CN115499228B 一种密钥保护方法、装置、设备、存储介质 （成都卫士通信息产业股份有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN115499228B(45)授权公告日2025.07.04

(21)申请号202211157576.X

(22)申请日2022.09.22

(65)同一申请的已公布的文献号申请公布号CN115499228A

(43)申请公布日2022.12.20

(73)专利权人成都卫士通信息产业股份有限公

司

地址610041四川省成都市高新区云华路

333号

(72)发明人文欣崔炳华谭亮胡凌男

H04L67/1097(2022.01)GO6F9/455(2006.01)

(56)对比文件

CN114611163A,2022.06.10审查员马兴婕

(74)专利代理机构北京集佳知识产权代理有限

公司11227专利代理师林哲生

(51)Int.CI.

H04L9/40(2022.01)权利要求书2页说明书10页附图9页

(54)发明名称

一种密钥保护方法、装置、设备、存储介质

(57)摘要

CN115499228B本申请公开了一种密钥保护方法、装置、设备、介质，涉及信息安全技术领域，包括：获取到由用户端发送到虚拟机的加解密请求后，从与虚拟机对应的业务数据卷中获取相应的加密密文；加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对虚拟机的密钥进行加密后得到的，不同宿主机分别对应于不同的管理公钥；将所有加密密文依次发送至目标宿主机的密码运算模块，确定目标加密密文；通过目标宿主机中的密码运算模块保存的目标管理私钥对加密密文进行解密获取虚拟机的密钥，以便利用虚拟机的密钥对用户端发送的加解密请求进行处

CN115499228B

险。

当获取到由用户端发送到虚拟机的加解密请求后，从与所述

当获取到由用户端发送到虚拟机的加解密请求后，从与所述

虚拟机对应的业务数据卷中获取相应的加密密文；所述加密

密文为利用从公共数据卷中保存的与宿主机对应的管理公钥

对所述虚拟机的密钥进行加密后得到的，其中，不同所述宿

主机分别对应于不同的所述管理公钥

将所有所述加密密文依次发送至目标宿主机的密码运算模块，以确定出目标加密密文

通过所述目标宿主机中的所述密码运算模块保存的目标管理

私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥

,以便利用所述虚拟机的密钥对用户端发送的加解密请求进

行处理

S11

CN115499228B权利要求书1/2页

2

1.一种密钥保护方法，其特征在于，应用于分布式存储系统，包括：

当获取到由用户端发送到虚拟机的加解密请求后，从与所述虚拟机对应的业务数据卷中获取相应的加密密文；所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的，其中，不同所述宿主机分别对应于不同的所述管理公钥；

将所有所述加密密文依次发送至目标宿主机的密码运算模块，以确定出目标加密密文；

通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥，以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理；

其中，构建所述分布式存储系统，包括：

基于多台所述宿主机建立宿主机集群；基于所述宿主机集群构建所述分布式存储系统，并在所述分布式存储系统中创建所述公共数据卷和所述业务数据卷。

2.根据权利要求1所述的密钥保护方法，其特征在于，还包括：

确定宿主机集群中当前的待删除宿主机，利用所述待删除宿主机的唯一识别码从所述公共数据卷中查询所述待删除宿主机的状态标识，并将所述待删除宿主机的状态标识配置为停用状态标识；

基于当前状态标识为停用状态标识的所述待删除宿主机的唯一识别码对业务数据卷上保存与所述待删除宿主机对应的所述加密密文进行删除。

3.根据权利要求1所述的密钥保护方法，其特征在于，还包括：

当宿主机集群中新增一台或多台宿主机，则确定与新增宿主机存在关联关系的虚拟机以得到关联虚拟机，并从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机；

利用所述新增宿主机的管理公钥对所述目标虚拟机的密钥进行加密以得到相应的目标加密密文，并将所述目标加密密文追加至所述业务数据卷。

4.根据权利要求3所述的密钥保护方法，其特征在于，还包括：

从所述新增宿主机的所述密码运算模块中提取出所述新