JP2013003612A - System and method for concealing data when utilizing virtual server - Google Patents
System and method for concealing data when utilizing virtual server Download PDFInfo
- Publication number
- JP2013003612A JP2013003612A JP2011130732A JP2011130732A JP2013003612A JP 2013003612 A JP2013003612 A JP 2013003612A JP 2011130732 A JP2011130732 A JP 2011130732A JP 2011130732 A JP2011130732 A JP 2011130732A JP 2013003612 A JP2013003612 A JP 2013003612A
- Authority
- JP
- Japan
- Prior art keywords
- virtual server
- data
- cache memory
- server
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
近年の仮想化技術の高度化、プロセッサ性能の向上等により、複数のコンピュータシステムを統合したクラウド上に仮想化プラットフォームを構築しオーダーメイドの仮想サーバを提供する事業者(以下、クラウド事業者)が存在する。本発明は、これらクラウド事業者が運用する仮想化プラットフォーム上に仮想サーバを構築して利用する際に、データの漏洩、改ざんの防止を行い秘密情報等の秘匿を実現するシステム及び方法に関するものである。 A provider (hereinafter referred to as a cloud provider) that provides a customized virtual server by constructing a virtualization platform on a cloud that integrates multiple computer systems due to recent advances in virtualization technology, improved processor performance, etc. Exists. The present invention relates to a system and method for realizing confidentiality of confidential information and the like by preventing data leakage and tampering when a virtual server is constructed and used on a virtualization platform operated by these cloud operators. is there.
近年、各企業が利用するITシステムは大規模化、複雑化する傾向にある上、急速に変貌するマーケットに対応するため、ITシステムの構築、修正、再構成等を短期間で行うことが求められている。さらに、企業競争力を維持するためには、これらの対応を安価に行うことが必須である。 In recent years, IT systems used by companies tend to be larger and more complex, and in order to respond to rapidly changing markets, IT systems must be constructed, modified and reconfigured in a short period of time. It has been. Furthermore, in order to maintain corporate competitiveness, it is essential to carry out these measures at a low cost.
クラウド事業者が提供する仮想サーバを利用することがこれらの課題を解決する有力な手段の一つとして採用されている。しかし、仮想サーバを利用する場合、自社データセンターと仮想サーバ間の回線または、仮想サーバのストレージからの自社データの漏洩が問題となり得る。 Using a virtual server provided by a cloud provider is adopted as one of the effective means for solving these problems. However, when using a virtual server, leakage of the company data from the line between the company data center and the virtual server or from the storage of the virtual server can be a problem.
従来は、非特許文献1、非特許文献2のような通信路の暗号化技術を用いて、自社データセンターとクラウド上の仮想サーバ群との間にVPN(Virtual Private Network)を構成することで、自社データセンターと仮想サーバとの間の通信を盗聴、改ざんから保護し、また、非特許文献3などの暗号化技術により、仮想サーバの利用するディスク領域を暗号化してクラウド事業者のストレージに保存することで、データの秘匿性を保つことができた。
Conventionally, a VPN (Virtual Private Network) is configured between an in-house data center and a group of virtual servers on the cloud by using communication path encryption technology such as Non-Patent Document 1 and Non-Patent
しかし、従来技術では以下のような問題点があった。
・
VPN技術では、自社データセンターとクラウド上の仮想サーバ群との間の通信における盗聴や改ざんは防止できるが、仮想サーバがクラウド上に保存するデータを秘匿することはできない。
・
暗号化により、データの秘匿性は保たれるが、クラウド事業者設備が利用不可になった場合に、データの可用性が失われる。
・
仮想サーバは物理的な耐タンパデバイス等を備えていないため、暗号化の際の鍵を仮想サーバ上には安全に保管することができない。
However, the prior art has the following problems.
・
The VPN technology can prevent eavesdropping and tampering in communication between the company data center and the virtual server group on the cloud, but cannot conceal the data stored on the cloud by the virtual server.
・
Encryption keeps the confidentiality of the data, but the availability of the data is lost when the cloud provider equipment becomes unavailable.
・
Since the virtual server does not include a physical tamper-resistant device or the like, the encryption key cannot be securely stored on the virtual server.
以下の方法で上記の課題を解決する。
クラウド事業者の仮想化プラットフォーム上に構築された仮想サーバと、自社のデータセンター内のファイルサーバと、それらのサーバ間を接続する通信回線とから構成される仮想サーバ利用システムにおいて、仮想サーバが利用するディスク領域の一部を自社データセンター内のファイルサーバに設定して秘匿する必要のあるデータ(以下、秘密データ)を格納して秘匿し、仮想サーバが自社のディスク領域にアクセスする場合に、通信回線上に設定されたVPN回線を介してアクセスすることにより、自社のファイルサーバとクラウド上で稼動する仮想サーバ間通信を盗聴、改ざんから保護する。
The above problem is solved by the following method.
Used by a virtual server in a virtual server utilization system consisting of a virtual server built on a cloud provider's virtualization platform, a file server in its own data center, and a communication line connecting those servers When a part of the disk area to be stored is set in the file server in the company's data center and the data that needs to be kept secret (hereinafter referred to as secret data) is stored and kept secret, and the virtual server accesses the company's disk area, By accessing via a VPN line set on the communication line, communication between the file server of the company and the virtual server operating on the cloud is protected from eavesdropping and tampering.
さらにクラウド事業者の仮想化プラットフォーム上に構築された仮想サーバが、通信回線で仮想サーバと接続された自社のファイルサーバ内のディスク領域にアクセスする際に、仮想サーバ内にあらかじめ設定したキャッシュメモリを使用して行うことによりアクセスを高速化する。 In addition, when a virtual server built on the cloud operator's virtualization platform accesses the disk area in its own file server connected to the virtual server via a communication line, the cache memory set in advance in the virtual server is used. Use it to speed up access.
