CN103020543A - 一种虚拟磁盘映像加密管理***及方法 - Google Patents
一种虚拟磁盘映像加密管理***及方法 Download PDFInfo
- Publication number
- CN103020543A CN103020543A CN2012105934812A CN201210593481A CN103020543A CN 103020543 A CN103020543 A CN 103020543A CN 2012105934812 A CN2012105934812 A CN 2012105934812A CN 201210593481 A CN201210593481 A CN 201210593481A CN 103020543 A CN103020543 A CN 103020543A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- disk image
- encrypted
- key
- symmetric key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟磁盘映像加密管理***及方法,涉及信息安全技术领域。本发明公开的***至少包括:虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像;对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。本发明还公开了一种虚拟磁盘映像加密管理方法。本申请技术方案保护整个虚拟机磁盘映像的安全,从而保护云或虚拟化环境下用户的数据安全。并且,方便了云或虚拟化管理中心对加密虚拟机磁盘映像的管理。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及云计算或虚拟化环境中数据保护的***。
背景技术
云计算是当前发展十分迅猛的新兴产业,被认为是继微型计算机、互联网后的第三次IT革命。主流IT公司、电信运营商以及新兴的创新公司都将大量精力投入于云计算中,目前已构成了一个较为完整的云计算生态环境。除了技术上的融合、创新,云计算还为社会信息化带来了全新的服务模式,各种各样的产品和服务都以云命名,如云计算、云软件、云存储、云安全、云灾备等。
云计算这一新兴事物在给社会带来效益的同时也带来了一些新的安全问题,由于虚拟化和多租户的引入,如数据隔离、隐私保护等安全问题也日益受人们关注。Forrester Research公司在2009年的调查显示,有51%的中小型企业认为安全性和隐私问题是它们尚未选择云服务的最主要原因。
云环境中的数据安全可分为几个方面,从数据的区域来划分,有:
1.边界内部安全,如虚拟化环境边界、主机的边界、虚拟机的边界,以及虚拟网络及子网的边界安全等。
2.边界之间的安全,如用户与虚拟化环境之间、虚拟机与虚拟机之间、用户A的数据与用户B的数据之间的隔离安全等。
3.边界的嵌套安全,如虚拟化环境边界相对于主机边界、主机边界相对于虚拟机边界等。
从数据的状态来划分,可分为:
1.动态数据。动态数据可分为如下两种状态:
a)传输态的数据,如边界A到边界B之间传输的数据、被拷贝的内存数据、共享的内存数据等。
b)运算态的数据,如在CPU或虚拟CPU中进行运算的数据。
2.静态数据,如虚拟机磁盘中的数据、共享存储中的用户数据等。
目前,大部分的云或虚拟化环境中的数据安全产品仍沿用传统的方式,在虚拟机中安装加密驱动,加密磁盘某一卷或分区的数据,这一方式能有效保护用户的数据安全,但也未充分利用虚拟化环境的特点。
发明内容
本发明所要解决的技术问题是,提供一种虚拟磁盘映像加密管理***及方法,以充分利用虚拟化的特点,更高效、安全的保护用户虚拟机中的数据。
为了解决上述技术问题,本发明公开了一种虚拟磁盘映像加密管理***,至少包括对称密钥管理中心以及安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理,其中:
所述虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
较佳地,上述***中,所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指:
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求 时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
较佳地,上述***中,所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。
较佳地,上述***中,所述虚拟机加密磁盘映像管理代理分为可qemu-kvm代理和对称密钥管理客户端,其中:
qemu-kvm代理,根据虚拟机加密磁盘的通用唯一标识码(UUID)提交密钥请求给所述对称密钥管理客户端和接收返回的密钥信息,根据返回的密钥信息生成虚拟机加密磁盘映像,以及根据用户操作对生成的虚拟机加密磁盘映像进行管理,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;
