本发明专利技术提供了一种基于KMIP和加密卡的虚拟化数据安全方法,其包括两个流程:一,加密流程,包括以下步骤:步骤一,用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例;步骤二,用户管理员选择需要进行保护的虚拟机实例进行保护;步骤三,镜像管理系统向VDP发送相关指令,VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求,入参为虚拟机的uuid,成功后在数据库中将该uuid对应的加密标志设置成TRUE;步骤四,VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作,入参为虚拟机uuid。本发明专利技术通过改写qemu磁盘镜像接口并通过加密卡硬件对虚拟机镜像进行加解密从而保证虚拟化安全的镜像数据安全。
【技术实现步骤摘要】
基于KMIP和加密卡的虚拟化数据安全方法
本专利技术涉及一种虚拟化数据安全方法,具体地,涉及一种基于KMIP和加密卡的虚拟化数据安全方法。
技术介绍
自主可控是国家安全的战略要求,随着国家安全战略的逐步实施和落地,在各个数据中心的建设中基于开源的openstack和qemu(硬件虚拟化),kvm,xen为基础的云计算解决方案将会占有大量的市场份额。但是安全性上尤其是数据安全性上存在如下的弱点和不足:一,在kvm,xen中只有基于qcow2格式的镜像文件在设计之初就考虑了镜像的安全,但在qemu的实现中也只提供了软实现的方式,软实现的加,解密方式存在性能低下的问题,同时对其他镜像格式的文件在设计之初就缺乏考虑。二,在qemu中只提供了加密方法但对加密密钥的管理(产生,保存,分发)以及相关的策略缺乏设计和实现,在一些提供安全解决的方案产品中都是自己来实现密钥的管理,这导致密钥的管理缺乏相关的标准导致产品在通用型和安全性上面缺乏保证。三,在虚拟化数据安全中除了镜像的安全还需要有存储的安全,在目前市场上的虚拟化产品存储设备大部分都是通过iscsi协议和rbd协议(ceph存储)暴露给虚拟机,目前存储安全的解决方案中很多都是在存储设备上面采取透明加解密方式来解决,这种方式带来的问题是由于加解密是在服务端完成会加重服务端的负担,其次数据传输的通道还需要进行保护,另外由于镜像的安全和存储的安全没有进行统一导致镜像需要一个密钥,存储需要一个密钥的问题,在密钥的管理上会对用户产生很大的不便。
技术实现思路
针对现有技术中的缺陷,本专利技术的目的是提供一种基于KMIP和加密卡的虚拟化数据安全方法,其通过改写qemu磁盘镜像接口并通过加密卡硬件对虚拟机镜像进行加解密从而保证虚拟化安全的镜像数据安全,同时对原来不支持加密的镜像格式通过将加密标志保存到数据库来提供支持。根据本专利技术的一个方面,提供一种基于KMIP和加密卡的虚拟化数据安全方法,其特征在于,所述基于KMIP和加密卡的虚拟化数据安全方法包括两个流程:一,加密流程,包括以下步骤:步骤一,用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例;步骤二,用户管理员选择需要进行保护的虚拟机实例进行保护;步骤三,镜像管理系统向VDP发送相关指令,VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求,入参为虚拟机的uuid,成功后在数据库中将该uuid对应的加密标志设置成TRUE;步骤四,VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作,入参为虚拟机uuid;步骤五,VDPAGENT收到指令后,先通过qemu停止虚拟机,通过KMIP获取该虚拟机的加密密钥,通过虚拟机定义的XML获取分配给该虚拟机具体的块设备信息分别对镜像文件,iscsi,rbd块设备进行先读出再加密写回的操作,所有完成后虚拟机的初始化加密状态就完成了,通过qemu重启虚拟机进入动态加,解密状态;二,解密流程,包括以下步骤:步骤六,用户启动虚拟机,当虚拟机开始加载镜像文件和相关块存储设备时,在相关接口的open方法中,首先通过VDPAGENT发送虚拟机当前加,解密状态查询;步骤七,VDPAGENT收到请求后,将该请求转发到VDP进行数据库查询并将结果返回;步骤八,在qemu中一旦发现虚拟机是加密状态,就通过VDPAGENT向密钥管理系统获取加,解密密钥,在相关qemu的read和write(读和写)接口中通过加密卡来实现对数据的加解密操作。优选地,所述基于KMIP和加密卡的虚拟化数据安全方法以虚拟机为单位,对该虚拟机的所有存储相关数据都使用统一的加密密钥。与现有技术相比,本专利技术具有如下的有益效果:一,由于实现KMIP协议来实现密钥管理,产品的通用性变强,安全性得到保证。二,通过加密卡硬件来完成数据的加,解密操作,性能可以得到保证。三,通过改写qemu相关接口来实现数据的安全不需要引入专门的安全存储设备,成本降低,同时加密是在客户端完成不需要对网络通道进行加密减少了系统的复杂性。四,镜像安全和存储安全都基于虚拟机提供密钥,降低密钥管理的复杂性,提升了用户的易用性。附图说明通过阅读参照以下附图对非限制性实施例所作的详细描述,本专利技术的其它特征、目的和优点将会变得更明显:图1为本专利技术基于KMIP和加密卡的虚拟化数据安全方法的流程图。具体实施方式下面结合具体实施例对本专利技术进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本专利技术,但不以任何形式限制本专利技术。应当指出的是,对本领域的普通技术人员来说,在不脱离本专利技术构思的前提下,还可以做出若干变形和改进。这些都属于本专利技术的保护范围。