CN114567496B - 一种进行云服务器镜像完整性校验的方法及系统 - Google Patents

Abstract

本发明特别涉及一种进行云服务器镜像完整性校验的方法及系统。该进行云服务器镜像完整性校验的方法及系统，用户在上传私有镜像时选择是否开启完整性校验，若开启则添加完整性integrality参数，并设置为true，用以标识该镜像在使用时需校验其完整性；镜像服务提供加密方式配置项及加密方式，根据平台管理员配置开启的方式进行镜像文件加密；在使用镜像文件时，对于用户指定需要验证完整性的镜像，通过完整性校验才可以使用，若校验不通过则阻止用户使用镜像。该进行云服务器镜像完整性校验的方法及系统，从平台层面完成了用户镜像数据完整性的校验，能够保证用户私有云镜像不会遭到恶意篡改，避免造成无法挽回的后果，提高了安全性。

Description

一种进行云服务器镜像完整性校验的方法及系统

技术领域

本发明涉及云计算技术领域，特别涉及一种进行云服务器镜像完整性校验的方法及系统。

背景技术

OpenStack是一个开源的云计算管理平台项目，是一系列软件开源项目的组合。它为私有云和公有云提供可扩展的弹性的云计算服务。项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。对应于云平台的计算、存储、网路、镜像，OpenStack均有相应组件专门负责。

镜像服务允许用户发现、注册和获取虚拟机镜像。它提供了一个REST API，允许查询虚拟机镜像的元数据metadata并获取一个现存的镜像。可以将虚拟机镜像存储到各种位置，从简单的文件系统到对象存储系统—。例如OpenStack对象存储，并通过镜像服务使用。

正是由于云镜像服务对接了多种存储服务，而不同的存储均有自己的访问方式，存储的数据可以完全通过存储接口独立访问。而且，云服务器镜像的文件在存储中的状态对用户是透明的。因此，若攻击者通过直接访问存储的方式篡改镜像文件，植入恶意攻击工具，用户很难发现自己的云服务器镜像存在安全隐患。一旦用户使用被篡改的镜像启动云服务器，接入内部网络，就很容易引起攻击传播，造成不可换回的损失。由此，需要对镜像文件进行加密，完成镜像文件的完整性校验。

基于上述情况，本发明提出了一种进行云服务器镜像完整性校验的方法及系统。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种简单高效的进行云服务器镜像完整性校验的方法及系统。

本发明是通过如下技术方案实现的：

一种进行云服务器镜像完整性校验的方法，其特征在于：包括以下步骤：

步骤1：用户在上传私有镜像时选择是否开启完整性校验，若开启则添加完整性integrality参数；

若用户在创建时选择开启完整性校验，则镜像数据库中完整性integrality字段设置为true，用以标识该镜像在整个生命周期中任何对于镜像的操作均需校验其完整性；

步骤2：对于开启完整性校验的用户镜像，根据镜像上传时镜像文件的来源不同，通过不同的方式对镜像文件进行处理；

同时，镜像服务提供加密方式配置项及加密方式，根据平台管理员配置开启的方式进行镜像文件加密；

步骤3：在使用镜像文件时，对于用户指定需要验证完整性的镜像，通过完整性校验才可以使用；若校验通过则镜像正常使用，若校验不通过则通知用户镜像异常，阻止用户使用镜像。

所述步骤2中，采用MD5加密算法或SHA256加密算法对镜像文件进行加密。

所述步骤2中，用户从本地文件上传镜像时，采用MD5加密算法对镜像文件进行加密步骤如下：

步骤2.1：在API接口响应用户请求后，镜像服务首先调用系统程序，计算镜像文件的大小size；

步骤2.2：获取镜像文件的大小size后，镜像服务在0-size之间随机生产五个数字作为偏移量，从该偏移量起，截取1MB大小文件，根据用户计算文件程序或许镜像文件大小随机截取5段数据；

