。
[0067]使用这种通过特征码自动生成密钥的方式,由于对于同一宿主机和同一用户来说,每次生成的文件加密密钥VALUE4均相同,因此可以不用将该密钥保存在非易失性存储器,而仅保存在易失性存储器(例如内存)中即可;此外,由于使用了 UKEY中的用户私钥加密得到VALUE4,而私钥只存在于UKEY中,所以外界无法根据VALUE3计算出VALUE4,因此保密性较好。
[0068]本实施例通过由宿主机生成文件加密密钥加密存储用户的镜像文件,可以有效防止盗用者通过外挂硬盘等方式窃取数据,并且可以实现宿主机上的每个用户拥有一个独立的系统空间。
[0069]图4为本发明实施例四提供的离线虚拟机安全管理方法流程图,本实施例提供了一个较优的实现方案,具体步骤如下:
[0070]SI,宿主机预装宿主操作系统和VM虚拟机基础镜像。
[0071]其中VM虚拟机基础镜像中安装有工作所需的所有相关软件和一个VM监控代理程序。
[0072]S2,宿主操作系统中预植入CA根证书。
[0073]S3,宿主机开机时读取用户UKEY中公钥证书内容,并通过预置的CA根证书来验证用户UKEY中公钥证书的合法性,所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的,公钥证书和私钥预先写入用户UKEY中。
[0074]S4,用户UKEY中公钥证书验证合法后,宿主机生成对称加密密钥加密存储用户的增量镜像文件。
[0075]S5,用户UKEY中公钥证书验证合法后,用户开启虚拟机,所述监控代理程序将虚拟机内的运行状态传递给宿主机,宿主机根据权限规则监管虚拟机,公钥证书中包括管理员授予用户操作VM的权限规则。
[0076]本实施例方案除了包括上述步骤外,还可以包括以下步骤:
[0077]S6,记录用户使用UKEY开启宿主机的所有操作,在连入网络后向内网服务器上传相关信息,以便进行事后追责。
[0078]S7,宿主机连入网络后下载最新的证书吊销列表CRL(Certificate Revocat1nList),以便对需要撤销的证书进行撤销。
[0079]此外,用户UKEY上的证书一旦过期或者权限需要调整,可以通过申请新的证书并写入到UKEY中实现。
[0080]图5为本发明实施例五提供的离线虚拟机安全管理装置结构示意图,所述装置包括:
[0081]初始化模块10,用于宿主机中预装宿主操作系统;
[0082]证书设置模块20,用于在宿主操作系统中预植入CA根证书;
[0083]检验模块30,用于在宿主机开机时读取用户UKEY中公钥证书内容,并通过预置的所述CA根证书来验证UKEY中公钥证书的合法性,所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的,公钥证书和私钥预先写入用户UKEY中。
[0084]本实施例通过在宿主机操作系统中预植入CA根证书,并使用CA根证书对用户UKEY中的公钥证书进行合法性验证,可以在离线状态下对用户身份进行认证,解决了离线状态下特别是移动场景中无法对用户进行安全管理的问题。
[0085]为了能够让宿主机在离线状态下根据管理员授予的用户权限对用户操作虚拟机的行为进行监控,防止用户的越权操作,可以增加宿主机对用户权限进行监控的方案。
[0086]因此进一步可选的,
[0087]所述初始化模块10还用于宿主机中预装VM虚拟机基础镜像;
[0088]所述公钥证书中还包括管理员授予用户操作VM的权限规则,所述虚拟机基础镜像中包括VM监控代理程序,离线虚拟机安全装置还包括:
[0089]监控模块40,用于在用户UKEY中公钥证书验证合法后,用户开启虚拟机,所述监控代理程序将虚拟机内的运行状态传递给宿主机,宿主机根据所述权限规则监管虚拟机。
[0090]权限规则可以有很多种,宿主机可以根据不同的权限规则来对虚拟机进行监控,进一步可选的,
[0091]所述权限规则包括:VM进程白名单或VM进程黑名单,其中VM进程白名单为VM进程黑名单集合之外的名单,
