CephFS分布式文件系统元数据访问保护机制的实现方法及系统技术方案

本发明专利技术公开了一种CephFS分布式文件系统元数据访问保护机制的实现方法，在保护MDS守护进程模块上的文件元数据时，通过软件防护扩展指令由计算机硬件对文件元数据进行加密，并对其访问权限进行控制。本发明专利技术的方法中的密钥是由客户MDS守护进程和物理机硬件信息交叉生成，保证了后续验证步骤的安全性和有效性。本发明专利技术还公开了一种CephFS分布式文件系统元数据访问保护机制的实现系统，包括：MDS守护进程模块，提供智能缓存空间，运行MDS守护进程对文件系统中的文件和目录进行管理，生成分布式存储的文件元数据；SGX加密模块，基于软件防护扩展指令生成用于存储所述的文件元数据的可信空间，并生成用于验证所述可信空间的访问权限的密钥。

The realization method and system of CephFS distributed file system metadata access protection mechanism

The invention discloses a method for realizing a CephFS distributed file system metadata access protection mechanism, protect file metadata module on the process in the protection of MDS, through the software protection extended instruction by the computer hardware to encrypt the file metadata, and the access control. The key in the method of the invention is generated by the client MDS daemon and the physical machine hardware information, so as to ensure the safety and effectiveness of subsequent verification steps. The invention also discloses a system for realizing CephFS, distributed file system metadata access protection mechanism includes: the MDS daemon module, providing intelligent cache space, running MDS daemon to manage the file system files and directories, file metadata generation of distributed storage; SGX encryption module, extended command generation for trusted software protection the storage space of file metadata based and generate is used to verify the trusted access key space.

【技术实现步骤摘要】
CephFS分布式文件系统元数据访问保护机制的实现方法及系统
本专利技术涉及分布式存储领域，尤其涉及一种CephFS分布式文件系统元数据访问保护机制的实现方法及系统。
技术介绍
Ceph是一个开源的分布式存储项目，提供块存储、对象存储和文件存储3种存储方案实现方式，是可靠的、可扩展的、统一的、分布式的存储系统。软件定义存储(SDS)是存储发展的必然趋势，在开源软件定义存储领域，Ceph是第一选择。随着IaaS技术的火热发展，尤其是OpenStack开源云平台的快速普及和应用，越来越多的用户开始在生产环境中部署Ceph作为云平台的统一存储方案。在Ceph存储系统中，包含了几个重要的核心组件，分别是Ceph对象存储设备(ObjectStorageDevice，OSD)、Ceph监控器(Monitor，Mon)和Ceph元数据服务器(MetadataServer，MDS)。其中OSD的主要功能包括存储数据，处理数据的复制、恢复、回补和平衡数据分布；Mon的主要功能是维护整个集群健康状态，提供一致性的决策；MDS主要缓存文件系统的元数据。CephFS是Ceph提供的文件存储解决方案，是一个支持POSIX接口的文件系统存储类型。CephFS继承了Ceph对象存储的容错性和扩展性，相比NFS和CIFS，可以提供副本冗余，具有数据高可靠的特性。CephFS需要MDS来管理文件系统的命名空间以及客户端如何访问到后端OSD数据存储中。元数据主要负责记录数据的属性，如文件存储位置、文件大小和存储时间等，负责资源查找、文件记录、存储位置记录、访问授权等功能。MDS管理CephFS客户端入口的名称空间，它的主要应用就是一个智能元数据缓存(因为实际的元数据最终存储在对象存储集群中)。进行读写操作的元数据被缓存在一个短期的日志中，它最终还是被推入物理存储器中。这个动作允许MDS将最近的元数据回馈给客户(这在元数据操作中很常见)。这个日志对故障恢复也很有用：如果元数据服务器发生故障，它的日志就会被重放，保证元数据安全存储在磁盘上。所以一旦MDS被恶意内存攻击，使得内存中缓存的元数据可能被未授权的用户访问截获或者篡改，就可能导致CephFS文件系统中的文件被篡改，也可能导致MDS上元数据失效带来频繁的元数据读取操作降低文件系统读写IO性能。软件防护扩展指令(SoftwareGuardExtensions，SGX)是Intel开发的新处理器技术，可以在计算平台上提供一个可信的空间，将安全应用依赖的可信计算基TCB减小到仅包含CPU和安全应用本身，将不可信的复杂操作系统OS排除在安全边界之外，从而保障用户关键代码和数据的机密性和完整性。这种方式并不是识别和隔离平台上的所有恶意软件，而是将合法软件的安全操作封装在一个enclave(可信空间)中，保护其不受恶意软件的攻击，特权或者非特权的软件都无法访问enclave，一旦软件和数据位于enclave中，即便操作系统也无法影响enclave里面的代码和数据。
技术实现思路
本专利技术提供了一种CephFS元数据访问保护机制的实现方法和系统，通过使用软件防护扩展指令(SoftwareGuardExtensions，SGX)来保护元数据服务器(MetadataServer，MDS)上缓存的元数据，以防止元数据缓存被截获或篡改带来的数据破坏和性能损失。CephFS是Ceph提供的文件存储解决方案，是一个支持POSIX接口的文件系统存储类型。本专利技术的CephFS分布式文件系统元数据访问保护机制的实现方法，在保护MDS守护进程模块(即元数据处理器)上的文件元数据时，通过软件防护扩展指令由计算机硬件对文件元数据进行加密，并对其访问权限进行控制，使得只能由指定的程序软件进行数据的读取和修改，从而保证了文件元数据信息的安全性。CephFS分布式文件系统元数据访问保护机制的实现方法，包括：(1)在MDS守护进程模块启动MDS守护进程时，通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间，并生成用以验证可信空间访问权限的密钥；(2)每次读取文件元数据时，MDS守护进程通过SGX加密模块提供的密钥来访问读取可信空间内的文件元数据；每次更新文件元数据时，MDS守护进程向SGX加密模块发起数据更新请求，通过密钥的验证后，SGX加密模块将更新的文件元数据备份到所述的可信空间中。步骤(1)中，在MDS守护进程模块启动MDS守护进程时，通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间，并生成用以验证可信空间访问权限的密钥，具体包括：(1-1)数据上载：MDS守护进程模块启动MDS守护进程，生成MDS守护进程证书，并将MDS守护进程信息和MDS守护进程证书上载到处理空间中；所述的MDS守护进程信息是指MDS守护进程上的文件元数据操作代码；(1-2)SGX驱动器准备：通过SGX驱动器对上载到处理空间中的数据信息进行参数测量，为可信空间分配地址空间和内存页，同时获取MDS守护进程证书的信息并传递给SGX硬件处理器；MDS守护进程证书的信息包括MDS守护进程证书的哈希值和私钥；(1-3)可信空间的建立：SGX驱动器根据测量的参数创建可信空间，并将MDS守护进程上的文件元数据信息复制到可信空间中，之后删除处理空间中的数据；(1-4)密钥的生成：SGX硬件处理器根据MDS守护进程证书的信息和SGX硬件处理器自身的特征数据生成可信空间的访问密钥，并通过密钥对可信空间进行加密。本专利技术还提供了一种CephFS分布式文件系统元数据访问保护机制的实现系统，包括：MDS守护进程模块，提供智能缓存空间，运行MDS守护进程对文件系统中的文件和目录进行管理，生成分布式存储的文件元数据；SGX加密模块，基于软件防护扩展指令生成用于存储所述的文件元数据的可信空间，并生成用于验证所述可信空间的访问权限的密钥。MDS守护进程模块(即元数据处理器)是Ceph中管理文件系统命令空间的模块，负责文件元数据的缓存；SGX加密模块是一种新的处理器指令集，通过可信空间(enclave)来提供合法安全的内存访问。所述的SGX加密模块包括：用户空间，包括处理空间和可信空间；所述处理空间用于加载MDS守护进程信息和MDS守护进程证书，所述的可信空间用于存储所述的文件元数据；SGX驱动器，为所述的文件元数据分配可信空间，获取用户空间中的MDS守护进程证书并传递给SGX硬件处理器；SGX硬件处理器，对MDS守护进程证书和可信空间的完整性进行验证，根据MDS守护进程证书的哈希值和SGX硬件处理器特征数据的哈希值生成可信空间的访问密钥，通过访问密钥对可信空间进行加密。所述的SGX驱动器属于操作系统，SGX硬件处理器属于硬件构架。与现有技术相比，本专利技术的有益效果为：本专利技术的方法中的密钥是由客户MDS守护进程和物理机硬件信息交叉生成，保证了后续验证步骤的安全性和有效性。附图说明图1为CephFS分布式文件系统元数据访问保护机制实现方法的流程控制示意图；图2(a)为用户空间数据上载阶段的工作示意图；图2(b)为SGX驱动器准备阶段的工作示意图；图2(c)为可信空间数据建立阶段的工作示意图；图2(d)为密钥生成阶段的工作示意图；图3为CephFS安全访问文件元数据的本文档来自技高网...

