技術領域

本發明涉及云計算技術領域，特別涉及虛擬磁盤加密方法、解密方法、裝置及云服務器。

背景技術

云計算（Cloud?Computing）是一種通過互聯網提供動態易擴展的虛擬化資源的技術，通過云計算可以便捷地訪問網絡，并且通過配置大量的存儲設備，可以實現海量數據的存儲和管理。虛擬機（Virtual?Machine，VM）指通過軟件模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。通常可以在一臺物理計算機上模擬出多臺VM，即在該物理計算機的存儲設備上為每個VM劃分一段存儲空間，用于存儲操作系統和用戶數據，該存儲空間可以映射為VM的虛擬磁盤，每個VM可以對應一個用戶，上述模擬多臺VM的物理計算機可以稱為云計算系統中的云服務器。用戶在終端上通過網絡訪問其在云服務器上的虛擬機后，就可以實現安裝應用程序、保存應用數據、訪問網絡資源等。

在云計算系統中，由于云服務器為用戶分配了VM，因此用戶可以將原來保存在物理計算機中的數據資源保存到云服務器上的虛擬磁盤中。為了保證用戶數據資源的安全性，現有技術在云服務器前端設置了加密設備，當用戶向虛擬磁盤中存入數據時，由加密設備對用戶的資源數據進行加密，相應的，當用戶從虛擬磁盤中讀出數據時，由加密設備對用戶的資源數據進行解密。由此可知，在加密設備對數據的加解密過程中，用戶是無法參與控制加解密過程的，如果云服務器或加密設備存在安全漏洞，則無法確保數據的安全性。

發明內容

本發明實施例中提供了虛擬磁盤加密方法、解密方法、裝置及云服務器，以解決現有技術中通過加密設備對云服務器上的所有虛擬磁盤進行加密，而存在的安全性問題。

為了解決上述技術問題，本發明實施例公開了如下技術方案：

第一方面，提供一種虛擬磁盤加密方法，所述方法包括：

云服務器獲取虛擬機VM的第一對稱密鑰、第二對稱密鑰及接入所述VM的Ukey的Ukey證書；

所述云服務器通過所述Ukey證書對所述第二對稱密鑰進行加密獲得第二密文密鑰，以及通過所述第二對稱密鑰對所述第一對稱密鑰進行加密獲得第一密文密鑰；

所述云服務器將所述第一密文密鑰發送至加密業務管理服務器，以使所述加密業務管理服務器保存所述VM的VM標識與所述第一密文密鑰的對應關系；以及

所述云服務器通過所述第一對稱密鑰對所述VM的虛擬磁盤進行加密得到加密虛擬磁盤。

結合第一方面，在第一方面的第一種可能的實現方式中，所述云服務器獲取VM的第一對稱密鑰、第二對稱密鑰及Ukey證書之前，所述方法還包括：

用戶通過在所述VM上接入Ukey進行證書注冊時，所述云服務器獲取所述Ukey的Ukey證書；

所述云服務器將所述Ukey證書及所述VM的VM標識發送至所述加密業務管理服務器，以使所述加密業務管理服務器保存所述Ukey證書及所述VM標識之間的對應關系。

結合第一方面的第一種可能的實現方式，在第一方面的第二種可能的實現方式中，所述云服務器獲取VM的第一對稱密鑰、第二對稱密鑰，包括：

云服務器獲取所述VM的VM標識；

所述云服務器將所述VM標識傳輸至所述加密業務管理服務器；

所述云服務器接收所述加密業務管理服務器傳輸的加密后的第一對稱密鑰和第二對稱密鑰，所述加密后的第一對稱密鑰和第二對稱密鑰為所述加密業務管理服務器獲取到由加密機生成的第一對稱密鑰和第二對稱密鑰后，通過所述VM標識查找所述對應關系，獲取到與所述VM標識對應的Ukey證書后，通過所述Ukey證書對所述第一對稱密鑰和第二對稱密鑰加密后的密鑰；

所述云服務器通過所述Ukey解密所述加密后的第一對稱密鑰和第二對稱密鑰，得到所述第一對稱密鑰和第二對稱密鑰。

結合第一方面，或第一方面的第一種可能的實現方式，在第一方面的第三種可能的實現方式中，所述云服務器獲取虛擬機VM的第一對稱密鑰、第二對稱密鑰，包括：

所述云服務器為所述VM生成所述第一對稱密鑰和第二對稱密鑰。

結合第一方面，第一方面的第一種可能的實現方式，第一方面的第二種可能的實現方式，或第一方面的第三種可能的實現方式，在第一方面的第四種可能的實現方式中，所述方法還包括：

所述云服務器將所述第二密文密鑰保存在所述虛擬磁盤的磁盤頭。

第二方面，提供一種虛擬磁盤解密方法，該方法用于對前述虛擬磁盤加密方法加密的虛擬磁盤進行解密，所述方法包括：