專利名稱:一種私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種對私有云計(jì)算應(yīng)用中的虛擬機(jī)鏡像文件提供安全保護(hù)的方法,該 安全方法基于動態(tài)分解和重組的方法����,對私有云導(dǎo)入導(dǎo)出的虛擬機(jī)鏡像文件進(jìn)行重組加 密,使得即使虛擬機(jī)鏡像文件被竊取或者流出私有云外部����,也會被其他虛擬化平臺導(dǎo)入和 運(yùn)行,屬于云計(jì)算技術(shù)領(lǐng)域���。
背景技術(shù):
云計(jì)算(Cloud computing)��,是一種新興的共享基礎(chǔ)架構(gòu)的方法����,可以將巨大的系 統(tǒng)池連接在一起以提供各種IT服務(wù)。它使得超級計(jì)算能力通過互聯(lián)網(wǎng)自由流通成為了可 能�����。企業(yè)與個(gè)人用戶無需再投入昂貴的硬件購置成本�����,只需要通過互聯(lián)網(wǎng)來購買租賃計(jì)算 力�����,“把你的計(jì)算機(jī)當(dāng)做接入口��,一切都交給互聯(lián)網(wǎng)吧”����。提供資源的網(wǎng)絡(luò)被稱為“云”��。云計(jì) 算是網(wǎng)格計(jì)算�����、分布式計(jì)算、并行計(jì)算���、效用計(jì)算網(wǎng)絡(luò)存儲�、虛擬化負(fù)載均衡等傳統(tǒng)計(jì)算機(jī) 技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物���。它旨在通過網(wǎng)絡(luò)把多個(gè)成本相對較低的計(jì)算實(shí)體整合成 一個(gè)具有強(qiáng)大計(jì)算能力的完美系統(tǒng)�,并借助SAAS���、PAAS��、IAAS�����、等先進(jìn)的商業(yè)模式把這強(qiáng)大 的計(jì)算能力分布到終端用戶手中�。目前�����,云計(jì)算按照數(shù)據(jù)的面向?qū)ο罂梢苑譃楣性?�、私有云、混合云�����。公有云是?公共普通客戶使用而構(gòu)建的�,計(jì)算資源為所有的人共享。私有云是為一個(gè)客戶或者企業(yè)單 獨(dú)使用而構(gòu)建的����,因而提供對數(shù)據(jù)�����、安全性和服務(wù)質(zhì)量有更高的要求����。混合云是公有云和私 有云的混合服務(wù)模式�����。虛擬機(jī)鏡像是以文件的形式存儲的虛擬機(jī)信息��,包括操作系統(tǒng)文件���,其他數(shù)據(jù)����,應(yīng) 用程序等,被按照特定的格式寫入到文件中�,如VHD(Virtual HardDisk)是微軟提出的標(biāo) 準(zhǔn),VMX是VMiare提出的標(biāo)準(zhǔn)�。這種方式的好處在于文件的靈活拷貝和易于管理。目前 在IAAS云計(jì)算服務(wù)中�����,虛擬機(jī)鏡像的導(dǎo)入導(dǎo)出用以實(shí)現(xiàn)虛擬機(jī)的快速部署和遷移���,被大量 的應(yīng)用在實(shí)際虛擬化管理中����。然而����,在私有云的應(yīng)用模式下,當(dāng)虛擬機(jī)鏡像被帶出私有云����,或者被竊取到私有云 外�����,由于標(biāo)準(zhǔn)導(dǎo)出的鏡像可以直接在其他的虛擬化平臺上導(dǎo)入���,并啟動和使用,這樣在私有 云中的一些私有和機(jī)密信息�����,就可以被私有云外的用戶窺探���,如果是惡意用戶���,帶來的安全 隱患非常大����。如果該鏡像被再次偽裝或者加入了一些惡意的不符合該私有云安全性限制條 件的服務(wù)或者代碼,再次進(jìn)入到該私有云之后將會對整個(gè)私有云安全造成威脅�����,帶來的潛 在后果非常大�����。