【技术实现步骤摘要】
一种云环境下保护虚拟机镜像的方法及系统
本申请涉及计算机安全
,特别是涉及一种云环境下保护虚拟机镜像的方法及系统。
技术介绍
随着云计算和大数据的发展,越来越多的企业和科研院所采用云计算技术来部署虚拟数据中心,采用云计算技术部署的虚拟数据中心部署灵活且能够节约成本。然而,相比于传统数据中心,如何提高数据的安全性,是虚拟数据中心的一个重要问题。尤其是针对云环境下的虚拟机镜像,虚拟化管理软件提供的备份等操作会使得敏感数据、证书和信息等很容易被扩散,从而导致数据的安全性问题。目前,针对虚拟机镜像,云计算厂商通常采用相同的加密存储的方式进行数据存储。具体地,在云环境下,所有的虚拟机磁盘镜像都采用一个加解密密钥,即租户A与租户B的加密密钥相同。然而目前相同的加密存储的方式,由于共用一个加解密密钥,当有来自云计算厂商或者云管理员等内部威胁时,租户的虚拟机镜像的机密性就得不到保障,也就是数据中心的安全性不够高。
技术实现思路
本申请提供了一种云环境下保护虚拟机镜像的方法及系统,以解决现有技术中云环...
【技术保护点】
1.一种云环境下保护虚拟机镜像的方法,其特征在于,所述方法包括:/n创建虚拟机镜像文件时,添加第一密码,所述第一密码为租户设定的密码;/n根据所述第一密码,基于可信平台模块创建DEK明文和DEK密文;/n利用所述DEK明文,对虚拟机镜像文件进行加密,获取加密的虚拟机镜像文件;/n将所述DEK密文和加密的虚拟机镜像文件同时存储至存储池;/n读取所述加密的虚拟机镜像文件时,获取第二密码和DEK密文,所述第二密码为当前租户输入的密码;/n判断所述第二密码是否与第一密码相同;/n如果是,可信平台模块根据所述DEK密文获取所述DEK明文;/n利用所述DEK明文,对虚拟机镜像文件进行解密。/n
【技术特征摘要】
1.一种云环境下保护虚拟机镜像的方法,其特征在于,所述方法包括:
创建虚拟机镜像文件时,添加第一密码,所述第一密码为租户设定的密码;
根据所述第一密码,基于可信平台模块创建DEK明文和DEK密文;
利用所述DEK明文,对虚拟机镜像文件进行加密,获取加密的虚拟机镜像文件;
将所述DEK密文和加密的虚拟机镜像文件同时存储至存储池;
读取所述加密的虚拟机镜像文件时,获取第二密码和DEK密文,所述第二密码为当前租户输入的密码;
判断所述第二密码是否与第一密码相同;
如果是,可信平台模块根据所述DEK密文获取所述DEK明文;
利用所述DEK明文,对虚拟机镜像文件进行解密。
2.根据权利要求1所述的一种云环境下保护虚拟机镜像的方法,其特征在于,根据所述第一密码,基于可信平台模块创建DEK明文和DEK密文的方法,包括:
根据所述第一密码,基于可信平台模块创建DEK明文和RSA公私钥对;
利用所述RSA公私钥对对所述DEK明文进行加密,获取DEK密文。
3.根据权利要求1所述的一种云环境下保护虚拟机镜像的方法,其特征在于,所述可信平台模块为TPM芯片。
4.根据权利要求1所述的一种云环境下保护虚拟机镜像的方法,其特征在于,所述对虚拟机镜像文件进行加密的方法为AES加密,对虚拟机镜像文件进行解密的方法为AES解密。
5.根据权利要求1所述的一种云环境下保护虚拟机镜像的方法,其特征在于,将所述DEK密文和加密的虚拟机镜像文件同时存储至存储池之后,以及,利用所述DEK明文,对虚拟机镜像文件进行解密之后,所述方法还包括:
删除DEK明文。
6.一种云环境下保护虚拟机镜像的系统,其特征在于,所述系统包括:
密钥管理模块,用于创建虚拟机镜像文件时,添加第一密码,以及,根据所述第一密码,基于可信平台模块创建DEK明文和DEK密文,并将所述DEK明文和DEK密文发送至虚拟机镜像模块,所述第一密码为租户设定的密码;
虚拟机镜像模块,用于利用所述DEK明文,对虚拟机镜像文件进行加密,获取加密的虚拟机镜像文件,以及,将所述DEK密文和加密的虚拟机镜像文件同时存储至存储池;
所述虚拟机镜像模块,还用于读取所述加密的虚拟机镜像文件时,获取第二密码和DEK密文,以...
【专利技术属性】
技术研发人员:刘海伟,吴保锡,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。