CN110543780A - 一种具有块存储加密功能的OpenStack系统及其应用方法 - Google Patents

一种具有块存储加密功能的OpenStack系统及其应用方法 Download PDF

Info

Publication number
CN110543780A
CN110543780A CN201910841846.0A CN201910841846A CN110543780A CN 110543780 A CN110543780 A CN 110543780A CN 201910841846 A CN201910841846 A CN 201910841846A CN 110543780 A CN110543780 A CN 110543780A
Authority
CN
China
Prior art keywords
encryption
storage
block storage
hardware
block
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910841846.0A
Other languages
English (en)
Other versions
CN110543780B (zh
Inventor
刘振宇
蒋李
申锟铠
刘文清
杨涛
陈松政
颜跃进
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Kylin Xin'an Technology Co Ltd
Original Assignee
Hunan Kylin Xin'an Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Kylin Xin'an Technology Co Ltd filed Critical Hunan Kylin Xin'an Technology Co Ltd
Priority to CN201910841846.0A priority Critical patent/CN110543780B/zh
Publication of CN110543780A publication Critical patent/CN110543780A/zh
Application granted granted Critical
Publication of CN110543780B publication Critical patent/CN110543780B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种具有块存储加密功能的OpenStack系统及其应用方法,OpenStack系统包括控制节点、计算节点、硬件存储及块存储加密设备,控制节点集成Cinder加密存储插件以处理Openstack块存储管理请求,硬件存储提供的块存储资源均通过与加密存储插件适配的块存储加密设备提供给计算节点的虚拟机使用,块存储加密设备用于对块存储数据进行透明加解密。本发明可实现对Openstack Cinder块存储数据的透明加解密,能够防止块存储数据被恶意窃取及篡改,具有兼容性好的优点,块存储加密设备使用硬件加密卡对块存储数据进行透明加解密,相对采用软件实现的方式加解密性能高,数据安全性好。

Description

一种具有块存储加密功能的OpenStack系统及其应用方法
技术领域
本发明涉及云计算数据安全领域,具体涉及一种具有块存储加密功能的OpenStack系统及其应用方法。
背景技术
OpenStack是一个提供计算、存储乃至网络资源的云计算平台,其是一系列具有RESTful接口的服务组件的集合,其中,Nova负责虚拟机全生命周期的管理,Cinder负责块存储资源的管理。Cinder是一个块存储资源管理系统,为了适应异构存储环境,其对外提供统一的RESTful接口,对内以存储插件(Cinder Volume Driver)的方式对不同的后端硬件存储进行抽象封装及管理。Openstack中由Cinder提供的块存储可以借助SSL实现数据加密传输,但软件算法实现的加密存在秘钥可能被窃取、加密速度低等劣势,此外,块存储的数据本身是明文存放,容易被恶意窃取及篡改。综上,实现对Openstack Cinder块存储数据的加密很有必要,如何实现OpenStack块存储数据的加密,已经成为一项亟待解决的关键技术问题。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种具有块存储加密功能的OpenStack系统及其应用方法,本发明可实现对Openstack Cinder块存储数据的透明加解密,能够防止块存储数据被恶意窃取及篡改,具有兼容性好的优点;本发明所述的块存储加密设备使用硬件加密卡对块存储数据进行透明加解密,相对采用软件实现的方式而言,其加解密性能高,且对不同块存储分配使用不同秘钥,数据安全性好。
为了解决上述技术问题,本发明采用的技术方案为:
一种具有块存储加密功能的OpenStack系统,包括控制节点、计算节点和硬件存储,还包括连接在计算节点和硬件存储之间的块存储加密设备,所述控制节点集成有基于Openstack Cinder实现的加密存储插件,所述加密存储插件负责处理Openstack系统的块存储管理请求,所述块存储加密设备和加密存储插件适配连接,所述硬件存储提供的块存储资源均通过与加密存储插件适配的块存储加密设备提供给计算节点的虚拟机使用,所述块存储加密设备用于对块存储数据进行透明加解密。
可选地,所述Cinder加密存储插件负责处理Openstack块存储管理请求,调用硬件存储插件,管理硬件存储资源。
可选地,所述块存储加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层以实现透明加解密。
可选地,所述块存储加密设备基于硬件加密卡进行数据的加解密以提高加解密速度。
可选地,所述块存储加密设备对不同块存储设备分配、使用不同的秘钥以提升数据安全性。
此外,本发明还提供一种所述具有块存储加密功能的OpenStack系统的应用方法,包括计算节点虚拟机申请存储资源的步骤,详细步骤包括:
1)计算节点向控制节点申请虚拟机块存储资源;
2)加密存储插件处理块存储资源申请,调用硬件存储插件将分配的块存储映射至加密设备;
3)加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层,并使用硬件加密卡对不同的块存储设备分配、使用不同的秘钥及实现数据的透明加解密;
4)加密设备将覆盖加密层的块存储设备映射至计算节点,向加密存储插件返回映射信息;
5)加密存储插件将得到的块存储设备映射信息返回至计算节点;
6)计算节点虚拟机使用加密设备提供的块存储。
和现有技术相比,本发明具有下述优点:
1、本发明包括连接在计算节点和硬件存储之间的块存储加密设备,控制节点集成有基于Openstack Cinder实现的加密存储插件,加密存储插件负责处理Openstack系统的块存储管理请求,块存储加密设备和加密存储插件适配连接,硬件存储提供的块存储资源均通过与加密存储插件适配的块存储加密设备提供给计算节点的虚拟机使用,加密设备用于对块存储数据进行透明加解密,通过上述结构可实现对Openstack Cinder块存储数据的透明加密,能够防止块存储数据被恶意窃取及篡改,具有兼容性好的优点。
2、本发明采用块存储加密设备用于对块存储数据进行透明加解密,相对采用软件实现的方式而言,其加解密性能高。
3、本发明采用块存储加密设备对不同块存储设备分配、使用不同的秘钥,其数据安全性好。
附图说明
图1为本发明实施例OpenStack系统的结构示意图。
图2为本发明实施例Openstack系统的块存储加密设备内核层软件结构示意图。
图3为本发明实施例OpenStack系统的拓扑结构及交互原理示意图。
具体实施方式
如图1和图2所示,本实施例具有块存储加密功能的OpenStack系统包括控制节点、计算节点和硬件存储,还包括连接在计算节点和硬件存储之间的块存储加密设备,所述控制节点集成有基于Openstack Cinder实现的加密存储插件,所述加密存储插件负责处理Openstack系统的块存储管理请求,所述块存储加密设备和加密存储插件适配连接,所述硬件存储提供的块存储资源均通过与加密存储插件适配的块存储加密设备提供给计算节点的虚拟机使用,所述块存储加密设备用于对块存储数据进行透明加解密。
本实施例中,加密存储插件负责处理Openstack块存储管理请求,调用硬件存储插件,管理硬件存储资源。
本实施例中,块存储加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层以实现透明加解密,可实现对计算节点透明,不需要更改计算节点。
本实施例中,块存储加密设备基于硬件加密卡进行数据的加解密以提高加解密速度,确保块存储加密基本不影响虚拟机数据读写的性能。
本实施例中,块存储加密设备对不同块存储设备分配、使用不同的秘钥以提升数据安全性,有利于防止数据泄密。
如图2所示,本实施例中计算节点虚拟机使用的块存储设备由加密设备提供,块存储数据为密文存储,加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层,使用硬件加密卡对块存储数据实现透明加解密,且针对硬件存储提供的不同块存储设备分配、使用不同的秘钥。
一般而言,标准Openstack环境中计算节点虚拟机块存储资源申请时,其处理包括以下步骤:A.计算节点向控制节点申请虚拟机块存储资源;B.硬件存储插件处理块存储资源申请,将分配的块存储映射至计算节点,返回映射信息;C.计算节点虚拟机使用硬件存储提供的块存储。本实施例中提供一种所述具有块存储加密功能的OpenStack系统的应用方法,包括计算节点虚拟机申请存储资源的步骤,参见图3,详细步骤包括:
1)计算节点向控制节点申请虚拟机块存储资源;
2)加密存储插件处理块存储资源申请,调用硬件存储插件将分配的块存储映射至加密设备;
3)加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层,并使用硬件加密卡对不同的块存储设备分配、使用不同的秘钥及实现数据的透明加解密;
4)加密设备将覆盖加密层的块存储设备映射至计算节点,向加密存储插件返回映射信息;
5)加密存储插件将得到的块存储设备映射信息返回至计算节点;
6)计算节点虚拟机使用加密设备提供的块存储。
综上所述,本实施例具有块存储加密功能的OpenStack系统中计算节点虚拟机使用的块存储资源由加密设备提供,块存储数据为密文存储,由加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层,并使用硬件加密卡实现块存储数据的透明加解密,提高加密速度,同时,对硬件存储提供的不同块存储设备分配、使用不同秘钥,提升数据安全性。本实施例可实现对Openstack Cinder块存储数据的透明加解密,能够防止块存储数据被恶意窃取及篡改,具有兼容性好的优点;本实施例采用块存储加密设备用于对块存储数据进行透明加解密,相对采用软件实现的方式而言,其加解密性能高。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (6)

