CN106936797A - 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 - Google Patents
一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 Download PDFInfo
- Publication number
- CN106936797A CN106936797A CN201511029510.2A CN201511029510A CN106936797A CN 106936797 A CN106936797 A CN 106936797A CN 201511029510 A CN201511029510 A CN 201511029510A CN 106936797 A CN106936797 A CN 106936797A
- Authority
- CN
- China
- Prior art keywords
- key
- disk
- encryption
- virtual machine
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/131—Protocols for games, networked simulations or virtual reality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种云中虚拟机磁盘及文件加密密钥的管理方法和系统,其中方法包括:通过密钥管理服务器创建用户并为所述用户生成证书和私钥,导入USBkey;USBkey插入管理终端,并向磁盘加密代理下发指令;如果指令中带有签名,磁盘加密代理将密钥请求及指令中的签名发送给密钥管理服务器;密钥管理服务器根据持有的所述用户的公钥验证指令中的签名,确定密钥请求经由所述用户授权后,将密钥请求的密钥发送给磁盘加密代理;磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。本发明能够提高云中虚拟机磁盘及文件的安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及云中虚拟机磁盘及文件加密密钥的管理方法和系统。
背景技术
近年来,虚拟化技术和网络技术的不断发展推进着云计算模式的落地,越来越多的客户认识到云计算的高资源利用率、低成本、按需分配、绿色环保、易管理、易扩展等优势,开始将业务迁移到云中。与此同时,对于迁移到云中的敏感、关键的数据和业务,客户通常选择数据加密的技术手段,即对业务虚拟机中用于存储敏感、关键数据的磁盘、文件等进行加密,以避免明文存储时,由于云计算模式固有的一些安全风险而带来的数据泄露,例如恶意云管理员的非授权拷贝、可能产生的司法管辖权问题、存储资源分配给其他客户时的数据残留等。
为了增强加密技术的安全性,加密数据与密钥要分离存储,即密钥不存储在虚拟机中,而是存储在其他专门负责密钥管理的设备上,当虚拟机端有加/解密需求时,需要与密钥管理设备进行交互,实时获取密钥进行加/解密。由于在云计算环境中,虚拟机的磁盘都是以文件形式存储的,较传统硬件磁盘更容易被拷贝、窃取。恶意人员可以复制虚拟机磁盘并挂载到新的虚拟机上,再通过新虚拟机端与密钥管理设备交互,获取密钥并解密数据。因此,密钥管理设备要对虚拟机端进行严格的认证,保证密钥的正确发放。
现有的认证技术包括用户口令方式和心跳保持方式。用户口令方式是指在每次虚拟机端向密钥管理设备发送消息时,用户手工输入密钥管理设备授权的口令,以证明该虚拟机端是被授权用户使用的。口令方式简单易行,但存在输入繁琐、易破解、易遗忘或被偷窥泄露等问题。心跳保持方式是指虚拟机端与密钥管理设备之间进行一次基于口令的认证之后,在虚拟机端与密钥管理设备之间建立一定间隔周期的心跳保持机制,如果心跳正常,则认为该虚拟机端没有问题,否则认为该虚拟机端存在问题,需要强制进行重新认证。心跳保持方式避免了每次交互都要手工输入用户口令,但对心跳机制、网络的稳定性等要求较高,例如心跳间隔周期设置、网络的不稳定性,可能会影响密钥管理设备的判断,造成多次强制锁定和虚拟机端重新认证,反而使用户的操作复杂化。
发明内容
为了解决上述技术问题,本发明提供了一种云中虚拟机磁盘及文件加密密钥的管理方法和系统,能够提高云中虚拟机磁盘及文件的安全性。
为了达到本发明目的,本发明提供了一种云中虚拟机磁盘及文件加密密钥的管理方法,包括:
通过密钥管理服务器创建用户并为所述用户生成证书和私钥,导入USBkey;USBkey插入管理终端,并向磁盘加密代理下发指令;
如果指令中带有签名,磁盘加密代理将密钥请求及指令中的签名发送给密钥管理服务器;
密钥管理服务器根据持有的所述用户的公钥验证指令中的签名,确定密钥请求经由所述用户授权后,将密钥请求的密钥发送给磁盘加密代理;
磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
进一步地,所述密钥管理服务器和管理终端部署在客户本地,客户的业务虚拟机部署在云上。
进一步地,所述USBkey插入管理终端,并向磁盘加密代理下发指令的步骤包括:USBkey插入管理终端,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;对于需要密钥的指令,附加时间戳明文以及由USBkey中的私钥加密的时间戳密文作为所述用户的签名。