[0092]所述监控模块40具体用于在宿主机监测到虚拟机开启所述进程黑名单时,对虚拟机进行管控操作;
[0093]和/或,所述权限规则包括:VM允许安装的程序,或VM禁止安装的程序,其中VM允许安装的程序为VM禁止安装的程序集合之外的程序,
[0094]所述监控模块40具体用于在宿主机监测到虚拟机安装禁止安装的程序时,对虚拟机进行管控操作;
[0095]和/或,所述权限规则包括:VM允许访问的外网IP,或VM禁止访问的外网IP,其中VM允许访问的外网IP为VM禁止访问的外网IP集合之外的外网IP,
[0096]所述监控模块40具体用于在宿主机监测到虚拟机访问禁止访问的外网IP时,对虚拟机进行管控操作;
[0097]和/或,所述权限规则包括:VM允许使用的外设,或VM禁止使用的外设,其中VM允许使用的外设为VM禁止使用的外设集合之外的外设,
[0098]所述监控模块40具体用于在宿主机监测到虚拟机使用禁止使用的外设时,对虚拟机进行管控操作。
[0099]进一步可选的,
[0100]所述初始化模块10还用于宿主机中预装VM虚拟机基础镜像;
[0101]离线虚拟机安全管理装置还包括:
[0102]加密模块50,用于在用户UKEY中公钥证书验证合法后,宿主机生成文件加密密钥加密存储用户的虚拟机镜像文件。
[0103]通过由宿主机生成文件加密密钥加密存储用户的镜像文件,可以有效防止盗用者通过外挂硬盘等方式窃取数据,并且可以实现宿主机上的每个用户拥有一个独立的系统空间。
[0104]由于对称加密算法的计算量小、加解密速度快效率高,对于镜像文件这种比较大的文件,使用对称加密算法会更优,因此进一步可选的,所述文件加密密钥为对称加密密钥。
[0105]进一步可选的,所述虚拟机镜像文件为增量镜像文件。
[0106]优选对增量镜像文件进行加密,这样可以在减少加解密时间和提升效率的基础上,同样能够实现不同用户间数据信息保密和防止外界盗用者窃取数据的目的。
[0107]进一步可选的,所述文件加密密钥与宿主机硬件和用户一一对应。
[0108]进一步可选的,离线虚拟机安全管理装置还包括:
[0109]密钥生成模块60,用于根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成VALUE3,使用用户UKEY中的私钥加密VALUE3生成文件加密密钥VALUE4 ;或者,使用用户UKEY中的私钥加密宿主机硬件特征码VALUE2生成文件加密密钥VALUE4。
[0110]使用这种通过特征码自动生成密钥的方式,由于对于同一宿主机和同一用户来说,每次生成的文件加密密钥VALUE4均相同,因此可以不用将该密钥保存在非易失性存储器,而仅保存在易失性存储器(例如内存)中即可;此外,由于使用了 UKEY中的用户私钥加密得到VALUE4,而私钥只存在于UKEY中,所以外界无法根据VALUE3计算出VALUE4,因此保密性较好。
[0111]进一步可选的,离线虚拟机安全管理装置还包括:
[0112]身份确认模块70,用于在密钥生成模块60根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成VALUE3,使用用户UKEY中的私钥加密VALUE3生成文件加密密钥VALUE4时,通过UKEY中公钥证书的公钥对VALUE4进行解密,并将解密得到的值与根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成的VALUE3进行对比,以确认UKEY持有者的身份;或者,在密钥生成模块60使用用户UKEY中的私钥加密宿主机硬件特征码VALUE2生成文件加密密钥VALUE4时,通过UKEY中公钥证书的公钥对VALUE4进行解密,并将解密得到的值与宿主机硬件特征码VALUE2进行对比,以确认UKEY持有者的身份。
[0113]本