对称密钥管理客户端,根据qemu-kvm代理提交的密钥请求与对称密钥管理中心通信,并将对称密钥管理中心发送的密钥信息返回给qemu-kvm代理。
较佳地,上述***中,所述对称密钥管理客户端与对称密钥管理中心通信指:
所述对称密钥管理客户端将根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥生成请求;或者
根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。
较佳地,上述***中,所述对称密钥管理中心包括密码生成模块、存储密钥和虚拟机信息的数据库模块和对称密钥管理服务模块,其中:
密码生成模块,采用密码学安全的成熟伪随机数生成算法,提供分组密钥AES的密钥生成;
数据库表模块,存储有各虚拟机加密磁盘映像文件名称及其对应虚拟机、用户信息,其中,包含的表项包括:虚拟机加密磁盘映像UUID、用户ID、对称密钥ID、加密后的对称密钥、密钥生成时间、密钥最近修改时间、密钥状态;
对称密钥管理服务模块,为各虚拟机加密磁盘映像管理代理提供管理服务,所述管理服务包括查询密钥、删除密钥以及更新密钥。
较佳地,上述***中,所述密码生成模块生成128位、192位以及256位AES分组密钥。
本发明还公开了一种虚拟磁盘映像加密管理方法,包括:
安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息;
所述对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理;
所述虚拟机加密磁盘映像管理代理根据所获取的密钥信息,生成虚拟机加密磁盘映像,根据用户操作对所生成的虚拟机加密磁盘映像进行管理,其中,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作。
较佳地,上述方法中,所述对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指:
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求 时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
较佳地,上述方法中,所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。
较佳地,上述方法中,所述虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息指:
所述虚拟机加密磁盘映像管理代理根据虚拟机加密磁盘的通用唯一标识码(UUID)向所述对称密钥管理中心发送加密密钥生成请求;或者
根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。
本申请技术方案保护整个虚拟机磁盘映像的安全,从而保护云或虚拟化环境下用户的数据安全。并且,方便了云或虚拟化管理中心对加密虚拟机磁盘映像的管理。
附图说明
图1为本实施例中虚拟磁盘映像加密管理***的整体框架示意图;
图2为图1所示虚拟磁盘映像加密管理***的体系结构图;
图3为本实施例中虚拟机加密磁盘映像打开流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
实施例1
本申请发明人提出,可利用虚拟化平台KVM(kernel-based VirtualMachine,虚拟机)自身的特性和加密功能,在虚拟化监视器中安装虚拟机磁盘映像加密代理,通过代理控制磁盘映像的加密、打开等操作,并向外提供虚拟机磁盘映像管理API(Application Programming Interface,应用程序编程接口);通过独立的密钥管理中心管理加密密钥并验证代理和用户的身份,保证密钥的安全,从而保护虚拟机磁盘映像文件和磁盘中数据的安全。
基于上述思想,本实施例提供一种虚拟磁盘映像加密管理***,至少包括虚拟机加密磁盘映像管理代理和对称密钥管理中心。
其中,虚拟机加密磁盘映像管理代理,安装于每个虚拟化监视器中,根据用户操作与对称密钥管理中心交互,向对称密钥管理中心请求主机中安装的虚拟机加密磁盘的密钥信息、根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像;
其中,虚拟机加密磁盘映像管理API涵盖虚拟机运行全生命周期,包括虚拟机加密磁盘映像的生成、打开、快照、迁移、删除等操作。
具体地,虚拟机加密磁盘映像管理代理可分为可利用KVM虚拟化平台特性的qemu-kvm代理和对称密钥管理客户端。qemu-kvm代理,负责虚拟机加密磁盘映像管理API(即虚拟机加密磁盘映像的生成、挂载、打开、快照、迁移、删除等操作),以及提交密钥请求给对称密钥管理客户端和接收返回的密钥信息。对称密钥管理客户端,负责与对称密钥管理中心通信、将密钥信息返回给qemu-kvm代理。
