一种加密方法、解密方法和相关装置及系统,其中加密方法包括:加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术实施例涉及计算机
,尤其涉及一种加密方法、解密方法和相关装置及系统。
技术介绍
随着云计算技术的成熟,例如在云的弹性计算出租场景下,越来越多的企业用户将虚拟机(VM, Virtual Machine)的系统卷放在云上,这样企业用户就失去了对系统卷的控制,安全性能不能得到保证成为了企业用户最大的疑虑。存在的安全威胁可能有1)、云服务商的特权用户(例如管理员)可能非法挂载企业用户的系统卷从而查看数据。2)、黑客也可能非法入侵云中的用户虚拟机从而查看用户的数据,造成数据泄漏。这些疑虑也是企业用户将系统卷迁移到云端的最大障碍,为了推动云计算的进一歩普及应用,如何保障企业 用户的虚拟机系统卷的安全,以消除企业用户的这个疑虑,成为业界亟待解决的难题之一。
技术实现思路
本专利技术实施例提供了一种加密方法、解密方法和相关装置及系统,用于对用户的虚拟机中的系统卷进行安全保护。一方面,本专利技术实施例提供的虚拟机中系统卷的加密方法,包括加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。另ー方面,本专利技术实施例提供的虚拟机中系统卷的解密方法,包括加密客户端对加密的加密密钥进行解密;所述加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。另ー方面,本专利技术实施例提供的ー种加密客户端,包括发送单元,用于向密钥管理系统发送密钥申请请求消息,以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;接收单元,用于接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;加密单元,用于根据所述加密密钥对虚拟机中的系统卷进行加密。另ー方面,本专利技术实施例提供的虚拟机中系统卷的加密系统,包括所述加密客户端包括发送单元,用于向密钥管理系统发送密钥申请请求消息,以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;接收单元,用于接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;加密单元,用于根据所述加密密钥对虚拟机中的系统卷进行加密。所述密钥管理系统包括收发单元,用于接收所述加密客户端发送的密钥申请请求消息;密钥生成単元,用于根据所述密钥申请请求消息生成加密密钥;所述收发単元,用于向所述加密客户端发送密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥。 另ー方面,本专利技术实施例提供的另ー种加密客户端,包括密钥解密单元,用于对加密的加密密钥进行解密;系统卷解密单元,用于根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。从以上技术方案可以看出,本专利技术实施例具有以下优点在本专利技术的一实施例中,由加密客户端从密钥申请响应消息中得到加密密钥,并根据该加密密钥对虚拟机中的系统卷进行加密,由于本专利技术实施例中对虚拟机中的系统卷进行了加密,能够保障用户的虚拟机中系统卷的安全。在本专利技术另一实施例中,由加密客户端首先对加密的加密密钥进行解密,然后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密,由于在对虚拟机中的系统卷进行解密时,必须对加密密钥解密才能用这个解密后的加密密钥对系统卷进行解密,能够保障用户的虚拟机中的系统卷只有解密后才能够使用,避免了系统卷的泄露,有利于用户的虚拟机中系统卷的安全。附图说明图I为本专利技术实施例提供的虚拟机中系统卷的加密方法的一个实施例示意图;图2为本专利技术实施例提供的加密客户端和密钥管理系统之间的交互流程示意图;图3为本专利技术实施例提供的虚拟机中系统卷的解密方法的一个实施例示意图;图4为本专利技术实施例提供的ー种加密客户端的结构示意图;图5为本专利技术实施例提供的虚拟机中系统卷的加密系统的示意图;图6为本专利技术实施例提供的另ー种加密客户端的结构示意图。具体实施例方式本专利技术实施例提供了一种加密方法、解密方法和相关装置及系统,用于对用户的虚拟机中的系统卷进行安全保护。为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本专利技术一部分实施例,而非全部实施例。基于本专利技术中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。请參阅图1,本专利技术实施例提供的虚拟机中系统卷的加密方法的一个实施例,包括如下步骤101、加密客户端向密钥管理系统发送密钥申请请求消息,以使密钥管理系统根据密钥申请请求消息生成加密密钥。在本专利技术实施例中,加密客户端向密钥管理系统发送密钥申请请求消息,以向密钥管理系统请求分配加密密钥,在实际应用中,当用户需要对虚拟机加密时,用户可以向加密客户端下达加密卷指令,以使加密客户端对虚拟机中的系统卷加密,实现对用户的虚拟机中系统卷的安全保护。需要说明的是,加密客户端实现对用户的虚拟机中系统卷的安全保护,加密客户端可以部署在用户的虚拟机中,当用户需要对系统卷加密时可以调用,密钥管理系统是能够产生密钥以用于保护数据安全的系统,具体可以部署在云端,也可以部署在用户自己的虚拟机中,具体可以由用户需要来決定。密钥管理系统从加密客户端接收到密钥申请请求消息之后,密钥管理系统根据该密钥申请请求消息生成加密密钥(EK,Encryption Key),然后密钥管理系统将生成的加密密钥携帯在密钥申请响应消息中,密钥管理系统向加密客户端发送密钥申请响应消息。 需要说明的是,本专利技术实施例中描述的系统卷是相对于虚拟机中的数据卷来说的,比如数据卷指的是用户在虚拟机中存储资料、图片等所使用的卷,系统卷可以指的是虚拟机中安装的操作系统所使用的卷,系统卷除了包括虚拟机中的操作系统以外还可以包括用户在虚拟机上安装的应用程序。本专利技术实施例中,系统卷还可以包括虚拟机预启动操作系统。在实际应用中,虚拟机的操作系统和预启动操作系统都可以统称之为卷数据。102、加密客户端接收密钥管理系统发送的密钥申请响应消息,其中,密钥申请响应消息包括加密密钥。加密客户端接收密钥管理系统发送的密钥申请响应消息,通过该密钥申请响应消息,加密客户端就可以提取出密钥管理系统为加密客户端生成的加密密钥。需要说明的是,在本专利技术实施例中,当密钥管理系统为加密客户端发送密钥申请响应消息之后,为了保证密钥管理系统生成的加密密钥的安全性,密钥管理系统对自己生成的加密密钥进行加密存储,根据加密客户端的请求向加密客户端发送所述加密密钥,即密钥管理系统不能够以明文的形式直接保存加密密钥,而是加密后作为密文来保存,在实际应用中,密钥管理系统对加密密钥进行加密存储包括密钥管理系统生成根密钥(RK,Rook Key),密钥管理系统根据根密钥对加密密钥进行加密存储,密钥管理系统可以采用密钥推导函数(KDF,Key Derivation Function)根据根密钥加密加密密钥,例如,加密前的明文为EK,则采用RK加密后得到的密文EK’ = KDF (RK,EK),密钥管理系统采用的KDF具体可以为高级加密标准(AES, Advanced Encryption Standard)算法。另外,为了防止恶意者非法获取根密钥,本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种虚拟机中系统卷的加密方法,其特征在于,包括 加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥; 所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥; 所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。2.根据权利要求I所述的方法,其特征在于,所述方法还包括所述加密客户端存储所述加密密钥,以使所述加密客户端再次启动时,利用所述存储的加密密钥对所述虚拟机中的系统卷进行解密。3.根据权利要求2所述的方法,其特征在于,所述加密客户端存储所述加密密钥具体包括 所述加密客户端获取用户的认证密钥; 所述加密客户端根据所述认证密钥对所述加密密钥进行加密; 所述加密客户端将加密后的加密密钥保存在预启动操作系统的区域中。4.根据权利要求3所述的方法,其特征在于,所述预启动操作系统配置在云端的虚拟机中,所述预启动操作系统用于在所述虚拟机启动前对用户进行认证。5.根据权利要求4所述的方法,其特征在干,所述加密客户端根据所述认证密钥对所述加密密钥进行加密之后,还包括 所述加密客户端对所述认证密钥进行保护处理; 所述加密客户端将保护处理后的认证密钥保存在预启动操作系统的区域中。6.根据权利要求1-5任一所述的方法,其特征在于,所述方法还包括 所述密钥管理系统对所述加密密钥进行加密存储,以根据所述加密客户端的请求向所述加密客户端发送所述加密密钥。7.根据权利要求6所述的方法,其特征在于,所述密钥管理系统对所述加密密钥进行加密存储包括 所述密钥管理系统生成根密钥; 所述密钥管理系统根据所述根密钥对所述加密密钥进行加密存储。8.—种虚拟机中系统卷的解密方法,其特征在于,包括 加密客户端对加密的加密密钥进行解密; 所述加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。9.根据权利要求8所述的方法,其特征在于,若所述加密的加密密钥保存在预启动操作系统的区域中,所述加密客户端对加密的加密密钥进行解密包括 所述加密客户端加载所述虚拟机的预启动操作系统; 所述加密客户端接收用户输入的认证密钥; 所述加密客户端根据所述认证密钥对加密的加密密钥进行解密。10.根据权利要求9所述的方法,其特征在于,所述加密客户端接收用户输入的认证密钥之后,还包括 所述加密客户端对所述认证密钥进行保护处理,并将所述保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较,若一致则所述用户鉴权通过,触发所述加密客户端根据所述认证密钥对加密的加密密钥进行解密的步骤。11.ー种加密客户端,其特征在于,包括 发送单元,用于向密钥管理系统发送密钥...
【专利技术属性】
技术研发人员:何承东,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。