[发明专利]一种基于KVM虚拟机的用户数据隔离防护系统及方法

说明书

本发明从用户数据安全的角度定义了虚拟机镜像数据隔离防护、虚拟机内存数据隔离防护和虚拟机显示协议数据隔离防护，从KVM虚拟化平台底层技术实现到KVM虚拟化平台使用及相关管理规范多个维度，明确了多种用户数据隔离防护机制和方法，在虚拟机创建、登陆、迁移、导出、关闭等整个生命周期对用户数据进行多层次、全方位防护，进一步提升了对基于KVM虚拟机中用户数据的安全隔离防护能力，可以有效保护用户数据的安全性和完整性。

技术领域

本发明涉及云计算领域，具体地说，本发明涉及对KVM虚拟化平台的用户数据隔离防护体系和方法。

背景技术

随着云计算时代的到来，使用虚拟化技术不可避免。虚拟化技术使得原本固定不易伸缩的物理资源利用软件抽象成可配置的虚拟资源，但是这种灵活的方式也使得原有的物理边界被打破，同时使用原有对于物理主机的安全防护手段无法直接适用。在虚拟化环境中，原有的物理设备被虚拟成多个虚拟机，提供给用户使用，对以虚拟机为单位的用户数据的安全防护成为维护整个云平台安全的重要环节。

基于虚拟机的用户数据主要包括以下内容：

虚拟机镜像数据；

虚拟机内存数据；

虚拟机图像和控制数据。

目前，基于KVM虚拟化技术已广泛应用于服务器虚拟化和桌面虚拟化场景中，基于硬件辅助虚拟化特性的虚拟机在一定程度上已对用户数据的进行了安全隔离，但仍存在较多缺陷，比如虚拟机磁盘可以在不同虚拟机间随意挂载、虚拟机迁移或暂停过程中虚拟机内存数据并未完全隔离、虚拟机使用过程中显示协议数据传输并未进行管控等等，这样，虚拟机中的用户数据很容易被泄露和攻击。

发明内容

为了改进现有技术下KVM虚拟化平台对虚拟机中用户数据隔离防护存在的问题，本发明提出一种基于KVM虚拟机的用户数据隔离防护系统及方法。

本发明的一种基于KVM虚拟机的用户数据防护系统，其特征在于，基于KVM虚拟机的用户数据防护系统包括对虚拟机镜像数据进行加密隔离保护的虚拟机镜像数据隔离防护模块、对虚拟机内存数据进行加密迁移和数据擦除处理的虚拟机内存数据隔离防护模块、提升显示协议数据隔离性的虚拟机显示协议数据隔离防护模块；所述虚拟机镜像数据隔离防护模块包括采用硬件辅助软件的软硬融合加密方式对虚拟机磁盘读写进行加解密操作的镜像加密模块、将虚拟机进行和密钥分开存储实现机钥分离的机钥分离模块、对虚拟机镜像进行完整性校验的镜像完整性检查模块、对虚拟机磁盘进行数据擦除处理降低数据恢复可能性的镜像数据擦除模块；所述虚拟机内存数据隔离防护模块包括对虚拟机迁移时的内存进行加密的内存加密迁移模块、对虚拟机内存数据进行擦除处理的内存数据擦除模块；所述虚拟机显示协议数据防护隔离模块包括对云平台接入终端进行认证管控的终端准入管控模块、对剪切板中数据进行策略管控的数据复制粘贴管控模块、采用基于黑白名单对虚拟机USB设备重定向功能进行管控的USB设备重定向管控模块。

本发明的一种基于KVM虚拟机的用户数据防护方法，包括：

A、对虚拟机镜像数据进行隔离防护；

B、对虚拟机内存数据进行隔离防护；

C、对虚拟机显示协议数据进行隔离防护；

对虚拟机镜像数据进行隔离防护包括对虚拟机镜像数据进行加密、对虚拟机进行机钥分离、对虚拟机镜像进行完整性检查及报警、对虚拟机镜像数据进行擦除；对虚拟机内存数据进行隔离防护包括对虚拟机内存数据进行加密迁移、对虚拟机内存数据进行擦除；对虚拟机显示协议数据进行隔离防护包括对虚拟机终端进行准入控制、对虚拟机数据复制粘贴进行管控、对虚拟机USB设备重定向进行管控。