[发明专利]一种密钥保护方法、装置、设备、存储介质

权利要求书

1.一种密钥保护方法，其特征在于，应用于分布式存储系统，包括：

当获取到由用户端发送到虚拟机的加解密请求后，从与所述虚拟机对应的业务数据卷中获取相应的加密密文；所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的，其中，不同所述宿主机分别对应于不同的所述管理公钥；

将所有所述加密密文依次发送至目标宿主机的密码运算模块，以确定出目标加密密文；

通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥，以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理。

2.根据权利要求1所述的密钥保护方法，其特征在于，还包括：

确定宿主机集群中当前的待删除宿主机，利用所述待删除宿主机的唯一识别码从所述公共数据卷中查询所述待删除宿主机的状态标识，并将所述待删除宿主机的状态标识配置为停用状态标识；

基于当前状态标识为停用状态标识的所述待删除宿主机的唯一识别码对业务数据卷上保存与所述待删除宿主机对应的所述加密密文进行删除。

3.根据权利要求1所述的密钥保护方法，其特征在于，还包括：

当宿主机集群中新增一台或多台宿主机，则确定与新增宿主机存在关联关系的虚拟机以得到关联虚拟机，并从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机；

利用所述新增宿主机的管理公钥对所述目标虚拟机的密钥进行加密以得到相应的目标加密密文，并将所述目标加密密文追加至所述业务数据卷。

4.根据权利要求3所述的密钥保护方法，其特征在于，还包括：

从所述新增宿主机的所述密钥运算模块中提取出所述新增宿主机的管理公钥，并将所述新增宿主机的唯一识别码以及所述新增宿主机的管理公钥同步至所述公共数据卷。

5.根据权利要求3或4所述的密钥保护方法，其特征在于，所述从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机，包括：

控制所述新增宿主机向每个所述关联虚拟机均发送绑定请求；

判断所述关联虚拟机针对所述绑定请求的响应是否满足预设响应条件，以从所有所述关联虚拟机中筛选出允许被所述新增宿主机调度的目标虚拟机。

6.根据权利要求5所述的密钥保护方法，其特征在于，所述判断所述关联虚拟机针对所述绑定请求的响应是否满足预设响应条件，以从所有所述关联虚拟机中筛选出允许被所述新增宿主机调度的目标虚拟机，包括：

判断所述关联虚拟机针对所述绑定请求的响应是否存在响应错误或响应超时；

若所述关联虚拟机针对所述绑定请求的响应不存在响应错误和响应超时，则将该关联虚拟机确定为允许被所述新增宿主机调度的目标虚拟机；

若所述关联虚拟机针对所述绑定请求的响应存在响应错误或响应超时，则禁止将该关联虚拟机确定为允许被所述新增宿主机调度的目标虚拟机。

7.根据权利要求1所述的密钥保护方法，其特征在于，还包括：

基于多台所述宿主机建立所述宿主机集群；

基于所述宿主机集群构建分布式存储系统，并在所述分布式存储系统中创建所述公共数据卷和所述业务数据卷。

8.一种密钥保护装置，其特征在于，包括：

密文获取模块，用于当获取到由用户端发送到虚拟机的加解密请求后，从与所述虚拟机对应的业务数据卷中获取相应的加密密文；所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的，其中，不同所述宿主机分别对应于不同的所述管理公钥；

目标私钥获取模块，用于将所有所述加密密文依次发送至目标宿主机的密码运算模块，以确定出目标加密密文；

请求处理模块，用于通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥，以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理。