步骤2.3：计算截取的5段数据文件的MD5值，并一一对应将偏移量及MD5值计算结果记录在镜像数据库中。

由于镜像服务当前不支持从Web端流式上传镜像文件到平台后端，所述步骤2中，用户从Web端存储的镜像文件上传镜像时，先将镜像文件从Web端下载到平台控制节点上，再从文件上传镜像；

为防止从Web端download的过程中出现文件丢失或者篡改的情况，在下载前首先计算一个MD5值，下载文件后再计算一个MD5值，将两次计算的MD5值进行对比，若一致则按照本地文件上传镜像的操作方式，完成需要完整性校验的镜像的创建。

所述步骤2中，用户从自己正在运行的云服务器系统盘创建私有镜像时，用户的云服务器存在两种启动情况，一种情况是用户原本从镜像创建了自己的服务器，另一种情况是用户从镜像创建了启动盘，用以启动自己的云服务器；

针对用户原本从镜像创建了自己的服务器的情况，用户的云服务器系统盘运行在计算节点本地或者计算服务所对接的存储内；若存储于计算节点本地，则添加校验的方式与从本地文件上传镜像相同；若系统盘存储于计算服务所对接的后端中，则镜像服务需连接相同后端，获取文件访问权限，连接成功后，通过后端调用的接口访问文件，文件访问成功后，即可按照本地上传的方式进行偏移量获取和MD5值计算，进而完成镜像完整性设置；

针对用户从镜像创建了启动盘用以启动自己的云服务器的情况，云服务器系统盘存储在存储服务对应的存储后端内，此时需要保证存储服务作为镜像服务的后端之一，进而获得与存储服务相同的访问后端存储的权限；读取系统盘文件后，添加校验方式即可复用本地文件上传镜像的逻辑，完成完整性校验属性添加。

所述步骤3中，当用户下载镜像或者使用镜像时，镜像服务首先判断完整性integrality属性，若为true则进行完整性校验；

对于开启完整性校验的镜像，进行镜像下载操作时，将镜像文件下载到本地后，先从数据库中获取5个偏移量及其MD5值，在下载下来的镜像文件中，根据偏移量截取5段1MB的数据，计算其MD5值；将数据库中记录的MD5值与利用下载后的文件计算出来的MD5值进行对比，若一致则返回镜像下载成功的结果到用户，若不一致则将对比结果反馈给客户，提醒客户在下载过程中可能存在问题，镜像文件谨慎使用。

所述步骤3中，当镜像用以启动云服务器或者创建启动盘时，镜像服务先连接自己的后端存储，获取文件在存储中的位置，截取对应偏移量的数据，计算MD5值，与数据库中记录的MD5值进行对比；对比通过则镜像正常使用，对比不通过则抛出异常，阻止用户使用镜像。

该进行云服务器镜像完整性校验的系统，包括校验开启模块，加密算法模块和校验模块；

所述校验开启模块负责在用户在上传私有镜像时，为用户提供是否开启完整性校验的配置项，若开启则添加完整性integrality参数，并将其设置为true，用以标识该镜像在整个生命周期中任何对于镜像的操作均需校验其完整性；

所述加密算法模块负责为镜像数据提供MD5加密服务，为校验模块提供对比数据；

所述校验模块负负责对用户指定需要验证完整性的镜像实现完整性校验，若校验通过则镜像正常使用，若校验不通过则通知用户镜像异常，阻止用户使用镜像。

本发明的有益效果是：该进行云服务器镜像完整性校验的方法及系统，从平台层面完成了用户镜像数据完整性的校验，能够保证用户私有云镜像不会遭到恶意篡改，避免造成无法挽回的后果，提高了安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

附图1为本发明进行云服务器镜像完整性校验的方法示意图。

具体实施方式

为了使本技术领域的人员更好的理解本发明中的技术方案，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚，完整的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

OpenStack是当今最具影响力的云计算管理工具——通过命令或者基于Web的可视化控制面板来管理IaaS云端的资源池(服务器、存储和网络)。OpenStack目前已在云平台架构搭建上达到了成熟的水平，其主要组件包括cinder、glance、nova、neutron、ironic、horizon等，同时还包含部分自身平台管理的组件，如heat、ceilometer、watcher等。

