专利名称:一种虚拟化环境数据安全隔离方法和系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别是一种虚拟化环境数据安全隔离方法和系统。
背景技术:
在虚拟化环境下,用户的工作环境由个人电脑转移到了虚拟机,计算资源、存储资源等都脱离了用户的物理控制。有可能多个用户的虚拟机镜像数据都存储在同一块物理磁盘上。如果用户的虚拟机镜像数据被非法用户获取并使用,就可能对用户造成损失。虽然可以通过访问控制等手段严格限制对用户数据的访问权限,进行一定程度的数据隔离,但仍然无法限制管理员等特权用户对用户数据的访问操作。另一种典型的防护手段是对所有用户的虚拟机镜像数据均进行静态加密存储。但加密状态的数据是无法被正常使用的。采用静态加密存储的数据在使用前需要人为进行解密操作,并且当涉及大量数据加解密操作时,需要繁琐的密钥管理功能,用户体验很差。
发明内容
本发明针对现有技术无法方便有效的对用户的虚拟机镜像数据进行隔离进而无法保证用户数据安全的问题,提供一种虚拟化环境数据安全隔离方法,通过数据动态透明加解密技术和用户密钥资源生成及管理技术相结合,能够将用户的虚拟机镜像数据安全隔离,在保证用户数据安全的同时,可以达到良好的用户体验。本发明还涉及一种虚拟化环境数据安全隔离系统。本发明的技术方案如下:一种虚拟化环境数据安全隔离方法,其特征在于,采用密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务,由计算资源池提供计算资源并采用数据动态透明加解密技术通过密钥资源池生成的密钥资源对存储的用户的虚拟机镜像数据动态进行使用前解密,并在计算资源操作后进行数据加密以作为存储资源存储至存储资源池。所述密钥资源池支持用户单点登录,并在用户在线或离线注册后存储用户信息。所述密钥资源池存储用户信息后随机生成与用户相关的密钥资源,在用户使用计算资源和存储资源时,通过密钥资源池代理用户进行密钥资源的管理和使用操作。所述计算资源池包括计算资源,所述计算资源包括虚拟化的CPU资源和内存资源,所述存储资源池包括存储资源并支持数据库存储和文件存储功能,所述存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式呈现。所述计算资源池根据用户信息向密钥资源池提出用户密钥请求,所述用户密钥请求中包含标明用户身份资源的信息。所述标明用户身份资源的信息包括用户的身份信息和用户的授权令牌信息。一种虚拟化环境数据安全隔离系统,其特征在于,包括依次连接的密钥资源池、计算资源池和存储资源池;所述密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务;所述计算资源池提供计算资源,并采用数据动态透明加解密技术与密钥资源池交互,通过密钥资源池生成的密钥资源对用户的虚拟机镜像数据动态进行存储前加密和使用前解密;所述存储资源池存储加密后的用户的虚拟机镜像数据。所述系统中的密钥资源池位于云计算平台上或位于云计算平台之外的第三方服务平台,所述计算资源池和存储资源池均位于云计算平台上。所述系统中的密钥资源池支持用户单点登录,并在用户在线或离线注册后存储用户信息。所述系统中的密钥资源池存储用户信息后随机生成与用户相关的密钥资源,在用户使用计算资源和存储资源时,通过密钥资源池代理用户进行密钥资源的管理和使用操作。所述系统中的计算资源池包括计算资源,所述计算资源包括虚拟化的CPU资源和内存资源,所述存储资源池包括存储资源并支持数据库存储和文件存储功能,所述存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式呈现。所述系统中的计算资源池根据用户信息向密钥资源池提出用户密钥请求,所述用户密钥请求中包含标明用户身份资源的信息。所述标明用户身份资源的信息包括用户的身份信息和用户的授权令牌信息。本发明的技术效果如下:本发明涉及一种虚拟化环境数据安全隔离方法,通过密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务,采用数据动态透明加解密技术通过密钥资源池生成的密钥资源对存储的用户的虚拟机镜像数据动态进行解密,并在计算资源操作后进行数据加密以作为存储资源存储至存储资源池。本发明通过使用数据动态透明加解密技术,使用户的虚拟机镜像数据以密文的形式保存在存储资源池中,即使恶意用户拿到了其它用户的虚拟机镜像数据,也无法解密获得有用信息;同时通过使用密钥资源池设备管理用户密钥资源,用户使用计算资源时,密钥资源池会配合计算资源池、存储资源池自动进行动态加解密操作,整个过程对用户透明,从而通过密钥手段方便、有效的隔离了不同用户的虚拟机镜像,解决了现有的用户的虚拟机镜像数据进行安全防护时,仅通过限制对用户数据的访问权限而无法实现对用户的虚拟机镜像数据全部安全隔离的问题,同时也解决了采用静态加密存储的数据时在加密状态的数据无法被正常使用并在使用前需要人为逐一解密导致用户体验差的问题。本发明所述的虚拟化环境下安全隔离方法在保证用户数据安全的同时,可以达到良好的用户体验。本发明还涉及一种虚拟化环境数据安全隔离系统,包括依次连接的密钥资源池、计算资源池和存储资源池,在用户使用计算资源时,由密钥资源池根据储存的该用户的信息去与计算资源池进行交互,以提供相应的密钥资源给计算资源调用,计算资源池采用数据动态透明加解密技术与密钥资源池交互,通过密钥资源池生成的密钥资源对用户的虚拟机镜像数据动态进行存储前加密和使用前解密,通过计算资源池采用的数据动态透明加解密技术和密钥资源池采用的用户密钥资源生成及管理技术相结合,能够将用户的虚拟机镜像数据安全隔离,保证了用户的数据安全。本发明所述系统无需用户进行解密操作也无需用户管理密钥,通过密钥资源池和计算资源池配合工作,整个加解密过程动态进行,对用户透明,增强了用户的体验性。
图1是本发明虚拟化环境数据安全隔离方法的原理图。图2是本发明虚拟化环境数据安全隔离方法的流程图。图3是本发明虚拟化环境数据安全隔离方法的优选流程图。图4是本发明虚拟化环境数据安全隔离系统的结构示意图。图中各标号列示如下:I 一用户;2 —密钥资源池;3 —计算资源池;4 一存储资源池。
具体实施例方式下面结合附图对本发明进行说明。本发明涉及一种虚拟化环境数据安全隔离方法,其原理如图1所示,该方法采用密钥资源池2存储用户信息并为用户提供密钥资源的生成及管理服务,由计算资源池3为用户提供计算资源并采用数据动态透明加解密技术与密钥资源池2交互,计算资源池3通过密钥资源池2生成的密钥资源对存储的用户的虚拟机镜像数据动态进行使用前解密,并在计算资源操作后进行数据加密以作为存储资源存储至存储资源池4。图1中所示的用户I是云计算平台的虚拟机使用者;采用密钥资源池2储存用户信息,为用户提供密钥资源服务,具体包括生成针对该用户的密钥资源以及对该密钥资源进行管理,还可以提供用户单点登录的功能,或者说是密钥资源池支持用户单点登录,密钥资源池2可以为一硬件设备,其产品的具体使用形态取决于本发明所述的虚拟化环境数据安全隔离方法对效率的要求或者对当前的安全性等级的要求,将密钥资源池2设置为硬件设备,安全性会更高并且生成密钥的速度会更快。为使得密钥资源池的通用性更好,密钥资源池也可以理解为是云计算平台所提供的某项服务能力,或者可以是云计算平台之外的第三方服务提供商所提供的服务;计算资源池3包括计算资源,该计算资源可采用云计算平台所提供的计算资源,通过虚拟化技术将云中所有的计算资源统一形成的抽象资源池,典型的计算资源池包括虚拟化的CPU资源、内存资源等计算资源,计算资源和存储资源打包在一起以虚拟机的使用形式展现给用户;存储资源池4是通过虚拟化技术将云中所有的存储资源统一形成的抽象资源池,典型的存储资源池可提供数据库存储,文件存储等功能,存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式展现给用户。图2是本发明虚拟化环境数据安全隔离方法的流程图。主要涉及四个过程:用户注册过程、用户使用计算资源过程、用户密钥资源交互过程和数据动态加解密过程。其中,用户注册过程是在用户与密钥资源池之间的交互,用户在密钥资源池中进行注册,密钥资源池存储用户相关信息之后可以随机或者按照特定规律生成与用户相关的密钥资源,进而在用户使用计算资源、存储资源时密钥资源池会代理用户进行相关密钥资源的管理、使用操作。用户使用计算资源池中的计算资源过程,或者理解为是用户使用云计算平台所提供的计算资源,如使用云计算平台所提供的虚拟机等功能;用户密钥资源交互过程,通过密钥资源池来代理用户和计算资源池交互,提供相应的密钥资源给计算资源调用;数据动态加解密过程,是计算资源池与存储资源池之间进行用户的虚拟机镜像数据信息的交互,计算资源池使用用户密钥资源(密钥等)对用户的虚拟机镜像数据动态进行存储前加密,使用前解密、完整性验证等透明操作。以下列举出本发明所述虚拟化环境数据安全隔离方法的优选方案,如图3所示优选流程图。该方法同样涉及用户注册过程和用户的虚拟机镜像数据动态使用过程,其中,用户的虚拟机镜像数据动态使用过程涵盖了图2所述的用户使用计算资源过程、用户密钥资源交互过程和数据动态加解密过程。用户注册过程需在用户的虚拟机镜像数据动态使用过程之前进行,用户注册过程可以是在线或离线完成,密钥资源池在用户在线或离线注册后存储用户信息,并生成与用户相关的密钥资源,针对该用户的密钥资源可以是随机生成,用户无需知道也无需用户管理密钥资源。用户的虚拟机镜像数据动态使用过程介绍的是在用户在使用计算资源和存储资源时,通过密钥资源池代理用户进行相关密钥操作,动态透明完成数据的加解密操作,具体流程如下:I)、用户向计算资源池发起计算资源请求操作;典型的请求形式如用户请求使用云计算平台所提供的虚拟机进行某些业务操作;2)、计算资源池向存储资源池请求调用用户的虚拟机镜像的相关数据,存储资源池检索存储的该用户的相关数据资源后返回相关数据给计算资源池,返回给计算资源池的数据为密文数据;当然,如果用户之前并未存储数据资源在存储资源池,则此步骤不存在;3)、计算资源池根据用户的信息向密钥资源池提出用户密钥请求,此用户密钥请求中应包含用户的身份信息和用户的授权TOKEN等可确切标明用户身份资源的信息;4)、密钥资源池根据用户身份,查询所需的密钥资源(或者说针对该用户的密钥信息),并返还给计算资源池;5)、计算资源池利用得到的密钥信息进行数据解密操作,从而完成对存储的用户的虚拟机镜像数据的使用前动态解密;当然,如果用户之前并未存储加密数据资源,此步骤不存在;6)、用户使用计算资源池提供的计算资源,如虚拟机等,进行相应的计算操作;7)、在计算资源操作后,涉及到任何的数据存储操作,计算资源池都将数据加密后再作为存储资源存储至存储资源池,相反的,涉及到任何的存储密文数据使用操作,计算资源池提取到密文数据后首先进行解密操作再使用,整个加解密过程动态进行,对用户透明。本发明还涉及一种虚拟化环境数据安全隔离系统,其结构示意图如图4所示,包括依次连接的密钥资源池、计算资源池和存储资源池,该系统采用资源池架构,易于整合系统中的硬件资源,其中,密钥资源池和计算资源池均直接与用户相交互。密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务;计算资源池提供计算资源,并采用数据动态透明加解密技术与密钥资源池交互,通过密钥资源池生成的密钥资源对用户的虚拟机镜像数据动态进行存储前加密和使用前解密;存储资源池存储加密后的用户的虚拟机镜像数据。为使得数据隔离的安全性会更高并且生成密钥的速度会更快,密钥资源池可以是硬件设备。密钥资源池可以位于云计算平台上,此时可理解为是云计算平台所提供的某项服务能力,也可以位于云计算平台之外的第三方服务平台,此时可理解为是云计算平台之外的第三方服务提供商所提供的服务。计算资源池和存储资源池均位于云计算平台上,计算资源池包括计算资源,该计算资源可以是虚拟化的CPU资源和内存资源,可以将计算资源和存储资源打包在一起以虚拟机的使用形式呈现;存储资源池包括存储资源并支持数据库存储和文件存储功能,用于存储加密的用户的虚拟机镜像数据,存储资源以虚拟磁盘的形式可以和计算资源打包在一起以虚拟机的使用形式呈现。本发明所涉及的虚拟化环境数据安全隔离系统,与本发明所述的虚拟化环境数据安全隔离方法相对应。本发明虚拟化环境数据安全隔离系统的工作流程可以参考图2和图3。包括用户在密钥资源池中进行注册,密钥资源池支持用户单点登录,并在用户在线或离线注册后存储用户信息,以及随机或按照特定规律生成针对该用户的密钥资源或密钥信息,在用户使用计算资源和存储资源时,通过密钥资源池代理用户进行密钥资源的管理和使用操作。在用户使用计算资源池中的计算资源时,通过密钥资源池来代理用户和计算资源池交互,提供相应的密钥资源给计算资源调用,计算资源池从存储资源池调用出用户的加密的密文数据后,再与密钥资源池交互,根据用户信息向密钥资源池提出用户密钥请求,该用户密钥请求中包含标明用户身份资源的信息如用户的身份信息和用户的授权令牌信息等,密钥资源池将相关的密钥资源提供给计算资源池,由计算资源池利用得到的密钥资源进行数据解密操作,涉及到任何的存储密文数据使用操作,计算资源池提取到密文数据后首先进行解密操作再使用,即使用前动态解密。在计算资源操作后,涉及到任何的数据存储操作,计算资源池都将数据加密后再作为存储资源存储至存储资源池,即存储前加密。计算资源池采用数据动态透明加解密技术,使用用户的密钥资源对用户的虚拟机镜像数据动态进行存储前加密、使用前解密以及完整性验证等透明操作。本发明所述的虚拟化环境数据安全隔离方法和系统,通过使用密钥资源池、计算资源池和存储资源池配合工作并与用户协作,使用户的虚拟机镜像数据以密文的形式保存在存储资源池中,以密钥的方式实现了对用户的虚拟机镜像数据的隔离,可以达到密码学意义上的安全隔离,有效的保证了用户的虚拟机镜像数据安全,防止了用户数据被恶意篡改或泄漏问题;引入密钥资源池代理用户管理和使用密钥资源,不需要用户亲自去设置以及管理维护大量密钥资源,使用户从繁杂的密钥管理中脱离出来;同时对用户的虚拟机镜像数据进行数据动态透明加解密操作,使得整个加解密过程可全程对用户透明,在保证用户的虚拟机镜像数据安全隔离的同时,可以达到良好的用户体验。应当指出,以上所述具体实施方式
可以使本领域的技术人员更全面地理解本发明创造,但不以任何方式限制本发明创造。因此,尽管本说明书参照附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换,总之,一切不脱离本发明创造的精神和范围的技术方案及其改进,其均应涵盖在本发明创造专利的保护范围当中。
权利要求
1.一种虚拟化环境数据安全隔离方法,其特征在于,采用密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务,由计算资源池提供计算资源并采用数据动态透明加解密技术通过密钥资源池生成的密钥资源对存储的用户的虚拟机镜像数据动态进行使用前解密,并在计算资源操作后进行数据加密以作为存储资源存储至存储资源池。
