本发明专利技术提出了一种基于身份认证的虚拟机加密方法、系统、设备和介质,该包括获取用户的第一标识、虚拟机所在宿主机的第二标识和虚拟机的第三标识;在用户和宿主机均合法的前提下,使用第三标识生成虚拟机密钥;建立第一标识、第二标识、第三标识和虚拟机密钥的一一映射;使用虚拟机密钥对虚拟机磁盘进行加密。以及验证第一标识、第二标识、第三标识和虚拟机密钥的对应关系,在对应关系满足所述一一映射的基础上;采用第三标识作为解密密钥,解密虚拟机磁盘。基于该方法,本发明专利技术还提出了一种基于身份认证的虚拟机加密系统、设备和介质。本发明专利技术将用户、主机、虚拟机绑定在一起,极大提高了数据安全性,降低了数据被窃取和篡改的风险。险。险。
【技术实现步骤摘要】
一种基于身份认证的虚拟机加密方法、系统、设备和介质
[0001]本专利技术属于虚拟机加密
,特别涉及一种基于身份认证的虚拟机加密方法、系统、设备和介质。
技术介绍
[0002]虚拟化软件或者云计算管理平台在诸如军工、国土、公安等涉密单位应用时,要求能够采取有效措施保障数据安全,国家涉密相关的软件测评中心也针对数据保护出台了相关的标准和要求,其中也包含了对服务器虚拟化系统的安全方面的要求,虚拟机数据加密是相关要求中最基础,最关键的要求之一。虚拟机加密是指对虚拟机的保存在虚拟磁盘的数据加密,涉密单位或行业要求必须使用国密算法(SM2,SM4等加密算法)对虚拟磁盘数据加密,加密密钥通常由密钥管理服务器管理和维护。而密钥的产生则是服务器虚拟化软件或者云计算管理平台调用密钥管理服务器生成密钥的接口,接口使用虚拟机的标识数据作为入参,返回值即为密钥信息。
[0003]涉密标准要求每个虚拟机使用唯一的密钥,使用虚拟机的唯一标识作为获取密钥的入参能够保证每个虚拟机一个密钥。但是此种实现方式未与用户绑定,任何用户登录系统都可以通过调用生成虚拟机的唯一密钥,开启和关闭加密虚拟机,包括不属于自己创建和使用的虚拟机,存在数据安全隐患。
技术实现思路
[0004]为了解决上述技术问题,本专利技术提出了一种基于身份认证的虚拟机加密方法、系统、设备和介质。保证特定用户只能在特定宿主机上操作自己的虚拟机,提高了数据安全性,降低了数据被窃取和篡改的风险。
[0005]为实现上述目的,本专利技术采用以下技术方案:<br/>[0006]一种基于身份认证的虚拟机加密方法,包括以下步骤:
[0007]获取用户的第一标识、虚拟机所在宿主机的第二标识和虚拟机的第三标识;
[0008]在所述用户和宿主机均合法的前提下,使用所述第三标识生成虚拟机密钥;
[0009]建立第一标识、第二标识、第三标识和虚拟机密钥的一一映射;使用所述虚拟机密钥对所述虚拟机磁盘进行加密。
[0010]进一步的,所述方法还包括对所述虚拟机磁盘进行解密;所述解密的过程为:
[0011]验证第一标识、第二标识、第三标识和虚拟机密钥的对应关系,在对应关系满足所述一一映射的基础上;采用第三标识作为解密密钥,解密虚拟机磁盘。
[0012]进一步的,所述验证用户和宿主机合法性的过程为:根据所述第一标识验证用户的合法性和根据所述第二标识验证宿主机的合法性。
[0013]进一步的,所述用户的第一标识包括且不限于用户ID、用户证书和UKEY信息。
[0014]进一步的,所述宿主机的第二标识包括且不限于宿主机操作系统UUID和主板ID。
[0015]进一步的,所述虚拟机的第三标识为虚拟机的唯一标识。
[0016]本专利技术还提出了一种基于身份认证的虚拟机加密系统,所述系统还包括:获取模块、生成模块和加密模块;
[0017]所述获取模块用于获取用户的第一标识、虚拟机所在宿主机的第二标识和虚拟机的第三标识;
[0018]所述生成模块用于在所述用户和宿主机均合法的前提下,使用所述第三标识生成虚拟机密钥;
[0019]所述加密模块用于建立第一标识、第二标识、第三标识和虚拟机密钥的一一映射;使用所述虚拟机密钥对所述虚拟机磁盘进行加密。
[0020]进一步的,所述系统还包括解密模块;
[0021]所述解密模块用于验证第一标识、第二标识、第三标识和虚拟机密钥的对应关系,在对应关系满足所述一一映射的基础上;采用第三标识作为解密密钥,解密虚拟机磁盘。
[0022]本专利技术还提出了一种设备,包括:
[0023]存储器,用于存储计算机程序;
[0024]处理器,用于执行所述计算机程序时实现所述的方法步骤。
[0025]本专利技术还提出了一种可读介质,所述可读介质上存储有计算机程序,所述计算机程序被处理器执行时实现所述的方法步骤。
