[go: up one dir, main page]

CN111400778A - 一种虚拟磁盘文件的加密方法、系统、设备及介质 - Google Patents

一种虚拟磁盘文件的加密方法、系统、设备及介质 Download PDF

Info

Publication number
CN111400778A
CN111400778A CN202010171186.2A CN202010171186A CN111400778A CN 111400778 A CN111400778 A CN 111400778A CN 202010171186 A CN202010171186 A CN 202010171186A CN 111400778 A CN111400778 A CN 111400778A
Authority
CN
China
Prior art keywords
virtual
safe
disk file
virtual machine
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010171186.2A
Other languages
English (en)
Inventor
孙晓妮
柴萍萍
冯磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Chaoyue CNC Electronics Co Ltd
Original Assignee
Shandong Chaoyue CNC Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue CNC Electronics Co Ltd filed Critical Shandong Chaoyue CNC Electronics Co Ltd
Priority to CN202010171186.2A priority Critical patent/CN111400778A/zh
Publication of CN111400778A publication Critical patent/CN111400778A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种虚拟磁盘文件的加密方法,包括以下步骤:将物理密码卡虚拟出若干块虚拟密码卡;将所述若干块虚拟密码卡分别分配到每一个虚拟机上;利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;基于所述保险箱对所述虚拟磁盘文件进行加密。本发明还公开了一种系统、计算机设备以及可读存储介质。本发明提出的方案基于物理密码卡,实现密码设备的虚拟化,为虚拟机提供更加安全的磁盘文件的保险箱实现方法。

