[发明专利]虚拟机磁盘的加密方法、系统及计算机可读存储介质

说明书

本发明涉及云计算技术领域，特别涉及一种虚拟机磁盘的加密方法。包括数据入口获取步骤，获取虚拟机中在驱动侧和Qemu之间实现数据交互的入口；加密处理步骤，在所获取的入口处的驱动侧进行加密处理，对与该入口处的驱动侧交互的Qemu，设置与所述加密处理关联的外部加密函数库。该虚拟机磁盘的加密方法，在所获取的入口处的驱动侧进行加密处理，因此IO请求的内容在进入Qemu实际操作前就将数据进行加解密，对IO流转的安全性做了保障。

技术领域

本发明涉及云计算技术领域，特别涉及一种虚拟机磁盘的加密方法、系统和计算机可读存储介质，计算机可读存储介质被处理器执行时能实现虚拟机磁盘的加密方法。

背景技术

在虚拟化中，物理资源通常有一个定语称为宿主(Host)，而虚拟出来的资源通常有一个定语称为客户(Guest)。本质上，虚拟化就是由位于下层的软件模块，通过向上一层软件模块提供一个与它原先所期待的运行环境完全一致的接口的方法，抽象出一个虚拟的软件或硬件接口，使得上层软件可以直接运行在虚拟的环境上。KVM(Kemel-based VirtualMachine，基于内核的虚拟机)是一个新兴的基于Linux内核的虚拟机管理软件，它采用的是基于Intel硬件虚拟技术的虚拟化方法，并结合模拟器Qemu来完成设备虚拟化(DeviceModel)。对于Linux而言，KVM是一个普通进程，因此其管理很简单，提供的虚拟化环境性能很高，而且对现有系统影响很小从而扩展性很强。

KVM虚拟化虚拟机磁盘IO请求从客户Guest向宿主Host转发时，最终的真正的磁盘IO数据处理由Qemu完成，当IO请求在进入Qemu之后，Qemu的各种驱动都将IO请求转化为QemuIOVector在Qemu中进行管理转发，因此数据在Qemu中转发的安全性至关重要。

发明内容

本发明所要解决的技术问题是提供一种虚拟机磁盘的加密方法，存储有被执行时实现上述方法的计算机程序的计算机可读存储介质，包括该存储介质的系统，该方法能够实现对虚拟机磁盘IO请求数据的加密。

提供一种虚拟机磁盘的加密方法，包括如下步骤，

数据入口获取步骤，获取虚拟机中在驱动侧和Qemu之间实现数据交互的入口；

加密处理步骤，在所获取的入口处的驱动侧进行加密处理，对与该入口处的驱动侧交互的Qemu，设置与所述加密处理关联的外部加密函数库。

优选地，所述在驱动侧和Qemu之间实现数据交互的入口是指：驱动侧具有读操作函数blk_aio_preadv和写操作函数blk_aio_pwritev的接口。

优选地，所述数据交互具体是指数据转发和处理。

优选地，加密函数库在Qemu程序启动时根据预设的配置设置使能的加密算法和与该虚拟机关联的密钥。

优选地，若Qemu程序启动时使用初始向量，则初始化与该虚拟机关联的加密函数库。

优选地，在驱动侧将磁盘IO请求封装为virtio-blkreq后传递给Qemu。

还提供一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时能够实现上述虚拟机磁盘的加密方法。

还提供一种系统，包括物理资源、虚拟资源、两者的接口以及处理器，处理器内预先存储有上述计算机可读存储介质，该计算机可读存储介质上的计算机程序可被处理器执行。

有益效果：该虚拟机磁盘的加密方法，在所获取的入口处的驱动侧进行加密处理，因此IO请求的内容在进入Qemu实际操作前就将数据进行加解密，对IO流转的安全性做了保障。

附图说明

图1是虚拟化系统客户Guest与宿主Host之间的磁盘IO请求过程的示意图。

具体实施方式