CN104104692A - 一种虚拟机加密方法、解密方法及加解密控制系统 - Google Patents
一种虚拟机加密方法、解密方法及加解密控制系统 Download PDFInfo
- Publication number
- CN104104692A CN104104692A CN201410380876.3A CN201410380876A CN104104692A CN 104104692 A CN104104692 A CN 104104692A CN 201410380876 A CN201410380876 A CN 201410380876A CN 104104692 A CN104104692 A CN 104104692A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- key
- encryption
- subsystem
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了一种虚拟机加密方法、解密方法及加解密控制系统,用户通过客户端申请创建加密的虚拟机磁盘文件,执行用户身份认证过程;认证通过后虚拟机管理子系统为用户分配虚拟机资源,策略执行模块创建新的虚拟机磁盘文件;策略执行模块向密钥和策略管理子系统进行身份认证,认证通过后接收虚拟机磁盘文件的对称加密密钥;策略执行模块将对称加密密钥传递给文件加解密引擎对虚拟机磁盘文件进行加密;文件加解密引擎将加密后的虚拟机磁盘文件交给策略执行模块进行存储;策略执行模块与密钥和策略管理子系统同步密钥和访问策略。本发明为用户使用虚拟机提供安全透明的数据加解密,并提供完善的身份认证机制确保用户访问虚拟机的安全性。
Description
技术领域
本发明涉及计算系统虚拟化技术领域,具体地讲,涉及一种虚拟机加密方法、解密方法及加解密控制系统。
背景技术
云计算是通过互联网提供动态易扩展且经常是虚拟化的资源,通过使计算分布在大量分布式计算机上,而非本地计算机或远程服务器中,企业能够将资源切换到需要的应用上根据需求访问计算机和存储系统。虚拟机是一台物理计算机上模拟出多台虚拟的计算机,这些虚拟机具有完整硬件系统功能运行在一个完全隔离环境中,虚拟系统通过生成现有操作系统的全新虚拟镜像,具有真实操作系统完全一样的功能,进入虚拟系统后,所有操作都在这个全新独立的虚拟系统里面进行,可以独立安装运行软件,保存数据,拥有自己的独立桌面,不会对真正的系统产生任何影响。影响云计算商业应用进程最重要的因素就是云端数据存储的安全性问题。
虚拟机的磁盘数据包括系统盘和数据盘的数据会存在安全风险,数据加密和访问控制是保护磁盘数据的关键,确保只有授权用户才能解密并访问自己的磁盘数据。当用户向虚拟磁盘中存入数据时对用户的数据进行加密,用户从虚拟磁盘中读取数据时对用户的数据进行解密。为了使用户能够安全地将自己的数据存储到云系统中,加密密钥和磁盘加密策略的合理管理是关键。
发明内容
本发明要解决的技术问题是提供一种虚拟机加密方法、解密方法及加解密控制系统,确保用户访问虚拟机的安全性。
本发明采用如下技术手段实现发明目的:
一种虚拟机加密方法,其特征在于,包括如下步骤:
(1)用户通过客户端(260)向虚拟机管理子系统(270)请求创建加密的虚拟机磁盘文件;
(2)虚拟机管理子系统(270)将用户的Ukey证书信息以及创建加密虚拟机磁盘文件的请求发送给密钥和策略管理子系统(280),由密钥和策略管理子系统(280)对用户执行身份认证,密钥和策略管理子系统(280)与用户注册Ukey的证书管理子系统保持用户证书信息的同步一致;
(3)认证成功后,密钥和策略管理子系统(280)把用户通过认证的消息发送给虚拟机管理子系统(270);
(4)虚拟机管理子系统(270)为用户分配虚拟机资源,并把虚拟机资源配置请求发送给对应的虚拟机监控子系统(290)的策略执行模块(292),为新生成的虚拟机分配设备资源,虚拟机资源配置请求信息里包含用户的个人信息和Ukey证书信息;
(5)策略执行模块(292)创建新的虚拟机磁盘文件,并为该虚拟机磁盘文件分配虚拟机文件标识VMFID;
(6)策略执行模块(292)向密钥和策略管理子系统(280)请求加密该虚拟机磁盘文件所用的对称加密密钥,该请求消息中包含了用户信息、Ukey证书信息和虚拟机文件标识VMFID,主要为后续密钥和策略管理子系统(280)能够建立密钥索引关系;
(7)密钥和策略管理子系统(280)收到策略执行模块(292)请求对称加密密钥的消息后,首先发起对该策略执行模块(292)执行身份认证,保证后续只有授权的策略执行模块(292)可以解密经过加密的虚拟机磁盘文件;
(8)策略执行模块(292)使用该策略执行模块自身的标识提前在密钥和策略管理子系统(280)进行注册,这个注册过程在虚拟机监控子系统(290)上安装策略执行模块(292)时进行;
(9)策略执行模块(292)的认证通过后,密钥和策略管理子系统(280)为新创建的虚拟机文件产生对称加密密钥并发送给策略执行模块(292);
(10)策略执行模块(292)将收到的对称加密密钥传递给文件加解密引擎(294),文件加解密引擎(294)使用该对称加密密钥加密所述虚拟机磁盘文件;
(11)文件加解密引擎(294)将加密后的虚拟机文件传递给策略执行模块(292),策略执行模块(292)把加密后的虚拟机磁盘文件放到存储设备进行存储;
(12)密钥和策略管理子系统(280)与策略执行模块(292)进行密钥和访问策略同步过程;
一种虚拟机解密方法,其特征在于,包括如下步骤:
