為虛擬機鏡像提供安全機制的方法和系統的製作方法
2023-05-22 02:46:56
專利名稱:為虛擬機鏡像提供安全機制的方法和系統的製作方法
技術領域:
本發明涉及一種用於為驗證和執行虛擬機鏡像提供安全機制的方法和系統。
背景技術:
虛擬化在信息技術產業中逐漸普及,虛擬化將計算功能轉變為能夠進行存儲和管理的信息。虛擬機(virtual machines, VM)可以允許在一臺物理機器上運行多個作業系統。VM的用戶可能希望保存虛擬機的狀態,或者對VM進行快照(或多次快照)以便保留虛擬機狀態(並且可能在以後恢復到該狀態)。這種VM鏡像用在虛擬環境中的終端系統 (endpoint system)中,在所述虛擬環境中,虛擬機鏡像和終端用戶需要進行驗證,所述驗證是用於VM鏡像的安全機制的一部分,以便VM鏡像未被篡改地運行。
發明內容
本發明提供一種提供用於為驗證和執行虛擬機鏡像提供安全機制的方法,所述方法包括以下步驟從外部源獲得所述虛擬機鏡像以便在主機系統上運行;將包含驗證數據的電子設備與所述主機系統連接;使用所述驗證數據驗證所述虛擬機鏡像;指示所述驗證是否匹配;以及如果得到認證,則在所述主機系統上運行所述虛擬機鏡像。在下面的詳細描述中將符合本發明的原理的其它實施例,或者可以通過方法的實踐或系統的使用或在此所公開的而了解。應當理解,前述概括性描述和後面的詳細描述都僅僅是示例性的和說明性的,並且不限制所主張的本發明。
結合在這裡並構成本申請書的一部分的附圖示出了本發明的幾個實施例,連同說明書一起,用來說明本發明的原理。在附圖中圖1是示出提供用於VM鏡像的安全機制的邏輯步驟的流程圖;圖2是示出本發明進行操作的計算機系統環境的示意圖;圖3是示出本發明的示例性實施例的示意圖,其中電子設備是快閃記憶體設備;圖4是示出本發明的示例性實施例的示意圖,其中電子設備包括具有額外存儲器的安全處理器;以及圖5是示出本發明的示例性實施例的示意圖,其中,電子設備包括以下各項的組成安全處理器、存儲器、顯示器、鍵盤和令牌(token)。
具體實施例傳統的基於唯一的計算機硬體標識的安全機制在虛擬環境中不起作用。常規的用於密鑰生成、存儲、認證或系統指紋的唯一計算機硬體標識在用相同的基礎物理硬體創建的多個VM鏡像時達不到要求。常規地,VM鏡像可以用硬體的簡要圖或概括圖來表示,因而消除了在其中創建唯一的標誌的可能性。一旦通過硬體根信任(hardware roots of trust)以傳統方式創建,虛擬終端系統就因此失去主要的基礎支持。因此,需要安全方法來傳送並驗證終端用戶的VM鏡像。本發明的一個例子的實施例利用了使用USB(Universal Serial Bus,通用串行總線)設備的方式,所述USB設備可以包含對下載的VM鏡像進行認證/解密所需的密鑰。從而能確保所述待加密和/或數字籤名的鏡像在傳輸時和在終端系統中使用期間的完整性。 所述設備可以包含重要的快閃記憶體以傳送經過加密的鏡像,並且在要解密和驗證所述VM鏡像的所需的終端或主機系統中作為可啟動的USB設備。另外,所述設備可以生成並存儲虛擬終端系統運行所需的密鑰。所述設備可以用來啟動虛擬終端系統,並且移除所述設備使得終端系統不工作。所述設備也可以存儲VM鏡像引導程序中的易失的混合數據。因此,所述設備可以作為根信任的,使得VM鏡像可以運行在終端系統上,同時提供隱私、訪問控制和個性化。圖1示出了本發明的示例性實現的實施例。一個這樣的實施例包括主機系統或通過下述一種或多種方法從發證機關獲得VM鏡像100的終端系統,所述方法為通過網絡下載、或者從諸如快閃記憶體設備、CD-ROM或DVD-ROM之類的計算機可讀存儲介質複製虛擬機鏡像。 所述下載介質可以是網絡或本領域技術人員公知的其它類型的通信連接中的一種或多種。 例如,所述網絡可以包括以下一種或多種諸如網際網路的全球計算機網絡、廣域網(WAN)、 區域網(LAN)、衛星網絡、電話或電纜網絡、諸如802. 11和/或藍牙的無線鏈路、基於USB的鏈路、串行或並行鏈路、處理器接口鏈路、存儲器接口鏈路或上述和其它類型鏈路的不同部分或組合。