[0026]
技术实现思路
中提供的效果仅仅是实施例的效果,而不是专利技术所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
[0027]本专利技术提出了一种基于身份认证的虚拟机加密方法、系统、设备和介质,该加密方法包括获取用户的第一标识、虚拟机所在宿主机的第二标识和虚拟机的第三标识;根据第一标识验证用户的合法性和根据第二标识验证宿主机的合法性,在用户和宿主机均合法的前提下,使用第三标识生成虚拟机密钥;建立第一标识、第二标识、第三标识和虚拟机密钥的一一映射;使用虚拟机密钥对所述虚拟机磁盘进行加密。以及验证第一标识、第二标识、第三标识和虚拟机密钥的对应关系,在对应关系满足所述一一映射的基础上;采用第三标识作为解密密钥,解密虚拟机磁盘。基于虚拟机加密方法,本专利技术还提出了一种基于身份认证的虚拟机加密系统、设备和介质。本专利技术维护建立用户、主机、虚拟机、虚拟机密钥的映射关系,将用户、主机、虚拟机绑定在一起,用户只能在特定的主机上,才能操作自己的加密虚拟机,其他用户,或者在其他主机上,无法操作其他用户所属的虚拟机。极大提高了数据安全性,降低了数据被窃取和篡改的风险。
附图说明
[0028]如图1为本专利技术实施例1一种基于身份认证的虚拟机加密方法流程图;
[0029]如图2为本专利技术实施例1一种基于身份认证的虚拟机解密方法流程图;
[0030]如图3为本专利技术实施例2一种基于身份认证的虚拟机加密系统示意图。
具体实施方式
[0031]为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开,下文中对特定例子的部件和设置进行描述。此外,本专利技术可以
在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本专利技术省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本专利技术。
[0032]实施例1
[0033]本专利技术实施例1提出了一种基于身份认证的虚拟机加密方法。从用户的登录信息中获取用户的唯一标识,和宿主机唯一标识、虚拟机唯一标识共同作为入参传递至密钥服务器(KMS),密钥服务器(KMS)首先验证请求端登录用户的合法性,然后再验证宿主机的合法性,二者都合法的情况下,再使用虚拟机的唯一标识生成虚拟机唯一的密钥,虚拟机磁盘加密时使用虚拟机密钥,加密落盘数据,数据读取时,使用系统虚拟机密钥唯一标识作为解密密钥,解密磁盘数据。
[0034]如图1为本专利技术实施例1一种基于身份认证的虚拟机加密方法流程图。
[0035]在步骤S101中,获取用户的第一标识、虚拟机所在宿主机的第二标识和虚拟机的第三标识。
[0036]用户的第一标识包括且不限于用户ID、用户证书和UKEY信息。
[0037]宿主机的第二标识包括且不限于宿主机操作系统UUID和主板ID。
[0038本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于身份认证的虚拟机加密方法,其特征在于,包括以下步骤:获取用户的第一标识、虚拟机所在宿主机的第二标识和虚拟机的第三标识;在所述用户和宿主机均合法的前提下,使用所述第三标识生成虚拟机密钥;建立第一标识、第二标识、第三标识和虚拟机密钥的一一映射;使用所述虚拟机密钥对所述虚拟机磁盘进行加密。2.根据权利要求1所述的一种基于身份认证的虚拟机加密方法,其特征在于,所述方法还包括对所述虚拟机磁盘进行解密;所述解密的过程为:验证第一标识、第二标识、第三标识和虚拟机密钥的对应关系,在对应关系满足所述一一映射的基础上;采用第三标识作为解密密钥,解密虚拟机磁盘。3.根据权利要求1所述的一种基于身份认证的虚拟机加密方法,其特征在于,所述验证用户和宿主机合法性的过程为:根据所述第一标识验证用户的合法性和根据所述第二标识验证宿主机的合法性。4.根据权利要求1所述的一种基于身份认证的虚拟机加密方法,其特征在于,所述用户的第一标识包括且不限于用户ID、用户证书和UKEY信息。5.根据权利要求1所述的一种基于身份认证的虚拟机加密方法,其特征在于,所述宿主机的第二标识包括且不限于宿主机操作系统UUID和主板ID。6.根...
【专利技术属性】
技术研发人员:王理想,左兰海,刘海伟,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。