(1)用户通过客户端(260)将虚拟机磁盘文件的访问请求发送给虚拟机管理子系统(270),或者用户通过在客户端(260)上插入Ukey请求访问虚拟机磁盘文件,客户端(260)把虚拟机磁盘文件的访问请求发送给虚拟机管理子系统(270),该请求消息中包含了访问的虚拟机磁盘文件的标识VMFID以及用户的Ukey证书信息;
(2)虚拟机管理子系统(270)向密钥和策略管理子系统(280)发送认证请求消息,请求密钥和策略管理子系统(280)对用户执行身份认证,其中包含了访问的虚拟机磁盘文件的标识VMFID和用户的Ukey证书信息;
(3)密钥和策略管理子系统(280)与客户端(260)执行用户身份认证过程;
(4)认证成功后密钥和策略管理子系统(280)将认证成功消息返回给虚拟机管理子系统(270);
(5)虚拟机管理子系统(270)收到密钥和策略管理子系统(280)发来的用户身份认证成功消息后,将打开虚拟机磁盘文件的指令发送给虚拟机监控子系统(290)里的策略执行模块(292),该文件打开指令里至少包含了用户所要访问的虚拟机磁盘文件的标识VMFID;
(6)策略执行模块(292)根据VMFID来查询所访问的虚拟机磁盘文件的访问策略,如果本地没有缓存该虚拟机磁盘文件的访问策略和对称加密密钥,策略执行模块就向密钥和策略管理子系统(280)请求该虚拟机磁盘文件的策略信息以及对称加密密钥,该消息中至少包含用户所要访问的虚拟机磁盘文件的标识VMFID,如果本地缓存了该虚拟机磁盘文件的访问策略和对称加密密钥,就直接执行步骤(9);
(7)密钥和策略管理子系统(280)收到策略执行模块(292)请求对称加密密钥的消息后,首先发起对该策略执行模块(292)执行身份认证,保证只有授权的策略执行模块(292)可以解密经过加密的虚拟机磁盘文件;
(8)策略执行模块(292)的认证成功后,密钥和策略管理子系统(280)根据用户所要访问的虚拟机磁盘文件的标识VMFID来查询访问策略,判断对应的虚拟机磁盘文件是否能被所述策略执行模块(292)访问,如果可以访问,密钥和策略管理子系统(280)将该虚拟机磁盘文件的对称密钥检索出来,发送给虚拟机监控子系统(290)里的策略执行模块(292);
(9)策略执行模块(292)将收到的对称密钥传递给文件加解密引擎(294),文件加解密引擎(294)使用该对称密钥解密虚拟机磁盘文件;
(10)文件加解密引擎(294)将加密后的虚拟机文件传递给策略执行模块(292);
(11)虚拟机监控子系统(290)启动加密的虚拟机磁盘文件为用户提供虚拟机运行环境。
一种虚拟机加解密控制系统,其特征在,包括:
客户端信息输入子系统: 用户使用客户端操作虚拟机的信息输入接口,客户端信息输入子系统接收用户从鼠标键盘输入的操作指令并发送给虚拟机管理子系统和虚拟机执行对应操作指令的动作。
虚拟机管理子系统:主要提供虚拟机的集中管理,为用户合理配置虚拟机资源,同时作为客户端与密钥和策略管理子系统通信的转发设备;
密钥和策略管理子系统:负责对用户的身份认证,同时还根据虚拟机监控器中的策略执行模块的标识对策略执行模块执行认证,以确保只有合法的策略执行模块能够加解密虚拟机文件;
虚拟机加密子系统:运行于虚拟机监控器,为虚拟机提供接口并管理真实的计算资源。
作为对本技术方案的进一步限定,所述虚拟机加密子系统包括
策略执行模块:运行于虚拟机监控器(290)里,负责保存并同步密钥和策略管理子系统子(280)上的对称密钥和文件存储的访问策略信息,同时还提供对称密钥给文件加解密引擎(294)并决定加密后的虚拟机磁盘文件的存储位置;
文件加密引擎:也运行在虚拟机监控器(290)里,主要接收策略执行模块292传递来的对称密钥,对虚拟机磁盘文件执行加解密操作。
作为对本技术方案的进一步限定,所述客户端信息输入子系统运行于客户端。
作为对本技术方案的进一步限定,所述虚拟机加密子系统的信息存储于存储设备。
作为对本技术方案的进一步限定,所述密钥和策略管理子系统的信息存储于密钥和策略存储池。
作为对本技术方案的进一步限定,所述虚拟机加密子系统运行于虚拟机监控器。所述虚拟机加密子系统的信息存储于存储设备。
作为对本技术方案的进一步限定,所述密钥和策略管理子系统的信息存储于密钥和策略存储池。
作为对本技术方案的进一步限定,所述虚拟机加密子系统运行于虚拟机监控器。
与现有技术相比,本发明的优点和积极效果是:本发明对虚拟机进行集中管理,所以可以根据不同的用户需求将虚拟机按组进行管理,例如使用相同的加密和访问控制策略、存储在同一存储池里、运行在同一台物理服务器上等。当虚拟机迁移到其他物理服务器上,也可以通过在虚拟机管理子系统进行访问控制策略的配置,授权其他策略执行模块获取对称密钥解密并访问虚拟机磁盘文件。本发明为用户使用虚拟机提供安全透明的数据加解密,并提供完善的身份认证机制确保用户访问虚拟机的安全性。
附图说明
图1是本发明的系统示意图。
图2是本发明加密方法的流程示意图。
图3是本发明解密方法的流程示意图。
具体实施方式
下面结合附图和优选实施例对本发明作更进一步的详细描述。
参见图1-图3,本发明实施例提供了一种虚拟机加解密及访问控制的系统与方法,用于对用户的虚拟机磁盘数据进行安全保护。为使本发明实施例的目的、技术方案和优点更加清楚易懂,下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述。
图1是本发明的原理方框图,该系统至少包括:客户端信息输入子系统 、虚拟机管理子系统270、密钥和策略管理子系统280和虚拟机加密子系统、客户端信息输入子系统设置于客户端260上运行,虚拟机加密子系统设置于虚拟机监控器290里运行,虚拟机加密子系统包括策略执行模块292和文件加密引擎294。
客户端260是用户用于登录虚拟机的用户终端设备,可以是普通的PC机也可以是云终端设备,能够提供用户使用Ukey登录虚拟机的接口。客户端信息输入子系统用户作为使用客户端操作虚拟机的信息输入接口,客户端信息输入子系统接收用户从鼠标键盘输入的操作指令并发送给虚拟机管理子系统和虚拟机执行对应操作指令的动作。