然後在步驟SllO中將包含用於驗證VM鏡像的數據(如加密的驗證數據)的電子設備與主機系統(例如個人計算機)連接。舉例而言,所述電子設備可以是直接插入到主機的USB埠的USB設備。然後在步驟S120通過不同的驗證方法驗證虛擬機鏡像的完整性,所述驗證方法驗證VM鏡像是否已經被篡改或修改以及VM鏡像是否是真實的表示、 VM鏡像是否已經由正確的發證方發布。所述驗證過程的一個示例方面包括使用加密的散列算法進行了散列的VM鏡像。主機系統包括驗證軟體,所述驗證軟體對VM鏡像進行再散列並且將散列的結果與之前存儲在電子設備中的VM鏡像進行比較。相匹配的散列值表示VM 鏡像未被篡改或修改。所述驗證過程的另一示例方面對VM鏡像使用上述加密的散列函數與密鑰的結合 (例如基於散列的消息認證碼或HMAC (散列消息身份驗證碼)或加密的散列),其中,電子設備存儲散列值和密鑰。驗證軟體使用存儲在電子設備中的密鑰對VM鏡像進行再散列,然後核實輸出是否與存儲在電子設備中的散列值相匹配。如果相匹配,則VM鏡像未被篡改或修改,而且VM鏡像是通過認證的。可以將該過程增強為包括不同的終端用戶的唯一密鑰, 以使得認證有額外保證。所述驗證過程的又一示例方面包括使用數字籤名。可以通過發證機關(issuing authority)對VM鏡像進行數字籤名,並且電子設備可以包含VM鏡像的數字籤名,在這種情形下,在主機系統中的驗證軟體包含與對VM鏡像進行籤名所用的密鑰相匹配的數字證書。 這個過程還可以包括使用終端用戶的數字證書對VM鏡像進行加密。然後可以用所述終端用戶的私有密鑰來解密允許更多個性化和隱私的VM鏡像。這裡,電子設備還可以存儲終端用戶的電子證書,給發證機關作為執行初始加密的先決條件。當終端用戶將其設備連接以獲得經過加密的VM鏡像時,發證機關可以讀取所述設備以便在初始加密之前得到終端用戶的數字證書。上述過程的另一變型可以包括發證機關使用其自身的私有密鑰對VM鏡像進行加密。電子設備可以包含發證機關的數字證書,並且驗證軟體可以使用存儲在所述設備中的數字證書對VM鏡像進行解密。所述過程的又一變型可以是發證機關使用對稱加密密鑰對VM鏡像進行加密,在這種情況下,驗證軟體可以使用存儲在所述電子設備中的所述加密密鑰對VM鏡像進行解密。這些過程的解密可以在驗證軟體或電子設備中發生,電子設備可以既包含數字證書又包含籤名。匹配的籤名表示VM鏡像未被篡改或修改並且VM鏡像是通過認證的。在驗證過程完成後,驗證軟體在步驟S130指示驗證是通過還是失敗。如果存在匹配,則驗證通過並且VM鏡像是通過認證的或者未被篡改或修改,然後在步驟S140,主機系統執行VM鏡像。圖2是可以實施的本發明的環境的例子的圖示。可以通過從發證機關(例如,由管理系統220所管理的數據存儲系統210的一種)下載來獲得VM鏡像230a-c。計算機可讀存儲介質也可以用於將VM鏡像230a-c傳送到不同的主機系統MOa-n。為了在主機系統上運行VM鏡像,終端用戶可能需要能夠驗證和/或解密VM鏡像的特定電子設備。例如,為了在主機系統MOa上運行VM鏡像230a,可以特別地請求存儲在電子設備250a中的驗證數據。主機系統MOa-n中的至少一個包括或提供一個或多個虛擬機270,虛擬機270可以與基礎的主機系統MOn相對應。可以實施本發明例子的環境可以是在虛擬化系統或環境沈0內。虛擬化環境260是多種設計和實施方式的表示,在所述虛擬化環境中,基礎硬體資源提供給軟體(通常給作業系統軟體和/或應用軟體)作為計算系統的虛擬化實例,所述虛擬化的實例可以或者可以不與基礎的物理硬體準確對應。處理器包含在主機系統MOa-n中,並且可以是下述中的任意一種多種專用或市售的單處理器或多處理器系統 (諸如基於-Intel的處理器)、或者其它類型的能夠支持合乎各個特定實施例和應用的業務的市售處理器。主機系統MOa-n通過信道向存儲系統提供數據和訪問控制信息,所述存儲系統也可以通過信道向主機系統提供數據。主機系統不直接對所述存儲系統的磁碟驅動器尋址,而是訪問從被主機系統看作是多個邏輯設備或邏輯卷的地方提供到一個或多個主機系統的數據。該邏輯卷可以或可以不與實際的磁碟驅動器對應。例如,單個的物理磁碟驅動器上可以存在一個或多個邏輯卷。多個主機可以訪問單個存儲系統中的數據,使得主機可以共享存在於所述存儲系統中的數據。LUNdogical unit number,邏輯單元號)可以用來表示前述邏輯定義的設備或卷中的一個。
關於虛擬化系統,在此使用的術語「虛擬化系統」是指以下中的任意一種具有虛擬機管理功能的單獨的計算機系統、虛擬機主機、具有虛擬機管理功能的單獨的計算機系統的集合、以及可通信地與單獨的計算機系統連接的一個或多個虛擬機主機等。虛擬化系統的例子可以包括商用實施方式,例如,作為示例而非限制的,可以從VMware公司(帕洛阿爾託,加利福尼亞)獲得的VMware ESX伺服器 (VMware和ESX伺服器是VMware公司的商標)、VMware 伺服器和VMware 工作站;具有虛擬化支持功能的作業系統,諸如-Microsoft 虛擬伺服器2005 ;以及開原始碼的實施方式,例如,作為示例而非限制的,可以從XenSource公司獲得。在計算機科學領域眾所周知的,虛擬機是軟體的抽象概念-對實際的物理計算機系統的「虛擬化」。通常在VM內的客戶端軟體與基礎的硬體平臺中的各種硬體組件和設備之間設置一些接口。這種接口,通常被稱為「虛擬化層」,通常可以包括一個或多個軟體組件和/或層,可能包括一個或多個在虛擬機技術領域中公知的軟體組件,如「虛擬機管理器 (VMM) 」、「管理程序(hypervisor) 」、或者虛擬化「內核」。由於虛擬化技術的逐步發展,這些術語(在業內使用時)並不總能在軟體層和他們所涉及的組件之間提供明顯的區別。例如,術語「管理程序(hypervisor) 」通常用來描述 VMM和內核二者,也可以是單獨地但是協作的組件,或者全部或部分地併入內核自身中的一個或多個VMM。然而,術語「管理程序」有時用於單獨表示VMM的一些變體,所述管理程序與某些其它軟體層或組件接口以支持虛擬化。此外,在一些系統中,某些虛擬化代碼包括在至少一個「超級"VM中以利於其它VM的運行。此外,在主機OS自身中有時包含特定的軟體支持。圖3示出在驗證過程期間位於主機系統300與電子設備之間所使用的系統的示意圖,在此電子設備是USB快閃記憶體設備340。USB快閃記憶體設備340具有常用的大容量存儲設備的功能,例如,存儲和調用(recall)文件。主機系統300,此時可以是個人計算機,經由USB接口 330與快閃記憶體設備340通信。允許主機系統300與快閃記憶體設備340經由USB接口 330通信的硬體驅動器是主機系統300的普通功能的一部分。快閃記憶體設備340包括存儲器控制器350,存儲器控制器350接收、讀懂並執行主機系統300發來的文件I/O命令。這些命令是存儲器控制器的常用功能的一部分,並且包括「讀文件」和「寫文件」。快閃記憶體設備340包含驗證數據 370,驗證數據370可以是下述中的一種或多種散列值、加密的散列值、數字籤名、與所述數字籤名對應的證書、或者是上述項的任意組合。主機系統300可以下載VM鏡像320,或者從計算機可讀存儲介質中獲得VM鏡像的副本。具體地,利用大容量存儲器360,可以從快閃記憶體設備340複製或傳送VM鏡像320,就是說,可以將VM鏡像320最初存儲在快閃記憶體設備340中。 這使得用戶能夠將VM鏡像320與驗證數據370 —起最初安裝或「裝載」在設備340上,從而更易於攜帶,而無需在終端系統的使用之前依賴於外部源。驗證軟體310對VM鏡像320 進行驗證。驗證軟體310也可以在設備340中,從而允許所述軟體在設備340中直接運行, 並且可以允許當設備340與主機系統300相連時自動運行所述軟體。在插入設備340時, 驗證軟體310可以自動運行並且檢查所述鏡像的真實性,並且最終啟動VM鏡像320。設備340還可以包括啟動時的終端用戶證書。在被「裝載」時,VM鏡像可以用終端用戶的密鑰進行加密。