技術領域

本發明實施例涉及通信技術，尤其涉及一種虛擬機系統數據加密方法及設備。

背景技術

隨著計算機技術的發展，虛擬化技術得到大面積的推廣和應用。桌面虛擬化是在實現數據中心的物理服務器上安裝虛擬機系統，由虛擬機系統模擬出操作系統運行所需要的硬件資源。操作系統運行在這些虛擬的硬件資源之上，可以達到多個操作系統共享物理服務器的硬件資源，從而提高資源利用率。

加密是保證數據的安全性的一種重要的手段，加密卡是為PC（PersonalComputer，個人計算機）提供加密服務的專用插卡式密碼設備。在PC上插設加密卡，加密卡可以對PC上的數據或者從該PC流出的數據進行加密，以保證數據的安全性。通過加密卡進行數據加密，由于目密鑰并不存放在內存中，因此更加安全。但是，對于安裝有虛擬機系統的物理服務器，在物理服務器上插設加密卡時，由于現有技術中并沒有加密卡的虛擬化技術，會導致在同一時刻，物理服務器上只有一臺虛擬機獨占加密卡進行加密業務，亟需提出一種解決方案。

發明內容

本發明實施例提供一種虛擬機系統數據加密方法及設備，以實現對物理服務器上的多個虛擬機的應用數據的加密支持。

第一方面，本發明實施例提供一種虛擬機系統數據加密方法，包括：

終端設備接收網絡加密網關發送的經過傳輸層加密處理后的第一報文，將所述經過傳輸層加密處理后的第一報文進行傳輸層解密處理；

所述終端設備從解密后的第一報文中提取應用數據，通過所述終端設備上設置的硬件加密模塊對所述應用數據進行硬件加密處理，其中，所述應用數據為虛擬機系統中的虛擬機產生的數據；

所述終端設備根據加密后的應用數據生成第二報文，對所述第二報文進行傳輸層加密處理，將傳輸層加密處理后的第二報文發送給所述網絡加密網關。

在第一種可能的實現方式中，所述第一報文中包括用以標識密鑰的密鑰標識；

所述終端設備從解密后的第一報文中提取應用數據，通過所述終端設備上設置的硬件加密模塊對所述應用數據進行硬件加密處理，具體為：

所述終端設備從所述解密后的第一報文中提取所述應用數據和所述密鑰標識，將所述應用數據和所述密鑰標識發送給所述硬件加密模塊，所述硬件加密模塊根據所述密鑰標識確定密鑰，通過所述密鑰對所述應用數據進行加密，將加密后的應用數據返回給所述終端設備。

結合第一方面或第一方面的第一種可能的實現方式，在第二種可能的實現方式中，所述終端設備接收網絡加密網關發送的經過傳輸層加密處理后的第一報文，具體為：

所述終端設備通過所述終端設備的虛擬桌面代理客戶端模塊與所述虛擬機的虛擬桌面代理模塊建立的經由所述網絡加密網關的虛擬通道，接收所述網絡加密網關發送的所述經過傳輸層加密處理后的第一報文；

所述終端設備將傳輸層加密處理后的第二報文發送給所述網絡加密網關，具體為：

所述終端設備將所述傳輸層加密處理后的第二報文通過所述虛擬通道發送給所述網絡加密網關。

結合第一方面的第二種可能的實現方式，在第三種可能的實現方式中，所述終端設備通過所述終端設備的虛擬桌面代理客戶端模塊與所述虛擬機的虛擬桌面代理模塊建立的經由所述網絡加密網關的虛擬通道，接收所述網絡加密網關發送的所述經過傳輸層加密處理后的第一報文之前，所述方法還包括：

所述終端設備的虛擬桌面代理客戶端模塊與所述虛擬機的虛擬桌面代理模塊建立所述虛擬通道。

在第四種可能的實現方式中，所述方法還包括：

所述終端設備接收所述網絡加密網關發送的經過傳輸層加密處理后的第三報文，將所述經過傳輸層加密處理后的第三報文進行傳輸層解密處理；

所述終端設備從解密后的第一報文中提取已加密的應用數據，通過所述終端設備上設置的硬件加密模塊對所述已加密的應用數據進行硬件解密處理，其中，所述已加密的應用數據為虛擬機系統中的虛擬機產生的、經過所述終端設備的硬件加密模塊硬件加密處理過的數據；

所述終端設備根據解密后的應用數據生成第四報文，對所述第四報文進行傳輸層加密處理，將傳輸層加密處理后的第四報文發送給所述網絡加密網關。

第二方面，本發明實施例一種虛擬機系統數據加密方法，包括：

虛擬機根據接收到的所述虛擬機中的應用程序發送的應用數據生成第一報文，將所述第一報文發送給網絡加密網關；