また、仮想サーバ内にあらかじめ設定したキャッシュメモリをディスクメモリ上に設定することにより、秘密データの容量が大きい場合にも確実にアクセスの高速化を実現する。 Further, by setting the cache memory set in advance in the virtual server on the disk memory, it is possible to surely speed up the access even when the capacity of the secret data is large.
さらに、仮想サーバがVPN回線によりファイルサーバ内のディスク領域にキャッシュメモリを使用してアクセスする際に、キャッシュメモリへの書き込み時には書き込みデータを暗号化し、キャッシュメモリからの読み込み時には読み込みデータを復号化することによりキャッシュメモリ内に格納された秘密データを秘匿する。 Furthermore, when the virtual server accesses the disk area in the file server using the cache line using the VPN line, the write data is encrypted when writing to the cache memory, and the read data is decrypted when reading from the cache memory. As a result, the secret data stored in the cache memory is concealed.
また、キャッシュ領域への書き込み時に書き込みデータを暗号化するための暗号鍵、及びキャッシュ領域からの読み込み時に読み込みデータを復号化するための復号鍵を仮想サーバのディスク上ではなくメモリ上に保持し、仮想サーバの停止や再起動によりメモリがクリアされると暗号鍵、復号鍵も失われるようにする。これにより、仮想サーバの再起動時には、新しく暗号鍵、復号鍵を再作成する必要があるが、秘密データを秘匿することができる。 In addition, the encryption key for encrypting the write data when writing to the cache area and the decryption key for decrypting the read data when reading from the cache area are held not in the virtual server disk but in the memory, When the memory is cleared by stopping or restarting the virtual server, the encryption key and the decryption key are lost. As a result, when the virtual server is restarted, it is necessary to recreate a new encryption key and decryption key, but secret data can be kept secret.
本発明により、外部のクラウド事業者の設備上で稼動する仮想サーバが利用する秘密データを自社データセンター内に格納することで、仮想サーバからの秘密データの漏洩や喪失の危険を低減することができる。これにより、自社の秘密データ等のセキュリティーレベルをクラウド事業者のセキュリティーレベルに影響されることなく管理することができる。 According to the present invention, it is possible to reduce the risk of leakage or loss of secret data from the virtual server by storing the secret data used by the virtual server operating on the equipment of the external cloud operator in the company data center. it can. As a result, the security level of the company's secret data can be managed without being affected by the security level of the cloud operator.
さらに、自社データセンターから仮想サーバへの秘密データの転送にVPN回線を採用することで、安価なインターネット回線を使用しても自社設備内に保持したデータへの仮想サーバからのアクセスは盗聴や改ざんから保護される。その際、仮想サーバ上にキャッシュを設けることで、自社設備内のデータへのアクセスの高速化を実現できる。 Furthermore, by adopting a VPN line for transferring secret data from the company's own data center to the virtual server, access from the virtual server to the data held in the company's facilities can be wiretapped or altered even if an inexpensive internet line is used. Protected from. At that time, by providing a cache on the virtual server, it is possible to speed up access to the data in the company's equipment.
また、キャッシュメモリを仮想サーバのディスク領域に設定することにより、秘密データの容量が大きい場合にも、キャッシュによるアクセス高速化の効果を維持することができる。さらに、仮想サーバのディスク領域上にキャッシュメモリを確保する場合には、ディスク領域を暗号化し、暗号鍵をメインメモリ等の揮発性メモリに格納することにより、キャッシュメモリに一時保存されたデータが第三者に解読される危険を低減することができる。 Also, by setting the cache memory in the disk area of the virtual server, it is possible to maintain the effect of speeding up access by the cache even when the capacity of the secret data is large. Furthermore, when the cache memory is secured on the disk area of the virtual server, the data temporarily stored in the cache memory is stored by encrypting the disk area and storing the encryption key in a volatile memory such as the main memory. The risk of being deciphered by the three parties can be reduced.
図1に本発明による仮想サーバ利用時のデータを盗聴、改ざんから保護し、さらに秘匿するシステムの構成及び動作を示す。 FIG. 1 shows the configuration and operation of a system for protecting data from eavesdropping and tampering and further concealing data when using a virtual server according to the present invention.
本発明によるシステムは、ファイルサーバ(2)、VPNサーバ(5)とそれらを接続するLAN(Local Area Network)(4)から構成される自社設備(1)と、仮想化プラットフォーム(16)とその上に構築された複数の仮想サーバ(7、17)を有するクラウド事業者設備(6)と、それらを接続するインターネット(26)から構成される。 The system according to the present invention includes a file server (2), a VPN server (5), a LAN (Local Area Network) (4) connecting them, an in-house facility (1), a virtualization platform (16), and its It is composed of a cloud provider facility (6) having a plurality of virtual servers (7, 17) constructed above and the Internet (26) connecting them.
クラウド事業者設備の仮想サーバ(7)は、CPU(中央演算処理ユニット)(12)、HDD(ハードディスクドライバ)(13)、メモリ(14)、NIC(回線インターフェースカード)(15)からなる仮想化されたハードウエア群と、これらハードウエア群とOS(10)とのインターフェースであるデバイスドライバ(11)と、OS上にインストールされたアプリケーションプログラム(8)とVPNプログラム(9)とから構成される。 The virtual server (7) of the cloud provider facility is a virtualization system comprising a CPU (Central Processing Unit) (12), HDD (Hard Disk Driver) (13), Memory (14), and NIC (Line Interface Card) (15). And a device driver (11) that is an interface between the hardware group and the OS (10), an application program (8) installed on the OS, and a VPN program (9). .
自社設備のファイルサーバには仮想サーバ用ディスク領域(3)が設定される。また、自社設備のVPNサーバは、社外からインターネットを介して自社設備にアクセスするVPNクライアントプログラム(以下、VPNプログラム(9))との間でセキュアなVPN回線を提供する。 A virtual server disk area (3) is set in the file server of the company's equipment. The VPN server of the company's equipment provides a secure VPN line with a VPN client program (hereinafter referred to as VPN program (9)) that accesses the company's equipment from outside the company via the Internet.