這樣,只有合法的終端用戶才能解密並運行VM鏡像。可以將密鑰保存在所述設備中或裝載到驗證軟體中,這會需要執行作為此功能的一部分的解密。圖4示出所主張的本發明又一實施例。在此實施例中,與上述設備340不同,電子設備420具有通過包含安全處理器430而具有額外的快閃記憶體設備功能。其它方面與前述相似, 主機系統400經由USB接口 410與包含一個或多個存儲器晶片440a-c的電子設備420進行通信。利用此實施例,可以要求主機系統的用戶向驗證軟體310中輸入個人識別碼(PIN) 或密碼,所述個人識別碼(PIN)或密碼隨後被轉到所述設備用於驗證。如果所述個人識別碼或密碼正確,則所述設備解鎖並允許所述驗證過程進行(例如,圖1)。驗證軟體可以對 VM鏡像執行初始加密操作(例如散列),並且將數據轉到安全處理器430進行最終驗證。所述設備可以隨後將驗證的結果轉回驗證軟體來通知用戶。初始加密驗證密鑰可以存儲在安全處理器的安全存儲器中。在增加了更多存儲器440a_c的情況下,可以用與圖3的操作方法相同或者其任意組合(例如,在所述設備上存儲和運行驗證軟體和/或VM鏡像)。因此,可以在安全處理器430上而不是被侵入可能更高的驗證軟體上運行核心的加密功能。 此外,所述設備還可以用作啟動密鑰(ignition key),使得VM鏡像可以在啟動時檢查所述設備的存在,如果所述設備不存在,則VM鏡像拒絕啟動。另外,在策略控制下,如果所述設備420從連接埠 410移除,則VM鏡像可以關閉或註銷用戶。 圖5是所主張的本發明的又一實施例。與上述的設備340和420不同,電子設備 520還可以具有顯示器560,以便向用戶顯示所述設備的狀態和信息。顯示器560可包括以下一種或多種用作運行/不運行指示器的簡易LED、一行或多行文本行的顯示器、或者圖形顯示器(例如,OLED顯示器)。設備520也可以包括鍵盤550以允許用戶輸入。例如,如果電子設備520的存儲器MOa-b中保存有多個VM鏡像,這可以通過允許用戶在所存儲的 VM鏡像之中進行選擇來進行一些操作管理。設備520還可以包括生成口令(例如一次性口令或0TP(one time password,動態口令))的令牌570。OTP是只授權用戶訪問一次主機的口令,每個口令只允許對計算機資源進行一次訪問。OTP令牌通常生成一系列口令,例如,每分鐘生成一個新口令。所述令牌使用算法這樣做,所述算法把某些變化的數據(例如令牌的內部時鐘的當前時間,以及在製造時程序化到令牌中的「種子」值)作為輸入。所述令牌隨後可以在顯示器上顯示輸出結果,即,OPT。所述顯示器可以在所述令牌自身的表面,或者顯示器560也可以用於此目的。所述令牌可以通過與主機500直接通信而無需顯示器即可工作。認證令牌的一個例子是可以從美國麻薩諸塞州貝德福德的RSA安全公司購買的RSA SecurID認證令牌。如果設備520可以直接連回可信站點,則設備520可以用作可信位置, 以實時地取得VM鏡像、加密的驗證等等,而不用所述設備預先獲得它們。另外,所述設備可以被配置為具有存儲區域,以便保存由於在重啟時通常丟失的所有混合數據而需要的更新的信息。設備520還可以保存一些一旦VM鏡像啟動而要使用的策略或配置信息。設備520 可以獲得並存儲諸如用戶名和口令之類的帳號信息。設備520也能保存與VM鏡像的運行和安全相關的事件日誌,所述事件日誌可以在用戶下次將設備520放入主機500中時讀出。 所述設備還可以被配置為用作另一個VM鏡像的認證伺服器,例如,VM鏡像可以將登錄信息轉給所述設備來進行驗證。
權利要求
1.一種用於為驗證和執行虛擬機鏡像提供安全機制的方法,所述方法包括以下步驟 從外部源獲得所述虛擬機鏡像以便運行主機系統上運行;將包含驗證數據的電子設備與所述主機系統連接; 使用所述驗證數據驗證所述虛擬機鏡像; 指示所述驗證是否匹配;以及如果得到認證,則在所述主機系統上運行所述虛擬機鏡像。
2.根據權利要求1所述的方法,其中,所述虛擬機鏡像是通過網絡和計算機可讀介質中的一種或多種而獲得的。