进一步地,所述密钥管理服务器和管理终端部署在客户本地;客户的业务虚拟机部署在云上;虚拟机上的USB设备与本地的物理管理终端上的USBKey关联。
进一步地,所述USBkey插入管理终端,并向磁盘加密代理下发指令的步骤包括:USBkey插入管理终端,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;对于需要密钥的指令,生成时间戳明文以及由虚拟机USB设备中的私钥加密的时间戳密文作为所述用户的签名。
进一步地,所述在磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作之后,解除虚拟机的USB设备与管理终端上的USBkey之间的关联。
本发明还提供了一种云中虚拟机磁盘及文件加密密钥的管理系统,包括:密钥管理服务器、磁盘加密代理和管理终端,其中,
管理终端,用于接受USBkey插入,并向磁盘加密代理下发指令;
磁盘加密代理,用于将密钥请求及指令中的签名发送给密钥管理服务器;
密钥管理服务器,用于根据持有的所述用户的公钥验证指令中的签名,确定密钥请求经由所述用户授权后,将密钥请求的密钥发送给磁盘加密代理,以使磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
进一步地,所述密钥管理服务器和管理终端是物理设备,部署在客户本地,客户的业务虚拟机部署在云上;所述管理终端,具体用于:接受USBkey插入,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;对于需要密钥的指令,附加时间戳明文以及由USBkey中的私钥加密的时间戳密文作为所述用户的签名。
进一步地,所述密钥管理服务器和管理终端是物理设备,部署在客户本地;客户的业务虚拟机部署在云上;虚拟机上的USB设备与本地的物理管理终端上的USBKey关联;所述管理终端,具体用于:接受USBkey插入,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;对于需要密钥的指令,生成时间戳明文以及由虚拟机USB设备中的私钥加密的时间戳密文作为所述用户的签名。
进一步地,所述管理终端还用于:在磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作之后,解除虚拟机的USB设备与管理终端上的USBkey之间的关联。
本发明提出的一种云中虚拟机磁盘及文件加密密钥的管理方法与系统,实现了密钥管理设备对虚拟机端的严格认证,确保密钥的正确发放。与现有技术相比,本发明采用硬件的USBkey中存储证书和私钥来代替口令,具有更高的安全性;避免了用户多次手工输入,不依赖网络持续稳定及其他的参数设置,带来更好的用户体验。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1是本发明提供的云中虚拟机磁盘及文件加密密钥的管理系统的架构示意图。
图2是本发明提供的云中虚拟机磁盘及文件加密密钥的管理方法的流程示意图。
图3是本发明的一个具体实施例中提供的云中虚拟机磁盘及文件加密密钥的管理系统的示意图。
图4是本发明的另一个具体实施例中提供的云中虚拟机磁盘及文件加密密钥的管理系统的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是本发明提供的云中虚拟机磁盘及文件加密密钥的管理系统的架构示意图。如图1所示,该管理系统包括:密钥管理服务器、磁盘加密代理、管理终端。
密钥管理服务器,用于负责用户管理和密钥管理,其中,用户管理包括用户创建、用户权限设置、用户证书和私钥生成以及导入USBkey、用户认证等;密钥管理包括虚拟机磁盘及文件加密密钥的生成、存储、分发、销毁以及虚拟机磁盘、文件加密情况展示等。
磁盘加密代理,用于运行云中虚拟机中的软件,负责根据用户指令和授权,从密钥管理服务器获取相应的密钥,对虚拟机的磁盘、分区、文件进行加/解密、挂/卸载等操作。
管理终端,包括USBkey,是管理员及用户对密钥管理服务器进行相应权限下的运维管理以及用户对磁盘加密代理下发指令和授权的机器。
密钥管理服务器、磁盘加密代理和管理终端三方时间同步,且三方传输均采用加密传输协议。
图2是本发明提供的云中虚拟机磁盘及文件加密密钥的管理方法的流程示意图。如图2所示,该管理方法包括:
步骤201,预先登录密钥管理服务器,通过管理服务器创建用户并为该用户生成证书和私钥,导入USBkey。
在本步骤中,管理员经由加密传输协议登录密钥管理服务器,通过管理服务器创建用户,为该用户生成证书和私钥,导入USBkey,并线下发放给该用户。
步骤202,USBkey插入管理终端,向磁盘加密代理下发指令。
在本步骤中,用户将USBkey插入管理终端,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,向磁盘加密代理下发指令。
步骤203,磁盘加密代理判断指令中是否带有签名,如果带有,进行步骤204;如果不带有,直接执行指令。
在本步骤中,指令可以带有签名,也可以不带有签名,其中带有签名的指令是加/解密以及挂/卸载等需要密钥的指令,对于需要密钥的指令会由程序自动附加一个时间戳明文以及由USBkey中的私钥加密的时间戳密文作为该用户的签名。
