通過虛擬機(jī)進(jìn)行安全數(shù)據(jù)處理的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及運行虛擬機(jī)。本發(fā)明還涉及將密鑰發(fā)給虛擬機(jī)實例�����。
【背景技術(shù)】
[0002]最近����,云計算已經(jīng)變成重要的范式。在云計算中���,計算資源可以被出租作為商品�。在典型的云計算模型中���,云提供商提供運行在物理服務(wù)器上的虛擬服務(wù)器���。這里,虛擬服務(wù)器可以向遠(yuǎn)程用戶提供與物理服務(wù)器相似的功能��。多個虛擬服務(wù)器可以運行在單個物理服務(wù)器上��,使得可以需要更少的物理服務(wù)器�。服務(wù)提供商可以提供一個或多個虛擬機(jī)映像,所述一個或多個虛擬機(jī)映像可以在云服務(wù)器上作為一個或多個虛擬機(jī)實例運行���。
[0003]對于云計算而言數(shù)據(jù)保護(hù)是重要的����。加密對保障數(shù)據(jù)保護(hù)潛在地起著重要作用�����。例如�����,在虛擬機(jī)的文件系統(tǒng)的頂部上可以運行加密的文件系統(tǒng)�����。此外�,由美國華盛頓西雅圖的亞馬遜網(wǎng)絡(luò)服務(wù)提供的亞馬遜S3提供服務(wù)器端加密(SSE)以使得虛擬機(jī)能夠以加密的形式存儲數(shù)據(jù)。
[0004]磁盤鏡像加密是目的在于保護(hù)靜態(tài)數(shù)據(jù)的技術(shù)�,靜態(tài)即當(dāng)關(guān)閉系統(tǒng)電源并且攻擊者以某種方法訪問其磁盤或其他外部存儲設(shè)備時,這通常被稱為‘離線攻擊’���。類似的攻擊能夠在虛擬機(jī)(VM)上被執(zhí)行�����,其中一個重要的差異是:其能夠甚至在沒有對系統(tǒng)的物理訪問的情況下被執(zhí)行���。如果攻擊者設(shè)法使虛擬化主機(jī)或管理程序(本地或遠(yuǎn)程)讓步��,則他們之后能夠繼續(xù)進(jìn)行以攻擊其VM客戶����。調(diào)用基于內(nèi)核的虛擬機(jī)(Linux KVM)的系統(tǒng)使得系統(tǒng)管理員能夠通過對客戶磁盤鏡像進(jìn)行加密����,并且要求加密密碼或密鑰來啟動他們來保護(hù)沒有運行的客戶。
[0005]Porticor虛擬私有數(shù)據(jù)系統(tǒng)(以色列�����,哈薩隆���,Porticor LTD)采用同態(tài)分裂密鑰加密技術(shù)�,在同態(tài)分裂密鑰加密技術(shù)中�,利用唯一密鑰來對諸如磁盤或文件的每個數(shù)據(jù)對象進(jìn)行加密�����,唯一密鑰被分裂成兩個:主密鑰和特定密鑰�。主密鑰對于所有數(shù)據(jù)對象而言是共同的���,并且保持應(yīng)用程序擁有者的占有;而第二特定密鑰對于每個數(shù)據(jù)對象而言是不同的�����,并且由虛擬密鑰管理服務(wù)存儲����。當(dāng)應(yīng)用程序訪問數(shù)據(jù)存儲時,密鑰的兩部分被用于對數(shù)據(jù)動態(tài)地進(jìn)行加密或解密����。
[0006]US 2010/0211782 Al公開了提供網(wǎng)絡(luò)數(shù)據(jù)服務(wù)的數(shù)字托管模式,所述數(shù)字托管模式包括存儲在云中的數(shù)據(jù)的可搜索加密技術(shù)�,將信任分布在多個實體中以避免單點數(shù)據(jù)讓步。在一個實施例中�����,密鑰生成器、加密技術(shù)提供商和云服務(wù)提供商每個被提供為單獨的實體�����,使得數(shù)據(jù)發(fā)布者能夠?qū)?shù)據(jù)秘密地發(fā)布給云服務(wù)提供商�,并且然后基于響應(yīng)于諸如訂閱者的角色的訂閱者的請求生成的密鑰信息中編碼的訂閱者身份信息而將加密的數(shù)據(jù)選擇性地暴露給請求所述數(shù)據(jù)的訂閱者。
[0007]US 2011/0296201 Al公開了被配置為提供在虛擬化服務(wù)器上可信地運行虛擬機(jī)(VM)的方法和裝置����,例如,用于在虛擬化服務(wù)器上運行VM的方法和裝置�。物理多核CPU可以被配置具有硬件信任錨。信任錨自身可以被配置為當(dāng)在CPU核中的一個上運行VM (或管理程序)時管理用于對指令和數(shù)據(jù)進(jìn)行加密/解密的會話密鑰�����。當(dāng)由于例外而發(fā)生上下文切換時�����,信任錨將用于對存儲器的內(nèi)容進(jìn)行加密/解密的會話密鑰與分配到VM(或管理程序)的緩存進(jìn)行交換�。
【發(fā)明內(nèi)容】
[0008]具有對虛擬機(jī)實例的改進(jìn)的處置將是有利的。為了更好地解決該關(guān)注問題�,本發(fā)明的第一方面提供了一種包括用于創(chuàng)建虛擬機(jī)實例的運行環(huán)境的系統(tǒng),所述系統(tǒng)包括:
[0009]實例授權(quán)單元,其用于接收實例授權(quán)證書���,其中����,所述實例授權(quán)證書唯一地與所述虛擬機(jī)實例相關(guān)聯(lián)�;
[0010]數(shù)據(jù)密鑰單元,其用于基于與所述虛擬機(jī)實例相關(guān)聯(lián)的所述實例授權(quán)證書來生成針對數(shù)據(jù)密鑰的請求��;以及
[0011]解密單元��,其用于基于所述數(shù)據(jù)密鑰來對數(shù)據(jù)項進(jìn)行解密��。
[0012]所述實例授權(quán)證書向虛擬機(jī)實例提供識別自身的方式�,因為所述實例授權(quán)證書唯一地與所述虛擬機(jī)實例相關(guān)聯(lián)���。通過這種方式�,針對所述數(shù)據(jù)密鑰的所述請求能夠被認(rèn)為來源于所述虛擬機(jī)實例���,并且通過這種方式��,在可以將數(shù)據(jù)密鑰發(fā)給所述虛擬機(jī)實例時可以基于所述請求來確定所述虛擬機(jī)實例外部的實體����,并且,例如����,可以將多個可用數(shù)據(jù)密鑰中的哪個數(shù)據(jù)密鑰發(fā)給所述虛擬機(jī)實例。
[0013]所述虛擬機(jī)實例還可以包括用戶證書單元��,所述用戶證書單元用于獲得與用戶或用戶組相關(guān)聯(lián)的用戶證書����。通過這種方式,所述虛擬機(jī)實例具有與所述虛擬機(jī)實例相關(guān)聯(lián)的實例授權(quán)證書以及與用戶或用戶組相關(guān)聯(lián)的用戶證書兩者��。所述數(shù)據(jù)密鑰單元可以被布置用于還基于所述用戶證書來生成所述請求��。這允許所述請求的接收者識別所述虛擬機(jī)實例和用戶兩者��,使得所述請求的接收者可以基于兩個實體來確定是否提供特定的數(shù)據(jù)密鑰���。備選地����,所述解密單元可以被布置用于還基于所述用戶證書來對數(shù)據(jù)項進(jìn)行解密�。通過這種方式�,所述用戶證書可以與所述數(shù)據(jù)密鑰結(jié)合使用以對所述數(shù)據(jù)進(jìn)行解密���。通過任一種方式�,所述虛擬機(jī)實例需要所述用戶證書和所述實例授權(quán)證書兩者來獲得對其未加密形式的數(shù)據(jù)項的訪問�。
[0014]所述實例授權(quán)單元可以被布置用于發(fā)出針對所述實例授權(quán)證書的請求,其中�����,所述請求指示特定于所述虛擬機(jī)實例的至少一個屬性����。這允許所述虛擬機(jī)實例主動地請求實例授權(quán)證書����。所述至少一個屬性例如可以是一起唯一地識別所述虛擬機(jī)實例的屬性集。
[0015]所述系統(tǒng)還可以包括實例擁有者單元��,所述實例擁有者單元用于在密鑰服務(wù)器處注冊與所述虛擬機(jī)實例相關(guān)聯(lián)的授權(quán)代碼并且將所述授權(quán)代碼提供給所述虛擬機(jī)實例����;其中,所述至少一個屬性包括所述授權(quán)代碼��。這允許擁有者單元控制所述虛擬機(jī)實例的解密能力。
[0016]所述實例擁有者單元可以被布置用于將包括所述授權(quán)代碼的指令發(fā)送到虛擬機(jī)的運行環(huán)境�����。所述運行環(huán)境可以被布置用于響應(yīng)于接收到所述指令而創(chuàng)建所述虛擬機(jī)實例并且將所述授權(quán)代碼提供給所述虛擬機(jī)實例��。這允許實例擁有者使所述運行環(huán)境創(chuàng)建具有與所述授權(quán)代碼相關(guān)聯(lián)的解密能力的虛擬機(jī)實例����。
[0017]所述實例擁有者單元和所述運行環(huán)境可以被實施在借助于網(wǎng)絡(luò)連接的兩個單獨的硬件實體上。所述系統(tǒng)允許通過控制被提供給所述虛擬機(jī)實例的所述授權(quán)代碼和/或發(fā)給所述虛擬機(jī)實例的所述數(shù)據(jù)密鑰改進(jìn)虛擬機(jī)實例中的信任�����,所述虛擬機(jī)實例由來自遠(yuǎn)程位置的實例擁有者單元經(jīng)由網(wǎng)絡(luò)來操作��。
[0018]所述數(shù)據(jù)密鑰單元可以被布置用于在針對所述數(shù)據(jù)密鑰的所述請求中包括指示所述請求在由所述虛擬機(jī)實例發(fā)出的請求序列中的位置的代碼�。這允許檢測對虛擬機(jī)實例的非法復(fù)制,因為當(dāng)兩個虛擬機(jī)實例使用相同的實例授權(quán)證書時���,這可以通過指示所述請求在由所述虛擬機(jī)實例發(fā)出的所述請求序列中的位置的代碼來披露���。具體而言,可以檢測到在后續(xù)請求中未嚴(yán)格遞增的位置�����。
[0019]所述虛擬機(jī)實例可以被布置用于將所述數(shù)據(jù)密鑰和使用所述數(shù)據(jù)密鑰解密的數(shù)據(jù)保持在易失性存儲器中,和/或在使用之后擦除所述數(shù)據(jù)密鑰和使用所述數(shù)據(jù)密鑰解密的所述數(shù)據(jù)��。這防止將所述數(shù)據(jù)密鑰和/或所述數(shù)據(jù)項存儲在永久存儲器上和/或存在于長于必要的持續(xù)時間的存儲器中��。
[0020]在本發(fā)明的另一方面中��,提供了一種用于將密鑰發(fā)給虛擬機(jī)實例的密鑰服務(wù)器系統(tǒng)����,所述密鑰服務(wù)器系統(tǒng)包括
[0021]實例識別單元,其用于基于特定于虛擬機(jī)實例的至少一個屬性來識別所述虛擬機(jī)實例��;
[0022]實例授權(quán)確定器���,其用于確定實例授權(quán)證書�����,并且將所述實例授權(quán)證書唯一地與所述虛擬機(jī)實例相關(guān)聯(lián);
[0023]實例授權(quán)提供單元�����,其用于將所述實例授權(quán)證書提供給所述虛擬機(jī)實例;
[0024]數(shù)據(jù)密鑰請求接收器����,其用于接收來自所述虛擬機(jī)實例的針對數(shù)據(jù)密鑰的請求,其中�,針對所述數(shù)據(jù)密鑰的所述請求包括與所述實例授權(quán)證書相關(guān)聯(lián)的實例授權(quán)部件;
[0025]數(shù)據(jù)授權(quán)單元���,其用于基于所述實例授權(quán)部件來確定所述虛擬機(jī)實例是否被授權(quán)以接收所述數(shù)據(jù)密鑰����;以及
[0026]數(shù)據(jù)密鑰提供單元����,其用于在所述虛擬機(jī)實例被授權(quán)以接收所述數(shù)據(jù)密鑰時將所述數(shù)據(jù)密鑰提供給所述虛擬機(jī)實例。
