[发明专利]虚拟磁盘加密方法、解密方法、装置及云服务器

说明书

技术领域

本发明涉及云计算技术领域，特别涉及虚拟磁盘加密方法、解密方法、装置及云服务器。

背景技术

云计算（Cloud Computing）是一种通过互联网提供动态易扩展的虚拟化资源的技术，通过云计算可以便捷地访问网络，并且通过配置大量的存储设备，可以实现海量数据的存储和管理。虚拟机（Virtual Machine，VM）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通常可以在一台物理计算机上模拟出多台VM，即在该物理计算机的存储设备上为每个VM划分一段存储空间，用于存储操作系统和用户数据，该存储空间可以映射为VM的虚拟磁盘，每个VM可以对应一个用户，上述模拟多台VM的物理计算机可以称为云计算系统中的云服务器。用户在终端上通过网络访问其在云服务器上的虚拟机后，就可以实现安装应用程序、保存应用数据、访问网络资源等。

在云计算系统中，由于云服务器为用户分配了VM，因此用户可以将原来保存在物理计算机中的数据资源保存到云服务器上的虚拟磁盘中。为了保证用户数据资源的安全性，现有技术在云服务器前端设置了加密设备，当用户向虚拟磁盘中存入数据时，由加密设备对用户的资源数据进行加密，相应的，当用户从虚拟磁盘中读出数据时，由加密设备对用户的资源数据进行解密。由此可知，在加密设备对数据的加解密过程中，用户是无法参与控制加解密过程的，如果云服务器或加密设备存在安全漏洞，则无法确保数据的安全性。

发明内容

本发明实施例中提供了虚拟磁盘加密方法、解密方法、装置及云服务器，以解决现有技术中通过加密设备对云服务器上的所有虚拟磁盘进行加密，而存在的安全性问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

第一方面，提供一种虚拟磁盘加密方法，所述方法包括：

云服务器获取虚拟机VM的第一对称密钥、第二对称密钥及接入所述VM的Ukey的Ukey证书；

所述云服务器通过所述Ukey证书对所述第二对称密钥进行加密获得第二密文密钥，以及通过所述第二对称密钥对所述第一对称密钥进行加密获得第一密文密钥；

所述云服务器将所述第一密文密钥发送至加密业务管理服务器，以使所述加密业务管理服务器保存所述VM的VM标识与所述第一密文密钥的对应关系；以及

所述云服务器通过所述第一对称密钥对所述VM的虚拟磁盘进行加密得到加密虚拟磁盘。

结合第一方面，在第一方面的第一种可能的实现方式中，所述云服务器获取VM的第一对称密钥、第二对称密钥及Ukey证书之前，所述方法还包括：

用户通过在所述VM上接入Ukey进行证书注册时，所述云服务器获取所述Ukey的Ukey证书；

所述云服务器将所述Ukey证书及所述VM的VM标识发送至所述加密业务管理服务器，以使所述加密业务管理服务器保存所述Ukey证书及所述VM标识之间的对应关系。

结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述云服务器获取VM的第一对称密钥、第二对称密钥，包括：

云服务器获取所述VM的VM标识；

所述云服务器将所述VM标识传输至所述加密业务管理服务器；

所述云服务器接收所述加密业务管理服务器传输的加密后的第一对称密钥和第二对称密钥，所述加密后的第一对称密钥和第二对称密钥为所述加密业务管理服务器获取到由加密机生成的第一对称密钥和第二对称密钥后，通过所述VM标识查找所述对应关系，获取到与所述VM标识对应的Ukey证书后，通过所述Ukey证书对所述第一对称密钥和第二对称密钥加密后的密钥；

所述云服务器通过所述Ukey解密所述加密后的第一对称密钥和第二对称密钥，得到所述第一对称密钥和第二对称密钥。

结合第一方面，或第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述云服务器获取虚拟机VM的第一对称密钥、第二对称密钥，包括：

所述云服务器为所述VM生成所述第一对称密钥和第二对称密钥。

结合第一方面，第一方面的第一种可能的实现方式，第一方面的第二种可能的实现方式，或第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述方法还包括：

所述云服务器将所述第二密文密钥保存在所述虚拟磁盘的磁盘头。

第二方面，提供一种虚拟磁盘解密方法，该方法用于对前述虚拟磁盘加密方法加密的虚拟磁盘进行解密，所述方法包括：