步骤204,磁盘加密代理将密钥请求及指令中的签名发送给密钥管理服务器。
在本步骤中,对于带有签名的指令,会经由加密传输协议将密钥请求及指令中的签名发送给密钥管理服务器。
步骤205,密钥管理服务器通过对持有的该用户的公钥验证指令中的签名,判断密钥请求是否经由该用户授权,如果是,进行步骤206;如果否,进行步骤208。
在本步骤中,密钥管理服务器收到密钥请求以及签名信息后,用持有的该用户的公钥验证该用户的签名,判断密钥请求是否经由该用户授权。
步骤206,对于通过该用户授权验证的密钥请求,密钥管理服务器经由加密传输协议将密钥请求的密钥发送给磁盘加密代理。
步骤207,磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
步骤208,密钥管理服务器丢弃未通过该用户授权验证的密钥请求。
本发明在云中虚拟机磁盘及文件加密密钥管理系统中,引入USBkey认证机制实现密钥管理服务器对磁盘加密代理的认证,优点如下:
采用硬件的USBkey中存储证书和私钥来代替口令,易于保管、使用,存储内容不易丢失,可采用安全度更高的密码算法;
通过自动化地附加用户签名的方式进行认证,避免了用户多次手工输入;
可以不依赖网络持续稳定及其他的参数设置,能够带来更好的用户体验;
采用对时间戳签名,可以防止重放攻击。
在本发明中,密钥管理服务器可以是物理机也可以是虚拟机,可以部署在客户本地的计算环境中,也可以部署在云上;USBkey可以挂载在管理终端,也可以关联到云中的虚拟机的USB设备上;用户可以通过SSH(Secure Shell)协议登录到虚拟机,也可以通过控制台的方式访问虚拟机。
在实际实施时,上述选择可以根据实际情况相互组合。下面将以实施例一和实施例二举例对本发明作进一步的描述。
实施例一:
图3是本发明的一个具体实施例中提供的云中虚拟机磁盘及文件加密密钥的管理系统的示意图。
如图3所示,密钥管理服务器和管理终端是物理设备,部署在客户本地;客户的业务虚拟机部署在云上,有磁盘或文件加密的需求。
该实施例提供的管理系统的工作机制如下:
管理员经由HTTPS协议登录密钥管理服务器,创建用户,为该用户生成证书和私钥,导入USBkey,并线下发放给该用户;
该用户将USBkey插入管理终端,经由SSH协议登录要对磁盘或文件进行加密的虚拟机,向磁盘加密代理下发加/解密以及挂/卸载等指令,对于需要密钥的指令都会由程序自动附加一个时间戳明文以及由USBkey中的私钥加密的时间戳密文作为该用户的签名;
磁盘加密代理收到该用户下发的带有签名的指令后,对于不带有签名的指令直接执行;对于带有签名的指令,会经由HTTPS协议将密钥请求及指令中的签名发送给密钥管理服务器;
密钥管理服务器收到密钥请求和签名信息后,用持有的该用户的公钥验证该用户的签名,判断密钥请求是否经由该用户授权;
密钥管理服务器丢弃未通过该用户授权验证的密钥请求,对于通过该用户授权验证的密钥请求,密钥管理服务器经由HTTPS协议将密钥请求的密钥发送给磁盘加密代理;
磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
实施例二:
图4是本发明的另一个具体实施例中提供的云中虚拟机磁盘及文件加密密钥的管理系统的示意图。
如图4所示,USBKey关联的情况下,可以采用如图4所示的管理系统。密钥管理服务器和管理终端是物理设备,部署在客户本地。客户的业务虚拟机部署在云上,有磁盘或文件加密的需求。虚拟机上的USB设备与本地的物理管理终端上的USBKey关联。
该实施例提供的管理系统的工作机制如下:
管理员经由HTTPS协议登录密钥管理服务器,创建用户,为该用户生成证书和私钥,导入USBkey,并线下发放给该用户;
该用户将USBkey插入管理终端;
该用户申请云平台管理员将要对磁盘或文件进行加密的虚拟机的USB设备与管理终端上的USBkey关联;
该用户经由SSH协议登录要对磁盘或文件进行加密的虚拟机,向磁盘加密代理下发加/解密以及挂/卸载等指令;
磁盘加密代理收到该用户下发的指令后,对于不需要密钥的指令直接执行;对于需要密钥的指令,都会由程序自动生成一个时间戳明文以及由虚拟机USB设备(实际关联物理的管理终端上的USBkey)中的私钥加密的时间戳密文作为该用户的签名,经由HTTPS协议将密钥请求及签名发送给密钥管理服务器;
密钥管理服务器收到密钥请求和签名信息后,用持有的该用户的公钥验证该用户的签名,判断密钥请求是否经由该用户授权;
密钥管理服务器丢弃未通过该用户授权验证的密钥请求,对于通过该用户授权验证的密钥请求,密钥管理服务器经由HTTPS协议将密钥请求的密钥发送给磁盘加密代理;
磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
该用户申请云平台管理员解除虚拟机的USB设备与管理终端上的USBkey之间的关联。
本发明提出的一种云中虚拟机磁盘及文件加密密钥的管理方法与系统,实现了密钥管理设备对虚拟机端的严格认证,确保密钥的正确发放。与现有技术相比,本发明采用硬件的USBkey中存储证书和私钥来代替口令,具有更高的安全性;避免了用户多次手工输入,不依赖网络持续稳定及其他的参数设置,带来更好的用户体验。
