本發(fā)明涉及計算機(jī)，尤其涉及一種虛擬可信根遷移方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、虛擬機(jī)動態(tài)遷移技術(shù)是云計算技術(shù)的重要組成部分，可以實現(xiàn)服務(wù)器的動態(tài)負(fù)載均衡和在線維護(hù)。在引入可信計算的云計算環(huán)境下，虛擬機(jī)中的部分?jǐn)?shù)據(jù)由于使用了虛擬可信根中的秘鑰做了相應(yīng)保護(hù)，為了保證遷移之后虛擬機(jī)和虛擬可信根能夠正?？尚艈?，在虛擬機(jī)遷移后，虛擬可信根也需要進(jìn)行相應(yīng)的遷移。

2、目前為了確保遷移過程中虛擬可信根的安全問題，通常采用aik(attestationidentity?key，平臺身份認(rèn)證密鑰)對虛擬可信根進(jìn)行加密保護(hù)，然而由于aik主要是用于tcm(trusted?cryptography?module，可信密碼模塊)的身份證明或者平臺可信證明，導(dǎo)致虛擬可信根的安全性不夠強(qiáng)。

技術(shù)實現(xiàn)思路

1、本發(fā)明提供一種虛擬可信根遷移方法、裝置、設(shè)備及存儲介質(zhì)，以解決現(xiàn)有技術(shù)由于采用aik對虛擬可信根進(jìn)行加密保護(hù)，導(dǎo)致虛擬可信根的安全性不夠強(qiáng)的問題。

2、為實現(xiàn)上述目的，本發(fā)明實施例提供了一種虛擬可信根遷移方法，應(yīng)用于源主機(jī)，包括：

3、接收虛擬可信根遷移管理平臺發(fā)送來的遷移密鑰證書；所述遷移密鑰證書至少包括目的主機(jī)生成的遷移密鑰中的公鑰；

4、基于所述遷移密鑰證書，對待遷移的虛擬可信根進(jìn)行簽密操作，得到簽密文件；

5、將所述簽密文件發(fā)送給目的主機(jī)，所述目的主機(jī)用于基于從所述虛擬可信根遷移管理平臺獲取到的所述遷移密鑰證書，對所述簽密文件進(jìn)行驗證后解密，得到所述虛擬可信根。

6、作為上述方案的改進(jìn)，所述接收虛擬可信根遷移管理平臺發(fā)送來的遷移密鑰證書，包括：

7、在所述目的主機(jī)的虛擬可信根遷移準(zhǔn)備工作完成的情況下，接收所述虛擬可信根遷移管理平臺發(fā)送來的第一虛擬可信根遷移指令，向所述虛擬可信根遷移管理平臺發(fā)送第一可信證明請求；

8、接收所述虛擬可信根遷移管理平臺基于所述第一可信證明請求返回的度量結(jié)果、虛擬可信根凍結(jié)指令和遷移密鑰證書；所述虛擬可信根凍結(jié)指令用于指示所述源主機(jī)凍結(jié)所述虛擬可信根的狀態(tài)。

9、作為上述方案的改進(jìn)，所述基于所述遷移密鑰證書，對待遷移的虛擬可信根進(jìn)行簽密操作，得到簽密文件，包括：

10、隨機(jī)生成遷移加密密鑰，利用所述遷移加密密鑰對待遷移的虛擬可信根進(jìn)行加密，生成第一加密文件；

11、利用所述遷移密鑰的公鑰對所述遷移加密密鑰進(jìn)行加密，生成第二加密文件；

12、利用所述源主機(jī)的平臺身份認(rèn)證密鑰的私鑰對所述第一加密文件、所述第二加密文件進(jìn)行時間戳簽名，得到簽名文件；

13、將所述第一加密文件、所述第二加密文件、本地時間戳和所述簽名文件組合，得到簽密文件。

14、作為上述方案的改進(jìn)，在所述將所述簽密文件發(fā)送給目的主機(jī)之后，所述虛擬可信根遷移方法還包括：

15、在所述目的主機(jī)的非空白虛擬實例啟動的情況下，接收所述虛擬可信根遷移管理平臺發(fā)送來的虛擬可信根刪除指令，將所述虛擬可信根刪除；其中，所述目的主機(jī)還用于基于得到的所述虛擬可信根，將所述虛擬可信根的信息加載到所述目的主機(jī)中的空白虛擬實例得到所述非空白虛擬實例；

16、向所述虛擬可信根遷移管理平臺發(fā)送第二可信證明請求；

17、接收所述虛擬可信根遷移管理平臺基于所述第二可信證明請求返回的虛擬可信根已刪除的度量結(jié)果。

18、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種虛擬可信根遷移方法，應(yīng)用于目的主機(jī)，包括：

