[发明专利]一种防止云平台虚拟机非法启动的镜像加解密方法

说明书

技术领域

本发明属于信息安全技术领域，特别是涉及一种防止云平台虚拟机非法启动的镜像加解密方法。

背景技术

云计算IaaS(基础设施作为服务)平台中，用户可以租借虚拟机（Domain U），然后在自己定制的虚拟机上安装应用或者进行工作。然而Domain U对Domain 0（宿主系统）来说是可见的，即用户的隐私安全得不到保证。为防止Domain 0的管理员或者Domain 0的恶意攻击者在用户不知情的情况下对用户的私有文件进行任意查看甚至泄露，需要将用户的虚拟机镜像进行加密存储。但是通常一个虚拟机镜像有十几M字节的大小，因此对整个虚拟机镜像进行加密，会导致性能低下的问题。在安全性要求高或有法规要求的环境下，加密的性能成本是值得的，但是一般情况下，需要一种同时考虑安全性和性能的折中方法。

针对虚拟机的镜像保护问题，文献[1]提供了一种基于动态分解和重组的方法，对私有云导入导出的虚拟机镜像文件进行重组加密。文献[2]提出利用额外的电子设备如Usbkey对虚拟机镜像全部进行加解密。文献[3]采用密钥资源池的方法从密钥资源池中动态选择密钥对用户每次要使用的数据进行存储加密。文献[4]在每个虚拟机运行的Host节点上设计了一个TVMM（Trusted Virtual Machine Monitor）模块监控该节点上的虚拟机是否被非法篡改，但未对虚拟机镜像进行加密。文献[5]中提出给每个VM的数据盘分配一个密钥，用于加解密用户的重要数据，但未对镜像进行加解密。文献[6]由用户端产生一个对称密钥，对虚拟机镜像进行全加密。上述加密方法归纳起来一种是对整个镜像进行加密，该方法在使用时性能较低；另一种是对镜像中的用户数据进行加密。本发明提出了一种防止云平台虚拟机非法启动的镜像加解密方法，对虚拟机主要磁盘信息和关键内核模块进行加密，并且利用TPM绑定加密密钥，防止管理员未经授权启动虚拟机。

有关文献：[1]宋卓;胡中;沈启龙;王鹏;任海宝;徐安;牛立新. 一种私有云计算应用中虚拟机镜像安全方法，2011. [2]威廉M·杜安.为虚拟机镜像提供安全机制的方法和系统,2011.[3] 张兴;王海洋;张雅哲.一种虚拟化环境数据安全隔离方法和系统.2013.[4] Santos N.Gummadi, K.P. Rodrigues R.Towards Trusted Cloud Computing. In:Proceedings of the 2009 Conference on Hot Topics in Cloud Computing, HotCloud2009. USENIX Association, Berkeley (2009). [5] Schiffman, J. Moyer, T. Vijayakumar, H. Jaeger, T. McDaniel, P. Seeding Clouds With Trust Anchors. In: Proceedings of the, ACM Workshop on Cloud Computing Security, CCSW 2010, pp. 43-46. ACM, New York (2010). [6] Aslam M. Gehrmann C. RasmussonL. Bjorkman M. Securely Launching Virtual Machines on Trustworthy Platforms in a Public Cloud - An Enterprise’s Perspective. In: Leymann, F. Ivanov, I. van Sinderen, M.,Shan, T. (eds.) CLOSER,pp. 511-521. SciTePress (2012)。

发明内容

出于对安全性和性能之间权衡，本发明提出一种防止云平台虚拟机非法启动的镜像加解密方法。

本发明的技术方案为一种防止云平台虚拟机非法启动的镜像加解密方法，云管理服务器的密钥管理中心为每个虚拟机的镜像创建一个唯一的密钥，并采用云管理服务器中TPM的 SRK密钥保护该密钥；在云管理服务器下发虚拟机的镜像时，将受云管理服务器中TPM保护的密钥迁移至虚拟机运行的计算节点上，然后利用计算节点上TPM的SRK密钥保护该密钥；

虚拟机第一次启动时正常启动，在每次虚拟机关闭时，利用迁移到计算节点上的密钥对虚拟机的镜像进行加密；之后虚拟机每次启动时对已加密虚拟机的镜像进行解密。

而且，利用迁移到计算节点上的密钥进行加密的过程中保存临时文件，所采用加密流程包括以下步骤，