[0027]所述密鑰服務(wù)器系統(tǒng)可以控制數(shù)據(jù)密鑰到虛擬機(jī)實例的分配��。由于特定于所述虛擬機(jī)實例的所述屬性����,以及唯一地與所述虛擬機(jī)實例相關(guān)聯(lián)的實例授權(quán)證書的后續(xù)發(fā)行,對所述虛擬機(jī)實例的所述認(rèn)證以及所述授權(quán)處理變得更加安全�。此外,可以致使‘非法’虛擬機(jī)實例變得無用����,因為它們不可以被給予實例授權(quán)證書��,使得它們不能夠生成針對數(shù)據(jù)密鑰的有效請求��。所述數(shù)據(jù)授權(quán)單元可以使用一個或多個策略來確定虛擬機(jī)實例是否被授權(quán)以接收數(shù)據(jù)密鑰���。這樣的策略可以指示什么被允許以及什么不被允許,這樣的策略可以是靜態(tài)的或動態(tài)的并且可以取決于數(shù)據(jù)的性質(zhì)����、前述屬性以及在其他地方提到的相關(guān)聯(lián)的用戶和/或位置。所述至少一個屬性例如可以是一起唯一地識別所述虛擬機(jī)實例的屬性集����。
[0028]所述密鑰服務(wù)器系統(tǒng)還可以包括:實例證書請求接收器,其用于接收來自所述虛擬機(jī)實例的針對所述實例授權(quán)證書的請求�����,其中���,所述請求指示特定于所述虛擬機(jī)實例的屬性;以及實例驗證單元�����,其用于基于所述屬性來核實所述虛擬機(jī)實例的有效性。這允許所述虛擬機(jī)實例自身請求所述虛擬機(jī)實例授權(quán)證書��。使用特定于所述虛擬機(jī)實例的所述屬性�,能夠?qū)⑺鎏摂M機(jī)實例識別給所述密鑰服務(wù)器系統(tǒng)。
[0029]所述實例驗證單元可以被布置用于還基于指示所述虛擬機(jī)實例的位置的屬性來執(zhí)行對所述虛擬機(jī)實例的所述有效性的所述核實����,或者所述數(shù)據(jù)授權(quán)單元被布置用于還基于所述虛擬機(jī)實例的位置來執(zhí)行對所述虛擬機(jī)實例是否被授權(quán)以接收所述數(shù)據(jù)密鑰的確定。這允許監(jiān)測所述虛擬機(jī)實例的位置����,并且拒絕將所述實例授權(quán)證書或所述數(shù)據(jù)密鑰給予沒有在合適位置處的虛擬機(jī)實例。虛擬機(jī)實例的位置例如可以是包括處理器和/或存儲器和/或存儲設(shè)備的物理設(shè)備的位置����,在所述物理設(shè)備上運行所述虛擬機(jī)實例。
[0030]針對所述數(shù)據(jù)密鑰的所述請求還可以指示與所述虛擬機(jī)實例的用戶或用戶組相關(guān)聯(lián)的用戶證書���。所述數(shù)據(jù)授權(quán)單元可以被布置用于還基于關(guān)于針對所述數(shù)據(jù)密鑰的所述請求接收的所述用戶證書的指示和通過所述數(shù)據(jù)密鑰保護(hù)的所述數(shù)據(jù)的訪問策略�,來執(zhí)行對所述虛擬機(jī)實例是否被授權(quán)以接收所述數(shù)據(jù)密鑰的所述確定�����。通過這種方式,僅僅將所述數(shù)據(jù)密鑰提供給授權(quán)的虛擬機(jī)實例���,并且僅在所述虛擬機(jī)實例具有合適的用戶證書的占有的情況下��。
[0031]所述密鑰服務(wù)器系統(tǒng)可以包括記錄單元��,其用于記錄與涉及授權(quán)請求�、證書和/或數(shù)據(jù)密鑰的通信有關(guān)的信息�。例如,這樣的記錄信息可以被用于執(zhí)行對過去事件的分析�����,以檢測指示例如濫用的任何可能模式��。
[0032]在另一方面中�,本發(fā)明提供了一種能夠被實例化為虛擬機(jī)實例的虛擬機(jī)映像,其中���,所述虛擬機(jī)映像包括:
[0033]用于令所述虛擬機(jī)實例接