CN102726028A - 一种加密方法、解密方法和相关装置及系统 - Google Patents
一种加密方法、解密方法和相关装置及系统 Download PDFInfo
- Publication number
- CN102726028A CN102726028A CN2011800035842A CN201180003584A CN102726028A CN 102726028 A CN102726028 A CN 102726028A CN 2011800035842 A CN2011800035842 A CN 2011800035842A CN 201180003584 A CN201180003584 A CN 201180003584A CN 102726028 A CN102726028 A CN 102726028A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- client
- virtual machine
- authenticate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
一种加密方法、解密方法和相关装置及系统,其中加密方法包括:加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种加密方法、解密方法和相关装置及系统。
背景技术
随着云计算技术的成熟,例如在云的弹性计算出租场景下,越来越多的企业用户将虚拟机(VM,Virtual Machine)的系统卷放在云上,这样企业用户就失去了对系统卷的控制,安全性能不能得到保证成为了企业用户最大的疑虑。存在的安全威胁可能有:1)、云服务商的特权用户(例如管理员)可能非法挂载企业用户的系统卷从而查看数据。2)、黑客也可能非法入侵云中的用户虚拟机从而查看用户的数据,造成数据泄漏。这些疑虑也是企业用户将系统卷迁移到云端的最大障碍,为了推动云计算的进一步普及应用,如何保障企业用户的虚拟机系统卷的安全,以消除企业用户的这个疑虑,成为业界亟待解决的难题之一。
发明内容
本发明实施例提供了一种加密方法、解密方法和相关装置及系统,用于对用户的虚拟机中的系统卷进行安全保护。
一方面,本发明实施例提供的虚拟机中系统卷的加密方法,包括:
加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;
所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;
所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。
另一方面,本发明实施例提供的虚拟机中系统卷的解密方法,包括:
加密客户端对加密的加密密钥进行解密;
所述加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。
另一方面,本发明实施例提供的一种加密客户端,包括:
发送单元,用于向密钥管理系统发送密钥申请请求消息,以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;
接收单元,用于接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;
加密单元,用于根据所述加密密钥对虚拟机中的系统卷进行加密。
另一方面,本发明实施例提供的虚拟机中系统卷的加密系统,包括:
所述加密客户端包括:
发送单元,用于向密钥管理系统发送密钥申请请求消息,以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;
接收单元,用于接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;
加密单元,用于根据所述加密密钥对虚拟机中的系统卷进行加密。
所述密钥管理系统包括:
收发单元,用于接收所述加密客户端发送的密钥申请请求消息;
密钥生成单元,用于根据所述密钥申请请求消息生成加密密钥;
所述收发单元,用于向所述加密客户端发送密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥。
另一方面,本发明实施例提供的另一种加密客户端,包括:
密钥解密单元,用于对加密的加密密钥进行解密;
系统卷解密单元,用于根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。
从以上技术方案可以看出,本发明实施例具有以下优点:
在本发明的一实施例中,由加密客户端从密钥申请响应消息中得到加密密钥,并根据该加密密钥对虚拟机中的系统卷进行加密,由于本发明实施例中对虚拟机中的系统卷进行了加密,能够保障用户的虚拟机中系统卷的安全。
在本发明另一实施例中,由加密客户端首先对加密的加密密钥进行解密,然后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密,由于在对虚拟机中的系统卷进行解密时,必须对加密密钥解密才能用这个解密后的加密密钥对系统卷进行解密,能够保障用户的虚拟机中的系统卷只有解密后才能够使用,避免了系统卷的泄露,有利于用户的虚拟机中系统卷的安全。
