本發明提出了一種云平臺中虛擬機加密方法，包括：構建KMS系統池，所述KMS系統池中配置多個校驗后的KMS系統；創建若干加密策略，每個加密策略與KMS系統池中的經過校驗后的一個KMS系統綁定；云平臺中的待加密的虛擬機從所有加密策略選擇一個加密策略，將選擇的加密策略綁定到待加密虛擬機上；通過選擇的加密策略對應綁定的KMS系統上獲取對稱加密密鑰，并對待加密虛擬機的所有虛擬磁盤加密，本發明還提出了一種云平臺中虛擬機加密裝置、設備及介質，防止云平臺下待加密虛擬機從非綁定關聯的KMS系統獲取密鑰，避免了數據不能解密的場景。

技術領域

本發明涉及虛擬機加密領域，尤其是涉及一種云平臺中虛擬機加密方法、裝置、設備及介質。

背景技術

隨著云計算的發展，越來越多的企業應用遷移到云平臺上。企業上云之后，企業的核心數據資產如何保證信息安全，防止信息泄密成為首要解決的問題。

為防止信息泄密，通常是采用針對虛擬機磁盤加密的方式。該方式采用對稱密鑰把虛擬磁盤的明文進行加密成虛擬磁盤密文后，然后再進行數據存儲。為保證密鑰安全，該加密密鑰由單獨的密鑰管理系統KMS(Key Management System，密鑰管理系統)保存。云平臺在連接KMS時，需要通過KMS的認證后方可獲取相關的密鑰。主流的KMS系統通常Server(服務端)+Client(客戶端)方式進行認證，即KMS作為Server端，云平臺作為Client端進行網絡連接，云平臺必須出具從KMS系統下載的Client證書才能通過認證。

但是，這種單向認證Client端身份的認證方式針對1+1(即1個云平臺下只配置有1個KMS系統)應用場景能夠很好的進行支撐。但是針對1+N(即1個云平臺配置了N個KMS系統，N1)的應用場景就存在很多問題。當云平臺用從第一個KMS系統上獲取某虛擬機對應的密鑰后，云平臺中的虛擬機利用對應密鑰進行虛擬磁盤加密存儲。例如管理員又配置了第二個KMS系統的Client證書，當云平臺對上述虛擬機進行解密時，就會從第二個KMS系統上獲取該虛擬機對應的密鑰。第二個KMS系統上會認為該請求是一個新的密鑰請求，于是第二個KMS系統會創建另外一個全新的密鑰返回給云平臺(密鑰管理系統會查詢該密鑰ID，當密鑰ID不存在時，會創建該密鑰，然后再返回給云平臺)。但是該全新的密鑰跟原來的第一個KMS創建的密鑰肯定不相同，所以會導致該虛擬機解密不成功。如果強制解密還可能導致原加密數據丟失。

發明內容

本發明為了解決現有技術中存在的問題，創新提出了一種云平臺中虛擬機加密方法、裝置、設備及介質，有效解決由于現有技術造成云平臺中虛擬機加密后從非關聯的KMS系統獲取密鑰，使得數據不能正確加解密的問題，有效地提高了云平臺中虛擬機加密的可用性。

本發明第一方面提供了一種云平臺中虛擬機加密方法，包括：

構建KMS系統池，所述KMS系統池中配置多個校驗后的KMS系統；

創建若干加密策略，每個加密策略與KMS系統池中的經過校驗后的一個KMS系統綁定；

云平臺中的待加密的虛擬機從所有加密策略選擇一個加密策略，將選擇的加密策略綁定到待加密虛擬機上；

通過選擇的加密策略對應綁定的KMS系統上獲取對稱加密密鑰，并對待加密虛擬機的所有虛擬磁盤加密。

可選地，構建KMS系統池，所述KMS系統池中配置多個校驗后的KMS系統具體包括：

獲取輸入的KMS系統信息，所述KMS系統信息至少包括Client證書；

在當前輸入的KMS系統上創建對稱密鑰，利用創建的對稱密鑰對預設特征值進行加密得到密文，并利用對稱密鑰對密文解密得到明文，校驗明文跟預設特征值是否相同，如果相同，則檢驗通過；如果不同，提示錯誤；