本发明专利技术提供一种云计算中虚拟机镜像导入和导出系统,所述云计算中虚拟机镜像导入和导出系统,所述系统包括:云计算中虚拟机镜像导出装置,用于在导出虚拟机镜像时,计算虚拟机镜像的哈希值,对哈希值进行加密,得到虚拟机镜像的数据签名,将数据签名添加到导出的所述虚拟机镜像中;云计算中虚拟机镜像导入装置,用于接收所述云计算中虚拟机镜像导出装置导入的虚拟机镜像,提取虚拟机镜像的数据签名,对数据签名进行解密,得到虚拟机镜像的哈希值,计算虚拟机镜像的原始哈希值,若判断得到的哈希值与计算的原始哈希值相同,则允许所述虚拟机镜像导入。本发明专利技术以解决非法虚拟机镜像导入的问题,同时也保证了虚拟机镜像安全导出的全问题。
【技术实现步骤摘要】
本专利技术涉及计算机网络技术,特别涉及一种云计算中虚拟机镜像导入和导出系 统。
技术介绍
云计算(Cloud computing),是一种新兴的共享基础架构的方法,它可以将巨大的系统池连接在一起以提供各种IT服务。它使得超级计算能力通过互联网自由流通成 为了可能。也就是说。云计算是一种面向互联网的分布式计算服务,按照服务类型大 致可以分为三类将基础设施作为服务IAAS、将平台作为服务PAAS和将软件作为服务 SAAS.企业与个人用户无需再投入昂贵的硬件购置成本,只需要通过互联网来购买租赁 计算力,“把你的计算机当作互联网的接入口。提供资源的网络被称为“云”。其中, 云分为公有云、私有云和混合云。目前,在现有云计算应用中虚拟机镜像导入或导出架构中,特权虚拟机和云管 理服务器之间的虚拟机镜像的导入或导出没有进行安全性检查和校验。导出的虚拟机镜 像在不同的私有云中进行迁移的时候,或者虚拟机镜像从公有云迁移到私有云时,没有 进行身份限制,这样可以使其他私有云外的虚拟机镜像也可以被引入该私有云中。也就是说,在对现有技术的研究和实践过程中,本专利技术的专利技术人发现,现有的 实现方式中,由于在私有云中导出的虚拟机镜像文件没有身份标识认证,那么实际上新 的虚拟机镜像从公有云迁移入该私有云中或者旧的镜像再次进入到该云中的时候,没有 进行身份验证而直接允许导入并运行,如果该镜像被伪装或者加入了一些恶意的不符合 该私有云安全性限制条件的服务或者代码,将会对整个私有云安全造成严重的威胁。
技术实现思路
本专利技术实施例提供一种云计算中虚拟机镜像导入和导出系统,以解决非法虚拟 机镜像导入的问题,同时也保证了虚拟机镜像安全导出的全问题。为解决上述技术问题,本专利技术提供一种云计算中虚拟机镜像导入和导出系统, 包括云计算中虚拟机镜像导出装置和云计算中虚拟机镜像导入装置,其中,所述云计算中虚拟机镜像导出装置,用于在导出虚拟机镜像时,计算所述虚拟 机镜像的哈希值,对所述哈希值进行加密,得到所述虚拟机镜像的数据签名,将所述数 据签名添加到导出的所述虚拟机镜像中;所述云计算中虚拟机镜像导入装置,用于接收所述云计算中虚拟机镜像导出装 置导入的虚拟机镜像,提取所述虚拟机镜像的数据签名,对所述数据签名进行解密,得 到所述虚拟机镜像的哈希值,计算所述虚拟机镜像的原始哈希值,若判断得到的所述哈 希值与计算的原始哈希值相同,则允许所述虚拟机镜像导入。优选的,所述云计算中虚拟机镜像导出装置包括计算单元,用于在导出虚拟机镜像时,计算所述虚拟机镜像的哈希值;4加密单元,用于对所述哈希值进行加密,得到所述虚拟机镜像的数据签名;添加单元,用于将所述数据签名添加到导出的所述虚拟机镜像中。