[发明专利]基于KMIP和加密卡的虚拟化数据安全方法

摘要

本发明提供了一种基于KMIP和加密卡的虚拟化数据安全方法，其包括两个流程：一，加密流程，包括以下步骤：步骤一，用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例；步骤二，用户管理员选择需要进行保护的虚拟机实例进行保护；步骤三，镜像管理系统向VDP发送相关指令，VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求，入参为虚拟机的uuid，成功后在数据库中将该uuid对应的加密标志设置成TRUE；步骤四，VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作，入参为虚拟机uuid。本发明通过改写qemu磁盘镜像接口并通过加密卡硬件对虚拟机镜像进行加解密从而保证虚拟化安全的镜像数据安全。

主权项

一种基于KMIP和加密卡的虚拟化数据安全方法，其特征在于，所述基于KMIP和加密卡的虚拟化数据安全方法包括两个流程：一，加密流程，包括以下步骤：步骤一，用户管理员登录镜像管理系统,通过界面获取自己能管理的虚拟机实例；步骤二，用户管理员选择需要进行保护的虚拟机实例进行保护；步骤三，镜像管理系统向VDP发送相关指令，VDP接收用户指令后向密钥管理系统提交生成加密密钥的请求，入参为虚拟机的uuid，成功后在数据库中将该uuid对应的加密标志设置成TRUE；步骤四，VDP发送指令到VDPAGENT对该虚拟机数据进行加密操作，入参为虚拟机uuid；步骤五，VDPAGENT收到指令后，先通过qemu停止虚拟机，通过KMIP获取该虚拟机的加密密钥，通过虚拟机定义的XML获取分配给该虚拟机具体的块设备信息分别对镜像文件，iscsi,rbd块设备进行先读出再加密写回的操作，所有完成后虚拟机的初始化加密状态就完成了，通过qemu重启虚拟机进入动态加，解密状态；二，解密流程，包括以下步骤：步骤六，用户启动虚拟机，当虚拟机开始加载镜像文件和相关块存储设备时，在相关接口的open方法中，首先通过VDPAGENT发送虚拟机当前加,解密状态查询；步骤七，VDPAGENT收到请求后，将该请求转发到VDP进行数据库查询并将结果返回；步骤八，在qemu中一旦发现虚拟机是加密状态，就通过VDPAGENT向密钥管理系统获取加，解密密钥，在相关qemu的read和write(读和写)接口中通过加密卡来实现对数据的加解密操作。