虚拟机管理子系统270主要提供虚拟机的集中管理,为用户合理配置虚拟机资源,同时作为客户端与密钥和策略管理子系统通信的转发设备。
密钥和策略管理子系统280负责对用户的身份认证,同时还根据虚拟机监控器中的策略执行模块的标识对策略执行模块执行认证,以确保只有合法的策略执行模块能够加解密虚拟机文件。
虚拟机监控器290负责运行于其上的虚拟机加密子系统的管理,为虚拟机提供接口并管理真实的计算资源。
策略执行模块292运行于虚拟机监控器290里,负责保存并同步密钥和策略管理子系统280上的对称密钥和文件存储的访问策略信息,同时还提供对称密钥给文件加解密引擎294并决定加密后的虚拟机磁盘文件的存储位置。
文件加密引擎294也运行在虚拟机监控器290里,主要接收策略执行模块292传递来的对称密钥,对虚拟机磁盘文件执行加解密操作。
所述客户端信息输入子系统运行于客户端,所述虚拟机加密子系统的信息存储于存储设备,所述密钥和策略管理子系统的信息存储于密钥和策略存储池,所述虚拟机加密子系统运行于虚拟机监控器。所述虚拟机加密子系统的信息存储于存储设备,所述密钥和策略管理子系统的信息存储于密钥和策略存储池,所述虚拟机加密子系统运行于虚拟机监控器。
本发明实施例中,用户可以从证书管理系统获得Ukey,Ukey里存储了用户的个人信息或数字证书。一个用户Ukey可以对应该用户的至少一个虚拟机磁盘文件。用户通过客户端260和Ukey登录虚拟机管理子系统270执行证书认证过程,用户身份认证通过后,虚拟机管理子系统270为用户分配虚拟机资源。用户的个人信息和Ukey证书信息以及对应分配到的虚拟机磁盘文件信息都会存储在密钥和策略管理子系统280中进行管理。
每个虚拟机磁盘文件使用一个全局标识VMFID来标识,即使虚拟机重名也能在检索加密密钥的时候找到对应的虚拟机信息。如果一个用户Ukey对应多个虚拟机磁盘文件,可以使用同一个加密密钥来加密这些虚拟机磁盘文件,也可针对每个虚拟机磁盘文件使用不同的加密密钥来加密虚拟磁盘文件,具体由用户通过客户端260创建虚拟机磁盘文件时进行选择。
图2是本发明虚拟机加密方法的一个实施例的流程示意图:
(1)用户通过客户端260向虚拟机管理子系统270请求创建加密的虚拟机磁盘文件;
(2)客户端260通过虚拟机管理子系统270与密钥和策略管理子系统280执行用户身份认证过程。
优选的,虚拟机管理子系统270将用户的Ukey证书信息以及创建加密虚拟机磁盘文件的请求发送给密钥和策略管理子系统280,由密钥和策略管理子系统280对用户执行身份认证。密钥和策略管理子系统280与用户注册Ukey的证书管理系统保持用户证书信息的同步一致。
(3)认证成功后,密钥和策略管理子系统280把用户通过认证的消息发送给虚拟机管理子系统270。
(4)虚拟机管理子系统270为用户分配虚拟机资源,并把虚拟机资源配置请求发送给对应的虚拟机监控器290的策略执行模块292为新生成的虚拟机分配设备资源。虚拟机资源配置请求信息里包含用户的个人信息和Ukey证书信息。
(5)策略执行模块292创建新的虚拟机磁盘文件,并为该虚拟机磁盘文件分配虚拟机文件标识VMFID。
(6)策略执行模块292向密钥和策略管理子系统280请求加密该虚拟机磁盘文件所用的对称加密密钥,该请求消息中包含了用户信息和Ukey证书信息与VMFID等信息,主要为后续密钥和策略管理子系统280能够建立密钥索引关系。
(7)密钥和策略管理子系统280收到策略执行模块292请求对称加密密钥的消息后,首先发起对该策略执行模块292执行身份认证,保证后续只有授权的策略执行模块292可以解密经过加密的虚拟机磁盘文件。
优选的,策略执行模块292可以使用该策略执行模块自身的标识提前在密钥和策略管理子系统280进行注册,这个注册过程可以在虚拟机监控器290上安装策略执行模块292时进行。
(8)策略执行模块292的认证通过后,密钥和策略管理子系统280为新创建的虚拟机文件产生对称加密密钥并发送给策略执行模块292。
(9)策略执行模块292将收到的对称加密密钥传递给文件加解密引擎294,文件加解密引擎294使用该对称加密密钥加密所述虚拟机磁盘文件。
(10)文件加解密引擎294将加密后的虚拟机文件传递给策略执行模块292,策略执行模块292把加密后的虚拟机磁盘文件放到存储设备进行存储。
(11)密钥和策略管理子系统280与策略执行模块292进行密钥和访问策略同步过程。
具体地,策略执行模块292将文件存储的策略信息发送给密钥和策略管理子系统280进行保存,以便后续访问加密的虚拟机文件时执行对文件的安全访问控制。密钥和策略管理子系统280建立对称加密密钥与虚拟机磁盘文件的VMFID和Ukey证书信息的对应关系。
优选的,管理员可以对加密后的虚拟机磁盘文件配置访问策略,该访问策略包含了对应的虚拟机磁盘文件可以被哪些策略执行模块292访问。所述的对称加密密钥可以使用Ukey证书进行加密后存储在密钥和策略存储池中,所述的访问策略信息也可以存储在密钥和策略存储池里。
(12)虚拟机监控器290启动加密的虚拟机磁盘文件为用户提供虚拟机运行环境。
图3是本发明虚拟机解密访问控制的方法的另一个实施例的流程示意图:
(1)用户通过客户端260将虚拟机磁盘文件的访问请求发送给虚拟机管理子系统270。
优选地,用户可以在客户端260上插入Ukey请求访问虚拟机磁盘文件,客户端260把虚拟机磁盘文件的访问请求发送给虚拟机管理子系统270,该请求消息中包含了访问的虚拟机磁盘文件的标识VMFID以及用户的Ukey证书信息。
