一种块存储加密设备及其分布式集群系统与应用方法技术方案

本发明专利技术公开了一种块存储加密设备及其分布式集群系统与应用方法，块存储加密设备由任务派发模块、本地工作模块、加密模块、硬件加密卡、启动器及目标器子系统构成，基于linux内核dm‑crypt机制并使用硬件加密卡实现块存储数据的透明加解密，可提高加解密速度，且对不同块存储设备分配使用不同秘钥，可提升数据安全性，分布式集群系统基于ETCD实现分布式协同、数据存储及共享，具有扩/减容灵活、服务响应迅速的优势，同时，对加密设备予以划分加密设备域，结合虚拟IP技术，可实现块存储加密服务的高可用，对加密设备域划分分组，结合调度算法，可实现块存储加密服务的负载均衡。

【技术实现步骤摘要】
一种块存储加密设备及其分布式集群系统与应用方法
本专利技术涉及计算机信息安全
，尤其涉及一种块存储加密设备及其分布式集群系统。
技术介绍
存储领域中，SAN以其高性能、高稳定性及易用的特点得到了广泛应用，但近年来信息泄露事件频发，大众对数据存储的安全性愈发关注，借助软件算法实现的存储数据加密，存在秘钥可能丢失/被窃取、加密效率低等缺点。同时，随着云技术的兴起，海量的数据存储进一步加大了数据泄露的风险，而传统的加密设备存在技术滞后、集群化程度低等劣势，很难与云平台对接兼容。ETCD是一个高可用、强一致性的分布式键值（kv）数据库，采用raft一致性算法，可用于关键数据可靠、快速地持久化存储及访问，通过分布式锁、选主等机制可实现可靠的分布式协同，具有高可用、安全、易于部署及响应迅速的特点。虚拟IP（VIP）是一个不与特定计算机或一个计算机的特定网卡绑定的IP地址，在内部网络中可以被动态的映射到不同的计算机或计算机网卡上，一般用来实现连接的冗余，即高可用。
技术实现思路
本专利技术要解决的技术问题就在于：针对现有技术存在的技术问题，本专利技术提供一种块存储加密设备及其分布式集群系统，其中块存储加密设备可实现对SAN存储提供的块存储设备数据的透明加解密，具有加密效率高、数据安全性好的特点，存储加密设备分布式集群系统基于ETCD实现分布式协同、数据存储及共享，可实现块存储加密服务的高可用及负载均衡。为解决上述技术问题，本专利技术提出的技术方案为：一种块存储加密设备，包括任务派发模块、本地工作模块、加密模块、硬件加密卡、启动器及目标器子系统，其中：所述任务派发模块用于提供标准RESTAPI接口响应块存储加密映射和/或解除映射服务请求，发布状态信息收集任务至ETCD分布式kv数据库，收集所属加密设备域内按分组上报的各块存储加密设备状态信息，依据特定的调度算法选取特定的加密设备分组，发布块存储加密映射和/或解除映射任务至ETCD分布式kv数据库，并返回块存储加密映射和/或解除映射服务请求结果；所述本地工作模块用于监听ETCD分布式kv数据库的状态信息收集任务数据节点，上报状态信息至ETCD分布式kv数据库，监听ETCD分布式kv数据库的块存储加密映射和/或解除映射任务数据节点，调用启动器、加密模块及目标器子系统完成任务，并上报加密映射和/或解除映射任务结果至ETCD分布式kv数据库；所述加密模块用于对SAN存储提供的块存储设备覆盖加密层，并调用硬件加密卡驱动实现数据的透明加解密；所述启动器用于登录或登出SAN存储提供的块存储设备；所述目标器子系统用于将加密后的块存储设备予以对外映射和/或解除映射。进一步的，所述块存储加密设备基于linux内核dm-crypt机制对SAN存储提供的块存储设备覆盖加密层以实现块存储数据的透明加解密。进一步的，所述块存储加密设备使用硬件加密卡实现块存储数据的透明加解密。进一步的，所述块存储加密设备对不同的块存储设备分配使用不同的秘钥。