【技术实现步骤摘要】
一种基于不同密钥的虚拟机镜像加密方法及装置
本专利技术涉及虚拟机加密领域,具体涉及一种基于不同密钥的虚拟机镜像加密方法及装置。
技术介绍
云计算环境下用户虚拟机存在数据保护问题,容易受到“离线攻击”,也就是攻击者在系统关机状态下可以物理接触到磁盘或者其他存储介质。另外,在一个单位内部,不同职位的人有不同的职责和权限,系统处于启动状态时的使用者是工作人员A,而系统关机后,会存放在另外的位置,而工作人员B能够接触到该系统的硬件。如果没有保护措施,那么B就可以轻易地越权获得系统中有关A的内容。除此之外,虚拟机镜像无论在静止还是运行状态都有被窃取、篡改、未授权访问和配置不当而无法正常启动等脆弱漏洞。传统的解决方案是在任何时刻都对虚拟机镜像(Image)进行加密或对虚拟机镜像存储的文件系统进行文件系统加密,但这些方案又会导致性能问题,同时,存在镜像格式限制、与云操作系统紧耦合、密钥单一等缺陷。
技术实现思路
为解决上述问题,本专利技术提供一种基于不同密钥的虚拟机镜像加密方法及装置,本专利技术基于硬件加密卡实现,与云操作系统松耦合,对镜像格式无限制,实现虚拟机镜像一机一密的加密方...
【技术保护点】
1.一种基于不同密钥的虚拟机镜像加密方法,其特征在于,包括以下步骤:S11:将密码卡算法加载到Linux内核;S12:修改QEMU源码,在虚拟机创建时,为每个虚拟机分别分配唯一口令,并关联相应虚拟机镜像唯一加密密钥;S13:虚拟机发起写数据时,获取并验证虚拟机口令,虚拟机口令验证通过后,根据虚拟机口令获取虚拟机镜像对应的加密密钥,调用密码卡算法使用加密密钥对数据进行加密后完成写操作。
【技术特征摘要】
1.一种基于不同密钥的虚拟机镜像加密方法,其特征在于,包括以下步骤:S11:将密码卡算法加载到Linux内核;S12:修改QEMU源码,在虚拟机创建时,为每个虚拟机分别分配唯一口令,并关联相应虚拟机镜像唯一加密密钥;S13:虚拟机发起写数据时,获取并验证虚拟机口令,虚拟机口令验证通过后,根据虚拟机口令获取虚拟机镜像对应的加密密钥,调用密码卡算法使用加密密钥对数据进行加密后完成写操作。2.根据权利要求1所述的基于不同密钥的虚拟机镜像加密方法,其特征在于,所述步骤S13,具体包括:S13-1:虚拟机的IO设备驱动发出IO请求;S13-2:KVM模块截获IO请求,并将IO请求放置到内存IO共享页,同时通知QEMU模拟进程模块来处理本次IO请求;S13-3:QEMU模拟进程模块从内存IO共享页获取IO请求信息,并根据IO请求信息获取并验证相应虚拟机口令,虚拟机口令验证通过后获取对应虚拟机镜像加密密钥,调用密码卡算法使用加密密钥对数据进行加密,之后调用物理IO设备完成写操作。3.根据权利要求2所述的基于不同密钥的虚拟机镜像加密方法,其特征在于,所述步骤S13还包括:S13-4:写操作完成后,QEMU模拟进程模块将返回值放回内存IO共享页,并通知KVM模块读取返回值;S13-5:KVM模块从内存IO共享页读取返回值,并转交给虚拟机IO设备驱动。4.根据权利要求2所述的基于不同密钥的虚拟机镜像加密方法,其特征在于,步骤S13-2中,KVM模块通知QEMU模拟进程模块来处理本次IO请求后,自动退出KVM模块,进入QEMU状态。5.根据权利要求2所述的基于不同密钥...
【专利技术属性】
技术研发人员:孙晓妮,孙大军,李岩,蒙志磊,
申请(专利权)人:山东超越数控电子股份有限公司,
类型:发明
国别省市:山东,37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。