不同的操作方式。
[0038]此外,在将用户申请的公钥证书和私钥写入用户UKEY时,可以提示用户输入PIN码(类似于设置用户密码),相应的,宿主机开机在读取用户UKEY中公钥证书内容前,可以提示用户输入PIN码(类似于输入用户密码进行验证),这样可以进一步保证UKEY的安全性,但是否对UKEY设置PIN码并不限制本发明的方案。
[0039]本实施例通过在宿主机操作系统中预植入CA根证书,并使用CA根证书对用户UKEY中的公钥证书进行合法性验证,可以在离线状态下对用户身份进行认证,解决了离线状态下特别是移动场景中无法对用户进行安全管理的问题。
[0040]图2为本发明实施例二提供的离线虚拟机安全管理方法流程图,本实施例相比实施例一增加了宿主机对用户权限监控的方法,具体如下:
[0041]步骤101中还包括:宿主机预装VM(Virtual Machine)虚拟机基础镜像。
[0042]其中VM是虚拟机的英文简称,VM虚拟机基础镜像是一个安装在宿主机上的初始虚拟机镜像,对于使用同一宿主机的不同用户来说,其VM虚拟机基础镜像是相同的,其中安装有工作所需的所有的相关软件。
[0043]公钥证书中还可以包括管理员授予用户操作VM的权限规则,VM虚拟机基础镜像中还可以包括VM监控代理程序;
[0044]步骤201?301与实施例一中相同,不再赘述,在步骤301之后还可以包括以下步骤:
[0045]401,用户UKEY中公钥证书验证合法后,用户开启虚拟机,所述监控代理程序将虚拟机内的运行状态传递给宿主机,宿主机根据所述权限规则监管虚拟机。
[0046]虚拟机内的运行状态可以包括:虚拟硬件使用率、进程状态等等。
[0047]监控代理程序可以通过虚拟串口通道或网络(例如以太网)将虚拟机内的运行状态传递给宿主机,本发明并不限定具体的传输方式,只要能够将虚拟机内的运行状态传递给宿主机的传输方式,都在本发明的保护范围之内。
[0048]具体的,在本实施例中,权限规则可以有很多种,宿主机可以根据不同的权限规则来对虚拟机进行监控。
[0049]权限规则可以包括VM进程白名单或VM进程黑名单,如果权限规则设置的是VM进程白名单,那么除了 VM进程白名单之外的任何进程名单均包含在VM进程黑名单中,即VM进程白名单为VM进程黑名单集合之外的名单,此时,宿主机监测到虚拟机开启黑名单时,对虚拟机进行管控操作,例如可以强制关闭虚拟机,也可以将用户的操作记录到宿主机中,或者可以既强制关闭虚拟机,同时也将用户的操作记录到宿主机中,本发明不对具体的管控操作进行限制;
[0050]权限规则可以包括VM允许安装的程序或VM禁止安装的程序,如果权限规则设置的是VM允许安装的程序,那么除了 VM允许安装的程序之外的任何程序均包含在VM禁止安装的程序中,即VM允许安装的程序为VM禁止安装的程序集合之外的程序,此时,宿主机监测到虚拟机安装禁止安装的程序时,对虚拟机进行管控操作,例如可以强制关闭虚拟机,也可以将用户的操作记录到宿主机中,或者可以既强制关闭虚拟机,同时也将用户的操作记录到宿主机中,本发明不对具体的管控操作进行限制;
[0051]权限规则可以包括VM允许访问的外网IP或VM禁止访问的外网IP,如果权限规则设置的是VM允许访问的外网IP,那么除了 VM允许访问的外网IP之外的任何外网IP均包含在VM禁止访问的外网IP中,即VM允许访问的外网IP为VM禁止访问的外网IP集合之外的外网IP,此时,宿主机监测到虚拟机访问禁止访问的外网IP时,对虚拟机进行管控操作,例如可以强制关闭虚拟机,也可以将用户的操作记录到宿主机中,或者可以既强制关闭虚拟机,同时也将用户的操作记录到宿主机中,本发明不对具体的管控操作进行限制;
[0052]权限规则可以包括VM允许使用的外设或VM禁止使用的外设,如果权限规则设置的是VM允许使用的外设,那么除了 VM允许使用的外设之外的任何外设均包含在VM禁止使用的外设中,即VM允许使用的外设为VM禁止使用的外设集合之外的外设,此时,宿主机监测到虚拟机使用禁止使用的外设时,对虚拟机进行管控操作,例如可以强制关闭虚拟机,也可以将用户的操作记录到宿主机中,或者可以既强制关闭虚拟机,同时也将用户的操作记录到宿主机中,本发明不对具体的管控操作进行限制。
