專利名稱:一種基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備加密方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種加密方法,尤其涉及一種基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備加密方法,屬 于計(jì)算機(jī)軟件技術(shù)領(lǐng)域。
背景技術(shù):
目前的電腦虛擬化技術(shù)日趨成熟,基于VMM (虛擬機(jī)平臺(tái))技術(shù),1個(gè)PC可以虛擬 成多臺(tái)電腦分別運(yùn)行不同的操作系統(tǒng)。
在硬盤加密技術(shù)方面,目前業(yè)界已經(jīng)有使用的加密算法對(duì)硬盤進(jìn)行加密,保證硬盤數(shù) 據(jù)安全性。但存在問題是一個(gè)硬盤是用相同密鑰加密(密鑰+扇區(qū)信息)數(shù)據(jù),加密算法 是固定的,不能進(jìn)行更換,其他人可以利用一些扇區(qū)存儲(chǔ)的信息通用性得知該扇區(qū)密文和 明文,進(jìn)行分析,猜出硬盤密鑰的可能性。另外在一個(gè)硬盤上使用相同密鑰不安全,如果 一個(gè)PC虛擬化后分別運(yùn)算二或多個(gè)系統(tǒng),二個(gè)系統(tǒng)使用一個(gè)密鑰,則更不安全 一個(gè)系 統(tǒng)把密鑰發(fā)給硬盤,另一系統(tǒng)則不需要密鑰就能訪問硬盤數(shù)據(jù)了。此外國(guó)外的硬盤采用的 AES加密算法不符合中國(guó)規(guī)定,在中國(guó)根據(jù)使用情況,有不同的加密算法,商用商密加 密算法,政府普密加密算法,軍隊(duì)核密加密算法。在相同硬盤上同時(shí)加入上述三種加
密算法,不易實(shí)現(xiàn),也不符合國(guó)家規(guī)定。因此如何對(duì)基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行加 密成為一亟待解決的問題。 '
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備加密方法,其可以將同一臺(tái) 機(jī)器上運(yùn)行的多個(gè)虛擬系統(tǒng)分別使用不同的加密算法或加密用的密鑰,從而提高數(shù)據(jù)的安 全性。
本發(fā)明的技術(shù)方法為
一種基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備加密方法,其步驟為
1) 在硬件系統(tǒng)中建立一虛擬機(jī)平臺(tái)和若干個(gè)虛擬系統(tǒng);
2) 在所述虛擬機(jī)平臺(tái)內(nèi)設(shè)置一可換加解密算法模塊,用于為虛擬系統(tǒng)提供加密算法;
3) 虛擬機(jī)平臺(tái)對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行劃分,為每個(gè)虛擬系統(tǒng)分配一數(shù)據(jù)存儲(chǔ)空間,同時(shí)
4設(shè)置每個(gè)虛擬系統(tǒng)使用的密鑰和加密算法;
4) 虛擬系統(tǒng)訪問數(shù)據(jù)存儲(chǔ)設(shè)備時(shí)將自己所用的密鑰發(fā)送給所述虛擬機(jī)平臺(tái);
5) 虛擬機(jī)平臺(tái)對(duì)該虛擬系統(tǒng)的密鑰進(jìn)行一致性驗(yàn)證,如果一致則利用密鑰和對(duì)應(yīng)的加 密算法進(jìn)行相應(yīng)數(shù)據(jù)處理。