3.根據權利要求1所述的方法,其中,所述驗證數據包括散列、經過加密的散列或者數字籤名中的一種或多種。
4.根據權利要求1所述的方法,其中,所述驗證是指核實所述虛擬機鏡像是否已經被篡改或修改。
5.根據權利要求1所述的方法,其中,所述驗證是指對所述虛擬機鏡像的源進行認證。
6.根據權利要求1所述的方法,其中,所述電子設備還包括一個或多個安全處理器和至少一個存儲器。
7.根據權利要求1所述的方法,其中,所述驗證數據包括一個或多個經過加密的散列和數字籤名。
8.根據權利要求6所述的方法,其中,所述驗證數據進一步包括裝載在所述電子設備上的一個或多個經過加密的散列和數字籤名。
9.根據權利要求1所述的方法,其中,所述主機系統進一步包括驗證軟體,其中,所述驗證軟體對所述虛擬機鏡像進行驗證。
10.一種用於為驗證和執行虛擬機鏡像提供安全機制的方法,所述方法包括以下步驟從外部源獲得所述虛擬機鏡像以便在主機系統上運行,其中所述虛擬機鏡像是通過網絡和計算機可讀介質中的一種或多種而獲得的;將包含驗證數據的電子設備與所述主機系統連接;驗證所述虛擬機鏡像,其中所述驗證數據包括一個或多個經過加密的散列和數字籤名;指示所述驗證是否匹配;以及如果得到認證,則在所述主機系統上運行所述虛擬機鏡像。
11.根據權利要求10所述的方法,其中,進一步包括在驗證所述虛擬機鏡像之前認證終端用戶的步驟。
12.根據權利要求10所述的方法,其中,進一步包括在驗證所述虛擬機鏡像之前認證終端用戶的步驟,其中,所述用戶終端通過存儲在所述電子設備中的終端用戶驗證數據進行認證。
13.根據權利要求10所述的方法,其中,所述主機系統進一步包括驗證軟體,其中,所述驗證軟體對所述虛擬機鏡像進行驗證。
14.根據權利要求10所述的方法,其中,所述電子設備還包括一個或多個安全處理器和至少一個存儲器。
15.根據權利要求10所述的方法,其中,所述電子設備具有為所述終端用戶指示狀態和信息的顯示器。
16.根據權利要求10所述的方法,其中,所述電子設備具有允許終端用戶進行輸入的鍵盤。
17.一種用於為驗證和執行虛擬機鏡像提供安全機制的系統,所述系統包括 虛擬機伺服器,所述虛擬機伺服器包括多個虛擬機和資料庫;數據存儲系統,所述數據存儲系統與所述虛擬機伺服器通信,以及計算機可執行程序,所述計算機可執行程序在所述虛擬機伺服器上可邏輯執行,從而提供多個不同的虛擬計算環境;以及終端系統,所述終端系統與電子設備進行通信,從而通過以下步驟來提供安全機制 從外部源獲得所述虛擬機鏡像以便在主機系統上運行,其中所述虛擬機鏡像是通過網絡和計算機可讀介質中的一種或多種而獲得的;將包含驗證數據的電子設備與所述主機系統連接;驗證所述虛擬機鏡像,其中所述驗證數據包括一個或多個經過加密的散列和數字籤名;指示所述驗證是否匹配;以及如果得到認證,則在所述主機系統上運行所述虛擬機鏡像。
18.根據權利要求17所述的系統,其中,所述電子設備還包括一個或多個安全處理器和至少一個存儲器,其中,驗證數據存儲在所述電子設備上。
19.根據權利要求17所述的系統,進一步包括驗證軟體,其中,對所述虛擬機鏡像進行驗證。
20.根據權利要求17所述的系統,其中,所述虛擬機伺服器是指所述主機系統。
全文摘要
公開一種提供用於驗證和執行虛擬機鏡像的安全機制的方法,其中所述虛擬機鏡像是從外部源獲得以便運行在終端或主機系統。存儲有驗證數據的電子設備與所述主機系統相連,並且使用所述驗證數據來驗證所述虛擬機鏡像。所述虛擬機鏡像如果經過驗證和/或被解密,則在所述主機系統上運行。所述電子設備可以是USB快閃記憶體設備,並且所述電子設備除了具有顯示器、鍵盤、令牌或上述任意組合之外,還可以包括具有存儲器的安全處理器。在驗證所述虛擬機鏡像時,所採用的驗證數據可以包括經過加密的散列或數字籤名。
文檔編號G06F9/455GK102208000SQ20101050844
公開日2011年10月5日 申請日期2010年10月15日 優先權日2010年3月31日
發明者威廉M·杜安 申請人:伊姆西公司