本申请公开了用于Hypervisor多域架构的加密通信方法及系统,其中Hypervisor多域架构包括特权域和普通域,特权域具有直接访问底层硬件以及文件系统的权限,普通域的前端驱动与特权域的后端驱动之间经事件通道、I/O共享环和授权表进行通信,事件通道用于域间异步事件通知,I/O共享环用于在域间传递I/O请求和响应,授权表用于在域间传输I/O数据,所述方法包括:在I/O数据被发送到授权表时用设置于授权表中的加解密模块对I/O数据进行处理后经由授权表转发至文件系统中存储,其中所述加解密模块用于:确定相应I/O请求是写请求还是读请求;响应于相应I/O请求为写请求,对I/O数据进行加密;及响应于相应I/O请求为读请求,对I/O数据进行解密。本发明专利技术可移植性更强,灵活性高,加密权级更高因而更安全。
Encrypted communication method and system for hypervisor multi domain architecture
【技术实现步骤摘要】
用于Hypervisor多域架构的加密通信方法及系统
本申请涉及电数字数据处理领域,尤其涉及用于Hypervisor多域架构的加密通信方法及系统。
技术介绍
随着互联网技术的发展,手机等智能移动终端已经开始参与并影响着人们生活和工作的各个方面。手机等智能移动终端存储着用户越来越多的重要个人数据(包括银行账户密码及个人隐私如图片视频),使得移动终端的数据存储需要更加有效、更加安全的加解密方案来解决个人的数据存储的安全问题。目前,针对移动端的数据安全保护,存在几种安全方案,例如Trustzone技术、SE安全芯片以及一些透明的文件加解密技术。Trustzone是ARM针对电子设备设计的一种硬件架构,在概念上将硬件和软件资源划分为安全和非安全两个世界,所有需要保密的操作在安全世界执行,其余操作在非安全世界执行,安全世界和非安全世界通过一个名为MonitorMode的模式进行转换。Trustzone以这样的机制完成对移动端数据安全的保护。SE(SecureElement)为安全模块,是一台微型计算机,通过安全芯片和芯片操作系统(COS)实现密钥的安全存储、数据加密运算和信息的安全存放。秘钥的安全存储可建立相对完善的密钥管理体系,保证秘钥不可被读取。SE芯片应用于各种终端产品中时,被封装成各类嵌入式模块,内置于终端产品的硬件层。Hypervisor是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,因此也可以看作是虚拟环境中的“元”操作系统,它可以协调访问服务器上的所有物理设备和虚拟机,也叫虚拟机监视器(VirtualMachineMonitor)。Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。当服务器启动并执行Hypervisor时,它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。虚拟机的虚拟化技术可分为两大类:半虚拟化和完全虚拟化。半虚拟化技术允许虚拟机操作系统感知到自己运行在Hypervisor上,也能识别出其他运行在相同环境中的客户虚拟机。虚拟机之间可以通过前后端驱动分离的方式实现通信,前端驱动负责发送本虚拟机中的请求,后端驱动负责对请求的接收和响应。然而,Trustzone存在的问题在于其机制内的安全世界类似于黑盒,其中具体的安全防护措施的运作方式并不可知,而且Trustzone只给特定的应用使用,灵活性差不足以完全信任。而SE芯片虽然安全性高,但是效率低下、处理能力有限,无法针对每一次的读写请求进行加解密。中国专利申请CN102034046A公开了一种云计算环境中基于磁盘驱动的数据底层加密方法。包括步骤:(1)前端驱动利用授权表把内存空间中分配的页面授予后端驱动所在的设备虚拟机;(2)前端对缓冲区中的数据进行加密;(3)把对该磁盘的写请求放入一个和后端驱动共享的环形缓冲区中,并通过事件通道通知后端驱动;(4)后端驱动被唤醒后,读取共享缓冲区中的写磁盘请求,把对应授权表中授权的页面映射到自己的内存空间里,生成一个真正的磁盘访问请求;(5)磁盘写请求完成后,后端驱动释放该映射,在共享缓冲区中放入一个应答,同时通过事件通道唤醒前端驱动。然而,在前端对缓冲区中的数据进行加密,将加密模块置于用户虚拟机内,不能达到对用户透明加解密的效果,在用户虚拟机被入侵时,加解密模块也会暴露,安全性不够高。
技术实现思路
为了克服现有技术中存在的不足,本专利技术要解决的技术问题是提供一种用于Hypervisor多域架构的加密通信方法及系统,其不依赖于上层具体的操作系统以及底层的硬件设备,可移植性更强,灵活性高,加密权级更高因而更安全。为解决上述技术问题,根据本专利技术的第一方面,提供一种用于Hypervisor多域架构的加密通信方法,其中Hypervisor多域架构包括特权域和普通域,特权域具有直接访问底层硬件以及文件系统的权限,普通域的前端驱动与特权域的后端驱动之间经事件通道、I/O共享环和授权表进行通信,事件通道用于域间异步事件通知,I/O共享环用于在域间传递I/O请求和响应,授权表用于在域间传输I/O数据,所述方法包括:在I/O数据被发送到授权表时用设置于授权表中的加解密模块对I/O数据进行处理后,经由授权表转发至文件系统中存储,其中所述加解密模块用于:-确定相应I/O请求是写请求还是读请求;-响应于相应I/O请求为写请求,对I/O数据进行加密;及-响应于相应I/O请求为读请求,对I/O数据进行解密。