0050] 查询状态文件列表,云管理平台中的状态文件列表包含了发布者导入的文件,如果该列表中没有状态数据文件,需要发布者再次导入才可继续创建虚拟机;
[0051] 创建虚拟机,云管理平台为虚拟机分配各种所需资源;
[0052] 传输状态数据,虚拟机最终是在计算机节点中运行,因此,云管理平台要将状态数据文件传递至计算机节点中供虚拟机使用;
[0053] 启动虚拟机,云管理平台创建完虚拟机后,虚拟机就拥有了所有运行时必备的资源,虚拟机模拟器启动加载各种资源,其中就包括虚拟可信根状态数据文件,虚拟机加载其中的状态数据供虚拟可信根使用。
[0054] 本发明实施例提出了一种云环境下虚拟可信根的管理方法,通过在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件,在创建虚拟机时分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用,实现防止隐私数据泄露,提高安全性。本发明围绕当前云环境下使用虚拟可信根会造成虚拟可信根发布者隐私数据泄露的风险,提出由发布者生成虚拟可信根状态数据文件供云管理平台分配使用,由于云管理平台在创建虚拟机时已拥有了状态数据文件,虚拟可信根可直接加载使用,无需虚拟机模拟器再进行初始化。
[0055] 如图2所示,本发明实施例公开了一种云环境下虚拟可信根的管理系统,所述系统包括:
[0056] 状态数据文件生成模块,用于在虚拟可信根发布者环境中生成状态数据,并将发布者隐私数据生成私有数据,导入到所述状态数据中,生成虚拟可信根状态数据文件;
[0057] 状态数据文件管理模块,用于云管理平台对所述虚拟可信根状态数据文件进行管理,在创建虚拟机时,将虚拟可信根状态数据文件分配给虚拟机,虚拟机加载状态数据供虚拟可信根使用。
[0058] 本发明实施例以Openstack为云管理平台、Qemu为虚拟机模拟器、Openssl CA为发布者CA为例,对各功能模块做详细描述。
[0059] 所述状态数据文件生成模块包括:
[0060] 默认状态数据生成单元,用于在虚拟可信根发布者环境中生成默认状态数据;
[0061] 私有数据生成单元,用于发布者使用其隐私数据生成私有数据,然后导入到状态数据中;
[0062] 状态数据文件生成单元,用于将状态数据以及发布者私有数据写入文件,并转换成虚拟可信根可直接使用的文件形式;
[0063] 文件导入单元,用于将已经可用的状态数据文件由发布者的环境写入用户环境中,由云管理平台管理这些文件。
[0064] 所述状态数据文件管理模块包括:
[0065] 文件列表查询单元,用于查询状态文件列表是否包含发布者导入的文件;
[0066] 虚拟机创建单元,用于创建虚拟机,云管理平台为虚拟机分配各种所需资源;
[0067] 状态数据传输单元,用于云管理平台将状态数据文件传递至计算机节点中供虚拟机使用;
[0068] 虚拟机启动单元,用于虚拟机模拟器启动加载各种资源,包括状态数据文件,虚拟机加载其中的状态数据供虚拟可信根使用。
[0069] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。