一种管理虚拟机密钥的方法和装置及计算机可读存储介质

本发明涉及云计算技术，尤指一种管理虚拟机密钥的方法和装置及计算机可读存 储介质。

云计算是指基于互联网相关服务，通过虚拟化方式实现信息技术(IT， Information Technology)资源共享的新型计算模式。其核心思想是通过网络统一管理和 调度计算、存储、网络、软件等资源，实现资源整合与配置优化，以服务方式满足不同用户随 时获取并扩展、按需使用并付费，最大限度地降低成本等各类需求。

随着全球云计算市场的迅猛发展，许多知名电子信息公司相继推出云计算产品及 服务，通过云管理软件来管理相关资源。云海OS系统正逐渐被各大公司及企事业单位所使 用，在云海OS系统中，对虚拟数据中心、网络、存储、虚拟机等资源的管理是整个系统的核心 部分，而通过密钥安全壳(SSH，Secure Shell)远程登录到虚拟机是一种常见的管理虚拟机 的方法。传统方法中，用户自主生成密钥对，并存储到虚拟机中，无法有效管理虚拟机。

本发明实施例提供了一种管理虚拟机密钥的方法和装置及计算机可读存储介质， 能够有效的管理虚拟机密钥，从而提高虚拟机的安全性。

本发明实施例提供了一种管理虚拟机密钥方法，包括：

云服务器接收到来自用户的密钥申请请求，生成密钥对并保存生成的密钥对和密 钥申请请求中的用户信息之间的第一对应关系；

云服务器接收到来自用户的虚拟机创建请求，为用户创建虚拟机，并根据第一对 应关系确定虚拟机的密钥对，保存确定出的密钥对和虚拟机之间的第二对应关系，并将确 定出的密钥对的公钥拷贝到虚拟机；

云服务器接收到来自用户的第二密钥下载请求，在第二对应关系中查第二密钥 下载请求中的虚拟机对应的密钥对，将查到的密钥对的私钥发送给用户，以使用户使用 接收到的私钥登陆虚拟机。

可选的，所述根据第一对应关系确定虚拟机的密钥对包括：

创建完虚拟机后，在所述第一对应关系中查发送虚拟机创建请求的用户的用户 信息对应的密钥对，将查到的密钥对发送给所述用户，接收到来自所述用户的密钥对选 择指令，确定所述密钥对选择指令中的密钥对为虚拟机的密钥对。

可选的，所述根据第一对应关系确定虚拟机的密钥对包括：

启动虚拟机后，接收到来自代理装置的第一密钥下载请求，在预先设置的用户信 息和令牌之间的第三对应关系中查所述第一密钥下载请求中的临时令牌对应的用户信 息，在所述第一对应关系中查用户信息对应的密钥对，将查到的密钥对发送给所述代 理装置，接收到来自所述代理装置的密钥对选择指令，确定所述密钥对选择指令中的密钥 为虚拟机的密钥对。

可选的，该方法还包括：

当云服务器接收到来自代理装置的密钥对重置指令时，根据第一对应关系确定虚 拟机的新的密钥对，将第二对应关系中虚拟机的密钥对更新为新的密钥对，并将新的密钥 对的公钥拷贝到虚拟机中，删除虚拟机中原密钥对的公钥。

本发明实施例还提出了一种云服务器，包括：

接收模块，用于接收到来自用户的密钥申请请求，向生成模块发送第一通知消息； 接收到来自用户的虚拟机创建请求，向创建模块发送第二通知消息；接收到来自用户的第 二密钥下载请求，向查模块发送第三通知消息；

生成模块，用于接收到第一通知消息，生成密钥对并保存生成的密钥对和密钥申 请请求中的用户信息之间的第一对应关系；

创建模块，用于接收到第二通知消息，为用户创建虚拟机，并根据第一对应关系确 定虚拟机的密钥对，保存确定出的密钥对和虚拟机之间的第二对应关系，并将确定出的密 钥对的公钥拷贝到虚拟机；

查模块，用于接收到第三通知消息，在第二对应关系中查第二密钥下载请求 中的虚拟机对应的密钥对，将查到的密钥对的私钥发送给用户，以使用户使用接收到的 私钥登陆虚拟机。

可选的，所述创建模块具体用于采用以下方式实现所述根据第一对应关系确定虚 拟机的密钥对：

创建完虚拟机后，在所述第一对应关系中查发送虚拟机创建请求的用户的用户 信息对应的密钥对，将查到的密钥对发送给所述用户，接收到来自所述用户的密钥对选 择指令，确定所述密钥对选择指令中的密钥对为虚拟机的密钥对。