(2)虚拟机管理子系统270向密钥和策略管理子系统280发送认证请求消息,请求密钥和策略管理子系统280对用户执行身份认证,其中包含了访问的虚拟机磁盘文件的标识VMFID和用户的Ukey证书信息。
(3)密钥和策略管理子系统280与客户端260执行用户身份认证过程。
(4)认证成功后密钥和策略管理子系统280将认证成功消息返回给虚拟机管理子系统270。
(5)虚拟机管理子系统270收到密钥和策略管理子系统280发来的用户身份认证成功消息后,将打开虚拟机磁盘文件的指令发送给虚拟机监控器290里的策略执行模块292,该文件打开指令里至少包含了用户所要访问的虚拟机磁盘文件的标识VMFID。
(6)策略执行模块292根据VMFID来查询所访问的虚拟机磁盘文件的访问策略,如果本地没有缓存该虚拟机磁盘文件的访问策略和对称加密密钥,策略执行模块就向密钥和策略管理子系统280请求该虚拟机磁盘文件的策略信息以及对称加密密钥,该消息中至少包含用户所要访问的虚拟机磁盘文件的标识VMFID。
如果本地缓存了该虚拟机磁盘文件的访问策略和对称加密密钥,就直接执行步骤(9)。
(7)密钥和策略管理子系统280收到策略执行模块292请求对称加密密钥的消息后,首先发起对该策略执行模块292执行身份认证,保证只有授权的策略执行模块292可以解密经过加密的虚拟机磁盘文件。
(8)策略执行模块292的认证成功后,密钥和策略管理子系统280根据用户所要访问的虚拟机磁盘文件的标识VMFID来查询访问策略,判断对应的虚拟机磁盘文件是否能被所述策略执行模块292访问。如果可以访问,密钥和策略管理子系统280将该虚拟机磁盘文件的对称密钥检索出来,发送给虚拟机监控器290里的策略执行模块292。
(9)策略执行模块292将收到的对称密钥传递给文件加解密引擎294,文件加解密引擎294使用该对称密钥解密虚拟机磁盘文件。
(10)文件加解密引擎294将加密后的虚拟机文件传递给策略执行模块292。
(11)虚拟机监控器290启动加密的虚拟机磁盘文件为用户提供虚拟机运行环境。
本发明提供的实施例中,由于虚拟机管理子系统对虚拟机进行集中管理,所以可以根据不同的用户需求将虚拟机按组进行管理,例如使用相同的加密和访问控制策略、存储在同一存储池里、运行在同一台物理服务器上等。当虚拟机迁移到其他物理服务器上,也可以通过在虚拟机管理子系统进行访问控制策略的配置,授权其他策略执行模块获取对称密钥解密并访问虚拟机磁盘文件。
以上所述的实施例只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的各种变化和替换都应包含在本发明的保护范围内。
Claims (8)
1.一种虚拟机加密方法,其特征在于,包括如下步骤:
(1)用户通过客户端(260)向虚拟机管理子系统(270)请求创建加密的虚拟机磁盘文件;
(2)虚拟机管理子系统(270)将用户的Ukey证书信息以及创建加密虚拟机磁盘文件的请求发送给密钥和策略管理子系统(280),由密钥和策略管理子系统(280)对用户执行身份认证,密钥和策略管理子系统(280)与用户注册Ukey的证书管理子系统保持用户证书信息的同步一致;
(3)认证成功后,密钥和策略管理子系统(280)把用户通过认证的消息发送给虚拟机管理子系统(270);
(4)虚拟机管理子系统(270)为用户分配虚拟机资源,并把虚拟机资源配置请求发送给对应的虚拟机监控子系统(290)的策略执行模块(292),为新生成的虚拟机分配设备资源,虚拟机资源配置请求信息里包含用户的个人信息和Ukey证书信息;
(5)策略执行模块(292)创建新的虚拟机磁盘文件,并为该虚拟机磁盘文件分配虚拟机文件标识VMFID;
(6)策略执行模块(292)向密钥和策略管理子系统(280)请求加密该虚拟机磁盘文件所用的对称加密密钥,该请求消息中包含了用户信息、Ukey证书信息和虚拟机文件标识VMFID,主要为后续密钥和策略管理子系统(280)能够建立密钥索引关系;
(7)密钥和策略管理子系统(280)收到策略执行模块(292)请求对称加密密钥的消息后,首先发起对该策略执行模块(292)执行身份认证,保证后续只有授权的策略执行模块(292)可以解密经过加密的虚拟机磁盘文件;
(8)策略执行模块(292)使用该策略执行模块自身的标识提前在密钥和策略管理子系统(280)进行注册,这个注册过程在虚拟机监控子系统(290)上安装策略执行模块(292)时进行;
(9)策略执行模块(292)的认证通过后,密钥和策略管理子系统(280)为新创建的虚拟机文件产生对称加密密钥并发送给策略执行模块(292);
(10)策略执行模块(292)将收到的对称加密密钥传递给文件加解密引擎(294),文件加解密引擎(294)使用该对称加密密钥加密所述虚拟机磁盘文件;
(11)文件加解密引擎(294)将加密后的虚拟机文件传递给策略执行模块(292),策略执行模块(292)把加密后的虚拟机磁盘文件放到存储设备进行存储;
(12)密钥和策略管理子系统(280)与策略执行模块(292)进行密钥和访问策略同步过程。
2.一种虚拟机解密方法,其特征在于,包括如下步骤:
(1)用户通过客户端(260)将虚拟机磁盘文件的访问请求发送给虚拟机管理子系统(270),或者用户通过在客户端(260)上插入Ukey请求访问虚拟机磁盘文件,客户端(260)把虚拟机磁盘文件的访问请求发送给虚拟机管理子系统(270),该请求消息中包含了访问的虚拟机磁盘文件的标识VMFID以及用户的Ukey证书信息;
(2)虚拟机管理子系统(270)向密钥和策略管理子系统(280)发送认证请求消息,请求密钥和策略管理子系统(280)对用户执行身份认证,其中包含了访问的虚拟机磁盘文件的标识VMFID和用户的Ukey证书信息;
(3)密钥和策略管理子系统(280)与客户端(260)执行用户身份认证过程;
