本發明提供一種Xen虛擬化環境下的數據安全防護方法，包括：對虛擬機進行完整性檢查，并對虛擬機的關鍵部分進行加密及簽名；當啟動虛擬機時，對虛擬機進行解密并驗證簽名操作；成功后，主機的通信接口上連接硬件加密卡，對于同一臺所述主機上模擬出的n臺虛擬機，每一臺虛擬機上創建加密卡驅動程序；各臺虛擬機通過自身的加密卡驅動程序在硬件層直接訪問硬件加密卡，通過硬件加密卡，進行加密業務處理操作，得到加密業務處理結果；當虛擬機完成任務后，將虛擬機還原到經過簽名的初始狀態，并將加密業務處理結果轉換為密文，在經過身份驗證后，通過專用通道導出到實際物理環境中存儲。全面提高Xen虛擬環境下虛擬機進行數據處理的安全性。

技術領域

本發明屬于云計算技術領域，具體涉及一種Xen虛擬化環境下的數據安全防護方法。

背景技術

目前在云計算領域，Xen虛擬化是一種常用的虛擬化技術，通過Xen虛擬化，可以在一臺物理主機上模擬出一臺或多臺虛擬機，這些虛擬機完全就像真正的計算機一樣工作，例如：可以安裝操作系統、安裝應用程序或訪問網絡資源等等。

現有技術中，虛擬機在運行過程中存在若干不安全因素，例如：管理員具有較大的權限，可以竊取某一虛擬機密碼登錄虛擬機；又例如，在用戶登錄某一臺虛擬機之后，可以使用一個安有后門的虛擬機替換用戶真實登錄的虛擬機等。

發明內容

針對現有技術存在的缺陷，本發明提供一種Xen虛擬化環境下的數據安全防護方法，能夠全面提高Xen虛擬環境下虛擬機進行數據處理的安全性。

本發明采用的技術方案如下：

本發明提供一種Xen虛擬化環境下的數據安全防護方法，包括以下步驟：

S1，在虛擬機創建過程中，使用USB key對虛擬機進行完整性檢查，并對所述虛擬機的關鍵部分進行加密及簽名；

S2，當啟動所述虛擬機時，首先對加密并簽名的所述虛擬機進行解密并進行驗證簽名操作；當解密成功及簽名驗證成功后，執行S3；

S3，主機的通信接口上連接硬件加密卡，對于同一臺所述主機上模擬出的n臺虛擬機，每一臺虛擬機上創建加密卡驅動程序；各臺所述虛擬機通過自身的所述加密卡驅動程序在硬件層直接訪問所述硬件加密卡，通過所述硬件加密卡，進行加密業務處理操作，得到加密業務處理結果；

S4，當所述虛擬機完成任務后，將所述虛擬機還原到經過簽名的初始狀態，并將所述加密業務處理結果轉換為密文，在經過USB key的身份驗證后，通過專用通道導出到實際物理環境中存儲。

優選的，所述虛擬機通過自身的所述加密卡驅動程序在硬件層直接訪問所述硬件加密卡，包括兩處過程：過程一，為一種獨占訪問所述硬件加密卡的過程，即：當某一虛擬機獨占訪問所述硬件加密卡的全部或部分資源時，所述硬件加密卡將該資源設置為獨占狀態，此時，既使所述硬件加密卡接收到來自所述主機的對該資源的訪問請求，所述硬件加密卡執行拒絕訪問的操作；過程二，為一種非獨占訪問所述硬件加密卡的過程，即：當某一虛擬機非獨占訪問所述硬件加密卡的全部或部分資源時，所述硬件加密卡將該資源設置為非獨占狀態，此時，所述硬件加密卡可被多臺虛擬機共享。

優選的，S3中，各臺所述虛擬機通過自身的所述加密卡驅動程序在硬件層直接訪問所述硬件加密卡，通過所述硬件加密卡，進行加密業務處理操作，得到加密業務處理結果，具體包括以下步驟：

S31，根據配置規則，將所述硬件加密卡的硬件映射為多個獨立的緩沖資源池，并且，每一個緩沖資源池的一端唯一對應一個虛擬機；所述緩沖資源池的另一端唯一對應一組輸入隊列和輸出隊列；

S32，當指定虛擬機需要使用所述硬件加密卡進行加密業務處理時，所述指定虛擬機將加密業務請求發送到與其唯一對應的指定緩沖資源池；

S33，所述指定緩沖資源池再將所述加密業務請求發送到與其唯一對應的指定輸入隊列；