一种基于国产密码技术的虚拟机安全认证的方法
【技术领域】
[0001]本发明公开一种虚拟机安全认证的方法,属于计算机技术安全领域,具体地说是一种基于国产密码技术的虚拟机安全认证的方法。
【背景技术】
[0002]云计算和虚拟技术的广泛使用,可以有效节省物理硬件设备的投入,充分利用物理硬件设备的硬件资源,从而达到节能、减排和提升效率的目的。在云计算环境下,通过生成和管理一个个虚拟机来达到为用户提供应用服务。云计算通过部署大量的虚拟机提供服务,其虚拟机与虚拟机之间的信息交换均采用明文进行交换,但是同时却不能确认每一个虚拟机都是真实可信的,而且目前缺乏必要的安全认证管理措施,在终端用户使用服务或虚拟机中的资源时,亦不能建立有效的访问控制机制,直接导致云计算的服务存在身份无法确认、数据明文传输时有安全隐患等一系列的安全问题。为保证云计算内外部之间的可信交互,提升云计算安全管理能力,防止云计算资源的非法窃取,本发明提供了一种基于国产密码技术的虚拟机安全认证的方法,基于国产密码技术,结合电子认证、可信计算技术,建立适合云计算应用需求的安全认证资源池,来满足身份认证、访问控制和数据加密传输的安全应用,解决云计算环境中各虚拟机的身份认证、访问控制和数据加密传输问题,防止身份假冒,以及非法的资源访问和传输数据的泄密,对于身份真实性进行鉴别,是解决云计算安全的最有效的方案,而且方便易用。
【发明内容】
[0003]本发明针对目前终端用户使用服务或虚拟机中的资源时,不能建立有效的访问控制机制,云计算的服务存在身份无法确认、数据明文传输时有安全隐患等一系列的安全问题,提供一种基于国产密码技术的虚拟机安全认证的方法,基于国产密码技术,结合电子认证、可信计算技术,建立适合云计算应用需求的安全认证资源池,来满足身份认证、访问控制和数据加密传输的安全应用,解决云计算环境中各虚拟机的身份认证、访问控制和数据加密传输问题。
[0004]本发明提出的具体方案是:
一种基于国产密码技术的虚拟机安全认证的方法,通过建立基于云计算的安全认证资源池,对虚拟机进行安全认证;安全认证资源池由物理设备层和中间件层组成,物理设备层通过设备实现基本功能,中间件层实现数字证书的认证、密钥加解密的功能,物理设备层与虚拟机通过中间件层进行通信;
国家电子认证体系签发可信根证书给安全认证资源池,安全认证资源池再分配数字证书给虚拟机,用于与其他虚拟机或终端用户进行身份认证、加密通信,在与其他虚拟机或终端用户进行信息交换时,采用数字证书识别双方的身份,未能验证通过的不能访问;在进行信息交换的时候,由安全认证资源池为虚拟机提供身份认证、访问控制和数据加密传输服务。
[0005]所述虚拟机签发数据证书的过程为:虚拟机与安全认证资源池建立通信,将虚拟机的名称提供给安全认证资源池,安全认证资源池分配虚拟机的数字证书,通过安装在虚拟机操作系统中的驱动来实现自动加载导入。
[0006]所述虚拟机与其他虚拟机进行身份认证,先进行数字证书的交换,再各自通过安全认证资源池内的可信根证书验证交换得到的虚拟机的数字证书是否与可信根证书分配的一致。
[0007]所述虚拟机与其他虚拟机或终端用户加密通信,所有交互的数据信息,均采用数字信封技术和数字签名技术,实现信息的加密传输和完整性校验。
[0008]所述虚拟机与其他虚拟机进行加密通信的过程为:通信的虚拟机双方生成私钥和对称密钥,第一个虚拟机将接收明文数据生成第一个消息摘要,利用自身的私钥加密后生成第一个数据签名,同时明文数据利用对称密钥加密后生成密文数据,利用第二个虚拟机的数字证书将对称密钥加密生成数字信封;数字信封利用第二个虚拟机的私钥解密为对称密钥,然后第二个虚拟机将接收的密文数据利用对称密钥解密为明文数据,再生成第二个消息摘要,第一个数字签名利用第一个虚拟机的数字证书解密第一个消息摘要与第二个消息摘要对比,一致则通过。
[0009]所述安全认证资源池的可信根证书包含所在的云计算的名称、域名的信息;虚拟机的数字证书包含虚拟机的名称信息。
[0010]所述安全认证资源池支持国产密码算法,包括SM1、SM2、SM3、SM4。
[0011]本发明的有益之处是:本发明基于云计算,设置安全认证资源池,国家电子认证体系签发可信根证书,并且安全认证资源池为每个虚拟机签发数字证书,通过虚拟机操作系统中的驱动程序实现与数字证书的绑定,使虚拟机与虚拟机之间、虚拟机与终端用户之间,所有交互的数据信息,均采用数字信封技术和数字签名技术,实现信息的加密传输和完整性校验,保证传输的信息第三方看不到,同时也保证传输的信息不丢失,来满足身份认证、访问控制和数据加密传输的安全应用,解决云计算环境中各虚拟机的身份认证、访问控制和数据加密传输问题,防止身份假冒,以及非法的资源访问和传输数据的泄密,对于身份真实性进行鉴别,是解决云计算安全的最有效的方案,而且方便易用。
【附图说明】
[0012]图1本发明安全认证资源池的组成框架示意图;
图2本发明虚拟机数字证书签发流程示意图;
图3本发明虚拟机之间身份认证示意图;
图4本发明安全认证资源池内虚拟机之间数据加密传输和签名验签示意图。
【具体实施方式】
[0013]结合附图对本发明做进一步说明。
[0014]一种基于国产密码技术的虚拟机安全认证的方法,通过建立基于云计算的安全认证资源池,其中安全认证资源池支持国产密码算法,包括SM1、SM2、SM3、SM4,对虚拟机进行安全认证;安全认证资源池由物理设备层和中间件层组成,物理设备层通过设备实现基本功