[发明专利]一种Qemu Secret对象运行隐匿方法及装置

说明书

本发明公开了一种Qemu Secret对象运行隐匿方法，包括以下步骤：生成密钥文件，使用密钥文件加密口令信息；依操作权限提取密钥文件和口令信息，通过启动参数传递给Qemu；Qemu通过启动参数依次读取密钥文件和口令信息；删除密钥文件。本发明提出了Qemu运行时销毁密钥文件的方法，并利用Qemu Secret加密机制，保证口令的安全，使得即便获取Qemu的启动参数也无法获取口令及密钥信息。

技术领域

本发明涉及虚拟化安全技术领域，尤其是一种Qemu Secret对象运行隐匿方法及装置。

背景技术

当前，信息安全已成为制约云计算应用与发展的关键因素，其中云数据中心基础设施的安全性、云数据中心虚拟机租户数据及信息的机密性、云服务提供商与云服务租户之间的信任是提升云安全的关键基础，密码学技术依然是解决云数据中心数据机密性的核心技术手段。当前，Qemu中已经实现了多种基于密码学技术的数据保护机制来保障虚拟机数据的机密性，防止Qemu虚拟机的信息被非法窃取。

目前，Qemu实现了Secret对象机制，可以在Qemu启动时加载口令或密钥，供Qemu中的其他组件使用。但Qemu只使用口令或是密钥，并不管理这些内容，口令是以明文的方式通过Qemu启动参数传递至Qemu中，密钥则是以绝对路径的方式通过Qemu启动参数传递至Qemu中，因此只需查看Qemu的启动命令就可查询到这些机密数据，一旦这些机密数据被窃取，则加密保护的Qemu数据也将面临泄露的风险。

当前Qemu可以将口令存放到Secret对象中，供需要的组件访问加密文件或是其他加密数据时使用，但口令内容需要以启动参数的方式提供给Qemu，通过查看进程启动的方式就可获取口令，安全性较低。

当前Qemu可以将密钥存放到Secret对象中，供需要的组件访问加密文件或是其他加密数据，密钥也可配合口令使用，即口令以密文方式提供，Qemu启动时会使用密钥解密启动参数的口令再使用口令，但密钥需要以明文或是文件路径的方式通过启动参数传递给Qemu，通过查看进程启动的方式就可获取密钥，安全性依然较低。

发明内容

本发明的目的是提供一种Qemu Secret对象运行隐匿方法及装置，提出了Qemu运行时销毁密钥文件的方法，并利用Qemu Secret加密机制，保证口令的安全，使得即便获取Qemu的启动参数也无法获取口令及密钥信息。

为实现上述目的，本发明采用下述技术方案：

本发明第一方面提供了一种Qemu Secret对象运行隐匿方法，包括以下步骤：

生成密钥文件，使用密钥文件加密口令信息；

依操作权限提取密钥文件和口令信息，通过启动参数传递给Qemu；

Qemu通过启动参数依次读取密钥文件和口令信息；

删除密钥文件。

结合第一方面，在第一方面第一种可能的实现方式中，所述生成密钥文件，使用密钥文件加密口令信息，包括：

生成密钥文件，密钥文件以有限访问权限方式存储于磁盘中；

根据密钥文件加密口令信息，保存生成的密文口令信息。

结合第一方面，在第一方面第二种可能的实现方式中，所述Qemu通过启动参数依次读取密钥文件和口令信息，包括：

Qemu启动时通过启动参数读取密钥文件，将密钥文件存放在一个Secret对象中；

再读取口令信息，并索引密钥文件解密口令信息后存放到另一个Secret对象中。

结合第一方面，在第一方面第三种可能的实现方式中，所述删除密钥文件，包括：