(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211068135.2 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115146318 A (43)申请公布日 2022.10.04 (73)专利权人 麒麟软件有限公司 地址 300450 天津市滨 海新区塘沽海 洋科 技园信安创业广场3号楼6 -8层 (72)发明人 王宇锋　谢明　孙立明　张铎　 (74)专利代理 机构 北京汇智英财专利代理有限 公司 11301 专利代理师 牛振娟 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01) G06F 3/06(2006.01) (56)对比文件 CN 114968128 A,202 2.08.30 CN 114201755 A,2022.03.18CN 1093761 19 A,2019.02.2 2 CN 113821170 A,2021.12.21 CN 114491421 A,202 2.05.13 CN 102891876 A,2013.01.23 CN 110058813 A,2019.07.26 CN 113641467 A,2021.1 1.12 CN 109032499 A,2018.12.18 CN 103563278 A,2014.02.0 5 CN 1013734 41 A,2009.02.25 CN 113961892 A,2022.01.21 US 2020026473 A1,2020.01.23 US 20190 50247 A1,2019.02.14 陈春媛.基 于qcow2镜像格式的快照技 术. 《信息与电脑(理论版)》 .2017,(第01期), 曹瑛.数据库服 务器(SQL SERVER)安全机制 与磁盘镜像的初探. 《航空精密制造技 术》 .2000, (第05期), 罗爱玲等.VMware服 务器虚拟化在企业管理 中的应用. 《科技创新与应用》 .2014,(第02期), 审查员 甄红欣 (54)发明名称 虚拟磁盘安全存储方法 (57)摘要 本发明涉及一种虚拟 磁盘安全存储方法， 包 括如下步骤： 使用qemu ‑img工具创建一组分块的 虚拟磁盘文件， 虚拟磁盘文件的分块信息被写入 第一个虚拟磁盘文件的镜像的文件头里； 启动虚 拟机， 通过qemu ‑kvm程序指定虚拟磁盘镜像的第 一个虚拟磁盘文件， 读到分块信息， 找到其它虚 拟磁盘文件的镜像； 在qemu打开qcow2虚拟磁盘， 通过分块信息， 建立分块meta信息； 根据相应的 读写请求的分块的范围， 把相应的读写请求分别 发送到对应的虚拟磁盘镜像的虚拟磁盘文件来 处理。 本发 明提通过将数据存储在不同的虚拟磁 盘文件中， 在其中一部分镜像被窃取的情况下无 法恢复完整镜像的内容， 确保了虚拟磁盘镜像里 面数据的安全性。 权利要求书1页 说明书7页 附图3页 CN 115146318 B 2022.11.29 CN 115146318 B 1.一种虚拟磁 盘安全存储方法， 其特 征在于， 包括如下步骤： 步骤S1： 使用qemu ‑img工具创建一组分块的虚拟磁盘文件， 虚拟磁盘文件的分块信息 被写入第一个虚拟磁 盘文件的文件头里； 步骤S2： 启动虚拟机， 通过qemu ‑kvm程序指定虚拟磁盘镜像的第一个虚拟磁盘文件， 读 到分块信息， 找到其它虚拟磁 盘文件的镜像； 步骤S3： 在qemu打开qco w2虚拟磁盘镜像， 通过分块信息， 建立分块meta信息； 步骤S4： 根据相应的读写请求的分块的范围， 把相应的读写请求分别发送到对应的虚 拟磁盘镜像的虚拟磁 盘文件来处 理。 2.如权利要求1所述的虚拟磁盘安全存储方法， 其特征在于， 所述步骤S1中， 通过如下 命令行创建一组分块的虚拟磁 盘文件： qemu‑img create  ‑f qcow2  ‑d 参数1 xxxx.qcow2 参数2； 其中， 参数1为所创建的每块虚拟磁 盘文件的大小， 参数2为整个虚拟磁 盘镜像的大小。 3.如权利要求1所述的虚拟磁盘安全存储方法， 其特征在于， 所述步骤S1中， 通过在 qcow2_co_create_opt函数的源码中加 入镜像定位层， 为每个创建的虚拟磁盘文件确定寻 址范围； 所述步骤S2中， 通过在qcow2_open函数的源码中加入镜像定位层， 读取第一个虚拟磁 盘文件中的分块信息， 并找到其它虚拟磁 盘文件的镜像； 所述步骤S4中， 通过在qcow2_co_pre adv 及qcow2_co_p writev函数的源码中加入镜像 定位层， 实现在处 理读写请求时确定对应的虚拟磁 盘镜像的虚拟磁 盘文件。 