[发明专利]一种加密方法及装置

说明书

一种加密方法及装置，用于为客户在云数据中心进行运行时的全过程进行加密，实现对客户数据的安全保护。本申请实施例方法包括：所述虚拟机管理器为目标虚拟机分配虚拟中央处理器vCPU和第一RAM，所述目标虚拟机位于所述云计算服务器；所述安全处理器获取对称密钥；所述安全处理器将所述对称密钥配置给所述加解密引擎；所述加解密引擎利用所述对称密钥为所述vCPU访问所述第一RAM时对所述目标虚拟机的软件系统密文进行加解密处理，所述软件系统密文为所述用户终端利用所述对称密钥加密所述目标虚拟机的软件系统生成，且所述软件系统密文被加载至所述第一RAM。

技术领域

本申请涉及云计算领域，尤其涉及一种加密方法及装置。

背景技术

随着云计算技术的飞速发展，各大科技公司都把云计算作为其最重要的业务以及占领未来市场的杀手锏和技术制高点。越来越多的客户已经或正在计划把其数据中心往云数据中心上迁移。而云数据中心属于云服务商，用户只是租用云服务商的虚拟机(virtualmachine，VM)使用。VM运行在服务商的主机(Host)上，VM的随机存取存储器(random accessmemory，RAM)由Host的操作系统(operating system，OS)和虚拟机管理器(virtualmachine manager，VMM)分配，是Host RAM的一部分。因为RAM是没有加密的，所以Host完全可以扫描和偷窥客户VM的RAM中机密信息。因此，在云计算中，客户在将重要数据迁移到云数据中心上时需要考虑如何对该重要数据进行加密。

目前最普及的技术为在处理器中内置加密引擎和安全处理器。在客户在云数据中心中进行云计算时，VMM将VM的基本输入输出系统(basic input output system，BIOS)和OS明文加载入云数据中心的RAM中，然后该安全处理器为该VM生成一个加密密钥，并将该加密密钥配置给该加密引擎，由该加密引擎为该VM的RAM进行加密生成一个安全运行环境；然后将该明文BIOS和OS移入到该安全运行环境，最后该VM在该安全运行环境进行运行。

该技术中该云计算中心为该客户的VM建立了安全运行环境，保证了该VM运行时的安全。但是在该VM的安全运行环境建立之前，客户的数据却无法保证安全。

发明内容

本申请实施例提供了一种加密方法及装置，用于为客户在云数据中心进行运行时的全过程进行加密，实现对客户数据的安全保护。

第一方面，本申请实施例提供一种加密方法，具体包括：

该加密方法应用于云计算服务器，该云计算服务器包括安全处理器、加解密引擎、目标虚拟机以及虚拟机管理器；其中，该虚拟机管理器为该目标虚拟机分配虚拟中央处理器vCPU和第一RAM；然后该安全处理器获取对称密钥，并将该对称密钥配置给该加解密引擎；最后该加解密引擎利用该对称密钥为该vCPU访问该第一RAM时对该目标虚拟机的软件系统密文进行加解密处理。其中，该软件系统密文由用户终端利用该对称密钥加密该目标虚拟机的软件系统生成，且该软件系统密文被该云计算服务器加载至该目标虚拟机的第一RAM。

本申请实施例提供的技术方案中，用户终端利用对称密钥对归属于用户的目标虚拟机的软件系统进行加密生成软件系统密文；然后将该软件系统密文加载至该目标虚拟机的第一RAM中；同时该安全处理器获取到该对称密钥之后配置给加解密引擎，以使得该加解密引擎可以利用该对称密钥对该目标虚拟机的运行环境进行加解密。即该用户在进行云计算的过程中，从数据的传输至数据的运行都利用该对称密钥进行加密，同时该虚拟机管理器并不知道该对称密钥，从而保证数据的安全性。

可选的，该对称密钥可以由该用户终端自主生成，也可以由该用户终端与该安全处理器协商处理生成。

在上述技术的基础上，若该对称密钥由该用户终端自主生成，则该安全处理器获取该对称密钥的方法具体如下：