本发明专利技术提供一种虚拟机全盘加密下预启动时的密钥传输方法和设备。该方法包括虚拟机进行预启动,所述虚拟机处于全盘加密状态;所述虚拟机在预启动时,建立与云平台的传输通道,所述云平台用于提供密钥;所述虚拟机通过所述传输通道,向所述云平台请求密钥并接收所述云平台发送的密钥;所述虚拟机采用所述密钥解密并启动操作系统。本发明专利技术实施例可以在虚拟机预启动阶段实现密钥传输,进而启动虚拟机。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及通信
,尤其涉及一种虚拟机(Virtual Machine, VM)全盘加密下预启动时的密钥传输方法和设备。
技术介绍
云计算场景下,虚拟机(Virtual Machine, VM)的磁盘数据,包括系统盘和数据盘的数据会存在安全风险。如果能对VM的数据进行全盘加密,并且密钥能掌握在用户自己手中的话,非授权人员就不能获得用户的数据,这样就会极大程度上保护用户在云中的敏感数据。传统的全盘加密技术作为终端安全的一种解决方案,技术已经成熟,传统技术中, 可以在启动操作系统前,也就是预启动(Pre-boot)阶段,由启动加载(boot loader)程序根据用户输入的密码生成密钥,并用密钥解密磁盘上的数据,解密的数据中包括操作系统(Operation System, OS),在操作系统解密后可以启动操作系统。上述的传统全盘加密技术中,用户是在单一终端上执行的操作,boot loader程序可以获取密钥。但是,云应用场景下,VM所需的密钥需要从外界的云平台处获取,而在VM的操作系统未启动前,VM没有IP地址,无法与外界通信,也就不能获取到密钥,使得VM的操作系统不能被启动,造成VM停留在预启动阶段。
技术实现思路
本专利技术提供一种虚拟机全盘加密下预启动时的密钥传输方法和设备,实现VM内的boot loader程序可以在预启动阶段获取密钥,进而启动VM的操作系统。本专利技术提供了一种虚拟机全盘加密下预启动时的密钥传输方法,包括虚拟机进行预启动,所述虚拟机处于全盘加密状态;所述虚拟机在预启动时,建立与云平台的传输通道,所述云平台用于提供密钥;所述虚拟机通过所述传输通道,向所述云平台请求密钥并接收所述云平台发送的密钥;所述虚拟机采用所述密钥解密并启动操作系统。本专利技术提供了一种虚拟机全盘加密下预启动时的密钥传输设备,包括建立模块,用于进行处于全盘加密状态的虚拟机的预启动操作,并在预启动时,建立与云平台的传输通道,所述云平台用于提供密钥;传输模块,用于通过所述传输通道,向所述云平台请求密钥并接收所述云平台发送的密钥;解密模块,用于采用所述密钥解密并启动操作系统。由上述技术方案可知,本专利技术实施例通过虚拟机在预启动阶段建立与提供密钥的云平台之间的传输通道,可以实现预启动阶段密钥的传输,能够使得虚拟机获取密钥,进而可以解密虚拟机的操作系统,并实现虚拟机的操作系统的启动,避免由于不能获取密钥而停留在预启动阶段。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图I为本专利技术虚拟机全盘加密下预启动时的密钥传输方法的一实施例的流程示意图;图2为本专利技术虚拟机全盘加密下预启动时的密钥传输方法的另一实施例的流程 示意图;图3为图2对应的系统结构示意图;图4为本专利技术虚拟机全盘加密下预启动时的密钥传输方法的另一实施例的流程示意图;图5为图4对应的系统结构示意图;图6为本专利技术中加密方法的一实施例的流程示意图;图7为本专利技术中加密方法的另一实施例的流程示意图;图8为本专利技术虚拟机全盘加密下预启动时的密钥传输设备的结构示意图。具体实施例方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图I为本专利技术虚拟机全盘加密下预启动时的密钥传输方法的一实施例的流程示意图,包括步骤11 :VM进行预启动,并在预启动时,建立与云平台的传输通道,所述云平台用于提供密钥;其中,VM在预启动时处于全盘加密状态,即VM的操作系统处于加密状态,需要解密出VM的操作系统才能完成VM的启动,否则将如现有技术停留在预启动状态。该VM是指能够被用户使用的虚拟机,例如,对于XEN场景下,VM是指domain U,另夕卜,在XEN场景下,还存在一种特殊的虚拟机宿主机(Domain O),该宿主机并不是被用户使用的虚拟机,而是管理各Domain U的虚拟机。因此,在XEN场景下,上述的VM是指DomainU。可以理解的是,对于其他虚拟化平台,不区分Domain 0> Domain U的场景,例如,VMwareESXi场景下,Domain O的功能可以是由hypervisor执行,而由Domain U执行的操作可以是由hypervisor上的虚拟机执行。通常来讲,Domain O的操作系统是不加密的,因此当云平台向Domain O下发启动虚拟机指令后,Domain O的操作系统就会启动,而Domain U的系统盘,即操作系统所在的盘是加密的,需要解密后才会启动。