一种虚拟机迁移方法、装置、设备及存储介质与流程

1.本发明涉及云计算领域，特别涉及一种虚拟机迁移方法、装置、设备及存储介质。


背景技术：

2.pks架构是中国电子主导构建的绿色、开放、共享的技术架构和生态体系。“p”代表(phytium)飞腾处理器，“k”代表(kylin)麒麟操作系统，“s”代表注入安全的能力。现今云计算技术迅猛发展，虚拟机迁移技术作为云服务的一项优势，受到了广泛的关注和应用。然而，在现有的单架构下，vtpcm(virtual trusted platform control module，虚拟可信平台控制模块)实际在用户空间，漏洞导致的攻击能够窃取vtpcm的密钥并妨碍度量，使得vtpcm本身无法得到有效保护。
3.如上所述，提高虚拟机迁移过程密钥的安全性以及简化度量信息传输握手过程的方法成为亟待解决的问题。
4.在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种虚拟机迁移方法、装置、设备和存储介质，能够提高虚拟机迁移过程密钥的安全性和简化度量信息传输握手的过程。其具体方案如下：
6.第一方面，本技术公开了一种虚拟机迁移方法，应用于云管中心，包括：
7.向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机；
8.按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区；
9.向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。
10.可选的，所述按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区，包括：
11.按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对与所述目标虚拟机进行一对一绑定，得到相应的绑定信息；
12.将所述目标密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区；其中，所述目标虚拟机利用所述目标密钥对与所述目的主机的安全区通信。
13.可选的，所述将所述目标密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对以及所述绑定信息从所述目的主机的用户区发送
至所述目的主机的安全区，包括：
14.利用第一私钥加密所述目标密钥对，以得到加密密钥对；
15.将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机在接收到所述加密密钥对以及所述绑定信息之后，从所述目的主机用户区将利用第二私钥加密的预设信息发送至所述目的主机的安全区，当所述目的主机的安全区利用第二公钥将加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区；其中，所述第二私钥与所述第二公钥为所述目的主机对应的密钥。
16.可选的，所述将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机在接收到所述加密密钥对以及所述绑定信息之后，从所述目的主机用户区将利用第二私钥加密的预设信息发送至所述目的主机的安全区，当所述目的主机的安全区利用第二公钥将加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区，包括：
17.将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区之后，利用存储在所述目的主机的安全区的第一公钥解密所述加密密钥对以得到所述目标密钥对；
18.接收由所述目的主机的用户区发送的答复信息；其中，所述答复信息为由所述目的主机的安全区发送至所述目的主机的用户区的在解密所述加密密钥对时触发的信息。
19.可选的，所述将所述目标密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区，还包括：
20.将所述第一私钥存储在所述云管中心的安全区内；其中，所述第一私钥与所述第一公钥为所述云管中心对应的密钥；
21.将所述第一私钥对应的所述第一公钥发送至所有物理机，以便所有所述物理机将所述第一公钥存储至自身安全区。
22.可选的，所述接收由所述目的主机的用户区发送的答复信息，包括：
23.接收由所述目的主机的用户区发送的答复信息；其中，在所述目的主机向所述云管中心发送所述答复信息的时候，通过所述云管中心接收所述宿主机发送的所述原虚拟机的签名信息；其中，所述签名信息为所述宿主机利用预设签名算法对所述原虚拟机中的信息进行签名得到的信息。
24.可选的，所述向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机，包括：
25.接收所述目的主机发送的迁移完成信息，然后基于所述绑定信息在所述云管中心的安全区内更新所述目标虚拟机对应的所述目标密钥对；所述云管中心的安全区中存储所述目的主机上所有虚拟机对应的所述目标密钥对；
