(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111448929.7 (22)申请日 2021.11.30 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 黄永平　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 蒋姗 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0894(2022.01) H04L 41/28(2022.01)G06F 9/455(2006.01) G06F 16/23(2019.01) G06F 16/245(2019.01) G06F 16/27(2019.01) (54)发明名称 一种虚拟机 迁移系统及方法 (57)摘要 一种虚拟机迁移系统及方法， 包括： 安管平 台在目标虚拟机进行迁移时， 发送针对目标虚拟 机的迁移通知信息至第一虚拟防火墙， 第一虚拟 防火墙根据迁移通知信息生 成目标键值对， 并将 目标键值对 添加至预设的全局键值数据库中， 第 二虚拟防火墙监控全局键值数据库中新增的目 标键值对， 并根据目标键值对与第一虚拟防火墙 建立连接， 第一虚拟防火墙将策略和会话信息同 步至第二虚拟防火墙； 安管平台在目标虚拟机的 迁移动作完成时， 发送迁移 完成通知信息至第一 虚拟防火墙； 第一虚拟防火墙接收迁移完成通知 信息， 将第一虚拟防火墙中策略和会话信息进行 删除， 能够避免虚拟防护墙策略冗余的问题， 保 证虚拟防火墙性能， 同时保证虚拟 机的业务的通 信性能不受影响。 权利要求书2页 说明书9页 附图5页 CN 114143087 A 2022.03.04 CN 114143087 A 1.一种虚拟机迁移系统， 其特征在于， 包括安管平台、 第一虚拟防火墙、 第二虚拟防火 墙以及目标虚拟机， 其中， 所述安管平台， 用于在所述目标虚拟机进行迁移时， 发送针对所述目标虚拟机的迁移 通知信息 至所述第一虚拟防火墙； 所述第一虚拟防火墙， 用于接收所述迁移通知信息， 并根据所述迁移通知信息生成目 标键值对； 以及将所述 目标键值对添加至预设的全局键值数据库中， 所述 目标键值对包括 迁移后的第二虚拟防火墙的通信地址以及所述目标虚拟机在所述第一虚拟防火墙上的策 略和会话信息； 所述第二虚拟防火墙， 用于监控所述全局键值数据库中新增的所述目标键值对， 并根 据所述目标键值对与所述第一虚拟防火墙建立连接； 所述第一虚拟防火墙， 还用于将所述策略和会话信息同步至所述第二虚拟防火墙； 所述安管平台， 还用于在所述目标虚拟机的迁移动作完成时， 发送迁移完成通知信息 至所述第一虚拟防火墙； 所述第一虚拟防火墙， 还用于接收迁移完成通知信息， 将所述第一虚拟防火墙中所述 策略和会话信息进行删除。 2.根据权利要求1所述的虚拟机迁移系统， 其特征在于， 所述虚拟机迁移系统还包括云 平台， 其中， 所述云平台， 用于在检测到所述目标虚拟机的迁移动作时， 通过预先配置的认证信息 发送所述目标虚拟机的迁移信息 至所述安管平台； 所述安管平台， 还用于接收所述迁移信 息； 并根据 所述迁移信 息生成迁移通知信 息， 并 执行所述的发送针对所述目标虚拟机的迁移通知信息 至所述第一虚拟防火墙的步骤。 3.根据权利要求2所述的虚拟机迁移系统， 其特征在于， 所述云平台， 还用于在检测到 所述目标虚拟机的迁移动作完成时， 发送所述目标虚拟机的迁移完成状态信息至所述安管 平台； 所述安管平台， 还用于接收所述迁移完成状态信息， 并根据所述迁移完成状态信息生 成迁移完成通知信息， 并执 行所述的发送迁移完成通知信息 至所述第一虚拟防火墙。 4.根据权利要求2所述的虚拟机迁移系统， 其特征在于， 所述安管平台， 还用于在所述 云平台检测到所述 目标虚拟机的迁移动作之前， 注册对接过的所述云平台的相关信息， 并 根据所述相关信息获取所述云平台的认证信息， 其中， 所述认证信息包括虚拟机迁移通知 函数以及所述 安管平台的通信地址； 所述云平台， 还用于获取所述认证信息并存储， 以及判断是否检测到所述目标虚拟机 的迁移动作， 如果是， 执行所述的通过预先配置的认证信息发送所述 目标虚拟机的迁移信 息至所述安管平台。 5.根据权利要求4所述的虚拟机迁移系统， 其特征在于， 所述安管平台， 在根据所述相 关信息获取所述云平台的认证信息时， 具体用于根据所述相关信息调用所述云平台的认证 接口进行用户密码认证， 并判断是否认证通过； 如果认证通过， 则获取安管认证证书； 并对 所述安管认证证书进行解密处理， 得到认证信息； 以及根据所述认证信息在所述云平台注 册虚拟机迁移函数， 并将所述认证信息发送至所述云平台进行存 储。 6.一种虚拟机迁移方法， 应用于权利要求1所述的第 一虚拟防火墙， 所述第 一虚拟防火权　利　要　求　书 1/2 页 2 CN 114143087 A 2墙为目标虚拟机 迁移前对应的虚拟防火墙， 其特 征在于， 包括： 接收安管平台发送的针对所述目标虚拟机 迁移通知信息； 根据所述迁移通知信 息生成目标键值对； 所述目标键值对包括迁移后的第 二虚拟防火 墙的通信地址以及所述目标虚拟机在所述第一虚拟防火墙上的策略和会话信息； 将所述目标键值对添加至预设的全局键值数据库中， 以使所述第 二虚拟防火墙监控到 所述全局键值数据库中新增的所述目标键值对， 并根据所述目标键值对与所述第一虚拟防 火墙建立连接； 将所述策略和会话信息同步至所述第二虚拟防火墙； 接收所述安管平台发送针对所述目标虚拟机的迁移完成通知信 息， 将所述第 一虚拟防 火墙中所述目标虚拟机的所述策略和会话信息进行删除。 7.一种虚拟机 迁移方法， 其特 征在于， 应用于 权利要求1所述的安管平台， 包括： 在所述目标虚拟机进行迁移时， 发送针对所述目标虚拟机的迁移通知信 息至第一虚拟 防火墙， 以使所述第一虚拟防火墙与迁移后的第二虚拟防火墙建立连接， 并将所述 目标虚 拟机在所述第一虚拟防火墙上的策略和会话信息同步到所述第二虚拟防火墙上； 在所述目标虚拟机的迁移动作完成时， 发送迁移完成通知信息至所述第一虚拟防火 墙， 以使所述第一虚拟防火墙根据所述迁移完成通知信息将所述第一虚拟防火墙中所述策 略和会话信息进行删除。 8.根据权利要求7所述的虚拟机迁移方法， 其特征在于， 在发送针对所述目标虚拟机的 迁移通知信息 至所述第一虚拟防火墙之前， 所述方法还 包括： 注册对接过的云平台的相关信 息， 并根据 所述相关信 息调用所述云平台的认证接口进 行用户密码认证； 判断是否认证通过； 如果是， 则获取安管认证 证书； 对所述安管认证 证书进行解密处 理， 得到认证信息； 根据所述认证信 息在所述云平台注册虚拟机迁移函数， 并将所述认证信 息发送至所述 云平台进行存储； 其中， 所述认证信息包括虚拟机迁移通知函数以及所述安管平台的通信 地址。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求6至8中 任一项所述的虚拟机 迁移方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求6至8任一项 所述的虚拟机迁移 方法。权　利　要　求　书 2/2 页 3 CN 114143087 A 3