所述可換加解密算法模塊包括一虛擬系統(tǒng)管理列表,所述虛擬系統(tǒng)管理列表字段包 括虛擬系統(tǒng)特征、密鑰特征、加密算法、虛擬系統(tǒng)數(shù)據(jù)起始地址、虛擬系統(tǒng)數(shù)據(jù)存儲(chǔ)空 間長(zhǎng)度、真實(shí)數(shù)據(jù)存儲(chǔ)設(shè)備起始地址、真實(shí)數(shù)據(jù)存儲(chǔ)設(shè)備存儲(chǔ)空間長(zhǎng)度。
所述密鑰特征為密鑰的HASH值。
所述方法中如果某虛擬系統(tǒng)加密數(shù)據(jù)在所述真實(shí)數(shù)據(jù)存儲(chǔ)設(shè)備中存放的地址不連續(xù), 則將虛擬系統(tǒng)的每一真實(shí)數(shù)據(jù)存儲(chǔ)設(shè)備起始地址加對(duì)應(yīng)的長(zhǎng)度列表作為該虛擬系統(tǒng)數(shù)據(jù) 存儲(chǔ)空間長(zhǎng)度。
所述可換加解密算法模塊包括一訪問接口,用于虛擬系統(tǒng)安裝、更換或升級(jí)更新加密 算法。
所述一致性驗(yàn)證方法為在所述虛擬機(jī)平臺(tái)內(nèi)設(shè)置一確認(rèn)密鑰模塊,所述確認(rèn)密鑰模 塊判斷接收的密鑰是否與所述可換加解密算法模塊中保存的對(duì)應(yīng)虛擬系統(tǒng)的密鑰特征一 致,進(jìn)行所述一致性驗(yàn)證。
所述方法中,如果所述一致性驗(yàn)證結(jié)果為不一致,貝U:
a) 把錯(cuò)誤信息反饋給虛擬系統(tǒng),并記錄此事件;
b) 在虛擬系統(tǒng)連續(xù)3次發(fā)送錯(cuò)誤密鑰后,每接收一次密鑰,則暫停對(duì)此虛擬系統(tǒng)相 應(yīng)服務(wù)一段時(shí)間,每相應(yīng)多錯(cuò)一次,暫停時(shí)間加倍,其中所述一段時(shí)間設(shè)定為1
秒,所述暫停時(shí)間的值為2"秒,n為連續(xù)錯(cuò)誤的次數(shù)。
所述虛擬機(jī)平臺(tái)為所述虛擬系統(tǒng)設(shè)置一個(gè)或多個(gè)加密算法。
所述加密算法包括SMS4加密算法、3DES加密算法、AES加密算法。 所述數(shù)據(jù)存儲(chǔ)設(shè)備包括硬盤、U盤、網(wǎng)絡(luò)存儲(chǔ)設(shè)備。
本發(fā)明的流程如圖2所示
1.利用公知技術(shù)搭建一臺(tái)基于VMM的虛擬系統(tǒng),虛擬系統(tǒng)有多個(gè),每個(gè)虛擬系統(tǒng)在硬 盤有自己的數(shù)據(jù)存儲(chǔ)空間,并且只能訪問自己的數(shù)據(jù)存儲(chǔ)空間,不能訪問其他虛擬系 統(tǒng)中的數(shù)據(jù),虛擬系統(tǒng)分別使用自己的加密算法,并用自己的密鑰加密自己存放在硬盤上的數(shù)據(jù)。
2. 利用公知技術(shù),VMM擁有硬盤實(shí)際控制權(quán),所有上層虛擬系統(tǒng)的硬盤1/0,都會(huì)被VMM 截獲,并知道訪問對(duì)應(yīng)硬盤數(shù)據(jù)是屬于哪個(gè)虛擬系統(tǒng)。
3. 在VMM中內(nèi)置一個(gè)可換加解密算法模塊和各系統(tǒng)密鑰特征;可換加解密算法模塊中 包括若干加密算法;同時(shí)可換加解密算法模塊包括一訪問接口,用于虛擬系統(tǒng)安裝、 更換或升級(jí)更新加密算法。
3丄這種密鑰特征可以是公知技術(shù)生成的密鑰特征,如密鑰的HASH值。
4. 上層虛擬系統(tǒng)訪問硬盤數(shù)據(jù)時(shí),其先利用公知技術(shù)把密鑰發(fā)給VMM, VMM把接收到 的密鑰和自己保存的密鑰進(jìn)行一致性驗(yàn)證,核實(shí)后確認(rèn)密鑰有效性。
4丄這種密鑰的一致性驗(yàn)證方法可以是比較上層虛擬系統(tǒng)的密鑰和保存的密鑰特征,也可 以是不保存解密特征,直接利用密碼學(xué)公知技術(shù)的密鑰有效確認(rèn)算法進(jìn)行一致性驗(yàn) 證;