1.一种具有块存储加密功能的OpenStack系统,包括控制节点、计算节点和硬件存储,其特征在于,还包括连接在计算节点和硬件存储之间的块存储加密设备,所述控制节点集成有基于Openstack Cinder实现的加密存储插件,所述块存储加密设备和加密存储插件适配连接,所述硬件存储提供的块存储资源均通过块存储加密设备提供给计算节点的虚拟机使用,所述块存储加密设备用于对块存储数据进行透明加解密。
2.根据权利要求1所述的具有块存储加密功能的OpenStack系统,其特征在于,所述加密存储插件负责处理Openstack块存储管理请求,调用硬件存储插件,管理硬件存储资源。
3.根据权利要求1所述的具有块存储加密功能的OpenStack系统,其特征在于,所述块存储加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层以实现透明加解密。
4.根据权利要求1所述的具有块存储加密功能的OpenStack系统,其特征在于,所述块存储加密设备基于硬件加密卡进行数据的加解密以提高加解密速度。
5.根据权利要求1所述的具有块存储加密功能的OpenStack系统,其特征在于,所述块存储加密设备对不同块存储设备分配、使用不同的秘钥以提升数据安全性。
6.一种权利要求1~5中任意一项所述的具有块存储加密功能的OpenStack系统的应用方法,其特征在于,包括计算节点虚拟机申请存储资源的步骤,详细步骤包括:
1)计算节点向控制节点申请虚拟机块存储资源;
2)加密存储插件处理块存储资源申请,调用硬件存储插件将分配的块存储映射至加密设备;
3)加密设备基于dm-crypt机制对硬件存储提供的块存储设备覆盖加密层,并使用硬件加密卡对不同的块存储设备分配、使用不同的秘钥及实现数据的透明加解密;
4)加密设备将覆盖加密层的块存储设备映射至计算节点,向加密存储插件返回映射信息;
5)加密存储插件将得到的块存储设备映射信息返回至计算节点;
6)计算节点虚拟机使用加密设备提供的块存储。
CN201910841846.0A 2019-09-06 2019-09-06 一种具有块存储加密功能的OpenStack系统及其应用方法 Active CN110543780B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910841846.0A CN110543780B (zh) 2019-09-06 2019-09-06 一种具有块存储加密功能的OpenStack系统及其应用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910841846.0A CN110543780B (zh) 2019-09-06 2019-09-06 一种具有块存储加密功能的OpenStack系统及其应用方法

Publications (2)

Publication Number Publication Date
CN110543780A true CN110543780A (zh) 2019-12-06
CN110543780B CN110543780B (zh) 2021-08-13

Family

ID=68712732

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910841846.0A Active CN110543780B (zh) 2019-09-06 2019-09-06 一种具有块存储加密功能的OpenStack系统及其应用方法

Country Status (1)

