[发明专利]一种加密方法及装置

权利要求书

1.一种加密方法，应用于云计算服务器，所述云计算服务器包括安全处理器、加解密引擎、目标虚拟机以及虚拟机管理器，其特征在于，所述方法包括：

所述虚拟机管理器为所述目标虚拟机分配虚拟中央处理器vCPU和第一RAM；

所述安全处理器获取对称密钥，所述对称密钥由用户终端生成或由所述安全处理器与所述用户终端协商生成；

所述安全处理器将所述对称密钥配置给所述加解密引擎；

所述加解密引擎利用所述对称密钥为所述vCPU访问所述第一RAM时对所述目标虚拟机的软件系统密文和所述第一RAM进行加解密处理，所述软件系统密文为用户终端利用所述对称密钥加密所述目标虚拟机的软件系统生成，且所述软件系统密文被加载至所述第一RAM。

2.根据权利要求1所述的方法，其特征在于，所述对称密钥由所述用户终端生成时，所述安全处理器获取所述对称密钥包括：

所述安全处理器生成非对称密钥，所述非对称密钥包括公钥和私钥，所述公钥由所述安全处理器提供给所述用户终端，所述私钥由所述安全处理器保存；

所述安全处理器接收所述用户终端发送的加密对称密钥，所述加密对称密钥由所述用户终端利用所述公钥加密所述对称密钥生成；

所述安全处理器利用所述私钥解密所述加密对称密钥得到所述对称密钥。

3.根据权利要求1至2中任一项所述的方法，其特征在于，所述加解密引擎利用所述对称密钥为所述vCPU访问所述第一RAM时对所述目标虚拟机的软件系统密文进行加解密处理之前，所述方法包括：

所述虚拟机管理器接收所述用户终端发送的所述软件系统密文；

所述虚拟机管理器将所述软件系统密文加载至所述第一RAM；

或，

所述安全处理器接收所述用户终端发送的所述软件系统密文；

所述安全处理器将所述软件系统密文加载至所述第一RAM。

4.根据权利要求1至2中任一项所述的方法，其特征在于，所述目标虚拟机的软件系统包括基本输入输出系统BIOS、操作系统加载器OS loader、操作系统内核OS kernel和应用程序Application中的至少一种，所述软件系统密文包括BIOS、OS loader、OS kernel和Application中的至少一种。

5.根据权利要求4所述的方法，其特征在于，当所述软件系统密文包括所述BIOS和所述OS loader时，所述软件系统密文的加载包括：

所述BIOS和所述OS loader被加载至所述第一RAM；

所述OS loader将所述OS kernel加载至所述第一RAM。

6.根据权利要求5所述的方法，其特征在于，所述OS kernel的加密密钥与所述BIOS和所述OS loader的加密密钥不同。

7.根据权利要求1、2、5、6中任一项所述的方法，其特征在于，所述加解密引擎利用所述对称密钥对所述vCPU访问所述第一RAM时对所述软件系统密文进行加解密处理之后，所述方法还包括：

所述虚拟机管理器为所述目标虚拟机分配第二RAM；

所述安全处理器生成临时密钥，并将所述临时密钥分配给所述加密引擎；

所述目标虚拟机将所述软件系统迁移至所述第二RAM，所述软件系统由所述加解密引擎利用所述对称密钥对所述软件系统密文进行解密后得到；

所述加解密引擎利用所述临时密钥为所述vCPU访问所述第二RAM时对所述软件系统进行加解密；

所述目标虚拟机在所述vCPU和所述第二RAM中运行；

所述虚拟机管理器释放所述第一RAM。