技術領域

本發明涉及信息安全技術領域，尤其涉及云計算或虛擬化環境中數據保護的系統。?

背景技術

云計算是當前發展十分迅猛的新興產業，被認為是繼微型計算機、互聯網后的第三次IT革命。主流IT公司、電信運營商以及新興的創新公司都將大量精力投入于云計算中，目前已構成了一個較為完整的云計算生態環境。除了技術上的融合、創新，云計算還為社會信息化帶來了全新的服務模式，各種各樣的產品和服務都以云命名，如云計算、云軟件、云存儲、云安全、云災備等。?

云計算這一新興事物在給社會帶來效益的同時也帶來了一些新的安全問題，由于虛擬化和多租戶的引入，如數據隔離、隱私保護等安全問題也日益受人們關注。Forrester?Research公司在2009年的調查顯示，有51％的中小型企業認為安全性和隱私問題是它們尚未選擇云服務的最主要原因。?

云環境中的數據安全可分為幾個方面，從數據的區域來劃分，有：?

1.邊界內部安全，如虛擬化環境邊界、主機的邊界、虛擬機的邊界，以及虛擬網絡及子網的邊界安全等。?

2.邊界之間的安全，如用戶與虛擬化環境之間、虛擬機與虛擬機之間、用戶A的數據與用戶B的數據之間的隔離安全等。?

3.邊界的嵌套安全，如虛擬化環境邊界相對于主機邊界、主機邊界相對于虛擬機邊界等。?

從數據的狀態來劃分，可分為：?

1.動態數據。動態數據可分為如下兩種狀態：?

a)傳輸態的數據，如邊界A到邊界B之間傳輸的數據、被拷貝的內存數據、共享的內存數據等。?

b)運算態的數據，如在CPU或虛擬CPU中進行運算的數據。?

2.靜態數據，如虛擬機磁盤中的數據、共享存儲中的用戶數據等。?

目前，大部分的云或虛擬化環境中的數據安全產品仍沿用傳統的方式，在虛擬機中安裝加密驅動，加密磁盤某一卷或分區的數據，這一方式能有效保護用戶的數據安全，但也未充分利用虛擬化環境的特點。?

發明內容

本發明所要解決的技術問題是，提供一種虛擬磁盤映像加密管理系統及方法，以充分利用虛擬化的特點，更高效、安全的保護用戶虛擬機中的數據。?

為了解決上述技術問題，本發明公開了一種虛擬磁盤映像加密管理系統，至少包括對稱密鑰管理中心以及安裝于各虛擬化監視器中的虛擬機加密磁盤映像管理代理，其中：?

所述虛擬機加密磁盤映像管理代理，向所述對稱密鑰管理中心請求獲取密鑰信息，根據所獲取的密鑰信息，生成虛擬機加密磁盤映像，并根據用戶操作管理虛擬機加密磁盤映像，所述管理包括虛擬機加密磁盤映像的掛載、打開、快照、遷移以及刪除操作；?

所述對稱密鑰管理中心，收到所述虛擬機加密磁盤映像管理代理的請求時，將虛擬機加密磁盤映像的密鑰信息發送給所述虛擬機加密磁盤映像管理代理。?

較佳地，上述系統中，所述對稱密鑰管理中心，收到所述虛擬機加密磁盤映像管理代理的請求時，將虛擬機加密磁盤映像的密鑰信息發送給所述虛擬機加密磁盤映像管理代理指：?

所述對稱密鑰管理中心，收到所述虛擬機加密磁盤映像管理代理的請求?時，生成虛擬機加密磁盤映像的密鑰信息，再將生成的密鑰信息發送給所述虛擬機加密磁盤映像管理代理；或者?

所述對稱密鑰管理中心，收到所述虛擬機加密磁盤映像管理代理的請求時，將本地已保存的虛擬機加密磁盤映像的密鑰信息發送給所述虛擬機加密磁盤映像管理代理。?

較佳地，上述系統中，所述對稱密鑰管理中心，根據所述虛擬機加密磁盤映像管理代理的請求時，還確定發起請求的客戶端是否為認證的客戶端，僅當發起請求的客戶端為認證的客戶端時，才生成虛擬機加密磁盤映像加密密鑰。?

較佳地，上述系統中，所述虛擬機加密磁盤映像管理代理分為可qemu-kvm代理和對稱密鑰管理客戶端，其中：?

qemu-kvm代理，根據虛擬機加密磁盤的通用唯一標識碼(UUID)提交密鑰請求給所述對稱密鑰管理客戶端和接收返回的密鑰信息，根據返回的密鑰信息生成虛擬機加密磁盤映像，以及根據用戶操作對生成的虛擬機加密磁盤映像進行管理，所述管理包括虛擬機加密磁盤映像的掛載、打開、快照、遷移以及刪除操作；?

對稱密鑰管理客戶端，根據qemu-kvm代理提交的密鑰請求與對稱密鑰管理中心通信，并將對稱密鑰管理中心發送的密鑰信息返回給qemu-kvm代理。?

較佳地，上述系統中，所述對稱密鑰管理客戶端與對稱密鑰管理中心通信指：?