一种数据存储加密系统、方法、设备及介质

技术领域

本发明涉及数据处理技术领域，尤其涉及一种数据存储加密系统、方法、设备及介质。

背景技术

当前关系型数据库采用的数据存储底座是基于MySQL数据库，该数据库通讯采用SSL、数据/日志采用默认且唯一的加密算法AES算法。

但该AES算法的密钥是存储在操作系统中的本地环境中，容易出现密钥丢失和被盗取的风险，进而无法保障数据和日志的加密安全性。

发明内容

本发明提供了一种数据存储加密系统、方法、设备及介质，以解决现有技术中的加密算法的加密安全性低的技术问题。

根据本发明的一方面，提供了一种数据存储加密系统，包括：加解密模块和硬件密码卡；

将预先生成的主密钥存储于所述硬件密码卡中，所述加解密模块通过所述主密钥对每个数据文件的随机值进行加密，得到对应数据文件的文件密钥，并将所述文件密钥存储至所述硬件密码卡中的一个临时密钥位置，以及在系统缓存中存储每个所述临时密钥位置；

响应于接收到的数据传输指令，获取待传输数据对应的数据文件，并通过所述系统缓存中的临时密钥位置从硬件密码卡获取对应的文件密钥，并采用所述文件密钥对所述数据文件进行加密，并将得到的加密数据存储至服务端的数据库中，以使其它客户端从所述服务端访问并解密所述加密数据。

根据本发明的另一方面，提供了一种数据存储加密方法，包括：

响应于接收到的数据传输指令，从系统缓存中获取待传输数据所对应数据文件的临时密钥位置；

基于所述临时密钥位置从硬件密码卡中获取所述数据文件的文件密钥；

采用所述文件密钥对所述待传输数据进行加密，得到对应的加密数据；

将所述加密数据存储至服务端，以使其它客户端从所述服务端访问并解密所述加密数据。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的数据存储加密方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的数据存储加密方法。

本发明实施例的技术方案，通过将主密钥存储于一个独立的硬件密码卡中，加解密模块通过主密钥对每个数据文件的随机值进行加密，得到对应数据文件的文件密钥，并将文件密钥存储至硬件密码卡中的一个临时密钥位置，以及在系统缓存中存储每个临时密钥位置，避免了将文件密钥存储于系统本地环境导致丢失和被盗取的风险，从而保证了密钥的安全性；并且在接收到数据传输指令时，通过从系统缓存中的临时密钥位置获取待传输数据所对应数据文件的文件密钥，并采用文件密钥对数据文件进行加密，并将得到的加密数据存储至服务端的数据库中，以使其它客户端从服务端访问并解密加密数据，从而保证了数据存储和数据传输过程中的数据和日志的加密安全性。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种数据存储加密系统的结构框图；

图2是本发明实施例提供的另一种数据存储加密系统的结构框图；

图3是本发明实施例提供的又一种数据存储加密系统的结构框图；

图4是本发明实施例提供的一种审计日志中一条记录的HMAC值的生成流程图；

图5是本发明实施例提供的一种客户端与服务端中数据库之间通信包含的TLS握手过程的实现示意图；

图6是本发明实施例提供的一种数据存储加密系统的整体框图；

图7是本发明实施例提供的一种数据存储加密方法的流程图；

图8是本发明实施例提供的一种数据存储加密装置的结构示意图；

图9是本发明实施例提供的一种电子设备的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在一实施例中，图1是本发明实施例提供的一种数据存储加密系统的结构框图，本实施例可适用于对数据存储和传输过程中的数据进行加密的情况，该数据存储加密可以采用硬件和/或软件的形式实现，该数据存储加密系统可配置于电子设备中。如图1所示，该数据存储加密系统包括：加解密模块10和硬件密码卡20；

将预先生成的主密钥存储于硬件密码卡20中，加解密模块10通过主密钥对每个数据文件的随机值进行加密，得到对应数据文件的文件密钥，并将文件密钥存储至硬件密码卡20中的一个临时密钥位置，以及在系统缓存中存储每个临时密钥位置；

响应于接收到的数据传输指令，获取待传输数据对应的数据文件，并通过系统缓存中的临时密钥位置从硬件密码卡20获取对应的文件密钥，并采用文件密钥对数据文件进行加密，并将得到的加密数据存储至服务端的数据库中，以使其它客户端从服务端访问并解密加密数据。

