一种加密方法、解密方法和相关装置及系统

本发明实施例涉及计算机技术领域，尤其涉及一种加密方法、解密方法 和相关装置及系统。

随着云计算技术的成熟，例如在云的弹性计算出租场景下，越来越多的 企业用户将虚拟机(VM，Virtual Machine)的系统卷放在云上，这样企业用 户就失去了对系统卷的控制，安全性能不能得到保证成为了企业用户最大的 疑虑。存在的安全威胁可能有：1)、云服务商的特权用户(例如管理员)可 能非法挂载企业用户的系统卷从而查看数据。2)、黑客也可能非法入侵云中 的用户虚拟机从而查看用户的数据，造成数据泄漏。这些疑虑也是企业用户 将系统卷迁移到云端的最大障碍，为了推动云计算的进一步普及应用，如何 保障企业用户的虚拟机系统卷的安全，以消除企业用户的这个疑虑，成为业 界亟待解决的难题之一。

本发明实施例提供了一种加密方法、解密方法和相关装置及系统，用于 对用户的虚拟机中的系统卷进行安全保护。

一方面，本发明实施例提供的虚拟机中系统卷的加密方法，包括：

加密客户端向密钥管理系统发送密钥申请请求消息以使所述密钥管理系 统根据所述密钥申请请求消息生成加密密钥；

所述加密客户端接收所述密钥管理系统发送的密钥申请响应消息，所述 密钥申请响应消息包括所述加密密钥；

所述加密客户端根据所述加密密钥对虚拟机中的系统卷进行加密。

另一方面，本发明实施例提供的虚拟机中系统卷的解密方法，包括：

加密客户端对加密的加密密钥进行解密；

所述加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行 解密。

另一方面，本发明实施例提供的一种加密客户端，包括：

发送单元，用于向密钥管理系统发送密钥申请请求消息，以使所述密钥 管理系统根据所述密钥申请请求消息生成加密密钥；

接收单元，用于接收所述密钥管理系统发送的密钥申请响应消息，所述 密钥申请响应消息包括所述加密密钥；

加密单元，用于根据所述加密密钥对虚拟机中的系统卷进行加密。

另一方面，本发明实施例提供的虚拟机中系统卷的加密系统，包括：

所述加密客户端包括：

发送单元，用于向密钥管理系统发送密钥申请请求消息，以使所述密钥 管理系统根据所述密钥申请请求消息生成加密密钥；

接收单元，用于接收所述密钥管理系统发送的密钥申请响应消息，所述 密钥申请响应消息包括所述加密密钥；

加密单元，用于根据所述加密密钥对虚拟机中的系统卷进行加密。

所述密钥管理系统包括：

收发单元，用于接收所述加密客户端发送的密钥申请请求消息；

密钥生成单元，用于根据所述密钥申请请求消息生成加密密钥；

所述收发单元，用于向所述加密客户端发送密钥申请响应消息，所述密 钥申请响应消息包括所述加密密钥。

另一方面，本发明实施例提供的另一种加密客户端，包括：

密钥解密单元，用于对加密的加密密钥进行解密；

系统卷解密单元，用于根据解密后的加密密钥对加密的虚拟机中的系统 卷进行解密。

从以上技术方案可以看出，本发明实施例具有以下优点：

在本发明的一实施例中，由加密客户端从密钥申请响应消息中得到加密 密钥，并根据该加密密钥对虚拟机中的系统卷进行加密，由于本发明实施例 中对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的安全。

在本发明另一实施例中，由加密客户端首先对加密的加密密钥进行解密， 然后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密，由于在对 虚拟机中的系统卷进行解密时，必须对加密密钥解密才能用这个解密后的加 密密钥对系统卷进行解密，能够保障用户的虚拟机中的系统卷只有解密后才 能够使用，避免了系统卷的泄露，有利于用户的虚拟机中系统卷的安全。