可选的，所述创建模块具体用于采用以下方式实现所述根据第一对应关系确定虚 拟机的密钥对：

启动虚拟机后，接收到来自代理装置的第一密钥下载请求，在预先设置的用户信 息和令牌之间的第三对应关系中查所述第一密钥下载请求中的临时令牌对应的用户信 息，在所述第一对应关系中查用户信息对应的密钥对，将查到的密钥对发送给所述代 理装置，接收到来自所述代理装置的密钥对选择指令，确定所述密钥对选择指令中的密钥 为虚拟机的密钥对。

本发明实施例还提出了一种云服务器，包括处理器和计算机可读存储介质，所述 计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任意一种 管理虚拟机密钥的方法。

本发明实施例还提出了一种计算机可读存储介质，其上存储有计算机程序，所述 计算机程序被处理器执行时实现上述任意一种管理虚拟机密钥的方法的步骤。

与相关技术相比，本发明实施例包括：云服务器接收到来自用户的密钥申请请求， 生成密钥对并保存生成的密钥对和密钥申请请求中的用户信息之间的第一对应关系；云服 务器接收到来自用户的虚拟机创建请求，为用户创建虚拟机，并根据第一对应关系确定虚 拟机的密钥对，保存确定出的密钥对和虚拟机之间的第二对应关系，并将确定出的密钥对 的公钥拷贝到虚拟机；云服务器接收到来自用户的第二密钥下载请求，在第二对应关系中 查第二密钥下载请求中的虚拟机对应的密钥对，将查到的密钥对的私钥发送给用户， 以使用户使用接收到的私钥登陆虚拟机。通过本发明实施例的方案，通过云服务器有效的 实现对虚拟机密钥的管理，从而提高了虚拟机的安全性。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利 要求书以及附图中所特别指出的结构来实现和获得。

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本 申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明实施例管理虚拟机密钥的方法的流程图；

图2为本发明实施例云服务器的结构组成示意图；

图3为本发明实施例另一种云服务器的结构组成示意图。

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的 情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中 执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺 序执行所示出或描述的步骤。

参见图1，本发明实施例提出了一种管理虚拟机密钥的方法，包括：

步骤100、云服务器接收到来自用户的密钥申请请求，生成密钥对并保存生成的密 钥对和密钥申请请求中的用户信息之间的第一对应关系。

本步骤中，密钥申请请求包括用户信息，用户信息可以是登陆到云服务器上的用 户名。

本步骤中，密钥对包括公钥和私钥。

本步骤中，在保存第一对应关系之前，可以先对密钥对进行加密，然后保存加密后 的密钥对和用户信息之间的第一对应关系。

本步骤中，用户可以多次向云服务器发送密钥申请请求，以获取多个密钥对。

步骤101、云服务器接收到来自用户的虚拟机创建请求，为用户创建虚拟机，并根 据第一对应关系确定虚拟机的密钥对，保存确定出的密钥对和虚拟机之间的第二对应关 系，并将确定出的密钥对的公钥拷贝到虚拟机。

本步骤中，根据第一对应关系确定虚拟机的密钥对包括：

创建完虚拟机后，在第一对应关系中查发送虚拟机创建请求的用户的用户信息 对应的密钥对，将查到的密钥对发送给用户，接收到来自用户的密钥对选择指令，确定密 钥对选择指令中的密钥对为虚拟机的密钥对。

或者，启动虚拟机后，接收到来自代理装置的第一密钥下载请求，在预先设置的用 户信息和令牌之间的第三对应关系中查第一密钥下载请求中的临时令牌对应的用户信 息，在第一对应关系中查用户信息对应的密钥对，将查到的密钥对发送给代理装置，接 收到来自代理装置的密钥对选择指令，确定密钥对选择指令中的密钥为虚拟机的密钥对。

其中，如果查到的密钥对为加密后的密钥对，则先对加密后的密钥对进行解密 得到密钥对。

其中，代理装置为安装在虚拟机中的代理程序，当虚拟机启动时，代理程序也自动 启动。

代理装置在向云服务器发送密钥下载请求之前，首先根据虚拟机所属用户的用户 信息登陆到云服务器上，云服务器为该用户生成临时令牌，将生成的临时令牌发送给代理 装置，并保存用户信息和临时令牌之间的第三对应关系。