其中，主密钥可以为对称秘钥。在硬件密码卡20所关联的系统初始化时，可以通过硬件密码卡20生成一个主密钥，并将主密钥存储在硬件密码卡20中，并且，每个数据文件对应一个随机值，并采用硬件密码卡20中的主密钥对每个数据文件的随机值进行加密，得到对应的文件密钥，并将文件密钥存储至硬件密码卡20中的一个临时密钥位置，并在系统缓存中存储每个文件密钥的临时密钥位置，从而避免了密钥丢失问题，保证了主密钥是局部存储，并非全局存储，保证了主密钥的安全性。每个数据文件的随机值是随机生成的，可以理解为每个数据文件的文件密钥也是随机生成的。

在系统中的数据库重启时，可以加载用于存储文件密钥的密钥元数据库，并通过主密钥对文件密钥进行解密。在需要对待传输数据进行加解密时，可以从系统缓存中存储的临时密钥位置获取对应的文件密钥，并采用文件密钥进行加解密操作，并在完成使用之后，立即销毁系统缓存中的临时密钥位置。

本实施例的技术方案，通过将主密钥存储于一个独立的硬件密码卡中，加解密模块通过主密钥对每个数据文件的随机值进行加密，得到对应数据文件的文件密钥，并将文件密钥存储至硬件密码卡中的一个临时密钥位置，以及在系统缓存中存储每个临时密钥位置，避免了将文件密钥存储于系统本地环境导致丢失和被盗取的风险，从而保证了密钥的安全性；并且在接收到数据传输指令时，通过从系统缓存中的临时密钥位置获取待传输数据所对应数据文件的文件密钥，并采用文件密钥对数据文件进行加密，并将得到的加密数据存储至服务端的数据库中，以使其它客户端从服务端访问并解密加密数据，从而保证了数据存储和数据传输过程中的数据和日志的加密安全性。

在一实施例中，图2是本发明实施例提供的另一种数据存储加密系统的结构框图。本实施例是在上述实施例的基础上，在数据存储加密系统中增加角色鉴别模块。如图2所示，本实施例中的数据存储加密系统还包括：角色鉴别模块30；角色鉴别模块用30于对系统中的每个角色进行初始化和权限管理。在实施例中，角色鉴别模块30在对系统中的每个角色进行初始化和权限管理的同时，还对每个操作员的身份信息进行认证。

在一实施例中，角色鉴别模块，包括：角色管理模块、角色初始化模块和权限管理模块；

其中，角色管理模块用于配置下述三种角色：系统管理员、业务管理员和系统审计员；其中，系统管理员用于对密码初始化和管理功能；业务管理员用于系统业务操作的角色；系统审计员用于操作行为日志的管理，以及对审计日志进行备份、归档、查询和审计；

角色初始化模块用于在系统初始化时，初始化系统管理员，并设置默认PIN码，将默认PIN码注册于硬件密码卡中，在系统管理员通过默认PIN码成功登录系统之后，创建业务管理员和系统审计员；

权限管理模块用于对系统管理员、业务管理员和系统审计员的授权操作和非法操作进行分配和管理。

在实施例中，角色管理模块用于提供系统管理员、业务管理员和系统审计员，其中，系统管理员用于承担密码主管角色，负责执行密码初始化和管理功能，以及常用的安全服务，比如，模块初始化、关键安全参数和公共安全参数的管理；业务管理员用于承担系统业务操作的角色，负责用户的创建与删除，授权与回收，以及其他数据库对象的管理；系统审计员用于承担日志审计角色，负责操作行为日志的管理和对审计日志进行备份、归档、查询和审计等操作。

在实施例中，采用角色初始化模块对角色进行初始化的流程如下：在系统初始化时，初始化系统管理员，并设置默认个人识别密码(Personal Identification Number，PIN)码，且将该默认PIN码注册于硬件密码卡中；在系统启动之后，插入系统管理员的USB-key，并输入该默认PIN码，在登录成功之后，系统管理员可以进行操作管理，也可以动态修改PIN码；在登录成功之后，可以创建业务管理员和系统管理员，当然，在分别创建业务管理员和系统管理员这两个角色时，需要插入这两个角色相应的USB-key。

在实施例中，可以权限管理模块对系统管理员、业务管理员和系统审计员的权限进行管理。比如，系统管理员的授权操作可以包括：角色初始化和修改自身的PIN码，非法操作包括：操作业务表和审计表；业务管理员的授权操作可以包括：创建业务操作角色(即新的业务管理员)并进行业务数据库和业务表的权限管理，非法操作包括：操作审计表；系统审计员的授权操作包括：对审计表只读，且发起日志完整性检测，非法操作包括：操作业务表和修改审计表。

在一实施例中，图3是本发明实施例提供的又一种数据存储加密系统的结构框图。本实施例是在上述实施例的基础上，在数据存储加密系统中增加安全审计模块。如图3所示，本实施例中的数据存储加密系统还包括安全审计模块40。

硬件密码卡20还用于在系统初始化时，生成对应的日志完整性保护密钥，并将日志完整性保护密钥存储于硬件密码卡20中。

安全审计模块40用于对根据系统管理员和业务管理员的操作记录所生成审计日志的完整性进行校验；

通过安全审计模块40根据审计日志中上一条记录的密钥相关的哈希运算消息认证码(Hash-based Message Authentication Code，HMAC)值和日志完整性保护密钥确定当前记录的当前HMAC值，并根据当前记录的当前HMAC值与原始HMAC值之间的一致性结果确定当前记录的完整性。

其中，HMAC使用散列函数和日志完整性保护密钥生成一个固定长度的验证码，称为HMAC值。在实施例中，对于系统管理员和业务管理员的一些涉及安全的操作进行记录，并写入审计日志文件中。其中，操作记录包括但不限于：节点标识(ID)、用户名、用户IP(即IP地址)、用户端口(Port)、操作的库名、操作的表名、操作命令的类型、操作的语句、操作时间和HMAC值(日志中涉及密码相关的会进行脱敏处理)。

图4是本发明实施例提供的一种审计日志中一条记录的HMAC值的生成流程图。如图4所示，HMAC值的生成过程包括如下步骤：

步骤1，日志完整性保护密钥与ipad序列进行异或运算，生成ipadkey。

步骤2，将ipadkey和审计日志的一条记录进行组合，得到对应的第一组合序列；

步骤3，采用SM3杂凑算法对第一组合序列进行运算，得到散列值。

步骤4，日志完整性保护密钥和opad序列进行异或运算，得到opadkey。

步骤5，将散列值和opadkey进行组合，得到对应的第二组合序列。

步骤6，采用SM3杂凑算法对第二组合序列进行运算，得到这条记录的HMAC值。

其中，SM杂凑算法是硬件密码卡提供相关的算法接口；ipad＝一个字节(byte)的0x36重复32次；opad＝一个字节(byte)的0x5C重复32次。

在计算得到审计日志中每条记录的HAMC值之后，并每条记录的当前HMAC值与上一次的HMAC值进行比较，若这两个HMAC值不相等，则返回当前记录为被篡改的记录；若所有记录都完全相等，则返回空集，即均为未被篡改的记录。

在一实施例中，数据加解密模块还用于根据数据类型对数据库中的数据进行划分，得到不同数据类型的数据文件；将不同类型的数据文件生成不同的文件密钥。

在一实施例中，数据存储加密系统，还包括：数据库通信模块；通过数据库通信模块将服务端的签名证书和加密证书发送至客户端，并将签名证书和加密证书存储于硬件密码卡中。

在实施例中，客户端可以为一个业务应用程序，可以通过与服务端中的数据库建立安全通信，保障业务数据在网络传输中的安全性和完整性。同时，数据库内部的主从节点之间操作日志传输也采用安全通信，以保证数据传输安全。

图5是本发明实施例提供的一种客户端与服务端中数据库之间通信包含的TLS握手过程的实现示意图。如图5所示，本实施例中的客户端与服务端中的数据库之间的通信包含的TLS握手过程的包括如下步骤：

步骤1，客户端发送客户端hello消息给服务端，服务端回应服务端hello消息，否则产生一个致命错误并断开连接。客户端hello和服务端hello用于在客户端和服务端进行基于SM2、RSA的密码算法协商，以及确定安全传输能力，包括协议版本、会话标识和密码套件等属性，并产生和交换随机数。