因此,我們有必要對私有云計(jì)算應(yīng)用中的虛擬機(jī)鏡像提供有效地安全保障方案�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于解決現(xiàn)有技術(shù)中存在的問題�,提供一種對私有云計(jì)算應(yīng)用中的 虛擬機(jī)鏡像文件提供安全保護(hù)的方法,該安全方法基于動態(tài)分解和重組的方法�,對私有云 導(dǎo)入導(dǎo)出的虛擬機(jī)鏡像文件進(jìn)行重組加密,使得即使虛擬機(jī)鏡像文件被竊取或者流出私有云外部�,也會被其他虛擬化平臺導(dǎo)入和運(yùn)行。本發(fā)明的目的是通過下述技術(shù)方案予以實(shí)現(xiàn)的一種私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全加密方法�,其特征在于包括如下具體步 驟(1)通過隨機(jī)數(shù)生成器生成一個(gè)隨機(jī)整數(shù),把原始的虛擬機(jī)鏡像和該隨機(jī)整數(shù)輸 入到分解算法生成器中��;(2)分解算法生成器中根據(jù)所述隨機(jī)整數(shù)的數(shù)值大小��,通過亂序數(shù)組排列��,生成 一個(gè)隨機(jī)亂序����,并記錄之,假設(shè)為sequence ��;并按照該隨機(jī)亂序sequence把原始的虛擬機(jī) 鏡像文件Old VM Image重新分解組合成一個(gè)新的鏡像文件New VM Image ;把該隨機(jī)亂序 sequence輸入到文件加密器中����;(3)由UUID生成器為這個(gè)虛擬機(jī)鏡像生成一個(gè)唯一標(biāo)識;(4)通過Hash算法將所述唯一標(biāo)識轉(zhuǎn)換生成一個(gè)整數(shù)標(biāo)識����,并將該整數(shù)標(biāo)識輸入 到文件加密器中;(5)文件加密器對步驟(2)中輸入的隨機(jī)亂序sequence進(jìn)行加密���,生成加密文件����; 根據(jù)步驟(4)中輸入的整數(shù)標(biāo)識建立由隨機(jī)亂序sequence生成的加密文件與其公鑰之間 的對應(yīng)關(guān)系��;并將該加密文件及公鑰分別存儲于加密文件池和密鑰池中�����;(6)將所述分解組合后生成的新鏡像文件New VM Image和UUID生成的唯一標(biāo)識 組合起來����,生成最終的安全虛擬機(jī)鏡像Safe VM Image�。所述步驟(4)中的HASH 算法可以采用 MD4��、MD5���、SHA-256、SHA-384 或 SHA-512 算法�。所述步驟(5)中所采用的公鑰加密算法可以采用RSA公鑰算法或DSA公鑰算法。所述加密方法的步驟(5)中除了可以用整數(shù)標(biāo)識建立由隨機(jī)亂序sequence生成 的加密文件與其公鑰之間的對應(yīng)關(guān)系外�,還可以加入時(shí)間參數(shù)用以建立加密文件與公鑰之 間的對應(yīng)關(guān)系。所述步驟(6)中所述唯一標(biāo)識可以插入在所述新鏡像文件New VMImage的頭部�����、 尾部或中間部�。