一种基于云主机密码保护的云主机启动方法及设备与流程

本发明涉及云安全，尤其是涉及一种基于云主机密码保护的云主机启动方法及设备。

背景技术：

1、近年来，随着“零信任”理念的推广，安全已经突破了原有的边界。云计算系统不但要防止外来入侵者窃取数据、破坏系统，也要防止数据被未被授权的内部人员所获取。云管理员就是这样的“内部人员”，他们一般只能在云平台上对云主机进行“增、删、改、查”的操作，而无权知道云上其他租户的云主机密码，因为这样有可能泄露云上其他租户的云主机内数据。

2、传统的云计算系统，往往避免不了将云主机的密码以明文或几乎明文(例如对明文进行简单的base64编码)的形式存在数据库中。这是因为用户新建云主机时会在表单中输入云主机的密码，而该密码会在云主机的操作系统启动后，再注入到云主机中。这个云主机密码数据一般就存储在后台数据库中。由于云管理员可以获取云计算系统的后台数据库密码，因此就可以很容易地获取每个云主机的密码，进而造成云上其他租户的数据泄露风险。

技术实现思路

1、本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种能够防止云主机管理员通过查看云操作系统的数据库轻易获得云上其他租户云主机密码的基于云主机密码保护的云主机启动方法及设备，避免产生用户数据泄露等安全风险。

2、本发明的目的可以通过以下技术方案来实现：

3、一种基于云主机密码保护的云主机启动方法，包括以下步骤：

4、获取用户输入的明文密码和云主机元数据；

5、基于所述云主机元数据对所述明文密码进行加密，保存加密后密码和云主机元数据；

6、调用调度模块在某云计算节点上通过计算模块启动云主机，并对所述加密后密码进行解密，获得所述明文密码；

7、通过云计算节点的计算模块将所述明文密码注入启动云主机。

8、进一步地，所述云主机元数据包括云主机名、操作系统id/名称、cpu核数、内存大小、根磁盘大小、挂载盘id/名称、子网id/名称、安全组id/名称和/或用户数据。

9、进一步地，对所述明文密码进行加密的公式为：

10、

11、其中，pwdc表示加密后密码，hash()表示单向散列函数，vm_static_metadata(i)代表第i个云主机的静态元数据，pwdp表示明文密码，⊕表示异或运算。

12、进一步地，对所述加密后密码进行解密具体为：

13、

14、其中，pwdc表示加密后密码，hash()表示单向散列函数，vm_static_metadata(i)代表第i个云主机的静态元数据，pwdp表示明文密码，⊕表示异或运算。

15、进一步地，所述单向散列函数基于md5、sha-1、sha-2、sha-3或国密sm3算法实现。

16、进一步地，所述调度模块基于openstack nova服务组件中的nova-scheduler实现。

17、进一步地，所述计算模块基于openstack nova服务组件中的nova-compute实现。

18、本发明还提供一种具有云主机密码保护的云计算系统，包括云控制节点和云计算节点，所述云控制节点采用如上所述的基于云主机密码保护的云主机启动方法进行云主机的启动。

19、本发明还提供一种电子设备，包括存储器、处理器，以及存储于所述存储器中的程序，所述处理器执行所述程序时实现如上所述的基于云主机密码保护的云主机启动方法。

20、本发明还提供一种存储介质，其上存储有程序，所述程序被执行时实现如上所述的基于云主机密码保护的云主机启动方法。

21、与现有技术相比，本发明具有以下有益效果：

22、本发明在获得明文密码后进行加密处理，仅保存加密后密码在数据库中，有效防止通过查看云操作系统的数据库轻易获得云上其他租户的云主机密码，提高数据安全性。

技术特征：

1.一种基于云主机密码保护的云主机启动方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的基于云主机密码保护的云主机启动方法，其特征在于，所述云主机元数据包括云主机名、操作系统id/名称、cpu核数、内存大小、根磁盘大小、挂载盘id/名称、子网id/名称、安全组id/名称和/或用户数据。

3.根据权利要求1所述的基于云主机密码保护的云主机启动方法，其特征在于，对所述明文密码进行加密的公式为：

4.根据权利要求1所述的基于云主机密码保护的云主机启动方法，其特征在于，对所述加密后密码进行解密具体为：

5.根据权利要求3或4所述的基于云主机密码保护的云主机启动方法，其特征在于，所述单向散列函数基于md5、sha-1、sha-2、sha-3或国密sm3算法实现。

6.根据权利要求1所述的基于云主机密码保护的云主机启动方法，其特征在于，所述调度模块基于openstack nova服务组件中的nova-scheduler实现。

7.根据权利要求1所述的基于云主机密码保护的云主机启动方法，其特征在于，所述计算模块基于openstack nova服务组件中的nova-compute实现。

8.一种具有云主机密码保护的云计算系统，包括云控制节点和云计算节点，其特征在于，所述云控制节点采用如权利要求1-7中任一所述的基于云主机密码保护的云主机启动方法进行云主机的启动。

9.一种电子设备，包括存储器、处理器，以及存储于所述存储器中的程序，其特征在于，所述处理器执行所述程序时实现如权利要求1-7中任一所述的基于云主机密码保护的云主机启动方法。

10.一种存储介质，其上存储有程序，其特征在于，所述程序被执行时实现如权利要求1-7中任一所述的基于云主机密码保护的云主机启动方法。

技术总结
本发明涉及一种基于云主机密码保护的云主机启动方法及设备，所述方法包括以下步骤：获取用户输入的明文密码和云主机元数据；基于所述云主机元数据对所述明文密码进行加密，保存加密后密码和云主机元数据；调用调度模块在某云计算节点上通过计算模块启动云主机，并对所述加密后密码进行解密，获得所述明文密码；通过云计算节点的计算模块将所述明文密码注入启动云主机。与现有技术相比，本发明能够有效防止云主机管理员通过查看云操作系统的数据库轻易获得云上其他租户云主机密码等优点。

技术研发人员：刘超
受保护的技术使用者：上海仪电（集团）有限公司中央研究院
技术研发日：
技术公布日：2024/1/15