如图1所示,本专利技术基于KMIP和加密卡的虚拟化数据安全方法包括两个流程:一,加密流程,包括以下步骤:步骤一,用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例;步骤二,用户管理员选择需要进行保护的虚拟机实例进行保护;步骤三,镜像管理系统向VDP发送相关指令,VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求,入参为虚拟机的uuid,成功后在数据库中将该uuid对应的加密标志设置成TRUE;步骤四,VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作,入参为虚拟机uuid;步骤五,VDPAGENT收到指令后,先通过qemu停止虚拟机,通过KMIP获取该虚拟机的加密密钥,通过虚拟机定义的XML获取分配给该虚拟机具体的块设备信息分别对镜像文件,iscsi,rbd块设备进行先读出再加密写回的操作,所有完成后虚拟机的初始化加密状态就完成了,通过qemu重启虚拟机进入动态加,解密状态;二,解密流程,包括以下步骤:步骤六,用户启动虚拟机,当虚拟机开始加载镜像文件和相关块存储设备时,在相关接口的open方法中,首先通过VDPAGENT发送虚拟机当前加,解密状态查询;步骤七,VDPAGENT收到请求后,将该请求转发到VDP进行数据库查询并将结果返回;步骤八,在qemu中一旦发现虚拟机是加密状态,就通过VDPAGENT向密钥管理系统获取加,解密密钥,在相关qemu的read和write(读和写)接口中通过加密卡来实现对数据的加解密操作。本专利技术基于KMIP和加密卡的虚拟化数据安全方法采用密钥管理系统和镜像管理系统,密钥管理系统,以KMIP1.3协议为基础实现,负责加密密钥的生成,保存和分发;镜像管理系统,该系统负责提供人机交互界面,该系统负责提供人机交互界面,帮助客户从现有云环境下获取相关的虚拟机实例,用户一但选择对数据进行保护通过该系会将请求发向VDP,由VDP负责向具体的虚拟数据安全代理子系统发送相关指令。虚拟数据安全配置管理子系统(VDP),该系统负责接收镜像管理服务器的请求,同时对虚拟数据安全代理子系统进行管理。虚拟数据安全代理子系统(VDPAGENT),该系统负责加密卡的管理,接收VDP发送的相关指令对数据进行加解密操作,同时该系统也负责向密钥管理系统获取具体的虚拟机加密密钥。本专利技术以KMIP1.3为基础实现密钥生命周期管理,KMIP就是密钥管理互操作协议,2009年由博科、EMC、惠普、IBM、LSI、希捷和Thales向OASIS提交的新规范,主要是为了在企业密钥管理领域寻求通用开放标准和互操作性以满足日益本文档来自技高网...
【技术保护点】
一种基于KMIP和加密卡的虚拟化数据安全方法,其特征在于,所述基于KMIP和加密卡的虚拟化数据安全方法包括两个流程:一,加密流程,包括以下步骤:步骤一,用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例;步骤二,用户管理员选择需要进行保护的虚拟机实例进行保护;步骤三,镜像管理系统向VDP发送相关指令,VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求,入参为虚拟机的uuid,成功后在数据库中将该uuid对应的加密标志设置成TRUE;步骤四,VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作,入参为虚拟机uuid;步骤五,VDPAGENT收到指令后,先通过qemu停止虚拟机,通过KMIP获取该虚拟机的加密密钥,通过虚拟机定义的XML获取分配给该虚拟机具体的块设备信息分别对镜像文件,iscsi,rbd块设备进行先读出再加密写回的操作,所有完成后虚拟机的初始化加密状态就完成了,通过qemu重启虚拟机进入动态加,解密状态;二,解密流程,包括以下步骤:步骤六,用户启动虚拟机,当虚拟机开始加载镜像文件和相关块存储设备时,在相关接口的open方法中,首先通过VDPAGENT发送虚拟机当前加,解密状态查询;步骤七,VDPAGENT收到请求后,将该请求转发到VDP进行数据库查询并将结果返回;步骤八,在qemu中一旦发现虚拟机是加密状态,就通过VDPAGENT向密钥管理系统获取加,解密密钥,在相关qemu的read和write(读和写)接口中通过加密卡来实现对数据的加解密操作。...
【技术特征摘要】
1.一种基于KMIP和加密卡的虚拟化数据安全方法,其特征在于,所述基于KMIP和加密卡的虚拟化数据安全方法包括两个流程:一,加密流程,包括以下步骤:步骤一,用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例;步骤二,用户管理员选择需要进行保护的虚拟机实例进行保护;步骤三,镜像管理系统向VDP发送相关指令,VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求,入参为虚拟机的uuid,成功后在数据库中将该uuid对应的加密标志设置成TRUE;步骤四,VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作,入参为虚拟机uuid;步骤五,VDPAGENT收到指令后,先通过qemu停止虚拟机,通过KMIP获取该虚拟机的加密密钥,通过虚拟机定义的XML获取分配给该虚拟机具体的块设备信息分别对镜像文件,iscsi,rbd块设备进行先...
【专利技术属性】
技术研发人员:明宏,刘光前,余秦勇,
申请(专利权)人:中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。