虚拟机加密磁盘映像管理代理的工作过程如下:
qemu-kvm代理向对称密钥管理客户端请求生成或获取虚拟机加密磁盘映像的密钥信息,此时,对称密钥管理客户端经与密钥管理中心交互后返回所请求的密钥信息给qemu-kvm代理。其中,进一步地,对称密钥管理客户端与对称密钥管理中心的通信包括如下操作:
根据相应的虚拟机加密磁盘的唯一标识UUID(由qemu-kvm代理生成的,再由对称密钥管理客户端发送给密钥管理中心)(通用唯一标识码)请 求生成加密密钥;或者
根据相应的虚拟机加密磁盘的唯一标识UUID请求获取保存在对称密钥管理中心的加密密钥。
对称密钥管理中心,根据虚拟机加密磁盘映像管理代理的请求进行虚拟机加密磁盘映像加密密钥的生成、保存和管理。
优选地,对称密钥管理中心只为经认证的虚拟机加密磁盘映像管理代理提供服务,其可从云或虚拟机管理中心获取必要的用户管理信息,根据获取的用户管理信息,来判断发起管理操作的客户端是否为认证的客户端,如果是,再为认证的客户端的虚拟机加密磁盘映像进行对应的管理操作。
对称密钥管理中心从虚拟化管理中心获取必要的用户信息,指当密钥管理中心接收对称密钥管理客户端请求时,查询云或虚拟化管理中心或云或虚拟化管理中心主动发送信息,以验证密钥请求由用户发起而非从云计算中心内部发起,进一步加强用户的数据安全。
具体地,对称密钥管理中心包括一个提供随机生成安全对称密钥的密码生成模块,一个存储密钥和虚拟机信息的数据库模块和一个对外提供对称密钥管理服务模块。
密码生成模块,采用密码学安全的成熟伪随机数生成算法,提供分组密钥AES的密钥生成,可生成128位、192位以及256位AES分组密钥。
数据库表模块,存储有各虚拟机加密磁盘映像文件名称及其对应虚拟机、用户信息,其中包含的表项包括:虚拟机加密磁盘映像UUID、用户ID、对称密钥ID、加密后的对称密钥、密钥生成时间、密钥最近修改时间、密钥状态等。
对称密钥管理服务模块,为各虚拟机加密磁盘映像管理代理(即其中的对称密钥管理客户端)提供服务,主要过程为:
对称密钥管理客户端向对称密钥管理中心的对称密钥管理服务模块发送请求,对称密钥管理服务模块通过客户端证书和用户使用信息(可保存在本地,或者实时查询云或虚拟化管理中心获得)验证客户端身份是否合法,若 合法则响应对称密钥管理客户端的请求,修改数据库中信息或发送所请求的密钥信息。包括请求密钥、查询密钥、删除密钥以及更新密钥等。
下面结合附图,说明实用应用中上述虚拟磁盘映像加密管理***可基于图1所示的网络框架。该图显示了管理***安装部署的典型环境、所需组件以及安装的位置。本***部署环境为云或虚拟化环境,图1以桌面云为例,存在桌面云管理中心以及虚拟化管理中心(VCenter)。虚拟化环境中存在多台主机,每台主机安装虚拟化平台,在虚拟化平台中运行多台虚拟机,通过共享存储storage保存虚拟机磁盘映像文件。本***在每台主机的虚拟化平台层,即虚拟机监视器中安装一个代理,负责管理虚拟机加密磁盘映像及提供管理API,通过一个独立的密钥管理中心提供加密所需的对称密钥。
具体地,虚拟磁盘映像加密管理***的结构如图2所示。其是对图1中整体框架的抽象和对其中关键组件的具体化。虚拟磁盘映像加密管理***主要由两大组件构成,虚拟机加密磁盘映像管理代理和对称密钥管理中心。其中虚拟机加密磁盘映像管理代理安装于每台物理主机中,对称密钥管理中心为一***立的物理设备。
虚拟机加密磁盘映像管理代理由qemu-kvm代理和对称密钥管理客户端两个组件组成,qemu-kvm代理通过KVM虚拟化平台的qemu-kvm模块管理虚拟机磁盘映像文件,实现加密磁盘映像文件的生成、打开、快照、迁移、删除等功能,并向外提供管理API,管理API包括:
(1)虚拟机加密磁盘映像生成功能:生成空的虚拟机加密磁盘映像;
(2)虚拟机加密磁盘映像打开功能:打开已生成的虚拟机加密磁盘映像;
(3)虚拟机加密磁盘映像快照功能:为已有的虚拟机磁盘映像做快照,以在必要时恢复虚拟机状态;
(4)加密虚拟机迁移功能:支持将加密虚拟机从一台物理主机迁移至另一台安装有该管理代理的物理主机;
(5)虚拟机加密磁盘映像删除功能等。
对称密钥管理中心由三个主要模块组成:
A、提供随机生成安全对称密钥的密码模块;
B、存储密钥和虚拟机信息的数据库模块;
C、对外提供对称密钥管理服务的模块。
模块A采用密码学安全的随机数生成算法,实际应用时根据实际情况决定采用合适的算法。模块A可生成128位、192位、256位的AES分组密码密钥。
模块B保存必要的密钥信息,包括虚拟机加密磁盘映像UUID、用户ID、对称密钥ID、加密后的对称密钥、密钥生成时间、密钥最近修改时间、密钥状态等。其中对称密钥用密文保存,方法为使用密钥管理中心的主密钥加密后保存在数据库中。
对称密钥管理中心的主密钥应保持定期自动更新,更新周期根据实际应用环境决定。
模块C整合模块A和B,以C/S模式提供对称密钥管理服务,客户端为安装在虚拟机加密磁盘映像管理代理中的对称密钥管理客户端。服务端和客户端通过SSL加密协议通信,通过预装在服务端和客户端中的证书来认证。
一次典型的服务器和客户端通讯步骤为:
(1)客户端向服务端发起连接;