Description

一种虚拟磁盘文件的加密方法、系统、设备及介质
技术领域
本发明涉及虚拟机领域,具体涉及一种虚拟磁盘文件的加密方法、系统、设备以及存储介质。
背景技术
近几年,随着自主可控的发展趋势,基于自主平台的云计算技术也在快速发展。桌面云作为云计算的重要应用形式,保证虚拟机内部隐私数据安全成为重中之重。
发明内容
有鉴于此,为了克服上述问题的至少一个方面,本发明实施例提出一种虚拟磁盘文件的加密方法,包括以下步骤:
将物理密码卡虚拟出若干块虚拟密码卡;
将所述若干块虚拟密码卡分别分配到每一个虚拟机上;
利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;
基于所述保险箱对所述虚拟磁盘文件进行加密。
在一些实施例中,利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱,进一步包括:
响应于接收到创建所述保险箱的请求,调用所述虚拟密码卡的加解密算法接口,创建所述保险箱。
在一些实施例中,还包括:
响应于接收到查询或变更所述保险箱的状态的请求,调用对应的QGA接口,获取或变更所述保险箱的状态。
在一些实施例中,还包括:
基于QMP交互协议,为所述每一个虚拟机分配串口设备。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种虚拟磁盘文件的加密系统,包括:
虚拟化模块,所述虚拟化模块配置为将物理密码卡虚拟出若干块虚拟密码卡;
绑定模块,所述绑定模块配置为将所述若干块虚拟密码卡分别分配到每一个虚拟机上;
创建模块,所述创建模块配置为利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;
加密模块,所述加密模块配置为基于所述保险箱对所述虚拟磁盘文件进行加密。
在一些实施例中,所述创建模块还配置为:
响应于接收到创建所述保险箱的请求,调用所述虚拟密码卡的加解密算法接口,创建所述保险箱。
在一些实施例中,还包括响应模块,所述响应模块配置为:
响应于接收到查询或变更所述保险箱的状态的请求,调用对应的QGA接口,获取或变更所述保险箱的状态。
在一些实施例中,还包括串口模块,所述串口模块配置为:
基于QMP交互协议,为所述每一个虚拟机分配串口设备。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如上所述的任一种虚拟磁盘文件的加密方法的步骤。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行如上所述的任一种虚拟磁盘文件的加密方法的步骤。
本发明具有以下有益技术效果之一:本发明提出了实现宿主机与虚拟机之间虚拟磁盘文件保险箱信息交互,构建基于自主平台的虚拟磁盘文件保险箱方案,从而实现虚拟磁盘文件的加密。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明的实施例提供的虚拟磁盘文件的加密方法的流程示意图;
图2为本发明的实施例提供的用于虚拟磁盘文件的加密的结构框图;
图3为本发明的实施例提供的用于虚拟磁盘文件的加密系统的结构示意图;
图4为本发明的实施例提供的计算机设备的结构示意图;
图5为本发明的实施例提供的计算机可读存储介质的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
根据本发明的一个方面,本发明提出一种虚拟磁盘文件的加密方法,如图1所示,其可以包括步骤:S1,将物理密码卡虚拟出若干块虚拟密码卡;S2,将所述若干块虚拟密码卡分别分配到每一个虚拟机上;S3,利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;S4,基于所述保险箱对所述虚拟磁盘文件进行加密。
在一些实施例中,利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱,进一步包括:
响应于接收到创建所述保险箱的请求,调用所述虚拟密码卡的加解密算法接口,创建所述保险箱。
在一些实施例中,还包括:
响应于接收到查询或变更所述保险箱的状态的请求,调用对应的QGA接口,获取或变更所述保险箱的状态。
在一些实施例中,还包括:
基于QMP交互协议,为所述每一个虚拟机分配串口设备。
下面结合图2示出的用于虚拟磁盘文件的加密的结构框图对上述方法进行详细说明。
图2示出的宿主机控制管理模块主要功能是实现物理密码卡的虚拟化,并管理该宿主机上所有虚拟机与虚拟密码卡的绑定与解绑关系;为虚拟机分配串口设备;实现虚拟磁盘文件保险箱状态查询、安全设置的接口封装,对外提供REST API接口。宿主机控制管理模块可以包括密码设备驱动程序、设备虚拟化核心程序、虚拟密码卡绑定程序、串口设备分配程序以及接口封装与处理程序。
其中,密码设备驱动程序为物理密码卡的驱动程序,为实现物理密码卡的虚拟化奠定基础。设备虚拟化核心程序用于实现密码卡的虚拟化,使宿主机上单块密码卡可以虚拟化出多个密码卡设备,形成密码资源池,供宿主机之上的虚拟机使用。这样,通过密码设备驱动程序和设备虚拟化程序实现了物理密码卡的虚拟化,也即步骤S1将物理密码卡虚拟出若干块虚拟密码卡。
