CN102289631A - 一种虚拟安全计算环境的实现方法 - Google Patents
一种虚拟安全计算环境的实现方法 Download PDFInfo
- Publication number
- CN102289631A CN102289631A CN2011102315869A CN201110231586A CN102289631A CN 102289631 A CN102289631 A CN 102289631A CN 2011102315869 A CN2011102315869 A CN 2011102315869A CN 201110231586 A CN201110231586 A CN 201110231586A CN 102289631 A CN102289631 A CN 102289631A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- virtual
- nikey
- encrypted card
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供了一种虚拟安全计算环境的实现方法,根据用户需求定制虚拟机及虚拟机操作系统,定制时使用Nikey对虚拟机进行签名;虚拟机直接通过硬件层调用主机的硬件加密卡完成数据的加解密;虚拟机完成计算任务后,将虚拟机还原至签名的初始状态,用户将计算结果通过加密卡转换为密文,经过Nikey身份验证后,到处存储。
Description
技术领域
本发明涉及集群环境下虚拟机安全,具体来说,设计一种通过Nikey设备来实现的虚拟安全计算环境的方法。
背景技术
在机群环境下有时会使用创建虚拟机的方式为用户提供一个虚拟的计算环境,但是这种计算环境存在着若干不安全因素,例如机群管理员可以窃取用户的虚拟机密码登录虚拟机,可以在用户登出虚拟机后,使用一个安有后门的虚拟机替换用户真实的虚拟机等。
Nikey是曙光公司生产的用于存储密钥的专用设备,可以有效实现密钥的存储与生成,可以保证密钥不被导出。
发明内容
为用户提供一个可靠,安全的虚拟计算环境,保证用户的实时计算数据的安全和数据的存储安全。本发明提出了一种虚拟安全计算环境的实现方法。
一种虚拟安全计算环境的实现方法,
根据用户需求定制虚拟机及虚拟机操作系统,定制时使用Nikey对虚拟机进行签名;
虚拟机直接通过硬件层调用主机的硬件加密卡完成数据的加解密;
虚拟机完成计算任务后,将虚拟机还原至签名的初始状态,用户将计算结果通过加密卡转换为密文,经过Nikey身份验证后,到处存储。
优选的,首次使用时,用户使用虚拟机中定制的Nikey签名验证工具对虚拟机的关键部分进行签名,在下次启动时可以对虚拟机整体和关键部分进行验签。
优选的,所述虚拟机的关键部分包括硬件组成和操作系统。
优选的,所述虚拟机在调用硬件加密卡时可以选择性占用加密卡的部分资源或者全部资源。
优选的,所述虚拟机中可以分配一个虚拟的加密卡设备,并通过虚拟加密卡的驱动和实际的加密卡进行通信。
附图说明
图1是本发明的虚拟安全计算环境的创建示意图
图2是本发明的虚拟安全计算环境的使用示意图
具体实施方式
如图1所示,在创建虚拟机时,虚拟机所在服务器的管理员使用虚拟机管理工具,根据用户的需求,定制特殊的操作系统,定制时使用Nikey对虚拟机进行签名,在用户首次使用虚拟机时,用户可以用虚拟机中定制的Nikey签名验签工具对虚拟机中的关键部分进行签名,下次启动虚拟机时,用户可以对虚拟机整体和关键部分进行验签,保证虚拟机的完整性。
如图2所示,通过在在虚拟机中使用硬件虚拟化技术,根据用户需求定制支持虚拟化的操作系统,让虚拟机能够直接通过硬件层调用主机的硬件加密卡完成数据的加解密,虚拟机可选择性地完全占用硬件加密卡或部分占用加密卡,当虚拟机占用加密卡部分或全部资源时,主机系统无法访问这部分资源。在这种情况下,虚拟机和加密卡之间的密钥和中间明文的传递不再依赖主机系统控制的内存,主机系统无法从虚拟机控制的内存中获取数据,同时由于虚拟机可以之间在硬件层面与加密卡通信,消除了原有的通过主机系统进行通信的开销,提高了虚拟环境下的加解密效率。
通过在虚拟机中使用虚拟设备技术,每个虚拟机中,都可以分配一个虚拟的加密卡设备,通过虚拟加密卡的驱动和实际的加密卡进行通信。通过该种方法,可以让多个虚拟机共享有限的加密卡资源,最大化加密卡的使用效率。
当用户用虚拟机完成相应的计算任务后,可将虚拟机还原到经过签名的初始状态,用户可以将加解密的运行结果通过加密卡转换为密文,在经过Nikey的身份验证后,通过专用的通道导出到实际物理环境中存储,这样能够保证数据导出时的身份安全性以及导出数据过程中的传输安全。
Claims (5)
1.一种虚拟安全计算环境的实现方法,其特征在于:
根据用户需求定制虚拟机及虚拟机操作系统,定制时使用Nikey对虚拟机进行签名;
虚拟机直接通过硬件层调用主机的硬件加密卡完成数据的加解密;
虚拟机完成计算任务后,将虚拟机还原至签名的初始状态,用户将计算结果通过加密卡转换为密文,经过Nikey身份验证后,到处存储。
2.如权利要求1所述的方法,其特征在于:首次使用时,用户使用虚拟机中定制的Nikey签名验证工具对虚拟机的关键部分进行签名,在下次启动时可以对虚拟机整体和关键部分进行验签。
3.如权利要求2所述的方法,其特征在于:所述虚拟机的关键部分包括硬件组成和操作系统。
4.如权利要求1所述的方法,其特征在于:所述虚拟机在调用硬件加密卡时可以选择性占用加密卡的部分资源或者全部资源。
5.如权利要求1所述的方法,其特征在于:所述虚拟机中可以分配一个虚拟的加密卡设备,并通过虚拟加密卡的驱动和实际的加密卡进行通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110231586.9A CN102289631B (zh) | 2011-08-12 | 2011-08-12 | 一种虚拟安全计算环境的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110231586.9A CN102289631B (zh) | 2011-08-12 | 2011-08-12 | 一种虚拟安全计算环境的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102289631A true CN102289631A (zh) | 2011-12-21 |
