(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210097889.4 (22)申请日 2022.01.29 (71)申请人 苏州浪潮智能科技有限公司 地址 215000 江苏省苏州市吴中经济开发 区郭巷街道官浦路1号9幢 (72)发明人 潘景基　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 王娜 (51)Int.Cl. H04L 9/06(2006.01) H04L 9/08(2006.01) H04L 9/32(2006.01) G06F 9/455(2006.01) (54)发明名称 虚拟机加解密方法、 装置及计算机设备 (57)摘要 本发明实施例涉及一种虚拟 机加解密方法、 装置及计算机设备， 该方法包括： 接收虚拟化管 理平台发送的启动虚拟机的控制消息； 根据控制 消息， 启动与控制消息对应的虚拟机； 将虚拟机 的标识信息发送 至密码管理系统KMS； 获取KMS发 送的与标识信息对应的密钥； 根据密钥和控制指 令， 对虚拟 机执行加密或解密操作。 整个过程中， 省去在iNode上插拔密码卡的操作。 对于虚拟机 的加密工作完全 是通过软件形式实现。 而且操作 过程是通过虚拟化管理平台、 iNode， 以及KMS之 间的通信交互完成。 省去人为干预的过程， 大大 节省人力和时间成本。 尤其在iNode数量巨大的 情况下， 该效果体现的更为明显 。 权利要求书2页 说明书9页 附图5页 CN 114448606 A 2022.05.06 CN 114448606 A 1.一种虚拟机加解密方法， 其特 征在于， 所述方法由i Node执行， 所述方法包括： 接收虚拟化管理平台发送的启动虚拟机的控制消息， 其中， 所述控制消息中包括待启 动的虚拟机标识信息， 以及对所述虚拟机待执 行操作对应的控制指令； 根据所述控制消息， 启动与所述控制消息对应的虚拟机； 将所述虚拟机的标识信息发送至密码管理系统KMS； 获取所述KMS发送的与所述标识信息对应的密钥； 根据所述密钥和所述控制指令， 对所述虚拟机执 行加密或解密操作。 2.根据权利要求1所述的方法， 其特征在于， 所述接收虚拟化管理平台发送的启动虚拟 机的控制消息之前， 所述方法还 包括： 获取所述虚拟化管理平台发送的所述KMS的配置信息； 将所述配置信息传递至所述虚拟化管理平台， 以便所述虚拟化管理平台验证所述 iNode反馈的所述配置信息准确后， 生成并发送控制消息 至所述iNode。 3.根据权利要求2所述的方法， 其特征在于， 所述获取所述虚拟化管理平台发送的KMS 的配置信息后， 所述方法还 包括： 创建与所述KMS之间的通信安全通道， 以便通过所述通信安全通道， 完成与所述KMS之 间的信息交 互。 4.根据权利要求2 或3所述的方法， 其特征在于， 所述KMS的配置信息， 包括所述KMS的IP 地址信息、 端口信息、 所述KMS的证书， 以及所述证书绑定的密码。 5.一种虚拟机加解密方法， 其特征在于， 所述方法由虚拟化管理平台执行， 所述方法包 括： 获取许可验证信息； 当确定所述许 可验证信息的等级为预设等级时， 启动虚拟机加密或解密触发操作； 根据所述触发操作， 获取密码管理系统KMS配置信息； 当确定所述KMS的配置信息合法时， 将所述KMS的配置信息分发至与所述虚拟化管理平 台建立通信连接的每一个i Node中。 6.根据权利要求5所述的方法， 其特征在于， 所述许可验证信 息的等级包括标准等级和 安全等级， 所述预设等级为所述 安全等级。 7.一种虚拟机加解密装置， 其特 征在于， 所述装置包括： 接收模块， 用于接收虚拟化管理平台发送的启动虚拟机的控制消息， 其中， 所述控制消 息中包括待启动的虚拟机标识信息， 以及对所述虚拟机待执 行操作对应的控制指令； 启动模块， 用于根据所述控制消息， 启动与所述控制消息对应的虚拟机； 发送模块， 用于将所述虚拟机的标识信息发送至密码管理系统KMS； 获取模块， 用于获取 所述KMS发送的与所述标识信息对应的密钥； 加解密模块， 用于根据所述密钥和所述控制指令， 对所述虚拟机执 行加密或解密操作。 8.一种虚拟机加解密装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取 许可验证信息； 启动模块， 用于当确定所述许可验证信息的等级为预设等级时， 启动虚拟机加密或解 密触发操作； 所述获取模块， 还用于根据所述触发操作， 获取密码管理系统KMS配置信息；权　利　要　求　书 1/2 页 2 CN 114448606 A 2发送模块， 用于当确定所述KMS的配置信息合法时， 将所述KMS的配置信息分发至与所 述虚拟化管理平台建立 通信连接的每一个i Node中。 9.一种计算机设备， 其特征在于， 包括处理器、 通信接口、 存储器和通信总线， 其中， 处 理器， 通信接口， 存 储器通过通信总线完成相互间的通信； 存储器， 用于存放计算机程序； 处理器， 用于执行存储器上所存放的程序时， 实现权利要求1 ‑4任一项所述的虚拟机加 解密方法的步骤； 或者， 实现如权利要求5或6所述的虚拟机加解密方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被如权利要求9所述的计算设备执行时， 实现如权利要求 1‑4任一项所述的虚拟机加解密方 法的步骤； 或者， 实现如权利要求5或6所述的虚拟机加解密方法的步骤。权　利　要　求　书 2/2 页 3 CN 114448606 A 3