本专利技术还提出一种块存储加密设备分布式集群系统，包括管理端、应用服务端、SAN存储和部署有ETCD分布式kv数据库的分布式块存储加密设备集群，所述管理端、应用服务端、SAN存储分别和分布式块存储加密设备集群连接，所述分布式块存储加密设备集群包括上述的块存储加密设备。进一步的，所述分布式块存储加密设备集群对各块存储加密设备予以划分加密设备域，以加密设备域为基本服务单元响应块存储加密服务请求，结合虚拟IP技术，加密设备域内可实现块存储加密服务的高可用。进一步的，所述加密设备域内划分加密设备分组，结合调度算法，可实现块存储加密服务的负载均衡。本专利技术还提出一种上述的块存储加密设备分布式集群系统的应用方法，其中块存储加密映射的步骤具体包括：A1）管理端通过虚拟IP向分布式块存储加密设备集群发送块存储加密映射服务RESTAPI请求；A2）虚拟IP所在的块存储加密设备作为主设备响应块存储加密映射服务请求，主设备的任务派发模块发布状态信息收集任务至ETCD分布式kv数据库；A3）主设备所属加密设备域内的其余各块存储加密设备的本地工作模块监听到ETCD分布式kv数据库中的状态信息收集任务数据节点后，按加密设备分组上报分组内各块存储加密设备状态至ETCD分布式kv数据库；A4）主设备的任务派发模块收集本加密设备域内按分组上报的各块存储加密设备状态信息，依据轮询、加权轮询、最小连接及加权最小连接等调度算法选取相应的加密设备分组，发布块存储加密映射任务至ETCD分布式kv数据库；A5）被选取的加密设备分组内各块存储加密设备的本地工作模块监听到ETCD分布式kv数据库中的块存储加密映射任务数据节点后，获取任务详细信息，分别调用启动器登录SAN存储提供的块存储设备，加密模块对块存储设备覆盖加密层，调用硬件加密卡驱动实现数据透明加解密，目标器子系统将完成加密后的块存储设备对外映射并将块存储加密映射业务数据记录至ETCD分布式kv数据库；A6）主设备的任务派发模块获取块存储加密映射详细信息并反馈至管理端。本专利技术还提出一种上述的块存储加密设备分布式集群系统的应用方法，其中块存储加密映射解除的步骤包括：B1）管理端通过虚拟IP向分布式块存储加密设备集群发送块存储加密映射解除服务RESTAPI请求；B2）虚拟IP所在的块存储加密设备作为主设备响应块存储加密映射解除服务请求，主设备的任务派发模块获取ETCD分布式kv数据库中相应的块存储加密映射业务数据，确定加密设备分组及块存储加密映射详细信息，发布块存储加密映射解除任务至ETCD分布式kv数据库；B3）主设备所属加密设备域内对应加密设备分组中各块存储加密设备的本地工作模块监听到ETCD分布式kv数据库中的块存储加密映射解除任务数据节点后，分别调用目标器子系统解除加密后的块存储设备的对外映射，加密模块去除块存储设备覆盖的加密层，启动器登出块存储设备，并上报任务结果至ETCD分布式kv数据库；B4）主设备的任务派发模块获取块存储加密映射解除任务结果，确定是否删除ETCD分布式kv数据库中的块存储加密映射业务数据，并回复至管理端。与现有技术相比，本专利技术的优点在于：1.本专利技术的块存储加密设备包括任务派发模块、本地工作模块、加密模块、硬件加密卡、启动器及目标器子系统，通过上述结构实现ETCD分布式kv数据库的访问并实现对SAN存储提供的块存储设备数据的透明加解密，具有加密效率高、数据安全性好的特点。2.本专利技术的块存储加密设备基于linux内核dm-crypt机制使用硬件加密卡对SAN存储提供的块存储设备覆盖加密层以实现块存储数据的透明加解密，相对于软件算法具有更高加解密性能。3.本专利技术的块存储加密设备对不同的块存储设备分配使用不同的秘钥，进一步增强了数据安全性。4.本专利技术的块存储加密设备分布式集群系统基于ETCD分布式kv数据库实现块存储加密设备间的分布本文档来自技高网...

