TWI474189B - Automatic file encryption and decryption system - Google Patents

Automatic file encryption and decryption system Download PDF

Info

Publication number
TWI474189B
TWI474189B TW101127550A TW101127550A TWI474189B TW I474189 B TWI474189 B TW I474189B TW 101127550 A TW101127550 A TW 101127550A TW 101127550 A TW101127550 A TW 101127550A TW I474189 B TWI474189 B TW I474189B
Authority
TW
Taiwan
Prior art keywords
cloud
module
virtual host
encryption
data
Prior art date
Application number
TW101127550A
Other languages
English (en)
Other versions
TW201405325A (zh
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW101127550A priority Critical patent/TWI474189B/zh
Publication of TW201405325A publication Critical patent/TW201405325A/zh
Application granted granted Critical
Publication of TWI474189B publication Critical patent/TWI474189B/zh

Links

Landscapes

  • Storage Device Security (AREA)

Description

雲端檔案自動加解密系統
本發明係關於一種雲端檔案自動加解密系統,特別為一種應用於雲端平台虛擬化主機服務的資料存取加解密系統。在雲端服務平台系統中直接加入資訊安全模組,利用攔截系統指令的方式,進行虛擬化主機操作行為的驗證,以及存取資料的加解密。另搭配金鑰管理伺服器保護金鑰儲存安全。
資訊產業、網路基礎設施與網路技術不斷的提升,促成了雲端服務時代的來臨,讓雲端服務成為近來最熱門的話題。雲端服務是運用網路溝通多個主機進行運算工作;或是讓使用者能利用多樣化的連線裝置,如:個人電腦、筆記型電腦及智慧型手機等設備,藉由網路連線隨時隨地存取及使用雲端服務提供者所提供之整合性資訊服務以及資源。
雲端服務大量採用虛擬化技術與架構,所衍生的資訊安全管理問題與以往傳統資訊安全領域不盡相同,加上雲端虛擬化主機服務之主機設備與資料皆建置、儲存於服務提供者的機房,不在使用者可控制的範圍,此一特性讓大型企業在使用雲端服務時有很大的疑慮。為增進使用者的信任度,除發展雲端服務資訊安全管理,另需提供資料儲 存安全之防護,以提升使用者對虛擬化主機服務的接受度。
在實務上,要達到資料儲存安全之防護可藉由資料加密的方式達成,而依防護面向的不同可區分為兩種,一是建置於使用者的虛擬主機上,此方式需額外安裝程式,且進行資料加密時可能需變更使用者習慣,導致使用者的接受度低;另一方式是建置於雲端服務平台系統上,讓資料加密行為不影響變使用者。現有建置於雲端服務平台的資料儲存防護方法,皆是透過額外的硬體模組進行儲存設備的加密及存取管控,其建設成本較高。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經苦心孤詣潛心研究後,終於成功研發完成本件發明可解決雲端虛擬化主機資料儲存防護問題。
本發明之目的即在於提供一種雲端檔案自動加解密系統,利用資訊安全模組對系統的操作行為進行驗證,並對主機資料的存取進行即時加解密,達到增進雲端平台虛擬化主機服務資訊安全防護的目的;藉由攔截系統I\O的方式,使資料加密流程不需變更系統操作流程,達到不影響使用者操作習慣的目的。利用建置資訊安全模組於雲端服務平台系統上的方式,可達到降低雲端平台系統建置成 本的目的。
達成上述發明目的之一種雲端檔案自動加解密系統,係應用於雲端平台虛擬化主機服務的資料存取加解密系統,在系統資料處理流程中加入資訊安全模組,其中包含雲端虛擬主機管理安全模組、金鑰管控模組、雲端虛擬主機系統I\O攔截模組、加解密模組,另搭配金鑰管理伺服器保護金鑰儲存安全。資訊安全模組,係利用攔截系統指令的方式,當虛擬主機進行開啟、移轉、備份、關閉等具變更系統資料之操作時,資訊安全模組會對系統的操作行為進行驗證,並在讀寫儲存設備或檔案的過程中進行即時的資料加解密。
請參閱圖1所示,為本發明一種雲端檔案自動加解密系統之實施架構示意圖,包含雲端服務平台資料安全防護模組1,係建置於雲端服務平台系統上的資訊安全模組,為一軟體式系統安全模組,不需另外架設硬體模組,其中雲端服務平台系統可為Xen或KVM等雲端服務虛擬化平台系統。
雲端服務平台資料安全防護模組1包含有嵌入於雲端虛擬主機管理系統的雲端虛擬主機管理安全模組11,利用在雲端虛擬主機管理模組中設定攔截點,以攔截雲端虛擬主機管理指令,如:虛擬主機開啟、移轉、備份、關 閉等,在攔截到管理指令後,會呼叫雲端服務平台資料安全防護模組1中的雲端虛擬主機管理安全模組11,將資料處理流程由雲端虛擬主機管理模組導向雲端虛擬主機管理安全模組,待安全模組執行資訊驗證處理完成後,再將資料處理流程導回雲端虛擬主機管理模組,完成正常的資料處理流程。
