[发明专利]数据安全的保护方法、服务器、主机及系统

说明书

技术领域

本发明涉及数据处理领域，尤其涉及一种数据安全的保护方法、服务器、主机及系统。

背景技术

云计算是计算模型的一次重要革新，通过将各种互联的计算资源进行有效整合并实现多层次的虚拟化与抽象，云计算有效地将大规模的计算资源以可靠服务的形式提供给用户，从而将用户从复杂的底层硬件逻辑、软件栈以及网络协议解放出来。

云用户将数据托管到云环境之后，对放置在云环境中的数据并没有实际的控制权，因此需要云加密供应商对云环境中的数据安全进行保护。有些云加密供应商使用Web代理服务器在数据传输的路上对数据进行加密，有些云加密供应商则对在平台运行的应用程序进行加密，而另外有一些云加密供应商则侧重于在加密云存储中的数据或加密业务服务。

在实现数据安全保护的过程中，通常都以密钥的形式对数据进行安全保护。一些云加密供应商将密钥保存在数据相同的云环境中，一些云加密供应商则将密钥外包给第三方，还有一些云加密供应商让云用户自己管理密钥。

但是，现有技术中至少存在如下问题：无法保证云加密供应商为云用户提供的密钥的安全性，因此，依靠密钥来加密的云环境中的数据在传输和使用过程中就容易被破解和泄漏。

发明内容

本发明的实施例提供一种数据安全的保护方法、服务器、主机及系统，保证云环境中的数据能够安全地进行传输。

为达到上述目的，本发明实施例采用如下技术方案：

第一方面，本发明实施例提供了一种服务器，包括：

硬件密码模块，用于生成云特征值，所述云特征值与所述服务器唯一对应；以及用于根据所述云特征值，对所有数据加密密钥进行绑定处理，得到数据加密密钥密文；

云特征值管理模块，用于控制所述硬件密码模块生成所述云特征值；

云特征值迁移模块，用于将所述云特征值迁移至所述服务器管理的所有主机；

密钥管理模块，用于为主机各自服务的用户分别分配数据加密密钥；以及用于将数据加密密钥密文分别发送至相应的主机。

结合第一方面，在第一种可能的实现方式中，所述密钥管理模块还用于将所述数据加密密钥密文分别发送至相应的用户设备；

或者，用于将所述数据加密密钥密文分别发送至磁盘加密代理设备。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述硬件密码模块为可信平台模块TPM或可信加密模块TCM。

第二方面，本发明实施例提供了一种主机，包括：

云特征值迁移模块，用于获取云特征值，所述云特征值与管理所述主机的服务器唯一对应;

硬件密码模块，用于获取数据加密密钥密文；以及用于根据云特征值对所述数据加密密钥密文进行解绑定，得到所述数据加密密钥，所述数据加密密钥为所述服务器为所述主机服务的用户分配的数据加密密钥；

数据加解密模块，用于根据所述数据加密密钥对所述主机管理的用户数据进行加密和解密处理。

结合第二方面，在第一种可能的实现方式中，所述硬件密码模块，还用于存储所述云特征值和数据加密密钥密文。

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述硬件密码模块具体用于直接从所述管理主机的服务器获取所述数据加密密钥密文；

或者，用于接收用户设备发送的所述数据加密密钥密文；

或者，用于接收磁盘加密代理设备发送的所述数据加密密钥密文。

结合第二方面的第二种可能的实现方式，在第三种可能的实现方式中，所述硬件密码模块为可信平台模块TPM或可信加密模块TCM。

第三方面，本发明实施例提供了一种数据安全的保护方法，包括:

服务器生成云特征值，并将所述云特征值迁移至所述服务器管理的所有主机，所述云特征值与所述服务器唯一对应；

所述服务器为主机各自服务的用户分别分配数据加密密钥；

所述服务器根据所述云特征值，对所有数据加密密钥进行绑定处理，得到数据加密密钥密文，并将数据加密密钥密文分别发送至相应的主机。

结合第三方面，在第一种可能的实现方式中，所述将数据加密密钥密文分别发送至相应的主机包括：

直接将数据加密密钥密文分别发送至相应的主机；

或者，将数据加密密钥密文发送至相应的用户设备，通过所述用户设备将所述加密密钥密文发送至为所述用户设备服务的主机；

或者，将数据加密密钥密文发送至磁盘加密代理设备，通过所述磁盘加密代理设备将所述加密密钥密文发送至所述主机。