CN108491725A - 一种提高云中虚拟机间通信安全的方法 - Google Patents
一种提高云中虚拟机间通信安全的方法 Download PDFInfo
- Publication number
- CN108491725A CN108491725A CN201810206649.7A CN201810206649A CN108491725A CN 108491725 A CN108491725 A CN 108491725A CN 201810206649 A CN201810206649 A CN 201810206649A CN 108491725 A CN108491725 A CN 108491725A
- Authority
- CN
- China
- Prior art keywords
- virtual
- virtual machine
- cryptographic
- server
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明涉及一种提高云中虚拟机间通信安全的方法。本发明通过引入密码设备为虚拟机间通信提供服务,密码设备具有传输加密、完整性认证\身份鉴别、数字签名等功能。针对云环境,密码设备安装到物理服务器的PCIE插槽中,在其基础上创建多个虚拟密码设备,提供给本物理服务器中运行的虚拟机使用。
Description
技术领域
本发明涉及一种提高云中虚拟机间通信安全的方法,属于通信安全的技术领域。
背景技术
随着云计算技术的应用越来越广泛,云计算的安全性受到业界的广泛重视。资源的集中和虚拟化、高度复杂和开放的业务场景、不安全的接口和数据传输等给云安全的保障带来了极大的挑战。保障云安全涉及的领域包括物理安全、数据安全、网络安全、身份和访问管理以及应用程序安全等,在引入了密码设备后,可以使用其中的密码服务,云中虚拟机间通信安全将大大增强。
云计算蕴含着巨大的市场潜力,因而被视为计算机领域里最重要、发展最快的分支之一,更多的企业和个人用户开始使用云服务。由于应用范围大、用户广泛,云也成为黑客或各种恶意组织和个人为获取非法利益而攻击的目标,高安全、高可用和高可靠成为用户对云服务最期望的三大要求。
对于高安全的要求,需要解决好云计算安全威胁问题,为云服务打下牢固的基础;如果没有安全基础,一旦被攻击者发现漏洞,用户的隐私和重要数据可能会被窃听或篡改,给用户带来重大损失,甚至直接影响到云计算提供者能否在市场上继续生存。
在OpenStack云环境中,作为云服务的使用者,用户可以根据需要自行创建和使用虚拟机,分配给用户的虚拟机可能运行在单台和多台物理服务器上,虚拟机之间的数据交互、身份认证等,都是用户使用的基本功能,虚拟机间的通信需要有安全的机制去保护用户数据。目前大部分方案都是从软件角度出发,例如通过引入TLS等保密协议,对数据进行加解密操作,TSL中使用的密码算法会带来极大的性能开销,尤其是公钥算法,会占用大量CPU和内存资源,从而导致服务器运行缓慢和卡顿,影响到服务器上其他程序的正常运行。而在一般的商用云环境中,单台服务器上往往运行了大量虚拟机,资源显得非常宝贵。
发明内容
针对现有技术的不足,本发明提供一种提高云中虚拟机间通信安全的方法。
发明概述
本发明通过引入密码设备为虚拟机间通信提供服务,密码设备具有传输加密、完整性认证\身份鉴别、数字签名等功能。针对云环境,密码设备安装到物理服务器的PCIE插槽中,在其基础上创建多个虚拟密码设备,提供给本物理服务器中运行的虚拟机使用。
本发明的技术方案
一种提高云中虚拟机间通信安全的方法,包括步骤如下:
1)与服务器对接:将物理密码设备安装到服务器的PCIE槽上,服务器的驱动程序自动识别物理密码设备,根据服务器上的已创建和预计创建的虚拟机总数量对物理密码设备进行虚拟化,得到足够的虚拟密码设备为虚拟机提供服务;所述虚拟密码设备包括虚拟密码卡;物理密码设备与服务器连接后,其运行消耗的资源不依赖于服务器,它不仅可作为虚拟机间通信数据的交换场所,还可以完成对数据的加解密及提供其他密码服务;
2)虚拟密码卡绑定:虚拟机和虚拟密码卡通过虚拟密码设备提供的接口建议一一对应的绑定关系;绑定关系由虚拟机id和虚拟密码设备id确定;针对云中包括大量虚拟机的场景,密码卡还支持虚拟化技术,一台物理密码设备可根据需要虚拟出多个虚拟密码卡,为服务器上不同的虚拟机所使用;
3)使用密码服务:虚拟密码卡绑定完成后,虚拟机通过调用虚拟密码设备提供的接口实现对密码服务的使用,虚拟密码设备自动进行数据加解密、数据保存和身份验证操作;虚拟机和虚拟密码卡通过接口建立好一一对应的绑定关系后,虚拟机即可方便地使用虚拟密码设备提供的传输加密、完整性认证\身份鉴别、数字签名等密码服务。
根据本发明优选的,所述步骤3)之后还包括解除绑定的操作:虚拟机销毁或虚拟机迁移时,通过调用解除绑定接口,实现对虚拟密码卡绑定的解除。
根据本发明优选的,物理密码设备内部设置有独立的运算单元,并对外提供密码算法接口。
密码算法接口包括关键接口举例:
CreateVirDevice 创建虚拟密码设备
BindVMAndVD 将虚拟机和虚拟密码设备进行绑定
OpenVirDevice 打开虚拟密码设备
SendDataToVirDevice 虚拟机发送方往虚拟密码设备中写数据
ReceiveDataFromVirDevice 虚拟机接收方从虚拟密码设备获取数据
CreateRandom 获取随机数
CreateKeypair 创建秘钥对
AES256Encrypt 256位的AES加密接口
AES256Decrypt 256位的AES解密接口
HashMD5SUM MD5摘要算法接口
RsaSignAlgorithm RSA签名算法接口
本发明的有益效果
1.本发明所述提高云中虚拟机间通信安全的方法,引入物理密码设备后,解决了服务器为了信息安全直接调用软件接口而带来的性能损耗,同时将密码服务集中到硬件设备后,便于统一的更新、管理和松耦合,为使用方带来便利;
2.本发明所述提高云中虚拟机间通信安全的方法,通过引入物理密码设备对虚拟机间的通信数据进行加解密操作,将消耗资源的运算放到密码设备中进行,不占用服务器CPU和内存资源,作为独立的中间介质为云中虚拟机提供密码服务;提高服务器的工作效率,避免影响到服务器上其他程序的正常运行。
附图说明
图1为在服务器的PCIE槽上安插物理密码设备的示意图;
图2为本发明所述提高云中虚拟机间通信安全的方法原理图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