图1为本发明实施例提供的虚拟机中系统卷的加密方法的一个实施例示 意图；

图2为本发明实施例提供的加密客户端和密钥管理系统之间的交互流程 示意图；

图3为本发明实施例提供的虚拟机中系统卷的解密方法的一个实施例示 意图；

图4为本发明实施例提供的一种加密客户端的结构示意图；

图5为本发明实施例提供的虚拟机中系统卷的加密系统的示意图；

图6为本发明实施例提供的另一种加密客户端的结构示意图。

本发明实施例提供了一种加密方法、解密方法和相关装置及系统，用于 对用户的虚拟机中的系统卷进行安全保护。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将 结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整 地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部 实施例。基于本发明中的实施例，本领域的技术人员所获得的所有其他实施 例，都属于本发明保护的范围。

请参阅图1，本发明实施例提供的虚拟机中系统卷的加密方法的一个实施 例，包括如下步骤：

101、加密客户端向密钥管理系统发送密钥申请请求消息，以使密钥管理 系统根据密钥申请请求消息生成加密密钥。

在本发明实施例中，加密客户端向密钥管理系统发送密钥申请请求消息， 以向密钥管理系统请求分配加密密钥，在实际应用中，当用户需要对虚拟机 加密时，用户可以向加密客户端下达加密卷指令，以使加密客户端对虚拟机 中的系统卷加密，实现对用户的虚拟机中系统卷的安全保护。

需要说明的是，加密客户端实现对用户的虚拟机中系统卷的安全保护， 加密客户端可以部署在用户的虚拟机中，当用户需要对系统卷加密时可以调 用，密钥管理系统是能够产生密钥以用于保护数据安全的系统，具体可以部 署在云端，也可以部署在用户自己的虚拟机中，具体可以由用户需要来决定。

密钥管理系统从加密客户端接收到密钥申请请求消息之后，密钥管理系 统根据该密钥申请请求消息生成加密密钥(EK，Encryption Key)，然后密钥 管理系统将生成的加密密钥携带在密钥申请响应消息中，密钥管理系统向加 密客户端发送密钥申请响应消息。

需要说明的是，本发明实施例中描述的系统卷是相对于虚拟机中的数据 卷来说的，比如数据卷指的是用户在虚拟机中存储资料、图片等所使用的卷， 系统卷可以指的是虚拟机中安装的操作系统所使用的卷，系统卷除了包括虚 拟机中的操作系统以外还可以包括用户在虚拟机上安装的应用程序。本发明 实施例中，系统卷还可以包括虚拟机预启动操作系统。在实际应用中，虚拟 机的操作系统和预启动操作系统都可以统称之为卷数据。

102、加密客户端接收密钥管理系统发送的密钥申请响应消息，其中，密 钥申请响应消息包括加密密钥。

加密客户端接收密钥管理系统发送的密钥申请响应消息，通过该密钥申 请响应消息，加密客户端就可以提取出密钥管理系统为加密客户端生成的加 密密钥。

需要说明的是，在本发明实施例中，当密钥管理系统为加密客户端发送 密钥申请响应消息之后，为了保证密钥管理系统生成的加密密钥的安全性， 密钥管理系统对自己生成的加密密钥进行加密存储，根据加密客户端的请求 向加密客户端发送所述加密密钥，即密钥管理系统不能够以明文的形式直接 保存加密密钥，而是加密后作为密文来保存，在实际应用中，密钥管理系统 对加密密钥进行加密存储包括：密钥管理系统生成根密钥(RK，Rook Key)， 密钥管理系统根据根密钥对加密密钥进行加密存储，密钥管理系统可以采用 密钥推导函数(KDF，Key Derivation Function)根据根密钥加密加密密钥， 例如，加密前的明文为EK，则采用RK加密后得到的密文EK’＝KDF(RK，EK)， 密钥管理系统采用的KDF具体可以为高级加密标准(AES，Advanced  Encryption Standard)算法。

另外，为了防止恶意者非法获取根密钥，密钥管理系统根据根密钥对加 密密钥进行加密存储之后，还包括：密钥管理系统将根密钥保存在硬件芯片； 或，密钥管理系统将根密钥拆分成多个部分，分别保存在密钥管理系统中的 不同位置。例如，密钥管理系统将根密钥RK划分为两个部分，分别为RK1、 RK2，分别将这两个部分保存在密钥管理系统中两个不同的地方，以增加安全 性，再需要根密钥时通过一定的算法来根据RK1、RK2恢复出RK，例如 RK＝RK1||RK2。

