虚拟机中敏感信息的注入方法和装置制造方法及图纸

本申请实施例提供一种虚拟机中敏感信息的注入方法和装置，该方法包括：生成私钥以及与私钥配对的公钥，将公钥和预设用户名发送给虚拟机；基于安全壳登录协议向虚拟机发送虚拟机登陆请求，虚拟机登陆请求包括预设用户名和私钥，虚拟机登陆请求用于请求与虚拟机建立基于安全壳登录协议的安全通道；通过安全通道向虚拟机发送敏感信息。通过采用I层接口注入的方式先将公钥配置在虚拟机中，在通过登录安全壳协议的方式建立管理设备与虚拟机之间的安全通道，避免了敏感信息被I层接口的其他用户截获的可能性，提高了信息的安全性。

Method and device for injection of sensitive information in virtual machine

This application implementation provides an injection method and device for sensitive information in a virtual machine, which includes the generation of a private key and a public key paired with the private key, sending the public key and the default user name to the virtual machine; based on the security shell login protocol, the virtual machine is sent to the virtual machine, and the virtual machine landing request includes the presupposition. The user name and the private key, the virtual machine landing request is used for the request and the virtual machine to establish the secure channel based on the security shell login protocol; send the sensitive information to the virtual machine through the secure channel. The public key is configured in the virtual machine by using the I layer interface injection, and the security channel between the management equipment and the virtual machine is established by the way of the login security Shell Protocol, which avoids the possibility that the sensitive information is intercepted by other users of the I layer interface and improves the security of the information.