VPNサーバ(プログラム)は送信すべきデータのIPパケットの内容をVPN用のプロトコルでカプセル化してインターネット経由でVPNプログラム(サーバ)まで届け、VPNプログラム(サーバ)で元のIPパケットのデータを取り出す動作を行う。すなわち、VPNサーバ(プログラム)は、仮想的な通信トンネルをインターネット上に構築し、送信すべきデータのIPパケットを、トンネルを通じてVPNプログラム(サーバ)へ届け、逆方向もまた同じようにトンネルを通ってIPパケットの受信が行われる。このため、インターネットを使用してセキュアな通信を行うことができる。 The VPN server (program) encapsulates the contents of the IP packet of the data to be transmitted with the VPN protocol, delivers it to the VPN program (server) via the Internet, and retrieves the original IP packet data with the VPN program (server) I do. In other words, the VPN server (program) constructs a virtual communication tunnel on the Internet, delivers the IP packet of data to be transmitted to the VPN program (server) through the tunnel, and the reverse direction also passes through the tunnel in the same way. The IP packet is received. Therefore, secure communication can be performed using the Internet.
VPN用のプロトコルには、レイヤ2トンネリングプロトコルとして、
PPTP(Point to Point Tunneling Protocol)、L2F(Layer 2 Forwarding)、L2TP(Layer 2 Tunneling Protocol)があり、レイヤ3トンネリングプロトコルとして、IPSec(Internet Protocol Security)が知られているが、周知技術であるので、説明は省略する。
The VPN protocol includes a
There are PPTP (Point to Point Tunneling Protocol), L2F (
本発明は、クラウド事業者設備の仮想化プラットフォーム上の仮想サーバにインストールされたアプリケーションプログラムが秘密データを扱う際に、仮想サーバのセキュリティーレベルに関わらず、自社の機密情報管理のセキュリティーレベルを低下させない仮想サーバ利用システム及び方法を提供するものである。 The present invention does not lower the security level of the company's confidential information management regardless of the security level of the virtual server when the application program installed on the virtual server on the virtualization platform of the cloud provider facility handles the secret data. A virtual server utilization system and method are provided.
上記目的を達成するために、クラウド事業者の仮想化プラットフォーム上に仮想サーバを作成する際、仮想サーバを自社設備内のVPNサーバに接続させた上で、秘密データの格納領域を自社設備内のファイルサーバ上に設け、この領域を、仮想サーバがデータを読み書きする際のアクセス先として設定する。これにより、秘密データを予めクラウド事業者の設備上に複製して保持しておく必要がなくなる。 To achieve the above purpose, when creating a virtual server on the cloud operator's virtualization platform, connect the virtual server to the VPN server in the company's equipment, and then set the storage area of the secret data in the company's equipment. This area is provided on the file server, and this area is set as an access destination when the virtual server reads and writes data. This eliminates the need to copy and hold the secret data on the cloud provider's equipment in advance.
秘密データへのアクセスが仮想サーバから行われたときのみ、VPN回線を経由して自社設備内のファイルサーバから当該データが読み込まれ、仮想サーバのメモリ上にコピーされる。秘密データの書き込み先も自社設備内のファイルサーバとする。さらに、秘密データに関連して仮想サーバが作成や変更を行ったデータについてもクラウド事業者設備内のディスクではなく、自社設備内のファイルサーバに保存することもできる。 Only when the secret data is accessed from the virtual server, the data is read from the file server in the company's equipment via the VPN line, and copied to the memory of the virtual server. The secret data is written to a file server in the company's equipment. Furthermore, the data created or changed by the virtual server in relation to the secret data can also be stored in the file server in the company's equipment, not in the disk in the cloud provider equipment.
アプリケーションプログラムが扱うデータの読み込み、書き込み先を仮想サーバ内のディスクとするのか、自社設備内のディスクとするのかは、アプリケーションプログラムの作成時、初期化時、あるいは立ち上げ時にあらかじめ設定し、自社設備内のディスクへのアクセスを限定する必要がある。仮想サーバが自社設備内のディスクにアクセスする場合、インターネット回線を介して行われるため、アクセスに要する時間がかかりアプリケーションプログラムの動作が遅くなるからである。 Whether to read or write data handled by the application program to a disk in the virtual server or in-house equipment is set in advance when creating, initializing, or starting up the application program. It is necessary to limit access to the internal disk. This is because when a virtual server accesses a disk in its own equipment, it is performed via the Internet line, so it takes time to access and the operation of the application program is slowed down.
前記構成及び動作により、秘密データがクラウド事業者のディスク上に保存されることはなく、仮想サーバの停止や再起動等によりメモリがクリアされると、クラウド事業者の設備からは一切のデータが消去されることになる。また、クラウド事業者の設備障害等により、事業者の仮想化プラットフォームが突発的に利用不能になった場合でも、秘密データは自社設備内に残っているため、データの可用性が失われることもない。 With the above configuration and operation, secret data is not stored on the cloud operator's disk, and when the memory is cleared by stopping or restarting the virtual server, no data is received from the cloud operator's equipment. It will be erased. In addition, even if the provider's virtualization platform suddenly becomes unavailable due to a cloud provider's equipment failure, etc., the data availability will not be lost because the secret data remains in the company's equipment. .
図2に、仮想サーバが自社設備のファイルサーバにアクセスする際にメモリ領域内のキャッシュメモリを使用する場合の本発明による仮想サーバ利用時のデータを盗聴、改ざんから保護し、さらに秘匿するシステムの構成及び動作を示す。 FIG. 2 shows a system for protecting data from eavesdropping and tampering and further concealing data when using the virtual server according to the present invention when the virtual server uses the cache memory in the memory area when accessing the file server of its own equipment. A structure and operation | movement are shown.