26.向所述宿主机发送利用所述第一私钥加密的虚拟机注销指令，以便所述宿主机利用所述第一公钥解密所述虚拟机注销指令之后注销所述原虚拟机。
27.第二方面，本技术公开了一种虚拟机迁移装置，应用于云管中心，包括：
28.第一指令发送模块，用于向宿主机发送虚拟机迁移指令；
29.虚拟机创建模块，用于在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机；
30.密钥对生成模块，用于按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区；
31.第二指令发送模块，用于向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。
32.第三方面，本技术公开了一种电子设备，包括：
33.存储器，用于保存计算机程序；
34.处理器，用于执行所述计算机程序，以实现如前述公开的虚拟机迁移方法的步骤。
35.第四方面，本技术公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现如前述公开的虚拟机迁移方法。
36.可见，本技术提供了一种虚拟机迁移方法，包括：向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机；按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区；向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。由此可见，本技术中云管中心先在目的主机的用户区创建目标虚拟机，然后将生成的目标密钥对发送至目的主机的用户区，以便所述目的主机将目标密钥对从目的主机的用户区发送至目的主机的安全区，双架构中安全区的安全性强于用户区，提高了在虚拟机迁移过程中其对应的目标密钥对的安全性，简化了度量信息传输握手的过程。
附图说明
37.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
38.图1为本技术公开的一种虚拟机迁移方法流程图；
39.图2为本技术公开的一种具体的虚拟机迁移方法示意图；
40.图3为本技术公开的一种具体的虚拟机迁移方法流程图；
41.图4为本技术公开的一种具体的虚拟机迁移方法流程图；
42.图5为本技术提供的虚拟机迁移装置结构示意图；
43.图6为本技术提供的一种电子设备结构图。
具体实施方式
44.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例，都属于本发明保护的范围。
45.目前，pks架构是中国电子主导构建的绿色、开放、共享的技术架构和生态体系。“p”代表(phytium)飞腾处理器，“k”代表(kylin)麒麟操作系统，“s”代表注入安全的能力。现今云计算技术迅猛发展，虚拟机迁移技术作为云服务的一项优势，受到了广泛的关注和应用。然而，vtpcm本身无法得到有效保护，并存在虚拟机迁移过程密钥的安全以及度量信息传输握手复杂的问题。为此，本技术提供了一种虚拟机迁移方法，能够提高虚拟机迁移过程中其对应的目标密钥对的安全性，简化度量信息传输握手的过程。
46.本发明实施例公开了一种虚拟机迁移方法，参见图1所示，应用于云管中心，该方法包括：
47.步骤s11：向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机。
48.本实施例中，首先由云管中心向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，得到目标虚拟机。需要指出的是，云管中心以及在云管中心管理下的所有物理机都采用双架构模式，云环境形成了双架构的可信云环境，所述双架构即为包含用户区与安全区两部分。如图2所示，云管中心os(operating system，操作系统)控制两个物理主机：host os1(物理机中的系统)以及host os2。例如，在host os1的用户区上存在多个虚拟机，记为v11至v1n，在host os1的安全区中存在所述每个虚拟机对应的vtcm(virtual trusted cryptography module，虚拟可信密码模块)、tcm(trusted cryptography module，可信密码模块)以及tpcm(trusted platform control module，可信平台控制模块)。可以理解的是，位于物理机用户区的虚拟机与物理机安全区进行通信时需要通过预设的驱动程序，位于物理机用户区的虚拟机与物理机可以通过hypervisor(一种运行在物理服务器和操作系统之间的中间层软件)进行通讯。另外，双架构解决了vtpcm半虚拟化、全虚拟化的效率问题。
49.步骤s12：按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区。
50.本实施例中，在目的主机的用户区上创建与所述宿主机中原虚拟机对应的目标虚拟机之后，按照预设密钥生成算法随机生成目标密钥对，然后将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区。可以理解的是，所述目的主机的用户区与所述云管中心进行交互，而所述目的主机的安全区只与所述目的主机的用户区进行交互，并且上述预设密钥生成算法可以为任意一种密钥生成算法。
51.步骤s13：向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。
52.本实施例中，将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区之后，向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。可以理解的是，在向所述宿主机发送虚拟机注销指令之前，利用云管中心自身的第一私钥对所述虚拟机注销指令进行加密，以得到加密的所述虚拟机注销指令，然后将所述加密的所述虚拟机注销指令发送
至所述宿主机。具体的，所述宿主机在接收到加密的所述虚拟机注销指令之后，利用存储在所述宿主机的安全区的第一公钥解密加密的所述虚拟机注销指令，当解密成功时，表明所述虚拟机注销指令的来源正确，从而使所述宿主机注销所述原虚拟机。
53.可见，本技术提供了一种虚拟机迁移方法，包括：向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机；按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区；向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。由此可见，本技术中云管中心先在目的主机的用户区创建目标虚拟机，然后将生成的目标密钥对发送至目的主机的用户区，以便所述目的主机将目标密钥对从目的主机的用户区发送至目的主机的安全区，双架构中安全区的安全性强于用户区，提高了在虚拟机迁移过程中其对应的目标密钥对的安全性，简化了度量信息传输握手的过程。
54.参见图3所示，本发明实施例公开了一种虚拟机迁移方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。
55.步骤s21：向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机。
56.步骤s22：按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对与所述目标虚拟机进行一对一绑定，得到相应的绑定信息。
57.本实施例中，在目的主机的用户区上创建与所述宿主机中原虚拟机对应的目标虚拟机之后，按照预设密钥生成算法随机生成目标密钥对，然后将所述目标密钥对与所述目标虚拟机进行一对一绑定并得到相应的绑定信息。可以理解的是，将所述目标密钥对与所述目标虚拟机进行一对一绑定意味着一个目标虚拟机有且仅有一个目标密钥对，所述绑定信息即为虚拟机与目标密钥对之间的映射关系，因此当存在多个虚拟机以及多个目标密钥对时，可以通过所述绑定信息确定每个虚拟机对应的目标密钥对。需要指出的是，云管中心是vm(virtual machine，虚拟机)可信的集中式管理中心，当所述云管中心在所述目的主机的用户区创建所述目标虚拟机的同时，在所述云管中心的安全区生成所述目标虚拟机的目标密钥对，并将所述目标虚拟机与所述目标密钥对进行绑定。另外，所述述目标虚拟机利用所述目标密钥对与所述目的主机的安全区通信。
58.步骤s23：利用第一私钥加密所述目标密钥对，以得到加密密钥对。
59.本实施例中，将所述目标密钥对与所述目标虚拟机进行一对一绑定，并得到相应的绑定信息之后，利用第一私钥加密所述目标密钥对，以得到加密密钥对。可以理解的是，利用所述第一私钥对所述目标密钥对进行加密，确保了上述目标密钥对在云管中心与目的主机的用户区之间传输的安全性。
60.步骤s24：将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机在接收到所述加密密钥对以及所述绑定信息之后，从所述目的主机用户区将利用第二私钥加密的预设信息发送至所述目的主机的安全区，当所述目的主机的安全区利用第二公钥将加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区；其中，所述第二私钥与所述第二公钥为所述目的主机对应的密钥。
61.本实施例中，将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机在接收到所述加密密钥对以及所述绑定信息之后，从所述目的主机用户区将利用第二私钥加密的预设信息发送至所述目的主机的安全区，当所述目的主机的安全区利用第二公钥将加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区。可以理解的是，当所述目的主机的安全区利用第二公钥将加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区，然后利用存储在所述目的主机的安全区的第一公钥解密所述加密密钥对以得到所述目标密钥对。
62.需要指出的是，所述第一私钥为存储在所述云管中心的安全区内的私钥，所述云管中心将所述第一私钥对应的所述第一公钥发送至所有在所述云管中心管理下的物理机，以便所有所述物理机将所述第一公钥存储至自身安全区。所述第一私钥与所述第一公钥为所述云管中心对应的密钥。所述第二私钥与所述第二公钥为所述目的主机对应的密钥。
63.步骤s25：向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。
64.关于上述步骤s21、s25的具体内容可以参考前述实施例中公开的相应内容，在此不再进行赘述。
65.可见，本技术实施例通过在所述目的主机的用户区创建所述目标虚拟机的同时，在所述云管中心的安全区生成所述目标虚拟机的目标密钥对，并将所述目标虚拟机与所述目标密钥对进行绑定，同时得到绑定信息，然后将利用第一私钥加密所述目标密钥对得到的加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机的安全区利用第二公钥将所述目的主机的用户区发送的加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区，然后利用存储在所述目的主机的安全区的第一公钥解密所述加密密钥对以得到所述目标密钥对。提高了在虚拟机迁移过程中其对应的目标密钥对的安全性，简化了度量信息传输握手的过程。
66.参见图4所示，本发明实施例公开了一种虚拟机迁移方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。
67.步骤s31：向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机。
68.步骤s32：按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对与所述目标虚拟机进行一对一绑定，得到相应的绑定信息。
69.步骤s33：利用第一私钥加密所述目标密钥对，以得到加密密钥对。
70.步骤s34：将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机在接收到所述加密密钥对以及所述绑定信息之后，从所述目的主机用户区将利用第二私钥加密的预设信息发送至所述目的主机的安全区，当所述目的主机的安全区利用第二公钥将加密的所述预设信息解密成功时，将所述加密密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区；其中，所述第二私钥与所述第二公钥为所述目的主机对应的密钥。
71.步骤s35：接收由所述目的主机的用户区发送的答复信息；其中，所述答复信息为
由所述目的主机的安全区发送至所述目的主机的用户区的在解密所述加密密钥对时触发的信息。
72.本实施例中，接收由所述目的主机的用户区发送的答复信息。可以理解的是，所述答复信息是由所述目的主机的安全区发送至所述目的主机的用户区的在解密所述加密密钥对时触发的信息。例如，当所述目的主机的安全区成功解密所述加密密钥对时，所述答复信息即为所述加密密钥对解密成功。所述目的主机的安全区没有解密所述加密密钥对时，所述答复信息即为所述加密密钥对解密失败。
73.需要指出的是，在所述目的主机向所述云管中心发送所述答复信息的时候，通过所述云管中心接收所述宿主机发送的所述原虚拟机的签名信息。所述签名信息为所述宿主机利用预设签名算法对所述原虚拟机中的信息进行签名得到的信息。所述预设签名算法可以为哈希算法。
74.步骤s36：接收所述目的主机发送的迁移完成信息，然后基于所述绑定信息在所述云管中心的安全区内更新所述目标虚拟机对应的所述目标密钥对；所述云管中心的安全区中存储所述目的主机上所有虚拟机对应的所述目标密钥对。
75.本实施例中，当所述目的主机的安全区成功解密所述加密密钥对且所述目的主机通过所述云管中心接收到所述宿主机发送的所述原虚拟机的签名信息时，表明虚拟机的迁移过程已完成，所述目的主机会向所述云管中心返回迁移完成信息。可以理解的是，所述云管中心接收到所述目的主机发送的迁移完成信息后，基于所述绑定信息在所述云管中心的安全区内更新所述目标虚拟机对应的所述目标密钥对。需要指出的是，所述云管中心的安全区中存储所述目的主机上每台vm的vtcm，从而实现tpcm透传。
76.步骤s37：向所述宿主机发送利用所述第一私钥加密的虚拟机注销指令，以便所述宿主机利用所述第一公钥解密所述虚拟机注销指令之后注销所述原虚拟机。
77.本实施例中，当所述云管中心基于所述绑定信息在所述云管中心的安全区内更新所述目标虚拟机对应的所述目标密钥对之后，向所述宿主机发送利用所述第一私钥加密的虚拟机注销指令，以便所述宿主机利用所述第一公钥解密所述虚拟机注销指令之后注销所述原虚拟机。可以理解的是，利用所述第一私钥加密所述虚拟机注销指令，然后将加密的所述虚拟机注销指令发送至所述宿主机，当所述宿主机接收到加密的所述虚拟机注销指令后，调用存储在所述宿主机的安全区内的第一公钥进行解密。当解密成功时，表明加密的所述虚拟机注销指令来源为云管中心，然后注销所述原虚拟机。若解密失败，在位表明加密的所述虚拟机注销指令来源不是云管中心，结束当前操作且不注销所述原虚拟机。
78.关于上述步骤s31至s34的具体内容可以参考前述实施例中公开的相应内容，在此不再进行赘述。
79.可见，本技术实施例在将所述加密密钥对以及所述绑定信息发送至所述目的主机的用户区之后，接收由所述目的主机的用户区发送的答复信息，以判断所述目标密钥对是否已存储在所述目的主机的安全区，同时所述目的主机接通过所述云管中心收所述宿主机发送的所述原虚拟机的签名信息。然后接收所述目的主机发送的迁移完成信息，基于所述绑定信息在所述云管中心的安全区内更新所述目标虚拟机对应的所述目标密钥对，向所述宿主机发送利用所述第一私钥加密的虚拟机注销指令，以便所述宿主机利用所述第一公钥确定所述虚拟机注销指令的来源是云管中心后注销所述原虚拟机。提高了在虚拟机迁移过
程中其对应的目标密钥对的安全性，简化了度量信息传输握手的过程。
80.参见图5所示，本技术实施例还相应公开了一种虚拟机迁移装置，应用于云管中心，包括：
81.第一指令发送模块11，用于向宿主机发送虚拟机迁移指令；
82.虚拟机创建模块12，用于在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机；
83.密钥对生成模块13，用于按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区；
84.第二指令发送模块14，用于向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。
85.可见，本技术包括：向宿主机发送虚拟机迁移指令，并在目的主机的用户区上创建与所述宿主机中原虚拟机对应的虚拟机，以得到目标虚拟机；按照预设密钥生成算法随机生成目标密钥对，并将所述目标密钥对发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对从所述目的主机的用户区发送至所述目的主机的安全区；向所述宿主机发送虚拟机注销指令，以便所述宿主机注销所述原虚拟机。由此可见，本技术中云管中心先在目的主机的用户区创建目标虚拟机，然后将生成的目标密钥对发送至目的主机的用户区，以便所述目的主机将目标密钥对从目的主机的用户区发送至目的主机的安全区，双架构中安全区的安全性强于用户区，提高了在虚拟机迁移过程中其对应的目标密钥对的安全性，简化了度量信息传输握手的过程。
86.在一些具体实施例中，所述密钥对生成模块13，具体包括：
87.密钥对生成单元，用于按照预设密钥生成算法随机生成目标密钥对；
88.密钥对绑定单元，用于将所述目标密钥对与所述目标虚拟机进行一对一绑定，得到相应的绑定信息；
89.密钥对发送单元，用于将所述目标密钥对以及所述绑定信息发送至所述目的主机的用户区，以便所述目的主机将所述目标密钥对以及所述绑定信息从所述目的主机的用户区发送至所述目的主机的安全区。
90.在一些具体实施例中，所述第二指令发送模块14，具体包括：
91.信息接收单元，用于接收所述目的主机发送的迁移完成信息；
92.密钥对更新单元，用于基于所述绑定信息在所述云管中心的安全区内更新所述目标虚拟机对应的所述目标密钥对；
93.指令加密单元，用于利用所述第一私钥加密虚拟机注销指令，以得到加密的所述虚拟机注销指令；
94.指令发送单元，用于将加密的所述虚拟机注销指令发送至所述宿主机，以便所述宿主机利用所述第一公钥解密所述虚拟机注销指令之后注销所述原虚拟机。
95.进一步的，本技术实施例还提供了一种电子设备。图6是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本技术的使用范围的任何限制。
96.图6为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通
信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的虚拟机迁移方法中的相关步骤。另外，本实施例中的电子设备20具体可以为电子计算机。
97.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
98.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括操作系统221、计算机程序222等，存储方式可以是短暂存储或者永久存储。
99.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，其可以是windows server、netware、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的虚拟机迁移方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
100.进一步的，本技术实施例还公开了一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行时，实现前述任一实施例公开的虚拟机迁移方法步骤。
101.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
102.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
103.以上对本发明所提供的一种虚拟机迁移方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。