每个Domain U的密钥可以保存在云平台内。云平台中与VM磁盘加密相关的模块可以进一步细分为密钥管理模块和加密管理模块。其中,密钥管理模块用于对各Domain U的密钥进行管理,例如,生成每个Domain U对应的密钥,更新密钥、存储密钥、备份密钥、恢复密钥等。加密管理模块用于确定管理策略,例如,配置需要加密的Domain U的信息,配置Domain U上需要加密的卷的信息等。另外,加密管理模块还负责将密钥管理模块中的密钥传递给Domain U。另外,上述的传输通道可以是通过超级监视器(hypervisor)的传输通道,或者是采用IP地址直接与云平台建立的传输通道。具体内容可以参见后续实施例。步骤12 VM通过所述传输通道,向所述云平台请求密钥并接收所述云平台发送的密钥,以及采用所述密钥解密并启动操作系统。由于云平台和VM间已经建立了传输通道,云平台便可以通过该传输通道将密钥传输给VM。 VM在获取到密钥后,可以根据获取的密钥解密操作系统所在的系统盘,得到操作系统后启动操作系统,而不是如现有技术中的停留在预启动阶段。本实施例通过在预启动阶段建立与提供密钥的云平台之间的传输通道,可以实现预启动阶段密钥的传输,能够使得虚拟机获取密钥,进而可以解密虚拟机的操作系统,并实现虚拟机的操作系统的启动,避免由于不能获取密钥而停留在预启动阶段。图2为本专利技术虚拟机全盘加密下预启动时的密钥传输方法的另一实施例的流程示意图,图3为图2对应的系统结构示意图。本实施例以XEN场景,且通过hypervisor建立传输通道为例。参见图3,该系统包括密钥管理模块31、加密管理模块32、宿主机33、虚拟机34和超级监视器(hypervisor) 35。密钥管理模块31和加密管理模块32可以位于云平台内,宿主机33、虚拟机34和超级监视器35可以位于云服务器上,一个云平台可以管理多个云服务器。其中的宿主机也就是Domain O,虚拟机也就是Domain U。密钥管理模块用于管理每个虚拟机的密钥,包括密钥的生成、密钥更新、密钥存储、密钥备份、密钥恢复等功能。该密钥管理模块可以是云提供商设置的,也可以是用户自己设置的。例如,在一些应用场景下,如果用户不信任云提供商,要求自己手动输入对应的虚拟机的密钥,那么密本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种虚拟机全盘加密下预启动时的密钥传输方法,其特征在于,包括 虚拟机进行预启动,所述虚拟机处于全盘加密状态; 所述虚拟机在预启动时,建立与云平台的传输通道,所述云平台用于提供密钥; 所述虚拟机通过所述传输通道,向所述云平台请求密钥并接收所述云平台发送的密钥; 所述虚拟机采用所述密钥解密并启动操作系统。2.根据权利要求I所述的方法,其特征在于, 所述建立与云平台的传输通道,包括 确定超级监视器内为虚拟机分配的传输通道; 通过所述超级监视器内为虚拟机分配的传输通道,得到虚拟机与云平台之间的传输通道。3.根据权利要求I所述的方法,其特征在于,所述建立与云平台的传输通道,包括 设置启动加载操作系统,并在所述启动加载操作系统启动后向DHCP服务器申请IP,根据所述IP地址建立与云平台的传输通道。4.根据权利要求2所述的方法,其特征在于,所述向所述云平台请求密钥并接收所述云平台发送的密钥,包括 通过所述超级监视器内的传输通道,向云平台发送密钥请求消息,所述密钥请求消息中携带虚拟机的标识信息; 接收云平台返回的密钥,所述密钥为云平台根据所述虚拟机的标识信息确定的。5.根据权利要求3所述的方法,其特征在于,所述向所述云平台请求密钥并接收所述云平台发送的密钥,包括 通过建立的IP通道,向云平台发送密钥请求消息,所述密钥请求消息中携带虚拟机的标识信息; 接收云平台返回的密钥,所述密钥为云平台根据所述虚拟机的标识信息确定的。6.根据权利要求4所述的方法,其特征在于,所述通过所述超级监视器内的传输通道,向云平台发送密钥请求消息,包括 虚拟机通过所述超级监视器内的传输通道,向宿主机发送密钥请求消息,并经由所述宿主机和云平台间的IP连接通道,将所述密钥请求消息发送给云平台,所述宿主机在所述虚拟机预启动前完成启动并获取IP地址以及与云平台建立IP连接通道。7.根据权利要求I所述的方法,其特征在于,所述虚拟机进行预启动之前,所述方法还包括 所述虚拟机在上次正常启动操作系统后,通过超级监视器内的传输通道,向云平台发送携带虚拟机的标识信息的密钥请求消息,接收所述云平台发送的根据所述虚拟机的标识信息确定的密钥,并采用所述密钥对所述虚拟机的数据进行全盘加密处理;或者, 所述虚拟机在上次正常启动操作系统后,获取IP地址,根据所述IP地址建立与云平台的IP连接,通过所述IP连接向云平台发送携带虚拟机的标识信息的密钥请求消息,接收所述云平台发送的根据所述...
【专利技术属性】
技术研发人员:刘新保,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。