(2)服务端和客户端进行双向认证并协商产生会话密钥;
(3)客户端发送请求;
(4)服务端响应请求;
(5)会话结束。
虚拟机加密磁盘映像管理全生命周期需要***中各个组件的协作,图3以在桌面云环境中虚拟机加密磁盘映像打开为例描述了各组件之间的关联顺序。图3中各步骤分别为:
(1)桌面管理中心向虚拟机加密磁盘映像管理代理发送启动虚拟机命令;
(2)管理代理通过qemu-kvm调用虚拟化平台相关命令;
(3)qemu-kvm判断虚拟机磁盘映像为加密格式,等待管理代理输入磁 盘映像的加密密钥;
(4)管理代理使用虚拟机加密磁盘映像的UUID向密钥管理中心询问密钥;
(5)密钥管理中心对代理进行认证后向桌面管理中心查询对应虚拟机的使用状态;
(6)桌面管理中心返回虚拟机的使用状态;
(7)密钥管理中心根据上一步返回信息决定是否发送密钥给代理。
虚拟机加密磁盘映像管理全生命周期中的其他如创建、快照、迁移、删除等操作于上述步骤类似,这里不再赘述。
实施例2
本实施例提供一种虚拟磁盘映像加密管理方法,包括如下步骤操作:
步骤100,安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息;
步骤200,对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理;
优选地,对称密钥管理中心在收到根据虚拟机加密磁盘映像管理代理的请求时,还需要确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才将该虚拟机加密磁盘的密钥信息发送给虚拟机加密磁盘映像管理代理。
步骤300,虚拟机加密磁盘映像管理代理根据所获取的密钥信息,生成虚拟机加密磁盘映像,根据用户操作对所生成的虚拟机加密磁盘映像进行管理,其中,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作。
要说明的是,在上述方法中,述虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息时,可以根据虚拟机加密磁盘的通用 唯一标识码(UUID)向对称密钥管理中心发送加密密钥生成请求或者加密密钥获取请求。而对应的地,对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求时,可能即时生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给虚拟机加密磁盘映像管理代理。也可能已为该虚拟机加密磁盘生成过密钥信息,此时,对称密钥管理中心将本地已保存的密钥信息发送给虚拟机加密磁盘映像管理代理即可。
上述方法实现过程中的其他细节可参见上述实施例1对应的描述,在此不赘述。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种虚拟磁盘映像加密管理***,其特征在于,该***至少包括对称密钥管理中心以及安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理,其中:
所述虚拟机加密磁盘映像管理代理,向所述对称密钥管理中心请求获取密钥信息,根据所获取的密钥信息,生成虚拟机加密磁盘映像,并根据用户操作管理虚拟机加密磁盘映像,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
2.如权利要求1所述的***,其特征在于,所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指:
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
3.如权利要求2所述的***,其特征在于,
所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。
4.如权利要求1、2或3所述的***,其特征在于,所述虚拟机加密磁盘映像管理代理分为可qemu-kvm代理和对称密钥管理客户端,其中:
qemu-kvm代理,根据虚拟机加密磁盘的通用唯一标识码(UUID)提交密钥请求给所述对称密钥管理客户端和接收返回的密钥信息,根据返回的密钥信息生成虚拟机加密磁盘映像,以及根据用户操作对生成的虚拟机加密磁盘映像进行管理,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作;
对称密钥管理客户端,根据qemu-kvm代理提交的密钥请求与对称密钥管理中心通信,并将对称密钥管理中心发送的密钥信息返回给qemu-kvm代理。
5.如权利要求4所述的***,其特征在于,所述对称密钥管理客户端与对称密钥管理中心通信指:
所述对称密钥管理客户端将根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥生成请求;或者
根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。