一種私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全解密方法,其特征在于包括如下具體步 驟(1)從安全虛擬機(jī)鏡像Safe VM Image中獲取UUID生成的唯一標(biāo)識���;(2)將安全虛擬機(jī)鏡像Safe VM Image中的唯一標(biāo)識分離����,獲得經(jīng)過分解組合的新 鏡像文件New VM Image ��;(3)通過Hash算法將所述步驟(1)獲取的唯一標(biāo)識轉(zhuǎn)換為整數(shù)標(biāo)識��,并根據(jù)該整 數(shù)標(biāo)識在加密文件池中查找相對應(yīng)的加密文件�����;(4)如果未找到相對應(yīng)的加密文件,則認(rèn)為該安全虛擬機(jī)鏡像SafeVM Image為無 效虛擬機(jī)鏡像�����;如果找到相對應(yīng)的加密文件�,則提取該加密文件并執(zhí)行步驟(5);(5)通過該整數(shù)標(biāo)識在密鑰池中查找相關(guān)公鑰�����,并解密步驟(4)所提取的加密文 件����,獲得隨機(jī)亂序sequence ;(6)通過該隨機(jī)亂序sequence對步驟(2)所獲得的經(jīng)過分解組合的新鏡像文件 New VM Image進(jìn)行反向重組并構(gòu)建出原始虛擬機(jī)鏡像文件Old VM Image �����;
5
(7)判斷該原始虛擬機(jī)鏡像文件Old VM Image是否為標(biāo)準(zhǔn)虛擬機(jī)鏡像文件��;如果 不是���,則認(rèn)為該安全虛擬機(jī)鏡像Safe VM Image為無效虛擬機(jī)鏡像��;如果是��,則將該原始虛 擬機(jī)鏡像文件Old VM Image導(dǎo)入私有云��。所述步驟(3)中的HASH 算法可以采用 MD4��、MD5�����、SHA-256���、SHA-384 或 SHA-512 算法。本發(fā)明的有益效果是這種動態(tài)分解組合的方法對私有云的虛擬機(jī)鏡像文件進(jìn)行 安全加密���,既可以避免黑客在私有云外運(yùn)行并使用該虛擬機(jī)��,還可以從如下幾個(gè)方面防止 黑客通過偽造���,或者猜解的方法攻擊。
圖1為私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全加密方法流程圖�;圖2為私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全解密方法流程圖;圖3為鏡像文件與唯一標(biāo)識組合示意圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步描述���。如前所述�����,本發(fā)明設(shè)計(jì)了一種對私有云計(jì)算應(yīng)用中的虛擬機(jī)鏡像文件提供安全保 護(hù)的方法��,該安全方法基于動態(tài)分解和重組的方法����,對私有云導(dǎo)入導(dǎo)出的虛擬機(jī)鏡像文件 進(jìn)行重組加密���,使得即使虛擬機(jī)鏡像文件被竊取或者流出私有云外部�,也會被其他虛擬化 平臺導(dǎo)入和運(yùn)行�����。圖1為私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全加密方法流程圖�。如圖所示,該安全加 密方法包括如下具體步驟(1)通過隨機(jī)數(shù)生成器生成一個(gè)隨機(jī)整數(shù)�����,把原始的虛擬機(jī)鏡像和該隨機(jī)整數(shù)輸 入到分解算法生成器中;這里�,該隨機(jī)數(shù)生成器所生成的隨機(jī)整數(shù)為原始的虛擬機(jī)鏡像文件要被分解成的 份數(shù)�����,也即所有片段序號的數(shù)組大小���。一般取值在100到100000之間�����,其具體取值的范圍 可以根據(jù)所需的安全級別不同進(jìn)行調(diào)整�����,取值范圍越大其安全級別越高���,反之則越小。