[发明专利]用于云计算的数据管理方法

说明书

技术领域

本发明属于云计算技术领域，具体涉及公共云计算环境中，数据安全方面的问题以及解决方案。

背景技术

云计算作为未来IT业主要技术趋势之一，其市场潜力已远远超过了Web 2.0概念。云计算将大量的、可规模化的IT资源以服务的形式通过因特网提供给多个用户。通过对于大规模计算资源的高效灵活调度，运计算能够为用户提供按需动态扩容和收缩的计算服务，同时为云计算服务商提供巨大的资源优化调度空间，用规模化效应最大程度地降低成本。

在公共云计算环境中，数据安全主要有以下四个问题：

1．在公共云计算环境中，用户担心其数据的隐私性会受到来自于云服务商、其他云用户或网络黑客的损害，会丧失对数据的创建、传播与销毁等控制权。

2．虚拟化技术以及虚拟机动态迁移是云计算中的核心技术，用于计算资源动态调度。虚拟机迁移过程的复杂性和动态性给系统带来了单机数据保护技术所没有覆盖的安全隐患。

3．作为云计算软件层的核心，虚拟机监控器本身的体积正在爆炸性增长，其本身的安全隐患正日益突出。一旦虚拟机监控器被攻破，上层的所有虚拟机及其中的用户数据将被攻击者控制。

4．云计算服务器存在被直接接触与对硬件的攻击，例如总线与内存探测，甚至存在攻击者用被篡改的硬件替换正常硬件的可能。

针对来公共云环境的数据安全和数据控制权问题，Dissolver系统结合了虚拟机监控器的安全加强和可信计算技术，提出了用户数据在云服务器端从创建到销毁全程的隐私性保护，并且提供了用户按需强制销毁在云中的数据的系统支持。Dissolver系统的数据保护力度为整个进程，包括进程的可执行代码和数据。在没有受到直接接触硬件的物理攻击的情况下，Dissolver系统能够保证即使操作系统和上层软件都己被成功入侵，在云端的用户数据也不会被非法读取或篡改。

针对用户数据在虚拟机迁移时的安全问题，数据安全迁移的可行性和其中可能的安全隐患，本发明设计了安全迁移协议，实现了PALM原型系统，保证受保护的用户数据在虚拟机动态迁移过程中和迁移之后仍旧保持其隐私性和完整性。

发明内容

本发明提供一种适用于云计算的数据安全管理的方法，包括数据的上传、存储、运算以及销毁四个阶段。

其中上传数据包括用于和服务器上的虚拟机监控器建立可信通道，服务器端由虚拟机监控器相应用户请求。用户与虚拟机之间按照确定的会话密钥，由用户生成一堆RSA非对称密钥以及一个160比特的时间戳Nollce，然后用户向云服务器发送一个完整性验证请求，包括时间戳Nollce和RSA公钥。服务器响应用户包括由虚拟机监控器生成一个会话密钥Ksession，将用户时间戳Nonce、用户公钥以及会话密钥Ksession一起用SHAI哈希计算得到一个160比特的哈希值；然后，虚拟机监控器调用TPM的quote指令，将这个哈希值作为参数传入，得到一个用TPM私钥签名的quote证言；虚拟机监控器将会话密钥Ksession用用户公钥加密，并连同quote证言和CA的证书一起发送给用户。用户收到服务器端的回复后，可以在可信第三方CA上验证服务器的证书的合法性；确认之后，可以用证书中所带的公钥对quote加证言包进行验证，确认的确是TPM作的签名；再次确认后，用户就能够检查服务器端的PCR值，确认当前运行的虚拟机监控器版本是否正确和完整。再次确认后，用户可以用RSA私钥SKU将会话密钥包解开，得到Ksession。然后用户用SHAI算法确认服务器作哈希的Nonce、PKU和Ksession是否与自己的匹配；如果能够匹配，则说明本次通信没有受到中间人攻击。数据销毁是在数据生存时间达到用户指定时限时，且用户发送命令显示告知Dissolver延长数据生存时间时进行。

附图说明

图1为用户数据在云中的生命周期。

图2是用户与服务器端的虚拟机监控器的远程证言与握手协议。

图3 为应用程序在服务器上的生命周期。

具体实施方式

用户数据在云服务器端可能以静态存储或动态计算两种形态存在。在静态存储时，数据可能被拷贝多份用以容错容灾;在动态运行时，数据可能存在于内存、网络或磁盘缓存等介质中。我们将用户数据从上传到云端到完全销毁称作一份数据的生命周期。在数据的整个生命周期中，其隐私性可能受到多个方面的威胁。