虚拟机所有存储分区的加密保护(包括操作系统分区)。
[0059]若管理员未能及时授权,则虚拟机停滞在等待授权界面,此时虚拟机无法执行其他任何任务。获取授权信息之后,预启动0S将虚拟机控制权交给虚拟机0S,并实现存储分区的透明加解密。
[0060]步骤S104、启动虚拟机0S并完成虚拟机的开机操作,及利用密钥对虚拟机中存储分区的数据进行加密存储。
[0061]以上本发明提供的一种虚拟机安全控制方法及系统中,采用预启动技术实现虚拟机的开机授权,并且采用透明加解密技术实现对虚拟机所有存储分区的加密保护,实现了对虚拟机的启动权限进行限制并且针对虚拟机中每个存储分区采用不同的密钥进行加密,进一步地,对虚拟机的启动权限进行限制,管理员完全控制虚拟机开机,防止非法启动虚拟机,提升了用户数据安全性,同时,为每个存储分区都分配唯一的密钥,有效提升了虚拟机数据存储的安全性。
[0062]实施例二
[0063]以安全管理设备为执行主体进行阐述。
[0064]基于上述本发明实施例所公开的技术方案,本实施例中,参考图2,图2示出了本发明实施例提供的一种虚拟机安全管理方法的流程图,该方法具体可以包括如下步骤:
[0065]步骤S200、接收来自虚拟机的开机请求。
[0066]步骤S201、判断开机请求是否符合预设授权规则;当判定开机请求符合预设授权规则时,进入步骤S202,否则,进入步骤S203。
[0067]实际应用中,上述开机请求中至少包括发起开机请求的操作员的用户账号,可以通过判断这个账号是否属于该虚拟机合法使用者账号的范围内,如果是,则认为该开机请求符合预设授权规则。实际上,本发明重在为虚拟机的开机操作设定权限限制,上述判断开机请求是否符合预设授权规则的【具体实施方式】可以参照现有技术,并发明不再赘述。
[0068]步骤S202、向虚拟机反馈授权信息并为虚拟机中所有存储分区分配不同的密钥。
[0069]具体地,在接收到来自虚拟机的开机请求后,向管理员显示开机请求并获取管理员针对开机请求的授权确认信息;然后依据授权确认信息,生成与开机请求相对应的授权
?目息。
[0070]步骤S203、向虚拟机反馈相应的授权失败信息。
[0071 ] 实施例三
[0072]基于上述本发明实施例提供的虚拟机安全控制方法,本发明实施例还提供了一种虚拟机安全控制系统,参考图3,该虚拟机安全控制系统300可以包括如下内容:
[0073]预启动模块301,用于当检测到虚拟机的开机指令时,启动预启动0S;
[0074]开机请求发送模块302,用于依据开机指令生成相应的开机请求,并将开机请求发送至安全管理设备;
[0075]接收模块303,用于接收安全管理设备反馈的授权信息和虚拟机中所有存储分区分配不同的密钥;
[0076]控制模块304,用于启动虚拟机0S并完成虚拟机的开机操作,及利用密钥对所述虚拟机中存储分区的数据进行加密存储。
[0077]本发明中,上述预启动模块301具体可以用于对虚拟机的运行环境和网络设备进行初始化配置。
[0078]实施例四
[0079]基于上述本发明实施例提供的虚拟机安全管理方法,本发明实施例还提供了一种虚拟机安全管理系统,参考图4,该虚拟机安全管理系统400可以包括如下内容:
[0080]权限判断模块401,用于接收来自虚拟机的开机请求,并判断开机请求是否符合预设授权规则;
[0081 ]管理模块402,用于当判定开机请求符合预设授权规则时,向虚拟机反馈授权信息并为虚拟机中所有存储分区分配不同的密钥。
[0082]本发明中,上述虚拟机安全管理系统400还可以包括:
[0083]授权确认信息获取模块,用于在向虚拟机反馈授权信息之前,显示开机请求并获取针对开机请求的授权确认信息;
[0084]授权信息生成模块,用于依据授权确认信息,生成与开机请求相对应的授权信息。
[0085]实施例五
[0086]基于上述本发明实施例提供的虚拟机安全控制系统和虚拟机安全管理系统,本发明实施例还提供了一种虚拟机管理系统,参考图5,该虚拟机管理系统500可以包括如下内容:
[0087]虚拟机501和安全管理设备502;其中,
[0088]虚拟机501,用于当检测到虚拟机501的开机指令时,启动预启动0S;依据开机指令生成相应的开机请求,并将开机请求发送至安全管理设备502;接收安全管理设备502反馈的授权信息和虚拟机501中所有存储分区分配不同的密钥;启动虚拟机0S并完成虚拟机501的开机操作,及利用密钥对虚拟机501中存储分区的数据进行加密存储;
[0089]安全管理设备502,用于接收开机请求,并判断开机请求是否符合预设授权规则;当判定开机请求符合预设授权规则时,向虚拟机501反馈授权信息并为虚拟机501中所有存储分区分配不同的密钥。