6.如权利要求4所述的***,其特征在于,所述对称密钥管理中心包括密码生成模块、存储密钥和虚拟机信息的数据库模块和对称密钥管理服务模块,其中:
密码生成模块,采用密码学安全的成熟伪随机数生成算法,提供分组密钥AES的密钥生成;
数据库表模块,存储有各虚拟机加密磁盘映像文件名称及其对应虚拟机、用户信息,其中,包含的表项包括:虚拟机加密磁盘映像UUID、用户ID、对称密钥ID、加密后的对称密钥、密钥生成时间、密钥最近修改时间、密钥状态;
对称密钥管理服务模块,为各虚拟机加密磁盘映像管理代理提供管理服务,所述管理服务包括查询密钥、删除密钥以及更新密钥。
7.如权利要求6所述的***,其特征在于,
所述密码生成模块生成128位、192位以及256位AES分组密钥。
8.一种虚拟磁盘映像加密管理方法,其特征在于,该方法包括:
安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息;
所述对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理;
所述虚拟机加密磁盘映像管理代理根据所获取的密钥信息,生成虚拟机加密磁盘映像,根据用户操作对所生成的虚拟机加密磁盘映像进行管理,其中,所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作。
9.如权利要求8所述的方法,其特征在于,所述对称密钥管理中心接收所述虚拟机加密磁盘映像管理代理的请求,将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指:
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,生成虚拟机加密磁盘映像的密钥信息,再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理;或者
所述对称密钥管理中心,收到所述虚拟机加密磁盘映像管理代理的请求时,将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。
10.如权利要求9所述的方法,其特征在于,
所述对称密钥管理中心,根据所述虚拟机加密磁盘映像管理代理的请求时,还确定发起请求的客户端是否为认证的客户端,仅当发起请求的客户端为认证的客户端时,才生成虚拟机加密磁盘映像加密密钥。
11.如权利要求8、9或10所述的方法,其特征在于,所述虚拟机加密磁盘映像管理代理向网络侧的对称密钥管理中心请求获取密钥信息指:
所述虚拟机加密磁盘映像管理代理根据虚拟机加密磁盘的通用唯一标识码(UUID)向所述对称密钥管理中心发送加密密钥生成请求;或者
根据虚拟机加密磁盘的UUID向所述对称密钥管理中心发送加密密钥获取请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210593481.2A CN103020543B (zh) | 2012-12-31 | 2012-12-31 | 一种虚拟磁盘映像加密管理***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210593481.2A CN103020543B (zh) | 2012-12-31 | 2012-12-31 | 一种虚拟磁盘映像加密管理***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103020543A true CN103020543A (zh) | 2013-04-03 |
| CN103020543B CN103020543B (zh) | 2016-08-03 |
Family
ID=47969137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210593481.2A Expired - Fee Related CN103020543B (zh) | 2012-12-31 | 2012-12-31 | 一种虚拟磁盘映像加密管理***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103020543B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468458A (zh) * | 2013-09-12 | 2015-03-25 | 中国电信股份有限公司 | 客户工作负载迁移到云环境的方法和***以及迁移代理 |
| CN104780048A (zh) * | 2015-04-13 | 2015-07-15 | 中国电子科技集团公司第二十八研究所 | 一种轻量级的镜像文件加密***和方法 |
| WO2017128720A1 (zh) * | 2016-01-27 | 2017-08-03 | 华为技术有限公司 | 基于vtpm对虚拟机进行安全保护的方法及*** |
| CN107111728A (zh) * | 2014-08-04 | 2017-08-29 | 甲骨文国际公司 | 安全密钥导出功能 |
