[发明专利]一种虚拟磁盘映像加密管理系统及方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及云计算或虚拟化环境中数据保护的系统。 

背景技术

云计算是当前发展十分迅猛的新兴产业，被认为是继微型计算机、互联网后的第三次IT革命。主流IT公司、电信运营商以及新兴的创新公司都将大量精力投入于云计算中，目前已构成了一个较为完整的云计算生态环境。除了技术上的融合、创新，云计算还为社会信息化带来了全新的服务模式，各种各样的产品和服务都以云命名，如云计算、云软件、云存储、云安全、云灾备等。 

云计算这一新兴事物在给社会带来效益的同时也带来了一些新的安全问题，由于虚拟化和多租户的引入，如数据隔离、隐私保护等安全问题也日益受人们关注。Forrester Research公司在2009年的调查显示，有51％的中小型企业认为安全性和隐私问题是它们尚未选择云服务的最主要原因。 

云环境中的数据安全可分为几个方面，从数据的区域来划分，有： 

1.边界内部安全，如虚拟化环境边界、主机的边界、虚拟机的边界，以及虚拟网络及子网的边界安全等。 

2.边界之间的安全，如用户与虚拟化环境之间、虚拟机与虚拟机之间、用户A的数据与用户B的数据之间的隔离安全等。 

3.边界的嵌套安全，如虚拟化环境边界相对于主机边界、主机边界相对于虚拟机边界等。 

从数据的状态来划分，可分为： 

1.动态数据。动态数据可分为如下两种状态： 

a)传输态的数据，如边界A到边界B之间传输的数据、被拷贝的内存数据、共享的内存数据等。 

b)运算态的数据，如在CPU或虚拟CPU中进行运算的数据。 

2.静态数据，如虚拟机磁盘中的数据、共享存储中的用户数据等。 

目前，大部分的云或虚拟化环境中的数据安全产品仍沿用传统的方式，在虚拟机中安装加密驱动，加密磁盘某一卷或分区的数据，这一方式能有效保护用户的数据安全，但也未充分利用虚拟化环境的特点。 

发明内容

本发明所要解决的技术问题是，提供一种虚拟磁盘映像加密管理系统及方法，以充分利用虚拟化的特点，更高效、安全的保护用户虚拟机中的数据。 

为了解决上述技术问题，本发明公开了一种虚拟磁盘映像加密管理系统，至少包括对称密钥管理中心以及安装于各虚拟化监视器中的虚拟机加密磁盘映像管理代理，其中： 

所述虚拟机加密磁盘映像管理代理，向所述对称密钥管理中心请求获取密钥信息，根据所获取的密钥信息，生成虚拟机加密磁盘映像，并根据用户操作管理虚拟机加密磁盘映像，所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作； 

所述对称密钥管理中心，收到所述虚拟机加密磁盘映像管理代理的请求时，将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。 

较佳地，上述系统中，所述对称密钥管理中心，收到所述虚拟机加密磁盘映像管理代理的请求时，将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理指： 

所述对称密钥管理中心，收到所述虚拟机加密磁盘映像管理代理的请求 时，生成虚拟机加密磁盘映像的密钥信息，再将生成的密钥信息发送给所述虚拟机加密磁盘映像管理代理；或者 

所述对称密钥管理中心，收到所述虚拟机加密磁盘映像管理代理的请求时，将本地已保存的虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。 

较佳地，上述系统中，所述对称密钥管理中心，根据所述虚拟机加密磁盘映像管理代理的请求时，还确定发起请求的客户端是否为认证的客户端，仅当发起请求的客户端为认证的客户端时，才生成虚拟机加密磁盘映像加密密钥。 

较佳地，上述系统中，所述虚拟机加密磁盘映像管理代理分为可qemu-kvm代理和对称密钥管理客户端，其中： 

qemu-kvm代理，根据虚拟机加密磁盘的通用唯一标识码(UUID)提交密钥请求给所述对称密钥管理客户端和接收返回的密钥信息，根据返回的密钥信息生成虚拟机加密磁盘映像，以及根据用户操作对生成的虚拟机加密磁盘映像进行管理，所述管理包括虚拟机加密磁盘映像的挂载、打开、快照、迁移以及删除操作； 

对称密钥管理客户端，根据qemu-kvm代理提交的密钥请求与对称密钥管理中心通信，并将对称密钥管理中心发送的密钥信息返回给qemu-kvm代理。 

较佳地，上述系统中，所述对称密钥管理客户端与对称密钥管理中心通信指：