專利名稱:一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù)領(lǐng)域�,特別是一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法和系統(tǒng)。
背景技術(shù):
在虛擬化環(huán)境下�,用戶的工作環(huán)境由個人電腦轉(zhuǎn)移到了虛擬機(jī),計算資源�、存儲資源等都脫離了用戶的物理控制。有可能多個用戶的虛擬機(jī)鏡像數(shù)據(jù)都存儲在同一塊物理磁盤上���。如果用戶的虛擬機(jī)鏡像數(shù)據(jù)被非法用戶獲取并使用��,就可能對用戶造成損失。雖然可以通過訪問控制等手段嚴(yán)格限制對用戶數(shù)據(jù)的訪問權(quán)限���,進(jìn)行一定程度的數(shù)據(jù)隔離�����,但仍然無法限制管理員等特權(quán)用戶對用戶數(shù)據(jù)的訪問操作���。另一種典型的防護(hù)手段是對所有用戶的虛擬機(jī)鏡像數(shù)據(jù)均進(jìn)行靜態(tài)加密存儲。但加密狀態(tài)的數(shù)據(jù)是無法被正常使用的。采用靜態(tài)加密存儲的數(shù)據(jù)在使用前需要人為進(jìn)行解密操作���,并且當(dāng)涉及大量數(shù)據(jù)加解密操作時�,需要繁瑣的密鑰管理功能��,用戶體驗很差�����。
發(fā)明內(nèi)容
本發(fā)明針對現(xiàn)有技術(shù)無法方便有效的對用戶的虛擬機(jī)鏡像數(shù)據(jù)進(jìn)行隔離進(jìn)而無法保證用戶數(shù)據(jù)安全的問題�����,提供一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法����,通過數(shù)據(jù)動態(tài)透明加解密技術(shù)和用戶密鑰資源生成及管理技術(shù)相結(jié)合,能夠?qū)⒂脩舻奶摂M機(jī)鏡像數(shù)據(jù)安全隔離����,在保證用戶數(shù)據(jù)安全的同時,可以達(dá)到良好的用戶體驗�。本發(fā)明還涉及一種虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)。本發(fā)明的技術(shù)方案如下:一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法����,其特征在于�����,采用密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù)��,由計算資源池提供計算資源并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)通過密鑰資源池生成的密鑰資源對存儲的用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行使用前解密����,并在計算資源操作后進(jìn)行數(shù)據(jù)加密以作為存儲資源存儲至存儲資源池���。所述密鑰資源池支持用戶單點登錄�,并在用戶在線或離線注冊后存儲用戶信息���。所述密鑰資源池存儲用戶信息后隨機(jī)生成與用戶相關(guān)的密鑰資源�����,在用戶使用計算資源和存儲資源時,通過密鑰資源池代理用戶進(jìn)行密鑰資源的管理和使用操作����。所述計算資源池包括計算資源,所述計算資源包括虛擬化的CPU資源和內(nèi)存資源,所述存儲資源池包括存儲資源并支持?jǐn)?shù)據(jù)庫存儲和文件存儲功能���,所述存儲資源以虛擬磁盤的形式和計算資源打包在一起以虛擬機(jī)的使用形式呈現(xiàn)���。所述計算資源池根據(jù)用戶信息向密鑰資源池提出用戶密鑰請求,所述用戶密鑰請求中包含標(biāo)明用戶身份資源的信息�����。所述標(biāo)明用戶身份資源的信息包括用戶的身份信息和用戶的授權(quán)令牌信息���。一種虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)�,其特征在于�����,包括依次連接的密鑰資源池����、計算資源池和存儲資源池;所述密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù)����;所述計算資源池提供計算資源�����,并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)與密鑰資源池交互���,通過密鑰資源池生成的密鑰資源對用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行存儲前加密和使用前解密;所述存儲資源池存儲加密后的用戶的虛擬機(jī)鏡像數(shù)據(jù)��。所述系統(tǒng)中的密鑰資源池位于云計算平臺上或位于云計算平臺之外的第三方服務(wù)平臺�����,所述計算資源池和存儲資源池均位于云計算平臺上����。所述系統(tǒng)中的密鑰資源池支持用戶單點登錄,并在用戶在線或離線注冊后存儲用戶信息���。所述系統(tǒng)中的密鑰資源池存儲用戶信息后隨機(jī)生成與用戶相關(guān)的密鑰資源�����,在用戶使用計算資源和存儲資源時,通過密鑰資源池代理用戶進(jìn)行密鑰資源的管理和使用操作�。所述系統(tǒng)中的計算資源池包括計算資源�����,所述計算資源包括虛擬化的CPU資源和內(nèi)存資源��,所述存儲資源池包括存儲資源并支持?jǐn)?shù)據(jù)庫存儲和文件存儲功能��,所述存儲資源以虛擬磁盤的形式和計算資源打包在一起以虛擬機(jī)的使用形式呈現(xiàn)����。所述系統(tǒng)中的計算資源池根據(jù)用戶信息向密鑰資源池提出用戶密鑰請求��,所述用戶密鑰請求中包含標(biāo)明用戶身份資源的信息��。所述標(biāo)明用戶身份資源的信息包括用戶的身份信息和用戶的授權(quán)令牌信息��。本發(fā)明的技術(shù)效果如下:本發(fā)明涉及一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法�,通過密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù),采用數(shù)據(jù)動態(tài)透明加解密技術(shù)通過密鑰資源池生成的密鑰資源對存儲的用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行解密���,并在計算資源操作后進(jìn)行數(shù)據(jù)加密以作為存儲資源存儲至存儲資源池����。本發(fā)明通過使用數(shù)據(jù)動態(tài)透明加解密技術(shù)�����,使用戶的虛擬機(jī)鏡像數(shù)據(jù)以密文的形式保存在存儲資源池中,即使惡意用戶拿到了其它用戶的虛擬機(jī)鏡像數(shù)據(jù)���,也無法解密獲得有用信息����;同時通過使用密鑰資源池設(shè)備管理用戶密鑰資源����,用戶使用計算資源時,密鑰資源池會配合計算資源池���、存儲資源池自動進(jìn)行動態(tài)加解密操作���,整個過程對用戶透明,從而通過密鑰手段方便����、有效的隔離了不同用戶的虛擬機(jī)鏡像,解決了現(xiàn)有的用戶的虛擬機(jī)鏡像數(shù)據(jù)進(jìn)行安全防護(hù)時�,僅通過限制對用戶數(shù)據(jù)的訪問權(quán)限而無法實現(xiàn)對用戶的虛擬機(jī)鏡像數(shù)據(jù)全部安全隔離的問題,同時也解決了采用靜態(tài)加密存儲的數(shù)據(jù)時在加密狀態(tài)的數(shù)據(jù)無法被正常使用并在使用前需要人為逐一解密導(dǎo)致用戶體驗差的問題����。本發(fā)明所述的虛擬化環(huán)境下安全隔離方法在保證用戶數(shù)據(jù)安全的同時,可以達(dá)到良好的用戶體驗���。本發(fā)明還涉及一種虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)�,包括依次連接的密鑰資源池��、計算資源池和存儲資源池����,在用戶使用計算資源時,由密鑰資源池根據(jù)儲存的該用戶的信息去與計算資源池進(jìn)行交互�,以提供相應(yīng)的密鑰資源給計算資源調(diào)用,計算資源池采用數(shù)據(jù)動態(tài)透明加解密技術(shù)與密鑰資源池交互�,通過密鑰資源池生成的密鑰資源對用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行存儲前加密和使用前解密,通過計算資源池采用的數(shù)據(jù)動態(tài)透明加解密技術(shù)和密鑰資源池采用的用戶密鑰資源生成及管理技術(shù)相結(jié)合��,能夠?qū)⒂脩舻奶摂M機(jī)鏡像數(shù)據(jù)安全隔離��,保證了用戶的數(shù)據(jù)安全����。本發(fā)明所述系統(tǒng)無需用戶進(jìn)行解密操作也無需用戶管理密鑰,通過密鑰資源池和計算資源池配合工作���,整個加解密過程動態(tài)進(jìn)行���,對用戶透明����,增強(qiáng)了用戶的體驗性�。
圖1是本發(fā)明虛擬化環(huán)境數(shù)據(jù)安全隔離方法的原理圖。圖2是本發(fā)明虛擬化環(huán)境數(shù)據(jù)安全隔離方法的流程圖�。圖3是本發(fā)明虛擬化環(huán)境數(shù)據(jù)安全隔離方法的優(yōu)選流程圖。圖4是本發(fā)明虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)的結(jié)構(gòu)示意圖�。圖中各標(biāo)號列示如下:I 一用戶;2 —密鑰資源池�;3 —計算資源池;4 一存儲資源池��。