附图说明
图1为本发明实施例提供的虚拟机中系统卷的加密方法的一个实施例示意图;
图2为本发明实施例提供的加密客户端和密钥管理系统之间的交互流程示意图;
图3为本发明实施例提供的虚拟机中系统卷的解密方法的一个实施例示意图;
图4为本发明实施例提供的一种加密客户端的结构示意图;
图5为本发明实施例提供的虚拟机中系统卷的加密系统的示意图;
图6为本发明实施例提供的另一种加密客户端的结构示意图。
具体实施方式
本发明实施例提供了一种加密方法、解密方法和相关装置及系统,用于对用户的虚拟机中的系统卷进行安全保护。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明实施例提供的虚拟机中系统卷的加密方法的一个实施例,包括如下步骤:
101、加密客户端向密钥管理系统发送密钥申请请求消息,以使密钥管理系统根据密钥申请请求消息生成加密密钥。
在本发明实施例中,加密客户端向密钥管理系统发送密钥申请请求消息,以向密钥管理系统请求分配加密密钥,在实际应用中,当用户需要对虚拟机加密时,用户可以向加密客户端下达加密卷指令,以使加密客户端对虚拟机中的系统卷加密,实现对用户的虚拟机中系统卷的安全保护。
需要说明的是,加密客户端实现对用户的虚拟机中系统卷的安全保护,加密客户端可以部署在用户的虚拟机中,当用户需要对系统卷加密时可以调用,密钥管理系统是能够产生密钥以用于保护数据安全的系统,具体可以部署在云端,也可以部署在用户自己的虚拟机中,具体可以由用户需要来决定。
密钥管理系统从加密客户端接收到密钥申请请求消息之后,密钥管理系统根据该密钥申请请求消息生成加密密钥(EK,Encryption Key),然后密钥管理系统将生成的加密密钥携带在密钥申请响应消息中,密钥管理系统向加密客户端发送密钥申请响应消息。
需要说明的是,本发明实施例中描述的系统卷是相对于虚拟机中的数据卷来说的,比如数据卷指的是用户在虚拟机中存储资料、图片等所使用的卷,系统卷可以指的是虚拟机中安装的操作系统所使用的卷,系统卷除了包括虚拟机中的操作系统以外还可以包括用户在虚拟机上安装的应用程序。本发明实施例中,系统卷还可以包括虚拟机预启动操作系统。在实际应用中,虚拟机的操作系统和预启动操作系统都可以统称之为卷数据。
102、加密客户端接收密钥管理系统发送的密钥申请响应消息,其中,密钥申请响应消息包括加密密钥。
加密客户端接收密钥管理系统发送的密钥申请响应消息,通过该密钥申请响应消息,加密客户端就可以提取出密钥管理系统为加密客户端生成的加密密钥。
需要说明的是,在本发明实施例中,当密钥管理系统为加密客户端发送密钥申请响应消息之后,为了保证密钥管理系统生成的加密密钥的安全性,密钥管理系统对自己生成的加密密钥进行加密存储,根据加密客户端的请求向加密客户端发送所述加密密钥,即密钥管理系统不能够以明文的形式直接保存加密密钥,而是加密后作为密文来保存,在实际应用中,密钥管理系统对加密密钥进行加密存储包括:密钥管理系统生成根密钥(RK,Rook Key),密钥管理系统根据根密钥对加密密钥进行加密存储,密钥管理系统可以采用密钥推导函数(KDF,Key Derivation Function)根据根密钥加密加密密钥,例如,加密前的明文为EK,则采用RK加密后得到的密文EK’=KDF(RK,EK),密钥管理系统采用的KDF具体可以为高级加密标准(AES,AdvancedEncryption Standard)算法。
另外,为了防止恶意者非法获取根密钥,密钥管理系统根据根密钥对加密密钥进行加密存储之后,还包括:密钥管理系统将根密钥保存在硬件芯片;或,密钥管理系统将根密钥拆分成多个部分,分别保存在密钥管理系统中的不同位置。例如,密钥管理系统将根密钥RK划分为两个部分,分别为RK1、RK2,分别将这两个部分保存在密钥管理系统中两个不同的地方,以增加安全性,再需要根密钥时通过一定的算法来根据RK1、RK2恢复出RK,例如RK=RK1||RK2。
103、加密客户端根据加密密钥对虚拟机中的系统卷进行加密。
在获取到密钥管理系统分配的加密密钥之后,加密客户端就可以根据该加密密钥对虚拟机中的系统卷进行加密,以达到安全保护的目的。
加密客户端采用加密密钥对虚拟机中的系统卷加密,保存在云端,以使用户对系统卷的安全放心,在实际应用中,加密客户端对系统卷进行加密具体可以为:加密客户端根据加密密钥对虚拟机的操作系统进行加密,例如加密客户端将整个虚拟机(VM,Virtual Machine)的操作系统(OS,OperatingSystem)都进行加密保护,需要说明的是,加密客户端对VMOS进行加密保护之外还可以对虚拟机中装载的应用程序都进行加密保护,这样,加密之后的操作系统放在云端,能够保证数据安全,避免数据泄漏。
需要说明的是,在本发明实施例中,加密客户端根据加密密钥对虚拟机中的系统卷进行加密之后,还可以包括:加密客户端存储加密密钥,以使加密客户端再次启动时,利用存储的加密密钥对虚拟机中的系统卷进行解密,即以便将来需要时,可以根据加密客户端的请求首先解密得到原始的加密密钥,然后向加密客户端发送加密密钥。在本发明实施例中,加密客户端根据加密密钥对虚拟机的系统卷进行加密之后,为了保证加密密钥的安全性以避免被恶意者的非法获取,加密客户端可以对加密密钥进行加密存储,即加密密钥被加密后再保存,而不是作为明文来保存,在实际应用中,加密客户端可以采用多种实现方式对加密密钥进行加密存储,其中一种实现方式可以包括如下步骤:
