The invention discloses a method for realizing a CephFS distributed file system metadata access protection mechanism, protect file metadata module on the process in the protection of MDS, through the software protection extended instruction by the computer hardware to encrypt the file metadata, and the access control. The key in the method of the invention is generated by the client MDS daemon and the physical machine hardware information, so as to ensure the safety and effectiveness of subsequent verification steps. The invention also discloses a system for realizing CephFS, distributed file system metadata access protection mechanism includes: the MDS daemon module, providing intelligent cache space, running MDS daemon to manage the file system files and directories, file metadata generation of distributed storage; SGX encryption module, extended command generation for trusted software protection the storage space of file metadata based and generate is used to verify the trusted access key space.
【技术实现步骤摘要】
CephFS分布式文件系统元数据访问保护机制的实现方法及系统
本专利技术涉及分布式存储领域,尤其涉及一种CephFS分布式文件系统元数据访问保护机制的实现方法及系统。
技术介绍
Ceph是一个开源的分布式存储项目,提供块存储、对象存储和文件存储3种存储方案实现方式,是可靠的、可扩展的、统一的、分布式的存储系统。软件定义存储(SDS)是存储发展的必然趋势,在开源软件定义存储领域,Ceph是第一选择。随着IaaS技术的火热发展,尤其是OpenStack开源云平台的快速普及和应用,越来越多的用户开始在生产环境中部署Ceph作为云平台的统一存储方案。在Ceph存储系统中,包含了几个重要的核心组件,分别是Ceph对象存储设备(ObjectStorageDevice,OSD)、Ceph监控器(Monitor,Mon)和Ceph元数据服务器(MetadataServer,MDS)。其中OSD的主要功能包括存储数据,处理数据的复制、恢复、回补和平衡数据分布;Mon的主要功能是维护整个集群健康状态,提供一致性的决策;MDS主要缓存文件系统的元数据。CephFS是Ceph提供的文件存储解决方案,是一个支持POSIX接口的文件系统存储类型。CephFS继承了Ceph对象存储的容错性和扩展性,相比NFS和CIFS,可以提供副本冗余,具有数据高可靠的特性。CephFS需要MDS来管理文件系统的命名空间以及客户端如何访问到后端OSD数据存储中。元数据主要负责记录数据的属性,如文件存储位置、文件大小和存储时间等,负责资源查找、文件记录、存储位置记录、访问授权等功能。MDS管理CephF ...
【技术保护点】
一种CephFS分布式文件系统元数据访问保护机制的实现方法,其特征在于,包括:(1)在MDS守护进程模块启动MDS守护进程时,通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间,并生成用以验证可信空间访问权限的密钥;(2)每次读取文件元数据时,MDS守护进程通过SGX加密模块提供的密钥来访问读取可信空间内的文件元数据;每次更新文件元数据时,MDS守护进程向SGX加密模块发起数据更新请求,通过密钥的验证后,SGX加密模块将更新的文件元数据备份到所述的可信空间中。
【技术特征摘要】
1.一种CephFS分布式文件系统元数据访问保护机制的实现方法,其特征在于,包括:(1)在MDS守护进程模块启动MDS守护进程时,通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间,并生成用以验证可信空间访问权限的密钥;(2)每次读取文件元数据时,MDS守护进程通过SGX加密模块提供的密钥来访问读取可信空间内的文件元数据;每次更新文件元数据时,MDS守护进程向SGX加密模块发起数据更新请求,通过密钥的验证后,SGX加密模块将更新的文件元数据备份到所述的可信空间中。2.根据权利要求1所述的CephFS分布式文件系统元数据访问保护机制的实现方法,其特征在于,步骤(1)中,在MDS守护进程模块启动MDS守护进程时,通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间,并生成用以验证可信空间访问权限的密钥,具体包括:(1-1)数据上载:MDS守护进程模块启动MDS守护进程,生成MDS守护进程证书,并将MDS守护进程信息和MDS守护进程证书上载到处理空间中;(1-2)SGX驱动器准备:通过SGX驱动器对上载到处理空间中的数据信息进行参数测量,为可信空间分配地址空间和内存页,同时获取MDS守护进程证书的信息并传递给SGX硬件处理器;(1-3)可信空间的建立:SGX驱动器根据测量的参数创建可信空间,并将MDS守护进程上的文件元数据信息复制到可信空间中,之后删除处理空间中的数据;(1-4)密钥的...
【专利技术属性】
技术研发人员:陈建海,侯文龙,吕颖,黄步添,何钦铭,王津航,王备,张淼,
申请(专利权)人:浙江大学,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。