具體實施例方式下面結(jié)合附圖對本發(fā)明進(jìn)行說明�。本發(fā)明涉及一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法,其原理如圖1所示����,該方法采用密鑰資源池2存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù),由計算資源池3為用戶提供計算資源并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)與密鑰資源池2交互��,計算資源池3通過密鑰資源池2生成的密鑰資源對存儲的用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行使用前解密,并在計算資源操作后進(jìn)行數(shù)據(jù)加密以作為存儲資源存儲至存儲資源池4�。圖1中所示的用戶I是云計算平臺的虛擬機(jī)使用者;采用密鑰資源池2儲存用戶信息��,為用戶提供密鑰資源服務(wù)����,具體包括生成針對該用戶的密鑰資源以及對該密鑰資源進(jìn)行管理����,還可以提供用戶單點登錄的功能,或者說是密鑰資源池支持用戶單點登錄����,密鑰資源池2可以為一硬件設(shè)備,其產(chǎn)品的具體使用形態(tài)取決于本發(fā)明所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法對效率的要求或者對當(dāng)前的安全性等級的要求�����,將密鑰資源池2設(shè)置為硬件設(shè)備��,安全性會更高并且生成密鑰的速度會更快���。為使得密鑰資源池的通用性更好��,密鑰資源池也可以理解為是云計算平臺所提供的某項服務(wù)能力�,或者可以是云計算平臺之外的第三方服務(wù)提供商所提供的服務(wù);計算資源池3包括計算資源���,該計算資源可采用云計算平臺所提供的計算資源�,通過虛擬化技術(shù)將云中所有的計算資源統(tǒng)一形成的抽象資源池����,典型的計算資源池包括虛擬化的CPU資源、內(nèi)存資源等計算資源����,計算資源和存儲資源打包在一起以虛擬機(jī)的使用形式展現(xiàn)給用戶;存儲資源池4是通過虛擬化技術(shù)將云中所有的存儲資源統(tǒng)一形成的抽象資源池�,典型的存儲資源池可提供數(shù)據(jù)庫存儲,文件存儲等功能�,存儲資源以虛擬磁盤的形式和計算資源打包在一起以虛擬機(jī)的使用形式展現(xiàn)給用戶。圖2是本發(fā)明虛擬化環(huán)境數(shù)據(jù)安全隔離方法的流程圖���。主要涉及四個過程:用戶注冊過程��、用戶使用計算資源過程�����、用戶密鑰資源交互過程和數(shù)據(jù)動態(tài)加解密過程�����。其中�,用戶注冊過程是在用戶與密鑰資源池之間的交互,用戶在密鑰資源池中進(jìn)行注冊�����,密鑰資源池存儲用戶相關(guān)信息之后可以隨機(jī)或者按照特定規(guī)律生成與用戶相關(guān)的密鑰資源�,進(jìn)而在用戶使用計算資源����、存儲資源時密鑰資源池會代理用戶進(jìn)行相關(guān)密鑰資源的管理、使用操作�����。用戶使用計算資源池中的計算資源過程����,或者理解為是用戶使用云計算平臺所提供的計算資源,如使用云計算平臺所提供的虛擬機(jī)等功能���;用戶密鑰資源交互過程���,通過密鑰資源池來代理用戶和計算資源池交互���,提供相應(yīng)的密鑰資源給計算資源調(diào)用;數(shù)據(jù)動態(tài)加解密過程�,是計算資源池與存儲資源池之間進(jìn)行用戶的虛擬機(jī)鏡像數(shù)據(jù)信息的交互,計算資源池使用用戶密鑰資源(密鑰等)對用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行存儲前加密�����,使用前解密����、完整性驗證等透明操作。以下列舉出本發(fā)明所述虛擬化環(huán)境數(shù)據(jù)安全隔離方法的優(yōu)選方案�����,如圖3所示優(yōu)選流程圖���。該方法同樣涉及用戶注冊過程和用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)使用過程����,其中,用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)使用過程涵蓋了圖2所述的用戶使用計算資源過程�����、用戶密鑰資源交互過程和數(shù)據(jù)動態(tài)加解密過程�����。用戶注冊過程需在用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)使用過程之前進(jìn)行��,用戶注冊過程可以是在線或離線完成�,密鑰資源池在用戶在線或離線注冊后存儲用戶信息,并生成與用戶相關(guān)的密鑰資源���,針對該用戶的密鑰資源可以是隨機(jī)生成,用戶無需知道也無需用戶管理密鑰資源�。用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)使用過程介紹的是在用戶在使用計算資源和存儲資源時,通過密鑰資源池代理用戶進(jìn)行相關(guān)密鑰操作����,動態(tài)透明完成數(shù)據(jù)的加解密操作,具體流程如下:I)��、用戶向計算資源池發(fā)起計算資源請求操作���;典型的請求形式如用戶請求使用云計算平臺所提供的虛擬機(jī)進(jìn)行某些業(yè)務(wù)操作��;2)���、計算資源池向存儲資源池請求調(diào)用用戶的虛擬機(jī)鏡像的相關(guān)數(shù)據(jù)��,存儲資源池檢索存儲的該用戶的相關(guān)數(shù)據(jù)資源后返回相關(guān)數(shù)據(jù)給計算資源池�����,返回給計算資源池的數(shù)據(jù)為密文數(shù)據(jù)�;當(dāng)然���,如果用戶之前并未存儲數(shù)據(jù)資源在存儲資源池���,則此步驟不存在;3)�����、計算資源池根據(jù)用戶的信息向密鑰資源池提出用戶密鑰請求��,此用戶密鑰請求中應(yīng)包含用戶的身份信息和用戶的授權(quán)TOKEN等可確切標(biāo)明用戶身份資源的信息��;4)、密鑰資源池根據(jù)用戶身份�,查詢所需的密鑰資源(或者說針對該用戶的密鑰信息),并返還給計算資源池�����;5)�����、計算資源池利用得到的密鑰信息進(jìn)行數(shù)據(jù)解密操作��,從而完成對存儲的用戶的虛擬機(jī)鏡像數(shù)據(jù)的使用前動態(tài)解密�����;當(dāng)然�����,如果用戶之前并未存儲加密數(shù)據(jù)資源����,此步驟不存在���;6)��、用戶使用計算資源池提供的計算資源�,如虛擬機(jī)等���,進(jìn)行相應(yīng)的計算操作��;7)����、在計算資源操作后,涉及到任何的數(shù)據(jù)存儲操作��,計算資源池都將數(shù)據(jù)加密后再作為存儲資源存儲至存儲資源池�����,相反的�,涉及到任何的存儲密文數(shù)據(jù)使用操作��,計算資源池提取到密文數(shù)據(jù)后首先進(jìn)行解密操作再使用��,整個加解密過程動態(tài)進(jìn)行,對用戶透明�。本發(fā)明還涉及一種虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng),其結(jié)構(gòu)示意圖如圖4所示����,包括依次連接的密鑰資源池、計算資源池和存儲資源池����,該系統(tǒng)采用資源池架構(gòu),易于整合系統(tǒng)中的硬件資源��,其中����,密鑰資源池和計算資源池均直接與用戶相交互。密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù)����;計算資源池提供計算資源,并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)與密鑰資源池交互�����,通過密鑰資源池生成的密鑰資源對用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行存儲前加密和使用前解密��;存儲資源池存儲加密后的用戶的虛擬機(jī)鏡像數(shù)據(jù)����。為使得數(shù)據(jù)隔離的安全性會更高并且生成密鑰的速度會更快,密鑰資源池可以是硬件設(shè)備���。密鑰資源池可以位于云計算平臺上��,此時可理解為是云計算平臺所提供的某項服務(wù)能力��,也可以位于云計算平臺之外的第三方服務(wù)平臺����,此時可理解為是云計算平臺之外的第三方服務(wù)提供商所提供的服務(wù)��。計算資源池和存儲資源池均位于云計算平臺上�����,計算資源池包括計算資源�����,該計算資源可以是虛擬化的CPU資源和內(nèi)存資源�����,可以將計算資源和存儲資源打包在一起以虛擬機(jī)的使用形式呈現(xiàn);存儲資源池包括存儲資源并支持?jǐn)?shù)據(jù)庫存儲和文件存儲功能����,用于存儲加密的用戶的虛擬機(jī)鏡像數(shù)據(jù),存儲資源以虛擬磁盤的形式可以和計算資源打包在一起以虛擬機(jī)的使用形式呈現(xiàn)���。本發(fā)明所涉及的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)�����,與本發(fā)明所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法相對應(yīng)���。本發(fā)明虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)的工作流程可以參考圖2和圖3。包括用戶在密鑰資源池中進(jìn)行注冊�����,密鑰資源池支持用戶單點登錄���,并在用戶在線或離線注冊后存儲用戶信息���,以及隨機(jī)或按照特定規(guī)律生成針對該用戶的密鑰資源或密鑰信息���,在用戶使用計算資源和存儲資源時,通過密鑰資源池代理用戶進(jìn)行密鑰資源的管理和使用操作��。