103、加密客户端根据加密密钥对虚拟机中的系统卷进行加密。

在获取到密钥管理系统分配的加密密钥之后，加密客户端就可以根据该 加密密钥对虚拟机中的系统卷进行加密，以达到安全保护的目的。

加密客户端采用加密密钥对虚拟机中的系统卷加密，保存在云端，以使 用户对系统卷的安全放心，在实际应用中，加密客户端对系统卷进行加密具 体可以为：加密客户端根据加密密钥对虚拟机的操作系统进行加密，例如加 密客户端将整个虚拟机(VM，Virtual Machine)的操作系统(OS，Operating  System)都进行加密保护，需要说明的是，加密客户端对VMOS进行加密保 护之外还可以对虚拟机中装载的应用程序都进行加密保护，这样，加密之后 的操作系统放在云端，能够保证数据安全，避免数据泄漏。

需要说明的是，在本发明实施例中，加密客户端根据加密密钥对虚拟机 中的系统卷进行加密之后，还可以包括：加密客户端存储加密密钥，以使加 密客户端再次启动时，利用存储的加密密钥对虚拟机中的系统卷进行解密， 即以便将来需要时，可以根据加密客户端的请求首先解密得到原始的加密密 钥，然后向加密客户端发送加密密钥。在本发明实施例中，加密客户端根据 加密密钥对虚拟机的系统卷进行加密之后，为了保证加密密钥的安全性以避 免被恶意者的非法获取，加密客户端可以对加密密钥进行加密存储，即加密 密钥被加密后再保存，而不是作为明文来保存，在实际应用中，加密客户端 可以采用多种实现方式对加密密钥进行加密存储，其中一种实现方式可以包 括如下步骤：

A1、加密客户端获取用户的认证密钥；

A2、加密客户端根据认证密钥对加密密钥进行加密；

A3、加密客户端将加密后的加密密钥保存在预启动操作系统的区域中。

对于步骤A1，加密客户端首先获取用户的认证密钥(AK，Authentication  Key)，在每个虚拟机中都对应有用户，每个用户都有一个对应的认证密钥， 通常安全存储在活动目录(AD，Active Directory)服务端(Server)中，加密 客户端可以采用由用户自己人工输入认证密钥的方式，也可以由加密客户端 与AD Server交互的方式来获取到认证密钥。

对于步骤A2，加密客户端获取到认证密钥之后，加密客户端可以根据该 认证密钥对加密密钥进行加密，加密客户端可以采用密钥推导函数(KDF， Key Derivation Function)根据认证密钥加密加密密钥，例如，加密前的明文 为EK，则利用AK加密EK后得到的密文EK”＝KDF(AK，EK)，加密客户端采 用的KDF具体可以为高级加密标准(AES，Advanced Encryption Standard) 算法，需要说明的是，在本发明实施例中，也可以不采用认证密钥对加密密 钥进行加密，而采用其它的密钥来加密，但是使用现有技术已经存在的认证 密钥进行加密，可以减少对原有系统做较大改进，能更好的兼容现有的操作 系统。

对于步骤A3，加密客户端对加密密钥加密之后，加密客户端将加密的加 密密钥保存在预启动(Preboot)操作系统(OS，Operate System)的区域中， 预启动操作系统实际上是一个很小的操作系统，是虚拟机中的隐藏区域，主 要用于完成对VM OS启动之前的一些预处理工作，例如输入解密VMOS的 密码，对用户进行认证等。在本发明实施例中，可以为VM预先配置此预启 动操作系统。在实际应用中，虚拟机上的系统卷实际上可以划分为两个部分： Preboot OS、VM OS，为保证系统能正常启动，Preboot OS必须明文保存；为 保证VM中数据安全性，VM OS(包含应用程序)必须加密保存，其中，预启 动操作系统配置在云端的虚拟机中，预启动操作系统用于在虚拟机启动前对 用户进行认证。