[0053]需要说明的是,权限规则可以不仅仅限定为以上几种方式,例如还可以包括对注册表访问的限制等等,并且各种权限规则可以单一存在,也可以两个或多个权限规则同时存在,本实施例只是选择了几种优选的权限规则进行说明,但并不对本发明方案形成限制。
[0054]本实施例在实施例一的基础上增加了宿主机对用户权限监控的方案,可以在离线状态下根据管理员授予的用户权限对用户操作虚拟机的行为进行监控,防止用户的越权操作。
[0055]图3为本发明实施例三提供的离线虚拟机安全管理方法流程图,本实施例相比实施例一增加了宿主机加密用户镜像文件的方法,具体如下:
[0056]步骤101?301与实施例二中相同,不再赘述,在步骤301之后还可以包括以下步骤:
[0057]501,用户UKEY中公钥证书验证合法后,宿主机生成文件加密密钥加密存储用户的虚拟机镜像文件。
[0058]在本实施例中,文件加密密钥优选为对称加密密钥,由于对称加密算法的计算量小、加解密速度快效率高,对于镜像文件这种比较大的文件,使用对称加密算法会更优,需要说明的是,也可以使用其它算法,例如非对称加密算法,只是在计算效率上要低于对称加密算法。
[0059]宿主机进行加密的虚拟机镜像文件可以是完整镜像文件,也可以是增量镜像文件,完整镜像文件即基础镜像文件加上增量镜像文件,对于同一个宿主机来说,其基础镜像文件是固定的,也即不同用户在使用同一个宿主机时,其基础镜像文件都是相同的,不同的用户会对应不同的增量镜像文件,每个用户在虚拟机中进行的操作相当于在基础镜像文件的基础上所做的改变,都会记录在该用户对应的增量镜像文件中,因此对于不同用户间数据信息的保密或防止外界盗用者窃取数据可以通过只加密增量镜像文件的方式实现,而且增量镜像文件的大小要远小于完整镜像文件,因此优选对增量镜像文件进行加密,这样可以在减少加解密时间和提升效率的基础上,同样能够实现不同用户间数据信息保密和防止外界盗用者窃取数据的目的。
[0060]进一步的,为了使不同宿主机上不同用户间的数据信息实现两两之间完全保密,需要使文件加密密钥与宿主机硬件和用户一一对应,即不同的宿主机和不同的用户对应不同的文件加密密钥。
[0061 ] 而文件加密密钥的生成方式可以有多种,例如,可以随机生成文件加密密钥,只要满足不同宿主机和不同用户的密钥不同即可,此时需要在宿主机的非易失性存储器(例如硬盘)中存储该文件加密密钥与宿主机硬件用户的对应关系,以便同一用户在使用UKEY启动同一宿主机时能够找回之前使用的文件加密密钥;
[0062]还可以使用通过特征码自动生成密钥的方式,例如可以使用用户UKEY中的私钥加密宿主机硬件特征码VALUE2生成文件加密密钥VALUE4,
[0063]进一步的,此时宿主机可以通过UKEY中公钥证书的公钥对VALUE4进行解密,并将解密得到的值与宿主机硬件特征码VALUE2进行对比,以确认UKEY持有者的身份,
[0064]或者可以根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成VALUE3,使用用户UKEY中的私钥加密VALUE3生成文件加密密钥VALUE4,
[0065]进一步的,此时宿主机可以通过UKEY中公钥证书的公钥对VALUE4进行解密,并将解密得到的值与根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成的VALUE3进行对比,以确认UKEY持有者的身份。
[0066]这里例举的两种方式中,由于文件加密密钥VALUE4的生成均需要通过宿主机硬件特征码VALUE2和用户UKEY中的私钥的计算得到,因而可以确保文件加密密钥与宿主机硬件和用户一一对应