WO2013097209A1

WO2013097209A1 - 一种加密方法、解密方法和相关装置及系统

Info

Publication number: WO2013097209A1
Application number: PCT/CN2011/085116
Authority: WO
Inventors: 何承东
Original assignee: 华为技术有限公司
Priority date: 2011-12-31
Filing date: 2011-12-31
Publication date: 2013-07-04
Also published as: CN102726028A

Abstract

一种加密方法、解密方法和相关装置及系统，其中加密方法包括：加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥；所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息，所述密钥申请响应消息包括所述加密密钥；所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。

Description

技术领域

本发明实施例涉及计算机技术领域，尤其涉及一种加密方法、解密方法和相关装置及系统。背景技术随着云计算技术的成熟，例如在云的弹性计算出租场景下，越来越多的企业用户将虚拟机 ( VM, Virtual Machine ) 的系统卷放在云上，这样企业用户就失去了对系统卷的控制，安全性能不能得到保证成为了企业用户最大的疑虑。存在的安全威胁可能有： 1 )、云服务商的特权用户（例如管理员）可能非法挂载企业用户的系统卷从而查看数据。 2 )、黑客也可能非法入侵云中的用户虚拟机从而查看用户的数据，造成数据泄漏。这些疑虑也是企业用户将系统卷迁移到云端的最大障碍，为了推动云计算的进一步普及应用，如何保障企业用户的虚拟机系统卷的安全，以消除企业用户的这个疑虑，成为业界亟待解决的难题之一。发明内容

本发明实施例提供了一种加密方法、解密方法和相关装置及系统，用于对用户的虚拟机中的系统卷进行安全保护。

一方面，本发明实施例提供的虚拟机中系统卷的加密方法，包括：加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥；

所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息，所述密钥申请响应消息包括所述加密密钥；

所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。

另一方面，本发明实施例提供的虚拟机中系统卷的解密方法，包括：加密客户端对加密的加密密钥进行解密；

所述加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。

另一方面，本发明实施例提供的一种加密客户端，包括：

发送单元，用于向密钥管理系统发送密钥申请请求消息，以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥；

接收单元，用于接收所述密钥管理系统发送的密钥申请响应消息，所述密钥申请响应消息包括所述加密密钥；

加密单元，用于根据所述加密密钥对虚拟机中的系统卷进行加密。

另一方面，本发明实施例提供的虚拟机中系统卷的加密系统，包括：所述加密客户端包括：

所述密钥管理系统包括：

收发单元，用于接收所述加密客户端发送的密钥申请请求消息；密钥生成单元，用于根据所述密钥申请请求消息生成加密密钥；所述收发单元，用于向所述加密客户端发送密钥申请响应消息，所述密钥申请响应消息包括所述加密密钥。

另一方面，本发明实施例提供的另一种加密客户端，包括：

密钥解密单元，用于对加密的加密密钥进行解密；

系统卷解密单元，用于根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。

从以上技术方案可以看出，本发明实施例具有以下优点：

在本发明的一实施例中，由加密客户端从密钥申请响应消息中得到加密密钥，并根据该加密密钥对虚拟机中的系统卷进行加密，由于本发明实施例中对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的安全。

在本发明另一实施例中，由加密客户端首先对加密的加密密钥进行解密，然后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密，由于在对虚拟机中的系统卷进行解密时，必须对加密密钥解密才能用这个解密后的加密密钥对系统卷进行解密，能够保障用户的虚拟机中的系统卷只有解密后才能够使用，避免了系统卷的泄露，有利于用户的虚拟机中系统卷的安全。附图说明

图 1 为本发明实施例提供的虚拟机中系统卷的加密方法的一个实施例示意图；

图 2 为本发明实施例提供的加密客户端和密钥管理系统之间的交互流程示意图；

图 3 为本发明实施例提供的虚拟机中系统卷的解密方法的一个实施例示意图；

图 4为本发明实施例提供的一种加密客户端的结构示意图；

图 5为本发明实施例提供的虚拟机中系统卷的加密系统的示意图；图 6为本发明实施例提供的另一种加密客户端的结构示意图。具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域的技术人员所获得的所有其他实施例，都属于本发明保护的范围。