雲端虛擬主機管理安全模組11會向金鑰管控模組12要求進行虛擬主機資訊與金鑰資訊比對,以驗證該虛擬主機之管理指令是否來自有權限人員的操作,在完成資訊比對後金鑰管控模組12會將驗證結果回傳至雲端虛擬主機管理安全模組11,當驗證資訊結果為正確時,雲端虛擬主機管理安全模組11會放行攔截到的雲端虛擬主機管理指令,使管理流程正確進行虛擬主機的開啟、移轉、備份、關閉等動作;如驗證資訊結果為不正確時,將攔阻雲端虛擬主機管理指令的執行。
金鑰管控模組12在接收到雲端虛擬主機管理安全模組11的驗證要求時,會以金鑰管控模組12中已存在的金鑰資訊先進行比較,如無相對應之金鑰資訊,則利用虛擬主機資訊向金鑰管理伺服器13要求金鑰資訊,待回傳金鑰資訊後再進行資訊比對,當資訊驗證正確,金鑰管控模組12會先將金鑰資訊暫存於模組中,以方便下次的驗證使用,藉以提升權限驗證的效率,金鑰資訊暫存會始於虛 擬主機的開啟,而結束於虛擬主機的關閉。
金鑰管理伺服器13負責接收金鑰管控模組12送來的金鑰資訊要求,依照虛擬主機資訊參數回傳相對應的金鑰資訊給金鑰管控模組12。金鑰管理伺服器13採用標準的金鑰管理協定KMIP(Key Management Interoperability Protocol),與金鑰管控模組12之間的通訊協定則使用具安全性的傳輸協定SSL(Secure Sockets Layer),以保護金鑰資訊的安全。
雲端虛擬主機系統I\O攔截模組14嵌入於雲端虛擬主機I\O模組中,利用在雲端虛擬主機I\O模組中設定攔截點,攔截雲端虛擬主機I\O資訊,以取得在資料處理流程中讀取或寫入儲存設備的資料。在攔截到I\O資訊後,會呼叫雲端服務平台資料安全防護模組1中的雲端虛擬主機系統I\O攔截模組14,將資料處理流程由雲端虛擬主機I\O模組導向雲端虛擬主機系統I\O攔截模組,待安全模組執行資料加解密處理完成後,再將資料處理流程導回雲端虛擬主機I\O模組,完成正常的資料處理流程。
雲端虛擬主機系統I\O攔截模組14會將取得的資料傳送到資料加解密模組15,進行讀取資料的解密以及寫入資料的加密,待資料加解密完成並送回後,雲端虛擬主機系統I\O攔截模組14會放行所攔截到的雲端虛擬主機I\O動作,讓資料處理流程繼續正確進行。由於虛擬主機 讀取儲存設備的資料在雲端虛擬主機系統中已經過解密,所以虛擬主機能正確識別資料內容而不會有資料錯誤或無法識別的情況;而虛擬主機所寫入儲存設備的資料也在雲端虛擬主機系統中進行加密處理,所以儲存於設備的資料皆有經過加密處理。
資料加解密模組15負責加解密由雲端虛擬主機系統I\O攔截模組14所送來的讀取或寫入儲存設備資料,資料加解密模組15的加解密演算法使用磁碟加密演算法,可支援CBC、LRW、XEX、XTS、CMC and EME或ESSIV等加密演算法,搭配128 bits或256 bits金鑰對進行資料的加解密。加解密金鑰對是由資料加解密模組15依據儲存設備資訊向金鑰管控模組12要求資訊所產生,該資訊包含虛擬主機金鑰對的衍生資訊。
本發明所提供之一種雲端檔案自動加解密系統,與其他習用技術相互比較時,更具備下列優點:
1.本發明提供之系統為建置於雲端服務平台的資料存取防護方法,在資料處理流程中加入資訊安全模組,利用攔截系統指令的方式,可驗證虛擬主機進行開啟、關閉、系統操作等具變更資料之動作是否來自有權限人員的操作,增進雲端平台虛擬化主機服務資訊安全防護。
2.本發明提供之系統為建置於雲端服務平台的資料存取防護方法,在資料處理流程中加入資訊安全模組, 利用攔截系統I\O的方式,達成資料加密之目的。並達到不改變使用者操作習慣的目的。
3.本發明提供之系統為軟體資訊安全模組,不需另外架設硬體模組,即可達成資料加密之目的,可降低雲端服務平台系統建構成本。
4.本發明提供之資料加解密模組使用磁碟加密演算法,可支援CBC、LRW、XEX、XTS、CMC and EME或ESSIV等加密演算法,並可搭配128 bits或256 bits金鑰對進行資料的加解密。
5.本發明提供之金鑰管控模組搭配金鑰管理伺服器,採用標準的金鑰管理協定KMIP(Key Management Interoperability Protocol),金鑰資訊傳送通訊協定則使用具安全性的傳輸協定SSL(Secure Sockets Layer),可保護金鑰資訊的安全。
6.舉凡相關雲端服務平台系統,皆可使用本發明。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統系統所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至成德便。
1‧‧‧雲端服務平台資料安全防護模組
11‧‧‧雲端虛擬主機管理安全模組
12‧‧‧金鑰管控模組
13‧‧‧金鑰管理伺服器
14‧‧‧雲端虛擬主機系統I\O攔截模組
15‧‧‧資料加解密模組
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效;有關附圖為:圖1為本發明一種雲端檔案自動加解密系統之實施架構示意圖;
1‧‧‧雲端服務平台資料安全防護模組
11‧‧‧雲端虛擬主機管理安全模組
12‧‧‧金鑰管控模組
13‧‧‧金鑰管理伺服器
14‧‧‧雲端虛擬主機系統I\O攔截模組
15‧‧‧資料加解密模組