【技术保护点】
1.一种块存储加密设备，其特征在于，包括任务派发模块、本地工作模块、加密模块、硬件加密卡、启动器及目标器子系统，其中：/n所述任务派发模块用于提供标准REST API接口响应块存储加密映射和/或解除映射服务请求，发布状态信息收集任务至ETCD分布式kv数据库，收集所属加密设备域内按分组上报的各块存储加密设备状态信息，依据特定的调度算法选取特定的加密设备分组，发布块存储加密映射和/或解除映射任务至ETCD 分布式kv数据库，并返回块存储加密映射和/或解除映射服务请求结果；/n所述本地工作模块用于监听ETCD分布式kv数据库的状态信息收集任务数据节点，上报状态信息至ETCD分布式kv数据库，监听ETCD分布式kv数据库的块存储加密映射和/或解除映射任务数据节点，调用启动器、加密模块及目标器子系统完成任务，并上报加密映射和/或解除映射任务结果至ETCD分布式kv数据库；/n所述加密模块用于对SAN存储提供的块存储设备覆盖加密层，并调用硬件加密卡驱动实现数据的透明加解密；/n所述启动器用于登录或登出SAN存储提供的块存储设备；/n所述目标器子系统用于将加密后的块存储设备予以对外映射和/或解除映射。/n...

【技术特征摘要】
1.一种块存储加密设备，其特征在于，包括任务派发模块、本地工作模块、加密模块、硬件加密卡、启动器及目标器子系统，其中：
所述任务派发模块用于提供标准RESTAPI接口响应块存储加密映射和/或解除映射服务请求，发布状态信息收集任务至ETCD分布式kv数据库，收集所属加密设备域内按分组上报的各块存储加密设备状态信息，依据特定的调度算法选取特定的加密设备分组，发布块存储加密映射和/或解除映射任务至ETCD分布式kv数据库，并返回块存储加密映射和/或解除映射服务请求结果；
所述本地工作模块用于监听ETCD分布式kv数据库的状态信息收集任务数据节点，上报状态信息至ETCD分布式kv数据库，监听ETCD分布式kv数据库的块存储加密映射和/或解除映射任务数据节点，调用启动器、加密模块及目标器子系统完成任务，并上报加密映射和/或解除映射任务结果至ETCD分布式kv数据库；
所述加密模块用于对SAN存储提供的块存储设备覆盖加密层，并调用硬件加密卡驱动实现数据的透明加解密；
所述启动器用于登录或登出SAN存储提供的块存储设备；
所述目标器子系统用于将加密后的块存储设备予以对外映射和/或解除映射。


2.根据权利要求1所述的块存储加密设备，其特征在于，所述块存储加密设备基于linux内核dm-crypt机制对SAN存储提供的块存储设备覆盖加密层以实现块存储数据的透明加解密。


3.根据权利要求1所述的块存储加密设备，其特征在于，所述块存储加密设备使用硬件加密卡实现块存储数据的透明加解密。


4.根据权利要求1所述的块存储加密设备，其特征在于，所述块存储加密设备对不同的块存储设备分配使用不同的秘钥。


5.一种块存储加密设备分布式集群系统，其特征在于，包括管理端、应用服务端、SAN存储和部署有ETCD分布式kv数据库的分布式块存储加密设备集群，所述管理端、应用服务端、SAN存储分别和分布式块存储加密设备集群连接，所述分布式块存储加密设备集群包括权利要求1~4任一所述的块存储加密设备。


6.根据权利要求5所述的块存储加密设备分布式集群系统，其特征在于，所述分布式块存储加密设备集群对各块存储加密设备予以划分加密设备域，以加密设备域为基本服务单元响应块存储加密服务请求，结合虚拟IP技术，加密设备域内可实现块存储加密服务的高可用。


7.根据权利要求6所述的块存储加密设备分布式集群系统，其特征在于，所述加密设备域内划分加密设备分组，结合调度算法，可实现块存储加密服...

【专利技术属性】
技术研发人员：刘振宇，龚溪东，杨涛，刘文清，申锟铠，
申请(专利权)人：湖南麒麟信安科技有限公司，
类型：发明
国别省市：湖南;43