一種防止雲平臺虛擬機非法啟動的鏡像加解密方法

2023-06-24 10:28:56

一種防止雲平臺虛擬機非法啟動的鏡像加解密方法
【專利摘要】一種防止雲平臺虛擬機非法啟動的鏡像加解密方法，其特徵在於：雲管理伺服器的密鑰管理中心為每個虛擬機的鏡像創建一個唯一的密鑰，並採用雲管理伺服器中TPM的SRK密鑰保護該密鑰；在雲管理伺服器下發虛擬機的鏡像時，將受雲管理伺服器中TPM保護的密鑰遷移至虛擬機運行的計算節點上，然後利用計算節點上TPM的SRK密鑰保護該密鑰；虛擬機第一次啟動時正常啟動，在每次虛擬機關閉時，利用遷移到計算節點上的密鑰對虛擬機的鏡像進行加密；之後虛擬機每次啟動時對已加密虛擬機的鏡像進行解密。
【專利說明】一種防止雲平臺虛擬機非法啟動的鏡像加解密方法
【技術領域】
[0001]本發明屬於信息安全【技術領域】，特別是涉及一種防止雲平臺虛擬機非法啟動的鏡像加解密方法。
【背景技術】
[0002]雲計算IaaS(基礎設施作為服務)平臺中，用戶可以租借虛擬機(Domain U)，然後在自己定製的虛擬機上安裝應用或者進行工作。然而Domain U對Domain O (宿主系統)來說是可見的，即用戶的隱私安全得不到保證。為防止Domain O的管理員或者Domain O的惡意攻擊者在用戶不知情的情況下對用戶的私有文件進行任意查看甚至洩露，需要將用戶的虛擬機鏡像進行加密存儲。但是通常一個虛擬機鏡像有十幾M字節的大小，因此對整個虛擬機鏡像進行加密，會導致性能低下的問題。在安全性要求高或有法規要求的環境下，力口密的性能成本是值得的，但是一般情況下，需要一種同時考慮安全性和性能的折中方法。
[0003]針對虛擬機的鏡像保護問題，文獻[I]提供了一種基於動態分解和重組的方法，對私有雲導入導出的虛擬機鏡像文件進行重組加密。文獻[2]提出利用額外的電子設備如Usbkey對虛擬機鏡像全部進行加解密。文獻[3]採用密鑰資源池的方法從密鑰資源池中動態選擇密鑰對用戶每次要使用的數據進行存儲加密。文獻[4]在每個虛擬機運行的Host節點上設計了一個TVMM (Trusted Virtual Machine Monitor)模塊監控該節點上的虛擬機是否被非法篡改，但未對虛擬機鏡像進行加密。文獻[5]中提出給每個VM的數據盤分配一個密鑰，用於加解密用戶的重要數據，但未對鏡像進行加解密。文獻[6]由用戶端產生一個對稱密鑰，對虛擬機鏡像進行全加密。上述加密方法歸納起來一種是對整個鏡像進行加密，該方法在使用時性能較低；另一種是對鏡像中的用戶數據進行加密。本發明提出了一種防止雲平臺虛擬機非法啟動的鏡像加解密方法，對虛擬機主要磁碟信息和關鍵內核模塊進行加密，並且利用TPM綁定加密密鑰，防止管理員未經授權啟動虛擬機。
[0004]有關文獻:[I]宋卓；胡中；沈啟龍；王鵬；任海寶；徐安；牛立新.一種私有雲計算應用中虛擬機鏡像安全方法，2011.[2]威廉M.杜安.為虛擬機鏡像提供安全機制的方法和系統，2011.[3]張興；王海洋；張雅哲.一種虛擬化環境數據安全隔離方法和系統.2013.[4] Santos N.Gummadi, K.P.Rodrigues R.Towards Trusted Cloud Computing.1n:Proceedings of the 2009 Conference on Hot Topics in Cloud Computing,HotCloud2009.USENIX Association, Berkeley (2009).[5] Schiffmanj J.Moyer,T.Vijayakumarj H.Jaeger, T.McDaniel, P.Seeding Clouds With Trust Anchors.1n: Proceedings of the, ACM Workshop on Cloud Computing Security, CCSW 2010，pp.43-46.ACM, New York (2010).[6] Aslam M.Gehrmann C.RasmussonL BjorkmanM.Securely Launching Virtual Machines on Trustworthy Platforms in a PublicCloud - An Enterprise』 s Perspective.1n: Leymannj F.1vanov, 1.van SinderenjM., Shan, T.(eds.) CLOSER, pp.511-521.SciTePress (2012)。
【發明內容】

[0005]出於對安全性和性能之間權衡，本發明提出一種防止雲平臺虛擬機非法啟動的鏡像加解密方法。
[0006]本發明的技術方案為一種防止雲平臺虛擬機非法啟動的鏡像加解密方法，雲管理伺服器的密鑰管理中心為每個虛擬機的鏡像創建一個唯一的密鑰，並採用雲管理伺服器中TPM的SRK密鑰保護該密鑰；在雲管理伺服器下發虛擬機的鏡像時，將受雲管理伺服器中TPM保護的密鑰遷移至虛擬機運行的計算節點上，然後利用計算節點上TPM的SRK密鑰保護該密鑰；
虛擬機第一次啟動時正常啟動，在每次虛擬機關閉時，利用遷移到計算節點上的密鑰對虛擬機的鏡像進行加密；之後虛擬機每次啟動時對已加密虛擬機的鏡像進行解密。
[0007]而且，利用遷移到計算節點上的密鑰進行加密的過程中保存臨時文件，所採用加密流程包括以下步驟，
步驟1.1，對計算節點加載的鏡像，根據虛擬機的UUID取得相應密鑰；
步驟1.2，從鏡像的開始位置中獲取文件系統信息和系統分區表；
步驟1.3，檢查上次加密流程是否正常結束，如果上次不是正常結束，就要恢復至上次加密流程操作前，此次加密流程結束；
步驟1.4，查看加密的標記，看鏡像是否已加密過，如果否則進行步驟1.5，如果是則此次加密流程結束；
步驟1.5，如果步驟1.1獲得的密鑰正確且鏡像文件完整，則進行下一步，否則刪除臨時文件，退出加密流程；
步驟1.6，獲取並加載該鏡像的配置文件，加密配置文件裡面指定的文件；
步驟1.7，根據不同文件系統加密文件系統關鍵信息，包括加密文件系統分區信息；最後刪除臨時文件，退出加密流程。
[0008]而且，在虛擬機每次啟動一段時間後，加密啟動過程中使用的關鍵文件。
[0009]而且，對已加密虛擬機的鏡像進行解密的過程中保存臨時文件，所採用解密流程包括以下步驟，
步驟2.1，對計算節點加載的鏡像，根據虛擬機的UUID取得相應密鑰；
步驟2.2，從鏡像的開始位置中獲取文件系統信息和系統分區表；
步驟2.3，檢查上次解密流程是否正常結束，如果上次不是正常結束，就要恢復至上次解密流程操作前，此次解密流程結束；
步驟2.4，查看解密的標記，看鏡像是否已解密過，如果否則進行步驟2.5，如果是則此次解密流程結束；
步驟2.5，如果步驟2.1獲得的密鑰正確且鏡像文件完整，則進行下一步，否則刪除臨時文件，退出解密流程；
步驟2.6，根據不同文件系統解密文件系統信息，包括解密文件系統分區信息；
步驟2.7，獲取並加載該鏡像的配置文件，解密配置文件裡面指定的文件；並解密啟動過程中使用的關鍵文件，刪除臨時文件，退出解密流程。
[0010]本發明利用可信計算技術，提出了一種防止雲平臺虛擬機非法啟動的鏡像加解密方法。該方法利用TPM (可信計算平臺模塊)綁定加密密鑰，加密虛擬機鏡像的關鍵部分，包括對虛擬機主要磁碟信息和關鍵內核模塊進行加密，防止管理員未經授權啟動虛擬機，可保證虛擬機在可信域內用戶正常使用時被自動解密。並且，一旦該加密的虛擬機鏡像被非法拷貝出了可信域，在實踐上進行暴力破解是困難的或者不可行的。因此，本發明的技術方案有以下優點:
(I)虛擬機鏡像的加解密密鑰由雲平臺管理伺服器的TPM產生和保護，使用時從雲平臺管理伺服器遷移至該虛擬機運行的計算節點。如果管理員將虛擬機鏡像拷貝出了擁有該TPM的雲平臺之外，由於無法獲得密鑰，從而無法非法啟動該虛擬機鏡像。
[0011](2)對虛擬機鏡像解密時，不對整個鏡像進行加密，而僅對鏡像文件系統的關鍵信息，如MBR、MFT表，以及用戶配置文件中制定的文件，從而在保證機密性的同時，提高加解密的效率。並且，在加解密時採用保存臨時文件的方法，從而保證一旦加解密過程中突然斷電，下次啟動的時候將能恢復到上次加密或者解密的活動之前。
【專利附圖】

【附圖說明】
[0012]圖1是本發明實施例的場景圖。
[0013]圖2是本發明實施例的加密流程圖。
[0014]圖3是本發明實施例虛擬鏡像文件第一分區下的第一個扇區結構圖。
[0015]圖4是本發明實施例windows加密部位示意圖。
[0016]圖5是本發明實施例1inux加密部位示意圖。
[0017]【具體實施方式】
在雲平臺中，未經加密的虛擬機鏡像可以被未授權的用戶啟動，例如，管理員可以複製鏡像到可信域之外的地方，然後啟動它。為了保護虛擬機鏡像未經授權啟動，最好的辦法就是對完整的虛擬機磁碟鏡像進行加密，使得未經授權的用戶很難覆蓋這個鏡像。然而，這顯然是一個耗時的過程，出於對安全性和性能之間權衡，本發明提出一種防止雲平臺虛擬機非法啟動的鏡像加解密方法，可基於計算機軟體技術實現自動運行流程。以下結合附圖和實施例詳細說明本發明技術方案。
[0018]實施例的具體應用場景如圖1:
第一步:用戶向雲平臺申請虛擬機。雲平臺一般採用伺服器技術實現，即提供雲管理伺服器。具體實施時，雲管理伺服器一般包括有虛擬機管理部分、密鑰管理中心。
[0019]第二步:雲管理伺服器收到用戶請求後，為用戶創建一個虛擬機(Domain U)。具體實施時，一般由雲管理伺服器的虛擬機管理部分實現。
[0020]第三步:雲管理伺服器的密鑰管理中心為雲平臺所創建的每個虛擬機的鏡像創建一個唯一的密鑰，該密鑰被雲管理伺服器端的TPM加密保護。
[0021]第四步:雲管理伺服器選定一個主機(計算節點)下發鏡像，此時雲管理伺服器上的TPM利用TPM的密鑰遷移功能將用於加密鏡像的對稱密鑰遷移到該計算節點，並用計算節點上的TPM進行保護。
[0022]第五步:在虛擬機啟動時判斷虛擬機的狀態，如果是虛擬機第一次啟動，則正常啟動虛擬機。在每次虛擬機關閉時，利用遷移到該計算節點上的對稱密鑰進行加密。除第一次以外，之後每次啟動時對已加密的虛擬機鏡像進行解密流程，用戶可正常使用該虛擬機。為防止鏡像加/解密過程意外中斷，可以將整個加/解密過程中所有的文件作為臨時文件保存，直到整個加/解密結束。
[0023]以下說明實施例的虛擬機鏡像加解密流程。
[0024]實施例在對虛擬機鏡像加密時，採用基於文件系統和用戶配置的鏡像加密方法。首先獲取受計算節點的TPM保護的用戶對稱密鑰；讀取用戶的加密配置文件，對包含在配置中的文件進行加密；並從MBR (主引導記錄)裡面獲取分區和文件系統類型信息。最後，加密文件系統的關鍵信息，如索引結構。
[0025]實施例的虛擬機鏡像文件的加密流程如圖2:
第一步:對計算節點加載的鏡像，根據虛擬機的UUID (通用唯一識別碼)取得該虛擬機鏡像相應S鑰。
[0026]具體實施時，在雲管理伺服器端下發虛擬機鏡像時，利用已有技術中雲管理伺服器端上TPM的MigrateJfey命令，將利用雲管理伺服器端上TPM的SRK密鑰保護的密鑰遷移至該虛擬機運行的計算節點上，然後利用該計算節點上TPM的SRK密鑰保護該對稱密鑰。SRK為TPM技術中的存儲根密鑰。引出，當虛擬機在主機上啟動時，可通過該虛擬機的UUID獲得該虛擬機對應的受計算節點上的TPM保護的對稱密鑰，然後解密該對稱密鑰。
[0027]第二步:從鏡像的 開始位置(即MBR)中獲取鏡像的一些信息，比如文件系統類型，系統分區表。
[0028]第三步:檢查上次加密流程是否正常結束，如果上次不是正常結束，就要恢復至上次加密流程操作前，此次加密流程結束。
[0029]第四步:查看加密的標記，看鏡像是否已加密過。如果否則進行下一步，如果是則此次加密操作結束。為了避免重複加密，實施例設置了一個標誌，以識別鏡像文件的加密狀態。如果狀態顯示鏡像文件已被加密，停止加密過程。
[0030]第五步:如果第一步獲得的密鑰正確且鏡像文件完整，則進行下一步，否則刪除臨時文件，退出加密流程。如果鏡像文件不完整，則說明鏡像文件遭到損壞。
[0031]第六步:獲取並加載該鏡像的配置文件，加密配置文件裡面指定的文件。用戶可自行設置配置文件中指定的文件。
[0032]第七步:根據不同文件系統加密文件系統關鍵信息，包括加密文件系統分區信息。最後刪除臨時文件，退出加密流程。
[0033]虛擬機鏡像文件相當於物理機的一塊硬碟，可以進行引導、分區、格式化等操作。該硬碟的第一分區下的第一個扇區是MBR，例如512位元組的MBS主引導扇區包括MBR主引導記錄(446位元組)、DPT硬碟分區表(64位元組)，結束標誌必須為55AA (2位元組)，如圖3。對於每一個鏡像，分區表都會在MBR的結尾。通過MBR可以獲得一些分區信息，如分區的初始位置，大小以及文件系統等等。例如，當虛擬機磁碟鏡像文件是windows系統時，則將其每個系統保留分區及後面的各個分區(C盤等)的MFT表(主文件表)以及備份MFT表用AES標準進行加密，如圖4所示。當鏡像文件是Iinux系統時，則對每個分區中各塊組的超級塊(Super block)、組描述符、i節點位圖、塊位圖和數據塊進行AES加密，如圖5所示，分區1、分區2…分別按此逐一處理塊組O、塊組I...。
[0034]並且，為防止攻擊者在虛擬機啟動後拷貝虛擬機，可在虛擬機啟動一段時間(可由本領域技術人員預設合適時間，例如60s)之後，對啟動過程中使用關鍵文件進行加密。同樣是採用受計算節點的TPM保護的用戶對稱密鑰進行加密。啟動過程中使用關鍵文件和具體系統類型有關，例如對於Windows系統，可包括註冊表，bootmbr, NTLDR, BOOT.1NI，winlog.exe和一些重要的文件。
[0035]解密與加密的流程類似，不同的地方在於加密是在虛擬機關閉時進行，解密在虛擬機啟動時進行；此外，解密時需要先解密文件系統關鍵信息，最後再根據配置文件解密用戶定製的文件，並解密系統啟動的關鍵文件，即可完成啟動。
[0036]為便於實施參考起見，提供實施例的解密過程說明如下:
第一步:對計算節點加載的鏡像，根據虛擬機的UUID (通用唯一識別碼)取得該虛擬機鏡像相應S鑰。
[0037]當虛擬機在主機上啟動時，可通過該虛擬機的UUID獲得該虛擬機對應的受計算節點上的TPM保護的對稱密鑰，然後解密該對稱密鑰。
[0038]第二步:從鏡像的開始位置(即MBR)中獲取鏡像的一些信息，比如文件系統類型系統分區表。
[0039]第三步:檢查上次解密流程是否正常結束，如果上次不是正常結束，就要恢復至上次解密流程操作前，此次解密流程結束。
[0040]第四步:查看解密的標記，看鏡像是否已解密過。如果否則進行下一步，如果是則此次解密操作結束。為了避免重複解密，實施例設置了一個標誌，以識別鏡像文件的解密狀態。如果狀態顯示鏡像文件已被解密，停止解密過程。