在用戶使用計算資源池中的計算資源時���,通過密鑰資源池來代理用戶和計算資源池交互,提供相應(yīng)的密鑰資源給計算資源調(diào)用�,計算資源池從存儲資源池調(diào)用出用戶的加密的密文數(shù)據(jù)后,再與密鑰資源池交互���,根據(jù)用戶信息向密鑰資源池提出用戶密鑰請求���,該用戶密鑰請求中包含標(biāo)明用戶身份資源的信息如用戶的身份信息和用戶的授權(quán)令牌信息等,密鑰資源池將相關(guān)的密鑰資源提供給計算資源池��,由計算資源池利用得到的密鑰資源進(jìn)行數(shù)據(jù)解密操作�����,涉及到任何的存儲密文數(shù)據(jù)使用操作���,計算資源池提取到密文數(shù)據(jù)后首先進(jìn)行解密操作再使用���,即使用前動態(tài)解密����。在計算資源操作后�����,涉及到任何的數(shù)據(jù)存儲操作����,計算資源池都將數(shù)據(jù)加密后再作為存儲資源存儲至存儲資源池,即存儲前加密���。計算資源池采用數(shù)據(jù)動態(tài)透明加解密技術(shù)���,使用用戶的密鑰資源對用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行存儲前加密、使用前解密以及完整性驗證等透明操作�。本發(fā)明所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法和系統(tǒng),通過使用密鑰資源池��、計算資源池和存儲資源池配合工作并與用戶協(xié)作�,使用戶的虛擬機(jī)鏡像數(shù)據(jù)以密文的形式保存在存儲資源池中,以密鑰的方式實現(xiàn)了對用戶的虛擬機(jī)鏡像數(shù)據(jù)的隔離����,可以達(dá)到密碼學(xué)意義上的安全隔離�����,有效的保證了用戶的虛擬機(jī)鏡像數(shù)據(jù)安全����,防止了用戶數(shù)據(jù)被惡意篡改或泄漏問題����;引入密鑰資源池代理用戶管理和使用密鑰資源�,不需要用戶親自去設(shè)置以及管理維護(hù)大量密鑰資源,使用戶從繁雜的密鑰管理中脫離出來��;同時對用戶的虛擬機(jī)鏡像數(shù)據(jù)進(jìn)行數(shù)據(jù)動態(tài)透明加解密操作��,使得整個加解密過程可全程對用戶透明��,在保證用戶的虛擬機(jī)鏡像數(shù)據(jù)安全隔離的同時��,可以達(dá)到良好的用戶體驗��。應(yīng)當(dāng)指出���,以上所述具體實施方式
可以使本領(lǐng)域的技術(shù)人員更全面地理解本發(fā)明創(chuàng)造�,但不以任何方式限制本發(fā)明創(chuàng)造。因此�����,盡管本說明書參照附圖和實施例對本發(fā)明創(chuàng)造已進(jìn)行了詳細(xì)的說明�,但是,本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解�,仍然可以對本發(fā)明創(chuàng)造進(jìn)行修改或者等同替換,總之�����,一切不脫離本發(fā)明創(chuàng)造的精神和范圍的技術(shù)方案及其改進(jìn)�����,其均應(yīng)涵蓋在本發(fā)明創(chuàng)造專利的保護(hù)范圍當(dāng)中����。
權(quán)利要求
1.一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法,其特征在于��,采用密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù)����,由計算資源池提供計算資源并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)通過密鑰資源池生成的密鑰資源對存儲的用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行使用前解密����,并在計算資源操作后進(jìn)行數(shù)據(jù)加密以作為存儲資源存儲至存儲資源池�。
2.根據(jù)權(quán)利要求1所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法,其特征在于�����,所述密鑰資源池支持用戶單點登錄�,并在用戶在線或離線注冊后存儲用戶信息�����。
3.根據(jù)權(quán)利要求1所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法����,其特征在于,所述密鑰資源池存儲用戶信息后隨機(jī)生成與用戶相關(guān)的密鑰資源���,在用戶使用計算資源和存儲資源時����,通過密鑰資源池代理用戶進(jìn)行密鑰資源的管理和使用操作。
4.根據(jù)權(quán)利要求3所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法����,其特征在于,所述計算資源池包括計算資源�����,所述計算資源包括虛擬化的CPU資源和內(nèi)存資源����,所述存儲資源池包括存儲資源并支持?jǐn)?shù)據(jù)庫存儲和文件存儲功能,所述存儲資源以虛擬磁盤的形式和計算資源打包在一起以虛擬機(jī)的使用形式呈現(xiàn)�。
