专利名称:虚拟磁盘加密方法、解密方法、装置及云服务器的制作方法
技术领域:
本发明涉及云计算技术领域,特别涉及虚拟磁盘加密方法、解密方法、装置及云服务器。
背景技术:
云计算(Cloud Computing)是一种通过互联网提供动态易扩展的虚拟化资源的技术,通过云计算可以便捷地访问网络,并且通过配置大量的存储设备,可以实现海量数据的存储和管理。虚拟机(Virtual Machine,VM)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通常可以在一台物理计算机上模拟出多台VM,即在该物理计算机的存储设备上为每个VM划分一段存储空间,用于存储操作系统和用户数据,该存储空间可以映射为VM的虚拟磁盘,每个VM可以对应一个用户,上述模拟多台 VM的物理计算机可以称为云计算系统中的云服务器。用户在终端上通过网络访问其在云服务器上的虚拟机后,就可以实现安装应用程序、保存应用数据、访问网络资源等。在云计算系统中,由于云服务器为用户分配了 VM,因此用户可以将原来保存在物理计算机中的数据资源保存到云服务器上的虚拟磁盘中。为了保证用户数据资源的安全性,现有技术在云服务器前端设置了加密设备,当用户向虚拟磁盘中存入数据时,由加密设备对用户的资源数据进行加密,相应的,当用户从虚拟磁盘中读出数据时,由加密设备对用户的资源数据进行解密。由此可知,在加密设备对数据的加解密过程中,用户是无法参与控制加解密过程的,如果云服务器或加密设备存在安全漏洞,则无法确保数据的安全性。
发明内容
本发明实施例中提供了虚拟磁盘加密方法、解密方法、装置及云服务器,以解决现有技术中通过加密设备对云服务器上的所有虚拟磁盘进行加密,而存在的安全性问题。为了解决上述技术问题,本发明实施例公开了如下技术方案第一方面,提供一种虚拟磁盘加密方法,所述方法包括云服务器获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书;所述云服务器通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥;所述云服务器将所述第一密文密钥发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系;以及所述云服务器通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。结合第一方面,在第一方面的第一种可能的实现方式中,所述云服务器获取VM的第一对称密钥、第二对称密钥及Ukey证书之前,所述方法还包括用户通过在所述VM上接入Ukey进行证书注册时,所述云服务器获取所述Ukey的Ukey证书;所述云服务器将所述Ukey证书及所述VM的VM标识发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述云服务器获取VM的第一对称密钥、第二对称密钥,包括云服务器获取所述VM的VM标识;所述云服务器将所述VM标识传输至所述加密业务管理服务器;所述云服务器接收所述加密业务管理服务器传输的加密后的第一对称密钥和第 二对称密钥,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥;所述云服务器通过所述Ukey解密所述加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥。结合第一方面,或第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述云服务器获取虚拟机VM的第一对称密钥、第二对称密钥,包括所述云服务器为所述VM生成所述第一对称密钥和第二对称密钥。结合第一方面,第一方面的第一种可能的实现方式,第一方面的第二种可能的实现方式,或第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述方法还包括所述云服务器将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。第二方面,提供一种虚拟磁盘解密方法,该方法用于对前述虚拟磁盘加密方法加密的虚拟磁盘进行解密,所述方法包括云服务器通过Ukey向加密业务管理服务器验证登录VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥;所述云服务器通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥;所述云服务器通过所述第二对称密钥解密所述第一密文密钥得到第一对称密钥;所述云服务器通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。第三方面,提供一种虚拟磁盘加密装置,所述装置包括获取单元,用于获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书;加密单元,用于通过所述获取单元获取的Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述获取单元获取的第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥;发送单元,用于将所述加密单元加密得到的第一密文密钥发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系;所述加密单元,还用于通过所述获取单元获取的第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。