一種虛擬機資源檢測方法
【技術領域】
[0001]本發明涉及通信技術領域,特別涉及一種虛擬機資源檢測方法。
【背景技術】
[0002]云計算(cloud computing)是基于互聯網的相關服務的增加、使用和交付模式,通常涉及通過互聯網來提供動態易擴展且經常是虛擬化的資源。云是網絡、互聯網的一種比喻說法。過去在圖中往往用云來表示電信網,后來也用來表示互聯網和底層基礎設施的抽象。
[0003]狹義云計算指IT基礎設施的交付和使用模式,通過網絡以按需、易擴展的方式獲得所需資源;廣義云計算指服務的交付和使用模式,通過網絡以按需、易擴展的方式獲得所需服務。這種服務可以是IT和軟件、互聯網相關,也可是其他服務。它意味著計算能力也可作為一種商品通過互聯網進行流通。
[0004]可信計算是當前信息安全領域的研究熱點,證明問題是可信計算最為重要的問題之一。因為可信基于證明,只有證明才能在不可信的環境中建立信任關系。
[0005]國內外可信計算技術的迅速發展也促使對于證明問題研究的不斷深入,這些研究工作所涉及的范圍非常廣泛,從計算平臺到應用程序,從整體架構到具體協議,從上層系統到底層硬件都被包含到了可信證明的研究中。
[0006]TCG提出的遠程證明(remote attestat1n)的概念使得對于證明問題的研究成為信息安全領域中前沿熱點問題。在TCG規范中,證明(attestat1n)是可信計算平臺的三個基礎特征之一。本發明拓展了可信的概念,滿足虛擬機與用戶之間的可信證明。
[0007]在云計算服務中,用戶付費使用云計算服務,但是對于服務的質量,虛擬機的配置信息的真實性,無法獲得。
【發明內容】
[0008]有鑒于此,本發明提供一種虛擬機資源檢測方法,能夠確認云服務提供商服務器響應的虛擬機資源的可信性。
[0009]為解決上述技術問題,本發明的技術方案是這樣實現的:
[0010]一種虛擬機資源檢測方法,應用于包括云服務提供商服務器、管理平臺和多個客戶端的系統中,所述云服務提供商服務器配置多個虛擬機;所述管理平臺接收到所述云服務提供商服務器發送的簽名并加密后的各虛擬機的配置信息時,驗證、解密并存儲;所述方法包括:
[0011]任一所述客戶端根據需求清單向所述云服務提供商服務器發起資源請求時,所述資源請求通過所述管理平臺轉發給所述云服務提供商服務器;
[0012]該客戶端接收到所述管理平臺轉發的,所述云服務提供商服務器根據接收到的資源請求響應的虛擬機資源時,根據響應的虛擬機資源中攜帶的UUID獲取所述管理平臺中存儲的對應的虛擬機的配置信息;
[0013]該客戶端使用發送資源請求的需求清單與獲取的配置信息按預設規則進行匹配,如果匹配成功,確定響應的虛擬機資源可信;否則,確定響應的虛擬機資源不可信。
[0014]綜上所述,本發明通過在任一客戶端根據需求清單向云服務提供商服務器發起資源請求,并接收到響應的虛擬機資源時,獲得管理平臺轉發的所述虛擬機資源中攜帶的UUID對應的虛擬機的真實配置信息,使用該真實配置信息確定云服務提供商服務器響應的虛擬機資源的可信性,能夠確認云服務提供商服務器響應的虛擬機資源的可信性。
【附圖說明】
[0015]圖1為本發明具體實施例中虛擬機資源檢測方法流程示意圖。
【具體實施方式】
[0016]為使本發明的目的、技術方案及優點更加清楚明白,以下參照附圖并舉實施例,對本發明所述方案作進一步地詳細說明。