Claims (8)

  1. 一種雲端檔案自動加解密系統,係指一雲端服務平台資料安全防護模組,其係建置於雲端服務平台系統上的資訊安全模組,不需另外架設硬體模組,即可達成資料加密之目的,其中包含:一雲端虛擬主機管理安全模組,用以攔截雲端虛擬主機管理指令,並控制管理流程;一金鑰管控模組,進行該虛擬主機資訊與金鑰資訊比對,以驗證該虛擬主機之管理指令是否來自有權限人員的操作,並可暫存該金鑰資訊,以提升權限驗證的效率;一金鑰管理伺服器,接收來自該金鑰管控模組的金鑰資訊要求,依照該虛擬主機資訊參數回傳相對應的該金鑰資訊;一雲端虛擬主機系統I\O攔截模組,攔截該雲端虛擬主機I\O資訊,以取得在資料處理流程中讀取或寫入儲存設備的資料;以及一資料加解密模組,負責加解密由該雲端虛擬主機系統I\O攔截模組所送來的讀取或寫入儲存設備資料。
  2. 如申請專利範圍第1項所述之雲端檔案自動加解密系統,其中該雲端服務平台系統可為Xen或KVM等雲端虛擬化系統。
  3. 如申請專利範圍第1項所述之雲端檔案自動加解密系統,其中該雲端虛擬主機管理安全模組為嵌入於雲端虛擬主機管理系統中,可攔截及控管該雲端虛擬主機管理指令。
  4. 如申請專利範圍第1項所述之雲端檔案自動加解密系 統,其中該金鑰管理伺服器採用標準的金鑰管理協定KMIP(Key Management Interoperability Protocol)以保護金鑰資訊的安全。
  5. 如申請專利範圍第1項所述之雲端檔案自動加解密系統,其中該金鑰管理伺服器採用具安全性的傳輸協定SSL(Secure Sockets Layer)保護金鑰資訊傳送安全。
  6. 如申請專利範圍第1項所述之雲端檔案自動加解密系統,其中該雲端虛擬主機系統I\O攔截模組嵌入於雲端虛擬主機I\O模組中,用以攔截雲端虛擬主機I\O資訊,藉以取得在資料處理流程中讀取或寫入儲存設備的資料。
  7. 如申請專利範圍第1項所述之雲端檔案自動加解密系統,其中該資料加解密模組使用磁碟加密演算法,可支援CBC、LRW、XEX、XTS、CMC and EME或ESSIV等加密演算法。
  8. 如申請專利範圍第1項所述之雲端檔案自動加解密系統,其中該資料加解密模組使用磁碟加密演算法可搭配128 bits、192 bits、256 bits金鑰對進行資料的加解密。
TW101127550A 2012-07-31 2012-07-31 Automatic file encryption and decryption system TWI474189B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW101127550A TWI474189B (zh) 2012-07-31 2012-07-31 Automatic file encryption and decryption system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101127550A TWI474189B (zh) 2012-07-31 2012-07-31 Automatic file encryption and decryption system

