[发明专利]基于KMIP和加密卡的虚拟化数据安全方法

说明书

本发明提供了一种基于KMIP和加密卡的虚拟化数据安全方法，其包括两个流程：一，加密流程，包括以下步骤：步骤一，用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例；步骤二，用户管理员选择需要进行保护的虚拟机实例进行保护；步骤三，镜像管理系统向VDP发送相关指令，VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求，入参为虚拟机的uuid，成功后在数据库中将该uuid对应的加密标志设置成TRUE；步骤四，VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作，入参为虚拟机uuid。本发明通过改写qemu磁盘镜像接口并通过加密卡硬件对虚拟机镜像进行加解密从而保证虚拟化安全的镜像数据安全。

技术领域

本发明涉及一种虚拟化数据安全方法，具体地，涉及一种基于KMIP和加密卡的虚拟化数据安全方法。

背景技术

自主可控是国家安全的战略要求，随着国家安全战略的逐步实施和落地，在各个数据中心的建设中基于开源的openstack和qemu(硬件虚拟化),kvm,xen为基础的云计算解决方案将会占有大量的市场份额。但是安全性上尤其是数据安全性上存在如下的弱点和不足:

一，在kvm,xen中只有基于qcow2格式的镜像文件在设计之初就考虑了镜像的安全，但在qemu的实现中也只提供了软实现的方式，软实现的加，解密方式存在性能低下的问题,同时对其他镜像格式的文件在设计之初就缺乏考虑。

二，在qemu中只提供了加密方法但对加密密钥的管理(产生，保存，分发)以及相关的策略缺乏设计和实现，在一些提供安全解决的方案产品中都是自己来实现密钥的管理，这导致密钥的管理缺乏相关的标准导致产品在通用型和安全性上面缺乏保证。

三，在虚拟化数据安全中除了镜像的安全还需要有存储的安全，在目前市场上的虚拟化产品存储设备大部分都是通过iscsi协议和rbd协议(ceph存储)暴露给虚拟机，目前存储安全的解决方案中很多都是在存储设备上面采取透明加解密方式来解决,这种方式带来的问题是由于加解密是在服务端完成会加重服务端的负担，其次数据传输的通道还需要进行保护，另外由于镜像的安全和存储的安全没有进行统一导致镜像需要一个密钥，存储需要一个密钥的问题，在密钥的管理上会对用户产生很大的不便。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于KMIP和加密卡的虚拟化数据安全方法，其通过改写qemu磁盘镜像接口并通过加密卡硬件对虚拟机镜像进行加解密从而保证虚拟化安全的镜像数据安全，同时对原来不支持加密的镜像格式通过将加密标志保存到数据库来提供支持。

根据本发明的一个方面，提供一种基于KMIP和加密卡的虚拟化数据安全方法，其特征在于，所述基于KMIP和加密卡的虚拟化数据安全方法包括两个流程：

一，加密流程，包括以下步骤：

步骤一，用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例；

步骤二，用户管理员选择需要进行保护的虚拟机实例进行保护；

步骤三，镜像管理系统向VDP发送相关指令，VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求，入参为虚拟机的uuid，成功后在数据库中将该uuid对应的加密标志设置成TRUE；

步骤四，VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作，入参为虚拟机uuid；

步骤五，VDPAGENT收到指令后，先通过qemu停止虚拟机，通过KMIP获取该虚拟机的加密密钥，通过虚拟机定义的XML获取分配给该虚拟机具体的块设备信息分别对镜像文件，iscsi,rbd块设备进行先读出再加密写回的操作，所有完成后虚拟机的初始化加密状态就完成了，通过qemu重启虚拟机进入动态加，解密状态；

二，解密流程，包括以下步骤：