[发明专利]一种虚拟化环境数据安全隔离方法和系统

说明书

技术领域

本发明涉及信息安全技术领域，特别是一种虚拟化环境数据安全隔离方法和系统。

背景技术

在虚拟化环境下，用户的工作环境由个人电脑转移到了虚拟机，计算资源、存储资源等都脱离了用户的物理控制。有可能多个用户的虚拟机镜像数据都存储在同一块物理磁盘上。如果用户的虚拟机镜像数据被非法用户获取并使用，就可能对用户造成损失。虽然可以通过访问控制等手段严格限制对用户数据的访问权限，进行一定程度的数据隔离，但仍然无法限制管理员等特权用户对用户数据的访问操作。另一种典型的防护手段是对所有用户的虚拟机镜像数据均进行静态加密存储。但加密状态的数据是无法被正常使用的。采用静态加密存储的数据在使用前需要人为进行解密操作，并且当涉及大量数据加解密操作时，需要繁琐的密钥管理功能，用户体验很差。

发明内容

本发明针对现有技术无法方便有效的对用户的虚拟机镜像数据进行隔离进而无法保证用户数据安全的问题，提供一种虚拟化环境数据安全隔离方法，通过数据动态透明加解密技术和用户密钥资源生成及管理技术相结合，能够将用户的虚拟机镜像数据安全隔离，在保证用户数据安全的同时，可以达到良好的用户体验。本发明还涉及一种虚拟化环境数据安全隔离系统。

本发明的技术方案如下：

一种虚拟化环境数据安全隔离方法，其特征在于，采用密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务，由计算资源池提供计算资源并采用数据动态透明加解密技术通过密钥资源池生成的密钥资源对存储的用户的虚拟机镜像数据动态进行使用前解密，并在计算资源操作后进行数据加密以作为存储资源存储至存储资源池。

所述密钥资源池支持用户单点登录，并在用户在线或离线注册后存储用户信息。

所述密钥资源池存储用户信息后随机生成与用户相关的密钥资源，在用户使用计算资源和存储资源时，通过密钥资源池代理用户进行密钥资源的管理和使用操作。

所述计算资源池包括计算资源，所述计算资源包括虚拟化的CPU资源和内存资源，所述存储资源池包括存储资源并支持数据库存储和文件存储功能，所述存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式呈现。

所述计算资源池根据用户信息向密钥资源池提出用户密钥请求，所述用户密钥请求中包含标明用户身份资源的信息。所述标明用户身份资源的信息包括用户的身份信息和用户的授权令牌信息。

一种虚拟化环境数据安全隔离系统，其特征在于，包括依次连接的密钥资源池、计算资源池和存储资源池；所述密钥资源池存储用户信息并为用户提供密钥资源的生成及管理服务；所述计算资源池提供计算资源，并采用数据动态透明加解密技术与密钥资源池交互，通过密钥资源池生成的密钥资源对用户的虚拟机镜像数据动态进行存储前加密和使用前解密；所述存储资源池存储加密后的用户的虚拟机镜像数据。

所述系统中的密钥资源池位于云计算平台上或位于云计算平台之外的第三方服务平台，所述计算资源池和存储资源池均位于云计算平台上。

所述系统中的密钥资源池支持用户单点登录，并在用户在线或离线注册后存储用户信息。

所述系统中的密钥资源池存储用户信息后随机生成与用户相关的密钥资源，在用户使用计算资源和存储资源时，通过密钥资源池代理用户进行密钥资源的管理和使用操作。

所述系统中的计算资源池包括计算资源，所述计算资源包括虚拟化的CPU资源和内存资源，所述存储资源池包括存储资源并支持数据库存储和文件存储功能，所述存储资源以虚拟磁盘的形式和计算资源打包在一起以虚拟机的使用形式呈现。

所述系统中的计算资源池根据用户信息向密钥资源池提出用户密钥请求，所述用户密钥请求中包含标明用户身份资源的信息。所述标明用户身份资源的信息包括用户的身份信息和用户的授权令牌信息。

本发明的技术效果如下：