(2)分解算法生成器中根據(jù)所述隨機(jī)整數(shù)的數(shù)值大小��,通過亂序數(shù)組排列�����,生成 一個(gè)隨機(jī)亂序,并記錄之���,假設(shè)為sequence ��;并按照該隨機(jī)亂序sequence把原始的虛擬機(jī) 鏡像文件Old VM Image重新分解組合成一個(gè)新的鏡像文件New VM Image �;把該隨機(jī)亂序 sequence輸入到文件加密器中�;這里,原始的虛擬機(jī)鏡像文件Old VM Image按照隨機(jī)亂序sequence進(jìn)行分解��、重 組�,成為一個(gè)新的鏡像文件New VM Image。該鏡像文件New VM Image由于已經(jīng)被打亂重組�����, 因此不會被竊取者通過其他的虛擬化平臺上導(dǎo)入�,也不會被利用加載其他惡意代碼威脅整 個(gè)私有云的安全。(3)由UUID生成器為這個(gè)虛擬機(jī)鏡像生成一個(gè)唯一標(biāo)識�����;UUID (Universally Unique Identif ier)�,通用唯一識別碼。它讓分布式系統(tǒng)中 的所有元素�����,都能有唯一的辨識資訊,而不需要透過中央控制端來做辨識資訊的指定��。如 此一來�,每個(gè)人都可以建立不與其它人沖突的UUID。在這樣的情況下���,就不需考慮數(shù)據(jù)庫
6建立時(shí)的名稱重復(fù)問題。目前最廣泛應(yīng)用的UUID����,即是微軟的Microsoft' s Globally UniqueIdentifiers (⑶IDs),而其他重要的應(yīng)用��,則有Linux ext2/ext3檔案系統(tǒng)�����、LUKS加 密分割區(qū)����、GNOME、KDE����、Mac OS X等等�。(4)通過Hash算法將所述唯一標(biāo)識轉(zhuǎn)換生成一個(gè)整數(shù)標(biāo)識����,并將該整數(shù)標(biāo)識輸入 到文件加密器中;這里��,通過Hash算法將唯一標(biāo)識轉(zhuǎn)換成一個(gè)整數(shù)標(biāo)識�,主要是因?yàn)橛蒛UID生成的 唯一標(biāo)識一般為128bits。但實(shí)際應(yīng)用中并不會有那么多的虛擬機(jī)����。為了在以后更快速的 查找對應(yīng)的分解算法文件,并且不再保存UUID副本��,加強(qiáng)安全性�,我們采用Hash的方法,為 此唯一標(biāo)識生成一個(gè)100000以內(nèi)的整數(shù)���。Hash函數(shù)的值域范圍選擇根據(jù)安全級別不同��,和 私有云的容量差異�,選擇不同的Hash函數(shù)生成不同的值域�����。值域越大,安全性越好��,私有云 容量越大����。(5)文件加密器對步驟(2)中輸入的隨機(jī)亂序sequence進(jìn)行加密,生成加密文件���; 根據(jù)步驟(4)中輸入的整數(shù)標(biāo)識建立由隨機(jī)亂序sequence生成的加密文件與其公鑰之間 的對應(yīng)關(guān)系;并將該加密文件及公鑰分別存儲于加密文件池和密鑰池中���;(6)將所述分解組合后生成的新鏡像文件New VM Image和UUID生成的唯一標(biāo)識 組合起來�,生成最終的安全虛擬機(jī)鏡像Safe VM Image�。(如圖3所示)按照上面的做法,一個(gè)安全的虛擬機(jī)鏡像文件就生成成功了����。該文件已經(jīng)是數(shù)據(jù) 被以某種粒度粉碎的(和切分原始文件的塊數(shù)有關(guān)),黑客即使拿到這個(gè)虛擬機(jī)鏡像文件��, 也是無法啟動和使用的�。同時(shí)����,由于切分算法文件只有私有云系統(tǒng)中有��,而且是加密過的�, 那實(shí)際上即使內(nèi)部的取得分解算法文件也不知道真實(shí)的排序組合是什么,從而更進(jìn)一步的 加強(qiáng)了安全性�。這樣我們可以保證在私有云外無法使用云內(nèi)部虛擬機(jī),而造成信息泄露或 者通過利用該鏡像進(jìn)行攻擊��。