技術領域

本發明涉及鏡像文件保護領域，具體是一種虛擬機鏡像文件保護方法及系統。

背景技術

在虛擬化技術中，虛擬機通過對硬件資源的抽象封裝實現了系統級的隔離，為不同安全等級的應用和服務提供了互不影響的運行環境，也為系統安全監控軟件部署提供了有利條件，已被廣泛使用，比如已被應用在云系統中。

但虛擬機存在虛擬化特有的安全問題，如離線攻擊、虛擬機的未授權訪問、虛擬機鏡像文件被惡意竊取等。此為現有技術的不足之處。

發明內容

本發明所要解決的技術問題是，針對現有技術的不足，提供一種虛擬機鏡像文件保護方法及系統，用于提高虛擬機使用的安全性。

為解決上述技術問題，本發明提供了一種虛擬機鏡像文件保護方法，該虛擬機鏡像文件保護方法應用于虛擬機每一次關閉過程中，包括步驟：

s1、在虛擬機關閉過程中，分別獲取當前待關閉虛擬機的鏡像文件以及與該當前待關閉虛擬機相對應的加密算法；

s2、在上述虛擬機關閉過程中，運用步驟s1中當前獲取的加密算法加密步驟s1中當前獲取的鏡像文件，獲取加密后的虛擬機鏡像文件，并用該當前獲取的加密后的虛擬機鏡像文件替換當前虛擬機中原有的鏡像文件；

s3、在上述虛擬機關閉過程中，采用與上述當前待關閉虛擬機相對應的完整性檢驗算法，計算步驟s2中當前獲取的加密后的鏡像文件的完整性檢驗值；

s4、在上述虛擬機關閉過程中，對上述步驟s3中當前計算出的完整性檢驗值進行存儲。

其中，在上述步驟s3中，所述的完整性檢驗算法為MD5算法或SHA-256算法。

本發明還提供了一種虛擬機鏡像文件保護系統，其包括應用于虛擬機關閉過程中的虛擬機鏡像文件保護子系統，該虛擬機鏡像文件保護子系統包括：

第一決策模塊，在虛擬機關閉過程中，用于獲取當前待關閉虛擬機的鏡像文件、用于獲取與該當前待關閉虛擬機相對應的加密算法、以及用于獲取與該當前待關閉虛擬機相對應的完整性檢驗算法；

第一加密模塊，在所述的虛擬機關閉過程中，運用第一決策模塊當前獲取的加密算法加密第一決策模塊當前獲取的鏡像文件，獲取加密后的虛擬機鏡像文件，并用該當前獲取的加密后的虛擬機鏡像文件替換當前虛擬機中原有的鏡像文件；

第一計算模塊，在所述的虛擬機關閉過程中，采用第一決策模塊當前獲取的完整性檢驗算法，計算并獲取第一加密模塊當前獲取的加密后的鏡像文件的完整性檢驗值；

第一存儲模塊，在所述的虛擬機關閉過程中，用于存儲第一計算模塊當前計算并獲取的相應完整性檢驗值。

上述虛擬機鏡像文件保護系統還包括：

加解密算法更新模塊，用于接收用戶的加解密算法更新請求，并用于基于當前接收到的加解密算法更新請求，更新與當前虛擬機相對應的用于加密當前虛擬機鏡像文件的加密算法、以及更新用于與當前已更新的加密算法配合使用的解密算法，該解密算法與所述的當前虛擬機相對應。

另外，本發明還提供了另一種虛擬機鏡像文件保護方法，該虛擬機鏡像文件保護方法應用于虛擬機啟動過程中，包括步驟：

p1、在虛擬機啟動過程中，獲取虛擬機中當前存儲的鏡像文件、獲取當前虛擬機在上一次關閉過程中計算所得的完整性檢驗值，并獲取與該當前待啟動虛擬機相對應的解密算法；

p2、采用與上一次關閉虛擬機過程中所使用的完整性檢驗算法相同的完整性檢驗算法，計算步驟p1中當前獲取的虛擬機鏡像文件的完整性檢驗值；

p3、將步驟p2中當前計算所得的完整性檢驗值，與步驟p1中獲取到的當前虛擬機在上一次關閉過程中計算所得的完整性檢驗值進行比較，若比較結果為一致，則執行步驟p4，否則執行p5；

p4、調用上述步驟p1中當前獲取到的解密算法，解密步驟p1中當前獲取到的鏡像文件，并用當前解密出的虛擬機鏡像文件替換當前虛擬機中原有的鏡像文件；

p5、控制虛擬機繼續完成當前次啟動，并向用戶反饋虛擬機鏡像文件完整性被破壞信息提示。

其中，該所述的另一種虛擬機鏡像文件保護方法，在步驟p1之前，在虛擬機的當前次啟動過程中，還包括步驟：

p0、對當前啟動虛擬機的用戶進行身份認證，若認證通過則繼續執行步驟p1，否則轉而執行步驟p6；

p6、終止虛擬機的當前次啟動。

其中，在步驟p0中，所述的身份認證包括口令認證和/或數字證書認證。