[发明专利]一种基于虚拟系统的数据存储设备加密方法

说明书

技术领域

本发明涉及一种加密方法，尤其涉及一种基于虚拟系统的数据存储设备加密方法，属于计算机软件技术领域。 

背景技术

目前的电脑虚拟化技术日趋成熟，基于VMM(虚拟机平台)技术，1个PC可以虚拟成多台电脑分别运行不同的操作系统。 

在硬盘加密技术方面，目前业界已经有使用的加密算法对硬盘进行加密，保证硬盘数据安全性。但存在问题是一个硬盘是用相同密钥加密(密钥+扇区信息)数据，加密算法是固定的，不能进行更换，其他人可以利用一些扇区存储的信息通用性得知该扇区密文和明文，进行分析，猜出硬盘密钥的可能性。另外在一个硬盘上使用相同密钥不安全，如果一个PC虚拟化后分别运算二或多个系统，二个系统使用一个密钥，则更不安全：一个系统把密钥发给硬盘，另一系统则不需要密钥就能访问硬盘数据了。此外国外的硬盘采用的AES加密算法不符合中国规定，在中国根据使用情况，有不同的加密算法，商用：商密加密算法，政府：普密加密算法，军队：核密加密算法。在相同硬盘上同时加入上述三种加密算法，不易实现，也不符合国家规定。因此如何对基于虚拟系统的数据存储设备进行加密成为一亟待解决的问题。 

发明内容

本发明的目的在于提供一种基于虚拟系统的数据存储设备加密方法，其可以将同一台机器上运行的多个虚拟系统分别使用不同的加密算法或加密用的密钥，从而提高数据的安全性。 

本发明的技术方法为： 

一种基于虚拟系统的数据存储设备加密方法，其步骤为： 

1)在硬件系统中建立一虚拟机平台和若干个虚拟系统； 

2)在所述虚拟机平台内设置一可换加解密算法模块，用于为虚拟系统提供加密算法； 

3)虚拟机平台对数据存储设备进行划分，为每个虚拟系统分配一数据存储空间，同时 设置每个虚拟系统使用的密钥和加密算法； 

4)虚拟系统访问数据存储设备时将自己所用的密钥发送给所述虚拟机平台； 

5)虚拟机平台对该虚拟系统的密钥进行一致性验证，如果一致则利用密钥和对应的加 

密算法进行相应数据处理。 

所述可换加解密算法模块包括一虚拟系统管理列表，所述虚拟系统管理列表字段包括：虚拟系统特征、密钥特征、加密算法、虚拟系统数据起始地址、虚拟系统数据存储空间长度、真实数据存储设备起始地址、真实数据存储设备存储空间长度。 

所述密钥特征为密钥的HASH值。 

所述方法中如果某虚拟系统加密数据在所述真实数据存储设备中存放的地址不连续，则将虚拟系统的每一真实数据存储设备起始地址加该真实数据对应的存储空间长度作为该虚拟系统数据存储空间起始地址。 

所述可换加解密算法模块包括一访问接口，用于虚拟系统安装、更换或升级更新加密算法。 

所述一致性验证方法为：在所述虚拟机平台内设置一确认密钥模块，所述确认密钥模块判断接收的密钥是否与所述可换加解密算法模块中保存的对应虚拟系统的密钥特征一致，进行所述一致性验证。 

所述方法中，如果所述一致性验证结果为不一致，则： 

a)把错误信息反馈给虚拟系统，并记录此事件； 

b)在虚拟系统连续3次发送错误密钥后，每接收一次密钥，则暂停对此虚拟系统相应服务一段时间，每相应多错一次，暂停时间加倍，其中所述一段时间设定为1秒，所述暂停时间的值为2^n-4秒，n为连续错误的次数。 

所述虚拟机平台为所述虚拟系统设置一个或多个加密算法。 

所述加密算法包括SMS4加密算法、3DES加密算法、AES加密算法。 

所述数据存储设备包括：硬盘、U盘、网络存储设备。 

本发明的流程如图2所示： 

1.利用公知技术搭建一台基于VMM的虚拟系统，虚拟系统有多个，每个虚拟系统在硬盘有自己的数据存储空间，并且只能访问自己的数据存储空间，不能访问其他虚拟系统中的数据，虚拟系统分别使用自己的加密算法，并用自己的密钥加密自己存放在硬 盘上的数据。 

2.利用公知技术，VMM拥有硬盘实际控制权，所有上层虚拟系统的硬盘I/O，都会被VMM截获，并知道访问对应硬盘数据是属于哪个虚拟系统。 

3.在VMM中内置一个可换加解密算法模块和各系统密钥特征；可换加解密算法模块中包括若干加密算法；同时可换加解密算法模块包括一访问接口，用于虚拟系统安装、更换或升级更新加密算法。 

3.1.这种密钥特征可以是公知技术生成的密钥特征，如密钥的HASH值。