请参阅图 1 , 本发明实施例提供的虚拟机中系统卷的加密方法的一个实施例，包括如下步骤：

101、加密客户端向密钥管理系统发送密钥申请请求消息，以使密钥管理系统根据密钥申请请求消息生成加密密钥。

在本发明实施例中，加密客户端向密钥管理系统发送密钥申请请求消息，以向密钥管理系统请求分配加密密钥，在实际应用中，当用户需要对虚拟机加密时，用户可以向加密客户端下达加密卷指令，以使加密客户端对虚拟机中的系统卷加密，实现对用户的虚拟机中系统卷的安全保护。需要说明的是，加密客户端实现对用户的虚拟机中系统卷的安全保护，加密客户端可以部署在用户的虚拟机中，当用户需要对系统卷加密时可以调用，密钥管理系统是能够产生密钥以用于保护数据安全的系统，具体可以部署在云端，也可以部署在用户自己的虚拟机中，具体可以由用户需要来决定。

密钥管理系统从加密客户端接收到密钥申请请求消息之后，密钥管理系统根据该密钥申请请求消息生成加密密钥（EK, Encryption Key ), 然后密钥管理系统将生成的加密密钥携带在密钥申请响应消息中，密钥管理系统向加密客户端发送密钥申请响应消息。

需要说明的是，本发明实施例中描述的系统卷是相对于虚拟机中的数据卷来说的，比如数据卷指的是用户在虚拟机中存储资料、图片等所使用的卷，系统卷可以指的是虚拟机中安装的操作系统所使用的卷，系统卷除了包括虚拟机中，系统卷还可以包括虚拟机预启动操作系统。在实际应用中，虚拟机的操作系统和预启动操作系统都可以统称之为卷数据。

102、加密客户端接收密钥管理系统发送的密钥申请响应消息，其中，密钥申请响应消息包括加密密钥。

加密客户端接收密钥管理系统发送的密钥申请响应消息，通过该密钥申请响应消息，加密客户端就可以提取出密钥管理系统为加密客户端生成的加密密钥。

需要说明的是，在本发明实施例中，当密钥管理系统为加密客户端发送密钥申请响应消息之后，为了保证密钥管理系统生成的加密密钥的安全性，密钥管理系统对自己生成的加密密钥进行加密存储，根据加密客户端的请求向加密客户端发送所述加密密钥，即密钥管理系统不能够以明文的形式直接保存加密密钥，而是加密后作为密文来保存，在实际应用中，密钥管理系统对加密密钥进行加密存储包括：密钥管理系统生成根密钥（RK, Rook Key), 密钥管理系统根据根密钥对加密密钥进行加密存储，密钥管理系统可以采用密钥推导函数 ( KDF , Key Derivation Function )根据根密钥加密加密密钥，例如，加密前的明文为 EK, 则采用 RK加密后得到的密文 EK，=KDF(RK, EK), 密钥管理系统采用的 KDF具体可以为高级加密标准（ AES , Advanced Encryption Standard ) 算法。另外，为了防止恶意者非法获取根密钥，密钥管理系统根据根密钥对加密密钥进行加密存储之后，还包括：密钥管理系统将根密钥保存在硬件芯片；或，密钥管理系统将根密钥拆分成多个部分，分別保存在密钥管理系统中的不同位置。例如，密钥管理系统将根密钥 RK划分为两个部分，分別为 RK1、 RK2, 分別将这两个部分保存在密钥管理系统中两个不同的地方，以增加安全性，再需要根密钥时通过一定的算法来根据 RK1、 RK2恢复出 RK, 例如 RK=RK1II RK2。

