[发明专利]一种基于XEN云平台的虚拟机块设备隔离方法

说明书

技术领域

本发明属于信息安全技术领域，尤其涉及一种基于XEN云平台的虚拟机块设备隔离方法。

背景技术

云的概念最早是在二十世纪90年代，由美国人John McCarthy提出的，当时他指出计算机资源可以像水、电一样作为一种服务提供给公众，这便成为了云思想的起源。从2006年3月，亚马逊（Amazon）推出弹性计算云（EC2，Elastic Computer Cloud）服务，到谷歌公司CEO埃里克·施密特（Eric Schmidt）在搜索引擎大会（SES San Jose）首次提出“云计算”的概念，到目前云计算已经逐渐进入了一个飞速成长的年代，云已经逐渐深入到人们的生产和生活中，成为人们生活的一部分。

但是现在云端出现的各种用户信息的泄露问题使得云端信息安全问题日益严峻。而云端信息安全的核心是保证虚拟机数据的安全。

如今，云安全问题成为了云技术发展最大阻碍之一。XEN（一个开放源代码虚拟机监视器）作为云最主要的载体，绝大多数情况仍然“裸奔”在运营商的机房中，来自云内部的安全威胁正在威胁着所有云用户的数据安全。

发明内容

本发明的目的为针对XEN云环境利用现有PKI（Public Key Infrastructure）技术，即“公钥基础设施”，以及其他安全防护措施对虚拟机的块设备进行加密，以保证XEN虚拟机数据的安全性，提供的一种基于XEN云平台的虚拟机块设备安全隔离方法。

为了实现以上发明目的，本发明采取的技术方案为：一种基于XEN云平台的虚拟机块设备隔离方法，包括以下步骤：

S1，在新建客户端虚拟机时进行保护密钥的生成及存取；

S2，在客户端虚拟机和远程服务器之间建立安全连接；

S3，客户端虚拟机向远程服务器提出块设备读写请求，在远程服务器执行请求之前，对块数据进行加解密处理；

S4，物理层进行块数据的读取操作。

优选地：步骤S1包括以下分步骤：

S11.在XEN云平台加入密钥管理系统；

S12.当创建新的虚拟机时，对虚拟机进行加密，为其生成保护密钥；

S13.建立虚拟机ID与对应保护密钥的映射集合，并将映射集合中的映射表存储在本地密钥数据库，而生成的保护密钥则存放在远程服务器。

优选地：S12中生成保护密钥包括以下分步骤：

S121：利用当前CPU的Tick Count函数生成随机数，再对随机数进行过哈希操作，生成长度为256位的串；

S122：将256位的串分为四组64位的子串，再分别对子串添加CPU、内存、网络以及I/O的噪音；

S123：添加噪音后再对第一个子串进行128位的过哈希操作，同时将后三个子串首尾相连进行128位的过哈希操作；

S124：将步骤S13中生成的两个128位的串首尾相连组成256位的保护密钥。

优选地：步骤S2的具体过程如下：通过位于远程服务器的密钥协商模块建立客户端虚拟机和远程服务器之间的共享密钥，并在客户端虚拟机和远程服务器之间通过共享密钥建立安全连接。

优选地：步骤S2包括以下分步骤：

S21:密钥协商模块向远程服务器发送KC_HELLO数据包请求建立安全连接；

S22:远程服务器收到HELLO数据包之后生成一个大素数ρ和其原根整数r以及私钥KA，经过计算公钥KA之后，回复包含有ρ、r和公钥KA的KC_SYN数据包；

S23:当客户端虚拟机收到远程服务器发送的KC_SYN数据包后，取出ρ、r，将ρ、r与生成的私钥KB计算，产生自己的公钥KB，并向远程服务器回复携带有自身公钥KB的KC_SYN_ACK数据包；

S24:远程服务器收到客户端虚拟机回复的KC_SYN_ACK后，通过计算得出共享密钥，并通过共享密钥尝试向客户端虚拟机发出建立安全连接的请求；

S25:客户端虚拟机收到远程服务器尝试建立安全连接请求之后，通过自身计算的共享密钥，对安全连接请求进行确认，若成功则发送KC_ESTB_ACK回复。

优选地：步骤S3包括以下分步骤：

S31.在远程服务器和硬件虚拟设备之间加设VMM作为中介；

S32.当客户端虚拟机向远程服务器发出块设备读写请求时，由VMM捕获被“陷入”的请求；