CN109344632A - 一种基于硬件加密卡的openstack卷加密方法 - Google Patents
一种基于硬件加密卡的openstack卷加密方法 Download PDFInfo
- Publication number
- CN109344632A CN109344632A CN201811139705.6A CN201811139705A CN109344632A CN 109344632 A CN109344632 A CN 109344632A CN 201811139705 A CN201811139705 A CN 201811139705A CN 109344632 A CN109344632 A CN 109344632A
- Authority
- CN
- China
- Prior art keywords
- openstack
- encryption
- volumes
- virtual machine
- card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及云计算安全保密领域,特别涉及一种基于硬件加密卡的OPENSTACK卷加密方法。本发明在OpenStack构建的云环境中,引入硬件密码卡,改造OpenStack中的卷加密模块,使用硬件加密算法实现OpenStack卷的透明加解密,增强OpenStack卷数据的安全性。
Description
技术领域
本发明涉及云计算安全保密领域,特别涉及一种基于硬件加密卡的OPENSTACK卷加密方法。
背景技术
OpenStack是一个开源的云计算管理平台项目,其安全性至关重要,其中的Cinder组件向外提供卷操作接口,实现卷的创建等操作。卷可以作为虚拟机的系统盘,也可以附加到虚拟机作为数据盘,并集中存储到cinder-volume构建的OpenStack存储节点或后端存储设备。卷中数据容易受到“离线攻击”,即攻击者在系统关机状态下可以物理接触到存储节点磁盘或者其他存储介质。无论在系统运行还是关闭时,卷中数据有被窃取、篡改、未授权访问和配置不当无法访问等脆弱漏洞。
因此,必须实现虚拟机数据卷加密功能。目前,OpenStack中Cinder组件借助AES算法实现卷加密,但是软件加密存在密钥窃取、加密速率低等问题。
发明内容
为了解决现有技术的问题,本发明提供了一种基于硬件加密卡的OPENSTACK卷加密方法,其不再使用软件加密算法,而是采用密码卡算法对卷进行加解密,提升加解密速率,并提高安全性,最终实现卷的透明加解密,保证卷数据的安全性。
本发明所采用的技术方案如下:
一种基于硬件加密卡的OpenStack卷加密方法,包括以下步骤:
A、nova组件发起创建虚拟机的请求;
B、nova创建虚拟机时,会向Cinder组件发起请求,申请块设备绑定到虚拟机;
C、通过VolumeEncryptor处理块设备,借助硬件密码卡中的算法实现透明加解密;
D、更新虚拟机信息和块设备信息;
E、创建虚拟机,为其附加卷并启动虚拟机。
步骤C具体包括:
C1、借助dm-crypt机制,将密码卡算法加载到内核密码管理器;
C2、修改OpenStack源码,使OpenStack创建卷时,采用密码卡算法对卷进行加解密。
步骤C,是在OpenStack构建的云环境中配置硬件密码卡。
本发明提供的技术方案带来的有益效果是:
在OpenStack管理的云计算环境下,为了保证OpenStack卷中数据的安全性,杜绝虚拟机镜像或数据被非法窃取、篡改的情况,本发明在OpenStack构建的云环境中配置硬件密码卡,改造OpenStack,最终使用硬件密码卡中的密码算法实现OpenStack卷加解密,比原有的软件加密方式相比,密码算法运算速率更高、安全性更高,使云环境中卷数据具有更高的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术下的OpenStack创建附加加密卷的虚拟机流程图;
图2为本发明的一种基于硬件加密卡的OpenStack卷加密方法的OpenStack卷硬件加密原理图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
如附图1所示, OpenStack卷不仅可以由用户直接创建,还可以由OpenStack其他组件比如nova来创建,为了确保云的正常运行以及卷中数据的安全性,必须实现OpenStack卷的透明加解密。虚拟机创建时,通常会随之创建OpenStack卷,在OpenStack的nova组件相关源码中会指定卷加密使用的软件算法为aes-xts-plain64,借助软算法实现卷加密的流程如图1所示,详细过程如下:
1、nova组件发起创建虚拟机的请求。
2、nova创建虚拟机时,会向Cinder组件发起请求,申请块设备绑定到虚拟机。
3、通过VolumeEncryptor处理块设备,借助软算法实现透明加解密。
4、更新虚拟机信息和块设备信息。
5、创建虚拟机,为其附加卷并启动虚拟机。
为了提高加解密速率及安全性,改造VolumeEncryptor,利用硬件密码卡中的算法替换软件算法,实现OpenStack卷的透明加解密,如图2所示。首先,借助dm-crypt机制,将密码卡算法加载到内核密码管理器,保证用户态程序可以借助cryptsetup工具成功调用密码卡算法。然后,修改OpenStack源码,改造VolumeEncryptor,使OpenStack创建卷时,不再使用软件加密算法,而是密码卡算法对卷进行加解密,提升加解密速率,并提高安全性,最终实现卷的透明加解密,保证卷数据的安全性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种基于硬件加密卡的OpenStack卷加密方法,包括以下步骤:
A、nova组件发起创建虚拟机的请求;
B、nova创建虚拟机时,会向Cinder组件发起请求,申请块设备绑定到虚拟机;
C、通过VolumeEncryptor处理块设备,借助硬件密码卡中的算法实现透明加解密;
D、更新虚拟机信息和块设备信息;
E、创建虚拟机,为其附加卷并启动虚拟机。
2.根据权利要求1所述的一种基于硬件加密卡的OpenStack卷加密方法,其特征在于,所述的步骤C具体包括:
C1、借助dm-crypt机制,将密码卡算法加载到内核密码管理器;
C2、修改OpenStack源码,使OpenStack创建卷时,采用密码卡算法对卷进行加解密。
3.根据权利要求1所述的一种基于硬件加密卡的OpenStack卷加密方法,其特征在于,所述的步骤C,是在OpenStack构建的云环境中配置硬件密码卡。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811139705.6A CN109344632A (zh) | 2018-09-28 | 2018-09-28 | 一种基于硬件加密卡的openstack卷加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811139705.6A CN109344632A (zh) | 2018-09-28 | 2018-09-28 | 一种基于硬件加密卡的openstack卷加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109344632A true CN109344632A (zh) | 2019-02-15 |
Family
ID=65307135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811139705.6A Pending CN109344632A (zh) | 2018-09-28 | 2018-09-28 | 一种基于硬件加密卡的openstack卷加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109344632A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110543780A (zh) * | 2019-09-06 | 2019-12-06 | 湖南麒麟信安科技有限公司 | 一种具有块存储加密功能的OpenStack系统及其应用方法 |
| CN111541725A (zh) * | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及其密码加速卡、密钥管理方法和装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| EP3113443A1 (en) * | 2015-07-02 | 2017-01-04 | Telefonica Digital España, S.L.U. | Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions |
| CN106708748A (zh) * | 2016-12-21 | 2017-05-24 | 南京富士通南大软件技术有限公司 | 提高OpenStack块存储卷挂载性能的方法及系统 |
| CN106921481A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 一种基于pki的租户划分及权限认证的系统和方法 |
| CN106936760A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种登录Openstack云系统虚拟机的装置和方法 |
| CN107197022A (zh) * | 2017-06-02 | 2017-09-22 | 华南理工大学 | OpenStack存储优化方法及系统 |
| CN107943556A (zh) * | 2017-11-10 | 2018-04-20 | 中国电子科技集团公司第三十二研究所 | 基于kmip和加密卡的虚拟化数据安全方法 |
| CN108055327A (zh) * | 2017-12-15 | 2018-05-18 | 佛山三维二次方科技有限公司 | 基于OpenStack的云计算实验平台 |
| CN108512832A (zh) * | 2018-03-07 | 2018-09-07 | 山东超越数控电子股份有限公司 | 一种针对OpenStack身份认证的安全增强方法 |
-
2018
- 2018-09-28 CN CN201811139705.6A patent/CN109344632A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954452A (zh) * | 2015-06-02 | 2015-09-30 | 华中科技大学 | 一种虚拟化环境下密码卡资源动态控制方法 |
| EP3113443A1 (en) * | 2015-07-02 | 2017-01-04 | Telefonica Digital España, S.L.U. | Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions |
| CN106921481A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 一种基于pki的租户划分及权限认证的系统和方法 |
| CN106936760A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种登录Openstack云系统虚拟机的装置和方法 |
| CN106708748A (zh) * | 2016-12-21 | 2017-05-24 | 南京富士通南大软件技术有限公司 | 提高OpenStack块存储卷挂载性能的方法及系统 |
| CN107197022A (zh) * | 2017-06-02 | 2017-09-22 | 华南理工大学 | OpenStack存储优化方法及系统 |
| CN107943556A (zh) * | 2017-11-10 | 2018-04-20 | 中国电子科技集团公司第三十二研究所 | 基于kmip和加密卡的虚拟化数据安全方法 |
| CN108055327A (zh) * | 2017-12-15 | 2018-05-18 | 佛山三维二次方科技有限公司 | 基于OpenStack的云计算实验平台 |
| CN108512832A (zh) * | 2018-03-07 | 2018-09-07 | 山东超越数控电子股份有限公司 | 一种针对OpenStack身份认证的安全增强方法 |
Non-Patent Citations (1)
| Title |
|---|
| BRUCE BENJAMIN 等: "VolumeEncryption", 《HTTPS://WIKI.OPENSTACK.ORG/WIKI/VOLUMEENCRYPTION》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110543780A (zh) * | 2019-09-06 | 2019-12-06 | 湖南麒麟信安科技有限公司 | 一种具有块存储加密功能的OpenStack系统及其应用方法 |
| CN110543780B (zh) * | 2019-09-06 | 2021-08-13 | 湖南麒麟信安科技股份有限公司 | 一种具有块存储加密功能的OpenStack系统及其应用方法 |
| CN111541725A (zh) * | 2020-07-08 | 2020-08-14 | 支付宝(杭州)信息技术有限公司 | 区块链一体机及其密码加速卡、密钥管理方法和装置 |
| US11626984B2 (en) | 2020-07-08 | 2023-04-11 | Alipay (Hangzhou) Information Technology Co., Ltd. | Blockchain integrated station and cryptographic acceleration card, key management methods and apparatuses |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI601405B (zh) | 用於雲端輔助式密碼術之方法及設備 | |
| US9973496B2 (en) | Controlled use of a hardware security module | |
| US20140351605A1 (en) | System and method for wiping encrypted data on a device having file-level content protection | |
| US10693641B2 (en) | Secure container based protection of password accessible master encryption keys | |
| US9529733B1 (en) | Systems and methods for securely accessing encrypted data stores | |
| CN114175580B (zh) | 增强的安全加密和解密系统 | |
| CN104335548A (zh) | 安全数据处理 | |
| US10686764B2 (en) | Executable coded cipher keys | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| CN112615824B (zh) | 防泄漏一次一密通信方法及装置 | |
| KR20230095947A (ko) | 키 관련 속성을 사용한 보안 키 교환 기법 | |
| CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
| CN116244750A (zh) | 一种涉密信息维护方法、装置、设备及存储介质 | |
| CN116594567A (zh) | 信息管理方法、装置和电子设备 | |
| CN111177699A (zh) | 一种数据提取方法、秘钥生成方法、解锁方法及装置 | |
| CN109344632A (zh) | 一种基于硬件加密卡的openstack卷加密方法 | |
| CN103136126A (zh) | 一种可保障数据安全性的数据安全存储设备的实现方法 | |
| US20230409700A1 (en) | Systems and methods for managing state | |
| CN117744116A (zh) | 安装包保护方法、解密方法、装置、电子设备及存储介质 | |
| CN109891823B (zh) | 用于凭证加密的方法、系统以及非暂态计算机可读介质 | |
| US11646870B2 (en) | Securing mobile device by RAM-encryption | |
| CN108985079B (zh) | 数据验证方法和验证系统 | |
| CN111523129A (zh) | 一种基于tpm的数据泄漏防护方法 | |
| KR100952300B1 (ko) | 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법 | |
| CN105530641A (zh) | 一种移动终端中实现sd卡安全管理的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190215 |
|
| RJ01 | Rejection of invention patent application after publication |