云镜像服务是OpenStack平台内用于管理云服务器镜像的服务，贯穿整个云服务器镜像的生命周期。云镜像服务需要对接一种或多种存储后端，用于存放镜像数据。在云平台用户使用中，后端存储的镜像数据是对云平台用户不可见的，仅当用户使用镜像创建自己的云服务器后，才能感知到镜像中是否存在明显的问题。当攻击人员从后端进行镜像文件修改时，用户几乎无法在使用前发现镜像存在问题，所以云平台要对这一点进行保障。

从镜像提供者看，平台使用的镜像存在两类提供者。一个是平台运营向预置到平台内的公有镜像。这些镜像一般为常用基础系统镜像，如Ubuntu、Centos、Windows的各发行版。这些镜像由平台管理员上传，面相所有用户。另一类为用户自己上传或者在公有镜像的基础上定制化安装包后创建的私有镜像。从镜像文件来源来分，平台中的镜像在上传前可能存在三种状态，分别为本地文件、web文件，平台服务器系统盘文件。

数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码为“密文”，使其只能在输入相应的密钥之后才能显示出原容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

通过修改文件的MD5值，可以绕过某些网盘的"违规文件扫描机制"，这是因为网盘服务器内存储着已知违规文件的MD5值，当上传文件时会自动与服务器MD5数据库匹配以判断是否违规。

加密技术通常分为两大类：“对称式”和“非对称式”。

对称式加密就是加密和解密使用同一个密钥，通常称之为“会话密钥SessionKey”这种加密技术在当今被广泛采用，如DES加密标准就是一种典型的“对称式”加密法，它的会话密钥Session Key长度为56bits。

非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难不把密钥告诉对方，不管用什么方法都有可能被别人窃听到。而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。

该进行云服务器镜像完整性校验的方法，包括以下步骤：

步骤1：用户在上传私有镜像时选择是否开启完整性校验，若开启则添加完整性integrality参数；

若用户在创建时选择开启完整性校验，则镜像数据库中完整性integrality字段设置为true，用以标识该镜像在整个生命周期中任何对于镜像的操作均需校验其完整性；

步骤2：对于开启完整性校验的用户镜像，根据镜像上传时镜像文件的来源不同，通过不同的方式对镜像文件进行处理；

同时，镜像服务提供加密方式配置项及加密方式，根据平台管理员配置开启的方式进行镜像文件加密；

步骤3：在使用镜像文件时，对于用户指定需要验证完整性的镜像，通过完整性校验才可以使用；若校验通过则镜像正常使用，若校验不通过则通知用户镜像异常，阻止用户使用镜像。

所述步骤2中，采用MD5加密算法或SHA256加密算法对镜像文件进行加密。

所述步骤2中，用户从本地文件上传镜像时，采用MD5加密算法对镜像文件进行加密步骤如下：

步骤2.1：在API接口响应用户请求后，镜像服务首先调用系统程序，计算镜像文件的大小size；

步骤2.2：获取镜像文件的大小size后，镜像服务在0-size之间随机生产五个数字作为偏移量，从该偏移量起，截取1MB大小文件，根据用户计算文件程序或许镜像文件大小随机截取5段数据；

步骤2.3：计算截取的5段数据文件的MD5值，并一一对应将偏移量及MD5值计算结果记录在镜像数据库中。

由于镜像服务当前不支持从Web端流式上传镜像文件到平台后端，所述步骤2中，用户从Web端存储的镜像文件上传镜像时，先将镜像文件从Web端下载到平台控制节点上，再从文件上传镜像；

为防止从Web端download的过程中出现文件丢失或者篡改的情况，在下载前首先计算一个MD5值，下载文件后再计算一个MD5值，将两次计算的MD5值进行对比，若一致则按照本地文件上传镜像的操作方式，完成需要完整性校验的镜像的创建。

所述步骤2中，用户从自己正在运行的云服务器系统盘创建私有镜像时，用户的云服务器存在两种启动情况，一种情况是用户原本从镜像创建了自己的服务器，另一种情况是用户从镜像创建了启动盘，用以启动自己的云服务器；