(4)认证成功后密钥和策略管理子系统(280)将认证成功消息返回给虚拟机管理子系统(270);
(5)虚拟机管理子系统(270)收到密钥和策略管理子系统(280)发来的用户身份认证成功消息后,将打开虚拟机磁盘文件的指令发送给虚拟机监控子系统(290)里的策略执行模块(292),该文件打开指令里至少包含了用户所要访问的虚拟机磁盘文件的标识VMFID;
(6)策略执行模块(292)根据VMFID来查询所访问的虚拟机磁盘文件的访问策略,如果本地没有缓存该虚拟机磁盘文件的访问策略和对称加密密钥,策略执行模块就向密钥和策略管理子系统(280)请求该虚拟机磁盘文件的策略信息以及对称加密密钥,该消息中至少包含用户所要访问的虚拟机磁盘文件的标识VMFID,如果本地缓存了该虚拟机磁盘文件的访问策略和对称加密密钥,就直接执行步骤(9);
(7)密钥和策略管理子系统(280)收到策略执行模块(292)请求对称加密密钥的消息后,首先发起对该策略执行模块(292)执行身份认证,保证只有授权的策略执行模块(292)可以解密经过加密的虚拟机磁盘文件;
(8)策略执行模块(292)的认证成功后,密钥和策略管理子系统(280)根据用户所要访问的虚拟机磁盘文件的标识VMFID来查询访问策略,判断对应的虚拟机磁盘文件是否能被所述策略执行模块(292)访问,如果可以访问,密钥和策略管理子系统(280)将该虚拟机磁盘文件的对称密钥检索出来,发送给虚拟机监控子系统(290)里的策略执行模块(292);
(9)策略执行模块(292)将收到的对称密钥传递给文件加解密引擎(294),文件加解密引擎(294)使用该对称密钥解密虚拟机磁盘文件;
(10)文件加解密引擎(294)将加密后的虚拟机文件传递给策略执行模块(292);
(11)虚拟机监控子系统(290)启动加密的虚拟机磁盘文件为用户提供虚拟机运行环境。
3.一种虚拟机加解密控制系统,其特征在,包括:
客户端信息输入子系统:用户使用客户端操作虚拟机的信息输入接口,客户端信息输入子系统接收用户从鼠标键盘输入的操作指令并发送给虚拟机管理子系统和虚拟机执行对应操作指令的动作;
虚拟机管理子系统:主要提供虚拟机的集中管理,为用户合理配置虚拟机资源,同时作为客户端与密钥和策略管理子系统通信的转发设备;
密钥和策略管理子系统:负责对用户的身份认证,同时还根据虚拟机监控器中的策略执行模块的标识对策略执行模块执行认证,以确保只有合法的策略执行模块能够加解密虚拟机文件;
虚拟机加密子系统:为虚拟机提供接口并管理真实的计算资源。
4.根据权利要求3所述的虚拟机加解密控制系统,其特征是:所述虚拟机加密子系统包括
策略执行模块:运行于虚拟机监控器(290)里,负责保存并同步密钥和策略管理子系统子(280)上的对称密钥和文件存储的访问策略信息,同时还提供对称密钥给文件加解密引擎(294)并决定加密后的虚拟机磁盘文件的存储位置;
文件加密引擎:也运行在虚拟机监控器(290)里,主要接收策略执行模块(292)传递来的对称密钥,对虚拟机磁盘文件执行加解密操作。
5.根据权利要求3所述的虚拟机加解密控制系统,其特征是:所述客户端信息输入子系统运行于客户端。
6.根据权利要求3所述的虚拟机加解密控制系统,其特征是:所述虚拟机加密子系统的信息存储于存储设备。
7.根据权利要求3所述的虚拟机加解密控制系统,其特征是:所述密钥和策略管理子系统的信息存储于密钥和策略存储池。
8.根据权利要求3所述的虚拟机加解密控制系统,其特征是:所述虚拟机加密子系统运行于虚拟机监控器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410380876.3A CN104104692B (zh) | 2014-08-05 | 2014-08-05 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410380876.3A CN104104692B (zh) | 2014-08-05 | 2014-08-05 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104104692A true CN104104692A (zh) | 2014-10-15 |
| CN104104692B CN104104692B (zh) | 2017-03-08 |
Family
ID=51672493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410380876.3A Active CN104104692B (zh) | 2014-08-05 | 2014-08-05 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104104692B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105095103A (zh) * | 2015-08-25 | 2015-11-25 | 曙光云计算技术有限公司 | 用于云环境下的存储设备管理方法和装置 |
| CN106063218A (zh) * | 2014-12-30 | 2016-10-26 | 华为技术有限公司 | 虚拟化系统中加解密的方法、装置和系统 |
| CN106127024A (zh) * | 2016-07-20 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种高效的vm迁移数据保护方案 |
| CN106713334A (zh) * | 2016-12-31 | 2017-05-24 | 云宏信息科技股份有限公司 | 虚拟存储卷的加密方法、解密方法、访问方法以及装置 |
| CN106936797A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 |
| CN107689943A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | 一种数据加密的方法、用户终端、服务器及系统 |
| CN109240804A (zh) * | 2018-09-27 | 2019-01-18 | 郑州云海信息技术有限公司 | 虚拟机的磁盘资源的管理方法和装置 |
| CN110321678A (zh) * | 2019-06-19 | 2019-10-11 | 北京信安世纪科技股份有限公司 | 一种虚拟系统的控制方法、装置、设备和介质 |
| CN110750326A (zh) * | 2019-09-02 | 2020-02-04 | 福建升腾资讯有限公司 | 一种虚拟机的磁盘加解密方法以及系统 |
| CN111158857A (zh) * | 2019-12-24 | 2020-05-15 | 深信服科技股份有限公司 | 数据加密方法、装置、设备及存储介质 |
| CN111190870A (zh) * | 2019-12-27 | 2020-05-22 | 山东乾云启创信息科技股份有限公司 | 一种基于鲲鹏处理器的虚拟存储方法及设备、介质 |
| CN112380548A (zh) * | 2020-11-13 | 2021-02-19 | 杭州弗兰科信息安全科技有限公司 | 一种数据存储的方法、系统、设备及可读存储介质 |
| CN114553478A (zh) * | 2022-01-13 | 2022-05-27 | 成都储迅科技有限责任公司 | 一种基于国密的云服务器访问固态硬盘的安全系统和方法 |
| CN114595053A (zh) * | 2021-10-18 | 2022-06-07 | 徐州医科大学 | 一种面向mnss的安全动态资源管理系统 |
| CN116842529A (zh) * | 2023-07-13 | 2023-10-03 | 海光信息技术股份有限公司 | 一种软件文件、软件运行方法及其相关装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102394894A (zh) * | 2011-11-28 | 2012-03-28 | 武汉大学 | 一种基于云计算的网络虚拟磁盘文件安全管理方法 |
| CN102722576A (zh) * | 2012-06-05 | 2012-10-10 | 西安未来国际信息股份有限公司 | 一种云计算环境下数据库加密保护系统和加密保护方法 |
| US8364983B2 (en) * | 2008-05-08 | 2013-01-29 | Microsoft Corporation | Corralling virtual machines with encryption keys |
| CN102932459A (zh) * | 2012-11-05 | 2013-02-13 | 广州杰赛科技股份有限公司 | 一种虚拟机的安全控制方法 |
| US8391494B1 (en) * | 2009-02-26 | 2013-03-05 | Symantec Corporation | Systems and methods for protecting enterprise rights management keys |
| US20140189357A1 (en) * | 2013-01-02 | 2014-07-03 | Electronics And Telecommunications Research Institute | Encryption and authentication based network management method and apparatus |
-
2014
- 2014-08-05 CN CN201410380876.3A patent/CN104104692B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8364983B2 (en) * | 2008-05-08 | 2013-01-29 | Microsoft Corporation | Corralling virtual machines with encryption keys |
| US8391494B1 (en) * | 2009-02-26 | 2013-03-05 | Symantec Corporation | Systems and methods for protecting enterprise rights management keys |
| CN102394894A (zh) * | 2011-11-28 | 2012-03-28 | 武汉大学 | 一种基于云计算的网络虚拟磁盘文件安全管理方法 |
| CN102722576A (zh) * | 2012-06-05 | 2012-10-10 | 西安未来国际信息股份有限公司 | 一种云计算环境下数据库加密保护系统和加密保护方法 |
| CN102932459A (zh) * | 2012-11-05 | 2013-02-13 | 广州杰赛科技股份有限公司 | 一种虚拟机的安全控制方法 |