19、基于所述目的主機(jī)生成的遷移密鑰，向所述虛擬可信根遷移管理平臺發(fā)送遷移密鑰證書申請，接收所述虛擬可信根遷移管理平臺返回的遷移密鑰證書，所述遷移密鑰證書至少包括所述遷移密鑰的公鑰；

20、接收源主機(jī)發(fā)送來的簽密文件，基于所述遷移密鑰證書對所述簽密文件進(jìn)行驗證后解密，得到從所述源主機(jī)遷移來的虛擬可信根；其中，所述源主機(jī)用于基于從所述虛擬可信根遷移管理平臺獲取到的所述遷移密鑰證書，對所述虛擬可信根進(jìn)行簽密操作，得到所述簽密文件，將所述簽密文件發(fā)送給所述目的主機(jī)。

21、作為上述方案的改進(jìn)，在所述基于所述目的主機(jī)生成的遷移密鑰，向所述虛擬可信根遷移管理平臺發(fā)送遷移密鑰證書申請，接收所述虛擬可信根遷移管理平臺返回的遷移密鑰證書之前，所述虛擬可信根遷移方法還包括：

22、接收所述虛擬可信根遷移管理平臺發(fā)送來的第二虛擬可信根遷移指令，向所述虛擬可信根遷移管理平臺發(fā)送第三可信證明請求；

23、接收所述虛擬可信根遷移管理平臺基于所述第三可信證明請求返回的度量結(jié)果和所述源主機(jī)的平臺身份認(rèn)證密鑰證書。

24、作為上述方案的改進(jìn)，所述簽密文件包括：第一加密文件、第二加密文件、本地時間戳和簽名文件；

25、所述接收源主機(jī)發(fā)送來的簽密文件，基于所述遷移密鑰證書對所述簽密文件進(jìn)行驗證后解密，得到從所述源主機(jī)遷移來的虛擬可信根，包括：

26、接收源主機(jī)發(fā)送來的簽密文件；

27、基于所述遷移密鑰證書對所述本地時間戳的有效性進(jìn)行驗證；

28、通過所述源主機(jī)的平臺身份認(rèn)證密鑰證書中的公鑰對所述簽名文件的有效性進(jìn)行驗證；

29、通過所述遷移密鑰的私鑰對所述第二加密文件進(jìn)行解密得到遷移加密密鑰；

30、通過所述遷移加密密鑰對所述第一加密文件進(jìn)行解密，得到從所述源主機(jī)遷移來的虛擬可信根。

31、作為上述方案的改進(jìn)，在所述得到從所述源主機(jī)遷移來的虛擬可信根之后，所述虛擬可信根遷移方法還包括：

32、創(chuàng)建空白虛擬實例，將得到的所述虛擬可信根的信息加載到所述空白虛擬實例，得到非空白虛擬實例；

33、建立從所述目的主機(jī)到所述非空白虛擬實例到所述目的主機(jī)的虛擬操作系統(tǒng)的信任鏈。

34、作為上述方案的改進(jìn)，在所述建立從所述目的主機(jī)到所述非空白虛擬實例到所述目的主機(jī)的虛擬操作系統(tǒng)的信任鏈之后，所述虛擬可信根遷移方法還包括：

35、向所述非空白虛擬實例發(fā)送啟動指令，所述啟動指令用于指示所述非空白虛擬實例啟動，并向所述虛擬可信根遷移管理平臺發(fā)送第四可信證明請求；所述虛擬可信根遷移管理平臺用于對所述非空白虛擬實例的可信狀態(tài)進(jìn)行度量，得到度量結(jié)果并返回至所述非空白虛擬實例，并將所述非空白虛擬實例的狀態(tài)設(shè)置為正常，將所述源主機(jī)的待遷移的虛擬可信根的狀態(tài)設(shè)置為刪除。

36、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種虛擬可信根遷移方法，應(yīng)用于虛擬可信根遷移管理平臺，包括：

37、接收目的主機(jī)發(fā)送來的遷移密鑰證書申請，簽發(fā)遷移密鑰證書，將所述遷移密鑰證書發(fā)送給所述目的主機(jī)；

38、將所述遷移密鑰證書發(fā)送給源主機(jī)；所述源主機(jī)用于基于接收到的所述遷移密鑰證書，對待遷移的虛擬可信根進(jìn)行簽密操作，得到簽密文件，將所述簽密文件發(fā)送給所述目的主機(jī)；所述目的主機(jī)用于基于接收到的所述遷移密鑰證書，對接收到的所述簽密文件進(jìn)行驗證后解密，得到所述虛擬可信根，所述遷移密鑰證書至少包括所述目的主機(jī)生成的遷移密鑰中的公鑰。