[0041]第五步:如果第一步獲得的密鑰正確且鏡像文件完整，則進行下一步，否則刪除臨時文件，退出解密流程。如果鏡像文件不完整，則說明鏡像文件遭到損壞。
[0042]第六步:根據不同文件系統解密文件系統關鍵信息，包括解密文件系統分區信息。
[0043]第七步:獲取並加載該鏡像的配置文件，解密配置文件裡面指定的文件。並且，對啟動過程中使用關鍵文件進行解密。最後刪除臨時文件，退出解密流程。解密後，用戶可正常使用該虛擬機。
[0044]具體實施時，可採用軟體模塊化方式實現加解密流程，在VMM中添加虛擬機鏡像加解密模塊，在虛擬機啟動和關閉時進行解密和加密。
[0045]本文中所描述的具體實施例僅僅是對本發明精神作舉例說明。本發明所屬【技術領域】的技術人員可以對所描述的具體實施例做各種各樣的修改或補充或採用類似的方式替代，但並不會偏離本發明的精神或者超越所附權利要求書所定義的範圍。
【權利要求】
1.一種防止雲平臺虛擬機非法啟動的鏡像加解密方法，其特徵在於:雲管理伺服器的密鑰管理中心為每個虛擬機的鏡像創建一個唯一的密鑰，並採用雲管理伺服器中TPM的SRK密鑰保護該密鑰；在雲管理伺服器下發虛擬機的鏡像時，將受雲管理伺服器中TPM保護的密鑰遷移至虛擬機運行的計算節點上，然後利用計算節點上TPM的SRK密鑰保護該密鑰； 虛擬機第一次啟動時正常啟動，在每次虛擬機關閉時，利用遷移到計算節點上的密鑰對虛擬機的鏡像進行加密；之後虛擬機每次啟動時對已加密虛擬機的鏡像進行解密。
2.根據權利要求1防止雲平臺虛擬機非法啟動的鏡像加解密方法，其特徵在於:利用遷移到計算節點上的密鑰進行加密的過程中保存臨時文件，所採用加密流程包括以下步驟， 步驟1.1，對計算節點加載的鏡像，根據虛擬機的UUID取得相應密鑰； 步驟1.2，從鏡像的開始位置中獲取文件系統信息和系統分區表； 步驟1.3，檢查上次加密流程是否正常結束，如果上次不是正常結束，就要恢復至上次加密流程操作前，此次加密流程結束； 步驟1.4，查看加密的標記，看鏡像是否已加密過，如果否則進行步驟1.5，如果是則此次加密流程結束； 步驟1.5，如果步驟1.1獲得的密鑰正確且鏡像文件完整，則進行下一步，否則刪除臨時文件，退出加密流程； 步驟1.6，獲取並加載該鏡像的配置文件，加密配置文件裡面指定的文件； 步驟1.7，根據不同文件系統加密文件系統關鍵信息，包括加密文件系統分區信息；最後刪除臨時文件，退出加密流程。
3.根據權利要求2防止雲平臺虛擬機非法啟動的鏡像加解密方法，其特徵在於:在虛擬機每次啟動一段時間後，加密啟動過程中使用的關鍵文件。
4.根據權利要求3防止雲平臺虛擬機非法啟動的鏡像加解密方法，其特徵在於:對已加密虛擬機的鏡像進行解密的過程中保存臨時文件，所採用解密流程包括以下步驟， 步驟2.1，對計算節點加載的鏡像，根據虛擬機的UUID取得相應密鑰； 步驟2.2，從鏡像的開始位置中獲取文件系統信息和系統分區表； 步驟2.3，檢查上次解密流程是否正常結束，如果上次不是正常結束，就要恢復至上次解密流程操作前，此次解密流程結束； 步驟2.4，查看解密的標記，看鏡像是否已解密過，如果否則進行步驟2.5，如果是則此次解密流程結束； 步驟2.5，如果步驟2.1獲得的密鑰正確且鏡像文件完整，則進行下一步，否則刪除臨時文件，退出解密流程； 步驟2.6，根據不同文件系統解密文件系統信息，包括解密文件系統分區信息； 步驟2.7，獲取並加載該鏡像的配置文件，解密配置文件裡面指定的文件；並解密啟動過程中使用的關鍵文件，刪除臨時文件，退出解密流程。
【文檔編號】H04L29/08GK103516728SQ201310478092
【公開日】2014年1月15日 申請日期:2013年10月14日 優先權日:2013年10月14日
【發明者】王鵑, 謝旭徽, 曾龍傑, 王江 申請人:武漢大學