103、加密客户端根据加密密钥对虚拟机中的系统卷进行加密。

在获取到密钥管理系统分配的加密密钥之后，加密客户端就可以根据该加密密钥对虚拟机中的系统卷进行加密，以达到安全保护的目的。

加密客户端采用加密密钥对虚拟机中的系统卷加密，保存在云端，以使用户对系统卷的安全放心，在实际应用中，加密客户端对系统卷进行加密具体可以为：加密客户端根据加密密钥对虚拟机的操作系统进行加密，例如加密客户端将整个虚拟机 ( VM, Virtual Machine )的操作系统（ OS, Operating System ) 都进行加密保护，需要说明的是，加密客户端对 VM OS进行加密保护之外还可以对虚拟机中装载的应用程序都进行加密保护，这样，加密之后的操作系统放在云端，能够保证数据安全，避免数据泄漏。

需要说明的是，在本发明实施例中，加密客户端根据加密密钥对虚拟机中的系统卷进行加密之后，还可以包括：加密客户端存储加密密钥，以使加密客户端再次启动时，利用存储的加密密钥对虚拟机中的系统卷进行解密，即以便将来需要时，可以根据加密客户端的请求首先解密得到原始的加密密钥，然后向加密客户端发送加密密钥。在本发明实施例中，加密客户端根据加密密钥对虚拟机的系统卷进行加密之后，为了保证加密密钥的安全性以避免被恶意者的非法获取，加密客户端可以对加密密钥进行加密存储，即加密密钥被加密后再保存，而不是作为明文来保存，在实际应用中，加密客户端可以采用多种实现方式对加密密钥进行加密存储，其中一种实现方式可以包括如下步骤：

Al、加密客户端获取用户的认证密钥；

A2、加密客户端根据认证密钥对加密密钥进行加密；

A3、加密客户端将加密后的加密密钥保存在预启动操作系统的区域中。对于步骤 A1 , 加密客户端首先获取用户的认证密钥（AK, Authentication Key ), 在每个虚拟机中都对应有用户，每个用户都有一个对应的认证密钥，通常安全存储在活动目录（AD, Active Directory )服务端（Server ) 中，加密客户端可以采用由用户自己人工输入认证密钥的方式，也可以由加密客户端与 AD Server交互的方式来获取到认证密钥。

对于步骤 A2, 加密客户端获取到认证密钥之后，加密客户端可以根据该认证密钥对加密密钥进行加密，加密客户端可以采用密钥推导函数（KDF, Key Derivation Function )才艮据认证密钥加密加密密钥，例如，力口密前的明文为 EK , 则利用 AK加密 EK后得到的密文 EK"=KDF(AK, EK) , 加密客户端采用的 KDF具体可以为高级加密标准（ AES, Advanced Encryption Standard )算法，需要说明的是，在本发明实施例中，也可以不采用认证密钥对加密密钥进行加密，而采用其它的密钥来加密，但是使用现有技术已经存在的认证密钥进行加密，可以减少对原有系统做较大改进，能更好的兼容现有的操作系统。

对于步骤 A3, 加密客户端对加密密钥加密之后，加密客户端将加密的加密密钥保存在预启动（Preboot )操作系统（OS, Operate System ) 的区域中，预启动操作系统实际上是一个很小的操作系统，是虚拟机中的隐藏区域，主要用于完成对 VM OS启动之前的一些预处理工作，例如输入解密 VM OS的密码，对用户进行认证等。在本发明实施例中，可以为 VM预先配置此预启动操作系统。在实际应用中，虚拟机上的系统卷实际上可以划分为两个部分： Preboot OS, VM OS, 为保证系统能正常启动， Preboot OS必须明文保存；为保证 VM中数据安全性， VM OS (包含应用程序)必须加密保存，其中，预启动操作系统配置在云端的虚拟机中，预启动操作系统用于在虚拟机启动前对用户进行认证。

需要说明的是，在步骤 A2完成之后，为了进一步的保证认证密钥的安全性，还可以包括如下步骤：加密客户端对认证密钥进行保护处理，加密客户端将保护后的认证密钥保存在预启动操作系统的区域中，例如，加密客户端对 AK进行哈希算法处理，得到 HASH( AK ) ,然后将 HASH( AK M呆存在 Preboot OS之中，又如，加密客户端还可以对明文为 AK进行加密处理，然后将加密后的 AK保存在 Preboot OS的区域之中。

在本发明实施例中，由加密客户端从密钥申请响应消息中得到加密密钥，并根据该加密密钥对虚拟机中的系统卷进行加密，最后对加密密钥也进行加密存储，由于本发明实施例中对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的安全。

接下来以一个详细的应用场景来介绍本发明实施例提供的虚拟机中系统卷的加密方法，如图 2所示，为加密客户端和密钥管理系统之间的交互流程图，包括：

201、用户向加密客户端下达加密卷指令；

202、加密客户端向密钥管理系统发送密钥申请请求消息；

203、密钥管理系统根据该密钥申请请求消息生成加密密钥；

204、密钥管理系统向加密客户端发送密钥申请响应消息，密钥申请响应消息包括加密密钥；

205、加密客户端根据该加密密钥对虚拟机中的系统卷进行加密；

206、加密客户端对加密密钥进行加密存储；

207、密钥管理系统对加密密钥进行加密存储。

在本发明实施例中，由加密客户端通过和密钥管理系统交互得到加密密钥，然后加密客户端对虚拟机中系统卷进行加密，最后加密客户端和密钥管理系统都对加密密钥进行加密存储，能够保障用户的虚拟机中系统卷的安全。

以上实施例介绍本发明实施例提供的虚拟机中系统卷的加密方法，接下来介绍与该加密方法相对应的解密方法，请参阅图 3所示，本发明实施例提供的虚拟机中系统卷的解密方法包括：

301、加密客户端对加密的加密密钥进行解密；

在本发明实施例中，系统卷加密后被保存在云端，当用户需要使用虚拟机时用户从云端获取系统卷，则用户可以向加密客户端下达解密卷指令，以使加密客户端对加密后的系统卷进行解密，加密客户端从用户侧得到解密卷指令之后，根据前述的加密方法，加密密钥也已经被加密存储了，所以在本发明实施例中，加密客户端若需要使用加密密钥对系统卷进行解密，则加密客户端首先需要对加密的加密密钥进行解密。

需要说明的是，若加密的加密密钥保存在预启动操作系统的区域中，加密客户端对加密的加密密钥 EK进行解密包括：

Bl、加密客户端加载虚拟机的预启动操作系统；

B2、加密客户端接收用户输入的认证密钥； B3、加密客户端根据认证密钥对加密的加密密钥进行解密，得到明文的加密密钥。

对于步骤 B1 , 加密密钥被加密保存在预启动操作系统的区域中，加密客户端则需要首先加载这个预启动操作系统，用户输入用户名和认证密钥，然后执行步骤 B2, 加密客户端接收用户输入的认证密钥，得到认证密钥之后，还包括步骤：加密客户端对认证密钥进行保护处理，并将保护处理后的认证密钥和预先存储的经过保护处理的认证密钥进行比较，若一致则用户鉴权通过，然后再触发步骤 B3执行。若不一致则用户没有通过鉴权，则拒绝执行步骤 B3。例如，上述对用户的鉴权处理过程为：假如上述加密客户端对认证密钥进行保护处理的方法中，加密客户端将 AK进行哈希算法处理，得到 HASH ( AK ), 然后将 HASH ( AK )预先保存在 Preboot OS之中，则加密客户端先根据用户输入的 AK计算 HASH(AK),并和隐藏区域事先存储的 HASH(AK)比较，如果一致的话，则用户鉴权通过。又如，若加密客户端对认证密钥进行保护处理时对 AK进行了加密，则在此需要对用户输入的 AK进行加密，然后比较用户输入的 AK加密后的结果与事先存储的加密后的 AK, 如果一致的话，则用户鉴权通过。

需要说明的是，在步骤 B2执行之后，还可以包括步骤：加密客户端将认证密钥保存在预启动操作系统的内存。这样做的目的在于当解密完成虚拟机的操作系统之后，用户仍然需要使用用户名和认证密钥才能登陆操作系统，为了避免用户的重复输入，在本发明实施例中可以将用户输入的认证密钥保存在预启动操作系统的内存之后，当需要启动虚拟机的操作系统时将保存在预启动操作系统的内存中的认证密钥作为启动参数输入到操作系统中，实现了用户的单点登录（SSO, Single Sign On )。

302、加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。

在本发明实施例中，加密客户端对加密的加密密钥进行解密之后，加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密，具体的解密算法会因为采用的加密算法的不同而不同。

需要说明的是，在实际应用中，若虚拟机中的系统卷包括虚拟机的操作系统，则加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密具体为：加密客户端根据解密后的加密密钥对加密的虚拟机的操作系统进行解密。若卷数据还包括虚拟机上的应用程序，则加密客户端根据加密的加密密钥对整个虚拟机的操作系统和虚拟机上加载的应用程序都进行解密，则解密后的操作系统就可以由用户登录使用了。

在本发明提供的实施例中，由加密客户端首先对加密密钥进行解密，然后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密，由于在对虚拟机中的系统卷进行解密时必须得对加密密钥解密，然后用这个解密后的加密密钥对系统卷进行解密，能够保障用户的虚拟机中的系统卷只有解密后才能够使用，避免了系统卷的泄露，有利于用户的虚拟机中系统卷的安全。

接下来以实际的应用场景来介绍本发明实施例提供的虚拟机中系统卷的解密方法，介绍的是系统卷包括虚拟机中的操作系统被加密时的解密方法，包括：

1、当虚拟机加电启动后，首先进入虚拟基本输入输出系统（ VxBIOS , Basic Input Output System ), 然后访问 Preboot OS。。

2、加密客户端加载 Preboot OS到内存，执行 Preboot OS, 显示用户输入界面，用户输入认证信息（用户名， AK )。

3、加密客户端根据用户输入的 AK计算 HASH(AK), 并和隐藏区域事先存储的 HASH(AK)比较，一致的话，则用户在 Preboot OS通过鉴权。

4、加密客户端利用用户输入的 AK解密被加密的加密密钥 EK", 得到加密密钥 EK。

5、加密客户端用 EK解密操作系统得到原始未加密的 VM OS。

6、加密客户端加载 VM OS, 并将（用户名， AK )作为启动参数传递给 VM OS。

7、 VM OS正常启动和自动登录，不需要再次输入（用户名、 AK)。从而实现了单点登录。

以上实施例分別介绍了本发明实施例提供的虚拟机中系统卷的加密方法、解密方法，接下来介绍使用这些方法的相应装置，如图 4所示，一种加密客户端 400, 包括：

发送单元 401 , 用于向密钥管理系统发送密钥申请请求消息，以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥；接收单元 402, 用于接收所述密钥管理系统发送的密钥申请响应消息，其中，密钥申请响应消息包括加密密钥；

加密单元 403 , 用于根据加密密钥对虚拟机中的系统卷进行加密。

需要说明的是，在本发明实施例中，加密客户端 400还可以包括：存储单元 404, 用于存储加密密钥，以使加密客户端再次启动时，利用存储的加密密钥对所述虚拟机中的系统卷进行解密。

需要说明的是，对于加密单元 403 而言，在实际应用中，加密单元 403 可以具体用于根据加密密钥对虚拟机的操作系统进行加密。

需要说明的是，对于存储单元 404 而言，在实际应用中，存储单元 404 具体可以包括（未在图 4中示出 ):

获取模块，用于获取用户的认证密钥；

密钥加密模块，用于根据认证密钥对加密密钥进行加密；

保存模块，用于将加密后的加密密钥保存在预启动操作系统的区域中。需要说明的是，密钥加密模块还用于对认证密钥进行保护处理，保存模块还用于将保护处理后的认证密钥保存在预启动操作系统的区域中。

需要说明的是，上述装置各模块 /单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实施例相同，具体内容可参见本发明如图 1或 2所示的方法实施例中的叙述，此处不再赘述。

在本发明实施例中，由接收单元从密钥申请响应消息中得到加密密钥，并由加密单元根据该加密密钥对虚拟机中的系统卷进行加密，由于本发明实施例中对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的安全。

接下来介绍一种虚拟机中系统卷的加密系统，如图 5所示，虚拟机中系统卷的加密系统 500, 包括：加密客户端 501和密钥管理系统 502, 其中，

加密客户端 501具体可以为如前述实施例中描述的加密客户端 400;

密钥管理系统 502包括：

收发单元 5021 , 用于接收加密客户端发送的密钥申请请求消息；密钥生成单元 5022, 用于根据密钥申请请求消息生成加密密钥；收发单元 5021 , 还用于向加密客户端发送密钥申请响应消息，其中，密钥申请响应消息包括加密密钥。需要说明的是，本发明实施例提供的密钥管理系统 502, 还可以包括：加密存储单元 5023 , 用于对密钥管理系统 502 自己生成的加密密钥进行加密存储单元，以根据加密客户端的请求向加密客户端发送加密密钥。在实际应用中，一种实现方式是，加密存储单元 5023具体可以用于：生成根密钥，根据根密钥对加密密钥进行加密存储。

在本发明提供的实施例中，由加密客户端从密钥管理系统中得到加密密钥，并根据该加密密钥对虚拟机中的系统卷进行加密，由于本发明实施例中对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的安全。

以上实施例介绍了使用虚拟机中系统卷的加密方法的对应装置，接下来介绍使用虚拟机中系统卷的解密方法的对应装置，如图 6所示，加密客户端 600, 包括：

密钥解密单元 601 , 用于对加密的加密密钥进行解密；

系统卷解密单元 602, 用于根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密。

需要说明的是，在实际应用中，若加密的加密密钥被保存在预启动操作系统的区域中，则密钥解密单元 601具体可以包括（未在图 6中示出）：

加载模块，用于加载虚拟机的预启动操作系统；

接收模块，用于接收用户输入的认证密钥；

密钥解密模块，用于根据认证密钥对加密存储的加密密钥进行解密。

在实际应用中，密钥解密单元还可以包括：鉴权模块，用于对认证密钥进行保护处理，并将保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较，若一致则用户鉴权通过，触发密钥解密模块执行。

需要说明的是，上述装置各模块 /单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实施例相同，具体内容可参见本发明如图 2或 3所示的方法实施例中的叙述，此处不再赘述。

在本发明提供的实施例中，由密钥解密单元首先对加密的加密密钥进行解密，然后由系统卷解密单元再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密，由于在对虚拟机中的系统卷进行解密时必须得对加密密钥解密，然后用这个解密后的加密密钥对系统卷进行解密，能够保障用户的虚拟机中的系统卷只有解密后才能够使用，避免了系统卷的泄露，有利于用户的虚拟机中系统卷的安全。

所属领域的技术人员可以清楚地了解到，为描述的方便和筒洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ Read-Only Memory,筒称 ROM )、随机存取存储器（ Random Access Memory, 筒称 RAM )、磁碟或者光盘等各种可以存储程序代码的介质。

以上对本发明所提供的一种加密方法、解密方法和相关装置及系统进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，因此，本说明书内容不应理解为对本发明的限制。

Claims

权利要求

1、一种虚拟机中系统卷的加密方法，其特征在于，包括：

加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系统根据所述密钥申请请求消息生成加密密钥；

2、根据权利要求 1所述的方法，其特征在于，所述方法还包括：所述加密客户端存储所述加密密钥，以使所述加密客户端再次启动时，利用所述存储的加密密钥对所述虚拟机中的系统卷进行解密。

3、根据权利要求 2所述的方法，其特征在于，所述加密客户端存储所述加密密钥具体包括：

所述加密客户端获取用户的认证密钥；

所述加密客户端根据所述认证密钥对所述加密密钥进行加密；

所述加密客户端将加密后的加密密钥保存在预启动操作系统的区域中。

4、根据权利要求 3所述的方法，其特征在于，所述预启动操作系统配置在云端的虚拟机中，所述预启动操作系统用于在所述虚拟机启动前对用户进行认证。

5、根据权利要求 4所述的方法，其特征在于，所述加密客户端根据所述认证密钥对所述加密密钥进行加密之后，还包括：

所述加密客户端对所述认证密钥进行保护处理；

所述加密客户端将保护处理后的认证密钥保存在预启动操作系统的区域中。

6、根据权利要求 1-5任一所述的方法，其特征在于，所述方法还包括：所述密钥管理系统对所述加密密钥进行加密存储，以根据所述加密客户端的请求向所述加密客户端发送所述加密密钥。

7、根据权利要求 6所述的方法，其特征在于，所述密钥管理系统对所述加密密钥进行加密存储包括：

所述密钥管理系统生成根密钥；

所述密钥管理系统根据所述根密钥对所述加密密钥进行加密存储。

8、一种虚拟机中系统卷的解密方法，其特征在于，包括：

加密客户端对加密的加密密钥进行解密；

9、根据权利要求 8所述的方法，其特征在于，若所述加密的加密密钥保存在预启动操作系统的区域中，所述加密客户端对加密的加密密钥进行解密包括：

所述加密客户端加载所述虚拟机的预启动操作系统；

所述加密客户端接收用户输入的认证密钥；

所述加密客户端根据所述认证密钥对加密的加密密钥进行解密。

10、根据权利要求 9所述的方法，其特征在于，所述加密客户端接收用户输入的认证密钥之后，还包括：

所述加密客户端对所述认证密钥进行保护处理，并将所述保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较，若一致则所述用户鉴权通过，触发所述加密客户端根据所述认证密钥对加密的加密密钥进行解密的步骤。

11、一种加密客户端，其特征在于，包括：

12、根据权利要求 11所述的加密客户端，其特征在于，所述加密客户端还包括：存储单元，用于存储所述加密密钥，以使所述加密客户端再次启动时，利用所述存储的加密密钥对所述虚拟机中的系统卷进行解密。

13、根据权利要求 12所述的加密客户端，其特征在于，所述存储单元包括：

获取模块，用于获取用户的认证密钥；

密钥加密模块，用于根据所述认证密钥对所述加密密钥进行加密；保存模块，用于将加密后的加密密钥保存在预启动操作系统的区域中。

14、根据权利要求 13所述的加密客户端，其特征在于，所述密钥加密模块还用于对所述认证密钥进行保护处理；

所述保存模块，还用于将保护处理后的认证密钥保存在预启动操作系统的区域中。

15、一种虚拟机中系统卷的加密系统，其特征在于，包括：加密客户端和密钥管理系统，其中，

所述加密客户端如权利要求 11至 14中任一项所述的加密客户端；所述密钥管理系统包括：

收发单元，用于接收所述加密客户端发送的密钥申请请求消息；密钥生成单元，用于根据所述密钥申请请求消息生成加密密钥；所述收发单元，还用于向所述加密客户端发送密钥申请响应消息，所述密钥申请响应消息包括所述加密密钥。

16、根据权利要求 15所述的虚拟机中系统卷的加密系统，其特征在于，所述密钥管理系统还包括：

加密存储单元，用于对所述密钥管理系统自己生成的加密密钥进行加密存储，以根据所述加密客户端的请求向所述加密客户端发送所述加密密钥。

17、根据权利要求 16所述的虚拟机中系统卷的加密系统，其特征在于，所述加密存储单元具体用于：生成根密钥，根据所述根密钥对所述加密密钥进行加密存储。

18、一种加密客户端，其特征在于，包括：

密钥解密单元，用于对加密的加密密钥进行解密；

19、根据权利要求 18所述的加密客户端，其特征在于，若所述加密的加密密钥保存在预启动操作系统的区域中，所述密钥解密单元包括：

加载模块，用于加载所述虚拟机的预启动操作系统；

接收模块，用于接收用户输入的认证密钥；

密钥解密模块，用于根据所述认证密钥对加密的加密密钥进行解密。

20、根据权利要求 19所述的加密客户端，其特征在于，所述密钥解密单元还包括：鉴权模块，用于对所述认证密钥进行保护处理，并将所述保护处理后的认证密钥和预先存储经过保护处理的认证密钥进行比较，若一致则所述用户鉴权通过，触发所述密钥解密模块执行。