[0090]需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于系统类实施例而言,由于其与方法实施例基本相似,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
[0091]以上对本发明所提供的一种虚拟机安全控制方法、管理方法及系统和管理系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
【主权项】
1.一种虚拟机安全控制方法,其特征在于,包括: 当检测到所述虚拟机的开机指令时,启动预启动OS; 依据所述开机指令生成相应的开机请求,并将所述开机请求发送至安全管理设备; 接收所述安全管理设备反馈的授权信息和所述虚拟机中所有存储分区分配不同的密钥; 启动虚拟机OS并完成所述虚拟机的开机操作,及利用所述密钥对所述虚拟机中所述存储分区的数据进行加密存储。2.如权利要求1所述的虚拟机安全控制方法,其特征在于,所述启动预启动OS包括: 对所述虚拟机的运行环境和网络设备进行初始化配置。3.一种虚拟机安全管理方法,其特征在于,包括: 接收来自所述虚拟机的开机请求,并判断所述开机请求是否符合预设授权规则; 当判定所述开机请求符合所述预设授权规则时,向所述虚拟机反馈授权信息并为所述虚拟机中所有存储分区分配不同的密钥。4.如权利要求3所述的虚拟机安全管理方法,其特征在于,在所述向所述虚拟机反馈授权信息之前,还包括: 显示所述开机请求并获取针对所述开机请求的授权确认信息; 依据所述授权确认信息,生成与所述开机请求相对应的授权信息。5.一种虚拟机安全控制系统,其特征在于,包括: 预启动模块,用于当检测到所述虚拟机的开机指令时,启动预启动OS; 开机请求发送模块,用于依据所述开机指令生成相应的开机请求,并将所述开机请求发送至安全管理设备; 接收模块,用于接收所述安全管理设备反馈的授权信息和所述虚拟机中所有存储分区分配不同的密钥; 控制模块,用于启动虚拟机OS并完成所述虚拟机的开机操作,及利用所述密钥对所述虚拟机中所述存储分区的数据进行加密存储。6.如权利要求5所述的虚拟机安全控制系统,其特征在于,所述预启动模块具体用于对所述虚拟机的运行环境和网络设备进行初始化配置。7.一种虚拟机安全管理系统,其特征在于,包括: 权限判断模块,用于接收来自所述虚拟机的开机请求,并判断所述开机请求是否符合预设授权规则; 管理模块,用于当判定所述开机请求符合所述预设授权规则时,向所述虚拟机反馈授权信息并为所述虚拟机中所有存储分区分配不同的密钥。8.如权利要求7所述的虚拟机安全管理系统,其特征在于,还包括: 授权确认信息获取模块,用于在所述向所述虚拟机反馈授权信息之前,显示所述开机请求并获取针对所述开机请求的授权确认信息; 授权信息生成模块,用于依据所述授权确认信息,生成与所述开机请求相对应的授权?目息。9.一种虚拟机管理系统,其特征在于,包括: 虚拟机和安全管理设备;其中, 所述虚拟机,用于当检测到所述虚拟机的开机指令时,启动预启动OS;依据所述开机指令生成相应的开机请求,并将所述开机请求发送至安全管理设备;接收所述安全管理设备反馈的授权信息和所述虚拟机中所有存储分区分配不同的密钥;启动虚拟机OS并完成所述虚拟机的开机操作,及利用所述密钥对所述虚拟机中所述存储分区的数据进行加密存储;所述安全管理设备,用于接收所述开机请求,并判断所述开机请求是否符合预设授权规则;当判定所述开机请求符合所述预设授权规则时,向所述虚拟机反馈所述授权信息并为所述虚拟机中所有存储分区分配不同的密钥。
【专利摘要】本发明公开了一种虚拟机安全控制方法、管理方法及系统和管理系统,在虚拟机安全控制方法中,当检测到虚拟机的开机指令时,启动预启动OS;依据开机指令生成相应的开机请求,并将开机请求发送至安全管理设备;接收安全管理设备反馈的授权信息和虚拟机中所有存储分区分配不同的密钥;启动虚拟机OS并完成虚拟机的开机操作,及利用密钥对所述虚拟机中存储分区的数据进行加密存储,以此实现了对虚拟机的启动权限进行限制并且针对虚拟机中每个存储分区采用不同的密钥进行加密。另外,虚拟机安全管理方法及系统,虚拟机管理系统的有益效果同上。
【IPC分类】H04L29/06
【公开号】CN105450638
【申请号】CN201510760566
【发明人】雷波, 董贵山, 王运兵, 侯建宁, 冷青松, 夏凡, 黄斌, 李林啸, 唐中乾
【申请人】中国电子科技集团公司第三十研究所
【公开日】2016年3月30日
【申请日】2015年11月10日