虚拟密码卡绑定程序负责维持宿主机之上虚拟机与虚拟密码卡的绑定与解绑关系,保证虚拟机能够调用虚拟密码卡使用正确的密钥完成指定的加解密操作。这样,通过虚拟密码卡绑定程序实现了每一虚拟机与每一个虚拟密码卡的绑定,使得只需一个物理密码卡即可实现每一个虚拟机对应一个密码卡,也即步骤S2将所述若干块虚拟密码卡分别分配到每一个虚拟机上。
串口设备分配程序用于循环检测,为宿主机之上的虚拟机分配串口设备,保证虚拟机能够通过读写串口设备与宿主机进行交互。
接口封装与处理程序用于接收来自第三方系统的REST API请求,解析参数,根据不同的请求,调用不同的QGA接口,获取或更改虚拟机磁盘文件保险箱状态。
图2示出的虚拟机安全代理模块的主要功能是扩展QGA接口,添加虚拟磁盘文件保险箱接口,实现宿主机与虚拟机之间虚拟磁盘文件保险箱状态查询、安全设置等信息交互;基于虚拟密码卡提供的密码算法,实现虚拟机内部核心数据加解密。
具体的,虚拟机安全代理模块可以包括QGA接口扩展程序、虚拟磁盘文件保险箱处理程序以及虚拟密码卡驱动程序。
其中,QGA接口扩展程序为虚拟机内部的守护进程,用来接收宿主机发出的命令,获取虚拟机内部的虚拟磁盘文件保险箱状态、注入虚拟磁盘文件保险箱安全设置策略,并进行相关设置。
虚拟磁盘文件保险箱处理程序则为当虚拟磁盘文件保险箱功能开启时,调用虚拟密码卡的加解密算法接口,创建虚拟机内部的安全存储区,也即创建保险箱。
虚拟密码卡驱动程序为与宿主机设备虚拟化核心程序、虚拟密码卡绑定程序联合工作,把虚拟密码卡映射到虚拟机内部,为虚拟机提供内核态的加解密接口,满足虚拟磁盘文件保险箱的需求。
根据图2示出的用于虚拟磁盘文件的加密的结构框图,本发明的实现流程可以为:
(1)在宿主机上插上物理密码卡,并安装“密码设备驱动程序”,确保物理密码卡可用;
(2)在宿主机上安装“设备虚拟化核心程序”,实现物理密码卡的虚拟化,使其能够虚拟出多块虚拟密码卡;
(3)在宿主机上安装“虚拟密码卡绑定程序”,使一个虚拟密码卡可以绑定到特定虚拟机上,保证虚拟机使用加解密算法时,能够调用这个虚拟密码卡进行运算;
(4)在虚拟机内部安装“虚拟密码卡驱动程序”,使得虚拟机能够使用所在宿主机上的虚拟密码卡,并能够调用其密码算法,为虚拟机用户态的数据提供加解密运算,从而实现密码箱的创建;
(5)在宿主机上部署“串口设备驱动程序”,在虚拟机中部署“QGA接口扩展程序”,保证能够为宿主机之上的虚拟机分配串口设备,通过读写串口设备实现虚拟机与宿主机之间的交互;
(6)在虚拟机部署“虚拟磁盘文件保险箱处理程序”,运行后,调用虚拟密码卡的加解密算法接口,创建虚拟机内部创建虚拟磁盘文件保险箱;
(7)在宿主机部署“接口封装与处理程序”,一方面,通过串口设备与虚拟机内部交互,获取该虚拟机的磁盘文件保险箱状态;另一方面,向外提供REST API接口,使第三方系统可以获取该宿主机上所有虚拟机的磁盘文件保险箱状态,并具备虚拟磁盘文件保险箱状态变更策略下发接口。
本发明提出的方案通过适配物理密码卡,实现其虚拟化,满足虚拟机内部虚拟磁盘文件保险箱功能的需求,另一方面,循环检测,为宿主机之上的虚拟机分配串口设备,实现虚拟机与宿主机的交互。为了实现以上功能,设计虚拟机安全代理模块、宿主机控制管理模块,一方面,实现物理密码卡虚拟化,把虚拟密码卡绑定到虚拟机,为虚拟机提供内核态的加解密接口;另一方面,基于QMP交互协议,扩展虚拟磁盘文件保险箱相关接口,为虚拟机分配串口设备,实现宿主机与虚拟机之间虚拟磁盘文件保险箱信息交互,构建基于自主平台的虚拟磁盘文件保险箱实现方案,从而实现虚拟磁盘文件的加密。
基于同一发明构思,根据本发明的另一个方面,本发明的实施例还提供了一种虚拟磁盘文件的加密系统400,如图3所示,包括:
虚拟化模块401,所述虚拟化模块401配置为将物理密码卡虚拟出若干块虚拟密码卡;
绑定模块402,所述绑定模块402配置为将所述若干块虚拟密码卡分别分配到每一个虚拟机上;
创建模块403,所述创建模块403配置为利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;
加密模块404,所述加密模块404配置为基于所述保险箱对所述虚拟磁盘文件进行加密。
在一些实施例中,所述创建模块403还配置为:
响应于接收到创建所述保险箱的请求,调用所述虚拟密码卡的加解密算法接口,创建所述保险箱。
在一些实施例中,还包括响应模块,所述响应模块配置为:
响应于接收到查询或变更所述保险箱的状态的请求,调用对应的QGA接口,获取或变更所述保险箱的状态。
在一些实施例中,还包括串口模块,所述串口模块配置为:
基于QMP交互协议,为所述每一个虚拟机分配串口设备。
基于同一发明构思,根据本发明的另一个方面,如图4所示,本发明的实施例还提供了一种计算机设备501,包括:
至少一个处理器520;以及
存储器510,存储器510存储有可在处理器上运行的计算机程序511,处理器520执行程序时执行如上的任一种虚拟磁盘文件的加密方法的步骤。
基于同一发明构思,根据本发明的另一个方面,如图5所示,本发明的实施例还提供了一种计算机可读存储介质601,计算机可读存储介质601存储有计算机程序指令610,计算机程序指令610被处理器执行时执行如上的任一种虚拟磁盘文件的加密方法的步骤。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,典型地,本发明实施例公开的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (10)

1.一种虚拟磁盘文件的加密方法,其特征在于,包括以下步骤:
将物理密码卡虚拟出若干块虚拟密码卡;
将所述若干块虚拟密码卡分别分配到每一个虚拟机上;
利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;
基于所述保险箱对所述虚拟磁盘文件进行加密。
2.如权利要求1所述的方法,其特征在于,利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱,进一步包括:
响应于接收到创建所述保险箱的请求,调用所述虚拟密码卡的加解密算法接口,创建所述保险箱。
3.如权利要求2所述的方法,其特征在于,还包括:
响应于接收到查询或变更所述保险箱的状态的请求,调用对应的QGA接口,获取或变更所述保险箱的状态。
4.如权利要求1所述的方法,其特征在于,还包括:
基于QMP交互协议,为所述每一个虚拟机分配串口设备。
5.一种虚拟磁盘文件的加密系统,其特征在于,包括:
虚拟化模块,所述虚拟化模块配置为将物理密码卡虚拟出若干块虚拟密码卡;
绑定模块,所述绑定模块配置为将所述若干块虚拟密码卡分别分配到每一个虚拟机上;
创建模块,所述创建模块配置为利用所述虚拟密码卡在对应的虚拟机上创建虚拟磁盘文件的保险箱;
加密模块,所述加密模块配置为基于所述保险箱对所述虚拟磁盘文件进行加密。
6.如权利要求5所述的系统,其特征在于,所述创建模块还配置为:
响应于接收到创建所述保险箱的请求,调用所述虚拟密码卡的加解密算法接口,创建所述保险箱。
7.如权利要求6所述的系统,其特征在于,还包括响应模块,所述响应模块配置为:
响应于接收到查询或变更所述保险箱的状态的请求,调用对应的QGA接口,获取或变更所述保险箱的状态。
8.如权利要求5所述的系统,其特征在于,还包括串口模块,所述串口模块配置为:
基于QMP交互协议,为所述每一个虚拟机分配串口设备。
9.一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-4任意一项所述的方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行如权利要求1-4任意一项所述的方法的步骤。
CN202010171186.2A 2020-03-12 2020-03-12 一种虚拟磁盘文件的加密方法、系统、设备及介质 Pending CN111400778A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010171186.2A CN111400778A (zh) 2020-03-12 2020-03-12 一种虚拟磁盘文件的加密方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010171186.2A CN111400778A (zh) 2020-03-12 2020-03-12 一种虚拟磁盘文件的加密方法、系统、设备及介质