优选的,所述加密单元包括第一加密单元,用于利用自身的私钥对所述哈希值进行加密,得到所述虚拟机 镜像的数据签名;和/或第二加密单元,用于利用接收端的公钥对所述哈希值进行加密得到所述虚拟机 镜像的数据签名。优选的,所述添加单元具体用于将所述数据签名添加到导出的所述虚拟机镜 像的头部、尾部或中间。优选的,所述云计算中虚拟机镜像导出装置还包括记录单元,用于记录所述添加单元添加到所述虚拟机镜像中的所述数据签名的位置信息。优选的,所述云计算中虚拟机镜像导入装置包括接收单元,用于接收导入的虚拟机镜像;提取单元,用于提取所述虚拟机镜像的数据签名;解密单元,用于对所述数据签名进行解密,得到所述虚拟机镜像的哈希值;计算单元,用于计算所述虚拟机镜像的原始哈希值;判断单元,用于判断获得的所述哈希值与计算的原始哈希值是否相同;导入单元,用于在判断单元的判断结果相同时,允许所述虚拟机镜像导入。优选的,所述提取单元包括位置信息获取单元,用于从所述特权虚拟机中获取所述数据签名的位置信息;提取单元,用于根据所述位置信息获取单元获取的位置信息提取所述虚拟机镜 像中的数据签名。优选的,所述解密单元包括第一解密单元,用于利用发送端的公钥对所述数据签名进行解密,如果解密成 功,则得到所述虚拟机镜像的哈希值;和/或第二解密单元,用于利用自身的私钥对所述数据签名进行解密,如果解密成 功,则得到所述虚拟机镜像的哈希值。优选的,所述云计算中虚拟机镜像导入装置集成在云管理服务器中或独立部1W ο所述云计算中虚拟机镜像导出装置集成在特权虚拟机中或独立部署。本专利技术为导出的虚拟机镜像添加数据签名(身份认证),保证了虚拟机镜像在私 有云(或者混合云)的部署,导入导出的身份合法性判断,避免不合法的虚拟机镜像的启 动和运行对私有云内部的潜在安全威胁,如恶意攻击,机密窃取等。同时,通过修改 虚拟机镜像(增加了签名数据信息),改变了虚拟机镜像的大小和内容,使得在不知道该 机制的情况下,在私有云外部使用该镜像,不能被校验通过。这种方法的实现在一定程 度上保证了镜像的私有化(云内部使用)。也就是说,本专利技术在需要导入,或者已经导出 的虚拟机(VM)镜像上添加数据签名,即通过安全校验机制,加上属于某一私有云的签 名校验,形成身份校验层,使得不符合安全校验条件的虚拟机镜像不能被导入该云,从而避免潜在的云主机污染,同时也提高了虚拟机镜像的安全导入导出。 附图说明图1为本专利技术提供的一种云计算中虚拟机镜像导出方法的流程图2为本专利技术提供的一种云计算中虚拟机镜像导入方法的流程图3为本专利技术提供的一种云计算中虚拟机镜像导入方法的应用实例的流程图4为本专利技术提供的一种云计算中虚拟机镜像导出装置的结构示意图5为本专利技术提供的一种云计算中虚拟机镜像导入装置的结构示意图6为本专利技术提供的一种云计算中虚拟机镜像导出和导入系统的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例的方案,下面结合附图和实 施方式对本专利技术实施例作进一步的详细说明。请参阅图1,为本专利技术提供的一种云计算中虚拟机镜像导出方法的流程图,所述 方法包括步骤101 在导出虚拟机镜像时,计算所述虚拟机镜像的哈希值;其中,在特权虚拟机(即管理云管理服务器的服务器)导出虚拟机(VM)镜像 时,可以利用安全哈希SHAl、哈希MD2、哈希MD4、哈希MD5算法计算所述虚拟机镜 像的哈希值,具体的计算过程已是成熟技术,在此不再赘述。