5. 基于通過公知技術(shù)用密鑰和對(duì)應(yīng)加解密算法完成虛擬系統(tǒng)的數(shù)據(jù)訪問要求; 5丄數(shù)據(jù)讀取訪問要求,可以是用把對(duì)應(yīng)硬盤數(shù)據(jù)解密發(fā)給上層虛擬系統(tǒng); 5.2.數(shù)據(jù)寫入訪問要求,可以是用把虛擬系統(tǒng)發(fā)來的數(shù)據(jù)加密后保存在硬盤上;
6. —個(gè)虛擬系統(tǒng)不同應(yīng)用可以使用不同的加密算法或不同的密鑰; 這種加密數(shù)據(jù)存儲(chǔ)地點(diǎn),可以是硬盤,也可以是U盤,網(wǎng)絡(luò)存儲(chǔ)設(shè)備等諸如此類的數(shù)
據(jù)存儲(chǔ)設(shè)備。
本發(fā)明的積極效果
1.加密算法和硬盤無關(guān),和VMM無關(guān),相關(guān)算法可由最終用戶加入到虛擬機(jī)中, 保證相關(guān)算法的安全性;
2. 加密算法以后如有需要升級(jí)方便;
3. 根據(jù)用戶設(shè)置,不同存儲(chǔ)區(qū)域使用不同的加密密鑰,提高數(shù)據(jù)的安全性;
4. 如果虛擬系統(tǒng)之上存在多個(gè)系統(tǒng),這些系統(tǒng)可以使用不同的加密算法或加密用的 密鑰。
圖1、本發(fā)明的結(jié)構(gòu)框圖; 圖2、本發(fā)明的方法流程圖。
具體實(shí)施例方式
下面結(jié)合附圖,進(jìn)一步描述本發(fā)明的具體實(shí)施方式
,本發(fā)明的結(jié)構(gòu)框圖如圖l所示。 一、系統(tǒng)初始化
1. 在真實(shí)硬件系統(tǒng)中安裝虛擬平臺(tái)VMM;
2. 在VMM中預(yù)置一可換加解密算法模塊并提供訪問接口,供上層虛擬系統(tǒng)使用,相關(guān) 加密算法可以是一種,也可以是多種;比如SMS4、 3DES、 AES等加密算法;
3. 在VMM上安裝虛擬系統(tǒng),并設(shè)置虛擬系統(tǒng)中數(shù)據(jù)使用的密鑰和加密算法,及數(shù)據(jù)保 存的空間大小,不同虛擬系統(tǒng)可以根據(jù)自己的需要在可換加解密模塊中選擇加密算法;
4. 在硬盤上為虛擬系統(tǒng)分配數(shù)據(jù)存儲(chǔ)空間,可換加解密算法模塊用密鑰和其對(duì)應(yīng)加密算 法加密存儲(chǔ)的數(shù)據(jù)
5. 可換加解密算法模塊的虛擬系統(tǒng)管理列表中存放此密鑰的特征及密鑰加密數(shù)據(jù)對(duì)應(yīng)的 硬盤地址(虛擬系統(tǒng)管理列表包括的字段如密鑰的特征,所使加密算法,虛擬系統(tǒng) 數(shù)據(jù)起始地址,長(zhǎng)度,對(duì)應(yīng)真實(shí)硬盤起始地址,長(zhǎng)度,如果加密數(shù)據(jù)在真實(shí)硬盤存放 的地址不連續(xù),則建立真實(shí)硬盤起始地址+長(zhǎng)度列表作為該虛擬系統(tǒng)對(duì)應(yīng)的硬盤存儲(chǔ)空 間長(zhǎng)度),如表1所示
表l、虛擬系統(tǒng)管理列表
虛擬系統(tǒng)特征密鑰特加密算法虛擬系統(tǒng)硬長(zhǎng)度(扇真實(shí)硬盤長(zhǎng)度(扇
征盤起始地址區(qū))起始地址區(qū))
VMM—VISTA特征lSMS40102, 40025, 600102, 400
VMM—VISTA特征2SMS4102, 400512, 000128, 000512, 000
VMM—XP特征33DES04,096,000640,0004,736,000
VMM一XP特征4AES4,096,000256,0004,736,0004,992,000
表1中,同一虛擬系統(tǒng)VMM—XP根據(jù)不同應(yīng)用分別采用了 AES和3DES算法進(jìn)行加密。
二、虛擬系統(tǒng)訪問數(shù)據(jù)時(shí)
1. 虛擬系統(tǒng)發(fā)送密鑰給VMM中的可換加解密算法模塊
2. 可換加解密算法模塊檢查虛擬系統(tǒng)密鑰是否和保存的密鑰特征一致
a) 如果不一致,把錯(cuò)誤信息反饋給虛擬系統(tǒng),并記錄此事件
b) 在虛擬系統(tǒng)連續(xù)多次發(fā)送錯(cuò)誤密鑰后(3次),每接收一次密鑰,則暫停對(duì)此虛擬 系統(tǒng)相應(yīng)服務(wù)一段時(shí)間,每相應(yīng)多錯(cuò)一次,暫停時(shí)間加倍。比如連續(xù)第4次收到 錯(cuò)誤密鑰時(shí),下次為虛擬系統(tǒng)提供相應(yīng)服務(wù)時(shí)間為1秒后,比如連續(xù)第5次收到
7錯(cuò)誤密鑰時(shí),下次為些虛擬系統(tǒng)提供相應(yīng)服務(wù)時(shí)間為2秒后,連續(xù)第n次收到錯(cuò) 誤密鑰時(shí),下次為些虛擬系統(tǒng)提供相應(yīng)服務(wù)時(shí)間為2"秒。 3.可換加解密算法模塊檢査密碼一致后,根據(jù)管理列表中,選擇對(duì)應(yīng)的加密算法進(jìn)行數(shù) 據(jù)處理
a) 數(shù)據(jù)讀取訪問要求,利用密鑰和對(duì)應(yīng)加密算法把對(duì)應(yīng)硬盤數(shù)據(jù)解密發(fā)給上層虛擬 系統(tǒng)
b) 數(shù)據(jù)寫入訪問要求,利用密鑰和對(duì)應(yīng)加密算法把虛擬系統(tǒng)發(fā)來的數(shù)據(jù)加密后保存 在硬盤上。
權(quán)利要求
1.一種基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備加密方法,其步驟為1)在硬件系統(tǒng)中建立一虛擬機(jī)平臺(tái)和若干個(gè)虛擬系統(tǒng);2)在所述虛擬機(jī)平臺(tái)內(nèi)設(shè)置一可換加解密算法模塊,用于為虛擬系統(tǒng)提供加密算法;3)虛擬機(jī)平臺(tái)對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行劃分,為每個(gè)虛擬系統(tǒng)分配一數(shù)據(jù)存儲(chǔ)空間,同時(shí)設(shè)置每個(gè)虛擬系統(tǒng)使用的密鑰和加密算法;4)虛擬系統(tǒng)訪問數(shù)據(jù)存儲(chǔ)設(shè)備時(shí)將自己所用的密鑰發(fā)送給所述虛擬機(jī)平臺(tái);5)虛擬機(jī)平臺(tái)對(duì)該虛擬系統(tǒng)的密鑰進(jìn)行一致性驗(yàn)證,如果一致則利用密鑰和對(duì)應(yīng)的加密算法進(jìn)行相應(yīng)數(shù)據(jù)處理。
2. 如權(quán)利要求1所述的方法,其特征在于所述可換加解密算法模塊包括一虛擬系統(tǒng)管理 列表,所述虛擬系統(tǒng)管理列表字段包括虛擬系統(tǒng)特征、密鑰特征、加密算法、虛擬 系統(tǒng)數(shù)據(jù)起始地址、虛擬系統(tǒng)數(shù)據(jù)存儲(chǔ)空間長(zhǎng)度、真實(shí)數(shù)據(jù)存儲(chǔ)設(shè)備起始地址、真實(shí) 數(shù)據(jù)存儲(chǔ)設(shè)備存儲(chǔ)空間長(zhǎng)度。
3. 如權(quán)利要求2所述的方法,其特征在于所述密鑰特征為密鑰的HASH值。