Publications (2)

Publication Number Publication Date
TW201405325A TW201405325A (zh) 2014-02-01
TWI474189B true TWI474189B (zh) 2015-02-21

Family

ID=50550017

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101127550A TWI474189B (zh) 2012-07-31 2012-07-31 Automatic file encryption and decryption system

Country Status (1)

Country Link
TW (1) TWI474189B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI520002B (zh) * 2014-10-21 2016-02-01 Protection Method and System of Cloud Virtual Network Security
CN108076106B (zh) * 2016-11-15 2019-11-19 中国科学院声学研究所 一种面向云存储数据加解密的流式处理***及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6081597A (en) * 1996-08-19 2000-06-27 Ntru Cryptosystems, Inc. Public key cryptosystem method and apparatus
CN102291391A (zh) * 2011-07-21 2011-12-21 西安百盛信息技术有限公司 云服务平台中数据安全传输方法
CN102546181A (zh) * 2012-01-09 2012-07-04 西安电子科技大学 基于密钥池的云存储加解密方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6081597A (en) * 1996-08-19 2000-06-27 Ntru Cryptosystems, Inc. Public key cryptosystem method and apparatus
CN102291391A (zh) * 2011-07-21 2011-12-21 西安百盛信息技术有限公司 云服务平台中数据安全传输方法
CN102546181A (zh) * 2012-01-09 2012-07-04 西安电子科技大学 基于密钥池的云存储加解密方法

Also Published As

Publication number Publication date
TW201405325A (zh) 2014-02-01

Similar Documents

Publication Publication Date Title
US20210390063A1 (en) Technologies for Secure I/O with Accelerator Devices
US10650167B2 (en) Trusted computing
US9760727B2 (en) Secure host interactions
US9690947B2 (en) Processing a guest event in a hypervisor-controlled system
US9135450B2 (en) Systems and methods for protecting symmetric encryption keys
US9948668B2 (en) Secure host communications
US9547773B2 (en) Secure event log management
CN105320895B (zh) 用于联机加密处理的高性能自主硬件引擎
CN104160407A (zh) 利用存储控制器总线接口以确保存储设备和主机之间的数据传输安全
EP3776223B1 (en) Secured computer system
CN101877246A (zh) 加密u盘实现方法
CN105678173A (zh) 基于硬件事务内存的vTPM安全保护方法
WO2021057272A1 (zh) 基于fpga实现合约调用的方法及装置
WO2021057273A1 (zh) 在fpga上实现高效合约调用的方法及装置
TWI474189B (zh) Automatic file encryption and decryption system
WO2016068996A1 (en) Security record transfer in a computing system
US20130103953A1 (en) Apparatus and method for encrypting hard disk
US20240073013A1 (en) High performance secure io
JP2013003612A (ja) 仮想サーバ利用時のデータを秘匿するシステム及び方法
JP2023154825A (ja) 分散情報処理システムおよび分散情報処理方法
JP2012168960A (ja) データ処理装置およびデータ処理方法
TW201317828A (zh) 雲端競爭隔離系統

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees