[发明专利]一种私有云计算应用中虚拟机镜像安全方法

说明书

技术领域

本发明涉及一种对私有云计算应用中的虚拟机镜像文件提供安全保护的方法，该安全方法基于动态分解和重组的方法，对私有云导入导出的虚拟机镜像文件进行重组加密，使得即使虚拟机镜像文件被窃取或者流出私有云外部，也会被其他虚拟化平台导入和运行，属于云计算技术领域。

背景技术

云计算(Cloud computing)，是一种新兴的共享基础架构的方法，可以将巨大的系统池连接在一起以提供各种IT服务。它使得超级计算能力通过互联网自由流通成为了可能。企业与个人用户无需再投入昂贵的硬件购置成本，只需要通过互联网来购买租赁计算力，“把你的计算机当做接入口，一切都交给互联网吧”。提供资源的网络被称为“云”。云计算是网格计算、分布式计算、并行计算、效用计算网络存储、虚拟化负载均衡等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SAAS、PAAS、IAAS、等先进的商业模式把这强大的计算能力分布到终端用户手中。

目前，云计算按照数据的面向对象可以分为公有云、私有云、混合云。公有云是为公共普通客户使用而构建的，计算资源为所有的人共享。私有云是为一个客户或者企业单独使用而构建的，因而提供对数据、安全性和服务质量有更高的要求。混合云是公有云和私有云的混合服务模式。

虚拟机镜像是以文件的形式存储的虚拟机信息，包括操作系统文件，其他数据，应用程序等，被按照特定的格式写入到文件中，如：VHD(Virtual HardDisk)是微软提出的标准，VMX是VM-ware提出的标准。这种方式的好处在于文件的灵活拷贝和易于管理。目前在IAAS云计算服务中，虚拟机镜像的导入导出用以实现虚拟机的快速部署和迁移，被大量的应用在实际虚拟化管理中。

然而，在私有云的应用模式下，当虚拟机镜像被带出私有云，或者被窃取到私有云外，由于标准导出的镜像可以直接在其他的虚拟化平台上导入，并启动和使用，这样在私有云中的一些私有和机密信息，就可以被私有云外的用户窥探，如果是恶意用户，带来的安全隐患非常大。如果该镜像被再次伪装或者加入了一些恶意的不符合该私有云安全性限制条件的服务或者代码，再次进入到该私有云之后将会对整个私有云安全造成威胁，带来的潜在后果非常大。

因此，我们有必要对私有云计算应用中的虚拟机镜像提供有效地安全保障方案。

发明内容

本发明的目的在于解决现有技术中存在的问题，提供一种对私有云计算应用中的虚拟机镜像文件提供安全保护的方法，该安全方法基于动态分解和重组的方法，对私有云导入导出的虚拟机镜像文件进行重组加密，使得即使虚拟机镜像文件被窃取或者流出私有云外部，也会被其他虚拟化平台导入和运行。

本发明的目的是通过下述技术方案予以实现的：

一种私有云计算应用中虚拟机镜像安全加密方法，其特征在于：包括如下具体步骤：

(1)通过随机数生成器生成一个随机整数，把原始的虚拟机镜像和该随机整数输入到分解算法生成器中；

(2)分解算法生成器中根据所述随机整数的数值大小，通过乱序数组排列，生成一个随机乱序，并记录之，假设为sequence；并按照该随机乱序sequence把原始的虚拟机镜像文件Old VM Image重新分解组合成一个新的镜像文件New VM Image；把该随机乱序sequence输入到文件加密器中；

(3)由UUID生成器为这个虚拟机镜像生成一个唯一标识；

(4)通过Hash算法将所述唯一标识转换生成一个整数标识，并将该整数标识输入到文件加密器中；

(5)文件加密器对步骤(2)中输入的随机乱序sequence进行加密，生成加密文件；根据步骤(4)中输入的整数标识建立由随机乱序sequence生成的加密文件与其公钥之间的对应关系；并将该加密文件及公钥分别存储于加密文件池和密钥池中；

(6)将所述分解组合后生成的新镜像文件New VM Image和UUID生成的唯一标识组合起来，生成最终的安全虚拟机镜像Safe VM Image。

所述步骤(4)中的HASH算法可以采用MD4、MD5、SHA-256、SHA-384或SHA-512算法。

所述步骤(5)中所采用的公钥加密算法可以采用RSA公钥算法或DSA公钥算法。

所述加密方法的步骤(5)中除了可以用整数标识建立由随机乱序sequence生成的加密文件与其公钥之间的对应关系外，还可以加入时间参数用以建立加密文件与公钥之间的对应关系。