步骤102 对所述哈希值进行加密,得到所述虚拟机镜像的数据签名;—种加密的方法为利用自身的私钥对所述哈希值进行加密,得到所述虚拟机 镜像的数据签名;另一种加密的方法为利用接收端的公钥对所述哈希值进行加密得到所述虚拟 机镜像的数据签名。这两种算法实时之前,发送端与接收端互相通知自身的公钥,以便后续对所述 虚拟机镜像的数据签名进行加密/解密。也就是说,本专利技术中的公钥算法是不对称加密算法,它使用两把完全不同但又 是完全匹配的一对钥匙-公钥和私钥。在使用不对称加密算法加密文件时,只有使用匹 配的一对公钥和私钥,才能完成对明文的加密和解密过程。发信方加密明文时可以采用 接信方的公钥加密,接信方解密密文时使用私钥才能完成,而且发信方(加密者)知道收 信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。其中,不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读 的加密信息,发信者使用自己的私钥加密信件,收信者使用发信者的公钥解密信件。显 然,采用不对称加密算法,收发信双方在通信之前,收信方必本文档来自技高网...
【技术保护点】
一种云计算中虚拟机镜像导入和导出系统,其特征在于,包括:云计算中虚拟机镜像导出装置,用于在导出虚拟机镜像时,计算所述虚拟机镜像的哈希值,对所述哈希值进行加密,得到所述虚拟机镜像的数据签名,将所述数据签名添加到导出的所述虚拟机镜像中;云计算中虚拟机镜像导入装置,用于接收所述云计算中虚拟机镜像导出装置导入的虚拟机镜像,提取所述虚拟机镜像的数据签名,对所述数据签名进行解密,得到所述虚拟机镜像的哈希值,计算所述虚拟机镜像的原始哈希值,若判断得到的所述哈希值与计算的原始哈希值相同,则允许所述虚拟机镜像导入。
【技术特征摘要】
1.一种云计算中虚拟机镜像导入和导出系统,其特征在于,包括云计算中虚拟机镜像导出装置,用于在导出虚拟机镜像时,计算所述虚拟机镜像的 哈希值,对所述哈希值进行加密,得到所述虚拟机镜像的数据签名,将所述数据签名添 加到导出的所述虚拟机镜像中;云计算中虚拟机镜像导入装置,用于接收所述云计算中虚拟机镜像导出装置导入的 虚拟机镜像,提取所述虚拟机镜像的数据签名,对所述数据签名进行解密,得到所述虚 拟机镜像的哈希值,计算所述虚拟机镜像的原始哈希值,若判断得到的所述哈希值与计 算的原始哈希值相同,则允许所述虚拟机镜像导入。2.根据权利要求1所述的系统,其特征在于,所述云计算中虚拟机镜像导出装置包括计算单元,用于在导出虚拟机镜像时,计算所述虚拟机镜像的哈希值; 加密单元,用于对所述哈希值进行加密,得到所述虚拟机镜像的数据签名; 添加单元,用于将所述数据签名添加到导出的所述虚拟机镜像中。3.根据权利要求2所述的系统,其特征在于,所述加密单元包括第一加密单元,用于利用自身的私钥对所述哈希值进行加密,得到所述虚拟机镜像 的数据签名;和/或第二加密单元,用于利用接收端的公钥对所述哈希值进行加密得到所述虚拟机镜像 的数据签名。4.根据权利要求2所述的系统,其特征在于,所述添加单元具体用于将所述数据 签名添加到导出的所述虚拟机镜像的头部、尾部或中间。5.根据权利要求1至4任一项所述的系统,其特...
【专利技术属性】
技术研发人员:宋卓,胡中,沈启龙,王鹏,任海宝,徐安,牛立新,
申请(专利权)人:北京世纪互联工程技术服务有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。