针对用户原本从镜像创建了自己的服务器的情况，用户的云服务器系统盘运行在计算节点本地或者计算服务所对接的存储内；若存储于计算节点本地，则添加校验的方式与从本地文件上传镜像相同；若系统盘存储于计算服务所对接的后端中，则镜像服务需连接相同后端，获取文件访问权限，连接成功后，通过后端调用的接口访问文件，文件访问成功后，即可按照本地上传的方式进行偏移量获取和MD5值计算，进而完成镜像完整性设置；

针对用户从镜像创建了启动盘用以启动自己的云服务器的情况，云服务器系统盘存储在存储服务对应的存储后端内，此时需要保证存储服务作为镜像服务的后端之一，进而获得与存储服务相同的访问后端存储的权限；读取系统盘文件后，添加校验方式即可复用本地文件上传镜像的逻辑，完成完整性校验属性添加。

所述步骤3中，当用户下载镜像或者使用镜像时，镜像服务首先判断完整性integrality属性，若为true则进行完整性校验；

对于开启完整性校验的镜像，进行镜像下载操作时，将镜像文件下载到本地后，先从数据库中获取5个偏移量及其MD5值，在下载下来的镜像文件中，根据偏移量截取5段1MB的数据，计算其MD5值；将数据库中记录的MD5值与利用下载后的文件计算出来的MD5值进行对比，若一致则返回镜像下载成功的结果到用户，若不一致则将对比结果反馈给客户，提醒客户在下载过程中可能存在问题，镜像文件谨慎使用。

所述步骤3中，当镜像用以启动云服务器或者创建启动盘时，镜像服务先连接自己的后端存储，获取文件在存储中的位置，截取对应偏移量的数据，计算MD5值，与数据库中记录的MD5值进行对比；对比通过则镜像正常使用，对比不通过则抛出异常，阻止用户使用镜像。

该进行云服务器镜像完整性校验的系统，包括校验开启模块，加密算法模块和校验模块；

所述校验开启模块负责在用户在上传私有镜像时，为用户提供是否开启完整性校验的配置项，若开启则添加完整性integrality参数，并将其设置为true，用以标识该镜像在整个生命周期中任何对于镜像的操作均需校验其完整性；

所述加密算法模块负责为镜像数据提供MD5加密服务，为校验模块提供对比数据；

所述校验模块负负责对用户指定需要验证完整性的镜像实现完整性校验，若校验通过则镜像正常使用，若校验不通过则通知用户镜像异常，阻止用户使用镜像。

以上所述的实施例，只是本发明具体实施方式的一种，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims (7)

1.一种进行云服务器镜像完整性校验的方法，其特征在于：包括以下步骤：

步骤1：用户在上传私有镜像时选择是否开启完整性校验，若开启则添加完整性integrality参数；

若用户在创建时选择开启完整性校验，则镜像数据库中完整性integrality字段设置为true，用以标识该镜像在整个生命周期中任何对于镜像的操作均需校验其完整性；

步骤2：对于开启完整性校验的用户镜像，根据镜像上传时镜像文件的来源不同，通过不同的方式对镜像文件进行处理；

同时，镜像服务提供加密方式配置项及加密方式，根据平台管理员配置开启的方式进行镜像文件加密；

所述步骤2中，用户从自己正在运行的云服务器系统盘创建私有镜像时，用户的云服务器存在两种启动情况，一种情况是用户原本从镜像创建了自己的服务器，另一种情况是用户从镜像创建了启动盘，用以启动自己的云服务器；

针对用户原本从镜像创建了自己的服务器的情况，用户的云服务器系统盘运行在计算节点本地或者计算服务所对接的存储内；若存储于计算节点本地，则添加校验的方式与从本地文件上传镜像相同；若系统盘存储于计算服务所对接的后端中，则镜像服务需连接相同后端，获取文件访问权限，连接成功后，通过后端调用的接口访问文件，文件访问成功后，即可按照本地上传的方式进行偏移量获取和MD5值计算，进而完成镜像完整性设置；