需要说明的是，在步骤A2完成之后，为了进一步的保证认证密钥的安全 性，还可以包括如下步骤：加密客户端对认证密钥进行保护处理，加密客户 端将保护后的认证密钥保存在预启动操作系统的区域中，例如，加密客户端 对AK进行哈希算法处理，得到HASH(AK)，然后将HASH(AK)保存在 Preboot OS之中，又如，加密客户端还可以对明文为AK进行加密处理，然后 将加密后的AK保存在Preboot OS的区域之中。

在本发明实施例中，由加密客户端从密钥申请响应消息中得到加密密钥， 并根据该加密密钥对虚拟机中的系统卷进行加密，最后对加密密钥也进行加 密存储，由于本发明实施例中对虚拟机中的系统卷进行了加密，能够保障用 户的虚拟机中系统卷的安全。

接下来以一个详细的应用场景来介绍本发明实施例提供的虚拟机中系统 卷的加密方法，如图2所示，为加密客户端和密钥管理系统之间的交互流程 图，包括：

201、用户向加密客户端下达加密卷指令；

202、加密客户端向密钥管理系统发送密钥申请请求消息；

203、密钥管理系统根据该密钥申请请求消息生成加密密钥；

204、密钥管理系统向加密客户端发送密钥申请响应消息，密钥申请响应 消息包括加密密钥；

205、加密客户端根据该加密密钥对虚拟机中的系统卷进行加密；

206、加密客户端对加密密钥进行加密存储；

207、密钥管理系统对加密密钥进行加密存储。

在本发明实施例中，由加密客户端通过和密钥管理系统交互得到加密密 钥，然后加密客户端对虚拟机中系统卷进行加密，最后加密客户端和密钥管 理系统都对加密密钥进行加密存储，能够保障用户的虚拟机中系统卷的安全。

以上实施例介绍本发明实施例提供的虚拟机中系统卷的加密方法，接下 来介绍与该加密方法相对应的解密方法，请参阅图3所示，本发明实施例提 供的虚拟机中系统卷的解密方法包括：

301、加密客户端对加密的加密密钥进行解密；

在本发明实施例中，系统卷加密后被保存在云端，当用户需要使用虚拟 机时用户从云端获取系统卷，则用户可以向加密客户端下达解密卷指令，以 使加密客户端对加密后的系统卷进行解密，加密客户端从用户侧得到解密卷 指令之后，根据前述的加密方法，加密密钥也已经被加密存储了，所以在本 发明实施例中，加密客户端若需要使用加密密钥对系统卷进行解密，则加密 客户端首先需要对加密的加密密钥进行解密。

需要说明的是，若加密的加密密钥保存在预启动操作系统的区域中，加 密客户端对加密的加密密钥EK进行解密包括：

B1、加密客户端加载虚拟机的预启动操作系统；

B2、加密客户端接收用户输入的认证密钥；

B3、加密客户端根据认证密钥对加密的加密密钥进行解密，得到明文的 加密密钥。

对于步骤B1，加密密钥被加密保存在预启动操作系统的区域中，加密客 户端则需要首先加载这个预启动操作系统，用户输入用户名和认证密钥，然 后执行步骤B2，加密客户端接收用户输入的认证密钥，得到认证密钥之后， 还包括步骤：加密客户端对认证密钥进行保护处理，并将保护处理后的认证 密钥和预先存储的经过保护处理的认证密钥进行比较，若一致则用户鉴权通 过，然后再触发步骤B3执行。若不一致则用户没有通过鉴权，则拒绝执行步 骤B3。例如，上述对用户的鉴权处理过程为：假如上述加密客户端对认证密 钥进行保护处理的方法中，加密客户端将AK进行哈希算法处理，得到HASH (AK)，然后将HASH(AK)预先保存在Preboot OS之中，则加密客户端先 根据用户输入的AK计算HASH(AK)，并和隐藏区域事先存储的HASH(AK) 比较，如果一致的话，则用户鉴权通过。又如，若加密客户端对认证密钥进 行保护处理时对AK进行了加密，则在此需要对用户输入的AK进行加密，然 后比较用户输入的AK加密后的结果与事先存储的加密后的AK，如果一致的 话，则用户鉴权通过。