作为本专利技术所述方法的改进,所述方法还包括:在普通域发起I/O请求时由前端驱动将I/O请求发送给I/O共享环存储;响应于I/O请求为写请求,前端驱动将I/O数据发送给授权表;前端驱动将I/O事件发送给事件通道;后端驱动从事件通道中读取I/O事件;后端驱动从I/O共享环中读取I/O请求;后端驱动从授权表读取I/O数据;后端驱动根据I/O请求调用底层真实硬件驱动进行处理;后端驱动将处理完成的事件返回给事件通道;普通域从事件通道中读取请求处理完成的事件通知。作为本专利技术所述方法的另一种改进,所述方法还包括:响应于I/O请求为读请求,只发送请求和读文件的相关信息;后端驱动将对应于读请求的I/O数据发送到授权表;前端驱动从授权表中读取I/O数据。作为本专利技术所述方法的又一种改进,所述加解密模块采用对称加密算法对I/O数据进行加密。为解决上述技术问题,根据本专利技术的第二方面,提供一种用于Hypervisor多域架构的加密通信系统,其中Hypervisor多域架构包括特权域和普通域,特权域具有直接访问底层硬件以及文件系统的权限,普通域的前端驱动与特权域的后端驱动之间经事件通道、I/O共享环和授权表进行通信,事件通道用于域间异步事件通知,I/O共享环用于在域间传递I/O请求和响应,授权表用于在域间传输I/O数据,所述系统包括:设置于授权表中的加解密模块,用于在I/O数据被发送到授权表时对I/O数据进行处理后,经由授权表转发至文件系统中存储,其中所述加解密模块包括:-确定子模块,用于确定相应I/O请求是写请求还是读请求;-加密子模块,用于响应于相应I/O请求为写请求,对I/O数据进行加密;及-解密子模块,用于响应于相应I/O请求为读请求,对I/O数据进行解密。为解决上述技术问题,根据本专利技术的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本专利技术的用于Hypervisor多域架构的加密通信方法的步骤。为解决上述技术问题,根据本专利技术的第四方面,提供一种计算机设备,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中所述处理器执行所述计算机程序时实现本专利技术的用于Hypervisor多域架构的加密通信方法的步骤。本专利技术采用基于Hypervisor架构的多域技术,利用虚拟环境下多域之间的通信机制,将加密模块置本文档来自技高网...
【技术保护点】
1.一种用于Hypervisor多域架构的加密通信方法,其中Hypervisor多域架构包括特权域和普通域,特权域具有直接访问底层硬件以及文件系统的权限,普通域的前端驱动与特权域的后端驱动之间经事件通道、I/O共享环和授权表进行通信,事件通道用于域间异步事件通知,I/O共享环用于在域间传递I/O请求和响应,授权表用于在域间传输I/O数据,其特征在于,所述方法包括:/n在I/O数据被发送到授权表时用设置于授权表中的加解密模块对I/O数据进行处理后,经由授权表转发至文件系统中存储,其中所述加解密模块用于:/n-确定相应I/O请求是写请求还是读请求;/n-响应于相应I/O请求为写请求,对I/O数据进行加密;及/n-响应于相应I/O请求为读请求,对I/O数据进行解密。/n
【技术特征摘要】
1.一种用于Hypervisor多域架构的加密通信方法,其中Hypervisor多域架构包括特权域和普通域,特权域具有直接访问底层硬件以及文件系统的权限,普通域的前端驱动与特权域的后端驱动之间经事件通道、I/O共享环和授权表进行通信,事件通道用于域间异步事件通知,I/O共享环用于在域间传递I/O请求和响应,授权表用于在域间传输I/O数据,其特征在于,所述方法包括:
在I/O数据被发送到授权表时用设置于授权表中的加解密模块对I/O数据进行处理后,经由授权表转发至文件系统中存储,其中所述加解密模块用于:
-确定相应I/O请求是写请求还是读请求;
-响应于相应I/O请求为写请求,对I/O数据进行加密;及
-响应于相应I/O请求为读请求,对I/O数据进行解密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在普通域发起I/O请求时由前端驱动将I/O请求发送给I/O共享环存储;
响应于I/O请求为写请求,前端驱动将I/O数据发送给授权表;
前端驱动将I/O事件发送给事件通道;
后端驱动从事件通道中读取I/O事件;
后端驱动从I/O共享环中读取I/O请求;
后端驱动从授权表读取I/O数据;
后端驱动根据I/O请求调用底层真实硬件驱动进行处理;
后端驱动将处理完成的事件返回给事件通道;
普通域从事件通道中读取请求处理完成的事件通知。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
响应于I/O请求为读请求,只发送请求和读文件的相关信息;
后端驱动将对应于读请求的I/O数据发送到授权表;
前端驱动从授权表中读取I/O数据。
4.根据权利要求1所述的方法,其特征在于,所述加解密模块采用对称加密算法对I/O数据进行加密。
5.根据权利要求4所述的方法,其特征在于,所述对称加密算法为高级加密标准AES算法。
6.一种用于Hypervisor多域架构的加密通信系统,其中Hypervisor多域架构包括特权域和普通域,特权域具有直...
【专利技术属性】
技术研发人员:郭慕宸,姜哲,王艳伟,邹仕洪,朱睿,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。