针对用户从镜像创建了启动盘用以启动自己的云服务器的情况，云服务器系统盘存储在存储服务对应的存储后端内，此时需要保证存储服务作为镜像服务的后端之一，进而使云服务器获得与存储服务相同的访问后端存储的权限；读取系统盘文件后，添加校验方式即可复用本地文件上传镜像的逻辑，完成完整性校验属性添加；

步骤3：在使用镜像文件时，对于用户指定需要验证完整性的镜像，通过完整性校验才可以使用；若校验通过则镜像正常使用，若校验不通过则通知用户镜像异常，阻止用户使用镜像。

2.根据权利要求1所述的进行云服务器镜像完整性校验的方法，其特征在于：所述步骤2中，采用MD5加密算法或SHA256加密算法对镜像文件进行加密。

3.根据权利要求2所述的进行云服务器镜像完整性校验的方法，其特征在于：所述步骤2中，用户从本地文件上传镜像时，采用MD5加密算法对镜像文件进行加密步骤如下：

步骤2.1：在API接口响应用户请求后，镜像服务首先调用系统程序，计算镜像文件的大小size；

步骤2.2：获取镜像文件的大小size后，镜像服务在0-size之间随机生产五个数字作为偏移量，从该偏移量起，截取1MB大小文件，根据用户计算文件程序或许镜像文件大小随机截取5段数据；

步骤2.3：计算截取的5段数据文件的MD5值，并一一对应将偏移量及MD5值计算结果记录在镜像数据库中。

4.根据权利要求3所述的进行云服务器镜像完整性校验的方法，其特征在于：由于镜像服务当前不支持从Web端流式上传镜像文件到平台后端，所述步骤2中，用户从Web端存储的镜像文件上传镜像时，先将镜像文件从Web端下载到平台控制节点上，再从文件上传镜像；

为防止从Web端download的过程中出现文件丢失或者篡改的情况，在下载前首先计算一个MD5值，下载文件后再计算一个MD5值，将两次计算的MD5值进行对比，若一致则按照本地文件上传镜像的操作方式，完成需要完整性校验的镜像的创建。

5.根据权利要求4所述的进行云服务器镜像完整性校验的方法，其特征在于：所述步骤3中，当用户下载镜像或者使用镜像时，镜像服务首先判断完整性integrality属性，若为true则进行完整性校验；

对于开启完整性校验的镜像，进行镜像下载操作时，将镜像文件下载到本地后，先从数据库中获取5个偏移量及其MD5值，在下载下来的镜像文件中，根据偏移量截取5段1MB的数据，计算其MD5值；将数据库中记录的MD5值与利用下载后的文件计算出来的MD5值进行对比，若一致则返回镜像下载成功的结果到用户，若不一致则将对比结果反馈给客户，提醒客户在下载过程中可能存在问题，镜像文件谨慎使用。

6.根据权利要求4所述的进行云服务器镜像完整性校验的方法，其特征在于：所述步骤3中，当镜像用以启动云服务器或者创建启动盘时，镜像服务先连接自己的后端存储，获取文件在存储中的位置，截取对应偏移量的数据，计算MD5值，与数据库中记录的MD5值进行对比；对比通过则镜像正常使用，对比不通过则抛出异常，阻止用户使用镜像。

7.根据权利要求1~6任意一项所述的进行云服务器镜像完整性校验的方法的系统，其特征在于：包括校验开启模块，加密算法模块和校验模块；

所述校验开启模块负责在用户在上传私有镜像时，为用户提供是否开启完整性校验的配置项，若开启则添加完整性integrality参数，并将其设置为true，用以标识该镜像在整个生命周期中任何对于镜像的操作均需校验其完整性；

所述加密算法模块负责为镜像数据提供MD5加密服务，为校验模块提供对比数据；

所述校验模块负负责对用户指定需要验证完整性的镜像实现完整性校验，若校验通过则镜像正常使用，若校验不通过则通知用户镜像异常，阻止用户使用镜像。