39、作為上述方案的改進(jìn)，所述虛擬可信根遷移方法還包括：

40、接收所述源主機(jī)或所述目的主機(jī)發(fā)送來的可信證明請求，對所述源主機(jī)或所述目的主機(jī)的虛擬可信根的可信狀態(tài)進(jìn)行度量，若度量到的所述可信狀態(tài)為正常，則向所述源主機(jī)或所述目的主機(jī)發(fā)送虛擬可信根啟動指令。

41、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種虛擬可信根遷移裝置，應(yīng)用于源主機(jī)，包括：

42、接收模塊，用于接收虛擬可信根遷移管理平臺發(fā)送來的遷移密鑰證書；所述遷移密鑰證書至少包括目的主機(jī)生成的遷移密鑰中的公鑰；

43、簽密模塊，用于基于所述遷移密鑰證書，對待遷移的虛擬可信根進(jìn)行簽密操作，得到簽密文件；

44、第一虛擬可信根遷移模塊，用于將所述簽密文件發(fā)送給目的主機(jī)，所述目的主機(jī)用于基于從所述虛擬可信根遷移管理平臺獲取到的所述遷移密鑰證書，對所述簽密文件進(jìn)行驗證后解密，得到所述虛擬可信根。

45、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種虛擬可信根遷移裝置，應(yīng)用于目的主機(jī)，包括：

46、證書申請模塊，用于基于所述目的主機(jī)生成的遷移密鑰，向所述虛擬可信根遷移管理平臺發(fā)送遷移密鑰證書申請，接收所述虛擬可信根遷移管理平臺返回的遷移密鑰證書，所述遷移密鑰證書至少包括所述遷移密鑰的公鑰；

47、第二虛擬可信根遷移模塊，用于接收源主機(jī)發(fā)送來的簽密文件，基于所述遷移密鑰證書對所述簽密文件進(jìn)行驗證后解密，得到從所述源主機(jī)遷移來的虛擬可信根；其中，所述源主機(jī)用于基于從所述虛擬可信根遷移管理平臺獲取到的所述遷移密鑰證書，對所述虛擬可信根進(jìn)行簽密操作，得到所述簽密文件，將所述簽密文件發(fā)送給所述目的主機(jī)。

48、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種虛擬可信根遷移裝置，應(yīng)用于虛擬可信根遷移管理平臺，包括：

49、證書簽發(fā)模塊，用于接收目的主機(jī)發(fā)送來的遷移密鑰證書申請，簽發(fā)遷移密鑰證書，將所述遷移密鑰證書發(fā)送給所述目的主機(jī)；

50、證書發(fā)送模塊，用于將所述遷移密鑰證書發(fā)送給源主機(jī)；所述源主機(jī)用于基于接收到的所述遷移密鑰證書，對待遷移的虛擬可信根進(jìn)行簽密操作，得到簽密文件，將所述簽密文件發(fā)送給所述目的主機(jī)；所述目的主機(jī)用于基于接收到的所述遷移密鑰證書，對接收到的所述簽密文件進(jìn)行驗證后解密，得到所述虛擬可信根，所述遷移密鑰證書至少包括所述目的主機(jī)生成的遷移密鑰中的公鑰。

51、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種虛擬可信根遷移設(shè)備，包括處理器、存儲器以及存儲在所述存儲器中且被配置為由所述處理器執(zhí)行的計算機(jī)程序，所述處理器在執(zhí)行所述計算機(jī)程序時實現(xiàn)如上述的虛擬可信根遷移方法。

52、為實現(xiàn)上述目的，本發(fā)明實施例還提供了一種計算機(jī)可讀存儲介質(zhì)，所述計算機(jī)可讀存儲介質(zhì)包括存儲的計算機(jī)程序；其中，所述計算機(jī)程序在運(yùn)行時控制所述計算機(jī)可讀存儲介質(zhì)所在的設(shè)備執(zhí)行如上述的虛擬可信根遷移方法。

53、與現(xiàn)有技術(shù)相比，本發(fā)明實施例提供的一種虛擬可信根遷移方法、裝置、設(shè)備及存儲介質(zhì)，通過虛擬可信根遷移管理平臺向源主機(jī)發(fā)送遷移密鑰證書，使得在虛擬可信根遷移的過程中，源主機(jī)基于遷移密鑰證書對待遷移的虛擬可信根進(jìn)行簽密操作，實現(xiàn)對該虛擬可信根的加密保護(hù)，由于遷移密鑰證書的用途明確，專門用于虛擬可信根的遷移保護(hù)，不參與其余的身份證明或者平臺可信證明，安全性更強(qiáng)。