4.如权利要求3所述的虚拟磁盘安全存储方法， 其特征在于， 所述步骤S4中， 在qcow2_ co_preadv 及qcow2_co_pwritev函数的源码中加入的镜像定位层包括offset参数及bytes 参数， 其中， offset参数用于确定虚拟磁盘镜像的偏移位置， bytes参数用于确定请求的内 容大小。 5.如权利要求1所述的虚拟磁盘安全存储方法， 其特征在于， 所述步骤S1中， 通过在第 一个虚拟磁盘文件的镜像的文件头里添加字段div_img_size来保存虚拟磁盘文件的分块 信息。 6.如权利要求5所述的虚拟磁盘安全存储方法， 其特征在于， 所述步骤S1中， 虚拟磁盘 文件的分块信息被保存在第一个虚拟磁盘文件的文件头的如下目录中： uint64_t  div_ img_size/ /。权　利　要　求　书 1/1 页 2 CN 115146318 B 2虚拟磁盘安全存 储方法 技术领域 [0001]本发明涉及信息安全技 术领域， 具体涉及一种虚拟磁 盘安全存储方法。 背景技术 [0002]云计算时代离不开对海量数据的处理和存储， 海量数据的存储往往需要安全的磁 盘镜像存储方法， 且磁盘镜像一旦出现问题， 将严重影响云计算中心的数据安全。 为提高海 量虚拟机磁 盘镜像的数据安全， 往 往需要在数据存 储时进行加密， 使用时候进行解密。 [0003]从原理上来说， 安全 存储要解决的问题是两个： [0004]1、 如何保证文件数据完整可靠不泄密。 [0005]2、 如何保证只有合法的用户， 才能够 访问相关的文件。 [0006]解决上述两个问题， 需要使用数据加密和认证授权管理技术， 这也是安全存储的 核心技术。 在安全存储中， 利用技术手段把文件变为乱码(加密)存储， 在使用文件的时候， 用相同或不同的手段还原(解密)。 这样， 存储和使用， 文件就在密 文和明文状态两种方式切 换。 既保证了安全， 又能够方便的使用。 加密包括两个元素： 算法和密钥对数据加密的技术 分为两类， 即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。 对称加密以数据加 密标准(DES， Data  Encryption  Standard)算法为典型代表， 非对称加密通 常以RSA(Rivest   Shamir Ad1eman)算法为代表。 对称加密的加密密钥和解密密钥相同， 而非对称加密的加密 密钥和解密 密钥不同， 加密 密钥可以公开而解密 密钥需要保密。 [0007]一般来说， 非对称密钥主要用于身份认证， 或者保护对称密钥。 而日常的数据加 密， 一般都使用对称密钥。 [0008]现代的成熟加密解密算法， 都具有可靠的加密强度， 除非能够持有正确的密钥， 否 则很难强行破解。 在安全存储产品实际部署的时候， 如果需要 更高强度的身份认证， 还可以 使用U‑key， 这种认证设备， 在网上 银行应用很普遍。 [0009]采用加密和身份认证技 术， 存储就有了可靠的保障。 [0010]作为最常用的虚拟机镜像存储的加密方法：  在块设备读写函数的地方进行处理。 在write的时候对数据进行加密， 在read的时候进行解密， 密钥可以动态传入， 或者存放在 密钥卡上， 具体加密算法  可以根据你 使用场景来选用合 适自己需要的。 [0011]安全存储本质上还是存储， 可以作为文件和数据的远程分布式存放中心。 与一般 的存储相比， 分布式存放更安全更可靠， 能够胜任需要保密的领域。 如果数据放在一个地 方， 破解一次就可以得到所有 数据， 如果数据放在不同地方， 这样要同时破解多个地方才能 完全恢复完整 数据， 需要同时破解多个远程的存储中心。 所以我们的方案是让  磁盘镜像有 多个分块组成， 数据分散在各个镜像文件， 各个镜像文件可以存储在不同的数据中心。 这样 即使某1个数据中心被破解， 也无法还原磁盘镜像内容。 因此需要虚拟 磁盘文件支持分块存 储， 把不同的存储块放在不同的存储位置。 而我们专利针对的就是让qcow2格式的磁盘镜像 文件 可以分块存储到不同的文件， 运行时候也可以从各个存储块读 到之前存入的数据。 这 样让虚拟机的数据存 储到不同位置， 达 到存储安全的目的。说　明　书 1/7 页 3 CN 115146318 B 3