【技术实现步骤摘要】
虚拟机中敏感信息的注入方法和装置
本申请实施例涉及计算机技术，尤其涉及一种虚拟机中敏感信息的注入方法和装置。
技术介绍
传统的网络设备例如路由器、交换机、防火墙等，一般都是基于该设备包含的硬件所具有的功能，而具有固定网络功能，例如对各种协议的支持、负载均衡、速率控制等，该类网络设备难以升级和扩容。现有技术通常采用网络功能虚拟化来解决上述问题，网络功能虚拟化技术通过在任意网络设备中创建虚拟机(VirtualMachine，简称VM)来实现虚拟网络功能VNF(VirtualizationNetworkFunction，简称VNF)，VNF可以灵活的根据需求来创建，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享。在网络功能虚拟化过程中，通常由虚拟网络功能管理设备负责创建虚拟机，并在虚拟机上部署虚拟的网络功能。虚拟网络功能被部署以后，在虚拟网络功能的整个生命周期范围内，还需要和虚拟网络功能管理设备交互才能完成弹性功能。因此存在需要在虚拟网络功能管理设备和创建的虚拟机之间配置共享密钥、账号等敏感信息的可能性。现有虚拟网络功能管理设备在创建虚拟机的过程中，通常通过openstack或vmware等基础设施层管理软件将信息传递给虚拟机，即通过I层接口直接注入信息给虚拟机。但是该种注入方式会将传递给虚拟机的信息暴露给I层接口，I层接口的其他用户通过直接查看虚拟机的属性，命令历史记录，获取光盘后重新加载等方式就可以获得该信息。因此，现有的虚拟机信息注入方法存在信息无法保密的问题。
技术实现思路
本申请实施例提供一种虚拟机中敏感信息的注入方法和装置，用以解决现有的虚拟机信息注入方法存在信息无法保密的问题。第一方面，本申请实施例提供一种虚拟机中敏感信息的注入方法，应用于管理设备侧，该方法包括：生成私钥以及与所述私钥配对的公钥，将所述公钥和预设用户名发送给所述虚拟机；基于安全壳登录协议向所述虚拟机发送虚拟机登陆请求，所述虚拟机登陆请求包括所述预设用户名和所述私钥，所述虚拟机登陆请求用于请求与所述虚拟机建立基于所述安全壳登录协议的安全通道；通过所述安全通道向所述虚拟机发送敏感信息。通过采用I层接口注入的方式先将公钥配置在虚拟机中，在通过登录安全壳协议的方式建立管理设备与虚拟机之间的安全通道，避免了信息被I层接口的其他用户截获的可能性，提高了信息的安全性，同时采用了基于公私钥对的方式自动建立安全通信，避免了采用手动输入账号和密码方式带来人为配置速度较慢，导致大规模部署虚拟机速度较慢的问题。一种可能的实现方式中，所述通过所述安全通道向所述虚拟机发送敏感信息之前，所述方法还包括：生成第一随机数，并将所述第一随机数发送至所述虚拟机；则所述通过所述安全通道向所述虚拟机发送敏感信息，包括：将所述敏感信息使用所述第一随机数进行加密，并通过所述安全通道将加密后的敏感信息发送至所述虚拟机。通过采用第一随机数将敏感信息进行加密，并将第一随机数和加密后的敏感信息采用不同的通道注入虚拟机，进一步提高了信息的安全性。一种可能的实现方式中，所述通过所述安全通道向所述虚拟机发送敏感信息之前，所述方法还包括：接收所述虚拟机发送的密钥，所述密钥包括采用所述公钥加密的第二随机数，采用所述私钥解密所述密钥得到所述第二随机数；则所述通过所述安全通道向所述虚拟机发送敏感信息，包括：将所述敏感信息使用所述第二随机数进行加密，并通过所述安全通道将加密后的敏感信息发送至所述虚拟机。虚拟机采用非对称密钥的方式发送的第二随机数具有较高的安全性，采用第二随机数将敏感信息进行加密，则进一步提高了信息的安全性。