CN109376119B - 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 - Google Patents
一种创建磁盘镜像文件加密快照、使用的方法及存储介质 Download PDFInfo
- Publication number
- CN109376119B CN109376119B CN201811278870.XA CN201811278870A CN109376119B CN 109376119 B CN109376119 B CN 109376119B CN 201811278870 A CN201811278870 A CN 201811278870A CN 109376119 B CN109376119 B CN 109376119B
- Authority
- CN
- China
- Prior art keywords
- snapshot
- source file
- file
- disk image
- cipher
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 101100381510 Mus musculus Bcl10 gene Proteins 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 7
- 230000006870 function Effects 0.000 description 11
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种创建磁盘镜像文件加密快照、使用的方法及存储介质,属于虚拟化领域。其中创建磁盘镜像文件加密快照的方法包括步骤:解析密钥参数,生成cipher密码信息供加解密文件使用;将cipher密码信息拷贝至源文件操作选项中;根据源文件的操作选项打开源文件;判断源文件是否打开成功,如成功,创建快照,并设置快照的加密信息。本发明实施例操作快照时,可利用快照的密钥解密源文件,改变现有功能中无法同时为源文件和快照传递密钥的问题,实现加密功能与快照功能的同时实现。实现了创建Qemu Qcow2的磁盘镜像文件加密快照。
Description
技术领域
本发明涉及虚拟化领域,具体涉及磁盘文件管理。
背景技术
Qemu(即Quick Emulator)是一款开源的模拟器及虚拟机监管器,能模拟ARM、X86等多种平台,现阶段很多云平台(如OpenStack、oVirt)都是以Qemu作为底层虚拟机。Qcow2是Qemu中常用的一种磁盘镜像格式,虚拟机数据、虚拟设备数据多是存放在Qcow2格式的磁盘文件中。Qcow2(即Qemu Copy on Write)是Qemu支持的一种磁盘文件格式,具有占用空间小,支持加密,支持压缩,支持快照的特点。Qcow2格式的磁盘镜像具备快照、压缩等功能,同时支持加密存储。
快照功能是主流云平台必备的功能,完成虚拟机状态的备份,保障虚拟机在遭遇奔溃等问题时可以最大程度的保留虚拟机状态数据,减少虚拟机用户的损失。同时,由于虚拟机、虚拟设备的状态数据是存放到磁盘文件中的,为保证数据的机密性,文件的存放应采取加密的方式。
目前,Qemu中Qcow2格式的磁盘设备支持加密和快照功能,但两个功能无法同时开启,即Qcow2加密格式的文件无法创建快照,或是可创建快照功能的Qcow2格式的文件中的数据以明文形式存在。因此现阶段无法同时兼顾数据保密与数据备份功能。主要原因在于,当Qemu操作快照文件时需要读取源文件,而操作源文件需要提供源文件的加密密钥。现阶段Qemu无法实现操作快照文件时获取源文件加密密钥的功能。
发明内容
本发明为解决Qemu中Qcow2加密格式的文件无法创建快照的技术问题。为此,本发明提供一种创建磁盘镜像文件加密快照、使用的方法及存储介质,它具有能创建磁盘镜像文件加密快照的优点。
为了实现上述目的,本发明采用如下技术方案。
本发明实施例一方面提供一种创建磁盘镜像文件加密快照的方法,基于QemuQcow2文件格式,包含步骤:
解析密钥参数,生成cipher密码信息供加解密文件使用;
将cipher密码信息拷贝至源文件操作选项中;
根据源文件的操作选项打开源文件;
判断源文件是否打开成功,如成功,创建快照,并设置快照的加密信息。
进一步的,判断源文件是否打开成功,如失败结束流程。
本发明实施例另一方面提供一种磁盘镜像文件加密快照的使用方法,基于QemuQcow2文件格式,包含步骤:
解析密钥参数,生成cipher密码信息供加解密文件使用;
将cipher密码信息拷贝至源文件操作选项中;
根据源文件的操作选项打开源文件;
判断源文件是否打开成功,如成功,根据快照的操作选项打开快照;
判断快照是否打开成功,如成功,读取快照和源文件数据至内存中。
进一步的,判断源文件或判断快照是否打开成功,如失败结束流程。
快照是对源文件的一种备份,因此源文件必须存在。在创建或使用加密文件的快照时需要读取源文件中的内容,因此必须要使用源文件的密钥解密源文件,然后再使用该密钥加解密快照的数据,保证快照与源文件使用相同的密钥。
本发明实施例又另一方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现创建磁盘镜像文件加密快照的方法或磁盘镜像文件加密快照的使用方法的步骤。
快照并不是完整的数据复制,而是文件增量的记录,因此快照要基于源文件才可获取完整的数据,因此在读取快照时要同步的读取源文件才可获取完整的数据内容。因此操作快照时需要同创建快照时一样打开并读取源文件。
本发明实施例的有益效果:
1、实现了创建Qemu Qcow2的磁盘镜像文件加密快照。操作快照时,可利用快照的密钥解密源文件,改变现有功能中无法同时为源文件和快照传递密钥的问题,实现加密功能与快照功能的同时实现。
2、通过保存Qcow2源文件密钥的方法来创建快照文件,保证快照文件与源文件使用同一密钥加密。
3、由于快照与源文件使用相同的密钥,在构建快照链时整个快照链使用同一个密钥,不会造成密钥数量的递增。
附图说明
图1是创建磁盘镜像文件加密快照方法的流程示意图。
图2是磁盘镜像文件加密快照的使用方法的流程示意图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
如图1所示,本发明实施例一方面提供一种创建磁盘镜像文件加密快照的方法,基于Qemu Qcow2文件格式,包含步骤:
解析密钥参数,生成cipher密码信息供加解密文件使用。本实施例中解析密钥参数,并将密钥数据加载至内存中作为快照的创建选项,cipher特指该密钥及其算法信息在内存中的索引。快照创建成功后需要使用该cipher来加密数据;
将cipher密码信息拷贝至源文件操作选项中;cipher仅供快照使用,因此需要通过密钥保存模块保存cipher信息,并将cipher信息传递给打开源文件的模块。由于是复制cipher,快照与源文件的加密密钥一致;
根据源文件的操作选项打开源文件;快照要获取源文件的数据来做备份,源文件打开模块使用cipher解密源文件,如果可以解密成功,则说明密钥无误,否则意味着提供的密钥与源文件不匹配。
判断源文件是否打开成功,如成功,创建快照,并设置快照的加密信息。快照要获取源文件的数据来做备份,源文件打开模块使用cipher解密源文件,如果可以解密成功,则说明密钥无误。此时,源文件的内容已经被解密,可以获取内容来进行备份生成快照。
判断源文件是否打开成功,如失败意味着提供的密钥与源文件不匹配。结束流程。
本发明实施例另一方面提供一种磁盘镜像文件加密快照的使用方法,基于QemuQcow2文件格式,包含步骤:
解析密钥参数,生成cipher密码信息供加解密文件使用;本实施例中解析密钥参数,并将密钥数据加载至内存中作为快照的创建选项,cipher特指该密钥及其算法信息在内存中的索引。快照创建成功后需要使用该cipher来加密数据;
将cipher密码信息拷贝至源文件操作选项中;cipher仅供快照使用,因此需要通过密钥保存模块保存cipher信息,并将cipher信息传递给打开源文件的模块。由于是复制cipher,快照与源文件的加密密钥一致;
根据源文件的操作选项打开源文件;快照要获取源文件的数据来做备份,源文件打开模块使用cipher解密源文件,如果可以解密成功,则说明密钥无误,否则意味着提供的密钥与源文件不匹配。
判断源文件是否打开成功,快照要获取源文件的数据来做备份,源文件打开模块使用cipher解密源文件,如果可以解密成功,则说明密钥无误。此时,源文件的内容已经被解密,可以获取内容来进行备份生成快照。如失败意味着提供的密钥与源文件不匹配。结束流程。
根据快照的操作选项打开快照;
判断快照是否打开成功,快照打开模块使用cipher解密快照中的数据,如果可以解密成功,则说明密钥无误;否则说明密钥有误。读取快照和源文件数据至内存中。此时,快照内容和源文件内容已经全部解密,由这两部分内容就可得到完整的数据供Qemu其他模块或组件使用。
本发明实施例另一方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现创建磁盘镜像文件加密快照的方法步骤。
本发明实施例另一方面提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现磁盘镜像文件加密快照的使用方法步骤。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (6)
1.一种创建磁盘镜像文件加密快照的方法,其特征在于,基于Qemu中Qcow2文件格式,包含步骤:
解析密钥参数,生成cipher密码信息供加解密文件使用;
将cipher密码信息拷贝至源文件的操作选项中;
源文件打开模块使用cipher解密源文件;
判断源文件是否打开成功,如成功,创建快照,并设置快照的加密信息。
2.如权利要求1所述的创建磁盘镜像文件加密快照的方法,其特征在于,判断源文件是否打开成功,如失败结束步骤流程。
3.一种磁盘镜像文件加密快照的使用方法,其特征在于,基于Qemu中Qcow2文件格式,包含步骤:
解析密钥参数,生成cipher密码信息供加解密文件使用;
将cipher密码信息拷贝至源文件的操作选项中;
源文件打开模块使用cipher解密源文件;
判断源文件是否打开成功,如成功,快照打开模块使用cipher解密快照中的数据;
判断快照是否打开成功,如成功,读取快照和源文件数据至内存中。
4.如权利要求3所述的磁盘镜像文件加密快照的使用方法,其特征在于,判断源文件或判断快照是否打开成功,如失败结束流程。
5.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-2中的任一创建磁盘镜像文件加密快照的方法的步骤。
6.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求3-4中的任一磁盘镜像文件加密快照的使用方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811278870.XA CN109376119B (zh) | 2018-10-30 | 2018-10-30 | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811278870.XA CN109376119B (zh) | 2018-10-30 | 2018-10-30 | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109376119A CN109376119A (zh) | 2019-02-22 |
CN109376119B true CN109376119B (zh) | 2021-10-26 |
Family
ID=65390495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811278870.XA Active CN109376119B (zh) | 2018-10-30 | 2018-10-30 | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109376119B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110516468B (zh) * | 2019-07-18 | 2021-07-06 | 苏州浪潮智能科技有限公司 | 一种虚拟机内存快照加密的方法和装置 |
CN110659509B (zh) * | 2019-08-29 | 2021-10-22 | 北京浪潮数据技术有限公司 | 一种内存快照文件的生成方法、装置、电子设备及介质 |
CN115146318B (zh) * | 2022-09-02 | 2022-11-29 | 麒麟软件有限公司 | 虚拟磁盘安全存储方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103020543A (zh) * | 2012-12-31 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 一种虚拟磁盘映像加密管理系统及方法 |
CN103250163A (zh) * | 2010-12-09 | 2013-08-14 | 国际商业机器公司 | 用于加密和解密虚拟盘的计算机可读存储介质 |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN104780048A (zh) * | 2015-04-13 | 2015-07-15 | 中国电子科技集团公司第二十八研究所 | 一种轻量级的镜像文件加密系统和方法 |
CN105700944A (zh) * | 2015-12-31 | 2016-06-22 | 赛尔网络有限公司 | 虚拟机没有共享存储条件下的在线迁移方法和装置 |
CN106469279A (zh) * | 2016-08-30 | 2017-03-01 | 北京北信源软件股份有限公司 | 一种压缩加、解密的方法和系统 |
CN107169373A (zh) * | 2017-05-11 | 2017-09-15 | 山东超越数控电子有限公司 | 一种虚拟机镜像文件保护方法及系统 |
CN107688746A (zh) * | 2017-08-30 | 2018-02-13 | 浪潮(北京)电子信息产业有限公司 | 一种内核文件的加载方法和装置 |
CN107943556A (zh) * | 2017-11-10 | 2018-04-20 | 中国电子科技集团公司第三十二研究所 | 基于kmip和加密卡的虚拟化数据安全方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9076021B2 (en) * | 2012-07-16 | 2015-07-07 | Compellent Technologies | Encryption/decryption for data storage system with snapshot capability |
US20140236898A1 (en) * | 2013-02-18 | 2014-08-21 | Compellent Technologies | System and method for facilitating electronic discovery |
-
2018
- 2018-10-30 CN CN201811278870.XA patent/CN109376119B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103250163A (zh) * | 2010-12-09 | 2013-08-14 | 国际商业机器公司 | 用于加密和解密虚拟盘的计算机可读存储介质 |
CN103020543A (zh) * | 2012-12-31 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 一种虚拟磁盘映像加密管理系统及方法 |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN104780048A (zh) * | 2015-04-13 | 2015-07-15 | 中国电子科技集团公司第二十八研究所 | 一种轻量级的镜像文件加密系统和方法 |
CN105700944A (zh) * | 2015-12-31 | 2016-06-22 | 赛尔网络有限公司 | 虚拟机没有共享存储条件下的在线迁移方法和装置 |
CN106469279A (zh) * | 2016-08-30 | 2017-03-01 | 北京北信源软件股份有限公司 | 一种压缩加、解密的方法和系统 |
CN107169373A (zh) * | 2017-05-11 | 2017-09-15 | 山东超越数控电子有限公司 | 一种虚拟机镜像文件保护方法及系统 |
CN107688746A (zh) * | 2017-08-30 | 2018-02-13 | 浪潮(北京)电子信息产业有限公司 | 一种内核文件的加载方法和装置 |
CN107943556A (zh) * | 2017-11-10 | 2018-04-20 | 中国电子科技集团公司第三十二研究所 | 基于kmip和加密卡的虚拟化数据安全方法 |
Non-Patent Citations (2)
Title |
---|
《Analysing Snapshot Isolation》;Andrea Cerone等;《Proceedings of the 2016 ACM Symposium on Principles of Distributed Computing》;20160731;第55–64页 * |
《基于QEMU的Xen文件系统加解密设计》;谌腾等;《计算机应用》;20140210;第477-480页 * |
Also Published As
Publication number | Publication date |
---|---|
CN109376119A (zh) | 2019-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8341430B2 (en) | External encryption and recovery management with hardware encrypted storage devices | |
US9231923B1 (en) | Secure data destruction in a distributed environment using key protection mechanisms | |
CN101231622B (zh) | 基于闪存的数据存储方法和设备、及数据读取方法和设备 | |
CN107003866A (zh) | 来自加密模板的加密虚拟机的安全创建 | |
CN109376119B (zh) | 一种创建磁盘镜像文件加密快照、使用的方法及存储介质 | |
US7818567B2 (en) | Method for protecting security accounts manager (SAM) files within windows operating systems | |
US9182982B1 (en) | Techniques for creating an encrypted virtual hard disk | |
CN109325355A (zh) | 基于虚拟磁盘的移动终端数据安全存储方法 | |
CN105786521B (zh) | 一种文件外发保护方法和装置 | |
CN115146318B (zh) | 虚拟磁盘安全存储方法 | |
KR20210021285A (ko) | 안전한 컴퓨터 시스템 | |
CN110826099A (zh) | 适用于嵌入式实时操作系统的安全存储方法及系统 | |
US10223538B1 (en) | Preventing persistent storage of cryptographic information | |
CN104361297A (zh) | 一种基于Linux操作系统的文件加解密方法 | |
CN114491607A (zh) | 云平台数据处理方法、装置、计算机设备及存储介质 | |
TW201738802A (zh) | 用以防止檔案的未授權利用及控制存取的可卸式安全裝置及方法 | |
US20140258720A1 (en) | Systems and methods for transparent per-file encryption and decryption via metadata identification | |
CN109065077B (zh) | 加密光盘制作方法和装置 | |
CN109240804A (zh) | 虚拟机的磁盘资源的管理方法和装置 | |
CN108021801A (zh) | 基于虚拟桌面的防泄密方法、服务器及存储介质 | |
RU2580014C2 (ru) | Система и способ изменения маски зашифрованной области при возникновении сбоя в компьютерной системе | |
CN111190695A (zh) | 一种基于鲲鹏芯片的虚拟机保护方法及装置 | |
US11979489B1 (en) | Database with encryption key rotation | |
CN114239091B (zh) | 基于可信芯片的磁盘加密方法及系统 | |
CN117235772B (zh) | 数据处理方法、装置、计算机设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |