本申請實施例提供一種虛擬機快照保存、讀取方法、裝置及相關(guān)設(shè)備，其中虛擬機快照保存方法包括：生成TEK，以及生成KEK；基于KEK至少對TEK進(jìn)行加密，得到密鑰加密信息；以及，基于TEK對目標(biāo)虛擬機的快照內(nèi)容進(jìn)行加密，得到目標(biāo)虛擬機的加密快照內(nèi)容；將所述密鑰加密信息和加密快照內(nèi)容保存在目標(biāo)虛擬機的虛擬機快照中，所述虛擬機快照寫入目標(biāo)虛擬機的虛擬機鏡像文件中。本申請實施例可提升虛擬機快照的安全性。

技術(shù)領(lǐng)域

本申請實施例涉及虛擬機技術(shù)領(lǐng)域，具體涉及一種虛擬機快照保存、讀取方法、裝置及相關(guān)設(shè)備。

背景技術(shù)

通過虛擬化技術(shù)(Virtualization)，物理主機可虛擬化出多臺虛擬機(VirtualMachine，VM)，從而高效利用物理主機的硬件資源。虛擬化出的虛擬機可在物理內(nèi)存中分配虛擬機內(nèi)存，每臺虛擬機的虛擬機內(nèi)存主要用于任務(wù)消耗及支持虛擬化。

虛擬機在某一時間點的狀態(tài)可通過虛擬機快照保存，以用于虛擬機數(shù)據(jù)的備份和恢復(fù)。因此在保存虛擬機快照時，需要提供虛擬機快照的安全保護(hù)方案，以提升虛擬機快照的安全性。

發(fā)明內(nèi)容

有鑒于此，本申請實施例提供一種虛擬機快照保存、讀取方法、裝置及相關(guān)設(shè)備，以提升虛擬機快照的安全性。

為實現(xiàn)上述目的，本申請實施例提供如下技術(shù)方案。

第一方面，本申請實施例提供一種虛擬機快照保存方法，應(yīng)用于安全處理器，所述方法包括：

生成TEK，以及生成KEK；

基于KEK至少對TEK進(jìn)行加密，得到密鑰加密信息；以及，基于TEK對目標(biāo)虛擬機的快照內(nèi)容進(jìn)行加密，得到目標(biāo)虛擬機的加密快照內(nèi)容；

將所述密鑰加密信息和加密快照內(nèi)容保存在目標(biāo)虛擬機的虛擬機快照中，所述虛擬機快照寫入目標(biāo)虛擬機的虛擬機鏡像文件中。

第二方面，本申請實施例提供一種虛擬機快照讀取方法，應(yīng)用于安全處理器，所述方法包括：

獲取目標(biāo)虛擬機的虛擬機快照，所述虛擬機快照包括加密快照內(nèi)容和密鑰加密信息；

恢復(fù)KEK；

基于KEK對所述密鑰加密信息進(jìn)行解密，得到TEK；

基于所述TEK對加密快照內(nèi)容進(jìn)行解密，得到目標(biāo)虛擬機的快照內(nèi)容。

第三方面，本申請實施例提供一種虛擬機快照保存裝置，應(yīng)用于安全處理器，所述裝置包括：

密鑰生成模塊，用于生成TEK，以及生成KEK；

加密模塊，用于基于KEK至少對TEK進(jìn)行加密，得到密鑰加密信息；以及，基于TEK對目標(biāo)虛擬機的快照內(nèi)容進(jìn)行加密，得到目標(biāo)虛擬機的加密快照內(nèi)容；

保存模塊，用于將所述密鑰加密信息和加密快照內(nèi)容保存在目標(biāo)虛擬機的虛擬機快照中，所述虛擬機快照寫入目標(biāo)虛擬機的虛擬機鏡像文件中。

第四方面，本申請實施例提供一種虛擬機快照讀取裝置，應(yīng)用于安全處理器，所述裝置包括：

獲取模塊，用于獲取目標(biāo)虛擬機的虛擬機快照，所述虛擬機快照包括加密快照內(nèi)容和密鑰加密信息；

恢復(fù)模塊，用于恢復(fù)KEK；

密鑰解密模塊，用于基于KEK對所述密鑰加密信息進(jìn)行解密，得到TEK；

快照解密模塊，用于基于所述TEK對加密快照內(nèi)容進(jìn)行解密，得到目標(biāo)虛擬機的快照內(nèi)容。

第五方面，本申請實施例提供一種安全處理器，所述安全處理器被配置為執(zhí)行如第一方面所述的虛擬機快照保存方法，以及如第二方面所述的虛擬機快照讀取方法。