本发明专利技术公开了一种虚拟磁盘映像加密管理系统及方法,涉及信息安全技术领域。本发明专利技术公开的系统至少包括:虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像;对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。本发明专利技术还公开了一种虚拟磁盘映像加密管理方法。本申请技术方案保护整个虚拟机磁盘映像的安全,从而保护云或虚拟化环境下用户的数据安全。并且,方便了云或虚拟化管理中心对加密虚拟机磁盘映像的管理。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及云计算或虚拟化环境中数据保护的系统。
技术介绍
云计算是当前发展十分迅猛的新兴产业,被认为是继微型计算机、互联网后的第三次IT革命。主流IT公司、电信运营商以及新兴的创新公司都将大量精力投入于云计算中,目前已构成了一个较为完整的云计算生态环境。除了技术上的融合、创新,云计算还为社会信息化带来了全新的服务模式,各种各样的产品和服务都以云命名,如云计算、云软件、云存储、云安全、云灾备等。云计算这一新兴事物在给社会带来效益的同时也带来了一些新的安全问题,由于虚拟化和多租户的引入,如数据隔离、隐私保护等安全问题也日益受人们关注。ForresterResearch公司在2009年的调查显示,有51 %的中小型企业认为安全性和隐私问题是它们尚未选择云服务的最主要原因。云环境中的数据安全可分为几个方面,从数据的区域来划分,有1.边界内部安全,如虚拟化环境边界、主机的边界、虚拟机的边界,以及虚拟网络及子网的边界安全等。2.边界之间的安全,如用户与虚拟化环境之间、虚拟机与虚拟机之间、用户A的数据与用户B的数据之间的隔离安全等。3.边界的嵌套安全,如虚拟化环境边界相对于主机边界、主机边界相对于虚拟机边界等。从数据的状态来划分,可分为1.动态数据。动态数据可分为如下两种状态a)传输态的数据,如边界A到边界B之间传输的数据、被拷贝的内存数据、共享的内存数据等。b)运算态的数据,如在CPU或虚拟CPU中进行运算的数据。2.静态数据,如虚拟机磁盘中的数据、共享存储中的用户数据等。目前,大部分的云或虚拟化环境中的数据安全产品仍沿用传统的方式,在虚拟机中安装加密驱动,加密磁盘某一卷或分区的数据,这一方式能有效保护用户的数据安全,但也未充分利用虚拟化环境的特点。
技术实现思路
本专利技术所要解决的技术问题是,提供,以充分利用虚拟化的特点,更高效、安全的保护用户虚拟机中的数据。为了解决上述技术问题,本专利技术公开了一种虚拟磁盘映像加密管理系统,至少包括对称密钥管理中心以及安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理,其中所述虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。较佳地,上述系统中,所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。较佳地,上述系统中,所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。较佳地,上述系统中,所述虚拟机加密磁盘映像管理代理分为可qemu-kvm代理和对称密钥管理客户端,其中qemu-kvm代理,根据虚拟机加密磁盘的通用唯一标识码(UUID)提交密钥请求给所述对称密钥管理客户端和接收返回的密钥信息,根据返回的密钥信息生成虚拟机加密磁盘映像,以及根据用户操作对生成的虚拟机加密磁盘映像进行管理,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;对称密钥管理客户端,根据qemu-kvm代理提交的密钥请求与对称密钥管理中心通信,并将对称密钥管理中心发送的密钥信息返回给qemu-kvm代理。较佳地,上述系统中,所述对称密钥管理客户端与对称密钥管理中心通信指所述对称密钥管理客户端将根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥生成请求;或者根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。较佳地,上述系统中,所述对称密钥管理中心包括密码生成模块、存储密钥和虚拟机信息的数据库模块和对称密钥管理服务模块,其中密码生成模块,采用密码学安全的成熟伪随机数生成算法,提供分组密钥AES的密钥生成;数据库表模块,存储有各虚拟机加密磁盘映像文件名称及其对应虚拟机、用户信息,其中,包含的表项包括虚拟机加密磁盘映像UUID、用户ID、对称密钥ID、加密后的对称密钥、密钥生成时间、密钥最近修改时间、密钥状态;对称密钥管理服务模块,为各虚拟机加密磁盘映像管理代理提供管理服务,所述管理服务包括查询密钥、删除密钥以及更新密钥。较佳地,上述系统中,所述密码生成模块生成128位、192位以及256位AES分组密钥。本专利技术还公开了一种虚拟磁盘映像加密管理方法,包括安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息;所述对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理;所述虚拟机加密磁盘映像管理代理根据所获取的密钥信息,生成虚拟机加密磁盘映像,根据用户操作对所生成的虚拟机加密磁盘映像进行管理,其中,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作。较佳地,上述方法中,所述对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。较佳地,上述方法中,所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。较佳地,上述方法中,所述虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息指所述虚拟机加密磁盘映像管理代理根据虚拟机加密磁盘的通用唯一标识码(UUID)向所述对称密钥管理中心发送加密密钥生成请求;或者根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。本申请技术方案保护整个虚拟机磁盘映像的安全,从而保护云或虚拟化环境下用户的数据安全。并且,方便了云或虚拟化管理中心对加密虚拟机磁盘映像的管理。附图说明图1为本实施例中虚拟磁盘映像加密管理系统的整体框架示意图;图2为图1所示虚拟磁盘映像加密管理系统的体系结构图;图3为本实施例中虚拟机加密磁盘映像打开流程图。具体实施例方式为使本专利技术的目的、技术方案和优点更加清楚明白,下文将结合附图对本专利技术技术方案作进一步详细说明。需要说明的是,在不冲突的情本文档来自技高网...
【技术保护点】
一种虚拟磁盘映像加密管理系统,其特征在于,该系统至少包括对称密钥管理中心以及安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理,其中:所述虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
【技术特征摘要】
1.一种虚拟磁盘映像加密管理系统,其特征在于,该系统至少包括对称密钥管理中心以及安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理,其中 所述虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作; 所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。2.如权利要求1所述的系统,其特征在于,所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指 所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者 所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。3.如权利要求2所述的系统,其特征在于, 所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。4.如权利要求1、2或3所述的系统,其特征在于,所述虚拟机加密磁盘映像管理代理分为可qemu-kvm代理和对称密钥管理客户端,其中 qemu-kvm代理,根据虚拟机加密磁盘的通用唯一标识码(UUID)提交密钥请求给所述对称密钥管理客户端和接收返回的密钥信息,根据返回的密钥信息生成虚拟机加密磁盘映像,以及根据用户操作对生成的虚拟机加密磁盘映像进行管理,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作; 对称密钥管理客户端,根据qemu-kvm代理提交的密钥请求与对称密钥管理中心通信,并将对称密钥管理中心发送的密钥信息返回给qemu-kvm代理。5.如权利要求4所述的系统,其特征在于,所述对称密钥管理客户端与对称密钥管理中心通信指 所述对称密钥管理客户端将根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥生成请求;或者 根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。6.如权利要求4所述的系统,其特征在于,所述对称密钥管理中心包括密码生...
【专利技术属性】
技术研发人员:汪宏,叶润国,胡振宇,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。