一种云平台中虚拟机加密方法、装置、设备及介质与流程

1.本发明涉及虚拟机加密领域，尤其是涉及一种云平台中虚拟机加密方法、装置、设备及介质。


背景技术：

2.随着云计算的发展，越来越多的企业应用迁移到云平台上。企业上云之后，企业的核心数据资产如何保证信息安全，防止信息泄密成为首要解决的问题。
3.为防止信息泄密，通常是采用针对虚拟机磁盘加密的方式。该方式采用对称密钥把虚拟磁盘的明文进行加密成虚拟磁盘密文后，然后再进行数据存储。为保证密钥安全，该加密密钥由单独的密钥管理系统kms(key management system，密钥管理系统)保存。云平台在连接kms时，需要通过kms的认证后方可获取相关的密钥。主流的kms系统通常server(服务端) client(客户端)方式进行认证，即kms作为server端，云平台作为client端进行网络连接，云平台必须出具从kms系统下载的client证书才能通过认证。
4.但是，这种单向认证client端身份的认证方式针对1 1(即1个云平台下只配置有1个kms系统)应用场景能够很好的进行支撑。但是针对1 n(即1个云平台配置了n个kms系统，n》1)的应用场景就存在很多问题。当云平台用从第一个kms系统上获取某虚拟机对应的密钥后，云平台中的虚拟机利用对应密钥进行虚拟磁盘加密存储。例如管理员又配置了第二个kms系统的client证书，当云平台对上述虚拟机进行解密时，就会从第二个kms系统上获取该虚拟机对应的密钥。第二个kms系统上会认为该请求是一个新的密钥请求，于是第二个kms系统会创建另外一个全新的密钥返回给云平台(密钥管理系统会查询该密钥id，当密钥id不存在时，会创建该密钥，然后再返回给云平台)。但是该全新的密钥跟原来的第一个kms创建的密钥肯定不相同，所以会导致该虚拟机解密不成功。如果强制解密还可能导致原加密数据丢失。


技术实现要素：

5.本发明为了解决现有技术中存在的问题，创新提出了一种云平台中虚拟机加密方法、装置、设备及介质，有效解决由于现有技术造成云平台中虚拟机加密后从非关联的kms系统获取密钥，使得数据不能正确加解密的问题，有效地提高了云平台中虚拟机加密的可用性。
6.本发明第一方面提供了一种云平台中虚拟机加密方法，包括：
7.构建kms系统池，所述kms系统池中配置多个校验后的kms系统；
8.创建若干加密策略，每个加密策略与kms系统池中的经过校验后的一个kms系统绑定；
9.云平台中的待加密的虚拟机从所有加密策略选择一个加密策略，将选择的加密策略绑定到待加密虚拟机上；
10.通过选择的加密策略对应绑定的kms系统上获取对称加密密钥，并对待加密虚拟
机的所有虚拟磁盘加密。
11.可选地，构建kms系统池，所述kms系统池中配置多个校验后的kms系统具体包括：
12.获取输入的kms系统信息，所述kms系统信息至少包括client证书；
13.在当前输入的kms系统上创建对称密钥，利用创建的对称密钥对预设特征值进行加密得到密文，并利用对称密钥对密文解密得到明文，校验明文跟预设特征值是否相同，如果相同，则检验通过；如果不同，提示错误；
14.校验通过后，计算当前输入的kms系统中client证书的哈希值，以计算的哈希值为特征条件，查询kms系统池中的kms系统数据库中是否已存在对应的存储记录，如果没有，则新增当前输入的kms系统信息记录到数据库中；如果已有对应存储记录，给出错误提示。
15.进一步地，所述kms系统信息还包括kms系统的ip信息以及端口信息，所述ip信息用于确定kms系统，所述端口信息用于kms系统通信。
16.可选地，创建若干加密策略，每个加密策略与kms系统池中的经过校验后的一个kms系统绑定具体包括：
17.创建若干加密策略，根据系统管理员的输入信息，在kms系统池中为每个加密策略绑定一个kms系统；
18.根据系统管理员的输入信息，从存储池中为每个加密策略绑定一个存储域，所述存储域中包括若干待加密虚拟机的所有磁盘；
19.对加密策略进行命名，将创建完成的若干加密策略组成加密策略列表供云平台下的待加密虚拟机进行选择。
20.进一步地，云平台中的待加密的虚拟机从所有加密策略选择一个加密策略，将选择的加密策略绑定到待加密虚拟机上具体包括：
21.云平台中的待加密虚拟机进行加密时，根据系统管理员的输入信息，确定一个加密策略；
22.检查待加密虚拟机的所有磁盘是否均位于确定的加密策略对应的存储域中；
23.如果均位于，检查待加密虚拟机所在的宿主机是否能够与确定的加密策略绑定的kms系统通信连接，如果能够通信连接，将选择的加密策略绑定到待加密虚拟机上。
24.可选地，还包括：
25.加密后的虚拟机进行解密时，加密后的虚拟机所在的宿主机从加密时，加密策略绑定的kms系统获取对称密钥，对加密后虚拟机的所有虚拟磁盘进行解密。
26.可选地，加密策略支持更新操作，所述更新操作包括但不限于新增、修改、删除。
27.本发明第二方面提供了一种云平台中虚拟机加密装置，包括：
28.构建模块，构建kms系统池，所述kms系统池中配置多个校验后的kms系统；
29.第一绑定模块，创建若干加密策略，每个加密策略与kms系统池中的经过校验后的一个kms系统绑定；
30.第二绑定模块，云平台中的待加密的虚拟机从所有加密策略选择一个加密策略，将选择的加密策略绑定到待加密虚拟机上；
31.加密模块，通过选择的加密策略对应绑定的kms系统上获取对称加密密钥，并对待加密虚拟机的所有虚拟磁盘加密。
32.本发明第三方面提供了一种电子设备，包括：存储器，用于存储计算机程序；处理
器，用于执行所述计算机程序时实现如本发明明第一方面所述的一种云平台中虚拟机加密方法的步骤。
33.本发明第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如本发明第一方面所述的一种云平台中虚拟机加密方法的步骤。
34.本发明采用的技术方案包括以下技术效果：
35.1、本发明通过加密策略分别与kms系统与待加密虚拟机绑定起来，使得云平台下可以同时使用多个kms系统，防止云平台下待加密虚拟机从非绑定关联的kms系统获取密钥，避免了数据不能解密的场景，同时也使得云平台下可以同时配置多个厂商的kms系统，提高了云平台的兼容性和可用性。
36.2、本发明技术方案中kms系统池中配置多个校验后的kms系统，校验通过后，计算当前输入的kms系统中client证书的哈希值，以计算的哈希值为特征条件，查询kms系统池中的kms系统数据库中是否已存在对应的存储记录，如果没有，则新增当前输入的kms系统信息记录到数据库中，保证了kms系统池中的多个kms系统均为可直接使用的kms系统，也便于kms系统的查询获取。
37.3、本发明技术方案中根据系统管理员的输入信息，从存储池中为每个加密策略绑定一个存储域，并对加密策略进行命名，将创建完成的若干加密策略组成加密策略列表供云平台下的待加密虚拟机进行选择，便于根据系统管理员输入信息确定待加密虚拟机的加密策略。
38.4、本发明技术方案中加密策略支持更新操作，更新操作包括但不限于新增、修改、删除，保证了加密策略的可用性以及可靠性。
39.应当理解的是以上的一般描述以及后文的细节描述仅是示例性和解释性的，并不能限制本发明。
附图说明
40.为了更清楚说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单介绍，显而易见的，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
41.图1为本发明方案中实施例一方法的一流程示意图；
42.图2为本发明方案中实施例一方法中步骤s1的流程示意图；
43.图3为本发明方案中实施例一方法中步骤s2的流程示意图；
44.图4为本发明方案中实施例一方法中步骤s3的流程示意图；
45.图5为本发明方案中实施例一方法的另一流程示意图；
46.图6为本发明方案中实施例二装置的一结构示意图；
47.图7为本发明方案中实施例二装置的另一结构示意图；
48.图8为本发明方案中实施例三设备的结构示意图。
具体实施方式
49.为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发
明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
50.实施例一
51.如图1所示，本发明提供了一种云平台中虚拟机加密方法，包括：
52.s1，构建kms系统池，所述kms系统池中配置多个校验后的kms系统；
53.s2，创建若干加密策略，每个加密策略与kms系统池中的经过校验后的一个kms系统绑定；
54.s3，云平台中的待加密的虚拟机从所有加密策略选择一个加密策略，将选择的加密策略绑定到待加密虚拟机上；
55.s4，通过选择的加密策略对应绑定的kms系统上获取对称加密密钥，并对待加密虚拟机的所有虚拟磁盘加密。
56.其中，如图2所示，步骤s1具体包括：
57.s11，获取输入的kms系统信息，所述kms系统信息至少包括client证书；
58.s12，在当前输入的kms系统上创建对称密钥，利用创建的对称密钥对预设特征值进行加密得到密文，并利用对称密钥对密文解密得到明文；
59.s13，校验明文跟预设特征值是否相同，如果校验结果为是，则执行步骤s14，如果校验结果为否，则执行步骤s15；
60.s14，则检验通过；
61.s15，提示错误；
62.s16，校验通过后，计算当前输入的kms系统中client证书的哈希值，以计算的哈希值为特征条件，查询kms系统池中的kms系统数据库中是否已存在对应的存储记录，如果查询结果为是，则执行步骤s17，如果查询结果为否，则执行步骤s18；
63.s17，给出错误提示。
64.s18，则新增当前输入的kms系统信息记录到数据库中。
65.其中，在步骤s11中，kms系统信息除了client证书，还包括kms系统的ip信息以及端口信息，ip信息用于确定kms系统，端口信息用于kms系统通信。
66.在步骤s12中，预设特征值可以是固定字符串，比如“1qaz@wsx”，也可以是数字、符号等其他形式或多个形式相结合，本发明在此不做限制。
67.在步骤s16中，client证书的哈希值可以是sha56(一种哈希函数)哈希值，也可以是其他形式的哈希值，本发明在此不做限制。
68.在步骤s15、s17中，提示错误后，退出当前界面，用户或系统管理员重新输入kms系统信息。
69.通过步骤s11-s18可以实现，在kms系统池中配置多个可用的校验后的kms系统。
70.如图3所示，步骤s2具体包括：
71.s21，创建若干加密策略，根据系统管理员的输入信息，在kms系统池中为每个加密策略绑定一个kms系统；
72.s22，根据系统管理员的输入信息，从存储池中为每个加密策略绑定一个存储域，所述存储域中包括若干待加密虚拟机的所有磁盘；
73.s23，对加密策略进行命名，将创建完成的若干加密策略组成加密策略列表供云平台下的待加密虚拟机进行选择。
74.其中，在步骤s21中，将加密策略与kms系统池中的一个kms系统建立关联映射关系，即加密策略与kms系统池中的一个kms系统绑定。
75.在步骤s23中，加密策略列表中的加密策略可以支持更新操作，即包括但不限于新增、修改、删除等。
76.如图4所示，步骤s3具体包括：
77.s31，云平台中的待加密虚拟机进行加密时，根据系统管理员的输入信息，确定一个加密策略；
78.s32，检查待加密虚拟机的所有磁盘是否均位于确定的加密策略对应的存储域中；如果检查结果为是，则执行步骤s33，如果检查结果为否，则执行步骤s34；
79.s33，检查待加密虚拟机所在的宿主机是否能够与确定的加密策略绑定的kms系统通信连接，如果检查结果为是，则执行步骤s35；如果检查结果为否，则执行步骤s36；
80.s34，提示待加密虚拟机的所有磁盘不均位于确定的加密策略对应的存储域中，并退出；
81.s35，将选择的加密策略绑定到待加密虚拟机上；
82.s36，提示待加密虚拟机所在的宿主机无法与确定的加密策略绑定的kms系统通信连接，并退出。
83.进一步地，如图5所示，本发明技术方案提供的一种云平台中虚拟机加密方法，还包括：
84.s5，加密后的虚拟机进行解密时，加密后的虚拟机所在的宿主机从加密时，加密策略绑定的kms系统获取对称密钥，对加密后虚拟机的所有虚拟磁盘进行解密。
85.需要说明的是本发明技术方案中的步骤s1-s5均可以通过硬件或软件语言编程实现，实现的思路与步骤相对应，也可以通过其他方式实现，本发明在此不做限制。
86.本发明通过加密策略分别与kms系统与待加密虚拟机绑定起来，使得云平台下可以同时使用多个kms系统，防止云平台下待加密虚拟机从非绑定关联的kms系统获取密钥，避免了数据不能解密的场景，同时也使得云平台下可以同时配置多个厂商的kms系统，提高了云平台的兼容性和可用性。
87.本发明技术方案中kms系统池中配置多个校验后的kms系统，校验通过后，计算当前输入的kms系统中client证书的哈希值，以计算的哈希值为特征条件，查询kms系统池中的kms系统数据库中是否已存在对应的存储记录，如果没有，则新增当前输入的kms系统信息记录到数据库中，保证了kms系统池中的多个kms系统均为可直接使用的kms系统，也便于kms系统的查询获取。
88.本发明技术方案中根据系统管理员的输入信息，从存储池中为每个加密策略绑定一个存储域，并对加密策略进行命名，将创建完成的若干加密策略组成加密策略列表供云平台下的待加密虚拟机进行选择，便于根据系统管理员输入信息确定待加密虚拟机的加密策略。
programmable read-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random accessmemory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronousdynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本技术实施例描述的存储器201旨在包括但不限于这些和任意其它适合类型的存储器。上述本技术实施例揭示的方法可以应用于处理器202中，或者由处理器202实现。处理器202可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器202可以是通用处理器、dsp(digital signal processing，即指能够实现数字信号处理技术的芯片)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器202可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本技术实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器201，处理器202读取存储器201中的程序，结合其硬件完成前述方法的步骤。处理器202执行所述程序时实现本技术实施例的各个方法中的相应流程，为了简洁，在此不再赘述。
105.本发明通过加密策略分别与kms系统与待加密虚拟机绑定起来，使得云平台下可以同时使用多个kms系统，防止云平台下待加密虚拟机从非绑定关联的kms系统获取密钥，避免了数据不能解密的场景，同时也使得云平台下可以同时配置多个厂商的kms系统，提高了云平台的兼容性和可用性。
106.本发明技术方案中kms系统池中配置多个校验后的kms系统，校验通过后，计算当前输入的kms系统中client证书的哈希值，以计算的哈希值为特征条件，查询kms系统池中的kms系统数据库中是否已存在对应的存储记录，如果没有，则新增当前输入的kms系统信息记录到数据库中，保证了kms系统池中的多个kms系统均为可直接使用的kms系统，也便于kms系统的查询获取。
107.本发明技术方案中根据系统管理员的输入信息，从存储池中为每个加密策略绑定一个存储域，并对加密策略进行命名，将创建完成的若干加密策略组成加密策略列表供云平台下的待加密虚拟机进行选择，便于根据系统管理员输入信息确定待加密虚拟机的加密策略。
108.本发明技术方案中加密策略支持更新操作，更新操作包括但不限于新增、修改、删
除，保证了加密策略的可用性以及可靠性。
109.实施例四
110.本发明技术方案还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如实施例一中的一种云平台中虚拟机加密方法的步骤。
111.例如包括存储计算机程序的存储器201，上述计算机程序可由处理器202执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
112.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
113.本发明通过加密策略分别与kms系统与待加密虚拟机绑定起来，使得云平台下可以同时使用多个kms系统，防止云平台下待加密虚拟机从非绑定关联的kms系统获取密钥，避免了数据不能解密的场景，同时也使得云平台下可以同时配置多个厂商的kms系统，提高了云平台的兼容性和可用性。
114.本发明技术方案中kms系统池中配置多个校验后的kms系统，校验通过后，计算当前输入的kms系统中client证书的哈希值，以计算的哈希值为特征条件，查询kms系统池中的kms系统数据库中是否已存在对应的存储记录，如果没有，则新增当前输入的kms系统信息记录到数据库中，保证了kms系统池中的多个kms系统均为可直接使用的kms系统，也便于kms系统的查询获取。
115.本发明技术方案中根据系统管理员的输入信息，从存储池中为每个加密策略绑定一个存储域，并对加密策略进行命名，将创建完成的若干加密策略组成加密策略列表供云平台下的待加密虚拟机进行选择，便于根据系统管理员输入信息确定待加密虚拟机的加密策略。
116.本发明技术方案中加密策略支持更新操作，更新操作包括但不限于新增、修改、删除，保证了加密策略的可用性以及可靠性。
117.上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对本发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。