其中，生成的临时令牌在预设时间后失效，同时从第二对应关系中删除。

其中，代理装置接收到查到的密钥对，显示查到的密钥对，接收到来自用户的 密钥对选择指令，将密钥对选择指令发送给云服务器，将密钥对选择指令中的密钥对的公 钥拷贝到虚拟机中。

用户可以从显示的密钥对中任意选择一个密钥对作为虚拟机的密钥对。

步骤102、云服务器接收到来自用户的第二密钥下载请求，在第二对应关系中查 第二密钥下载请求中的虚拟机对应的密钥对，将查到的密钥对的私钥发送给用户，以使 用户使用接收到的私钥登陆虚拟机。

本步骤中，用户在向云服务器发送密钥下载请求之前，首先登陆到云服务器上，云 服务器为该用户生成临时令牌，将生成的临时令牌发送给用户，并保存用户信息和临时令 牌之间的第三对应关系。

可选的，在第二对应关系中查第二密钥下载请求中的虚拟机对应的密钥对之 前，在第三对应关系中查第二密钥下载请求中的临时令牌对应的用户信息，如果查到， 则继续执行在第二对应关系中查第二密钥下载请求中的虚拟机对应的密钥对的步骤。

如果查不到，则结束本流程。

可选的，该方法还包括：

当云服务器接收到来自代理装置的密钥对重置指令时，根据第一对应关系确定虚 拟机的新的密钥对，将第二对应关系中虚拟机的密钥对更新为新的密钥对，并将新的密钥 对的公钥拷贝到虚拟机中，删除虚拟机中原密钥对的公钥。

其中，根据第一对应关系确定虚拟机的新的密钥对包括：

接收到来自代理装置的第一密钥下载请求，在预先设置的用户信息和令牌之间的 第三对应关系中查第一密钥下载请求中的临时令牌对应的用户信息，在第一对应关系中 查用户信息对应的密钥对，将查到的密钥对发送给代理装置，接收到来自代理装置的 密钥对选择指令，确定密钥对选择指令中的密钥为虚拟机的新的密钥对。

参见图2，本发明实施例还提出了一种云服务器，包括：

接收模块，用于接收到来自用户的密钥申请请求，向生成模块发送第一通知消息； 接收到来自用户的虚拟机创建请求，向创建模块发送第二通知消息；接收到来自用户的第 二密钥下载请求，向查模块发送第三通知消息；

生成模块，用于接收到第一通知消息，生成密钥对并保存生成的密钥对和密钥申 请请求中的用户信息之间的第一对应关系；

创建模块，用于接收到第二通知消息，为用户创建虚拟机，并根据第一对应关系确 定虚拟机的密钥对，保存确定出的密钥对和虚拟机之间的第二对应关系；

查模块，用于接收到第三通知消息，在第二对应关系中查第二密钥下载请求 中的虚拟机对应的密钥对，将查到的密钥对的私钥发送给用户，以使用户使用接收到的 私钥登陆虚拟机。

可选的，所述创建模块具体用于采用以下方式实现所述根据第一对应关系确定虚 拟机的密钥对：

创建完虚拟机后，在所述第一对应关系中查发送虚拟机创建请求的用户的用户 信息对应的密钥对，将查到的密钥对发送给所述用户，接收到来自所述用户的密钥对选 择指令，确定所述密钥对选择指令中的密钥对为虚拟机的密钥对，并将所述密钥对选择指 令中的密钥对的公钥拷贝到所述虚拟机中。

可选的，所述创建模块具体用于采用以下方式实现所述根据第一对应关系确定虚 拟机的密钥对：

启动虚拟机后，接收到来自代理装置的第一密钥下载请求，在预先设置的用户信 息和令牌之间的第三对应关系中查所述第一密钥下载请求中的临时令牌对应的用户信 息，在所述第一对应关系中查用户信息对应的密钥对，将查到的密钥对发送给所述代 理装置，接收到来自所述代理装置的密钥对选择指令，确定所述密钥对选择指令中的密钥 为虚拟机的密钥对。

本发明实施例还提出了一种云服务器，包括处理器和计算机可读存储介质，所述 计算机可读存储介质中存储有指令，当所述指令被所述处理器执行时，实现上述任意一种 管理虚拟机密钥的方法。

本发明实施例还提出了一种计算机可读存储介质，其上存储有计算机程序，所述 计算机程序被处理器执行时上述任意一种管理虚拟机密钥的方法的步骤。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的 实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭 露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明 的专利保护范围，仍须以所附的权利要求书所界定的范围为准。