図2は、図1においてクラウド事業者の仮想サーバ(7)のメモリ(4)領域の一部をキャッシュメモリに設定し、キャッシュ動作を行うキャッシュプログラム(28)を仮想サーバのOS上にインストールしたものである。 2 shows that a part of the memory (4) area of the virtual server (7) of the cloud operator in FIG. 1 is set in the cache memory, and the cache program (28) for performing the cache operation is installed on the OS of the virtual server. Is.
図1の構成では、仮想サーバが自社設備内のディスクにアクセスする場合、インターネット回線を介して行われるため、クラウド事業者の設備上にデータのコピーを保持した場合に比べて、データへのアクセスに際しての遅延が大きくなる。このため、仮想サーバが一度読み込んだデータを仮想サーバのメモリ上に設けたキャッシュメモリに一時保存し、同一のデータを再び読み込む際は、キャッシュ内のデータを読み込ませることでアクセスの高速化を実現する。 In the configuration of FIG. 1, when a virtual server accesses a disk in its own equipment, it is performed via the Internet line, so access to the data is compared to when a copy of the data is held on the cloud operator's equipment. The delay at the time becomes large. For this reason, the data read once by the virtual server is temporarily stored in the cache memory provided on the virtual server memory, and when the same data is read again, the data in the cache is read to increase the access speed. To do.
一般的には、キャッシュメモリとは、メインメモリ領域あるいは、キャッシュ専用メモリに割り当てられたメモリで、キャッシュとはCPUがメモリ媒体にアクセスする際に、アクセスしたデータの全部又は一部をキャッシュメモリに書き込んでおき、次回にCPUがメモリ媒体の同一の場所にアクセスする場合には、キャッシュメモリから読み込みあるいはキャッシュメモリへの書き込みを行うことにより、メモリ媒体へのアクセス時間を短縮する技術である。本発明においては、メモリ媒体は自社のファイルサーバのディスクメモリである。 In general, a cache memory is a memory allocated to a main memory area or a dedicated cache memory. When a CPU accesses a memory medium, all or part of accessed data is stored in the cache memory. This is a technique for shortening the access time to the memory medium by reading from the cache memory or writing to the cache memory when the CPU accesses the same location of the memory medium next time. In the present invention, the memory medium is a disk memory of its own file server.
ここで、キャッシュプログラムの動作について説明する。図6にCPUが自社のファイルサーバのディスクメモリ(以下、実媒体)からデータを読み込む場合のキャッシュプログラムの動作フローを、図7にCPUが実媒体にデータを書き込む場合のキャッシュプログラムの動作フローを示す。 Here, the operation of the cache program will be described. FIG. 6 shows the operation flow of the cache program when the CPU reads data from the disk memory (hereinafter, real medium) of its file server, and FIG. 7 shows the operation flow of the cache program when the CPU writes data to the real medium. Show.
図6において、S001はアクセスリストに読み込みアドレスが有るか否かを判断するステップであり、有る場合はS002のステップを実行し、無い場合は、S003のステップを実行する。アクセスリストとは、CPUがアクセスした実媒体のアドレス(以下、アドレス)を記載したリストであって、当該リストに記載されたアドレスの内容がキャッシュメモリに格納されている。 In FIG. 6, S001 is a step for determining whether or not the access list has a read address. If there is, the step of S002 is executed, and if not, the step of S003 is executed. The access list is a list describing addresses (hereinafter referred to as addresses) of real media accessed by the CPU, and the contents of the addresses described in the list are stored in the cache memory.
読み込みアドレスがアクセスリストに格納されている場合(S001のYesの判断)は、実媒体上の該アドレスにあるデータがキャッシュされているデータより新しい場合(S002のYesの判断)には、実媒体からデータを読み込み(S004)、キャッシュメモリが空いているか否かの判断(S005)を行う。実媒体上の該アドレスにあるデータがキャッシュされているデータより新しくない場合(S002のNoの判断)には、キャッシュメモリからアドレスに対応したデータを読み込む(S003)。これにより読み込み動作が高速化される。 If the read address is stored in the access list (Yes in S001), if the data at the address on the real medium is newer than the cached data (Yes in S002), the real medium Data is read (S004), and it is determined whether or not the cache memory is free (S005). If the data at the address on the real medium is not newer than the cached data (No in S002), the data corresponding to the address is read from the cache memory (S003). This speeds up the reading operation.
読み込みアドレスがアクセスリストに格納されていない場合(S001のNoの判断)は、実媒体からデータを読み込む(S004)。その後、キャッシュメモリに空きが無い場合(S005のNoの判断)は、キャッシュメモリから削除すべきデータに対応するアドレスを決定して(S006)上書きされるアドレスをアクセスリストから削除し(S007)、削除した部分に読み込んだデータを書込み(S008)、アクセスリストにアドレスを書き込む(S009)。キャッシュメモリに空きがある場合(S005のYesの判断)はキャッシュメモリに読み込んだデータを書込み(S008)、アクセスリストにアドレスを書き込む(S009)。 If the read address is not stored in the access list (No in S001), data is read from the real medium (S004). Thereafter, if there is no free space in the cache memory (No in S005), an address corresponding to the data to be deleted from the cache memory is determined (S006), and the overwritten address is deleted from the access list (S007). The read data is written in the deleted part (S008), and the address is written in the access list (S009). If the cache memory is free (Yes in S005), the read data is written to the cache memory (S008), and the address is written to the access list (S009).
図7において、S011はアクセスリストに書き込みアドレスが有るか否かを判断するステップであり、有る場合はS012のステップを実行し、無い場合は、S013のステップを実行する。 In FIG. 7, S011 is a step of determining whether or not the access list has a write address. If there is, the step of S012 is executed, and if not, the step of S013 is executed.