我們通過上述動態(tài)分解和重組的方法對私有云的虛擬機(jī)鏡像進(jìn)行安全加密��,保證 在私有云外無法使用云內(nèi)部虛擬機(jī)����,而造成信息泄露或者通過利用該鏡像進(jìn)行攻擊。如 果用戶想在私有云內(nèi)部再次使用到該鏡像��,可以把上述所生成的安全虛擬機(jī)鏡像Safe VM Image通過反向重組并構(gòu)建出標(biāo)準(zhǔn)的虛擬機(jī)鏡像再導(dǎo)入私有云�����。其具體加載流程如圖2所 示����,包括如下步驟(1)從安全虛擬機(jī)鏡像Safe VM Image中獲取UUID生成的唯一標(biāo)識��;(2)將安全虛擬機(jī)鏡像Safe VM Image中的唯一標(biāo)識分離����,獲得經(jīng)過分解組合的新 鏡像文件New VM Image �;(3)通過Hash算法將所述步驟(1)獲取的唯一標(biāo)識轉(zhuǎn)換為整數(shù)標(biāo)識,并根據(jù)該整 數(shù)標(biāo)識在加密文件池中查找相對應(yīng)的加密文件��;(4)如果未找到相對應(yīng)的加密文件�����,則認(rèn)為該安全虛擬機(jī)鏡像SafeVM Image為無 效虛擬機(jī)鏡像�;如果找到相對應(yīng)的加密文件,則提取該加密文件并執(zhí)行步驟(5)�;(5)通過該整數(shù)標(biāo)識在密鑰池中查找相關(guān)公鑰�,并解密步驟(4)所提取的加密文 件,獲得隨機(jī)亂序sequence ���;(6)通過該隨機(jī)亂序sequence對步驟(2)所獲得的經(jīng)過分解組合的新鏡像文件 New VM Image進(jìn)行反向重組并構(gòu)建出原始虛擬機(jī)鏡像文件Old VM Image ����;(7)判斷該原始虛擬機(jī)鏡像文件Old VM Image是否為標(biāo)準(zhǔn)虛擬機(jī)鏡像文件;如果不是��,則認(rèn)為該安全虛擬機(jī)鏡像Safe VM Image為無效虛擬機(jī)鏡像����;如果是,則將該原始虛 擬機(jī)鏡像文件Old VM Image導(dǎo)入私有云��。這里��,將標(biāo)準(zhǔn)的虛擬機(jī)鏡像文件導(dǎo)入私有云的過程為現(xiàn)有技術(shù)��,我們在此就不再 敖述�����。由此可見��,采用本發(fā)明這種動態(tài)分解組合的方法對私有云的虛擬機(jī)鏡像文件進(jìn)行 安全加密�����,既可以避免黑客在私有云外運(yùn)行并使用該虛擬機(jī)����,還可以從如下幾個(gè)方面防止 黑客通過偽造,或者猜解的方法攻擊。1�、假設(shè)黑客自己生成一個(gè)UUID唯一標(biāo)識并加入到自己偽造好的虛擬機(jī)鏡像中的 時(shí)候,在私有云校驗(yàn)的過程中��,UUID唯一標(biāo)識并非私有云產(chǎn)生的(而且由于重復(fù)的可能性 在計(jì)算上不可能)��,直接就會提示失敗����,并認(rèn)為鏡像不合法。2��、假設(shè)黑客通過默寫途徑���,取得了私有云內(nèi)部UUID信息����,但由于無法知道鏡像重 組序列��,這樣私有云根據(jù)內(nèi)部綁定的重組序列重組這個(gè)偽造的鏡像��,而生成的鏡像一定是 非標(biāo)準(zhǔn)的鏡像�,同樣也會被認(rèn)為是不合法的鏡像���。3��、假設(shè)黑客取得組合序列�����,但由于被加密�����,而無法取得公鑰���,黑客還是無法產(chǎn)生正 確的組合����,會在私有云中的反向組合的時(shí)候失敗��。4��、假設(shè)黑客取得了組合序列的最終序列�,但由于不知道UUID (因?yàn)閁UID根本就是 臨時(shí)的,由UUID生成器傳遞給哈希函數(shù)之后就不會再存在)���,還是會在最開始的校驗(yàn)的時(shí) 候就會失敗����,會被認(rèn)為是不合法的鏡像。