步骤2，在客户端hello和服务端hello消息之后是身份认证和密钥交换过程。包括服务端证书、服务端密钥交换、客户端证书和客户端密钥交换。

步骤3，在服务端发送完hello消息后，接着发送自己的证书消息，服务端密钥交换消息。如果服务端需要验证客户端的身份，则向客户端发送证书请求消息。

步骤4，然后发送服务端hello完成消息，表示hello消息阶段已经结束，服务端等待客户端的返回消息。

步骤5，如果服务端发送了一个证书请求消息，客户端应返回一个证书消息。然后客户端发送密钥交换消息，消息内容取决于客户端hello消息和服务端hello消息协商出的密钥交换算法。

步骤6，如果客户端发送了证书消息，那么也应发送一个待数字签名的证书验证消息共服务端验证客户端的身份。

步骤7，接着客户端发送密码规格变更消息，然后客户端立即使用刚协商的算法和密钥，加密并发送握手结束消息。

步骤8，服务端则回应密码规格变更消息，使用刚协商的算法和密钥，加密并发送握手结束消息。

步骤9，至此握手过程结束，服务端和客户端可以开始数据安全传输。

在一实施例中，图6是本发明实施例提供的一种数据存储加密系统的整体框图，如图6所示，数据存储加密系统包括：密码模块软件、操作系统环境和密码模块硬件。

其中，密码模块软件包含应用层、业务逻辑层与协议层；应用层向用户提供身份认证和数据加密存储功能；业务逻辑层包含运行管理模块、业务逻辑模块、角色鉴别模块、密钥管理模块和加解密模块；协议层包含密钥管理接口与数据库通信接口。

其中，运行管理模块用于负责对密码模块运行进行管理。

业务逻辑模块包含用户数据加密存储与查询的核心业务逻辑实现。

角色鉴别模块用于负责用户身份认证、角色初始化和权限管理。

密钥管理模块负责密钥的全生命周期管理，包括密钥的生成、存储、使用、更新与销毁。

加解密模块用于提供统一的用户数据加解密接口，对数据进行加密和解密。

操作系统环境包含驱动层和操作系统层；其中，驱动层包括：密码卡驱动、智能密码钥匙驱动和密码算法库；操作系统层包括：数据库设备操作系统及相关类库。

密码模块硬件包括物理层，物理层包括：密码卡与智能密码钥匙。

在一实施例中，图7是本发明实施例提供的一种数据存储加密方法的流程图，本实施例中的数据存储加密方法由上述实施例中的数据存储加密系统执行。如图7所示，该方法包括：

S110、响应于接收到的数据传输指令，从系统缓存中获取待传输数据所对应数据文件的临时密钥位置。

S120、基于临时密钥位置从硬件密码卡中获取数据文件的文件密钥。

S130、采用文件密钥对待传输数据进行加密，得到对应的加密数据。

S140、将加密数据存储至服务端，以使其它客户端从服务端访问并解密加密数据。

本实施例的技术方案，通过将主密钥存储于一个独立的硬件密码卡中，避免了将主密钥存储于系统本地环境导致丢失和被盗取的风险，从而保证了密钥的安全性；并且在接收到数据传输指令时，通过从系统缓存中的临时密钥位置获取待传输数据所对应数据文件的文件密钥，并采用文件密钥对数据文件进行加密，并将得到的加密数据存储至服务端的数据库中，以使其它客户端从服务端访问并解密加密数据，从而保证了数据存储和数据传输过程中的数据和日志的加密安全性。

在一实施例中，图8是本发明实施例提供的一种数据存储加密装置的结构示意图。如图8所示，该装置包括：第一获取模块210、第二获取模块220、加密模块230和存储模块240。

其中，第一获取模块210，用于响应于接收到的数据传输指令，从系统缓存中获取待传输数据所对应数据文件的临时密钥位置；

第二获取模块220，用于基于所述临时密钥位置从硬件密码卡中获取所述数据文件的文件密钥；

加密模块230，用于采用所述文件密钥对所述待传输数据进行加密，得到对应的加密数据；

存储模块240，用于将所述加密数据存储至服务端，以使其它客户端从所述服务端访问并解密所述加密数据。

本发明实施例所提供的数据存储加密装置可执行本发明任意实施例所提供的数据存储加密方法，具备执行方法相应的功能模块和有益效果。

需要说明的是，本实施例中的第一获取模块、第二获取模块、加密模块和存储模块均为逻辑单元。

在一实施例中，图9是本发明实施例提供的一种电子设备的结构框图，如图9所示，示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图9所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如数据存储加密方法。

在一些实施例中，数据存储加密方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时，可以执行上文描述的数据存储加密方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行数据存储加密方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。