読み込みアドレスがアクセスリストに格納されている場合(S011のYesの判断)は、キャッシュメモリにアドレスに対応したデータを書き込み(S012)、これにより書き込み動作が高速化される。書き込みアドレスがアクセスリストに格納されていない場合(S011のNoの判断)は、キャッシュメモリに空きが無い場合(S013のNoの判断)は、キャッシュメモリから削除すべきデータに対応するアドレスを決定(S014)して上書きされるアドレスをアクセスリストから削除し(S015)、削除した部分に書き込みデータを書込み(S016)、アクセスリストにアドレスを書き込む(S017)。キャッシュメモリに空きがある場合(S013のYesの判断)はキャッシュメモリに書き込みデータを書込み(S016)、アクセスリストにアドレスを書き込む(S017)。 When the read address is stored in the access list (Yes in S011), data corresponding to the address is written in the cache memory (S012), thereby speeding up the write operation. If the write address is not stored in the access list (No in S011), if there is no free space in the cache memory (No in S013), the address corresponding to the data to be deleted from the cache memory is determined ( The address to be overwritten is deleted from the access list (S014) (S015), write data is written to the deleted part (S016), and the address is written to the access list (S017). When the cache memory is free (Yes in S013), write data is written to the cache memory (S016), and an address is written to the access list (S017).
S012、S017ステップの実行後、書き込みデータを実媒体に書き込む(S018)。実媒体にデータを書き込む処理は、CPUが書き込み処理を行う都度行う場合と、当該書き込みデータが上書きされる等の条件が揃った場合に行う場合とがあるが、周知技術であるので説明は省略する。 After executing the steps S012 and S017, the write data is written to the real medium (S018). The process of writing data to the real medium may be performed each time the CPU performs the write process or may be performed when conditions such as overwriting the write data are complete, but the description is omitted because it is a well-known technique. To do.
上記の例では、実媒体を自社のサーバと仮想サーバで共有しているため、実媒体への書き込み時には両サーバ間で競合を生じる。競合制御技術は周知技術であるので説明は省略するが、排他的アクセス制御を採用した場合には、図6のS002ステップを省略することができる。また、キャッシュ動作は全てアドレス単位で行うものとしているが、データの所在場所が特定できる全ての方法(例えば、ファイル名等)に置き換えることができる。 In the above example, since the real medium is shared between the server and the virtual server, there is a conflict between the two servers when writing to the real medium. Since the contention control technique is a well-known technique, a description thereof will be omitted, but when exclusive access control is employed, step S002 in FIG. 6 can be omitted. The cache operation is all performed in units of addresses, but can be replaced with all methods (for example, file names, etc.) that can specify the location of data.
図2においてアプリケーションプログラム(8)が自社の秘密データに最初にアクセスする場合、自社設備のファイルサーバにあるディスク領域(3)にアクセスする。その際、アクセスは図1と同様にVPN回線(27)を通じて行われ、VPN回線を通じて得たデータはOS及びキャッシュプログラムを介してアプリケーションプログラムに伝送される。さらに、前記データはキャッシュプログラム(28)によりメモリ(14)上のキャッシュメモリに格納される。 In FIG. 2, when the application program (8) first accesses the private data of the company, it accesses the disk area (3) in the file server of the company's equipment. At that time, access is performed through the VPN line (27) as in FIG. 1, and data obtained through the VPN line is transmitted to the application program via the OS and the cache program. Further, the data is stored in the cache memory on the memory (14) by the cache program (28).
アプリケーションプログラム(8)が自社の秘密データに2回目以降にアクセスする場合、アクセスはキャッシュメモリに対して行われ、キャッシュメモリから読み込まれたデータは、キャッシュプログラムからアプリケーションプログラムに引き渡される。 When the application program (8) accesses the company's private data for the second time or later, the access is made to the cache memory, and the data read from the cache memory is delivered from the cache program to the application program.
図2の様な構成とすることにより、仮想サーバが自社設備内のディスクにアクセスする場合、最初のアクセスには時間がかかるが、その後のアクセスは仮想サーバのメモリへのアクセスとなるため、アクセス時間を短縮することができる。一方、アクセスしたデータの容量と、アクセスした異なるアドレスの数の積がキャッシュメモリの容量を超えた場合には、新たにアクセスしたアドレスのデータは、キャッシュメモリに以前に書き込まれたデータに上書きされる。そのため、仮想サーバと自社設備内のディスク間でやり取りされるデータ量及びアクセス数が少ない場合には、高速アクセスを実現することができる。 With the configuration shown in FIG. 2, when a virtual server accesses a disk in its own equipment, the first access takes time, but the subsequent access is access to the memory of the virtual server. Time can be shortened. On the other hand, if the product of the capacity of the accessed data and the number of different addresses accessed exceeds the capacity of the cache memory, the data at the newly accessed address is overwritten with the data previously written in the cache memory. The Therefore, when the amount of data exchanged between the virtual server and the disk in the company's equipment and the number of accesses are small, high-speed access can be realized.
しかし、アクセス時間が短縮されるのは、2回目以降のアクセスがそれ以前にアクセスしたアドレス及びデータと同一である場合に限定されるため、自社設備内のディスクに対して大量のデータに頻繁にアクセスが発生する場合には、キャッシュメモリへの上書きが頻繁に発生することになり、キャッシュによるアクセス高速化効果は低減される。このような状況では、図2のようにメインメモリ上にキャッシュメモリを割り当てている場合にはキャッシュメモリ容量を大きくとることができず、キャッシュによるアクセス時間低減効果は限定される。 However, since the access time is shortened only when the second and subsequent accesses are the same as the addresses and data accessed before, frequent access to a large amount of data on the disk in the company's equipment When the access occurs, the cache memory is frequently overwritten, and the access speed-up effect by the cache is reduced. In such a situation, when the cache memory is allocated on the main memory as shown in FIG. 2, the cache memory capacity cannot be increased, and the access time reduction effect by the cache is limited.