| CN102289631B CN102289631B (zh) | 2014-12-10 |
Family
ID=45336046
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110231586.9A Active CN102289631B (zh) | 2011-08-12 | 2011-08-12 | 一种虚拟安全计算环境的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102289631B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102968595A (zh) * | 2012-12-20 | 2013-03-13 | 曙光云计算技术有限公司 | 虚拟机系统的保护方法和装置 |
| CN103064706A (zh) * | 2012-12-20 | 2013-04-24 | 曙光云计算技术有限公司 | 虚拟机系统的启动方法和装置 |
| CN103559436A (zh) * | 2013-10-28 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟化启动的认证方法和装置 |
| WO2014089968A1 (zh) * | 2012-12-14 | 2014-06-19 | 华为技术有限公司 | 虚拟机系统数据加密方法及设备 |
| CN104951712A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN106874065A (zh) * | 2017-01-18 | 2017-06-20 | 北京三未信安科技发展有限公司 | 一种支持硬件虚拟化的系统 |
| CN107924440A (zh) * | 2015-08-21 | 2018-04-17 | 密码研究公司 | 安全计算环境 |
| CN110297687A (zh) * | 2018-03-21 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 基于虚拟主机的数据交互方法、装置及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020194496A1 (en) * | 2001-06-19 | 2002-12-19 | Jonathan Griffin | Multiple trusted computing environments |
| CN101071463A (zh) * | 2007-06-08 | 2007-11-14 | 北京飞天诚信科技有限公司 | 虚拟个人办公环境的方法和设备 |
| CN101587524A (zh) * | 2009-06-23 | 2009-11-25 | 上海北大方正科技电脑系统有限公司 | 一种基于虚拟系统的数据存储设备加密方法 |
| CN102004876A (zh) * | 2009-12-31 | 2011-04-06 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的安全终端加固模型及加固方法 |
| CN102096782A (zh) * | 2011-01-27 | 2011-06-15 | 中国科学院软件研究所 | 一种基于虚拟机的移动介质网银安全认证方法 |
-
2011
- 2011-08-12 CN CN201110231586.9A patent/CN102289631B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020194496A1 (en) * | 2001-06-19 | 2002-12-19 | Jonathan Griffin | Multiple trusted computing environments |
| CN101071463A (zh) * | 2007-06-08 | 2007-11-14 | 北京飞天诚信科技有限公司 | 虚拟个人办公环境的方法和设备 |
| CN101587524A (zh) * | 2009-06-23 | 2009-11-25 | 上海北大方正科技电脑系统有限公司 | 一种基于虚拟系统的数据存储设备加密方法 |
| CN102004876A (zh) * | 2009-12-31 | 2011-04-06 | 郑州信大捷安信息技术有限公司 | 可容忍非信任组件的安全终端加固模型及加固方法 |
| CN102096782A (zh) * | 2011-01-27 | 2011-06-15 | 中国科学院软件研究所 | 一种基于虚拟机的移动介质网银安全认证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 中国安防: "曙光推出基于Nikey密钥、天机加密卡的安全服务器", 《中国安防》, 31 May 2011 (2011-05-31), pages 74 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014089968A1 (zh) * | 2012-12-14 | 2014-06-19 | 华为技术有限公司 | 虚拟机系统数据加密方法及设备 |
| CN102968595A (zh) * | 2012-12-20 | 2013-03-13 | 曙光云计算技术有限公司 | 虚拟机系统的保护方法和装置 |
| CN103064706A (zh) * | 2012-12-20 | 2013-04-24 | 曙光云计算技术有限公司 | 虚拟机系统的启动方法和装置 |
| CN103559436A (zh) * | 2013-10-28 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟化启动的认证方法和装置 |
| CN104951712B (zh) * | 2014-03-24 | 2019-07-26 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| CN104951712A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN104954452B (zh) * | 2015-06-02 | 2018-12-28 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN107924440A (zh) * | 2015-08-21 | 2018-04-17 | 密码研究公司 | 安全计算环境 |
| US11250134B2 (en) | 2015-08-21 | 2022-02-15 | Cryptography Research, Inc. | Secure computation environment |
| CN107924440B (zh) * | 2015-08-21 | 2022-07-01 | 密码研究公司 | 用于管理容器的方法、系统和计算机可读介质 |
| CN106874065A (zh) * | 2017-01-18 | 2017-06-20 | 北京三未信安科技发展有限公司 | 一种支持硬件虚拟化的系统 |
| CN110297687A (zh) * | 2018-03-21 | 2019-10-01 | 阿里巴巴集团控股有限公司 | 基于虚拟主机的数据交互方法、装置及系统 |
| CN110297687B (zh) * | 2018-03-21 | 2023-05-30 | 阿里巴巴集团控股有限公司 | 基于虚拟主机的数据交互方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102289631B (zh) | 2014-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102289631B (zh) | 一种虚拟安全计算环境的实现方法 | |
| EP3232634B1 (en) | Identity authentication method and device | |
| CN103797489B (zh) | 用于安全地将程序执行绑定到且节点锁定到受信任的签名授权机构的系统和方法 | |
| CN109067528B (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN105700945B (zh) | 一种基于净室环境的虚拟机安全迁移方法 | |
| CN104951712B (zh) | 一种Xen虚拟化环境下的数据安全防护方法 | |
| CN109347625B (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| US9514313B2 (en) | Techniques for secure data extraction in a virtual or cloud environment | |
| CN103107994B (zh) | 一种虚拟化环境数据安全隔离方法和系统 | |
| CN109039628A (zh) | 密钥协商方法、云服务器、设备、存储介质以及系统 | |
| CN105812366B (zh) | 服务器、反爬虫系统和反爬虫验证方法 | |
| CN105184154A (zh) | 一种在虚拟化环境中提供密码运算服务的系统和方法 | |
| CN103534976A (zh) | 数据安全的保护方法、服务器、主机及系统 | |
| JP2018504789A (ja) | 決済認証システム、方法及び装置 | |
| CN108199847B (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN102932459A (zh) | 一种虚拟机的安全控制方法 | |
| CN103051455A (zh) | 一种云计算环境下的可信密码模块密码功能授权代理的实现方法 | |
| CN105847000A (zh) | 令牌产生方法以及基于该令牌产生方法的通信系统 | |
| CN111782344A (zh) | 一种提供密码资源的方法、系统及宿主机 | |
| CN105262590A (zh) | 一种虚拟化环境下的密钥安全隔离方法及系统 | |
| CN103020543A (zh) | 一种虚拟磁盘映像加密管理系统及方法 | |
| CN112559991A (zh) | 系统安全登录方法、装置、设备及存储介质 | |
| Pop et al. | Secure migration of WebAssembly-based mobile agents between secure enclaves | |
| CN102983969A (zh) | 一种操作系统的安全登录系统及安全登录方法 | |
| Annane et al. | SecNetworkCloudSim: An extensible simulation tool for secure distributed mobile applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |