《虚拟磁盘加密方法、解密方法、装置及云服务器.pdf》由会员分享,可在线阅读,更多相关《虚拟磁盘加密方法、解密方法、装置及云服务器.pdf(22页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102984273 A (43)申请公布日 2013.03.20 CN 102984273 A *CN102984273A* (21)申请号 201210538837.2 (22)申请日 2012.12.13 H04L 29/08(2006.01) H04L 29/06(2006.01) H04L 9/32(2006.01) H04L 9/08(2006.01) G06F 9/455(2006.01) (71)申请人 华为技术有限公司 地址 518129 广东省深圳市龙岗区坂田华为 总部办公楼 (72)发明人 王鹏 (74)专利代理机构 北京弘权知识产权代理事务 所 。
2、( 普通合伙 ) 11363 代理人 陈蕾 许伟群 (54) 发明名称 虚拟磁盘加密方法、 解密方法、 装置及云服务 器 (57) 摘要 本发明公开了虚拟磁盘加密方法、 解密方法、 装置及云服务器, 该加密方法包括 : 云服务器获 取 VM 的第一对称密钥、 第二对称密钥及接入所述 VM 的 Ukey 的 Ukey 证书 ; 云服务器通过所述 Ukey 证书对所述第二对称密钥进行加密获得第二密文 密钥, 以及通过所述第二对称密钥对所述第一对 称密钥进行加密获得第一密文密钥 ; 所述云服务 器将所述第一密文密钥发送至加密业务管理服务 器 ; 以及所述云服务器通过所述第一对称密钥对 所述 VM 的。
3、虚拟磁盘进行加密得到加密虚拟磁盘。 本发明实施例通过云服务器、 加密业务管理服务 器及用户 Ukey 之间的三方交互实现了对 VM 的虚 拟磁盘的加密, 由于不同密钥由上述三方分散管 理, 因此提高了加密性能和加密安全性。 (51)Int.Cl. 权利要求书 3 页 说明书 13 页 附图 5 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 3 页 说明书 13 页 附图 5 页 1/3 页 2 1. 一种虚拟磁盘加密方法, 其特征在于, 所述方法包括 : 云服务器获取虚拟机VM的第一对称密钥、 第二对称密钥及接入所述VM的Ukey的Ukey 证书 ; 所述云服务器。
4、通过所述 Ukey 证书对所述第二对称密钥进行加密获得第二密文密钥, 以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥 ; 所述云服务器将所述第一密文密钥发送至加密业务管理服务器, 以使所述加密业务管 理服务器保存所述 VM 的 VM 标识与所述第一密文密钥的对应关系 ; 以及 所述云服务器通过所述第一对称密钥对所述 VM 的虚拟磁盘进行加密得到加密虚拟磁 盘。 2.根据权利要求1所述的方法, 其特征在于, 所述云服务器获取VM的第一对称密钥、 第 二对称密钥及 Ukey 证书之前, 所述方法还包括 : 用户通过在所述VM上接入Ukey进行证书注册时, 所述云服务器获取所述U。
5、key的Ukey 证书 ; 所述云服务器将所述 Ukey 证书及所述 VM 的 VM 标识发送至所述加密业务管理服务器, 以使所述加密业务管理服务器保存所述 Ukey 证书及所述 VM 标识之间的对应关系。 3.根据权利要求2所述的方法, 其特征在于, 所述云服务器获取VM的第一对称密钥、 第 二对称密钥, 包括 : 云服务器获取所述 VM 的 VM 标识 ; 所述云服务器将所述 VM 标识传输至所述加密业务管理服务器 ; 所述云服务器接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对 称密钥, 所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由 加密机生成的第一。
6、对称密钥和第二对称密钥后, 通过所述 VM 标识查找所述对应关系, 获取 到与所述 VM 标识对应的 Ukey 证书后, 通过所述 Ukey 证书对所述第一对称密钥和第二对称 密钥加密后的密钥 ; 所述云服务器通过所述 Ukey 解密所述加密后的第一对称密钥和第二对称密钥, 得到 所述第一对称密钥和第二对称密钥。 4. 根据权利要求 1 或 2 所述的方法, 其特征在于, 所述云服务器获取虚拟机 VM 的第一 对称密钥、 第二对称密钥, 包括 : 所述云服务器为所述 VM 生成所述第一对称密钥和第二对称密钥。 5. 根据权利要求 1 至 4 任意一项所述的方法, 其特征在于, 所述方法还包括 。
7、: 所述云服务器将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。 6.一种虚拟磁盘解密方法, 其特征在于, 用于对如权利要求1至5任意一项所述虚拟磁 盘加密方法加密的虚拟磁盘进行解密, 所述方法包括 : 云服务器通过 Ukey 向加密业务管理服务器验证登录 VM 的用户身份后, 从所述加密业 务管理服务器获取与所述 VM 的 VM 标识对应的第一密文密钥 ; 所述云服务器通过所述 Ukey 解密所述 VM 的第二密文密钥得到第二对称密钥 ; 所述云服务器通过所述第二对称密钥解密所述第一密文密钥得到第一对称密钥 ; 所述云服务器通过所述第一对称密钥对所述 VM 的加密虚拟磁盘进行解密。 7. 一种。
8、虚拟磁盘加密装置, 其特征在于, 所述装置包括 : 权 利 要 求 书 CN 102984273 A 2 2/3 页 3 获取单元, 用于获取虚拟机 VM 的第一对称密钥、 第二对称密钥及接入所述 VM 的 Ukey 的 Ukey 证书 ; 加密单元, 用于通过所述获取单元获取的 Ukey 证书对所述第二对称密钥进行加密获 得第二密文密钥, 以及通过所述获取单元获取的第二对称密钥对所述第一对称密钥进行加 密获得第一密文密钥 ; 发送单元, 用于将所述加密单元加密得到的第一密文密钥发送至加密业务管理服务 器, 以使所述加密业务管理服务器保存所述 VM 的 VM 标识与所述第一密文密钥的对应关 系。
9、 ; 所述加密单元, 还用于通过所述获取单元获取的第一对称密钥对所述 VM 的虚拟磁盘 进行加密得到加密虚拟磁盘。 8. 根据权利要求 7 所述的装置, 其特征在于, 所述获取单元, 还用于当用户通过在所述 VM 上接入 Ukey 进行证书注册时, 获取所述 Ukey 的 Ukey 证书 ; 所述发送单元, 还用于将所述 Ukey 证书及所述 VM 的 VM 标识发送至所述加密业务管理 服务器, 以使所述加密业务管理服务器保存所述 Ukey证书及所述VM标识之间的对应关系。 9. 根据权利要求 8 所述的装置, 其特征在于, 所述获取单元包括 : 信息获取子单元, 用于获取所述 VM 的 VM。
10、 标识 ; 标识发送子单元, 用于将所述信息获取子单元获取的所述 VM 标识传输至所述加密业 务管理服务器 ; 加密密钥接收子单元, 用于接收所述加密业务管理服务器传输的加密后的第一对称密 钥和第二对称密钥, 所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务 器获取到由加密机生成的第一对称密钥和第二对称密钥后, 通过所述标识发送子单元发送 的 VM 标识查找所述对应关系, 获取到与所述 VM 标识对应的 Ukey 证书后, 通过所述 Ukey 证 书对所述第一对称密钥和第二对称密钥加密后的密钥 ; 加密密钥解密子单元, 用于通过所述 Ukey 解密所述加密密钥接收子单元接收到的加 。
11、密后的第一对称密钥和第二对称密钥, 得到所述第一对称密钥和第二对称密钥。 10. 根据权利要求 7 或 8 所述的装置, 其特征在于, 所述获取单元包括 : 密钥生成子单元, 用于为所述 VM 生成所述第一对称密钥和第二对称密钥。 11. 根据权利要求 7 至 10 任意一项所述的装置, 其特征在于, 所述装置还包括 : 保存单元, 用于将所述加密单元加密得到的第二密文密钥保存在所述虚拟磁盘的磁盘 头。 12.一种虚拟磁盘解密装置, 其特征在于, 用于对如权利要求7至11任意一项所述虚拟 磁盘加密装置加密的虚拟磁盘进行解密, 所述装置包括 : 获取单元, 用于通过Ukey向加密业务管理服务器验。
12、证登录VM的用户身份后, 从所述加 密业务管理服务器获取与所述 VM 的 VM 标识对应的第一密文密钥 ; 解密单元, 用于通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥, 通过所 述第二对称密钥解密所述获取单元获取到的第一密文密钥得到第一对称密钥, 并通过所述 第一对称密钥对所述 VM 的加密虚拟磁盘进行解密。 13. 一种云服务器, 其特征在于, 所述云服务器包括 : 总线, 以及通过所述总线连接的 权 利 要 求 书 CN 102984273 A 3 3/3 页 4 处理器及网络接口, 其中, 所述处理器, 用于获取 VM 的第一对称密钥、 第二对称密钥及接入所述 VM 的 。
13、Ukey 的 Ukey 证书, 通过所述 Ukey 证书对所述第二对称密钥进行加密获得第二密文密钥, 以及通过 所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥, 将所述第一密文密钥 通过所述网络接口发送至加密业务管理服务器, 以使所述加密业务管理服务器保存所述 VM 的 VM 标识与所述第一密文密钥的对应关系, 通过所述第一对称密钥对所述 VM 的虚拟磁盘 进行加密得到加密虚拟磁盘。 14. 根据权利要求 13 所述的云服务器, 其特征在于, 所述处理器, 还用于当用户通过在所述VM上接入Ukey进行证书注册时, 获取所述Ukey 的 Ukey 证书, 将所述 Ukey 证书及所述。
14、 VM 的 VM 标识通过所述网络接口发送至所述加密业 务管理服务器, 以使所述加密业务管理服务器保存所述 Ukey 证书及所述 VM 标识之间的对 应关系。 15. 根据权利要求 14 所述的云服务器, 其特征在于, 所述处理器, 具体用于获取所述 VM 的 VM 标识, 通过所述网络接口将所述 VM 标识传输 至所述加密业务管理服务器, 以及接收所述加密业务管理服务器传输的加密后的第一对称 密钥和第二对称密钥, 通过所述 Ukey 解密所述加密后的第一对称密钥和第二对称密钥, 得 到所述第一对称密钥和第二对称密钥, 其中, 所述加密后的第一对称密钥和第二对称密钥 为所述加密业务管理服务器获。
15、取到由加密机生成的第一对称密钥和第二对称密钥后, 通过 所述 VM 标识查找所述对应关系, 获取到与所述 VM 标识对应的 Ukey 证书后, 通过所述 Ukey 证书对所述第一对称密钥和第二对称密钥加密后的密钥。 16. 根据权利要求 13 或 14 所述的云服务器, 其特征在于, 所述处理器, 具体用于为所述 VM 生成所述第一对称密钥和第二对称密钥。 17. 根据权利要求 13 至 16 任意一项所述的云服务器, 其特征在于, 所述处理器, 还用于将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。 18. 根据权利要求 13 至 17 任意一项所述的云服务器, 其特征在于, 所述处理器, 还。
16、用于通过Ukey向加密业务管理服务器验证登录所述VM的用户身份后, 从所述加密业务管理服务器获取与所述 VM 的 VM 标识对应的第一密文密钥, 通过所述 Ukey 解密所述 VM 的第二密文密钥得到第二对称密钥, 通过所述第二对称密钥解密所述第一密 文密钥得到第一对称密钥, 以及通过所述第一对称密钥对所述 VM 的加密虚拟磁盘进行解 密。 19. 根据权利要求 13 至 18 任意一项所述的云服务器, 其特征在于, 所述云服务器还包 括 : 存储设备, 所述存储设备被划分为多个存储空间, 每个所述 VM 的虚拟磁盘映射到一个 所述存储空间。 权 利 要 求 书 CN 102984273 A 。
17、4 1/13 页 5 虚拟磁盘加密方法、 解密方法、 装置及云服务器 技术领域 0001 本发明涉及云计算技术领域, 特别涉及虚拟磁盘加密方法、 解密方法、 装置及云服 务器。 背景技术 0002 云计算 (Cloud Computing) 是一种通过互联网提供动态易扩展的虚拟化资源的技 术, 通过云计算可以便捷地访问网络, 并且通过配置大量的存储设备, 可以实现海量数据的 存储和管理。虚拟机 (Virtual Machine, VM) 指通过软件模拟的具有完整硬件系统功能的、 运行在一个完全隔离环境中的完整计算机系统。 通常可以在一台物理计算机上模拟出多台 VM, 即在该物理计算机的存储设备。
18、上为每个 VM 划分一段存储空间, 用于存储操作系统和用 户数据, 该存储空间可以映射为 VM 的虚拟磁盘, 每个 VM 可以对应一个用户, 上述模拟多台 VM的物理计算机可以称为云计算系统中的云服务器。 用户在终端上通过网络访问其在云服 务器上的虚拟机后, 就可以实现安装应用程序、 保存应用数据、 访问网络资源等。 0003 在云计算系统中, 由于云服务器为用户分配了 VM, 因此用户可以将原来保存在物 理计算机中的数据资源保存到云服务器上的虚拟磁盘中。为了保证用户数据资源的安全 性, 现有技术在云服务器前端设置了加密设备, 当用户向虚拟磁盘中存入数据时, 由加密设 备对用户的资源数据进行加。
19、密, 相应的, 当用户从虚拟磁盘中读出数据时, 由加密设备对用 户的资源数据进行解密。 由此可知, 在加密设备对数据的加解密过程中, 用户是无法参与控 制加解密过程的, 如果云服务器或加密设备存在安全漏洞, 则无法确保数据的安全性。 发明内容 0004 本发明实施例中提供了虚拟磁盘加密方法、 解密方法、 装置及云服务器, 以解决现 有技术中通过加密设备对云服务器上的所有虚拟磁盘进行加密, 而存在的安全性问题。 0005 为了解决上述技术问题, 本发明实施例公开了如下技术方案 : 0006 第一方面, 提供一种虚拟磁盘加密方法, 所述方法包括 : 0007 云服务器获取虚拟机 VM 的第一对称密。
20、钥、 第二对称密钥及接入所述 VM 的 Ukey 的 Ukey 证书 ; 0008 所述云服务器通过所述 Ukey 证书对所述第二对称密钥进行加密获得第二密文密 钥, 以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥 ; 0009 所述云服务器将所述第一密文密钥发送至加密业务管理服务器, 以使所述加密业 务管理服务器保存所述 VM 的 VM 标识与所述第一密文密钥的对应关系 ; 以及 0010 所述云服务器通过所述第一对称密钥对所述 VM 的虚拟磁盘进行加密得到加密虚 拟磁盘。 0011 结合第一方面, 在第一方面的第一种可能的实现方式中, 所述云服务器获取 VM 的 第一对。
21、称密钥、 第二对称密钥及 Ukey 证书之前, 所述方法还包括 : 0012 用户通过在所述 VM 上接入 Ukey 进行证书注册时, 所述云服务器获取所述 Ukey 的 说 明 书 CN 102984273 A 5 2/13 页 6 Ukey 证书 ; 0013 所述云服务器将所述 Ukey 证书及所述 VM 的 VM 标识发送至所述加密业务管理服 务器, 以使所述加密业务管理服务器保存所述 Ukey 证书及所述 VM 标识之间的对应关系。 0014 结合第一方面的第一种可能的实现方式, 在第一方面的第二种可能的实现方式 中, 所述云服务器获取 VM 的第一对称密钥、 第二对称密钥, 包括 。
22、: 0015 云服务器获取所述 VM 的 VM 标识 ; 0016 所述云服务器将所述 VM 标识传输至所述加密业务管理服务器 ; 0017 所述云服务器接收所述加密业务管理服务器传输的加密后的第一对称密钥和第 二对称密钥, 所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取 到由加密机生成的第一对称密钥和第二对称密钥后, 通过所述 VM 标识查找所述对应关系, 获取到与所述 VM 标识对应的 Ukey 证书后, 通过所述 Ukey 证书对所述第一对称密钥和第二 对称密钥加密后的密钥 ; 0018 所述云服务器通过所述 Ukey 解密所述加密后的第一对称密钥和第二对称密钥, 得。
23、到所述第一对称密钥和第二对称密钥。 0019 结合第一方面, 或第一方面的第一种可能的实现方式, 在第一方面的第三种可能 的实现方式中, 所述云服务器获取虚拟机 VM 的第一对称密钥、 第二对称密钥, 包括 : 0020 所述云服务器为所述 VM 生成所述第一对称密钥和第二对称密钥。 0021 结合第一方面, 第一方面的第一种可能的实现方式, 第一方面的第二种可能的实 现方式, 或第一方面的第三种可能的实现方式, 在第一方面的第四种可能的实现方式中, 所 述方法还包括 : 0022 所述云服务器将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。 0023 第二方面, 提供一种虚拟磁盘解密方法, 该。
24、方法用于对前述虚拟磁盘加密方法加 密的虚拟磁盘进行解密, 所述方法包括 : 0024 云服务器通过 Ukey 向加密业务管理服务器验证登录 VM 的用户身份后, 从所述加 密业务管理服务器获取与所述 VM 的 VM 标识对应的第一密文密钥 ; 0025 所述云服务器通过所述 Ukey 解密所述 VM 的第二密文密钥得到第二对称密钥 ; 0026 所述云服务器通过所述第二对称密钥解密所述第一密文密钥得到第一对称密 钥 ; 0027 所述云服务器通过所述第一对称密钥对所述 VM 的加密虚拟磁盘进行解密。 0028 第三方面, 提供一种虚拟磁盘加密装置, 所述装置包括 : 0029 获取单元, 用于。
25、获取虚拟机 VM 的第一对称密钥、 第二对称密钥及接入所述 VM 的 Ukey 的 Ukey 证书 ; 0030 加密单元, 用于通过所述获取单元获取的 Ukey 证书对所述第二对称密钥进行加 密获得第二密文密钥, 以及通过所述获取单元获取的第二对称密钥对所述第一对称密钥进 行加密获得第一密文密钥 ; 0031 发送单元, 用于将所述加密单元加密得到的第一密文密钥发送至加密业务管理服 务器, 以使所述加密业务管理服务器保存所述 VM 的 VM 标识与所述第一密文密钥的对应关 系 ; 0032 所述加密单元, 还用于通过所述获取单元获取的第一对称密钥对所述 VM 的虚拟 说 明 书 CN 102。
26、984273 A 6 3/13 页 7 磁盘进行加密得到加密虚拟磁盘。 0033 结合第三方面, 在第三方面的第一种可能的实现方式中, 0034 所述获取单元, 还用于当用户通过在所述VM上接入Ukey进行证书注册时, 获取所 述 Ukey 的 Ukey 证书 ; 0035 所述发送单元, 还用于将所述 Ukey 证书及所述 VM 的 VM 标识发送至所述加密业务 管理服务器, 以使所述加密业务管理服务器保存所述 Ukey 证书及所述 VM 标识之间的对应 关系。 0036 结合第三方面的第一种可能的实现方式, 在第三方面的第二种可能的实现方式 中, 所述获取单元包括 : 0037 信息获取子。
27、单元, 用于获取所述 VM 的 VM 标识 ; 0038 标识发送子单元, 用于将所述信息获取子单元获取的所述 VM 标识传输至所述加 密业务管理服务器 ; 0039 加密密钥接收子单元, 用于接收所述加密业务管理服务器传输的加密后的第一对 称密钥和第二对称密钥, 所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理 服务器获取到由加密机生成的第一对称密钥和第二对称密钥后, 通过所述标识发送子单元 发送的 VM 标识查找所述对应关系, 获取到与所述 VM 标识对应的 Ukey 证书后, 通过所述 Ukey 证书对所述第一对称密钥和第二对称密钥加密后的密钥 ; 0040 加密密钥解密子单元,。
28、 用于通过所述 Ukey 解密所述加密密钥接收子单元接收到 的加密后的第一对称密钥和第二对称密钥, 得到所述第一对称密钥和第二对称密钥。 0041 结合第三方面, 或第三方面的第一种可能的实现方式, 在第三方面的第三种可能 的实现方式中, 所述获取单元包括 : 0042 密钥生成子单元, 用于为所述 VM 生成所述第一对称密钥和第二对称密钥。 0043 结合第三方面, 第三方面的第一种可能的实现方式, 第三方面的第二种可能的实 现方式, 或第三方面的第三种可能的实现方式, 在第三方面的第四种可能的实现方式中, 所 述装置还包括 : 0044 保存单元, 用于将所述加密单元加密得到的第二密文密钥。
29、保存在所述虚拟磁盘的 磁盘头。 0045 第四方面, 提供一种虚拟磁盘解密装置, 该装置用于对前述虚拟磁盘加密装置加 密的虚拟磁盘进行解密, 所述装置包括 : 0046 获取单元, 用于通过Ukey向加密业务管理服务器验证登录VM的用户身份后, 从所 述加密业务管理服务器获取与所述 VM 的 VM 标识对应的第一密文密钥 ; 0047 解密单元, 用于通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥, 通 过所述第二对称密钥解密所述获取单元获取到的第一密文密钥得到第一对称密钥, 并通过 所述第一对称密钥对所述 VM 的加密虚拟磁盘进行解密。 0048 第五方面, 提供一种云服务器, 。
30、所述云服务器包括 : 总线, 以及通过所述总线连接 的处理器及网络接口, 其中, 0049 所述处理器, 用于获取 VM 的第一对称密钥、 第二对称密钥及接入所述 VM 的 Ukey 的Ukey证书, 通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥, 以及通 过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥, 将所述第一密文密 说 明 书 CN 102984273 A 7 4/13 页 8 钥通过所述网络接口发送至加密业务管理服务器, 以使所述加密业务管理服务器保存所述 VM 的 VM 标识与所述第一密文密钥的对应关系, 通过所述第一对称密钥对所述 VM 的虚拟磁 。
31、盘进行加密得到加密虚拟磁盘。 0050 结合第五方面, 在第五方面的第一种可能的实现方式中, 0051 所述处理器, 还用于当用户通过在所述VM上接入Ukey进行证书注册时, 获取所述 Ukey 的 Ukey 证书, 将所述 Ukey 证书及所述 VM 的 VM 标识通过所述网络接口发送至所述加 密业务管理服务器, 以使所述加密业务管理服务器保存所述 Ukey 证书及所述 VM 标识之间 的对应关系。 0052 结合第五方面的第一种可能的实现方式, 在第五方面的第二种可能的实现方式 中, 所述处理器, 具体用于获取所述 VM 的 VM 标识, 通过所述网络接口将所述 VM 标识传输至 所述加密。
32、业务管理服务器, 以及接收所述加密业务管理服务器传输的加密后的第一对称密 钥和第二对称密钥, 通过所述 Ukey 解密所述加密后的第一对称密钥和第二对称密钥, 得到 所述第一对称密钥和第二对称密钥, 其中, 所述加密后的第一对称密钥和第二对称密钥为 所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后, 通过所 述 VM 标识查找所述对应关系, 获取到与所述 VM 标识对应的 Ukey 证书后, 通过所述 Ukey 证 书对所述第一对称密钥和第二对称密钥加密后的密钥。 0053 结合第五方面, 或第五方面的第一种可能的实现方式, 在第五方面的第三种可能 的实现方式中, 所述处。
33、理器, 具体用于为所述 VM 生成所述第一对称密钥和第二对称密钥。 0054 结合第五方面, 第五方面的第一种可能的实现方式, 第五方面的第二种可能的实 现方式, 或第五方面的第三种可能的实现方式, 在第五方面的第四种可能的实现方式中, 所 述处理器, 还用于将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。 0055 结合第五方面, 第五方面的第一种可能的实现方式, 第五方面的第二种可能的实 现方式, 第五方面的第三种可能的实现方式, 或第五方面的第四种可能的实现方式, 在第五 方面的第五种可能的实现方式中, 所述处理器, 还用于通过 Ukey 向加密业务管理服务器验 证登录所述 VM 的用户身。
34、份后, 从所述加密业务管理服务器获取与所述 VM 的 VM 标识对应的 第一密文密钥, 通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥, 通过所述第 二对称密钥解密所述第一密文密钥得到第一对称密钥, 以及通过所述第一对称密钥对所述 VM 的加密虚拟磁盘进行解密。 0056 结合第五方面, 第五方面的第一种可能的实现方式, 第五方面的第二种可能的实 现方式, 第五方面的第三种可能的实现方式, 第五方面的第四种可能的实现方式, 或第五方 面的第五种可能的实现方式, 在第五方面的第六种可能的实现方式中, 所述云服务器还包 括 : 存储设备, 所述存储设备划被分为多个存储空间, 每个所述 。
35、VM 的虚拟磁盘映射到一个 所述存储空间。 0057 本发明实施例中, 云服务器在加密虚拟磁盘时, 获取虚拟机 VM 的第一对称密钥、 第二对称密钥及接入所述 VM 的 Ukey 的 Ukey 证书, 通过 Ukey 证书对第二对称密钥进行 加密获得第二密文密钥, 以及通过第二对称密钥对第一对称密钥进行加密获得第一密文密 钥, 将第一密文密钥发送至加密业务管理服务器, 以及通过第一对称密钥对 VM 的虚拟磁盘 进行加密得到加密虚拟磁盘 ; 相应的, 云服务器在解密虚拟磁盘时, 从加密业务管理服务器 获取与 VM 的 VM 标识对应的第一密文密钥, 通过 Ukey 解密 VM 的第二密文密钥得到。
36、第二对 说 明 书 CN 102984273 A 8 5/13 页 9 称密钥, 通过第二对称密钥解密第一密文密钥得到第一对称密钥, 通过第一对称密钥对 VM 的加密虚拟磁盘进行解密。 应用本发明实施例, 通过云服务器、 加密业务管理服务器及用户 Ukey 之间的三方交互实现了对 VM 的虚拟磁盘的加密, 由于不同密钥由上述三方分散管理, 因此提高了加密性能和加密安全性 ; 并且, 由于无需在云计算系统中设置加密设备, 因此提 高了云计算系统组网布局的灵活性, 降低了组网成本。 附图说明 0058 为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实施例或现 有技术描述中所需要使用。
37、的附图作简单地介绍, 显而易见地, 对于本领域普通技术人员而 言, 在不付出创造性劳动性的前提下, 还可以根据这些附图获得其他的附图。 0059 图 1A 为本发明实施例所应用的一种场景示意图 ; 0060 图 1B 为本发明虚拟磁盘加密方法的一个实施例流程图 ; 0061 图 2 为本发明虚拟磁盘加密方法的另一个实施例流程图 ; 0062 图 3 为本发明虚拟磁盘解密方法的实施例流程图 ; 0063 图 4 为应用本发明实施例的一种云计算网络架构示意图 ; 0064 图 5 为本发明虚拟磁盘加密装置的一个实施例框图 ; 0065 图 6 为本发明虚拟磁盘加密装置的另一个实施例框图 ; 006。
38、6 图 7 为本发明虚拟磁盘解密装置的实施例框图 ; 0067 图 8 为本发明云服务器的一个实施例框图 ; 0068 图 9 为本发明云服务器的另一个实施例框图。 具体实施方式 0069 现有技术除了存在安全性问题之外, 实现为每个虚拟机单独设置和管理密钥的难 度也较大。本发明如下实施例提供了虚拟磁盘加密方法、 解密方法、 装置及云服务器。 0070 为了使本技术领域的人员更好地理解本发明实施例中的技术方案, 并使本发明实 施例的上述目的、 特征和优点能够更加明显易懂, 下面结合附图对本发明实施例中技术方 案作进一步详细的说明。 0071 参见图 1A, 为本发明实施例所应用的一种场景示意图。
39、 : 0072 图 1A 中包括 : 云服务器、 以及与云服务器相连的加密业务管理服务器, 其中云服 务器可以连接至少一个 Ukey, 加密业务管理服务器可以连接用于产生对称加密密钥的加密 机。下面结合图 1A 示出的场景, 对本发明实施例进行描述。 0073 参见图 1B, 为本发明虚拟磁盘加密方法的一个实施例流程图 : 0074 步骤101 : 云服务器获取VM的第一对称密钥、 第二对称密钥及接入所述VM的Ukey 的 Ukey 证书。 0075 本发明实施例中, 用户开通加密服务后可以从证书管理系统获得 Ukey, UKey 是一 种通过通用串行总线接口 USB 直接与终端设备相连、 具。
40、有密码验证功能、 可靠高速的小型 存储设备, UKey 可以用于存储个人信息或证书, UKey 的内部密码算法可以为数据传输提供 安全的管道。在云计算系统中, 每个 VM 对应一个第一对称密钥和一个第二对称密钥, 一个 用户 Ukey 可以对应该用户的至少一个 VM 的虚拟磁盘, 对此本发明实施例不进行限制。 说 明 书 CN 102984273 A 9 6/13 页 10 0076 通常用户通过远程接入终端接入到 VM, 当用户在远程接入终端上插入 Ukey 后, 相当于该 Ukey 接入到该 VM 上, 此时远程接入终端可以获得该 Ukey 的 Ukey 证书, 并将该 Ukey 证书通过。
41、远程桌面协议 (Remote Desktop Protocol, RDP) 传输到云服务器, 以使云服 务器获取到接入 VM 的 Ukey 的 Ukey 证书。其中远程接入终端可以具体为瘦客户端 (Thin Client, TC) , 或者软件客户端等。 0077 其中, 在获取 VM 的第一对称密钥和第二对称密钥时, 云服务器可以采用如下实现 方式 : 0078 在一种可能的实现方式中, 用户通过 Ukey 进行证书注册时, 云服务器可以获取到 Ukey 的证书序列号 (Serial Number, SN) 及 Ukey 证书, 并可以将 Ukey 证书及所对应 VM 的 VM 标识发送至加。
42、密业务管理服务器, 加密业务管理服务器可以保存上述 Ukey 证书及 VM 标 识之间的对应关系 ; 当云服务器进行虚拟磁盘加密时, 云服务器可以获取 VM 的 VM 标识, 将 VM 标识传输至加密业务管理服务器, 加密业务管理服务器通过 VM 标识查找保存的对应 关系, 获取到与 VM 标识对应的 Ukey 证书后, 通过该 Ukey 证书对由加密机生成的第一对称 密钥和第二对称密钥进行加密, 并将加密后的第一对称密钥和第二对称密钥发送到云服务 器, 云服务器通过 Ukey 解密该加密后的第一对称密钥和第二对称密钥, 得到第一对称密钥 和第二对称密钥。 0079 在另一种可能的实现方式中,。
43、 云服务器可以直接为 VM 生成第一对称密钥和第二 对称密钥。 0080 步骤 102 : 云服务器通过 Ukey 证书对第二对称密钥进行加密获得第二密文密钥, 以及通过第二对称密钥对第一对称密钥进行加密获得第一密文密钥。 0081 步骤 103 : 云服务器将第一密文密钥发送至加密业务管理服务器, 以使加密业务 管理服务器保存 VM 的 VM 标识与第一密文密钥的对应关系。 0082 当用户通过 Ukey 进行证书注册时, 加密业务管理服务器通过与云服务器交互保 存了 Ukey 的 Ukey 证书及 VM 标识之间的对应关系, 本步骤中, 当云服务器将第一密文密钥 发送至加密业务管理服务器后。
44、, 加密业务管理服务器可以在上述对应关系中进一步保存 VM 的VM标识与第一密文密钥的对应关系, 即每个VM对应唯一的第一密文密钥, 后续当用户访 问 VM 的加密虚拟磁盘时, 可以通过 VM 标识找到该 VM 对应的第一密文密钥。 0083 步骤 104 : 云服务器通过第一对称密钥对 VM 的虚拟磁盘进行加密得到加密虚拟磁 盘。 0084 由此可知, 通过上述的加密过程, 其中用户持有 Ukey, VM 的虚拟磁盘上保存了通 过 Ukey 证书加密的第二密文密钥, 加密业务管理服务器上保存了通过第二对称密钥加密 的第一密文密钥, 因此无论从哪一方单独获取到密钥都无法解密虚拟磁盘, 虚拟磁盘。
45、加密 安全性较高。 0085 需要说明的是, 本实施例对上述步骤102、 103和104之间的执行顺序不做限定, 例 如, 也可以先执行步骤104中的通过第一对称密钥对VM的虚拟磁盘进行加密得到加密虚拟 磁盘后, 再执行将第一密文密钥发送至加密业务管理服务器的步骤 103。 0086 由上述实施例可见, 该实施例通过云服务器、 加密业务管理服务器及用户 Ukey 之 间的三方交互实现了对 VM 的虚拟磁盘的加密, 由于不同密钥由上述三方分散管理, 因此提 高了加密性能和加密安全性 ; 并且, 由于无需在云计算系统中设置加密设备, 因此提高了云 说 明 书 CN 102984273 A 10 7。
46、/13 页 11 计算系统组网布局的灵活性, 降低了组网成本。 同时, 能够针对每个虚拟机来设置和管理加 解密过程所需的密钥。 0087 参见图 2, 为本发明虚拟磁盘加密方法的另一实施例流程图, 该实施例描述了证书 注册及对虚拟磁盘进行加密的详细过程 : 0088 步骤201 : 用户通过在VM上接入Ukey进行证书注册时, 云服务器获取Ukey的Ukey 证书。 0089 本发明实施例中, 用户开通加密服务后可以获得 Ukey, UKey 是一种通过通用串行 总线接口 USB 直接与终端设备相连、 具有密码验证功能、 可靠高速的小型存储设备, UKey 可 以用于存储个人信息或证书, UK。
47、ey 的内部密码算法可以为数据传输提供安全的管道。 0090 当用户通过在 VM 上接入 Ukey 进行证书注册时, 云服务器可以获取到该 Ukey 的 Ukey 证书, 同时该 Ukey 还具有与 Ukey 证书对应的证书私钥, 通过 Ukey 证书加密的信息必 须由该Ukey通过证书私钥进行解密 ; 该Ukey通过证书私钥计算的签名只能通过Ukey证书 进行签名的验证。后续当用户访问该 VM 时, 都可以通过接入 Ukey 以提高访问安全性, 实现 对该 VM 的虚拟磁盘的加密和解密。 0091 步骤 202 : 云服务器将 Ukey 证书及 VM 的 VM 标识发送至加密业务管理服务器。。
48、 0092 步骤 203 : 加密业务管理服务器保存 Ukey 证书及 VM 标识之间的对应关系。 0093 执行完步骤 203 后, 云服务器通过与加密业务管理服务器之间的信息交互完成了 Ukey 的证书注册过程, 此时加密业务管理服务器保存了 Ukey 证书及 VM 标识之间的对应关 系。 0094 步骤 204 : 云服务器获取 VM 的第一对称密钥、 第二对称密钥及接入 VM 的 Ukey 的 Ukey 证书。 0095 在本发明实施例示出的云计算系统中, 每个 VM 可以对应一个第一对称密钥和一 个第二对称密钥, 一个用户Ukey可以对应该用户的至少一个VM的虚拟磁盘, 对此本发明实。
49、 施例不进行限制。 0096 通常用户通过远程接入终端接入到 VM, 当用户在远程接入终端上插入 Ukey 后, 相 当于该Ukey接入到该VM上, 此时远程接入终端可以获得该Ukey的Ukey证书, 并将该Ukey 证书通过 RDP 协议传输到云服务器, 以使云服务器获取到接入 VM 的 Ukey 的 Ukey 证书。其 中远程接入终端可以具体为 TC, 或者软件客户端等。 0097 其中, 在获取 VM 的第一对称密钥和第二对称密钥时, 云服务器可以采用如下实现 方式 : 0098 在一种可能的实现方式中, 用户通过 Ukey 进行证书注册时, 云服务器可以获取到 Ukey 的证书 SN 及 Ukey 证书, 并可以将 Ukey 证书及所对应 VM 的 VM 标识发送至加密业务 管理服务器, 加密业务管理服务器保存上述Ukey证书及VM标识之间的对应关系 ; 当云服务 器进行虚拟磁盘加密时, 。