如图1、2所示。
一种提高云中虚拟机间通信安全的方法,包括步骤如下:
1)与服务器对接:将物理密码设备安装到服务器的PCIE槽上,服务器的驱动程序自动识别物理密码设备,根据服务器上的已创建和预计创建的虚拟机总数量对物理密码设备进行虚拟化,得到足够的虚拟密码设备为虚拟机提供服务;所述虚拟密码设备包括虚拟密码卡;物理密码设备与服务器连接后,其运行消耗的资源不依赖于服务器,它不仅可作为虚拟机间通信数据的交换场所,还可以完成对数据的加解密及提供其他密码服务;
2)虚拟密码卡绑定:虚拟机和虚拟密码卡通过虚拟密码设备提供的接口建议一一对应的绑定关系;绑定关系由虚拟机id和虚拟密码设备id确定;针对云中包括大量虚拟机的场景,密码卡还支持虚拟化技术,一台物理密码设备可根据需要虚拟出多个虚拟密码卡,为服务器上不同的虚拟机所使用;
3)使用密码服务:虚拟密码卡绑定完成后,虚拟机通过调用虚拟密码设备提供的接口实现对密码服务的使用,虚拟密码设备自动进行数据加解密、数据保存和身份验证操作;虚拟机和虚拟密码卡通过接口建立好一一对应的绑定关系后,虚拟机即可方便地使用虚拟密码设备提供的传输加密、完整性认证\身份鉴别、数字签名等密码服务。
实施例2
如实施例1所述的提高云中虚拟机间通信安全的方法,进一步的,所述步骤3)之后还包括解除绑定的操作:虚拟机销毁或虚拟机迁移时,通过调用解除绑定接口,实现对虚拟密码卡绑定的解除。
Claims (2)
1.一种提高云中虚拟机间通信安全的方法,其特征在于,包括步骤如下:
1)与服务器对接:将物理密码设备安装到服务器的PCIE槽上,服务器的驱动程序自动识别物理密码设备,根据服务器上的已创建和预计创建的虚拟机总数量对物理密码设备进行虚拟化,得到足够的虚拟密码设备为虚拟机提供服务;所述虚拟密码设备包括虚拟密码卡;
2)虚拟密码卡绑定:虚拟机和虚拟密码卡通过虚拟密码设备提供的接口建议一一对应的绑定关系;绑定关系由虚拟机id和虚拟密码设备id确定;
3)使用密码服务:虚拟密码卡绑定完成后,虚拟机通过调用虚拟密码设备提供的接口实现对密码服务的使用,虚拟密码设备自动进行数据加解密、数据保存和身份验证操作。
2.根据权利要求1所述的提高云中虚拟机间通信安全的方法,其特征在于,所述步骤3)之后还包括解除绑定的操作:虚拟机销毁或虚拟机迁移时,通过调用解除绑定接口,实现对虚拟密码卡绑定的解除。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810206649.7A CN108491725A (zh) | 2018-03-13 | 2018-03-13 | 一种提高云中虚拟机间通信安全的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810206649.7A CN108491725A (zh) | 2018-03-13 | 2018-03-13 | 一种提高云中虚拟机间通信安全的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108491725A true CN108491725A (zh) | 2018-09-04 |
Family
ID=63339153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810206649.7A Pending CN108491725A (zh) | 2018-03-13 | 2018-03-13 | 一种提高云中虚拟机间通信安全的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108491725A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639424A (zh) * | 2018-12-25 | 2019-04-16 | 山东超越数控电子股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
| CN109981264A (zh) * | 2019-03-11 | 2019-07-05 | 北京纬百科技有限公司 | 一种应用密钥生成方法及密码机设备组件 |
| CN111400778A (zh) * | 2020-03-12 | 2020-07-10 | 山东超越数控电子股份有限公司 | 一种虚拟磁盘文件的加密方法、系统、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120266213A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Trusted hardware for attesting to authenticity in a cloud environment |
| CN103051455A (zh) * | 2012-12-22 | 2013-04-17 | 中国船舶重工集团公司第七0九研究所 | 一种云计算环境下的可信密码模块密码功能授权代理的实现方法 |
| CN103281407A (zh) * | 2013-05-08 | 2013-09-04 | 重庆绿色智能技术研究院 | 一种基于龙芯云终端的ip地址远程管理系统 |
| US20140019745A1 (en) * | 2012-07-12 | 2014-01-16 | David S. Dodgson | Cryptographic isolation of virtual machines |
| CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN107623699A (zh) * | 2017-10-23 | 2018-01-23 | 山东渔翁信息技术股份有限公司 | 一种基于云环境的加密系统 |
-
2018
- 2018-03-13 CN CN201810206649.7A patent/CN108491725A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120266213A1 (en) * | 2011-04-18 | 2012-10-18 | Bank Of America Corporation | Trusted hardware for attesting to authenticity in a cloud environment |