另外�,上述對虛擬機(jī)鏡像文件的加密和解密過程中,許多所采用的算法和處理方 式�,事實(shí)上有很多等效替換的方案。我們在這里列舉一些可行的替換方案����。所述HASH 算法可以采用 MD4、MD5�、SHA-256、SHA-384 或 SHA-512 算法���。所述加密方法的步驟(5)中所采用的公鑰加密算法可以采用RSA公鑰算法或DSA 公鑰算法�。所述加密方法的步驟(5)中除了可以用整數(shù)標(biāo)識建立由隨機(jī)亂序sequence生成 的加密文件與其公鑰之間的對應(yīng)關(guān)系外��,還可以加入時(shí)間參數(shù)用以建立加密文件與公鑰之 間的對應(yīng)關(guān)系���。所述加密方法的步驟(6)中所述唯一標(biāo)識可以插入在所述新鏡像文件New VM Image的頭部��、尾部或中間部��。綜上所述�����,本發(fā)明所設(shè)計(jì)的對私有云計(jì)算應(yīng)用中的虛擬機(jī)鏡像文件提供安全保護(hù) 的方法�,該安全方法基于動態(tài)分解和重組的方法���,對私有云導(dǎo)入導(dǎo)出的虛擬機(jī)鏡像文件進(jìn) 行重組加密�,使得即使虛擬機(jī)鏡像文件被竊取或者流出私有云外部��,也會被其他虛擬化平 臺導(dǎo)入和運(yùn)行���。上述所給出的加密�����、解密技術(shù)方案僅為本發(fā)明的典型實(shí)施例��,并不用以限定 本發(fā)明的保護(hù)范圍�。本領(lǐng)域一般技術(shù)人員在此設(shè)計(jì)思想之下所作任何不具有創(chuàng)造性的改 造���,均應(yīng)視為在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
一種私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全加密方法���,其特征在于包括如下具體步驟(1)通過隨機(jī)數(shù)生成器生成一個(gè)隨機(jī)整數(shù),把原始的虛擬機(jī)鏡像和該隨機(jī)整數(shù)輸入到分解算法生成器中�;(2)分解算法生成器中根據(jù)所述隨機(jī)整數(shù)的數(shù)值大小,通過亂序數(shù)組排列���,生成一個(gè)隨機(jī)亂序�,并記錄之�����,假設(shè)為sequence��;并按照該隨機(jī)亂序sequence把原始的虛擬機(jī)鏡像文件Old VM Image重新分解組合成一個(gè)新的鏡像文件New VM Image���;把該隨機(jī)亂序sequence輸入到文件加密器中�;(3)由UUID生成器為這個(gè)虛擬機(jī)鏡像生成一個(gè)唯一標(biāo)識���;(4)通過Hash算法將所述唯一標(biāo)識轉(zhuǎn)換生成一個(gè)整數(shù)標(biāo)識��,并將該整數(shù)標(biāo)識輸入到文件加密器中��;(5)文件加密器對步驟(2)中輸入的隨機(jī)亂序sequence進(jìn)行加密����,生成加密文件;根據(jù)步驟(4)中輸入的整數(shù)標(biāo)識建立由隨機(jī)亂序sequence生成的加密文件與其公鑰之間的對應(yīng)關(guān)系�����;并將該加密文件及公鑰分別存儲于加密文件池和密鑰池中��;(6)將所述分解組合后生成的新鏡像文件New VM Image和UUID生成的唯一標(biāo)識組合起來����,生成最終的安全虛擬機(jī)鏡像Safe VM Image�����。
2.如權(quán)利要求1所述的虛擬機(jī)鏡像安全加密方法���,其特征在于所述步驟(4)中的 HASH 算法可以采用 MD4�����、MD 5��、SHA-256���、SHA-384 或 SHA-512 算法���。
3.如權(quán)利要求1所述的虛擬機(jī)鏡像安全加密方法,其特征在于所述步驟(5)中所采 用的公鑰加密算法可以采用RSA公鑰算法或DSA公鑰算法�。
4.如權(quán)利要求1所述的虛擬機(jī)鏡像安全加密方法,其特征在于所述加密方法的步驟 (5)中除了可以用整數(shù)標(biāo)識建立由隨機(jī)亂序sequence生成的加密文件與其公鑰之間的對 應(yīng)關(guān)系外�,還可以加入時(shí)間參數(shù)用以建立加密文件與公鑰之間的對應(yīng)關(guān)系。
5.如權(quán)利要求1所述的虛擬機(jī)鏡像安全加密方法�����,其特征在于所述步驟(6)中所述 唯一標(biāo)識可以插入在所述新鏡像文件New VM Image的頭部�����、尾部或中間部���。
6.一種私有云計(jì)算應(yīng)用中虛擬機(jī)鏡像安全解密方法���,其特征在于包括如下具體步驟(1)從安全虛擬機(jī)鏡像SafeVM Image中獲取UUID生成的唯一標(biāo)識;(2)將安全虛擬機(jī)鏡像SafeVM Image中的唯一標(biāo)識分離�����,獲得經(jīng)過分解組合的新鏡像 文件 New VM Image ;(3)通過Hash算法將所述步驟(1)獲取的唯一標(biāo)識轉(zhuǎn)換為整數(shù)標(biāo)識��,并根據(jù)該整數(shù)標(biāo) 識在加密文件池中查找相對應(yīng)的加密文件���;(4)如果未找到相對應(yīng)的加密文件���,則認(rèn)為該安全虛擬機(jī)鏡像SafeVMImage為無效虛 擬機(jī)鏡像�����;如果找到相對應(yīng)的加密文件�����,則提取該加密文件并執(zhí)行步驟(5)���;(5)通過該整數(shù)標(biāo)識在密鑰池中查找相關(guān)公鑰�����,并解密步驟(4)所提取的加密文件����,獲 得隨機(jī)亂序sequence ;(6)通過該隨機(jī)亂序sequence對步驟(2)所獲得的經(jīng)過分解組合的新鏡像文件NewVM Image進(jìn)行反向重組并構(gòu)建出原始虛擬機(jī)鏡像文件Old VM Image ���;(7)判斷該原始虛擬機(jī)鏡像文件OldVM Image是否為標(biāo)準(zhǔn)虛擬機(jī)鏡像文件��;如果不是���,則認(rèn)為該安全虛擬機(jī)鏡像Safe VM Image為無效虛擬機(jī)鏡像;如果是����,則將該原始虛擬 機(jī)鏡像文件Old VM Image導(dǎo)入私有云。
7.如權(quán)利要求6所述的虛擬機(jī)鏡像安全加密方法����,其特征在于所述步驟(3)中的 HASH 算法可以采用 MD4、MD5����、SHA-256、SHA-384 或 SHA-512 算法���。
全文摘要
本發(fā)明提供了一種對私有云計(jì)算應(yīng)用中的虛擬機(jī)鏡像文件提供安全保護(hù)的方法����,該安全方法基于動態(tài)分解和重組的方法,對私有云導(dǎo)入導(dǎo)出的虛擬機(jī)鏡像文件進(jìn)行重組加密�����。這種動態(tài)分解組合的方法對私有云的虛擬機(jī)鏡像文件進(jìn)行安全加密��,既可以避免黑客在私有云外運(yùn)行并使用該虛擬機(jī)��,還可以從如下幾個(gè)方面防止黑客通過偽造�,或者猜解的方法攻擊。
文檔編號G06F21/00GK101976317SQ20101053373
公開日2011年2月16日 申請日期2010年11月5日 優(yōu)先權(quán)日2010年11月5日
發(fā)明者任海寶, 宋卓, 徐安, 沈啟龍, 牛立新, 王鵬, 胡中 申請人:北京世紀(jì)互聯(lián)工程技術(shù)服務(wù)有限公司