4. 如權(quán)利要求2所述的方法,其特征在于如果某虛擬系統(tǒng)加密數(shù)據(jù)在所述真實(shí)數(shù)據(jù)存儲(chǔ) 設(shè)備中存放的地址不連續(xù),則將虛擬系統(tǒng)的每一真實(shí)數(shù)據(jù)存儲(chǔ)設(shè)備起始地址加對(duì)應(yīng)的 長(zhǎng)度列表作為該虛擬系統(tǒng)數(shù)據(jù)存儲(chǔ)空間長(zhǎng)度。
5. 如權(quán)利要求2所述的方法,其特征在于所述可換加解密算法模塊包括一訪問接口,用 于虛擬系統(tǒng)安裝、更換或升級(jí)更新加密算法。
6. 如權(quán)利要求2所述的方法,其特征在于所述一致性驗(yàn)證方法為在所述虛擬機(jī)平臺(tái)內(nèi) 設(shè)置一確認(rèn)密鑰模塊,所述確認(rèn)密鑰模塊判斷接收的密鑰是否與所述可換加解密算法 模塊中保存的對(duì)應(yīng)虛擬系統(tǒng)的密鑰特征一致,進(jìn)行所述一致性驗(yàn)證。
7. 如權(quán)利要求1或6所述的方法,其特征在于如果所述一致性驗(yàn)證結(jié)果為不一致,貝IJ:a) 把錯(cuò)誤信息反饋給虛擬系統(tǒng),并記錄此事件;b) 在虛擬系統(tǒng)連續(xù)3次發(fā)送錯(cuò)誤密鑰后,每接收一次密鑰,則暫停對(duì)此虛擬系統(tǒng)相 應(yīng)服務(wù)一段時(shí)間,每相應(yīng)多錯(cuò)一次,暫停時(shí)間加倍,其中所述一段時(shí)間設(shè)定為1 秒,所述暫停時(shí)間的值為2"秒,n為連續(xù)錯(cuò)誤的次數(shù)。
8. 如權(quán)利要求1所述的方法,其特征在于所述虛擬機(jī)平臺(tái)為所述虛擬系統(tǒng)設(shè)置一個(gè)或多 個(gè)加密算法。
9.如權(quán)利要求l所述的方法,其特征在于所述加密算法包括SMS4加密算法、3DES加密 算法、AES加密算法。
10.如權(quán)利要求1所述的方法,其特征在于所述數(shù)據(jù)存儲(chǔ)設(shè)備包括硬盤、U盤、網(wǎng)絡(luò)存儲(chǔ)設(shè)備。
全文摘要
本發(fā)明公開了一種基于虛擬系統(tǒng)的數(shù)據(jù)存儲(chǔ)設(shè)備加密方法,屬于軟件技術(shù)領(lǐng)域。本發(fā)明的方法為1)在硬件系統(tǒng)中建立一虛擬機(jī)平臺(tái)和若干虛擬系統(tǒng);2)在所述虛擬機(jī)平臺(tái)內(nèi)設(shè)置一可換加解密算法模塊,用于為虛擬系統(tǒng)提供加密算法;3)虛擬機(jī)平臺(tái)對(duì)數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行劃分,為每個(gè)虛擬系統(tǒng)分配一數(shù)據(jù)存儲(chǔ)空間,同時(shí)設(shè)置每個(gè)虛擬系統(tǒng)使用的密鑰和加密算法;4)虛擬系統(tǒng)訪問數(shù)據(jù)存儲(chǔ)設(shè)備時(shí)將所用的密鑰發(fā)送給所述虛擬機(jī)平臺(tái);5)虛擬機(jī)平臺(tái)對(duì)該虛擬系統(tǒng)的密鑰進(jìn)行一致性驗(yàn)證,如果一致則利用密鑰和對(duì)應(yīng)的加密算法進(jìn)行相應(yīng)數(shù)據(jù)處理。本發(fā)明加密算法和硬盤無關(guān)、VMM無關(guān),加密算法升級(jí)方便;且不同存儲(chǔ)區(qū)域可使用不同的加密密鑰,提高數(shù)據(jù)的安全性。
文檔編號(hào)G06F9/455GK101587524SQ200910053670
公開日2009年11月25日 申請(qǐng)日期2009年6月23日 優(yōu)先權(quán)日2009年6月23日
發(fā)明者楊文兵, 白向春, 邢雅楠, 勇 魏 申請(qǐng)人:上海北大方正科技電腦系統(tǒng)有限公司