2.根据权利要求1所述的虚拟化环境数据安全隔离方法,其特征在于,所述密钥资源池支持用户单点登录,并在用户在线或离线注册后存储用户信息。
3.根据权利要求1所述的虚拟化环境数据安全隔离方法,其特征在于,所述密钥资源池存储用户信息后随机生成与用户相关的密钥资源,在用户使用计算资源和存储资源时,通过密钥资源池代理用户进行密钥资源的管理和使用操作。
4.根据权利要求3所述的虚拟化环境数据安全隔离方法,其特征在于,所述计算资源池包括计算资源,所述计算资源包括虚拟化的CPU资源和内存资源,所述存储资源池包括存储资源并支持数据库存储和文件存储功能,所述存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式呈现。
5.根据权利要求3所述的虚拟化环境数据安全隔离方法,其特征在于,所述计算资源池根据用户信息向密钥资源池提出用户密钥请求,所述用户密钥请求中包含标明用户身份资源的信息,所述标明用户身份资源的信息包括用户的身份信息和用户的授权令牌信息。
6.一种虚拟化环境数据安全隔离系统,其特征在于,包括依次连接的密钥资源池、计算资源池和存储资源池; 所述密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务; 所述计算资源池提供计算资源,并采用数据动态透明加解密技术与密钥资源池交互,通过密钥资源池生成的密钥资源对用户的虚拟机镜像数据动态进行存储前加密和使用前解密; 所述存储资源池存储加密后的用户的虚拟机镜像数据。
7.根据权利要求6所述的虚拟化环境数据安全隔离系统,其特征在于,所述密钥资源池位于云计算平台上或位于云计算平台之外的第三方服务平台,所述计算资源池和存储资源池均位于云计算平台上。
8.根据权利要求6所述的虚拟化环境数据安全隔离系统,其特征在于,所述密钥资源池支持用户单点登录,并在用户在线或离线注册后存储用户信息。
9.根据权利要求6所述的虚拟化环境数据安全隔离系统,其特征在于,所述密钥资源池存储用户信息后随机生成与用户相关的密钥资源,在用户使用计算资源和存储资源时,通过密钥资源池代理用户进行密钥资源的管理和使用操作。
10.根据权利要求9所述的虚拟化环境数据安全隔离系统,其特征在于,所述计算资源池包括计算资源,所述计算资源包括虚拟化的CPU资源和内存资源,所述存储资源池包括存储资源并支持数据库存储和文件存储功能,所述存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式呈现。
11. 根据权利要求9所述的虚拟化环境数据安全隔离系统,其特征在于,所述计算资源池根据用户信息向密钥资源池提出用户密钥请求,所述用户密钥请求中包含标明用户身份资源的信息。
12.根据权利要求11所述的虚拟化环境数据安全隔离系统,其特征在于,所述标明用户身份资源的 信息包括用户的身份信息和用户的授权令牌信息。
全文摘要
本发明涉及一种虚拟化环境数据安全隔离方法和系统,该方法采用密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务,由计算资源池提供计算资源并采用数据动态透明加解密技术通过密钥资源池生成的密钥资源对存储的用户的虚拟机镜像数据动态进行使用前解密,并在计算资源操作后进行数据加密以作为存储资源存储至存储资源池。本发明所涉及的虚拟化环境数据安全隔离方法和系统,通过数据动态透明加解密技术和用户密钥资源生成及管理技术相结合,能够将用户的虚拟机镜像数据安全隔离,在保证用户数据安全的同时,可以达到良好的用户体验。
文档编号H04L9/32GK103107994SQ201310048530
公开日2013年5月15日 申请日期2013年2月6日 优先权日2013年2月6日
发明者张兴, 王海洋, 张雅哲 申请人:中电长城网际系统应用有限公司