System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 数据卷加解密方法、装置、设备、存储介质、计算机程序产品及系统制造方法及图纸_技高网
当前位置: 首页 > 专利查询>中移信息技术有限公司专利>正文

数据卷加解密方法、装置、设备、存储介质、计算机程序产品及系统制造方法及图纸

技术编号:42687111 阅读:24 留言:0更新日期:2024-09-10 12:35
本发明专利技术涉及边缘计算技术领域,公开了一种数据卷加解密方法、装置、设备、存储介质、计算机程序产品及系统,该方法包括:在业务容器所在Pod内注入监测容器;通过监测容器根据数据卷加解密配置信息对业务容器的读操作进行拦截解密,并通过监测容器根据数据卷加解密配置信息对业务容器的写操作进行拦截加密;本发明专利技术从容器实时产生的数据如何加密存储以及查看数据卷时如何解密方面进行数据卷加解密,从而能够完全脱离对存储设备、存储厂商的依赖,可根据相关需要使用符合要求的安全规则,算法可随意扩展,弥补了当前加密类型不足的情况。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及边缘计算,尤其涉及一种数据卷加解密方法、装置、设备、存储介质、计算机程序产品及系统


技术介绍

1、kubernetes是一个开源的应用和基础设施管理系统,区别于虚拟机,使用docker容器进行集群中跨主机的应用发布、调度、运行的管理。其中对数据的存储是通过持久卷(persistent volume,pv)挂载提供的,当一些数据安全的等保标准或行业或应用本身需要数据安全时,需要对pv卷上的数据进行静态加密。

2、但是,现有的卷数据加密存储方案主要依赖存储设备厂商和云存储厂商,在读写设备的底层进行数据的加解密。


技术实现思路

1、本专利技术的主要目的在于提供一种数据卷加解密方法、装置、设备、存储介质、计算机程序产品及系统,旨在解决现有的卷数据加解密方式主要依赖存储设备厂商和云存储厂商,在读写设备的底层进行数据的加解密的技术问题。

2、为实现上述目的,本专利技术提供一种数据卷加解密方法,所述数据卷加解密方法应用于工作节点,所述数据卷加解密方法包括:

3、在业务容器所在pod内注入监测容器,所述监测容器基于管理节点下发的数据卷加解密配置信息预先配置;

4、通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的读操作进行拦截解密,并通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的写操作进行拦截加密。

5、可选地,所述通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的读操作进行拦截解密,并通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的写操作进行拦截加密,包括:

6、启动所述监测容器;

7、在所述监测容器启动后,启动读写调用拦截功能,在所述读写调用拦截功能启动后业务容器的读写调用通过所述监测容器执行,并根据所述数据卷加解密配置信息对当前卷路径进行初始化,在初始化完成后,启动所述业务容器;

8、当所述业务容器产生读写调用,并被所述监测容器拦截后,通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的读操作进行拦截解密,并通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的写操作进行拦截加密。

9、可选地,所述根据所述数据卷加解密配置信息对当前卷路径进行初始化,包括:

10、读取所述业务容器挂载的文件存储的加载路径;

11、根据所述加载路径的根目录下是否存在加解密配置文件判断所述加载路径是否已加密:

12、在所述加载路径未加密时,将所述业务容器配置的数据卷加解密配置信息块通过所述数据卷加解密配置信息中要求的加密算法和密钥对信息块进行加密,并将所述信息块中定义的公钥以明文形式和加密块一起以文件形式存储到根路径,完成初始化。

13、可选地,所述根据所述加载路径的根目录下是否存在加解密配置文件判断所述加载路径是否已加密之后,还包括:

14、在所述加载路径已加密时,通过系统内置私钥对所述加解密配置文件进行解密,获得数据卷加解密配置信息块;

15、将所述数据卷加解密配置信息块与所述数据卷加解密配置信息进行匹配;

16、在匹配失败时,不允许进行挂载,并通知接口服务停止业务容器的创建,并返回错误信息,完成初始化。

17、可选地,所述读操作包括目录读操作和/或文件读操作,所述通过所述监测容器根据所述数据卷加解密配置信息对读操作进行拦截解密,包括:

18、在所述读操作为目录读操作时,获取操作系统根据所述目录读操作返回的加密目录,并通过所述监测容器根据所述数据卷加解密配置信息中的加密密钥对所述加密目录递归进行目录解密操作;

19、在所述读操作为文件读操作时,通过所述监测容器根据所述数据卷加解密配置信息中的加密密钥对文件库进行解密。

20、可选地,所述写操作包括创建目录、创建文件以及写文件内容中的至少一种,所述通过所述监测容器根据所述数据卷加解密配置信息对写操作进行拦截加密,包括:

21、在所述写操作为创建目录时,通过所述监测容器根据所述数据卷加解密配置信息中的加密密钥对目录名称进行加密后创建,并根据所述数据卷加解密配置信息决定是否在新建目录根下存储加解密配置文件;

22、在所述写操作为创建文件时,通过所述监测容器根据所述数据卷加解密配置信息中的加密密钥对目录名称进行加密后创建;

23、在所述写操作为写文件内容时,对于缓存的文件块内容暂不加密,在落盘前对缓存的全部文件块通过所述监测容器根据所述数据卷加解密配置信息中的加密密钥加密后落盘。

24、此外,为实现上述目的,本专利技术还提出一种数据卷加解密方法,所述数据卷加解密方法应用于管理节点,所述数据卷加解密方法包括:

25、监听接口服务;

26、在监听到存在包含加解密元数据的业务资源创建时,按照所述加解密元数据的结构定义和所述业务资源中对卷加解密的要求生成当前业务应用对应的数据卷加解密配置信息;

27、将所述数据卷加解密配置信息下发到工作节点,以使所述工作节点根据所述数据卷加解密配置信息配置监测容器对业务容器的读写操作进行加解密。

28、此外,为实现上述目的,本专利技术还提出一种数据卷加解密装置,所述数据卷加解密装置应用于工作节点,所述数据卷加解密装置包括:

29、注入模块,用于在业务容器所在pod内注入监测容器,所述监测容器基于管理节点下发的数据卷加解密配置信息预先配置;

30、加解密模块,用于通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的读操作进行拦截解密,并通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的写操作进行拦截加密。

31、此外,为实现上述目的,本专利技术还提出一种数据卷加解密装置,述数据卷加解密装置应用于管理节点,所述数据卷加解密装置包括:

32、监听模块,用于监听接口服务;

33、生成模块,用于在监听到存在包含加解密元数据的业务资源创建时,按照所述加解密元数据的结构定义和所述业务资源中对卷加解密的要求生成当前业务应用对应的数据卷加解密配置信息;

34、发送模块,用于将所述数据卷加解密配置信息下发到工作节点,以使所述工作节点根据所述数据卷加解密配置信息配置监测容器对业务容器的读写操作进行加解密。

35、此外,为实现上述目的,本专利技术还提出一种数据卷加解密设备,所述数据卷加解密设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据卷加解密程序,所述数据卷加解密程序配置为实现如上文所述的数据卷加解密方法。

36、此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质上存储有数据卷加解密程序,所述数据卷加解密程序被处理器执行时实现如上文所述的数据卷加解密方法。

37、此外,为实现上述目的,本专利技术还提供一种计算机程序产品,所述计算机程序产品包括数据卷加解密程序,所述本文档来自技高网...

【技术保护点】

1.一种数据卷加解密方法,其特征在于,所述数据卷加解密方法应用于工作节点,所述数据卷加解密方法包括:

2.如权利要求1所述的数据卷加解密方法,其特征在于,所述通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的读操作进行拦截解密,并通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的写操作进行拦截加密,包括:

3.如权利要求2所述的数据卷加解密方法,其特征在于,所述根据所述数据卷加解密配置信息对当前卷路径进行初始化,包括:

4.如权利要求3所述的数据卷加解密方法,其特征在于,所述根据所述加载路径的根目录下是否存在加解密配置文件判断所述加载路径是否已加密之后,还包括:

5.如权利要求1至4中任一项所述的数据卷加解密方法,其特征在于,所述读操作包括目录读操作和/或文件读操作,所述通过所述监测容器根据所述数据卷加解密配置信息对读操作进行拦截解密,包括:

6.如权利要求1至4中任一项所述的数据卷加解密方法,其特征在于,所述写操作包括创建目录、创建文件以及写文件内容中的至少一种,所述通过所述监测容器根据所述数据卷加解密配置信息对写操作进行拦截加密,包括:

7.一种数据卷加解密方法,其特征在于,所述数据卷加解密方法应用于管理节点,所述数据卷加解密方法包括:

8.一种数据卷加解密装置,其特征在于,所述数据卷加解密装置应用于工作节点,所述数据卷加解密装置包括:

9.一种数据卷加解密装置,其特征在于,所述数据卷加解密装置应用于管理节点,所述数据卷加解密装置包括:

10.一种数据卷加解密设备,其特征在于,所述数据卷加解密设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据卷加解密程序,所述数据卷加解密程序被所述处理器执行时实现如权利要求1至6或7中任一项所述的数据卷加解密方法。

11.一种存储介质,其特征在于,所述存储介质上存储有数据卷加解密程序,所述数据卷加解密程序被处理器执行时实现如权利要求1至6或7中任一项所述的数据卷加解密方法。

12.一种计算机程序产品,其特征在于,所述计算机程序产品包括数据卷加解密程序,所述数据卷加解密程序被处理器执行时实现如权利要求1至6或7中任一项所述的数据卷加解密方法。

13.一种数据卷加解密系统,其特征在于,所述数据卷加解密系统包括:管理节点和工作节点;

...

【技术特征摘要】

1.一种数据卷加解密方法,其特征在于,所述数据卷加解密方法应用于工作节点,所述数据卷加解密方法包括:

2.如权利要求1所述的数据卷加解密方法,其特征在于,所述通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的读操作进行拦截解密,并通过所述监测容器根据所述数据卷加解密配置信息对所述业务容器的写操作进行拦截加密,包括:

3.如权利要求2所述的数据卷加解密方法,其特征在于,所述根据所述数据卷加解密配置信息对当前卷路径进行初始化,包括:

4.如权利要求3所述的数据卷加解密方法,其特征在于,所述根据所述加载路径的根目录下是否存在加解密配置文件判断所述加载路径是否已加密之后,还包括:

5.如权利要求1至4中任一项所述的数据卷加解密方法,其特征在于,所述读操作包括目录读操作和/或文件读操作,所述通过所述监测容器根据所述数据卷加解密配置信息对读操作进行拦截解密,包括:

6.如权利要求1至4中任一项所述的数据卷加解密方法,其特征在于,所述写操作包括创建目录、创建文件以及写文件内容中的至少一种,所述通过所述监测容器根据所述数据卷加解密配置信息对写操作进行拦截加密,包括:

...

【专利技术属性】
技术研发人员:石纯任林魏佳媛邵欢庆车旭张宵铭柴壮
申请(专利权)人:中移信息技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有