[发明专利]一种防止云平台虚拟机非法启动的镜像加解密方法

权利要求书

1.一种防止云平台虚拟机非法启动的镜像加解密方法，其特征在于：云管理服务器的密钥管理中心为每个虚拟机的镜像创建一个唯一的密钥，并采用云管理服务器中TPM的 SRK密钥保护该密钥；在云管理服务器下发虚拟机的镜像时，将受云管理服务器中TPM保护的密钥迁移至虚拟机运行的计算节点上，然后利用计算节点上TPM的SRK密钥保护该密钥；

虚拟机第一次启动时正常启动，在每次虚拟机关闭时，利用迁移到计算节点上的密钥对虚拟机的镜像进行加密；之后虚拟机每次启动时对已加密虚拟机的镜像进行解密。

2.根据权利要求1防止云平台虚拟机非法启动的镜像加解密方法，其特征在于：利用迁移到计算节点上的密钥进行加密的过程中保存临时文件，所采用加密流程包括以下步骤，

步骤1.1，对计算节点加载的镜像，根据虚拟机的UUID取得相应密钥；

步骤1.2，从镜像的开始位置中获取文件系统信息和系统分区表；

步骤1.3，检查上次加密流程是否正常结束，如果上次不是正常结束，就要恢复至上次加密流程操作前，此次加密流程结束；

步骤1.4，查看加密的标记，看镜像是否已加密过，如果否则进行步骤1.5，如果是则此次加密流程结束；

步骤1.5，如果步骤1.1获得的密钥正确且镜像文件完整，则进行下一步，否则删除临时文件，退出加密流程；

步骤1.6，获取并加载该镜像的配置文件，加密配置文件里面指定的文件；

步骤1.7，根据不同文件系统加密文件系统关键信息，包括加密文件系统分区信息；最后删除临时文件，退出加密流程。

3.根据权利要求2防止云平台虚拟机非法启动的镜像加解密方法，其特征在于：在虚拟机每次启动一段时间后，加密启动过程中使用的关键文件。

4.根据权利要求3防止云平台虚拟机非法启动的镜像加解密方法，其特征在于：对已加密虚拟机的镜像进行解密的过程中保存临时文件，所采用解密流程包括以下步骤，

步骤2.1，对计算节点加载的镜像，根据虚拟机的UUID取得相应密钥；

步骤2.2，从镜像的开始位置中获取文件系统信息和系统分区表；

步骤2.3，检查上次解密流程是否正常结束，如果上次不是正常结束，就要恢复至上次解密流程操作前，此次解密流程结束；

步骤2.4，查看解密的标记，看镜像是否已解密过，如果否则进行步骤2.5，如果是则此次解密流程结束；

步骤2.5，如果步骤2.1获得的密钥正确且镜像文件完整，则进行下一步，否则删除临时文件，退出解密流程；

步骤2.6，根据不同文件系统解密文件系统信息，包括解密文件系统分区信息；

步骤2.7，获取并加载该镜像的配置文件，解密配置文件里面指定的文件；并解密启动过程中使用的关键文件，删除临时文件，退出解密流程。