所属技术领域的技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,并被通讯设备内部的处理器执行,前述的程序在被执行时处理器可以执行包括上述方法实施例的全部或者部分步骤。其中,所述处理器可以作为一个或多个处理器芯片实施,或者可以为一个或多个专用集成电路(Application Specific Integrated Circuit,ASIC)的一部分;而前述的存储介质可以包括但不限于以下类型的存储介质:闪存(Flash Memory)、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (10)
1.一种云中虚拟机磁盘及文件加密密钥的管理方法,其特征在于,包括:
通过密钥管理服务器创建用户并为所述用户生成证书和私钥,导入USBkey;
USBkey插入管理终端,并向磁盘加密代理下发指令;
如果指令中带有签名,磁盘加密代理将密钥请求及指令中的签名发送给密钥管理服务器;
密钥管理服务器根据持有的所述用户的公钥验证指令中的签名,确定密钥请求经由所述用户授权后,将密钥请求的密钥发送给磁盘加密代理;
磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
2.根据权利要求1所述的云中虚拟机磁盘及文件加密密钥的管理方法,其特征在于,所述密钥管理服务器和管理终端部署在客户本地,客户的业务虚拟机部署在云上。
3.根据权利要求2所述的云中虚拟机磁盘及文件加密密钥的管理方法,其特征在于,所述USBkey插入管理终端,并向磁盘加密代理下发指令的步骤包括:
USBkey插入管理终端,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;
对于需要密钥的指令,附加时间戳明文以及由USBkey中的私钥加密的时间戳密文作为所述用户的签名。
4.根据权利要求1所述的云中虚拟机磁盘及文件加密密钥的管理方法,其特征在于,所述密钥管理服务器和管理终端部署在客户本地;客户的业务虚拟机部署在云上;虚拟机上的USB设备与本地的物理管理终端上的USBKey关联。
5.根据权利要求4所述的云中虚拟机磁盘及文件加密密钥的管理方法,其特征在于,所述USBkey插入管理终端,并向磁盘加密代理下发指令的步骤包括:
USBkey插入管理终端,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;
对于需要密钥的指令,生成时间戳明文以及由虚拟机USB设备中的私钥加密的时间戳密文作为所述用户的签名。
6.根据权利要求5所述的云中虚拟机磁盘及文件加密密钥的管理方法,其特征在于,所述在磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作之后,解除虚拟机的USB设备与管理终端上的USBkey之间的关联。
7.一种云中虚拟机磁盘及文件加密密钥的管理系统,其特征在于,包括:密钥管理服务器、磁盘加密代理和管理终端,其中,
管理终端,用于接受USBkey插入,并向磁盘加密代理下发指令;
磁盘加密代理,用于如果指令中带有签明,将密钥请求及指令中的签名发送给密钥管理服务器;
密钥管理服务器,用于根据持有的所述用户的公钥验证指令中的签名,确定密钥请求经由所述用户授权后,将密钥请求的密钥发送给磁盘加密代理,以使磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作。
8.根据权利要求7所述的云中虚拟机磁盘及文件加密密钥的管理系统,其特征在于,所述密钥管理服务器和管理终端是物理设备,部署在客户本地,客户的业务虚拟机部署在云上;所述管理终端,具体用于:
接受USBkey插入,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;
对于需要密钥的指令,附加时间戳明文以及由USBkey中的私钥加密的时间戳密文作为所述用户的签名。
9.根据权利要求7所述的云中虚拟机磁盘及文件加密密钥的管理系统,其特征在于,所述密钥管理服务器和管理终端是物理设备,部署在客户本地;客户的业务虚拟机部署在云上;虚拟机上的USB设备与本地的物理管理终端上的USBKey关联;
所述管理终端,具体用于:
接受USBkey插入,经由加密传输协议登录要对磁盘或文件进行加密的虚拟机,根据需要向磁盘加密代理下发带有签名的指令;
对于需要密钥的指令,生成时间戳明文以及由虚拟机USB设备中的私钥加密的时间戳密文作为所述用户的签名。
10.根据权利要求9所述的云中虚拟机磁盘及文件加密密钥的管理系统,其特征在于,所述管理终端还用于:在磁盘加密代理使用密钥对磁盘或文件进行指令要求的操作之后,解除虚拟机的USB设备与管理终端上的USBkey之间的关联。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511029510.2A CN106936797A (zh) | 2015-12-31 | 2015-12-31 | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511029510.2A CN106936797A (zh) | 2015-12-31 | 2015-12-31 | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106936797A true CN106936797A (zh) | 2017-07-07 |
Family
ID=59443664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511029510.2A Pending CN106936797A (zh) | 2015-12-31 | 2015-12-31 | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106936797A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465689A (zh) * | 2017-09-08 | 2017-12-12 | 大唐高鸿信安(浙江)信息科技有限公司 | 云环境下的虚拟可信平台模块的密钥管理系统及方法 |
| CN110750326A (zh) * | 2019-09-02 | 2020-02-04 | 福建升腾资讯有限公司 | 一种虚拟机的磁盘加解密方法以及系统 |
| CN111046441A (zh) * | 2019-10-31 | 2020-04-21 | 苏州浪潮智能科技有限公司 | 一种加密硬盘密钥的管理方法、设备及介质 |
| CN112597551A (zh) * | 2020-12-22 | 2021-04-02 | 南京道熵信息技术有限公司 | 一种使用License可实时更新的磁盘加密方法与系统 |
| CN113301090A (zh) * | 2020-07-29 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 存储系统接入方法、装置、设备及存储介质 |
| US11575508B2 (en) | 2021-06-02 | 2023-02-07 | International Business Machines Corporation | Unified HSM and key management service |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120030475A1 (en) * | 2010-08-02 | 2012-02-02 | Ma Felix Kuo-We | Machine-machine authentication method and human-machine authentication method for cloud computing |
| CN102984273A (zh) * | 2012-12-13 | 2013-03-20 | 华为技术有限公司 | 虚拟磁盘加密方法、解密方法、装置及云服务器 |
| US8495356B2 (en) * | 2010-12-31 | 2013-07-23 | International Business Machines Corporation | System for securing virtual machine disks on a remote shared storage subsystem |
| CN104104692A (zh) * | 2014-08-05 | 2014-10-15 | 山东中孚信息产业股份有限公司 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
-
2015
- 2015-12-31 CN CN201511029510.2A patent/CN106936797A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120030475A1 (en) * | 2010-08-02 | 2012-02-02 | Ma Felix Kuo-We | Machine-machine authentication method and human-machine authentication method for cloud computing |
| US8495356B2 (en) * | 2010-12-31 | 2013-07-23 | International Business Machines Corporation | System for securing virtual machine disks on a remote shared storage subsystem |
| CN102984273A (zh) * | 2012-12-13 | 2013-03-20 | 华为技术有限公司 | 虚拟磁盘加密方法、解密方法、装置及云服务器 |
| CN104104692A (zh) * | 2014-08-05 | 2014-10-15 | 山东中孚信息产业股份有限公司 | 一种虚拟机加密方法、解密方法及加解密控制系统 |
Non-Patent Citations (1)
| Title |
|---|
| 郑叶来等: "《分布式云数据中心的建设与管理》", 30 September 2013, 清华大学出版社 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107465689A (zh) * | 2017-09-08 | 2017-12-12 | 大唐高鸿信安(浙江)信息科技有限公司 | 云环境下的虚拟可信平台模块的密钥管理系统及方法 |