| CN107609414A (zh) * | 2017-09-26 | 2018-01-19 | 国云科技股份有限公司 | 一种桌面云自动防止数据泄漏的方法 |
| CN109376119A (zh) * | 2018-10-30 | 2019-02-22 | 郑州云海信息技术有限公司 | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 |
| CN111190695A (zh) * | 2019-12-27 | 2020-05-22 | 山东乾云启创信息科技股份有限公司 | 一种基于鲲鹏芯片的虚拟机保护方法及装置 |
| CN118153080A (zh) * | 2024-05-11 | 2024-06-07 | 三未信安科技股份有限公司 | 一种kvm虚拟化密码机调用密码卡的***及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100011210A1 (en) * | 2005-05-13 | 2010-01-14 | Scarlata Vincent R | Method And Apparatus For Remotely Provisioning Software-Based Security Coprocessors |
| CN102194063A (zh) * | 2010-03-12 | 2011-09-21 | 北京路模思科技有限公司 | 一种基于虚拟机技术安全管理使用密钥证书的方法和*** |
| CN102609643A (zh) * | 2012-01-10 | 2012-07-25 | 道里云信息技术(北京)有限公司 | 一种对虚拟机作动态密码学保护与所需的密钥管理方法 |
-
2012
- 2012-12-31 CN CN201210593481.2A patent/CN103020543B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100011210A1 (en) * | 2005-05-13 | 2010-01-14 | Scarlata Vincent R | Method And Apparatus For Remotely Provisioning Software-Based Security Coprocessors |
| CN102194063A (zh) * | 2010-03-12 | 2011-09-21 | 北京路模思科技有限公司 | 一种基于虚拟机技术安全管理使用密钥证书的方法和*** |
| CN102609643A (zh) * | 2012-01-10 | 2012-07-25 | 道里云信息技术(北京)有限公司 | 一种对虚拟机作动态密码学保护与所需的密钥管理方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468458A (zh) * | 2013-09-12 | 2015-03-25 | 中国电信股份有限公司 | 客户工作负载迁移到云环境的方法和***以及迁移代理 |
| CN104468458B (zh) * | 2013-09-12 | 2018-09-11 | 中国电信股份有限公司 | 客户工作负载迁移到云环境的方法和***以及迁移代理 |
| CN107111728A (zh) * | 2014-08-04 | 2017-08-29 | 甲骨文国际公司 | 安全密钥导出功能 |
| CN107111728B (zh) * | 2014-08-04 | 2020-07-14 | 甲骨文国际公司 | 安全密钥导出功能 |
| CN104780048B (zh) * | 2015-04-13 | 2018-04-10 | 中国电子科技集团公司第二十八研究所 | 一种轻量级的镜像文件加密***和方法 |
| CN104780048A (zh) * | 2015-04-13 | 2015-07-15 | 中国电子科技集团公司第二十八研究所 | 一种轻量级的镜像文件加密***和方法 |
| WO2017128720A1 (zh) * | 2016-01-27 | 2017-08-03 | 华为技术有限公司 | 基于vtpm对虚拟机进行安全保护的方法及*** |
| US10922117B2 (en) | 2016-01-27 | 2021-02-16 | Huawei Technologies Co., Ltd. | VTPM-based virtual machine security protection method and system |
| CN107609414A (zh) * | 2017-09-26 | 2018-01-19 | 国云科技股份有限公司 | 一种桌面云自动防止数据泄漏的方法 |
| CN109376119A (zh) * | 2018-10-30 | 2019-02-22 | 郑州云海信息技术有限公司 | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 |