第二方面，本申请实施例提供一种虚拟机中敏感信息的注入方法，应用于虚拟机侧，该方法包括：接收管理设备发送的公钥和预设用户名，将所述公钥存储在所述预设用户名对应的认证文档中；接收所述管理设备发送的虚拟机登陆请求，所述虚拟机登陆请求包括待验证用户名和私钥；获取所述待验证用户名对应的认证文档中的公钥，检测所述待验证用户名对应的认证文档中的公钥与所述私钥是否匹配；若是，则与所述管理设备建立基于所述安全壳登录协议的安全通道；接收所述管理设备通过所述安全通道发送的敏感信息。一种可能的实现方式中，所述接收所述管理设备通过所述安全通道发送的敏感信息之前，所述方法还包括：接收所述虚拟机发送的第一随机数；则所述接收所述管理设备通过所述安全通道发送的敏感信息，包括：接收所述管理设备通过所述安全通道发送的使用所述第一随机数加密后的敏感信息，采用所述第一随机数对所述加密后的敏感信息进行解密。一种可能的实现方式中，所述接收所述管理设备通过所述安全通道发送的敏感信息之前，所述方法还包括：生成第二随机数，并将所述第二随机数采用所述公钥加密得到密钥，将所述密钥发送给所述管理设备；则所述接收所述管理设备通过所述安全通道发送的敏感信息，包括：接收所述管理设备通过所述安全通道发送的采用所述第二随机数加密的敏感信息，采用所述第二随机数对所述加密后的敏感信息进行解密。第三方面，本申请实施例提供一种虚拟机中敏感信息的注入方法，应用于管理设备侧，该方法包括：生成私钥以及与所述私钥配对的公钥，生成随机数，并采用所述随机数加密敏感信息，将所述加密后的敏感信息、预设用户名和所述公钥发送给虚拟机；基于安全壳登录协议向所述虚拟机发送虚拟机登陆请求，所述虚拟机登陆请求包括所述预设用户名和所述私钥，所述虚拟机登陆请求用于请求与所述虚拟机建立基于所述安全壳登录协议的安全通道；通过所述安全通道向所述虚拟机发送所述随机数。第四方面，本申请实施例提供一种虚拟机中敏感信息的注入方法，应用于虚拟机侧，该方法包括：接收管理设备发送的加密后的敏感信息、预设用户名和公钥，将所述公钥存储在所述预设用户名对应的认证文档中；接收所述管理设备发送的虚拟机登陆请求，所述虚拟机登陆请求包括待验证用户名和私钥；获取所述待验证用户名对应的认证文档中的公钥，检测所述待验证用户名对应的认证文档中的公钥与所述私钥是否匹配；若是，则与所述管理设备建立基于所述安全壳登录协议的安全通道；接收所述管理设备通过所述安全通道发送的随机数，采用所述随机数对加密后的敏感信息进行解密。第五方面，本申请实施例提供一种虚拟机中敏感信息的注入方法，应用于管理设备侧，该方法包括：生成私钥以及与所述私钥配对的公钥，将所述公钥发送给虚拟机；接收所述虚拟机发送的密钥，并采用所述私钥对所述密钥进行解密得到随机数；采用所述随机数对敏感信息进行加密，将加密后的敏感信息发送给所述虚拟机。第六方面，本申请实施例提供一种虚拟机中敏感信息的注入方法，应用于虚拟机侧，该方法包括：接收管理设备发送的公钥；生成随机数，并采用所述公钥对所述随机数进行加密得到密钥，将所述密钥发送给所述管理设备；接收所述管理设备采用所述随机数加密的敏感信息，采用所述随机数对加密后的敏感信息进行解密。本申请实施例还提供一种虚拟机中敏感信息的注入装置，用于执行上述第一至第六方面的虚拟机中敏感信息的注入方法，具有相同的技术特征和技术效果，本申请实施例对此不再赘述。第七方面，本申请实施例提供一种虚拟机中敏感信息的注入装置，该装置包括：密钥生成单元，用于生成私钥以及与所述私钥配对的公钥；发送单元，用于将所述公钥和预设用户名发送给所述虚拟机；所述本文档来自技高网...