図3に、仮想サーバが自社設備のファイルサーバにアクセスする際にディスク領域内のキャッシュメモリを使用する場合の本発明による仮想サーバ利用時の秘密データを盗聴、改ざんから保護し、さらに秘匿するシステムの構成及び動作を示す。 FIG. 3 shows a system for protecting confidential data from eavesdropping and tampering when the virtual server uses the cache memory in the disk area when the virtual server accesses the file server of its own equipment from wiretapping and tampering, and further concealing it. The configuration and operation of the
図3は、図1又は図2においてクラウド事業者の仮想サーバのディスク領域の一部をキャッシュメモリに設定し、キャッシュ動作を行うキャッシュプログラム(28)を仮想サーバのOS上にインストールしたものである。 FIG. 3 shows a configuration in which a part of the disk area of the cloud provider's virtual server in FIG. 1 or FIG. 2 is set in the cache memory, and a cache program (28) for performing a cache operation is installed on the OS of the virtual server. .
動作は図2と同様であるが、キャッシュメモリを仮想サーバのディスク領域に設定しているため、キャッシュメモリに割り当てるメモリ容量を大きくとることができる。そのため、自社設備内のディスクに対して大量のデータに頻繁にアクセスが発生する場合でも、キャッシュによるアクセス時間低減効果を得ることができる。 The operation is the same as in FIG. 2, but since the cache memory is set in the disk area of the virtual server, the memory capacity allocated to the cache memory can be increased. Therefore, even when a large amount of data is frequently accessed with respect to the disk in the company's equipment, the access time reduction effect by the cache can be obtained.
図4は、図3でディスク上に設定されたキャッシュメモリへの書き込みデータを暗号化し、読み込み時に復号化する場合の構成及び動作を示したものである。暗号化、復号化機能は仮想サーバの備えるファイルシステム暗号化、復号化機能を利用し、OS又はアプリケーションプログラムの立ち上げ時又は初期化時に生成した暗号鍵、復号鍵による暗号化と復号化を行うよう設定する。 FIG. 4 shows the configuration and operation when the write data to the cache memory set on the disk in FIG. 3 is encrypted and decrypted at the time of reading. The encryption / decryption function uses the file system encryption / decryption function of the virtual server to perform encryption / decryption using the encryption key / decryption key generated at startup or initialization of the OS or application program. Set as follows.
アプリケーションプログラム(8)が自社の秘密データに最初にアクセスする場合、自社設備のファイルサーバにあるディスク領域(3)にアクセスする。その際、アクセスは図1〜図3と同様にVPN回線(27)を通じて行われ、VPN回線を通じて得たデータはOS及びキャッシュプログラムを介してアプリケーションプログラムに伝送される。さらに、前記データは仮想サーバの暗号化機能(29)により暗号鍵を用いて暗号化され、ディスク(13)領域のキャッシュメモリに格納される。 When the application program (8) first accesses the company's private data, it accesses the disk area (3) in the file server of the company's equipment. At that time, access is performed through the VPN line (27) as in FIGS. 1 to 3, and data obtained through the VPN line is transmitted to the application program via the OS and the cache program. Further, the data is encrypted using the encryption key by the encryption function (29) of the virtual server and stored in the cache memory in the disk (13) area.
アプリケーションプログラム(8)が自社の秘密データに2回目にアクセスする場合、アクセスはキャッシュメモリから行われるが、キャッシュメモリから読み込まれたデータは、仮想サーバの復号化機能(29)により復号鍵を用いて復号化され、キャッシュプログラムからアプリケーションプログラムに引き渡される。 When the application program (8) accesses the private data of the company for the second time, the access is performed from the cache memory, but the data read from the cache memory uses the decryption key by the decryption function (29) of the virtual server. Are decrypted and delivered from the cache program to the application program.
このような構成とすることにより、仮想サーバのディスク領域にあるキャッシュメモリの内容が悪意ある第三者に読みとられたとしても、暗号鍵、復号鍵が盗まれない限り秘密データが漏洩することはない。 With such a configuration, even if the contents of the cache memory in the disk area of the virtual server are read by a malicious third party, secret data will be leaked unless the encryption key and decryption key are stolen. There is no.
図5は、図4でディスク領域上の設定されたキャッシュメモリへの書き込みデータの暗号化のための暗号鍵、読み込み時に復号化するための復号鍵をメモリ(14)に格納した場合の構成、動作を示している。本構成図による動作は図4の場合と同様なので説明は省略する。 FIG. 5 shows a configuration in which an encryption key for encrypting write data to the cache memory set in the disk area in FIG. 4 and a decryption key for decrypting at the time of reading are stored in the memory (14). The operation is shown. The operation according to this configuration diagram is the same as that in FIG.
メモリ(14)上に保持される暗号鍵、復号鍵は仮想サーバの再起動等によりメモリがクリアされ、暗号鍵、復号鍵が失われた場合は、新しい暗号鍵、復号鍵を生成し、メモリに再度保存する。そのため、ディスク等に永続的に保存しておく必要はなく、暗号鍵、復号鍵の漏洩リスクを低減することができる。 When the encryption key and the decryption key held on the memory (14) are cleared by restarting the virtual server, etc., and the encryption key and the decryption key are lost, a new encryption key and a decryption key are generated. Save it again. For this reason, there is no need to permanently store it on a disk or the like, and the risk of leakage of the encryption key and decryption key can be reduced.
なお、図1〜図5においては、VPNプログラム、キャッシュプログラムはOS上のユーザプログラムとして、図4,図5においては暗号化・復号化機能はデバイスドライバとして提供されているが、これらの機能は仮想サーバ上であれば、仮想化されたハードウエア、ファームウエア、デバイスドライバ、OS、アプリケーションプログラム等のいずれによっても提供することが可能である。 1 to 5, the VPN program and the cache program are provided as user programs on the OS. In FIGS. 4 and 5, the encryption / decryption functions are provided as device drivers. If it is on a virtual server, it can be provided by any of virtualized hardware, firmware, device driver, OS, application program, and the like.