Country Link
CN (1) CN110543780B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111753326A (zh) * 2020-05-22 2020-10-09 湖南麒麟信安科技有限公司 一种容器云平台云存储资源加密方法、系统及介质
CN111753327A (zh) * 2020-05-25 2020-10-09 湖南麒麟信安科技有限公司 一种块存储加密设备及其分布式集群系统与应用方法
CN112487445A (zh) * 2020-11-25 2021-03-12 湖南麒麟信安科技股份有限公司 一种文件型门卫式存储加密功能的Hadoop系统及其应用方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180018116A1 (en) * 2016-07-15 2018-01-18 Red Hat, Inc. Containerizing a block storage service
CN107943556A (zh) * 2017-11-10 2018-04-20 中国电子科技集团公司第三十二研究所 基于kmip和加密卡的虚拟化数据安全方法
US10069914B1 (en) * 2014-04-21 2018-09-04 David Lane Smith Distributed storage system for long term data storage
US20190044927A1 (en) * 2018-09-27 2019-02-07 Intel Corporation Technologies for providing secure utilization of tenant keys
CN109344632A (zh) * 2018-09-28 2019-02-15 山东超越数控电子股份有限公司 一种基于硬件加密卡的openstack卷加密方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10069914B1 (en) * 2014-04-21 2018-09-04 David Lane Smith Distributed storage system for long term data storage
US20180018116A1 (en) * 2016-07-15 2018-01-18 Red Hat, Inc. Containerizing a block storage service
CN107943556A (zh) * 2017-11-10 2018-04-20 中国电子科技集团公司第三十二研究所 基于kmip和加密卡的虚拟化数据安全方法
US20190044927A1 (en) * 2018-09-27 2019-02-07 Intel Corporation Technologies for providing secure utilization of tenant keys
CN109344632A (zh) * 2018-09-28 2019-02-15 山东超越数控电子股份有限公司 一种基于硬件加密卡的openstack卷加密方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111753326A (zh) * 2020-05-22 2020-10-09 湖南麒麟信安科技有限公司 一种容器云平台云存储资源加密方法、系统及介质
CN111753326B (zh) * 2020-05-22 2024-02-13 湖南麒麟信安科技股份有限公司 一种容器云平台云存储资源加密方法、系统及介质
CN111753327A (zh) * 2020-05-25 2020-10-09 湖南麒麟信安科技有限公司 一种块存储加密设备及其分布式集群系统与应用方法
CN111753327B (zh) * 2020-05-25 2024-05-14 湖南麒麟信安科技股份有限公司 一种块存储加密设备及其分布式集群系统与应用方法
CN112487445A (zh) * 2020-11-25 2021-03-12 湖南麒麟信安科技股份有限公司 一种文件型门卫式存储加密功能的Hadoop系统及其应用方法
CN112487445B (zh) * 2020-11-25 2024-05-14 湖南麒麟信安科技股份有限公司 一种文件型门卫式存储加密功能的Hadoop系统及其应用方法

Also Published As

Publication number Publication date
CN110543780B (zh) 2021-08-13

Similar Documents

Publication Publication Date Title
CN110543780B (zh) 一种具有块存储加密功能的OpenStack系统及其应用方法
KR101894232B1 (ko) 클라우드-보조 암호화를 위한 방법 및 장치
US9037870B1 (en) Method and system for providing a rotating key encrypted file system
US9397833B2 (en) Receipt, data reduction, and storage of encrypted data
KR101966767B1 (ko) 클라우드 서비스를 위한 암호화 키 관리 시스템
CN103825953B (zh) 一种用户模式加密文件系统
US10762204B2 (en) Managing containerized applications
US9361163B2 (en) Managing containerized applications on a mobile device while bypassing operating system implemented inter process communication
US11397820B2 (en) Method and apparatus for processing data, computer device and storage medium
CN107124271B (zh) 一种数据加密、解密方法和设备
CN108809906B (zh) 数据处理方法、系统及装置
CN107566374A (zh) 一种基于用户隔离存储的云存储数据保护方法及系统
US9697378B2 (en) Network encrypted data object stored on an encrypted file system
CN111274611A (zh) 数据脱敏方法、装置及计算机可读存储介质
CN104243510B (zh) 一种安全网络存储系统与方法
CN104834873A (zh) 一种用于云数据信息加密解密的u盘及实现方法
CN101529434B (zh) 用于安全地创建和发送电子消息的方法和发送装置以及用于安全地接收和处理电子消息的方法和接收装置
CN108491732A (zh) 一种基于业务隔离存储的海量存储数据保护系统及方法
CN113642014A (zh) 一种基于混合云的数据访问系统及公有云服务器
CN108833535A (zh) 基于云平台分布式块存储的用户数据存储方法
CN107749862A (zh) 一种数据加密集中存储方法、服务器、用户终端及系统
CN109711178B (zh) 一种键值对的存储方法、装置、设备及存储介质
CN104123371A (zh) 基于分层文件系统的Windows内核文件透明过滤的方法
CN112182611A (zh) 一种基于Linux内核层实现的文件透明加解密方法与系统
CN114238938B (zh) 一种pcie密码卡虚拟化配置管理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 4 / F, Qilin science and Technology Park, No.20, Qiyun Road, high tech Zone, Changsha City, Hunan Province, 410000

Applicant after: Hunan Qilin Xin'an Technology Co., Ltd

Address before: 4 / F, Qilin science and Technology Park, No.20, Qiyun Road, high tech Zone, Changsha City, Hunan Province, 410000

Applicant before: HUNAN KYLIN XINAN TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant