本发明专利技术公开一种基于分布式存储的硬件加密方法、系统及装置,属于数据安全领域,通过加密卡API获取密钥对用户数据切片后进行加密,根据用户身份对数据进行硬件加密而在磁盘上存储密文的方法。采用本发明专利技术技术方案,因存在磁盘上为密文数据能够避免因硬盘被盗而造成数据泄密,同时采用不同用户密码不同的策略提供用户数据的逻辑隔离和加密隔离,有助于建立更加安全的加密机制。更加安全的加密机制。更加安全的加密机制。
【技术实现步骤摘要】
一种基于分布式存储的硬件加密方法、系统及装置
[0001]本专利技术涉及一种基于分布式存储的硬件加密方法、系统及装置,属于数据安全
技术介绍
[0002]随着各类信息系统和数据中心快速建设发展,产生的敏感业务数据量也越来越多、分布式存储系统系统解决了存储的集中度、容量、吞吐量等,但存储越来越集中、价值越来越重要,来自内部和外部的安全威胁因素越来越多,安全风险越来越高,导致数据泄露事件层出不穷,数据存储的安全问题也越来越突出。
[0003]存储系统的安全包含保密性和完整性,威胁存储数据安全的根源在于存储介质中的数据是以明文方式保存,入侵者可以轻易地非法获取或修改数据。
技术实现思路
[0004]专利技术目的:针对现有技术中存在的问题与不足,本专利技术提供一种基于分布式存储的硬件加密方法、系统及装置。
[0005]技术方案:一种基于分布式存储的硬件加密方法,包括密码注册流程、写文件到磁盘流程、从磁盘读取数据流程。
[0006]所述密码注册流程包括:为用户设定密码,调用加密卡API生成密钥;利用分布式算法选取三台存储节点,将所述密钥以三副本的形式存储到所述节点上的加密卡;所述三个密钥副本存储成功后,返回注册成功消息;并将用户的加密卡位置进行存储;所述三个副本包括一个主副本和两个从副本。
[0007]所述写文件到磁盘流程包括:根据用户的加密卡位置通过加密卡API读取获取用户密钥;将用户数据切片,根据用户密钥调用加密卡API给数据切片加密;分布式存储系统先将加密后的数据切片写主副本,然后同步到两个从副本;将数据密文落盘到磁盘上。
[0008]所述从磁盘读取数据流程包括:根据用户的加密卡位置通过加密卡API读取获取用户密钥;通过分布式文件系统从对应的物理磁盘上读取密文数据,再利用对应的密钥对密文数据进行解密。
[0009]密码注册流程中,加密卡API、加密密钥都保存在加密卡中,属于一种硬件加密,由FPGA芯片来进行加密和保存,由软件很难破解。
[0010]在密钥保存过程中,采用分布式算法选取分布式集群中的三台服务器作为三台存储节点,将他们上面的加密卡作为三副本密钥存储的介质,保证能密钥能均匀分布,又能保证其可靠性。
[0011]一种基于分布式存储的硬件加密系统,包括密码注册模块、写文件到磁盘模块、从
磁盘读取数据模块。
[0012]所述密码注册模块,通过管理平台的界面创建用户,为用户设定密码;调用加密卡API生成密钥;利用分布式算法选取三台存储节点,密钥以三副本的形式分别存储到节点上的加密卡,所述三个副本包括一个主副本和两个从副本,一个密钥作为主副本存储在一个节点上,另外两个同样的密钥作为从副本分别存储在另外两个节点上;所述密钥在主副本存储成功,将成功的消息发回给管理平台;密钥从两个副本将自动存储到加密卡;全部三个密钥副本存储成功,返回注册成功消息给管理平台;将用户所在加密卡位置写入到管理平台数据库。
[0013]所述写文件到磁盘模块,根据用户所在加密卡位置通过加密卡API读取获取用户密钥;将用户数据切片,本地计算出三个副本的存储位置后,将直接和Primary OSD通信;根据用户密钥调用加密卡API给数据切片加密;将加密后的数据切片发送给客户端,客户端先写主副本,然后同步到两个从副本;主副本等待从副本的ack消息和apply消息;当主副本收到ack消息,说明写操作已经写在内存中完成,收到apply 消息,说明已经写到磁盘了;结果是将数据密文落盘到磁盘上。
[0014]所述从磁盘读取数据模块,根据用户所在加密卡位置通过加密卡API读取获取用户密钥;通过分布式文件系统从指定的OSD中读取分片数据;从对应的物理磁盘上读取密文数据,再利用对应的密钥对密文数据进行解密。
[0015]所述用户密钥通过加密卡加密后存在加密卡上。用户密码就不存在泄密的问题了。并且密码有三个副本,保证其可靠性。
[0016]数据通过加密卡落盘在磁盘上,即磁盘上存的是密文。保证硬盘物理介质被盗的情况下还能保证其数据不被盗。
[0017]一个用户对应一个密钥,数据加密时使用用户密钥,实现一户一密,保证用户之间的逻辑隔离也是加密形式存在的。
[0018]一种基于分布式存储的硬件加密装置,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时执行基于分布式存储的硬件加密方法。
[0019]本专利技术中,保存到硬盘上的文件是密文而非明文,存储介质的丢失也能保证关键数据的不被破解,让损失降低到最小。
[0020]本专利技术中,提供密码卡密钥备份,当密码卡损坏时也不会因加解密的问题造成用户数据的不可用。
[0021]本专利技术中,每个存储节点采用2张及以上的密码卡,同样数据用两张或两张以上加密卡分别加密,再对加密后的密文进行比对,相同则通过,不同则失败,利用多卡校验,既能保证存储的数据的完整性和可靠性;又能利用多卡并行运算提高加解密的速度。
[0022]本专利技术中,分布式算法采用分布式存储本身的分布式算法,并没有增加算法的难度,也没有破坏原有分布式系统的稳定性,同时保证算法能在大部分分布式存储系统上使用从而保证其通用性。
附图说明
[0023]图1是本专利技术实施例的注册流程图;
图2是本专利技术实施例的写文件到磁盘流程图;图3是本专利技术实施例的读文件流程图。
具体实施方式
[0024]下面结合具体实施例,进一步阐明本专利技术,应理解这些实施例仅用于说明本专利技术而不用于限制本专利技术的范围,在阅读了本专利技术之后,本领域技术人员对本专利技术的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
[0025]如图1
‑
3所示,实施例提出的基于分布式存储的硬件加密方法和系统,涉及到客户端、管理节点、存储集群(包括主存储节点、从存储节点)。
[0026]客户端通过接口对分布式存储的硬件进行访问。
[0027]管理节点负责监视分布式集群,维护集群的健康状态,同时维护着集群中的各种Map图。
[0028]存储集群包括所有的存储节点,用于数据存储,硬盘作为单独的存储空间,其raid卡仅作数据通道。
[0029]每个存储节点有2张或以上加密卡,用来存储用户密钥、数据加解密以及双卡验证。
[0030]主存储节点和两个从存储节点分别作为数据三副本存储空间。
[0031]基于分布式存储的硬件加密方法具体包括:注册阶段:(1)管理节点设置用户密码;(2)管理节点调用加密卡API给用户名密码加密,形成密钥对;(3)管理节点通过分布式算法选取三台存储节点上的加密卡存储密钥对,三台存储节点分别为主存储节点,和两个从存储节点;(4)存储密钥对到主存储节点的加密卡上;(5)主存储节点上的加密卡对密钥进行双卡校验(同样数据用两张加密卡分别加密,再对加密后的密文进行比对,相同则通过,不同则失败);(6)返回密钥存储是否成功的结果给管理节点;(本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于分布式存储的硬件加密方法,其特征在于,包括密码注册流程、写文件到磁盘流程、从磁盘读取数据流程;所述密码注册流程包括:为用户设定密码,调用加密卡API生成密钥;选取三台存储节点,将所述密钥以三副本的形式存储到所述节点上的加密卡;三个密钥副本存储成功后,返回注册成功消息;并将用户的加密卡位置进行存储;所述三个副本包括一个主副本和两个从副本;所述写文件到磁盘流程包括:根据用户的加密卡位置通过加密卡API读取获取用户密钥;将用户数据切片,根据用户密钥调用加密卡API给数据切片加密;先将加密后的数据切片写主副本,然后同步到两个从副本;最终将数据密文落盘到磁盘上;所述从磁盘读取数据流程包括:根据用户的加密卡位置通过加密卡API读取获取用户密钥;从对应的物理磁盘上读取密文数据,再利用对应的密钥对密文数据进行解密。2.根据权利要求1所述的基于分布式存储的硬件加密方法,其特征在于,所述密码注册流程中,通过管理平台的界面创建用户,为用户设定密码;利用分布式算法从分布式集群中选取三台存储节点。3.根据权利要求1所述的基于分布式存储的硬件加密方法,其特征在于,所述密码注册流程中,加密卡API、密钥都保存在加密卡中,所述用户密钥通过加密卡加密后存在加密卡上。4. 根据权利要求1所述的基于分布式存储的硬件加密方法,其特征在于,所述写文件到磁盘流程中,将用户数据切片,本地计算出三个副本的存储位置后,将直接和Primary OSD通信;根据用户密钥调用加密卡API给数据切片加密;分布式存储系统先写主副本,然后同步到两个从副本;主副本等待从副本的ack消息和apply消息;当主副本收到ack消息,说明写操作已经写在内存中完成,收到apply 消息,说明已经写到磁盘了。5.一种基于分布式存储的硬件加密系统,其特征在于,包括密码注册模块、写文件到磁盘模块、从磁盘读取数据模块;所述密码注册模块,为用户设定密码;调用加密卡API...
【专利技术属性】
技术研发人员:郑朝晖,阳海华,
申请(专利权)人:苏州海加网络科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。