| CN109376119B (zh) * | 2018-10-30 | 2021-10-26 | 郑州云海信息技术有限公司 | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 |
| CN111190695A (zh) * | 2019-12-27 | 2020-05-22 | 山东乾云启创信息科技股份有限公司 | 一种基于鲲鹏芯片的虚拟机保护方法及装置 |
| CN118153080A (zh) * | 2024-05-11 | 2024-06-07 | 三未信安科技股份有限公司 | 一种kvm虚拟化密码机调用密码卡的***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103020543B (zh) | 2016-08-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6821857B2 (ja) | 連携ログオンプロバイダの依存パーティへのシングルサインオンの拡張 | |
| CN109558721B (zh) | 客户端应用程序的安全单点登录和条件访问的方法和*** | |
| US11627120B2 (en) | Dynamic crypto key management for mobility in a cloud environment | |
| JP6539357B2 (ja) | ハイブリッドクラウドサービスのためのパスワードの暗号化 | |
| US9602474B2 (en) | Controlling mobile device access to secure data | |
| CN105184154B (zh) | 一种在虚拟化环境中提供密码运算服务的***和方法 | |
| CN103020543B (zh) | 一种虚拟磁盘映像加密管理***及方法 | |
| CN105340309A (zh) | 具有多个操作模式的应用 | |
| CN105637523A (zh) | 用于移动设备管理类型保护的安全客户端驱动映射和文件存储*** | |
| US8745371B2 (en) | Unified network architecture having storage devices with secure boot devices | |
| CN112789841A (zh) | 在远程访问或基于云的网络环境中访问资源 | |
| CN104904178A (zh) | 提供虚拟化专用网络隧道 | |
| CN111066307B (zh) | 包装延续令牌以支持跨不同地理位置的多个服务器的分页 | |
| US20130173903A1 (en) | Unified network architecture having storage devices with secure boot devices | |
| US10721719B2 (en) | Optimizing caching of data in a network of nodes using a data mapping table by storing data requested at a cache location internal to a server node and updating the mapping table at a shared cache external to the server node | |
| JP2021535521A (ja) | 仮想デスクトップでのローカルマップアカウント | |
| US9582676B2 (en) | Adding or replacing disks with re-key processing | |
| CN113574837A (zh) | 跟踪客户端设备上的图像发送者 | |
| US20130173906A1 (en) | Cloning storage devices through secure communications links | |
| CN117763529A (zh) | 一种实现云桌面与云应用融合管理的方法 | |
| WO2013103555A1 (en) | Providing cluster storage with fibre channel over ethernet and multipath input/output | |
| NZ627032B2 (en) | Secure data communications with network back end devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160803 Termination date: 20211231 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |