[发明专利]一种基于鲲鹏芯片的虚拟机保护方法及装置

权利要求书

1.一种基于鲲鹏芯片的虚拟机保护方法，其特征在于，所述方法应用在鲲鹏系统中，所述鲲鹏系统包括：管理中心、通过所述管理中心管理的多个主机，每个所述主机中设置有鲲鹏芯片，每个所述鲲鹏芯片中设置有加密模块，所述方法包括：

所述主机根据所述管理中心发送的创建指令，在所述主机中创建虚拟机；

通过所述加密模块生成用于将所述虚拟机对应的磁盘中的数据加密的秘钥，并将所述秘钥存储在所述加密模块中；

接收表示与所述磁盘中数据相关的操作请求信息；

通过所述秘钥对所述磁盘中所述操作请求信息对应的数据解密，以便于执行所述操作请求信息。

2.根据权利要求1所述的方法，其特征在于，接收表示与所述磁盘中数据相关的操作请求信息，包括：

接收镜像生成指令，所述镜像生成指令用于指示生成所述虚拟机的镜像；

通过所述秘钥对所述磁盘中所述操作请求信息对应的数据解密之后，所述方法还包括：

根据所述镜像生成指令，以及所述秘钥，生成所述虚拟机对应的镜像文件。

3.根据权利要求1所述的方法，其特征在于，接收表示与所述磁盘中数据相关的操作请求信息，包括：

接收模板生成指令，所述模板生成指令用于指示生成所述虚拟机对应的模板；

通过所述秘钥对所述磁盘中所述操作请求信息对应的数据解密之后，所述方法还包括：

通过所述加密模块生成所述模板对应的秘钥，以便根据所述模板对应的秘钥，对所述模板中的数据进行加密。

4.根据权利要求1所述的方法，其特征在于，所述多个主机中的每个主机设置有与加密模块对应的公钥和私钥，所述方法还包括：

通过目标主机的公钥将需要发送的信息加密；

向所述目标主机发送加密后的所述信息，以使所述目标主机通过自身的私钥对所述信息解密后进行读取。

5.根据权利要求4所述的方法，其特征在于，接收表示与所述磁盘中数据相关的操作请求信息，包括：

接收虚拟机迁移指令；

通过所述目标主机的公钥将需要发送的信息加密，包括：

通过所述目标主机的公钥将迁移所述虚拟机时的迁移信息和所述秘钥加密；

向目标主机发送加密后的所述信息，包括：

向目标主机发送加密后的所述迁移信息和所述秘钥；

接收所述目标主机返回的表示迁移成功的反馈信息；

删除所述虚拟机和存储在所述加密模块中的所述秘钥。

6.根据权利要求1所述的方法，其特征在于，将所述秘钥存储在所述加密模块中之后，所述方法还包括：

接收虚拟机删除指令；

根据所述虚拟机删除指令，判断是否删除所述虚拟机在所述磁盘中存储的数据；

若删除，则在删除所述虚拟机时，从所述加密模块中删除所述秘钥；

若不删除，则在删除所述虚拟机时，保留所述秘钥。

7.根据权利要求1所述的方法，其特征在于，在所述主机中创建虚拟机之后，所述方法还包括：

在所述虚拟机的操作系统中，创建与所述操作系统的默认超级用户名不同的账号；

将创建的账号添加到所述操作系统的超级用户群中；

修改本地登录模块和远程登录模块的参数，以便禁止用户通过所述默认超级用户名在本地或远程登录所述操作系统。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

对登录所述操作系统的用户进行监控；

若存在通过所述默认超级用户名登录所述操作系统的用户，则将该用户对应的登录信息记录在日志中。

9.根据权利要求7所述的方法，其特征在于，所述操作系统为Linux系统；所述默认超级用户名为root。

10.一种基于鲲鹏芯片的虚拟机保护装置，其特征在于，所述装置应用在鲲鹏系统中，所述鲲鹏系统包括：管理中心、通过所述管理中心管理的多个主机，每个所述主机中设置有鲲鹏芯片，所述鲲鹏芯片中设置有加密模块，所述装置包括：

创建模块，所述主机根据所述管理中心发送的创建指令，在所述主机中创建虚拟机；

生成模块，通过所述加密模块生成用于将所述虚拟机对应的磁盘中的数据加密的秘钥，并将所述秘钥存储在所述加密模块中；

接收模块，接收表示与所述磁盘中数据相关的操作请求信息；

处理模块，通过所述秘钥对所述磁盘中所述操作请求信息对应的数据解密，以便于执行所述操作请求信息。