领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0114]以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的模块或单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块或单元来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
[0115]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种离线虚拟机安全管理方法,其特征在于,所述方法包括: 宿主机预装宿主操作系统; 宿主操作系统中预植入CA根证书; 宿主机开机时读取用户UKEY中公钥证书内容,并通过预置的所述CA根证书来验证用户UKEY中公钥证书的合法性,所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的,公钥证书和私钥预先写入用户UKEY中。
2.根据权利要求1所述的方法,其特征在于, 所述方法还包括:宿主机预装VM虚拟机基础镜像; 所述公钥证书中还包括管理员授予用户操作VM的权限规则,所述虚拟机基础镜像中包括VM监控代理程序; 所述方法还包括:用户UKEY中公钥证书验证合法后,用户开启虚拟机,所述监控代理程序将虚拟机内的运行状态传递给宿主机,宿主机根据所述权限规则监管虚拟机。
3.根据权利要求2所述的方法,其特征在于, 所述权限规则包括:VM进程白名单或VM进程黑名单,其中VM进程白名单为VM进程黑名单集合之外的名单, 所述宿主机根据所述权限规则监管虚拟机包括:宿主机监测到虚拟机开启所述进程黑名单时,对虚拟机进行管控操作; 和/或,所述权限规则包括:VM允许安装的程序或VM禁止安装的程序,其中VM允许安装的程序为VM禁止安装的程序集合之外的程序, 所述宿主机根据所述权限规则监管虚拟机包括:宿主机监测到虚拟机安装禁止安装的程序时,对虚拟机进行管控操作; 和/或,所述权限规则包括:VM允许访问的外网IP或VM禁止访问的外网IP,其中VM允许访问的外网IP为VM禁止访问的外网IP集合之外的外网IP, 所述宿主机根据所述权限规则监管虚拟机包括:宿主机监测到虚拟机访问禁止访问的外网IP时,对虚拟机进行管控操作; 和/或,所述权限规则包括:VM允许使用的外设或VM禁止使用的外设,其中VM允许使用的外设为VM禁止使用的外设集合之外的外设, 所述宿主机根据所述权限规则监管虚拟机包括:宿主机监测到虚拟机使用禁止使用的外设时,对虚拟机进行管控操作。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括: 所述方法还包括:宿主机预装VM虚拟机基础镜像; 用户UKEY中公钥证书验证合法后,宿主机生成文件加密密钥加密存储用户的虚拟机镜像文件。
5.根据权利要求4所述的方法,其特征在于,所述虚拟机镜像文件为增量镜像文件。
6.根据权利要求4?5任一项所述的方法,其特征在于,所述文件加密密钥与宿主机硬件和用户一一对应。
7.根据权利要求6所述的方法,其特征在于,文件加密密钥通过以下方法生成: 根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成VALUE3,使用用户UKEY中的私钥加密VALUE3生成文件加密密钥VALUE4 ; 或者,使用用户UKEY中的私钥加密宿主机硬件特征码VALUE2生成文件加密密钥VALUE4o
8.一种离线虚拟机安全管理装置,其特征在于,所述装置包括: 初始化模块,用于宿主机中预装宿主操作系统; 证书设置模块,用于在宿主操作系统中预植入CA根证书; 检验模块,用于在宿主机开机时读取用户UKEY中公钥证书内容,并通过预置的所述CA根证书来验证UKEY中公钥证书的合法性,所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的,公钥证书和私钥预先写入用户UKEY中。
9.根据权利要求8所述的装置,其特征在于, 所述初始化模块还用于宿主机中预装VM虚拟机基础镜像; 所述公钥证书中还包括管理员授予用户操作VM的权限规则,所述虚拟机基础镜像中包括VM监控代理程序; 所述装置还包括: 监控模块,用于在用户UKEY中公钥证书验证合法后,用户开启虚拟机,所述监控代理程序将虚拟机内的运行状态传递给宿主机,宿主机根据所述权限规则监管虚拟机。
10.根据权利要求9所述的装置,其特征在于, 所述权限规则包括:VM进程白名单或VM进程黑名单,其中VM进程白名单为VM进程黑名单集合之外的名单, 所述监控模块具体用于在宿主机监测到虚拟机开启所述进程黑名单时,对虚拟机进行管控操作; 和/或,所述权限规则包括:VM允许安装的程序或VM禁止安装的程序,其中VM允许安装的程序为VM禁止安装的程序集合之外的程序, 所述监控模块具体用于在宿主机监测到虚拟机安装禁止安装的程序时,对虚拟机进行管控操作; 和/或,所述权限规则包括:VM允许访问的外网IP或VM禁止访问的外网IP,其中VM允许访问的外网IP为VM禁止访问的外网IP集合之外的外网IP, 所述监控模块具体用于在宿主机监测到虚拟机访问禁止访问的外网IP时,对虚拟机进行管控操作; 和/或,所述权限规则包括:VM允许使用的外设或VM禁止使用的外设,其中VM允许使用的外设为VM禁止使用的外设集合之外的外设, 所述监控模块具体用于在宿主机监测到虚拟机使用禁止使用的外设时,对虚拟机进行管控操作。
11.根据权利要求8所述的装置,其特征在于, 所述初始化模块还用于宿主机中预装VM虚拟机基础镜像; 所述装置还包括: 加密模块,用于在用户UKEY中公钥证书验证合法后,宿主机生成文件加密密钥加密存储用户的虚拟机镜像文件。
12.根据权利要求11所述的装置,其特征在于,所述虚拟机镜像文件为增量镜像文件。
13.根据权利要求11?12任一项所述的装置,其特征在于,所述文件加密密钥与宿主机硬件和用户 对应。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括: 密钥生成模块,用于根据基础镜像特征值VALUEl和宿主机硬件特征码VALUE2生成VALUE3,使用用户UKEY中的私钥加密VALUE3生成文件加密密钥VALUE4 ;或者,使用用户UKEY中的私钥加密宿主机硬件特征码VALUE2生成文件加密密钥VALUE4。
【专利摘要】本发明提供一种离线虚拟机安全管理方法和装置,方法包括:宿主机预装宿主操作系统和VM虚拟机基础镜像;宿主操作系统中预植入CA根证书;宿主机开机时读取用户UKEY中公钥证书内容,并通过预置的CA根证书来验证用户UKEY中公钥证书的合法性,所述用户UKEY中公钥证书为用户向CA申请公钥证书和私钥时获得的,公钥证书和私钥预先写入用户UKEY中。本发明的离线虚拟机安全管理方法和装置,通过采用上述技术方案,在宿主机操作系统中预植入CA根证书,并使用CA根证书对用户UKEY中的公钥证书进行合法性验证,可以在离线状态下对用户身份进行认证,解决了离线状态下特别是移动场景中无法对用户进行安全管理的问题。
【IPC分类】H04W12-06, H04L29-08, G06F21-33
【公开号】CN104811941
【申请号】CN201510217434
【发明人】刘桂源
【申请人】福建星网锐捷网络有限公司
【公开日】2015年7月29日
【申请日】2015年4月30日