结合第三方面,在第三方面的第一种可能的实现方式中,所述获取单元,还用于当用户通过在所述VM上接入Ukey进行证书注册时,获取所述Ukey的Ukey证书;所述发送单元,还用于将所述Ukey证书及所述VM的VM标识发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述获取单元包括信息获取子单元,用于获取所述VM的VM标识;标识发送子单元,用于将所述信息获取子单元获取的所述VM标识传输至所述加密业务管理服务器;加密密钥接收子单元,用于接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述标识发送子单元发送的VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥;加密密钥解密子单元,用于通过所述Ukey解密所述加密密钥接收子单元接收到 的加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥。结合第三方面,或第三方面的第一种可能的实现方式,在第三方面的第三种可能的实现方式中,所述获取单元包括密钥生成子单元,用于为所述VM生成所述第一对称密钥和第二对称密钥。结合第三方面,第三方面的第一种可能的实现方式,第三方面的第二种可能的实现方式,或第三方面的第三种可能的实现方式,在第三方面的第四种可能的实现方式中,所述装置还包括保存单元,用于将所述加密单元加密得到的第二密文密钥保存在所述虚拟磁盘的磁盘头。第四方面,提供一种虚拟磁盘解密装置,该装置用于对前述虚拟磁盘加密装置加密的虚拟磁盘进行解密,所述装置包括获取单元,用于通过Ukey向加密业务管理服务器验证登录VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥;解密单元,用于通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥,通过所述第二对称密钥解密所述获取单元获取到的第一密文密钥得到第一对称密钥,并通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。第五方面,提供一种云服务器,所述云服务器包括总线,以及通过所述总线连接的处理器及网络接口,其中,所述处理器,用于获取VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书,通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥,将所述第一密文密钥通过所述网络接口发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系,通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。结合第五方面,在第五方面的第一种可能的实现方式中, 所述处理器,还用于当用户通过在所述VM上接入Ukey进行证书注册时,获取所述Ukey的Ukey证书,将所述Ukey证书及所述VM的VM标识通过所述网络接口发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。结合第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述处理器,具体用于获取所述VM的VM标识,通过所述网络接口将所述VM标识传输至所述加密业务管理服务器,以及接收所述加密业务管理服务器传输的加密后的第一对称密 钥和第二对称密钥,通过所述Ukey解密所述加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥,其中,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥。结合第五方面,或第五方面的第一种可能的实现方式,在第五方面的第三种可能的实现方式中,所述处理器,具体用于为所述VM生成所述第一对称密钥和第二对称密钥。结合第五方面,第五方面的第一种可能的实现方式,第五方面的第二种可能的实现方式,或第五方面的第三种可能的实现方式,在第五方面的第四种可能的实现方式中,所述处理器,还用于将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。结合第五方面,第五方面的第一种可能的实现方式,第五方面的第二种可能的实现方式,第五方面的第三种可能的实现方式,或第五方面的第四种可能的实现方式,在第五方面的第五种可能的实现方式中,所述处理器,还用于通过Ukey向加密业务管理服务器验证登录所述VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥,通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥,通过所述第二对称密钥解密所述第一密文密钥得到第一对称密钥,以及通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。结合第五方面,第五方面的第一种可能的实现方式,第五方面的第二种可能的实现方式,第五方面的第三种可能的实现方式,第五方面的第四种可能的实现方式,或第五方面的第五种可能的实现方式,在第五方面的第六种可能的实现方式中,所述云服务器还包括存储设备,所述存储设备划被分为多个存储空间,每个所述VM的虚拟磁盘映射到一个所述存储空间。