Publications (1)

Publication Number Publication Date
CN111400778A true CN111400778A (zh) 2020-07-10

Family

ID=71430735

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010171186.2A Pending CN111400778A (zh) 2020-03-12 2020-03-12 一种虚拟磁盘文件的加密方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN111400778A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221994A (zh) * 2021-12-15 2022-03-22 北京安盟信息技术股份有限公司 一种pcie密码卡虚拟化资源动态分配方法
CN118153080A (zh) * 2024-05-11 2024-06-07 三未信安科技股份有限公司 一种kvm虚拟化密码机调用密码卡的系统及方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130208893A1 (en) * 2012-02-13 2013-08-15 Eugene Shablygin Sharing secure data
US20140108795A1 (en) * 2011-09-22 2014-04-17 Tencent Technology (Shenzhen) Company Limited Method and apparatus for file encryption/decryption
CN104318179A (zh) * 2014-10-30 2015-01-28 成都卫士通信息产业股份有限公司 基于文件重定向技术的虚拟化安全桌面
CN104361297A (zh) * 2014-11-19 2015-02-18 成都卫士通信息安全技术有限公司 一种基于Linux操作系统的文件加解密方法
CN108365994A (zh) * 2018-03-13 2018-08-03 山东超越数控电子股份有限公司 一种针对云计算安全统一管理的云安全管理平台
CN108491725A (zh) * 2018-03-13 2018-09-04 山东超越数控电子股份有限公司 一种提高云中虚拟机间通信安全的方法
CN110543775A (zh) * 2019-08-30 2019-12-06 湖南麒麟信息工程技术有限公司 一种基于超融合理念的数据安全防护方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140108795A1 (en) * 2011-09-22 2014-04-17 Tencent Technology (Shenzhen) Company Limited Method and apparatus for file encryption/decryption
US20130208893A1 (en) * 2012-02-13 2013-08-15 Eugene Shablygin Sharing secure data
CN104318179A (zh) * 2014-10-30 2015-01-28 成都卫士通信息产业股份有限公司 基于文件重定向技术的虚拟化安全桌面
CN104361297A (zh) * 2014-11-19 2015-02-18 成都卫士通信息安全技术有限公司 一种基于Linux操作系统的文件加解密方法
CN108365994A (zh) * 2018-03-13 2018-08-03 山东超越数控电子股份有限公司 一种针对云计算安全统一管理的云安全管理平台
CN108491725A (zh) * 2018-03-13 2018-09-04 山东超越数控电子股份有限公司 一种提高云中虚拟机间通信安全的方法
CN110543775A (zh) * 2019-08-30 2019-12-06 湖南麒麟信息工程技术有限公司 一种基于超融合理念的数据安全防护方法及系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114221994A (zh) * 2021-12-15 2022-03-22 北京安盟信息技术股份有限公司 一种pcie密码卡虚拟化资源动态分配方法
CN114221994B (zh) * 2021-12-15 2022-09-13 北京安盟信息技术股份有限公司 一种pcie密码卡虚拟化资源动态分配方法
CN118153080A (zh) * 2024-05-11 2024-06-07 三未信安科技股份有限公司 一种kvm虚拟化密码机调用密码卡的系统及方法
CN118153080B (zh) * 2024-05-11 2024-07-30 三未信安科技股份有限公司 一种kvm虚拟化密码机调用密码卡的系统及方法

Similar Documents

Publication Publication Date Title
CN109766165B (zh) 一种内存访问控制方法、装置、内存控制器及计算机系统
US10255088B2 (en) Modification of write-protected memory using code patching
CN109800050B (zh) 一种虚拟机的内存管理方法、装置、相关设备及系统
CN107111728B (zh) 安全密钥导出功能
US10083129B2 (en) Code loading hardening by hypervisor page table switching
CN111158857B (zh) 数据加密方法、装置、设备及存储介质
CN112541166A (zh) 一种方法、系统和计算机可读存储介质
JP2013065340A (ja) リトリーブ可能なトークン(例えば、スマートカード)内の独立した実行環境におけるアプリケーション間のセキュリティで保護されたリソース共有
EP3267304A1 (en) Storage partition method and terminal
CN111400778A (zh) 一种虚拟磁盘文件的加密方法、系统、设备及介质
US10678577B2 (en) Method for implementing virtual secure element
CN110109761B (zh) 一种用户态管理操作系统内核内存方法及系统
US11429412B2 (en) Guest protection from application code execution in kernel mode
EP3785149B1 (en) Memory assignment for guest operating systems
WO2023273647A1 (zh) 虚拟化可信平台模块实现方法、安全处理器及存储介质
CN104462893A (zh) 多se模块管理方法和多se模块管理装置
WO2022068298A1 (zh) U盘访问方法及u盘
CN107391028B (zh) 一种虚拟卷权限的控制方法及装置
CN117349870B (zh) 基于异构计算的透明加解密计算系统、方法、设备和介质
US20180268127A1 (en) Methods and apparatus for controlling access to secure computing resources
CN112464222B (zh) 安全设备、对应的系统、方法和计算机程序产品
CN104520801A (zh) 对于无线存储器的访问控制
EP4459448A1 (en) Application handoff method and terminal device
WO2024174761A1 (zh) 内存分配的方法、电子设备及存储介质
CN118227304A (zh) 一种内存管理的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200710

RJ01 Rejection of invention patent application after publication