【技术保护点】
一种CephFS分布式文件系统元数据访问保护机制的实现方法，其特征在于，包括：(1)在MDS守护进程模块启动MDS守护进程时，通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间，并生成用以验证可信空间访问权限的密钥；(2)每次读取文件元数据时，MDS守护进程通过SGX加密模块提供的密钥来访问读取可信空间内的文件元数据；每次更新文件元数据时，MDS守护进程向SGX加密模块发起数据更新请求，通过密钥的验证后，SGX加密模块将更新的文件元数据备份到所述的可信空间中。

【技术特征摘要】
1.一种CephFS分布式文件系统元数据访问保护机制的实现方法，其特征在于，包括：(1)在MDS守护进程模块启动MDS守护进程时，通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间，并生成用以验证可信空间访问权限的密钥；(2)每次读取文件元数据时，MDS守护进程通过SGX加密模块提供的密钥来访问读取可信空间内的文件元数据；每次更新文件元数据时，MDS守护进程向SGX加密模块发起数据更新请求，通过密钥的验证后，SGX加密模块将更新的文件元数据备份到所述的可信空间中。2.根据权利要求1所述的CephFS分布式文件系统元数据访问保护机制的实现方法，其特征在于，步骤(1)中，在MDS守护进程模块启动MDS守护进程时，通过软件防护扩展指令为MDS守护进程上的文件元数据分配可信空间，并生成用以验证可信空间访问权限的密钥，具体包括：(1-1)数据上载：MDS守护进程模块启动MDS守护进程，生成MDS守护进程证书，并将MDS守护进程信息和MDS守护进程证书上载到处理空间中；(1-2)SGX驱动器准备：通过SGX驱动器对上载到处理空间中的数据信息进行参数测量，为可信空间分配地址空间和内存页，同时获取MDS守护进程证书的信息并传递给SGX硬件处理器；(1-3)可信空间的建立：SGX驱动器根据测量的参数创建可信空间，并将MDS守护进程上的文件元数据信息复制到可信空间中，之后删除处理空间中的数据；(1-4)密钥的...

【专利技术属性】
技术研发人员：陈建海，侯文龙，吕颖，黄步添，何钦铭，王津航，王备，张淼，
申请(专利权)人：浙江大学，
类型：发明
国别省市：浙江,33