次に、図1〜図5で示したシステムの実現方法の一例を説明する。
1. クラウド事業者の提供するサービスのインタフェース(API等)を利用して、仮想化プラットフォーム上に仮想サーバを作成する。この際に、キャッシュ用の領域を、OSやアプリケーションプログラムを格納する領域とは別に確保する。
Next, an example of a method for realizing the system shown in FIGS. 1 to 5 will be described.
1. A virtual server is created on a virtualization platform using an interface (API or the like) of a service provided by a cloud provider. At this time, a cache area is secured separately from the area for storing the OS and application programs.
2. 自社設備内のファイルサーバに、仮想サーバ用のディスク領域を設け、VPNサーバに接続された仮想サーバからの、NFS(Network File System)等の遠隔ファイルアクセス用のプロトコルによるアクセスを許可するよう設定する。 2. Set up a disk area for the virtual server in the file server in the company's equipment and allow access from the virtual server connected to the VPN server using a remote file access protocol such as NFS (Network File System). .
3. クラウド事業者の仮想化プラットフォーム上で起動した仮想サーバに対してSSH(Secure Shell)等の遠隔操作プログラムを利用してコマンドを発行し、以下の設定を行う。 3. A command is issued using a remote operation program such as SSH (Secure Shell) to the virtual server activated on the cloud provider's virtualization platform, and the following settings are made.
3.1 VPNプログラムとその設定ファイル、および、認証情報を仮想サーバにインストールし、起動した仮想サーバが、自社設備内のVPNサーバに接続できるように設定する。VPNプログラムの設定ファイルと認証情報とは、例えば、VPNサーバのIPアドレスやVPNで利用する認証方式、クライアント証明書と秘密鍵、パスワードなどである。 3.1 Install the VPN program, its configuration file, and authentication information in the virtual server, and set up the activated virtual server so that it can connect to the VPN server in its own facilities. The VPN program setting file and authentication information are, for example, the IP address of the VPN server, the authentication method used in the VPN, the client certificate, the private key, and the password.
3.2 2.でアクセスが許可されたファイルサーバ上のディスク領域を、NFS等を用いて仮想サーバからアクセスするための設定を行う。 3.2 2. Is set to access the disk area on the file server permitted to be accessed from the virtual server using NFS or the like.
4. 自社設備内のファイルサーバ上のディスク領域へのアクセスを高速化する必要がある場合には、仮想サーバに対してSSH(Secure Shell)等の遠隔操作プログラムを利用してコマンドを発行し、以下の設定を行う。 4). If you need to speed up access to the disk area on the file server in your company's equipment, issue a command to the virtual server using a remote operation program such as SSH (Secure Shell). Set up.
4.1 乱数等により暗号鍵、復号鍵を生成し、1.で確保したキャッシュ用の領域に対して行われるアクセスに際して、仮想サーバの備えるファイルシステム暗号化の機能を利用し、生成した暗号鍵、復号鍵による暗号化と復号化を行うよう設定する。この際、暗号鍵、復号鍵はディスク領域には保存せずメモリ領域に保存する。 4.1 Generate an encryption key and a decryption key using random numbers, etc. At the time of access to the cache area secured in step 1, the file system encryption function of the virtual server is used to perform encryption and decryption using the generated encryption key and decryption key. At this time, the encryption key and the decryption key are not stored in the disk area but are stored in the memory area.
4.2 前記キャッシュ用の領域がディスク領域に有る場合は、当該ディスク領域をフォーマットし、アプリケーションプログラムから利用可能な状態にする。 4.2 When the cache area is in the disk area, the disk area is formatted and made available to the application program.
4.3 キャッシュプログラムを仮想サーバにインストールし、キャッシュプログラムが一時ファイルを格納する格納先として、4.1〜4.2で設定した領域を指定する。 4.3 Install the cache program on the virtual server, and specify the area set in 4.1 to 4.2 as the storage location where the cache program stores temporary files.
5.仮想サーバの再起動等が起こった場合は、仮想サーバのOSがメモリ上に保持していた暗号鍵、復号鍵も失われ、キャッシュ領域に格納されたデータは復号できなくなるため、再度、上記4.の手順により前記キャッシュ領域の設定とキャッシュプログラムの設定を実施する。 5). When the virtual server is restarted, the encryption key and the decryption key held in the memory by the OS of the virtual server are lost, and the data stored in the cache area cannot be decrypted. . The cache area and the cache program are set according to the above procedure.
1 自社設備
2 ファイルサーバ
3 仮想サーバ用ディスク領域
4 自社設備内LAN
5 VPNサーバ
6 クラウド事業者設備
7、17 仮想サーバ
8、18、19 アプリケーションプログラム
9 VPNプログラム
10、20 OS(オペレーティングシステム)
11、21 デバイスドライバ
12、22 仮想CPU(中央演算処理装置)
13、23 仮想HDD(ハードディスク装置)
14、24 仮想メモリ
15、25 仮想NIC(ネットワークインターフェースカード)
26 インターネット
27 VPN回線
28 キャッシュプログラム
1 In-
5 VPN server 6
11, 21
13, 23 Virtual HDD (Hard Disk Device)
14, 24
26
Claims (12)
前記仮想サーバが使用するディスク領域の一部を前記ファイルサーバ内に確保し、前記仮想サーバが、前記確保したファイルサーバ内のディスク領域にアクセスする場合は、前記通信回線上に設定したVPN回線を介して行うことを特徴とする仮想サーバ利用システム。 In a virtual server utilization system comprising a virtual server and a file server connected to the virtual server via a communication line,
When a part of the disk area used by the virtual server is secured in the file server, and the virtual server accesses the disk area in the secured file server, a VPN line set on the communication line is used. Virtual server utilization system characterized by being performed via
前記仮想サーバが使用するディスク領域の一部を前記ファイルサーバ内に確保し、前記仮想サーバが、前記確保したファイルサーバ内のディスク領域にアクセスする場合は、前記通信回線上に設定したVPN回線を介して行うことを特徴とする仮想サーバ利用方法。 In a virtual server utilization system comprising a virtual server and a file server connected to the virtual server via a communication line,
When a part of the disk area used by the virtual server is secured in the file server, and the virtual server accesses the disk area in the secured file server, a VPN line set on the communication line is used. The virtual server utilization method characterized by performing via this.