本发明实施例中,云服务器在加密虚拟磁盘时,获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书,通过Ukey证书对第二对称密钥进行加密获得第二密文密钥,以及通过第二对称密钥对第一对称密钥进行加密获得第一密文密钥,将第一密文密钥发送至加密业务管理服务器,以及通过第一对称密钥对VM的虚拟磁盘进行加密得到加密虚拟磁盘;相应的,云服务器在解密虚拟磁盘时,从加密业务管理服务器获取与VM的VM标识对应的第一密文密钥,通过Ukey解密VM的第二密文密钥得到第二对称密钥,通过第二对称密钥解密第一密文密钥得到第一对称密钥,通过第一对称密钥对VM的加密虚拟磁盘进行解密。应用本发明实施例,通过云服务器、加密业务管理服务器及用户Ukey之间的三方交互实现了对VM的虚拟磁盘的加密,由于不同密钥由上述三方分散管理,因此提高了加密性能和加密安全性;并且,由于无需在云计算系统中设置加密设备,因此提高了云计算系统组网布局的灵活性,降低了组网成本。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图IA为本发明实施例所应用的一种场景示意图;图IB为本发明虚拟磁盘加密方法的一个实施例流程图; 图2为本发明虚拟磁盘加密方法的另一个实施例流程图;图3为本发明虚拟磁盘解密方法的实施例流程图;图4为应用本发明实施例的一种云计算网络架构示意图;图5为本发明虚拟磁盘加密装置的一个实施例框图;图6为本发明虚拟磁盘加密装置的另一个实施例框图;图7为本发明虚拟磁盘解密装置的实施例框图;图8为本发明云服务器的一个实施例框图;图9为本发明云服务器的另一个实施例框图。
具体实施例方式现有技术除了存在安全性问题之外,实现为每个虚拟机单独设置和管理密钥的难度也较大。本发明如下实施例提供了虚拟磁盘加密方法、解密方法、装置及云服务器。为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。参见图1A,为本发明实施例所应用的一种场景示意图图IA中包括云服务器、以及与云服务器相连的加密业务管理服务器,其中云服务器可以连接至少一个Ukey,加密业务管理服务器可以连接用于产生对称加密密钥的加密机。下面结合图IA示出的场景,对本发明实施例进行描述。参见图1B,为本发明虚拟磁盘加密方法的一个实施例流程图步骤101 :云服务器获取VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书。本发明实施例中,用户开通加密服务后可以从证书管理系统获得Ukey,UKey是一种通过通用串行总线接口 USB直接与终端设备相连、具有密码验证功能、可靠高速的小型存储设备,UKey可以用于存储个人信息或证书,UKey的内部密码算法可以为数据传输提供安全的管道。在云计算系统中,每个VM对应一个第一对称密钥和一个第二对称密钥,一个用户Ukey可以对应该用户的至少一个VM的虚拟磁盘,对此本发明实施例不进行限制。
通常用户通过远程接入终端接入到VM,当用户在远程接入终端上插入Ukey后,相当于该Ukey接入到该VM上,此时远程接入终端可以获得该Ukey的Ukey证书,并将该Ukey证书通过远程桌面协议(Remote Desktop Protocol, RDP)传输到云服务器,以使云服务器获取到接入VM的Ukey的Ukey证书。其中远程接入终端可以具体为瘦客户端(ThinClient, TC),或者软件客户端等。
其中,在获取VM的第一对称密钥和第二对称密钥时,云服务器可以采用如下实现方式在一种可能的实现方式中,用户通过Ukey进行证书注册时,云服务器可以获取到Ukey的证书序列号(Serial Number, SN)及Ukey证书,并可以将Ukey证书及所对应VM的VM标识发送至加密业务管理服务器,加密业务管理服务器可以保存上述Ukey证书及VM标识之间的对应关系;当云服务器进行虚拟磁盘加密时,云服务器可以获取VM的VM标识,将VM标识传输至加密业务管理服务器,加密业务管理服务器通过VM标识查找保存的对应关系,获取到与VM标识对应的Ukey证书后,通过该Ukey证书对由加密机生成的第一对称密钥和第二对称密钥进行加密,并将加密后的第一对称密钥和第二对称密钥发送到云服务器,云服务器通过Ukey解密该加密后的第一对称密钥和第二对称密钥,得到第一对称密钥和第二对称密钥。在另一种可能的实现方式中,云服务器可以直接为VM生成第一对称密钥和第二对称密钥。步骤102 :云服务器通过Ukey证书对第二对称密钥进行加密获得第二密文密钥,以及通过第二对称密钥对第一对称密钥进行加密获得第一密文密钥。步骤103 :云服务器将第一密文密钥发送至加密业务管理服务器,以使加密业务管理服务器保存VM的VM标识与第一密文密钥的对应关系。当用户通过Ukey进行证书注册时,加密业务管理服务器通过与云服务器交互保存了 Ukey的Ukey证书及VM标识之间的对应关系,本步骤中,当云服务器将第一密文密钥发送至加密业务管理服务器后,加密业务管理服务器可以在上述对应关系中进一步保存VM的VM标识与第一密文密钥的对应关系,即每个VM对应唯一的第一密文密钥,后续当用户访问VM的加密虚拟磁盘时,可以通过VM标识找到该VM对应的第一密文密钥。步骤104 :云服务器通过第一对称密钥对VM的虚拟磁盘进行加密得到加密虚拟磁盘。由此可知,通过上述的加密过程,其中用户持有Ukey,VM的虚拟磁盘上保存了通过Ukey证书加密的第二密文密钥,加密业务管理服务器上保存了通过第二对称密钥加密的第一密文密钥,因此无论从哪一方单独获取到密钥都无法解密虚拟磁盘,虚拟磁盘加密安全性较高。需要说明的是,本实施例对上述步骤102、103和104之间的执行顺序不做限定,例如,也可以先执行步骤104中的通过第一对称密钥对VM的虚拟磁盘进行加密得到加密虚拟磁盘后,再执行将第一密文密钥发送至加密业务管理服务器的步骤103。由上述实施例可见,该实施例通过云服务器、加密业务管理服务器及用户Ukey之间的三方交互实现了对VM的虚拟磁盘的加密,由于不同密钥由上述三方分散管理,因此提高了加密性能和加密安全性;并且,由于无需在云计算系统中设置加密设备,因此提高了云计算系统组网布局的灵活性,降低了组网成本。同时,能够针对每个虚拟机来设置和管理加解密过程所需的密钥。参见图2,为本发明虚拟磁盘加密方法的另一实施例流程图,该实施例描述了证书注册及对虚拟磁盘进行加密的详细过程步骤201 :用户通过在VM上接入Ukey进行证书注册时,云服务器获取Ukey的Ukey证书。本发明实施例中,用户开通加密服务后可以获得Ukey,UKey是一种通过通用串行总线接口 USB直接与终端设备相连、具有密码验证功能、可靠高速的小型存储设备,UKey可以用于存储个人信息或证书,UKey的内部密码算法可以为数据传输提供安全的管道。当用户通过在VM上接入Ukey进行证书注册时,云服务器可以获取到该Ukey的Ukey证书,同时该Ukey还具有与Ukey证书对应的证书私钥,通过Ukey证书加密的信息必须由该Ukey通过证书私钥进行解密;该Ukey通过证书私钥计算的签名只能通过Ukey证书进行签名的验证。后续当用户访问该VM时,都可以通过接入Ukey以提高访问安全性,实现对该VM的虚拟磁盘的加密和解密。步骤202 :云服务器将Ukey证书及VM的VM标识发送至加密业务管理服务器。步骤203 :加密业务管理服务器保存Ukey证书及VM标识之间的对应关系。执行完步骤203后,云服务器通过与加密业务管理服务器之间的信息交互完成了Ukey的证书注册过程,此时加密业务管理服务器保存了 Ukey证书及VM标识之间的对应关系O步骤204 :云服务器获取VM的第一对称密钥、第二对称密钥及接入VM的Ukey的Ukey证书。在本发明实施例示出的云计算系统中,每个VM可以对应一个第一对称密钥和一个第二对称密钥,一个用户Ukey可以对应该用户的至少一个VM的虚拟磁盘,对此本发明实施例不进行限制。通常用户通过远程接入终端接入到VM,当用户在远程接入终端上插入Ukey后,相当于该Ukey接入到该VM上,此时远程接入终端可以获得该Ukey的Ukey证书,并将该Ukey证书通过RDP协议传输到云服务器,以使云服务器获取到接入VM的Ukey的Ukey证书。其中远程接入终端可以具体为TC,或者软件客户端等。其中,在获取VM的第一对称密钥和第二对称密钥时,云服务器可以采用如下实现方式在一种可能的实现方式中,用户通过Ukey进行证书注册时,云服务器可以获取到Ukey的证书SN及Ukey证书,并可以将Ukey证书及所对应VM的VM标识发送至加密业务管理服务器,加密业务管理服务器保存上述Ukey证书及VM标识之间的对应关系;当云服务器进行虚拟磁盘加密时,云服务器可以获取Ukey所接入VM的VM标识,将该VM标识传输至加密业务管理服务器,加密业务管理服务器通过VM标识查找保存的对应关系,获取到与VM标识对应的Ukey证书后,通过该Ukey证书对由加密机生成的第一对称密钥和第二对称密钥进行加密,并将加密后的第一对称密钥和第二对称密钥发送到云服务器,云服务器通过Ukey解密该加密后的第一对称密钥和第二对称密钥,得到第一对称密钥和第二对称密钥,即云服务器可以将加密后的第一对称密钥和第二对称密钥输入到该Ukey,由该Ukey根据所保存的证书私钥对该加密后的第一对称密钥和第二对称密钥进行解密得到第一对称密钥和第二对称密钥,并将该第一对称密钥和第二对称密钥返回给云服务器。在另一种可能的实现方式中,云服务器可以直接为VM生成第一对称密钥和第二对称密钥。步骤205 :云服务器通过Ukey证书对第二对称密钥进行加密获得第二密文密钥。步骤206 :云服务器将第二密文密钥保存在虚拟磁盘的磁盘头。步骤207 :云服务器通过第二对称密钥对第一对称密钥进行加密获得第一密文密钥。步骤208 :云服务器将第一密文密钥发送至加密业务管理服务器。步骤209 :加密业务管理服务器保存VM的VM标识与第一密文密钥的对应关系。·当用户通过Ukey进行证书注册时,加密业务管理服务器通过与云服务器交互保存了 Ukey的Ukey证书及VM标识之间的对应关系,本步骤中,当云服务器将第一密文密钥发送至加密业务管理服务器后,加密业务管理服务器可以在上述对应关系中进一步保存VM的VM标识与第一密文密钥的对应关系,即每个VM对应唯一的第一密文密钥,后续当用户访问VM的加密虚拟磁盘时,可以通过VM标识找到该VM对应的第一密文密钥。步骤210 :云服务器通过第一对称密钥对VM的虚拟磁盘进行加密得到加密虚拟磁盘。由此可知,通过上述的加密过程,其中用户持有Ukey,VM的虚拟磁盘上保存了通过Ukey证书加密的第二密文密钥,加密业务管理服务器上保存了通过第二对称密钥加密的第一密文密钥,因此无论从哪一方单独获取到密钥都无法解密虚拟磁盘,虚拟磁盘加密安全性较高。由上述实施例可见,该实施例通过云服务器、加密业务管理服务器及用户Ukey之间的三方交互实现了对VM的虚拟磁盘的加密,由于不同密钥由上述三方分散管理,因此提高了加密性能和加密安全性;并且,由于无需在云计算系统中设置加密设备,因此提高了云计算系统组网布局的灵活性,降低了组网成本。与本发明虚拟磁盘加密方法的实施例相对应,本发明还提供了虚拟磁盘解密方法的实施例,该虚拟磁盘解密方法的实施例用于对前述虚拟磁盘加密方法实施例加密的虚拟磁盘进行解密。参见图3,为本发明虚拟磁盘解密方法的实施例流程图步骤301 :云服务器通过Ukey向加密业务管理服务器验证登录VM的用户身份后,从加密业务管理服务器获取与VM的VM标识对应的第一密文密钥。在用户通过Ukey进行证书注册时,加密业务管理服务器通过与云服务器交互保存了 Ukey的Ukey证书及VM标识之间的对应关系。本发明实施例中,用户要访问VM的虚拟磁盘时,通过Ukey向加密业务管理服务器验证登录VM的用户身份,其中云服务器可以通过公钥基础设施(Public Key Infrastructure, PKI)技术实现上述认证,即云服务器将Ukey计算的用户签名,以及VM标识发送到加密业务管理服务器,加密业务管理服务器根据VM标识查找对应关系,获取该Ukey的Ukey证书,并用Ukey证书验证用户签名,如果验证通过,则说明用户身份合法;此时,加密业务管理服务器可以进一步从保存的对应关系中获取VM标识对应的第一密文密钥,并将该第一密文密钥发送给云服务器。
步骤302 :云服务器通过Ukey解密VM的第二密文密钥得到第二对称密钥。在加密过程中,云服务器通过Ukey证书对第二对称密钥进行加密得到第二密文密钥,在解密时,云服务器可以将第二密文密钥传输给Ukey,由Ukey通过保存的证书私钥对该第二密文密钥进行解密得到第二对称密钥后,返回给云服务器。步骤303 :云服务器通过第二对称密钥解密第一密文密钥得到第一对称密钥。步骤304 :云服务器通过第一对称密钥对VM的加密虚拟磁盘进行解密。由于前述图I和图2示出的实施例通过云服务器、加密业务管理服务器及用户Ukey之间的三方交互实现了对VM的虚拟磁盘的加密,相应的,应用本实施例通过三方分散管理的密钥对加密的虚拟磁盘进行解密,由于不同密钥由上述三方分散管理,因此提高了加密和解密性能及安全性;并且,由于无需在云计算系统中设置加密设备,因此提高了云计算系统组网布局的灵活性,降低了组网成本。参见图4,为应用前述方法实施例的一种云计算网络架构示意图该网络架构中包括云服务系统和加密业务管理服务器;其中,云服务系统可以进一步包括计算设备和存储设备,上述计算设备和存储设备可以集成在一个云服务器中,或者也可以将计算设备设置在一个云服务器中,存储设备单独设置,对此本发明实施例不进行限制。图4中,存储设备的存储空间被划分为n份(n为自然数),每个存储空间映射为一个VM的虚拟磁盘,η个存储空间共映射为n个VM的虚拟磁盘。其中,每个VM可以对应一个第一对称密钥和一个第二对称密钥,一个用户Ukey可以对应该用户的至少一个VM的虚拟磁盘。结合图4示出的网络架构,在进行虚拟磁盘加密时,用户通过远程接入终端接入到对应的VM,该远程接入终端可以具体为TC,或者软件客户端等;当用户在远程接入终端上插入Ukey后,相当于该Ukey接入到该VM上,此时远程接入终端可以获得该Ukey的Ukey证书,并将该Ukey证书通过RDP协议传输到计算设备,以使计算设备获取到接入VM的Ukey的Ukey证书,同时计算设备还可以获取到VM的第一对称密钥和第二对称密钥,计算设备通过Ukey证书对第二对称密钥进行加密获得第二密文密钥,将第二密文密钥保存在该VM的虚拟磁盘的磁盘头,通过第二对称密钥对第一对称密钥进行加密获得第一密文密钥,将第一密文密钥发送到加密业务管理服务器,由加密业务管理服务器进行保存,同时通过第一对称密钥对VM的虚拟磁盘进行加密;相应的,在进行虚拟磁盘解密时,Ukey接入到VM,同时计算设备可以将VM的VM标识发送到加密业务管理服务器,由加密业务管理服务器根据VM标识查找到对应的第一密文密钥,并将第一密文密钥返回给计算设备,计算设备通过接入该VM的Ukey解密保存在该VM的虚拟磁盘头的第二密文密钥,得到第二对称密钥,并通过第二对称密钥解密第一密文密钥,得到第一对称密钥,最终通过第一对称密钥对该VM的加密虚拟磁盘进行解密。上述对虚拟磁盘的加密和解密的具体描述可以参见前述图I至图3示出的实施例,在此不再赘述。与本发明虚拟磁盘加密方法和虚拟磁盘解密方法的实施例相对应,本发明还提供了虚拟磁盘加密装置、虚拟磁盘解密装置及云服务器的实施例。参见图5,为本发明虚拟磁盘加密装置的一个实施例框图该虚拟磁盘加密装置包括获取单元510、加密单元520和发送单元530。
其中,获取单元510,用于获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书;加密单元520,用于通过所述获取单元510获取的Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述获取单元510获取的第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥;
发送单元530,用于将所述加密单元520加密得到的第一密文密钥发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系;所述加密单元520,还用于通过所述获取单元510获取的第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。在一个具体的实施例中,上述获取单元510可以包括(图5中未示出)信息获取子单元,用于获取所述VM的VM标识;标识发送子单元,用于将所述信息获取子单元获取的所述VM标识传输至所述加密业务管理服务器;加密密钥接收子单元,用于接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述标识发送子单元发送的VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥;加密密钥解密子单元,用于通过所述Ukey解密所述加密密钥接收子单元接收到的加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥。在另一个具体的实施例中,上述获取单元510可以包括(图5中未示出)密钥生成子单元,用于为所述VM生成所述第一对称密钥和第二对称密钥。参见图6,为本发明虚拟磁盘加密装置的另一个实施例框图该虚拟磁盘加密装置包括获取单元610、加密单元620、发送单元630和保存单元640。其中,所述获取单元610,用于当用户通过在所述VM上接入Ukey进行证书注册时,获取所述Ukey的Ukey证书;所述发送单元630,用于将所述获取单元610获取的Ukey证书及所述VM的VM标识发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM的VM标识之间的对应关系;获取单元610,还用于获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书;加密单元620,用于通过所述获取单元610获取的Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述获取单元610获取的第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥;发送单元630,还用于将所述加密单元620加密得到的第一密文密钥发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系;
所述加密单元620,还用于通过所述获取单元610获取的第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘;保存单元640,用于将所述加密单元620加密得到的第二密文密钥保存在所述虚拟磁盘的磁盘头。在一个具体的实施例中,上述获取单元610可以包括(图6中未示出)信息获取子单元,用于获取所述VM的VM标识;标识发送子单元,用于将所述信息获取子单元获取的所述VM标识传输至所述加密业务管理服务器;加密密钥接收子单元,用于接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理 服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述标识发送子单元发送的VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥;加密密钥解密子单元,用于通过所述Ukey解密所述加密密钥接收子单元接收到的加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥。在另一个具体的实施例中,上述获取单元610可以包括(图6中未示出)密钥生成子单元,用于为所述VM生成所述第一对称密钥和第二对称密钥。参见图7,为本发明虚拟磁盘解密装置的实施例框图该虚拟磁盘解密装置包括获取单元710和解密单元720。其中,获取单元710,用于通过Ukey向加密业务管理服务器验证登录VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥;解密单元720,用于通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥,通过所述第二对称密钥解密所述获取单元710获取到的第一密文密钥得到第一对称密钥,并通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。参见图8,为本发明云服务器的一个实施例框图该云服务器包括总线810,以及通过所述总线810连接的处理器820及网络接口830。其中,所述处理器820,用于获取VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书,通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥,将所述第一密文密钥通过所述网络接口 830发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系,通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。可选的,所述处理器820,还可以用于当用户通过在所述VM上接入Ukey进行证书注册时,获取所述Ukey的Ukey证书,将所述Ukey证书及所述VM的VM标识通过所述网络接口 830发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。可选的,所述处理器820,可以具体用于获取所述VM的VM标识,通过所述网络接口830将所述VM标识传输至所述加密业务管理服务器,以及接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,通过所述Ukey解密所述加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥,其中,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥。可选的,所述处理器820,可以具体用于为所述VM生成所述第一对称密钥和第二对称密钥。可选的,所述处理器820,还可以用于将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。进一步,所述处理器,还可以用于通过Ukey向加密业务管理服务器验证登录所述VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥,通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥,通过所述第二对称密钥 解密所述第一密文密钥得到第一对称密钥,以及通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。参见图9,为本发明云服务器的另一个实施例框图该云服务器包括总线910,以及通过所述总线910连接的处理器920、网络接口930及存储设备940。图9中示出的云服务器与图8示出的云服务器的不同在于,图9中的云服务器进一步包含了存储设备940,该存储设备940划分为多个存储空间,每个所述VM的虚拟磁盘映射到一个划分得到的存储空间。而图8中示出的云服务器不包含用于映射VM的存储设备,即应用图8所示的云服务器时,存储设备可以独立于云服务器单独设置,例如单独设置一个与云服务器交互的存储服务器,对此本发明实施例不进行限制。图9中的总线910,以及通过所述总线910连接的处理器920、网络接口 930的相关描述可以参见图8所示的实施例,在此不再赘述。由上述实施例可见,云服务器在加密虚拟磁盘时,获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书,通过Ukey证书对第二对称密钥进行加密获得第二密文密钥,以及通过第二对称密钥对第一对称密钥进行加密获得第一密文密钥,将第一密文密钥发送至加密业务管理服务器,以及通过第一对称密钥对VM的虚拟磁盘进行加密得到加密虚拟磁盘;相应的,云服务器在解密虚拟磁盘时,从加密业务管理服务器获取与VM的VM标识的第一密文密钥,通过Ukey解密VM的第二密文密钥得到第二对称密钥,通过第二对称密钥解密第一密文密钥得到第一对称密钥,通过第一对称密钥对VM的加密虚拟磁盘进行解密。应用本发明实施例,通过云服务器、加密业务管理服务器及用户Ukey之间的三方交互实现了对VM的虚拟磁盘的加密,由于不同密钥由上述三方分散管理,因此提高了加密性能和加密安全性;并且,由于无需在云计算系统中设置加密设备,因此提高了云计算系统组网布局的灵活性,降低了组网成本。本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种虚拟磁盘加密方法,其特征在于,所述方法包括 云服务器获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书; 所述云服务器通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥; 所述云服务器将所述第一密文密钥发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系;以及 所述云服务器通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。
2.根据权利要求I所述的方法,其特征在于,所述云服务器获取VM的第一对称密钥、第二对称密钥及Ukey证书之前,所述方法还包括 用户通过在所述VM上接入Ukey进行证书注册时,所述云服务器获取所述Ukey的Ukey证书; 所述云服务器将所述Ukey证书及所述VM的VM标识发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。
3.根据权利要求2所述的方法,其特征在于,所述云服务器获取VM的第一对称密钥、第二对称密钥,包括 云服务器获取所述VM的VM标识; 所述云服务器将所述VM标识传输至所述加密业务管理服务器; 所述云服务器接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥; 所述云服务器通过所述Ukey解密所述加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥。
4.根据权利要求I或2所述的方法,其特征在于,所述云服务器获取虚拟机VM的第一对称密钥、第二对称密钥,包括 所述云服务器为所述VM生成所述第一对称密钥和第二对称密钥。
5.根据权利要求I至4任意一项所述的方法,其特征在于,所述方法还包括 所述云服务器将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。
6.一种虚拟磁盘解密方法,其特征在于,用于对如权利要求I至5任意一项所述虚拟磁盘加密方法加密的虚拟磁盘进行解密,所述方法包括 云服务器通过Ukey向加密业务管理服务器验证登录VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥; 所述云服务器通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥; 所述云服务器通过所述第二对称密钥解密所述第一密文密钥得到第一对称密钥; 所述云服务器通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。
7.—种虚拟磁盘加密装置,其特征在于,所述装置包括获取单元,用于获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书; 加密单元,用于通过所述获取单元获取的Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述获取单元获取的第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥; 发送单元,用于将所述加密单元加密得到的第一密文密钥发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系; 所述加密单元,还用于通过所述获取单元获取的第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。
8.根据权利要求7所述的装置,其特征在于, 所述获取单元,还用于当用户通过在所述VM上接入Ukey进行证书注册时,获取所述Ukey的Ukey证书; 所述发送单元,还用于将所述Ukey证书及所述VM的VM标识发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。
9.根据权利要求8所述的装置,其特征在于,所述获取单元包括 信息获取子单元,用于获取所述VM的VM标识; 标识发送子单元,用于将所述信息获取子单元获取的所述VM标识传输至所述加密业务管理服务器; 加密密钥接收子单元,用于接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述标识发送子单元发送的VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥; 加密密钥解密子单元,用于通过所述Ukey解密所述加密密钥接收子单元接收到的加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥。
10.根据权利要求7或8所述的装置,其特征在于,所述获取单元包括 密钥生成子单元,用于为所述VM生成所述第一对称密钥和第二对称密钥。
11.根据权利要求7至10任意一项所述的装置,其特征在于,所述装置还包括 保存单元,用于将所述加密单元加密得到的第二密文密钥保存在所述虚拟磁盘的磁盘头。
12.—种虚拟磁盘解密装置,其特征在于,用于对如权利要求7至11任意一项所述虚拟磁盘加密装置加密的虚拟磁盘进行解密,所述装置包括 获取单元,用于通过Ukey向加密业务管理服务器验证登录VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥; 解密单元,用于通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥,通过所述第二对称密钥解密所述获取单元获取到的第一密文密钥得到第一对称密钥,并通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解密。
13.—种云服务器,其特征在于,所述云服务器包括总线,以及通过所述总线连接的处理器及网络接口,其中, 所述处理器,用于获取VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书,通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥,将所述第一密文密钥通过所述网络接口发送至加密业务管理服务器,以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系,通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。
14.根据权利要求13所述的云服务器,其特征在于, 所述处理器,还用于当用户通过在所述VM上接入Ukey进行证书注册时,获取所述Ukey的Ukey证书,将所述Ukey证书及所述VM的VM标识通过所述网络接口发送至所述加密业务管理服务器,以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。
15.根据权利要求14所述的云服务器,其特征在于, 所述处理器,具体用于获取所述VM的VM标识,通过所述网络接口将所述VM标识传输至所述加密业务管理服务器,以及接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥,通过所述Ukey解密所述加密后的第一对称密钥和第二对称密钥,得到所述第一对称密钥和第二对称密钥,其中,所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后,通过所述VM标识查找所述对应关系,获取到与所述VM标识对应的Ukey证书后,通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥。
16.根据权利要求13或14所述的云服务器,其特征在于, 所述处理器,具体用于为所述VM生成所述第一对称密钥和第二对称密钥。
17.根据权利要求13至16任意一项所述的云服务器,其特征在于, 所述处理器,还用于将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。
18.根据权利要求13至17任意一项所述的云服务器,其特征在于, 所述处理器,还用于通过Ukey向加密业务管理服务器验证登录所述VM的用户身份后,从所述加密业务管理服务器获取与所述VM的VM标识对应的第一密文密钥,通过所述Ukey解密所述VM的第二密文密钥得到第二对称密钥,通过所述第二对称密钥解密所述第一密文密钥得到第一对称密钥,以及通过所述第一对称密钥对所述VM的加密虚拟磁盘进行解LU O
19.根据权利要求13至18任意一项所述的云服务器,其特征在于,所述云服务器还包括存储设备,所述存储设备被划分为多个存储空间,每个所述VM的虚拟磁盘映射到一个所述存储空间。
全文摘要
本发明公开了虚拟磁盘加密方法、解密方法、装置及云服务器,该加密方法包括云服务器获取VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书;云服务器通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥,以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥;所述云服务器将所述第一密文密钥发送至加密业务管理服务器;以及所述云服务器通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。本发明实施例通过云服务器、加密业务管理服务器及用户Ukey之间的三方交互实现了对VM的虚拟磁盘的加密,由于不同密钥由上述三方分散管理,因此提高了加密性能和加密安全性。
文档编号H04L9/32GK102984273SQ20121053883
公开日2013年3月20日 申请日期2012年12月13日 优先权日2012年12月13日
发明者王鹏 申请人:华为技术有限公司