【技术保护点】
1.一种虚拟机中敏感信息的注入方法，其特征在于，包括：生成私钥以及与所述私钥配对的公钥，将所述公钥和预设用户名发送给所述虚拟机；基于安全壳登录协议向所述虚拟机发送虚拟机登陆请求，所述虚拟机登陆请求包括所述预设用户名和所述私钥，所述虚拟机登陆请求用于请求与所述虚拟机建立基于所述安全壳登录协议的安全通道；通过所述安全通道向所述虚拟机发送敏感信息。

【技术特征摘要】
1.一种虚拟机中敏感信息的注入方法，其特征在于，包括：生成私钥以及与所述私钥配对的公钥，将所述公钥和预设用户名发送给所述虚拟机；基于安全壳登录协议向所述虚拟机发送虚拟机登陆请求，所述虚拟机登陆请求包括所述预设用户名和所述私钥，所述虚拟机登陆请求用于请求与所述虚拟机建立基于所述安全壳登录协议的安全通道；通过所述安全通道向所述虚拟机发送敏感信息。2.根据权利要求1所述的方法，其特征在于，所述通过所述安全通道向所述虚拟机发送敏感信息之前，所述方法还包括：生成第一随机数，并将所述第一随机数发送至所述虚拟机；则所述通过所述安全通道向所述虚拟机发送敏感信息，包括：将所述敏感信息使用所述第一随机数进行加密，并通过所述安全通道将加密后的敏感信息发送至所述虚拟机。3.根据权利要求1所述的方法，其特征在于，所述通过所述安全通道向所述虚拟机发送敏感信息之前，所述方法还包括：接收所述虚拟机发送的密钥，所述密钥包括采用所述公钥加密的第二随机数，采用所述私钥解密所述密钥得到所述第二随机数；则所述通过所述安全通道向所述虚拟机发送敏感信息，包括：将所述敏感信息使用所述第二随机数进行加密，并通过所述安全通道将加密后的敏感信息发送至所述虚拟机。4.一种虚拟机中敏感信息的注入方法，其特征在于，包括：接收管理设备发送的公钥和预设用户名，将所述公钥存储在所述预设用户名对应的认证文档中；接收所述管理设备发送的虚拟机登陆请求，所述虚拟机登陆请求包括待验证用户名和私钥；获取所述待验证用户名对应的认证文档中的公钥，检测所述待验证用户名对应的认证文档中的公钥与所述私钥是否匹配；若是，则与所述管理设备建立基于所述安全壳登录协议的安全通道；接收所述管理设备通过所述安全通道发送的敏感信息。5.根据权利要求4所述的方法，其特征在于，所述接收所述管理设备通过所述安全通道发送的敏感信息之前，所述方法还包括：接收所述虚拟机发送的第一随机数；则所述接收所述管理设备通过所述安全通道发送的敏感信息，包括：接收所述管理设备通过所述安全通道发送的使用所述第一随机数加密后的敏感信息，采用所述第一随机数对所述加密后的敏感信息进行解密。6.根据权利要求4所述的方法，其特征在于，所述接收所述管理设备通过所述安全通道发送的敏感信息之前，所述方法还包括：生成第二随机数，并将所述第二随机数采用所述公钥加密得到密钥，将所述密钥发送给所述管理设备；则所述接收所述管理设备通过所述安全通道发送的敏感信息，包括：接收所述管理设备通过所述安全通道发送的采用所述第二随机数加密的敏感信息，采用所述第二随机数对所述加密后的敏感信息进行解密。7.一种虚拟机中敏感信息的注入方法，其特征在于，包括：生成私钥以及与所述私钥配对的公钥，生成随机数，并采用所述随机数加密敏感信息，将所述加密后的敏感信息、预设用户名和所述公钥发送给虚拟机；基于安全壳登录协议向所述虚拟机发送虚拟机登陆请求，所述虚拟机登陆请求包括所述预设用户名和所述私钥，所述虚拟机登陆请求用于请求与所述虚拟机建立基于所述安全壳登录协议的安全通道；通过所述安全通道向所述虚拟机发送所述随机数。8.一种虚拟机中敏感信息的注入方法，其特征在于，包括：接收管理设备发送的加密后的敏感信息、预设用户名和公钥，将所述公钥存储在所述预设用户名对应的认证文档中；接收所述管理设备发送的虚拟机登陆请求，所述虚拟机登陆请求包括待验证用户名和私钥；获取所述待验证用户名对应的认证文档中的公钥，检测所述待验证用户名对应的认证文档中的公钥与所述私钥是否匹配；若是，则与所述管理设备建立基于所述安全壳登录协议的安全通道；接收所述管理设备通过所述安全通道发送的随机数，采用所述随机数对加密后的敏感信息进行解密。9.一种虚拟机中敏感信息的注入方法，其特征在于，包括：生成私钥以及与所述私钥配对的公钥，将所述公钥发送给虚拟机；接收所述虚拟机发送的密钥，并采用所述私钥对所述密钥进行解密得到随机数；采用所述随机数对敏感信息进行加密，将加密后的敏感信息发送给所述虚拟机。10.一种虚拟机中敏感信息的注入方法，其特征在于，包括：接收管理设备发送的公钥；生成随机数，并采用所述公钥对所述随机数进行加密得到密钥，将所述密钥发送给所述管理设备；接收所述管理设备采用所述随机数加密的敏感信息，采用所述随机数对加密后的敏感信息进行解密。11.一种虚拟机中敏感信息的注入装置，其特征在于，包括：密钥生成单元，用于生成私钥以及与所述私钥配对的公钥；发送单元，用于将所述公钥和预设用户名发送给所述虚拟机；所述发送单元还用于，基于安全壳登录协议向所述虚拟机发送虚拟机登陆请求，所述虚拟机登陆...

【专利技术属性】
技术研发人员：王建明，廖焕仁，
申请(专利权)人：华为技术服务有限公司，
类型：发明
国别省市：河北,13