The virtual server utilization method according to claim 7, claim 8, claim 9, claim 10, or claim 11, wherein the virtual server is constructed on a cloud.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011130732A JP2013003612A (en) | 2011-06-10 | 2011-06-10 | System and method for concealing data when utilizing virtual server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011130732A JP2013003612A (en) | 2011-06-10 | 2011-06-10 | System and method for concealing data when utilizing virtual server |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013003612A true JP2013003612A (en) | 2013-01-07 |
Family
ID=47672171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011130732A Pending JP2013003612A (en) | 2011-06-10 | 2011-06-10 | System and method for concealing data when utilizing virtual server |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013003612A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015114843A (en) * | 2013-12-11 | 2015-06-22 | 日本電信電話株式会社 | Service providing system and method and program |
| KR20230053989A (en) * | 2021-10-15 | 2023-04-24 | 네이버클라우드 주식회사 | Method for decrypting virtual server in cloud server and cloud server using the same |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11122262A (en) * | 1997-10-17 | 1999-04-30 | Toshiba Corp | Distribution network computing system, information exchange, information exchange method and storage medium |
| JPH11212874A (en) * | 1998-01-30 | 1999-08-06 | Toshiba Corp | System and method for communication data secrecy control |
| JP2008541251A (en) * | 2005-05-12 | 2008-11-20 | ギーゼッケ ウント デフリエント ゲーエムベーハー | Safe processing of data |
| JP2009126033A (en) * | 2007-11-22 | 2009-06-11 | Seiko Epson Corp | Printer and combined machine equipped with printer function |
| US20090300719A1 (en) * | 2008-05-29 | 2009-12-03 | James Michael Ferris | Systems and methods for management of secure data in cloud-based network |
| JP2011076504A (en) * | 2009-09-30 | 2011-04-14 | Brother Industries Ltd | Virtual machine, program for ther same, system and method for providing application service |
-
2011
- 2011-06-10 JP JP2011130732A patent/JP2013003612A/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11122262A (en) * | 1997-10-17 | 1999-04-30 | Toshiba Corp | Distribution network computing system, information exchange, information exchange method and storage medium |
| JPH11212874A (en) * | 1998-01-30 | 1999-08-06 | Toshiba Corp | System and method for communication data secrecy control |
| JP2008541251A (en) * | 2005-05-12 | 2008-11-20 | ギーゼッケ ウント デフリエント ゲーエムベーハー | Safe processing of data |
| JP2009126033A (en) * | 2007-11-22 | 2009-06-11 | Seiko Epson Corp | Printer and combined machine equipped with printer function |
| US20090300719A1 (en) * | 2008-05-29 | 2009-12-03 | James Michael Ferris | Systems and methods for management of secure data in cloud-based network |
| JP2011076504A (en) * | 2009-09-30 | 2011-04-14 | Brother Industries Ltd | Virtual machine, program for ther same, system and method for providing application service |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015114843A (en) * | 2013-12-11 | 2015-06-22 | 日本電信電話株式会社 | Service providing system and method and program |
| KR20230053989A (en) * | 2021-10-15 | 2023-04-24 | 네이버클라우드 주식회사 | Method for decrypting virtual server in cloud server and cloud server using the same |
| KR102580570B1 (en) | 2021-10-15 | 2023-09-21 | 네이버클라우드 주식회사 | Method for decrypting virtual server in cloud server and cloud server using the same |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11200327B1 (en) | Protecting virtual machine data in cloud environments | |
| AU2013226326B2 (en) | Log structured volume encryption for virtual machines | |
| US10235304B2 (en) | Multi-crypto-color-group VM/enclave memory integrity method and apparatus | |
| CN103563278B (en) | Securing encrypted virtual hard disks | |
| US9032219B2 (en) | Securing speech recognition data | |
| JP6414863B2 (en) | Encryption and decryption method and apparatus and system in virtualization system | |
| US9135464B2 (en) | Secure storage system for distributed data | |
| US9596076B1 (en) | Encrypted data exchange between computer systems | |
| Du et al. | Secure encrypted virtualization is unsecure | |
| JP6955619B2 (en) | Computer system software / firmware and processing equipment with security modules | |
| US20130125125A1 (en) | Computer system and offloading method in computer system | |
| CN104268484B (en) | Data leakage prevention method under a kind of cloud environment based on virtual isolation mech isolation test | |
| US20140143533A1 (en) | Securing speech recognition data | |
| US9373003B2 (en) | Systems and methods for automatically handling multiple levels of encryption and decryption | |
| JP2016523421A (en) | Method, data processing program, computer program product, and data processing system for handling guest events in a system controlled by a hypervisor | |
| CN103825953A (en) | User mode encrypt file system | |
| JP7388803B2 (en) | Tying the secure guest's secure key to the hardware security module | |
| CN102611693A (en) | System and method for netbackup data decryption in a high latency low bandwidth environment | |
| US11755753B2 (en) | Mechanism to enable secure memory sharing between enclaves and I/O adapters | |
| US10045212B2 (en) | Method and apparatus for providing provably secure user input/output | |
| US20200004695A1 (en) | Locally-stored remote block data integrity | |
| JP2023511834A (en) | Binding the security module's secure object to the secure guest | |
| JP2013003612A (en) | System and method for concealing data when utilizing virtual server | |
| CN103532712A (en) | Digital media file protection method, system and client | |
| US20210406054A1 (en) | Safe entropy source for encrypted virtual machines |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140214 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140926 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20150324 |