| US20140189357A1 (en) * | 2013-01-02 | 2014-07-03 | Electronics And Telecommunications Research Institute | Encryption and authentication based network management method and apparatus |
Non-Patent Citations (2)
| Title |
|---|
| 何钦: "基于VT_x技术的Xen虚拟磁盘加密系统设计", 《中国优秀硕士学位论文全文数据库信息科技辑(2014)》 * |
| 赵晓光: "云计算管理系统的研究与设计", 《中国优秀硕士学位论文全文数据库信息科技辑(2011)》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106063218A (zh) * | 2014-12-30 | 2016-10-26 | 华为技术有限公司 | 虚拟化系统中加解密的方法、装置和系统 |
| US10409990B2 (en) | 2014-12-30 | 2019-09-10 | Huawei Technologies Co., Ltd. | Encryption and decryption method and apparatus in virtualization system, and system |
| US9959410B2 (en) | 2014-12-30 | 2018-05-01 | Huawei Technologies Co., Ltd. | Encryption and decryption method and apparatus in virtualization system, and system |
| CN106063218B (zh) * | 2014-12-30 | 2018-06-05 | 华为技术有限公司 | 虚拟化系统中加解密的方法、装置和系统 |
| CN105095103B (zh) * | 2015-08-25 | 2019-01-18 | 曙光云计算集团有限公司 | 用于云环境下的存储设备管理方法和装置 |
| CN105095103A (zh) * | 2015-08-25 | 2015-11-25 | 曙光云计算技术有限公司 | 用于云环境下的存储设备管理方法和装置 |
| CN106936797A (zh) * | 2015-12-31 | 2017-07-07 | 北京网御星云信息技术有限公司 | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 |
| CN106127024A (zh) * | 2016-07-20 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种高效的vm迁移数据保护方案 |
| CN107689943A (zh) * | 2016-08-04 | 2018-02-13 | 深圳市深信服电子科技有限公司 | 一种数据加密的方法、用户终端、服务器及系统 |
| CN106713334A (zh) * | 2016-12-31 | 2017-05-24 | 云宏信息科技股份有限公司 | 虚拟存储卷的加密方法、解密方法、访问方法以及装置 |
| CN106713334B (zh) * | 2016-12-31 | 2020-11-17 | 云宏信息科技股份有限公司 | 虚拟存储卷的加密方法、解密方法、访问方法以及装置 |
| CN109240804B (zh) * | 2018-09-27 | 2020-09-22 | 苏州浪潮智能科技有限公司 | 虚拟机的磁盘资源的管理方法和装置 |
| CN109240804A (zh) * | 2018-09-27 | 2019-01-18 | 郑州云海信息技术有限公司 | 虚拟机的磁盘资源的管理方法和装置 |
| CN110321678B (zh) * | 2019-06-19 | 2021-08-31 | 北京信安世纪科技股份有限公司 | 一种虚拟系统的控制方法、装置、设备和介质 |
| CN110321678A (zh) * | 2019-06-19 | 2019-10-11 | 北京信安世纪科技股份有限公司 | 一种虚拟系统的控制方法、装置、设备和介质 |
| CN110750326A (zh) * | 2019-09-02 | 2020-02-04 | 福建升腾资讯有限公司 | 一种虚拟机的磁盘加解密方法以及系统 |
| CN110750326B (zh) * | 2019-09-02 | 2022-10-14 | 福建升腾资讯有限公司 | 一种虚拟机的磁盘加解密方法以及系统 |
| CN111158857A (zh) * | 2019-12-24 | 2020-05-15 | 深信服科技股份有限公司 | 数据加密方法、装置、设备及存储介质 |
| CN111190870A (zh) * | 2019-12-27 | 2020-05-22 | 山东乾云启创信息科技股份有限公司 | 一种基于鲲鹏处理器的虚拟存储方法及设备、介质 |
| CN112380548A (zh) * | 2020-11-13 | 2021-02-19 | 杭州弗兰科信息安全科技有限公司 | 一种数据存储的方法、系统、设备及可读存储介质 |
| CN114595053A (zh) * | 2021-10-18 | 2022-06-07 | 徐州医科大学 | 一种面向mnss的安全动态资源管理系统 |
| CN114553478A (zh) * | 2022-01-13 | 2022-05-27 | 成都储迅科技有限责任公司 | 一种基于国密的云服务器访问固态硬盘的安全系统和方法 |