A1、加密客户端获取用户的认证密钥;
A2、加密客户端根据认证密钥对加密密钥进行加密;
A3、加密客户端将加密后的加密密钥保存在预启动操作系统的区域中。
对于步骤A1,加密客户端首先获取用户的认证密钥(AK,AuthenticationKey),在每个虚拟机中都对应有用户,每个用户都有一个对应的认证密钥,通常安全存储在活动目录(AD,Active Directory)服务端(Server)中,加密客户端可以采用由用户自己人工输入认证密钥的方式,也可以由加密客户端与AD Server交互的方式来获取到认证密钥。
对于步骤A2,加密客户端获取到认证密钥之后,加密客户端可以根据该认证密钥对加密密钥进行加密,加密客户端可以采用密钥推导函数(KDF,Key Derivation Function)根据认证密钥加密加密密钥,例如,加密前的明文为EK,则利用AK加密EK后得到的密文EK”=KDF(AK,EK),加密客户端采用的KDF具体可以为高级加密标准(AES,Advanced Encryption Standard)算法,需要说明的是,在本发明实施例中,也可以不采用认证密钥对加密密钥进行加密,而采用其它的密钥来加密,但是使用现有技术已经存在的认证密钥进行加密,可以减少对原有系统做较大改进,能更好的兼容现有的操作系统。
对于步骤A3,加密客户端对加密密钥加密之后,加密客户端将加密的加密密钥保存在预启动(Preboot)操作系统(OS,Operate System)的区域中,预启动操作系统实际上是一个很小的操作系统,是虚拟机中的隐藏区域,主要用于完成对VM OS启动之前的一些预处理工作,例如输入解密VMOS的密码,对用户进行认证等。在本发明实施例中,可以为VM预先配置此预启动操作系统。在实际应用中,虚拟机上的系统卷实际上可以划分为两个部分:Preboot OS、VM OS,为保证系统能正常启动,Preboot OS必须明文保存;为保证VM中数据安全性,VM OS(包含应用程序)必须加密保存,其中,预启动操作系统配置在云端的虚拟机中,预启动操作系统用于在虚拟机启动前对用户进行认证。
需要说明的是,在步骤A2完成之后,为了进一步的保证认证密钥的安全性,还可以包括如下步骤:加密客户端对认证密钥进行保护处理,加密客户端将保护后的认证密钥保存在预启动操作系统的区域中,例如,加密客户端对AK进行哈希算法处理,得到HASH(AK),然后将HASH(AK)保存在Preboot OS之中,又如,加密客户端还可以对明文为AK进行加密处理,然后将加密后的AK保存在Preboot OS的区域之中。
在本发明实施例中,由加密客户端从密钥申请响应消息中得到加密密钥,并根据该加密密钥对虚拟机中的系统卷进行加密,最后对加密密钥也进行加密存储,由于本发明实施例中对虚拟机中的系统卷进行了加密,能够保障用户的虚拟机中系统卷的安全。
接下来以一个详细的应用场景来介绍本发明实施例提供的虚拟机中系统卷的加密方法,如图2所示,为加密客户端和密钥管理系统之间的交互流程图,包括:
201、用户向加密客户端下达加密卷指令;
202、加密客户端向密钥管理系统发送密钥申请请求消息;
203、密钥管理系统根据该密钥申请请求消息生成加密密钥;
204、密钥管理系统向加密客户端发送密钥申请响应消息,密钥申请响应消息包括加密密钥;
205、加密客户端根据该加密密钥对虚拟机中的系统卷进行加密;
206、加密客户端对加密密钥进行加密存储;
207、密钥管理系统对加密密钥进行加密存储。
在本发明实施例中,由加密客户端通过和密钥管理系统交互得到加密密钥,然后加密客户端对虚拟机中系统卷进行加密,最后加密客户端和密钥管理系统都对加密密钥进行加密存储,能够保障用户的虚拟机中系统卷的安全。
以上实施例介绍本发明实施例提供的虚拟机中系统卷的加密方法,接下来介绍与该加密方法相对应的解密方法,请参阅图3所示,本发明实施例提供的虚拟机中系统卷的解密方法包括:
301、加密客户端对加密的加密密钥进行解密;
在本发明实施例中,系统卷加密后被保存在云端,当用户需要使用虚拟机时用户从云端获取系统卷,则用户可以向加密客户端下达解密卷指令,以使加密客户端对加密后的系统卷进行解密,加密客户端从用户侧得到解密卷指令之后,根据前述的加密方法,加密密钥也已经被加密存储了,所以在本发明实施例中,加密客户端若需要使用加密密钥对系统卷进行解密,则加密客户端首先需要对加密的加密密钥进行解密。
需要说明的是,若加密的加密密钥保存在预启动操作系统的区域中,加密客户端对加密的加密密钥EK进行解密包括:
B1、加密客户端加载虚拟机的预启动操作系统;
B2、加密客户端接收用户输入的认证密钥;
B3、加密客户端根据认证密钥对加密的加密密钥进行解密,得到明文的加密密钥。
对于步骤B1,加密密钥被加密保存在预启动操作系统的区域中,加密客户端则需要首先加载这个预启动操作系统,用户输入用户名和认证密钥,然后执行步骤B2,加密客户端接收用户输入的认证密钥,得到认证密钥之后,还包括步骤:加密客户端对认证密钥进行保护处理,并将保护处理后的认证密钥和预先存储的经过保护处理的认证密钥进行比较,若一致则用户鉴权通过,然后再触发步骤B3执行。若不一致则用户没有通过鉴权,则拒绝执行步骤B3。例如,上述对用户的鉴权处理过程为:假如上述加密客户端对认证密钥进行保护处理的方法中,加密客户端将AK进行哈希算法处理,得到HASH(AK),然后将HASH(AK)预先保存在Preboot OS之中,则加密客户端先根据用户输入的AK计算HASH(AK),并和隐藏区域事先存储的HASH(AK)比较,如果一致的话,则用户鉴权通过。又如,若加密客户端对认证密钥进行保护处理时对AK进行了加密,则在此需要对用户输入的AK进行加密,然后比较用户输入的AK加密后的结果与事先存储的加密后的AK,如果一致的话,则用户鉴权通过。
需要说明的是,在步骤B2执行之后,还可以包括步骤:加密客户端将认证密钥保存在预启动操作系统的内存。这样做的目的在于当解密完成虚拟机的操作系统之后,用户仍然需要使用用户名和认证密钥才能登陆操作系统,为了避免用户的重复输入,在本发明实施例中可以将用户输入的认证密钥保存在预启动操作系统的内存之后,当需要启动虚拟机的操作系统时将保存在预启动操作系统的内存中的认证密钥作为启动参数输入到操作系统中,实现了用户的单点登录(SSO,Single Sign On)。
302、加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。
在本发明实施例中,加密客户端对加密的加密密钥进行解密之后,加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密,具体的解密算法会因为采用的加密算法的不同而不同。
需要说明的是,在实际应用中,若虚拟机中的系统卷包括虚拟机的操作系统,则加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密具体为:加密客户端根据解密后的加密密钥对加密的虚拟机的操作系统进行解密。若卷数据还包括虚拟机上的应用程序,则加密客户端根据加密的加密密钥对整个虚拟机的操作系统和虚拟机上加载的应用程序都进行解密,则解密后的操作系统就可以由用户登录使用了。
在本发明提供的实施例中,由加密客户端首先对加密密钥进行解密,然后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密,由于在对虚拟机中的系统卷进行解密时必须得对加密密钥解密,然后用这个解密后的加密密钥对系统卷进行解密,能够保障用户的虚拟机中的系统卷只有解密后才能够使用,避免了系统卷的泄露,有利于用户的虚拟机中系统卷的安全。
接下来以实际的应用场景来介绍本发明实施例提供的虚拟机中系统卷的解密方法,介绍的是系统卷包括虚拟机中的操作系统被加密时的解密方法,包括:
1、当虚拟机加电启动后,首先进入虚拟基本输入输出系统(VxBIOS,Basic Input Output System),然后访问Preboot OS。
2、加密客户端加载Preboot OS到内存,执行Preboot OS,显示用户输入界面,用户输入认证信息(用户名,AK)。
3、加密客户端根据用户输入的AK计算HASH(AK),并和隐藏区域事先存储的HASH(AK)比较,一致的话,则用户在Preboot OS通过鉴权。
4、加密客户端利用用户输入的AK解密被加密的加密密钥EK”,得到加密密钥EK。
5、加密客户端用EK解密操作系统得到原始未加密的VM OS。
6、加密客户端加载VM OS,并将(用户名,AK)作为启动参数传递给VM OS。
7、VM OS正常启动和自动登录,不需要再次输入(用户名、AK)。从而实现了单点登录。
以上实施例分别介绍了本发明实施例提供的虚拟机中系统卷的加密方法、解密方法,接下来介绍使用这些方法的相应装置,如图4所示,一种加密客户端400,包括:
发送单元401,用于向密钥管理系统发送密钥申请请求消息,以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;
接收单元402,用于接收所述密钥管理系统发送的密钥申请响应消息,其中,密钥申请响应消息包括加密密钥;
加密单元403,用于根据加密密钥对虚拟机中的系统卷进行加密。
需要说明的是,在本发明实施例中,加密客户端400还可以包括:存储单元404,用于存储加密密钥,以使加密客户端再次启动时,利用存储的加密密钥对所述虚拟机中的系统卷进行解密。
需要说明的是,对于加密单元403而言,在实际应用中,加密单元403可以具体用于根据加密密钥对虚拟机的操作系统进行加密。
需要说明的是,对于存储单元404而言,在实际应用中,存储单元404具体可以包括(未在图4中示出):
获取模块,用于获取用户的认证密钥;
密钥加密模块,用于根据认证密钥对加密密钥进行加密;
保存模块,用于将加密后的加密密钥保存在预启动操作系统的区域中。
需要说明的是,密钥加密模块还用于对认证密钥进行保护处理,保存模块还用于将保护处理后的认证密钥保存在预启动操作系统的区域中。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本发明如图1或2所示的方法实施例中的叙述,此处不再赘述。
在本发明实施例中,由接收单元从密钥申请响应消息中得到加密密钥,并由加密单元根据该加密密钥对虚拟机中的系统卷进行加密,由于本发明实施例中对虚拟机中的系统卷进行了加密,能够保障用户的虚拟机中系统卷的安全。
接下来介绍一种虚拟机中系统卷的加密系统,如图5所示,虚拟机中系统卷的加密系统500,包括:加密客户端501和密钥管理系统502,其中,
加密客户端501具体可以为如前述实施例中描述的加密客户端400;
密钥管理系统502包括:
收发单元5021,用于接收加密客户端发送的密钥申请请求消息;
密钥生成单元5022,用于根据密钥申请请求消息生成加密密钥;
收发单元5021,还用于向加密客户端发送密钥申请响应消息,其中,密钥申请响应消息包括加密密钥。
需要说明的是,本发明实施例提供的密钥管理系统502,还可以包括:加密存储单元5023,用于对密钥管理系统502自己生成的加密密钥进行加密存储单元,以根据加密客户端的请求向加密客户端发送加密密钥。在实际应用中,一种实现方式是,加密存储单元5023具体可以用于:生成根密钥,根据根密钥对加密密钥进行加密存储。
在本发明提供的实施例中,由加密客户端从密钥管理系统中得到加密密钥,并根据该加密密钥对虚拟机中的系统卷进行加密,由于本发明实施例中对虚拟机中的系统卷进行了加密,能够保障用户的虚拟机中系统卷的安全。
以上实施例介绍了使用虚拟机中系统卷的加密方法的对应装置,接下来介绍使用虚拟机中系统卷的解密方法的对应装置,如图6所示,加密客户端600,包括:
密钥解密单元601,用于对加密的加密密钥进行解密;
系统卷解密单元602,用于根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。
需要说明的是,在实际应用中,若加密的加密密钥被保存在预启动操作系统的区域中,则密钥解密单元601具体可以包括(未在图6中示出):
加载模块,用于加载虚拟机的预启动操作系统;
接收模块,用于接收用户输入的认证密钥;
密钥解密模块,用于根据认证密钥对加密存储的加密密钥进行解密。
在实际应用中,密钥解密单元还可以包括:鉴权模块,用于对认证密钥进行保护处理,并将保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较,若一致则用户鉴权通过,触发密钥解密模块执行。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,其带来的技术效果与本发明方法实施例相同,具体内容可参见本发明如图2或3所示的方法实施例中的叙述,此处不再赘述。
在本发明提供的实施例中,由密钥解密单元首先对加密的加密密钥进行解密,然后由系统卷解密单元再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密,由于在对虚拟机中的系统卷进行解密时必须得对加密密钥解密,然后用这个解密后的加密密钥对系统卷进行解密,能够保障用户的虚拟机中的系统卷只有解密后才能够使用,避免了系统卷的泄露,有利于用户的虚拟机中系统卷的安全。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上对本发明所提供的一种加密方法、解密方法和相关装置及系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,因此,本说明书内容不应理解为对本发明的限制。
Claims (20)
1.一种虚拟机中系统卷的加密方法,其特征在于,包括:
加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;
所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;
所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:所述加密客户端存储所述加密密钥,以使所述加密客户端再次启动时,利用所述存储的加密密钥对所述虚拟机中的系统卷进行解密。
3.根据权利要求2所述的方法,其特征在于,所述加密客户端存储所述加密密钥具体包括:
所述加密客户端获取用户的认证密钥;
所述加密客户端根据所述认证密钥对所述加密密钥进行加密;
所述加密客户端将加密后的加密密钥保存在预启动操作系统的区域中。
4.根据权利要求3所述的方法,其特征在于,所述预启动操作系统配置在云端的虚拟机中,所述预启动操作系统用于在所述虚拟机启动前对用户进行认证。
5.根据权利要求4所述的方法,其特征在于,所述加密客户端根据所述认证密钥对所述加密密钥进行加密之后,还包括:
所述加密客户端对所述认证密钥进行保护处理;
所述加密客户端将保护处理后的认证密钥保存在预启动操作系统的区域中。
6.根据权利要求1-5任一所述的方法,其特征在于,所述方法还包括:
所述密钥管理系统对所述加密密钥进行加密存储,以根据所述加密客户端的请求向所述加密客户端发送所述加密密钥。
7.根据权利要求6所述的方法,其特征在于,所述密钥管理系统对所述加密密钥进行加密存储包括:
所述密钥管理系统生成根密钥;
所述密钥管理系统根据所述根密钥对所述加密密钥进行加密存储。
8.一种虚拟机中系统卷的解密方法,其特征在于,包括:
加密客户端对加密的加密密钥进行解密;
所述加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。
9.根据权利要求8所述的方法,其特征在于,若所述加密的加密密钥保存在预启动操作系统的区域中,所述加密客户端对加密的加密密钥进行解密包括:
所述加密客户端加载所述虚拟机的预启动操作系统;
所述加密客户端接收用户输入的认证密钥;
所述加密客户端根据所述认证密钥对加密的加密密钥进行解密。
10.根据权利要求9所述的方法,其特征在于,所述加密客户端接收用户输入的认证密钥之后,还包括:
所述加密客户端对所述认证密钥进行保护处理,并将所述保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较,若一致则所述用户鉴权通过,触发所述加密客户端根据所述认证密钥对加密的加密密钥进行解密的步骤。
11.一种加密客户端,其特征在于,包括:
发送单元,用于向密钥管理系统发送密钥申请请求消息,以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥;
接收单元,用于接收所述密钥管理系统发送的密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥;
加密单元,用于根据所述加密密钥对虚拟机中的系统卷进行加密。
12.根据权利要求11所述的加密客户端,其特征在于,所述加密客户端还包括:存储单元,用于存储所述加密密钥,以使所述加密客户端再次启动时,利用所述存储的加密密钥对所述虚拟机中的系统卷进行解密。
13.根据权利要求12所述的加密客户端,其特征在于,所述存储单元包括:
获取模块,用于获取用户的认证密钥;
密钥加密模块,用于根据所述认证密钥对所述加密密钥进行加密;
保存模块,用于将加密后的加密密钥保存在预启动操作系统的区域中。
14.根据权利要求13所述的加密客户端,其特征在于,所述密钥加密模块还用于对所述认证密钥进行保护处理;
所述保存模块,还用于将保护处理后的认证密钥保存在预启动操作系统的区域中。
15.一种虚拟机中系统卷的加密系统,其特征在于,包括:加密客户端和密钥管理系统,其中,
所述加密客户端如权利要求11至14中任一项所述的加密客户端;
所述密钥管理系统包括:
收发单元,用于接收所述加密客户端发送的密钥申请请求消息;
密钥生成单元,用于根据所述密钥申请请求消息生成加密密钥;
所述收发单元,还用于向所述加密客户端发送密钥申请响应消息,所述密钥申请响应消息包括所述加密密钥。
16.根据权利要求15所述的虚拟机中系统卷的加密系统,其特征在于,所述密钥管理系统还包括:
加密存储单元,用于对所述密钥管理系统自己生成的加密密钥进行加密存储,以根据所述加密客户端的请求向所述加密客户端发送所述加密密钥。
17.根据权利要求16所述的虚拟机中系统卷的加密系统,其特征在于,所述加密存储单元具体用于:生成根密钥,根据所述根密钥对所述加密密钥进行加密存储。
18.一种加密客户端,其特征在于,包括:
密钥解密单元,用于对加密的加密密钥进行解密;
系统卷解密单元,用于根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。
19.根据权利要求18所述的加密客户端,其特征在于,若所述加密的加密密钥保存在预启动操作系统的区域中,所述密钥解密单元包括:
加载模块,用于加载所述虚拟机的预启动操作系统;
接收模块,用于接收用户输入的认证密钥;
密钥解密模块,用于根据所述认证密钥对加密的加密密钥进行解密。
20.根据权利要求19所述的加密客户端,其特征在于,所述密钥解密单元还包括:
鉴权模块,用于对所述认证密钥进行保护处理,并将所述保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较,若一致则所述用户鉴权通过,触发所述密钥解密模块执行。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2011/085116 WO2013097209A1 (zh) | 2011-12-31 | 2011-12-31 | 一种加密方法、解密方法和相关装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102726028A true CN102726028A (zh) | 2012-10-10 |
Family
ID=46950490
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800035842A Pending CN102726028A (zh) | 2011-12-31 | 2011-12-31 | 一种加密方法、解密方法和相关装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102726028A (zh) |
| WO (1) | WO2013097209A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104052591A (zh) * | 2013-03-12 | 2014-09-17 | 大连永佳电子技术有限公司 | 基于智能策略的云虚拟机加密技术 |
| CN104113410A (zh) * | 2014-07-04 | 2014-10-22 | 北京思特奇信息技术股份有限公司 | 一种基于多表加密法的数据加密传输方法及装置 |
| CN108418817A (zh) * | 2018-02-14 | 2018-08-17 | 华为技术有限公司 | 一种加密方法及装置 |
| CN108632021A (zh) * | 2017-03-15 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 一种密钥加密方法、装置和系统 |
| CN108667789A (zh) * | 2017-03-29 | 2018-10-16 | 杨建纲 | 多维条形码行动身份认证方法、数字证件装置及认证伺服机构 |
| CN109039598A (zh) * | 2018-07-03 | 2018-12-18 | 福建天晴数码有限公司 | 数据传输加密方法、客户端及服务端 |
| CN109743307A (zh) * | 2018-12-28 | 2019-05-10 | 东莞见达信息技术有限公司 | 云端数据保护的方法、服务器装置和客户端装置 |
| CN110663027A (zh) * | 2017-06-16 | 2020-01-07 | 国际商业机器公司 | 使用硬件保护操作系统配置 |
| CN112748984A (zh) * | 2020-12-28 | 2021-05-04 | 海光信息技术股份有限公司 | 虚拟机数据处理、控制方法、处理器、芯片、装置及介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112016026037B1 (pt) | 2014-05-08 | 2023-04-04 | Huawei Technologies Co., Ltd | Dispositivo de aquisição de certificado |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101840346A (zh) * | 2009-12-30 | 2010-09-22 | 北京世纪互联宽带数据中心有限公司 | 云主机部署的方法及系统 |
| CN102163266A (zh) * | 2010-02-17 | 2011-08-24 | 微软公司 | 在主机服务器之间安全地移动虚拟机 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110246778A1 (en) * | 2010-03-31 | 2011-10-06 | Emc Corporation | Providing security mechanisms for virtual machine images |
| CN102025744A (zh) * | 2010-12-20 | 2011-04-20 | 北京世纪互联工程技术服务有限公司 | 一种云计算中虚拟机镜像导入和导出系统 |
-
2011
- 2011-12-31 WO PCT/CN2011/085116 patent/WO2013097209A1/zh active Application Filing
- 2011-12-31 CN CN2011800035842A patent/CN102726028A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101840346A (zh) * | 2009-12-30 | 2010-09-22 | 北京世纪互联宽带数据中心有限公司 | 云主机部署的方法及系统 |
| CN102163266A (zh) * | 2010-02-17 | 2011-08-24 | 微软公司 | 在主机服务器之间安全地移动虚拟机 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104052591A (zh) * | 2013-03-12 | 2014-09-17 | 大连永佳电子技术有限公司 | 基于智能策略的云虚拟机加密技术 |
| CN104113410A (zh) * | 2014-07-04 | 2014-10-22 | 北京思特奇信息技术股份有限公司 | 一种基于多表加密法的数据加密传输方法及装置 |
| EP3598714A4 (en) * | 2017-03-15 | 2021-01-13 | Alibaba Group Holding Limited | SECRET KEY ENCRYPTION PROCESS, DEVICE AND SYSTEM |
| US11271726B2 (en) | 2017-03-15 | 2022-03-08 | Alibaba Group Holding Limited | Key encryption methods, apparatuses, and systems |
| CN108632021A (zh) * | 2017-03-15 | 2018-10-09 | 阿里巴巴集团控股有限公司 | 一种密钥加密方法、装置和系统 |
| CN108667789A (zh) * | 2017-03-29 | 2018-10-16 | 杨建纲 | 多维条形码行动身份认证方法、数字证件装置及认证伺服机构 |
| US10979421B2 (en) | 2017-03-29 | 2021-04-13 | Chien-Kang Yang | Identity authentication using a barcode |
| CN110663027A (zh) * | 2017-06-16 | 2020-01-07 | 国际商业机器公司 | 使用硬件保护操作系统配置 |
| CN108418817B (zh) * | 2018-02-14 | 2021-02-26 | 华为技术有限公司 | 一种加密方法及装置 |
| CN108418817A (zh) * | 2018-02-14 | 2018-08-17 | 华为技术有限公司 | 一种加密方法及装置 |
| CN109039598A (zh) * | 2018-07-03 | 2018-12-18 | 福建天晴数码有限公司 | 数据传输加密方法、客户端及服务端 |
| CN109743307A (zh) * | 2018-12-28 | 2019-05-10 | 东莞见达信息技术有限公司 | 云端数据保护的方法、服务器装置和客户端装置 |
| CN112748984A (zh) * | 2020-12-28 | 2021-05-04 | 海光信息技术股份有限公司 | 虚拟机数据处理、控制方法、处理器、芯片、装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013097209A1 (zh) | 2013-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102726028A (zh) | 一种加密方法、解密方法和相关装置及系统 | |
| CN100487715C (zh) | 一种数据安全存储系统和装置及方法 | |
| US8904195B1 (en) | Methods and systems for secure communications between client applications and secure elements in mobile devices | |
| CN103138939B (zh) | 云存储模式下基于可信平台模块的密钥使用次数管理方法 | |
| CN107453880B (zh) | 一种云数据安全存储方法和系统 | |
| CN105812332A (zh) | 数据保护方法 | |
| CN102646077A (zh) | 一种基于可信密码模块的全盘加密的方法 | |
| CN103294969B (zh) | 文件系统挂载方法和装置 | |
| CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN204360381U (zh) | 移动设备 | |
| CN112165490B (zh) | 一种加密方法、解密方法、存储介质及终端设备 | |
| JP2013502817A (ja) | 保安usb記憶媒体生成及び復号化方法、並びに保安usb記憶媒体生成のためのプログラムが記録された媒体 | |
| CN110868291B (zh) | 一种数据加密传输方法、装置、系统及存储介质 | |
| CN111970114B (zh) | 文件加密方法、系统、服务器和存储介质 | |
| US20190379537A1 (en) | Protecting usage of key store content | |
| EP2108145A2 (en) | Protecting secrets in an untrusted recipient | |
| CN104866784A (zh) | 一种基于bios加密的安全硬盘、数据加密及解密方法 | |
| CN103544453A (zh) | 一种基于usb key的虚拟桌面文件保护方法及装置 | |
| CN101763469A (zh) | 数字版权管理系统及其实现方法 | |
| CN104767766A (zh) | 一种Web Service接口验证方法、Web Service服务器、客户端 | |
| CN103905557A (zh) | 用于云环境的数据存储方法和装置、及下载方法和装置 | |
| CN102769525A (zh) | 一种tcm的用户密钥备份与恢复方法 | |
| CN103207976A (zh) | 移动存储文件防泄密方法及基于该方法的保密u盘 | |
| CN104392153A (zh) | 一种软件保护方法及系统 | |
| CN103577763A (zh) | 具数据保护功能的移动终端设备及数据保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20121010 |