[0017]本發明實施例中提出一種虛擬機資源檢測方法,應用于包括云服務提供商服務器、管理平臺和多個客戶端的系統中,云服務提供商服務器通過將配置的各虛擬機的配置信息進行簽名、加密后,發送給管理平臺存儲,在任一客戶端根據需求清單向云服務提供商服務器發起資源請求,并接收到響應的虛擬機資源時,獲得管理平臺轉發的所述虛擬機資源中攜帶的通用唯一識別碼(Universally Unique Identifier, UUID)對應的虛擬機的真實配置信息,使用該真實配置信息確定云服務提供商服務器響應的虛擬機資源的可信性。通過該方法,能夠確認云服務提供商服務器響應的虛擬機資源是否可信。
[0018]本發明具體實施例時,管理平臺可以是在該系統中云服務提供商端增加一臺設備實現管理平臺功能,也可以是利用云服務提供商端已有的某臺服務器實現。
[0019]云服務提供商服務器配置多個虛擬機;云服務提供商服務器上配置物理機可信代理,并為配置的各虛擬機分別配置虛擬機可信代理。
[0020]云服務提供商服務器通過配置的物理可信代理獲取配置的各虛擬機的配置信息,調用硬件可信任平臺(TPM)簽名函數將各虛擬機的配置信息簽名;通過配置的各虛擬機可信代理驗證對應的物理機可信代理簽名的虛擬機的配置信息并進行配置信息應用,調用虛擬可信任平臺(νΤΡΜ)簽名函數簽名并將通過νΤΡΜ簽名函數簽名的配置信息進行加密后發送給管理平臺。
[0021]在加密時可以使用用戶口令作為密鑰進行加密。
[0022]管理平臺接收到所述云服務提供商服務器發送的簽名并加密后的各虛擬機的配置信息時,驗證、解密并存儲。
[0023]以云服務提供商服務器配置3個虛擬機,分別為虛擬機1、虛擬機2和虛擬機3為例。云服務提供商服務器配置一個物理機可信代理,并為3個虛擬機分別配置虛擬機可信代理虛擬機可信代理1、虛擬機可信代理2和虛擬機可信代理3。
[0024]云服務提供商服務器會將所有虛擬機的配置信息進行相同處理,以其中一個虛擬機,如虛擬機I的配置信息的處理為例來說明處理過程。
[0025]云服務提供商服務器通過配置的物理機可信代理獲取虛擬機I的配置信息P,并調用硬件TPM簽名函數將P簽名,簽名后的P為P1,即使用TPM的簽名密鑰AIKp簽名配置信息P,并將簽名后的配置信息發送給虛擬機I。
[0026]虛擬機I的虛擬機可信代理接收P1,并驗證物理機簽名,并將配置信息P應用;調用虛擬機I的VTPM簽名函數并簽名P1,使用νΤΡΜ簽名函數簽名的后的配置信息記為P2。調用加密函數加密,密鑰為用戶口令,對P2加密后的配置信息記為P3。并將P3發送給管理
T D O
[0027]管理平臺接收到云服務提供商發送的P3時,驗證簽名,并解密信息P3獲得實際配置信息P并存儲。
[0028]云服務提供商服務器當感知到任一虛擬機的配置信息更改時,通過配置的物理可信代理獲取該虛擬機更改的配置信息,并調用硬件TPM簽名函數將該虛擬機更改的配置信息簽名;并通過為該虛擬機配置的虛擬機可信代理驗證所述物理機可信代理簽名的更改的配置信息后,將所述更改的配置信息應用,調用為該虛擬機配置的νΤΡΜ簽名函數簽名并將通過所述νΤΡΜ簽名函數簽名的更改的配置信息進行加密后發送給管理平臺;
[0029]所述管理平臺接收到所述云服務提供商服務器發送的加密后的更改的配置信息時,使用驗證并解密后的更改的配置信息更新存儲的對應虛擬機的配置信息。
[0030]如云服務提供商服務器感知到虛擬機I的