【技术实现步骤摘要】
一种实现文件存储服务端加密的系统与方法
本专利技术涉及计算机
,具体提供一种实现文件存储服务端加密的系统与方法。
技术介绍
目前各行业对云端数据的安全性要求日益提高,服务端加密作为一种有效提高安全性的手段被广泛采用。但NFS-Ganesha现有版本不支持服务端加密,Ceph虽然支持OSD级别的加密,但加密路径过短,仅能保证硬盘失窃情况的数据安全,且不支持使用不同密钥加密不同子目录。从加密路径长度和实际加密效果考虑,硬盘失窃的概率极小,运维人员或攻击者通过CephFS查看用户数据的可能性较大,所以OSD级别的加密对提高安全性几乎没有帮助。NFS-Ganesha是一个开源的企业级NFS服务器,支持将多种存储后端对外导出,提供NFS协议文件系统服务,如果将CephFS作为存储后端,NFS-Ganesha通过CEPH类库libcephfs实现对CephFS的操作。一个CephFS子目录可以创建一个挂载点,每个挂载点都有一个唯一标识挂载点ID,客户端通过挂载点挂载NFS文件系统。KMS是密钥管理服务,提供密钥安全托管等服...
【技术保护点】
1.一种实现文件存储服务端加密的系统,其特征在于:该系统基于NFS-Ganesha,包括客户端、NFS-Ganesha、KMS和CephFS,客户端向NFS-Ganesha发起读请求和写请求,NFS-Ganesha判断是否需要加密,若需加密,从KMS获取密钥,对数据加密,若需解密,从CephFS中读取数据后,从KMS获取密钥,对数据解密后返回给客户端。/n
【技术特征摘要】
1.一种实现文件存储服务端加密的系统,其特征在于:该系统基于NFS-Ganesha,包括客户端、NFS-Ganesha、KMS和CephFS,客户端向NFS-Ganesha发起读请求和写请求,NFS-Ganesha判断是否需要加密,若需加密,从KMS获取密钥,对数据加密,若需解密,从CephFS中读取数据后,从KMS获取密钥,对数据解密后返回给客户端。
2.一种实现文件存储服务端加密的方法,其特征在于:使用NFS-Ganesha将分布式文件系统CephFS导出,通过修改NFS-Ganesha源码,与密钥管理服务KMS对接,第一次读写时将密钥保存在缓存中,使用异或加密算法,通过定时任务检查密钥是否可用,实现对用户服务端加密。
3.根据权利要求2所述的实现文件存储服务端加密的方法,其特征在于:NFS-Ganesha通过监听端口,接收客户端发来的读请求和写请求,根据请求类型调用对应的libcephfs函数,使用异或加密算法将用户数据与密钥逐位进行异或计算,解密时将密文再与密钥进行一次异或操作即可解密。
4.根据权利要求3所述的实现文件存储服务端加密的方法,其特征在于:将密钥缓存在内存中,第一次读写时调用KMS接口获取密钥,再次读写时直接在缓存中读取密钥。
5.根据权利要求4所述的实现文件存储服务端加密的方法,其特征在于:将结构体数组作为缓存的数据结构,保存在全局变量中,结构体数组包括挂载点ID、密钥ID和密钥。
6.根据权利要求5所述的实现文件存储服务...
【专利技术属性】
技术研发人员:孙思清,靳登科,李超,
申请(专利权)人:浪潮云信息技术股份公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。