| CN116842529A (zh) * | 2023-07-13 | 2023-10-03 | 海光信息技术股份有限公司 | 一种软件文件、软件运行方法及其相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104104692B (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104104692A (zh) | 一种虚拟机加密方法、解密方法及加解密控制系统 | |
| US11431495B2 (en) | Encrypted file storage | |
| US10097544B2 (en) | Protection and verification of user authentication credentials against server compromise | |
| US9626497B2 (en) | Sharing USB key by multiple virtual machines located at different hosts | |
| US20190238323A1 (en) | Key managers for distributed computing systems using key sharing techniques | |
| CN102394894B (zh) | 一种基于云计算的网络虚拟磁盘文件安全管理方法 | |
| KR101966767B1 (ko) | 클라우드 서비스를 위한 암호화 키 관리 시스템 | |
| CN113132103A (zh) | 一种数据跨域安全共享系统及方法 | |
| US9576144B2 (en) | Secured file system management | |
| CN105656864B (zh) | 基于tcm的密钥管理系统及管理方法 | |
| CN104618096B (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| JP2011048661A (ja) | 仮想サーバ暗号化システム | |
| US11489660B2 (en) | Re-encrypting data on a hash chain | |
| US20160078243A1 (en) | Secured file system management | |
| KR101580514B1 (ko) | 시드 키를 이용한 패스워드 관리방법, 패스워드 관리장치 및 이를 적용한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN104092702A (zh) | 一种分布式系统的网络安全验证方法和系统 | |
| CN107040520A (zh) | 一种云计算数据共享系统及方法 | |
| CN108521424B (zh) | 面向异构终端设备的分布式数据处理方法 | |
| CN105279453A (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
| Thamizhselvan et al. | Data security model for Cloud Computing using V-GRT methodology | |
| Suthar et al. | EncryScation: A novel framework for cloud iaas, daas security using encryption and obfuscation techniques | |
| CN115600215A (zh) | 系统启动方法、系统信息处理方法、装置、设备及其介质 | |
| CN109802927A (zh) | 一种安全服务提供方法及装置 | |
| CN111107105B (zh) | 一种身份认证系统及其身份认证方法 | |
| CN109284622A (zh) | 联系人信息处理方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250101 orsus No. 1166 building 15-16 Applicant after: Shandong Zhongfu Information Industry Co., Ltd. Applicant after: NANJING ZHONGFU INFORMATION TECHNOLOGY CO., LTD. Applicant after: BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO., LTD. Address before: 250101 Shandong city of Ji'nan province high tech Zone Shun Road No. 2000 Shun Tai Plaza No. 9 Building 8 layer Applicant before: Shandong Zhongfu Information Industry Co., Ltd. Applicant before: NANJING ZHONGFU INFORMATION TECHNOLOGY CO., LTD. Applicant before: BEIJING ZHONGFU TAIHE TECHNOLOGY DEVELOPMENT CO., LTD. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |