[发明专利]一种加密方法、装置及相关设备

权利要求书

1.一种加密方法，其特征在于，包括：

获取从虚拟机内存向外部传输的虚拟机数据；

调用通过安全处理器生成的虚拟机根密钥；所述虚拟机根密钥为所述安全处理器在初始化虚拟机时，至少根据所述虚拟机的虚拟机初始状态信息，以及所述安全处理器的根密钥生成；

根据所述虚拟机根密钥，对所述虚拟机数据进行加密；

将加密后的虚拟机数据从虚拟机内存传输到外部；

在获取从虚拟机内存向外部传输的虚拟机数据之前，检测虚拟机数据传输场景；若虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据，所述获取从虚拟机内存向外部传输的虚拟机数据包括：

获取从虚拟机内存向本地外设传输的虚拟机数据。

2.根据权利要求1所述的加密方法，其特征在于，所述根据所述虚拟机根密钥，对所述虚拟机数据进行加密包括：

根据密钥派生算法，以所述虚拟机根密钥派生虚拟机密钥；

以所述虚拟机密钥加密所述虚拟机数据；

所述将加密后的虚拟机数据从虚拟机内存传输到外部包括：

将加密后的虚拟机数据从虚拟机内存传输到本地外设。

3.根据权利要求1所述的加密方法，其特征在于，若虚拟机数据传输场景为从虚拟机内存向外部设备在线传输虚拟机数据，所述获取从虚拟机内存向外部传输的虚拟机数据包括：

获取从虚拟机内存向外部设备在线传输的虚拟机数据。

4.根据权利要求3所述的加密方法，其特征在于，所述根据所述虚拟机根密钥，对所述虚拟机数据进行加密包括：

根据所述虚拟机根密钥和外部设备的根密钥，生成公共密钥；

根据所述公共密钥将随机密钥加密传送给外部设备，其中所述随机密钥根据随机密钥算法产生；

以所述随机密钥对所述虚拟机数据进行加密；

所述将加密后的虚拟机数据从虚拟机内存传输到外部包括：

将加密后的虚拟机数据从虚拟机内存传输到外部设备。

5.根据权利要求1-4任一项所述的加密方法，其特征在于，所述虚拟机内存是为安全虚拟机分配的安全内存，所述安全内存采用安全保护机制保护。

6.根据权利要求2所述的加密方法，其特征在于，所述虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据包括：所述虚拟机数据传输场景为将虚拟机内存的虚拟机数据保存到交换分区；

所述获取从虚拟机内存向本地外设传输的虚拟机数据包括：

获取从虚拟机内存保存到交换分区的虚拟机数据；

所述将加密后的虚拟机数据从虚拟机内存传输到本地外设包括：

将加密后的虚拟机数据从虚拟机内存保存到交换分区。

7.根据权利要求6所述的加密方法，其特征在于，所述交换分区存储有交换到交换分区的数据对应的哈希树，哈希树的一个叶子节点的数据是虚拟机内存的一个内存页面交换到交换分区的数据的哈希值，非叶子节点的数据是该非叶子节点所对应的子节点的哈希值综合后的哈希值，哈希树的数据保存在交换分区，哈希树的根节点的数据存储在主虚拟机或安全处理器的私有存储区域；其中，所述主虚拟机为安全处理器配置的具有信任根的虚拟机。

8.一种加密装置，其特征在于，包括：

获取模块，用于获取从虚拟机内存向外部传输的虚拟机数据；

根密钥调用模块，用于调用通过安全处理器生成的虚拟机根密钥；所述虚拟机根密钥为所述安全处理器在初始化虚拟机时，至少根据所述虚拟机的虚拟机初始状态信息，以及所述安全处理器的根密钥生成；

加密执行模块，用于根据所述虚拟机根密钥，对所述虚拟机数据进行加密；

传输模块，用于将加密后的虚拟机数据从虚拟机内存传输到外部；

在所述获取模块获取从虚拟机内存向外部传输的虚拟机数据之前，检测虚拟机数据传输场景；若虚拟机数据传输场景为从虚拟机内存向本地外设传输虚拟机数据，所述获取模块，用于获取从虚拟机内存向外部传输的虚拟机数据包括：

获取从虚拟机内存向本地外设传输的虚拟机数据。