| US20140019745A1 (en) * | 2012-07-12 | 2014-01-16 | David S. Dodgson | Cryptographic isolation of virtual machines |
| CN103051455A (zh) * | 2012-12-22 | 2013-04-17 | 中国船舶重工集团公司第七0九研究所 | 一种云计算环境下的可信密码模块密码功能授权代理的实现方法 |
| CN103281407A (zh) * | 2013-05-08 | 2013-09-04 | 重庆绿色智能技术研究院 | 一种基于龙芯云终端的ip地址远程管理系统 |
| CN104461678A (zh) * | 2014-11-03 | 2015-03-25 | 中国科学院信息工程研究所 | 一种在虚拟化环境中提供密码服务的方法和系统 |
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| CN107623699A (zh) * | 2017-10-23 | 2018-01-23 | 山东渔翁信息技术股份有限公司 | 一种基于云环境的加密系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639424A (zh) * | 2018-12-25 | 2019-04-16 | 山东超越数控电子股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
| CN109639424B (zh) * | 2018-12-25 | 2022-06-17 | 超越科技股份有限公司 | 一种基于不同密钥的虚拟机镜像加密方法及装置 |
| CN109981264A (zh) * | 2019-03-11 | 2019-07-05 | 北京纬百科技有限公司 | 一种应用密钥生成方法及密码机设备组件 |
| CN111400778A (zh) * | 2020-03-12 | 2020-07-10 | 山东超越数控电子股份有限公司 | 一种虚拟磁盘文件的加密方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10171432B2 (en) | Systems to implement security in computer systems | |
| CN110892691B (zh) | 安全执行平台群集 | |
| Dai et al. | SBLWT: A secure blockchain lightweight wallet based on trustzone | |
| US8977842B1 (en) | Hypervisor enabled secure inter-container communications | |
| US9735962B1 (en) | Three layer key wrapping for securing encryption keys in a data storage system | |
| US10509914B1 (en) | Data policy implementation in a tag-based policy architecture | |
| CN106537432A (zh) | 对存储加密货币的钱包进行安全访问的方法及装置 | |
| CN106105146A (zh) | 在密码证明资源处保护客户端指定凭证 | |
| EP2672673A1 (en) | Secure data processing | |
| CN106022155A (zh) | 用于数据库安全管理的方法及服务器 | |
| CN106254342A (zh) | Android平台下支持文件加密的安全云存储方法 | |
| CN102984273B (zh) | 虚拟磁盘加密方法、解密方法、装置及云服务器 | |
| US20180115535A1 (en) | Blind En/decryption for Multiple Clients Using a Single Key Pair | |
| KR101648364B1 (ko) | 대칭키 암호화와 비대칭키 이중 암호화를 복합적으로 적용한 암/복호화 속도개선 방법 | |
| Yang et al. | DAA-TZ: an efficient DAA scheme for mobile devices using ARM TrustZone | |
| WO2021129003A1 (zh) | 一种密码管理方法及相关装置 | |
| CN108491725A (zh) | 一种提高云中虚拟机间通信安全的方法 | |
| CN115053222A (zh) | 通过主机与虚拟来宾之间的受控交互来创建隔离工作区的方法和系统 | |
| CN114637743A (zh) | 数据库的操作方法、系统、存储介质以及计算机终端 | |
| Cooijmans et al. | Secure key storage and secure computation in Android | |
| Sengupta et al. | Contriving hybrid DESCAST algorithm for cloud security | |
| Yang et al. | AEP-M: Practical anonymous E-payment for mobile devices using ARM trustzone and divisible E-cash | |
| CN108154037B (zh) | 进程间的数据传输方法和装置 | |
| Kim et al. | Secure user authentication based on the trusted platform for mobile devices | |
| Sen et al. | Security-and privacy-aware computing in cloud with user mobility: an extensive review |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180904 |
|
| RJ01 | Rejection of invention patent application after publication |