本發(fā)明提供了一種基于KMIP和加密卡的虛擬化數(shù)據(jù)安全方法，其包括兩個(gè)流程：一，加密流程，包括以下步驟：步驟一，用戶(hù)管理員登錄鏡像管理系統(tǒng),通過(guò)界面獲取自己能管理的虛擬機(jī)實(shí)例；步驟二，用戶(hù)管理員選擇需要進(jìn)行保護(hù)的虛擬機(jī)實(shí)例進(jìn)行保護(hù)；步驟三，鏡像管理系統(tǒng)向VDP發(fā)送相關(guān)指令，VDP接收用戶(hù)指令后向密鑰管理系統(tǒng)提交生成加密密鑰的請(qǐng)求，入?yún)樘摂M機(jī)的uuid，成功后在數(shù)據(jù)庫(kù)中將該uuid對(duì)應(yīng)的加密標(biāo)志設(shè)置成TRUE；步驟四，VDP發(fā)送指令到VDPAGENT對(duì)該虛擬機(jī)數(shù)據(jù)進(jìn)行加密操作，入?yún)樘摂M機(jī)uuid。本發(fā)明通過(guò)改寫(xiě)qemu磁盤(pán)鏡像接口并通過(guò)加密卡硬件對(duì)虛擬機(jī)鏡像進(jìn)行加解密從而保證虛擬化安全的鏡像數(shù)據(jù)安全。

技術(shù)領(lǐng)域

本發(fā)明涉及一種虛擬化數(shù)據(jù)安全方法，具體地，涉及一種基于KMIP和加密卡的虛擬化數(shù)據(jù)安全方法。

背景技術(shù)

自主可控是國(guó)家安全的戰(zhàn)略要求，隨著國(guó)家安全戰(zhàn)略的逐步實(shí)施和落地，在各個(gè)數(shù)據(jù)中心的建設(shè)中基于開(kāi)源的openstack和qemu(硬件虛擬化),kvm,xen為基礎(chǔ)的云計(jì)算解決方案將會(huì)占有大量的市場(chǎng)份額。但是安全性上尤其是數(shù)據(jù)安全性上存在如下的弱點(diǎn)和不足:

一，在kvm,xen中只有基于qcow2格式的鏡像文件在設(shè)計(jì)之初就考慮了鏡像的安全，但在qemu的實(shí)現(xiàn)中也只提供了軟實(shí)現(xiàn)的方式，軟實(shí)現(xiàn)的加，解密方式存在性能低下的問(wèn)題,同時(shí)對(duì)其他鏡像格式的文件在設(shè)計(jì)之初就缺乏考慮。

二，在qemu中只提供了加密方法但對(duì)加密密鑰的管理(產(chǎn)生，保存，分發(fā))以及相關(guān)的策略缺乏設(shè)計(jì)和實(shí)現(xiàn)，在一些提供安全解決的方案產(chǎn)品中都是自己來(lái)實(shí)現(xiàn)密鑰的管理，這導(dǎo)致密鑰的管理缺乏相關(guān)的標(biāo)準(zhǔn)導(dǎo)致產(chǎn)品在通用型和安全性上面缺乏保證。

三，在虛擬化數(shù)據(jù)安全中除了鏡像的安全還需要有存儲(chǔ)的安全，在目前市場(chǎng)上的虛擬化產(chǎn)品存儲(chǔ)設(shè)備大部分都是通過(guò)iscsi協(xié)議和rbd協(xié)議(ceph存儲(chǔ))暴露給虛擬機(jī)，目前存儲(chǔ)安全的解決方案中很多都是在存儲(chǔ)設(shè)備上面采取透明加解密方式來(lái)解決,這種方式帶來(lái)的問(wèn)題是由于加解密是在服務(wù)端完成會(huì)加重服務(wù)端的負(fù)擔(dān)，其次數(shù)據(jù)傳輸?shù)耐ǖ肋€需要進(jìn)行保護(hù)，另外由于鏡像的安全和存儲(chǔ)的安全沒(méi)有進(jìn)行統(tǒng)一導(dǎo)致鏡像需要一個(gè)密鑰，存儲(chǔ)需要一個(gè)密鑰的問(wèn)題，在密鑰的管理上會(huì)對(duì)用戶(hù)產(chǎn)生很大的不便。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中的缺陷，本發(fā)明的目的是提供一種基于KMIP和加密卡的虛擬化數(shù)據(jù)安全方法，其通過(guò)改寫(xiě)qemu磁盤(pán)鏡像接口并通過(guò)加密卡硬件對(duì)虛擬機(jī)鏡像進(jìn)行加解密從而保證虛擬化安全的鏡像數(shù)據(jù)安全，同時(shí)對(duì)原來(lái)不支持加密的鏡像格式通過(guò)將加密標(biāo)志保存到數(shù)據(jù)庫(kù)來(lái)提供支持。

根據(jù)本發(fā)明的一個(gè)方面，提供一種基于KMIP和加密卡的虛擬化數(shù)據(jù)安全方法，其特征在于，所述基于KMIP和加密卡的虛擬化數(shù)據(jù)安全方法包括兩個(gè)流程：

一，加密流程，包括以下步驟：

步驟一，用戶(hù)管理員登錄鏡像管理系統(tǒng),通過(guò)界面獲取自己能管理的虛擬機(jī)實(shí)例；

步驟二，用戶(hù)管理員選擇需要進(jìn)行保護(hù)的虛擬機(jī)實(shí)例進(jìn)行保護(hù)；

步驟三，鏡像管理系統(tǒng)向VDP發(fā)送相關(guān)指令，VDP接收用戶(hù)指令后向密鑰管理系統(tǒng)提交生成加密密鑰的請(qǐng)求，入?yún)樘摂M機(jī)的uuid，成功后在數(shù)據(jù)庫(kù)中將該uuid對(duì)應(yīng)的加密標(biāo)志設(shè)置成TRUE；

步驟四，VDP發(fā)送指令到VDPAGENT對(duì)該虛擬機(jī)數(shù)據(jù)進(jìn)行加密操作，入?yún)樘摂M機(jī)uuid；

步驟五，VDPAGENT收到指令后，先通過(guò)qemu停止虛擬機(jī)，通過(guò)KMIP獲取該虛擬機(jī)的加密密鑰，通過(guò)虛擬機(jī)定義的XML獲取分配給該虛擬機(jī)具體的塊設(shè)備信息分別對(duì)鏡像文件，iscsi,rbd塊設(shè)備進(jìn)行先讀出再加密寫(xiě)回的操作，所有完成后虛擬機(jī)的初始化加密狀態(tài)就完成了，通過(guò)qemu重啟虛擬機(jī)進(jìn)入動(dòng)態(tài)加，解密狀態(tài)；

二，解密流程，包括以下步驟：