| CN110750326A (zh) * | 2019-09-02 | 2020-02-04 | 福建升腾资讯有限公司 | 一种虚拟机的磁盘加解密方法以及系统 |
| CN110750326B (zh) * | 2019-09-02 | 2022-10-14 | 福建升腾资讯有限公司 | 一种虚拟机的磁盘加解密方法以及系统 |
| CN111046441A (zh) * | 2019-10-31 | 2020-04-21 | 苏州浪潮智能科技有限公司 | 一种加密硬盘密钥的管理方法、设备及介质 |
| CN113301090A (zh) * | 2020-07-29 | 2021-08-24 | 阿里巴巴集团控股有限公司 | 存储系统接入方法、装置、设备及存储介质 |
| CN113301090B (zh) * | 2020-07-29 | 2024-03-29 | 阿里巴巴集团控股有限公司 | 存储系统接入方法、装置、设备及存储介质 |
| CN112597551A (zh) * | 2020-12-22 | 2021-04-02 | 南京道熵信息技术有限公司 | 一种使用License可实时更新的磁盘加密方法与系统 |
| CN112597551B (zh) * | 2020-12-22 | 2023-08-18 | 南京道熵信息技术有限公司 | 一种使用License可实时更新的磁盘加密方法与系统 |
| US11575508B2 (en) | 2021-06-02 | 2023-02-07 | International Business Machines Corporation | Unified HSM and key management service |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850699B (zh) | 一种移动终端登录认证方法及系统 | |
| US10790976B1 (en) | System and method of blockchain wallet recovery | |
| JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
| JP6687641B2 (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| CN108111473B (zh) | 混合云统一管理方法、装置和系统 | |
| US10122703B2 (en) | Federated full domain logon | |
| CN105027107B (zh) | 迁移计算资源的计算机实现的方法及计算系统 | |
| EP2992477B1 (en) | User and system authentication in enterprise systems | |
| CN104639516B (zh) | 身份认证方法、设备及系统 | |
| US10397778B2 (en) | Computer network providing secure mobile device enrollment features and related methods | |
| KR20160138063A (ko) | 머신 생성 인증 토큰으로써 서비스를 동작시키는 기법 | |
| CN106936797A (zh) | 一种云中虚拟机磁盘及文件加密密钥的管理方法和系统 | |
| CN106716957A (zh) | 高效且可靠的认证 | |
| CN110677376A (zh) | 认证方法、相关设备和系统及计算机可读存储介质 | |
| CN113872992B (zh) | 一种在BMC系统中实现远程Web访问强安全认证的方法 | |
| CN105847000A (zh) | 令牌产生方法以及基于该令牌产生方法的通信系统 | |
| CN108809907A (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
| CN105430649B (zh) | Wifi接入方法及设备 | |
| CN114338201B (zh) | 数据处理方法及其装置、电子设备及存储介质 | |
| CN115348077A (zh) | 一种虚拟机加密方法、装置、设备、存储介质 | |
| US12107961B2 (en) | Connection resilient multi-factor authentication | |
| CN116601916A (zh) | 作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥 | |
| CN112235276B (zh) | 主从设备交互方法、装置、系统、电子设备和计算机介质 | |
| CN110990111B (zh) | 一种云环境下虚拟可信根的校验方法和系统 | |
| CN114553445A (zh) | 设备方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170707 |