5.根據(jù)權(quán)利要求3所述的虛擬化環(huán)境數(shù)據(jù)安全隔離方法,其特征在于�����,所述計算資源池根據(jù)用戶信息向密鑰資源池提出用戶密鑰請求��,所述用戶密鑰請求中包含標(biāo)明用戶身份資源的信息�,所述標(biāo)明用戶身份資源的信息包括用戶的身份信息和用戶的授權(quán)令牌信息。
6.一種虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)���,其特征在于���,包括依次連接的密鑰資源池�、計算資源池和存儲資源池��; 所述密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù)�����; 所述計算資源池提供計算資源����,并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)與密鑰資源池交互,通過密鑰資源池生成的密鑰資源對用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行存儲前加密和使用前解密��; 所述存儲資源池存儲加密后的用戶的虛擬機(jī)鏡像數(shù)據(jù)��。
7.根據(jù)權(quán)利要求6所述的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)�,其特征在于��,所述密鑰資源池位于云計算平臺上或位于云計算平臺之外的第三方服務(wù)平臺��,所述計算資源池和存儲資源池均位于云計算平臺上��。
8.根據(jù)權(quán)利要求6所述的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng),其特征在于�,所述密鑰資源池支持用戶單點登錄,并在用戶在線或離線注冊后存儲用戶信息���。
9.根據(jù)權(quán)利要求6所述的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)����,其特征在于���,所述密鑰資源池存儲用戶信息后隨機(jī)生成與用戶相關(guān)的密鑰資源����,在用戶使用計算資源和存儲資源時�����,通過密鑰資源池代理用戶進(jìn)行密鑰資源的管理和使用操作���。
10.根據(jù)權(quán)利要求9所述的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)��,其特征在于��,所述計算資源池包括計算資源�,所述計算資源包括虛擬化的CPU資源和內(nèi)存資源,所述存儲資源池包括存儲資源并支持?jǐn)?shù)據(jù)庫存儲和文件存儲功能�,所述存儲資源以虛擬磁盤的形式和計算資源打包在一起以虛擬機(jī)的使用形式呈現(xiàn)。
11. 根據(jù)權(quán)利要求9所述的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)�,其特征在于,所述計算資源池根據(jù)用戶信息向密鑰資源池提出用戶密鑰請求�����,所述用戶密鑰請求中包含標(biāo)明用戶身份資源的信息��。
12.根據(jù)權(quán)利要求11所述的虛擬化環(huán)境數(shù)據(jù)安全隔離系統(tǒng)��,其特征在于��,所述標(biāo)明用戶身份資源的 信息包括用戶的身份信息和用戶的授權(quán)令牌信息��。
全文摘要
本發(fā)明涉及一種虛擬化環(huán)境數(shù)據(jù)安全隔離方法和系統(tǒng)��,該方法采用密鑰資源池存儲用戶信息并為用戶提供密鑰資源的生成及管理服務(wù)�����,由計算資源池提供計算資源并采用數(shù)據(jù)動態(tài)透明加解密技術(shù)通過密鑰資源池生成的密鑰資源對存儲的用戶的虛擬機(jī)鏡像數(shù)據(jù)動態(tài)進(jìn)行使用前解密�,并在計算資源操作后進(jìn)行數(shù)據(jù)加密以作為存儲資源存儲至存儲資源池��。本發(fā)明所涉及的虛擬化環(huán)境數(shù)據(jù)安全隔離方法和系統(tǒng),通過數(shù)據(jù)動態(tài)透明加解密技術(shù)和用戶密鑰資源生成及管理技術(shù)相結(jié)合����,能夠?qū)⒂脩舻奶摂M機(jī)鏡像數(shù)據(jù)安全隔離,在保證用戶數(shù)據(jù)安全的同時���,可以達(dá)到良好的用戶體驗�。
文檔編號H04L9/32GK103107994SQ201310048530
公開日2013年5月15日 申請日期2013年2月6日 優(yōu)先權(quán)日2013年2月6日
發(fā)明者張興, 王海洋, 張雅哲 申請人:中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司