需要说明的是，在步骤B2执行之后，还可以包括步骤：加密客户端将认 证密钥保存在预启动操作系统的内存。这样做的目的在于当解密完成虚拟机 的操作系统之后，用户仍然需要使用用户名和认证密钥才能登陆操作系统， 为了避免用户的重复输入，在本发明实施例中可以将用户输入的认证密钥保 存在预启动操作系统的内存之后，当需要启动虚拟机的操作系统时将保存在 预启动操作系统的内存中的认证密钥作为启动参数输入到操作系统中，实现 了用户的单点登录(SSO，Single Sign On)。

302、加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行 解密。

在本发明实施例中，加密客户端对加密的加密密钥进行解密之后，加密 客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行解密，具体的 解密算法会因为采用的加密算法的不同而不同。

需要说明的是，在实际应用中，若虚拟机中的系统卷包括虚拟机的操作 系统，则加密客户端根据解密后的加密密钥对加密的虚拟机中的系统卷进行 解密具体为：加密客户端根据解密后的加密密钥对加密的虚拟机的操作系统 进行解密。若卷数据还包括虚拟机上的应用程序，则加密客户端根据加密的 加密密钥对整个虚拟机的操作系统和虚拟机上加载的应用程序都进行解密， 则解密后的操作系统就可以由用户登录使用了。

在本发明提供的实施例中，由加密客户端首先对加密密钥进行解密，然 后再用解密后的加密密钥对加密的虚拟机中的系统卷进行解密，由于在对虚 拟机中的系统卷进行解密时必须得对加密密钥解密，然后用这个解密后的加 密密钥对系统卷进行解密，能够保障用户的虚拟机中的系统卷只有解密后才 能够使用，避免了系统卷的泄露，有利于用户的虚拟机中系统卷的安全。

接下来以实际的应用场景来介绍本发明实施例提供的虚拟机中系统卷的 解密方法，介绍的是系统卷包括虚拟机中的操作系统被加密时的解密方法， 包括：

1、当虚拟机加电启动后，首先进入虚拟基本输入输出系统(VxBIOS， Basic Input Output System)，然后访问Preboot OS。

2、加密客户端加载Preboot OS到内存，执行Preboot OS，显示用户输入 界面，用户输入认证信息(用户名，AK)。

3、加密客户端根据用户输入的AK计算HASH(AK)，并和隐藏区域事先 存储的HASH(AK)比较，一致的话，则用户在Preboot OS通过鉴权。

4、加密客户端利用用户输入的AK解密被加密的加密密钥EK”，得到加 密密钥EK。

5、加密客户端用EK解密操作系统得到原始未加密的VM OS。

6、加密客户端加载VM OS，并将(用户名，AK)作为启动参数传递给 VM OS。

7、VM OS正常启动和自动登录，不需要再次输入(用户名、AK)。从而 实现了单点登录。

以上实施例分别介绍了本发明实施例提供的虚拟机中系统卷的加密方 法、解密方法，接下来介绍使用这些方法的相应装置，如图4所示，一种加 密客户端400，包括：

发送单元401，用于向密钥管理系统发送密钥申请请求消息，以使所述密 钥管理系统根据所述密钥申请请求消息生成加密密钥；

接收单元402，用于接收所述密钥管理系统发送的密钥申请响应消息，其 中，密钥申请响应消息包括加密密钥；

加密单元403，用于根据加密密钥对虚拟机中的系统卷进行加密。

需要说明的是，在本发明实施例中，加密客户端400还可以包括：存储 单元404，用于存储加密密钥，以使加密客户端再次启动时，利用存储的加密 密钥对所述虚拟机中的系统卷进行解密。

需要说明的是，对于加密单元403而言，在实际应用中，加密单元403 可以具体用于根据加密密钥对虚拟机的操作系统进行加密。

需要说明的是，对于存储单元404而言，在实际应用中，存储单元404 具体可以包括(未在图4中示出)：

获取模块，用于获取用户的认证密钥；

密钥加密模块，用于根据认证密钥对加密密钥进行加密；

保存模块，用于将加密后的加密密钥保存在预启动操作系统的区域中。

需要说明的是，密钥加密模块还用于对认证密钥进行保护处理，保存模 块还用于将保护处理后的认证密钥保存在预启动操作系统的区域中。

需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容， 由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实 施例相同，具体内容可参见本发明如图1或2所示的方法实施例中的叙述， 此处不再赘述。

在本发明实施例中，由接收单元从密钥申请响应消息中得到加密密钥， 并由加密单元根据该加密密钥对虚拟机中的系统卷进行加密，由于本发明实 施例中对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的 安全。

接下来介绍一种虚拟机中系统卷的加密系统，如图5所示，虚拟机中系 统卷的加密系统500，包括：加密客户端501和密钥管理系统502，其中，

加密客户端501具体可以为如前述实施例中描述的加密客户端400；

密钥管理系统502包括：

收发单元5021，用于接收加密客户端发送的密钥申请请求消息；

密钥生成单元5022，用于根据密钥申请请求消息生成加密密钥；

收发单元5021，还用于向加密客户端发送密钥申请响应消息，其中，密 钥申请响应消息包括加密密钥。

需要说明的是，本发明实施例提供的密钥管理系统502，还可以包括：加 密存储单元5023，用于对密钥管理系统502自己生成的加密密钥进行加密存 储单元，以根据加密客户端的请求向加密客户端发送加密密钥。在实际应用 中，一种实现方式是，加密存储单元5023具体可以用于：生成根密钥，根据 根密钥对加密密钥进行加密存储。

在本发明提供的实施例中，由加密客户端从密钥管理系统中得到加密密 钥，并根据该加密密钥对虚拟机中的系统卷进行加密，由于本发明实施例中 对虚拟机中的系统卷进行了加密，能够保障用户的虚拟机中系统卷的安全。

以上实施例介绍了使用虚拟机中系统卷的加密方法的对应装置，接下来 介绍使用虚拟机中系统卷的解密方法的对应装置，如图6所示，加密客户端 600，包括：

密钥解密单元601，用于对加密的加密密钥进行解密；

系统卷解密单元602，用于根据解密后的加密密钥对加密的虚拟机中的系 统卷进行解密。

需要说明的是，在实际应用中，若加密的加密密钥被保存在预启动操作 系统的区域中，则密钥解密单元601具体可以包括(未在图6中示出)：

加载模块，用于加载虚拟机的预启动操作系统；

接收模块，用于接收用户输入的认证密钥；

密钥解密模块，用于根据认证密钥对加密存储的加密密钥进行解密。

在实际应用中，密钥解密单元还可以包括：鉴权模块，用于对认证密钥 进行保护处理，并将保护处理后的认证密钥和预先存储经过保护处理的认证 密钥进行比较，若一致则用户鉴权通过，触发密钥解密模块执行。

需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容， 由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实 施例相同，具体内容可参见本发明如图2或3所示的方法实施例中的叙述， 此处不再赘述。

在本发明提供的实施例中，由密钥解密单元首先对加密的加密密钥进行 解密，然后由系统卷解密单元再用解密后的加密密钥对加密的虚拟机中的系 统卷进行解密，由于在对虚拟机中的系统卷进行解密时必须得对加密密钥解 密，然后用这个解密后的加密密钥对系统卷进行解密，能够保障用户的虚拟 机中的系统卷只有解密后才能够使用，避免了系统卷的泄露，有利于用户的 虚拟机中系统卷的安全。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描 述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应 过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和 方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示 意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可 以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个 系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间 的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合 或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作 为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方， 或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或 者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中， 也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单 元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件 功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机 可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指 令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等) 执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、 移动硬盘、只读存储器(Read‑Only Memory，简称ROM)、随机存取存储器 (Random Access Memory，简称RAM)、磁碟或者光盘等各种可以存储程序 代码的介质。

以上对本发明所提供的一种加密方法、解密方法和相关装置及系统进行 了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具 体实施方式及应用范围上均会有改变之处，因此，本说明书内容不应理解为 对本发明的限制。