CN110830253A - 密钥管理方法、装置、服务器、系统及存储介质 - Google Patents
密钥管理方法、装置、服务器、系统及存储介质 Download PDFInfo
- Publication number
- CN110830253A CN110830253A CN201911204601.3A CN201911204601A CN110830253A CN 110830253 A CN110830253 A CN 110830253A CN 201911204601 A CN201911204601 A CN 201911204601A CN 110830253 A CN110830253 A CN 110830253A
- Authority
- CN
- China
- Prior art keywords
- key
- server
- disk
- new data
- controller chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供的密钥管理方法、装置、服务器、系统及存储介质,应用于分布式集群中的主服务器,主服务器包括第一系统盘,第一系统盘包括第一控制器芯片和第一存储器,并用于存储主服务器的操作系统;主服务器响应新数据盘加入分布式集群,通过第一控制器芯片生成密钥,并将密钥保存至第一存储器;再将密钥同步至新数据盘。与现有技术相比,本发明能在主服务器内部生成、存储和同步密钥,在具有保密性的前提下,实现了减少密钥管理的复杂度的有益效果。
Description
技术领域
本发明涉及分布式存储领域,具体而言,涉及一种密钥管理方法、装置、服务器、系统及存储介质。
背景技术
在使用加密硬盘的分布式存储系统中,当有密钥需求时,通常采取两种方案来管理密钥,方案一是由外置的密钥管理中心KMC(Key Management Center)统一负责分布式集群节点的密钥生成、分发和备份;方案二是利用外置USB插入分布式集群中的管理节点来生成密钥,然后由管理节点来分发密钥。
以上两种现有的密钥管理方案都是针对需要按照保密标准来进行的保密要求高的密钥,当有密钥需求时,两种方案都利用外置设备来生成密钥,然后由外置设备负责密钥的分发、存储,这增加了密钥管理的复杂度,且外置设备容易被破坏或丢失,使密钥保密安全性降低。
发明内容
有鉴于此,本发明实施例提供的密钥管理方法、装置、服务器、系统及存储介质,实现减少密钥管理的复杂度,增强保密安全性的有益效果。
为了实现上述目的,本发明实例采取的技术方案如下:
第一方面,本发明实施例提供了一种密钥管理方法,应用于分布式集群中的主服务器,所述主服务器包括第一系统盘,所述第一系统盘包括第一控制器芯片和第一存储器,并用于存储所述主服务器的操作系统;所述方法包括:
响应新数据盘加入所述分布式集群,通过第一控制器芯片生成密钥,并将所述密钥保存至所述第一存储器;
将所述密钥同步至所述新数据盘。
结合第一方面,在第一种可能的实现方式中,当所述新数据盘加入主服务器时,所述将所述密钥同步至所述新数据盘的步骤包括:
将所述密钥同步至所述主服务器的新数据盘。
结合第一方面,在第二种可能的实现方式中,所述分布式集群还包括与主服务器通信的从服务器,所述从服务器包括第二系统盘,所述第二系统盘包括第二控制器芯片和第二存储器,当所述新数据盘加入所述从服务器时,所述将所述密钥同步至所述新数据盘的步骤包括:
加密所述密钥并发送至所述第二系统盘,以使第二控制器芯片将所述密钥解密后保存至所述第二存储器并同步至所述新数据盘。
结合第一方面的第二种可能的实现方式中,在第三种可能的实现方式中,所述分布式集群还包括与主服务器通信的第三服务器,所述第三服务器包括第三系统盘,所述第三系统盘包括第三控制器芯片,当所述新数据盘加入所述第三服务器时,所述将所述密钥同步至所述新数据盘的步骤包括:
加密所述密钥并发送至所述第二系统盘,以使第二控制器芯片解密所述密钥并保存所第二存储器;
将加密后的所述密钥发送至所述第三系统盘,以使第三控制器芯片将所述密钥解密并将解密后的密钥同步至所述新数据盘。
结合第一方面的第三种可能的实现方式中,在第五种可能的实现方式中,所述第一系统盘提供第一密钥管理API接口,所述当响应新数据盘加入所述分布式集群,在所述第一控制器芯片内生成并存储密钥的步骤包括:
响应所述新数据盘加入所述分布式集群,通过所述第一密钥管理API接口调用驱动程序以改变所述第一系统盘预存的固件来使第一控制器芯片内生成并存储密钥。
结合第一方面,在第六种可能的实现方式中,所述第二系统盘提供第二密钥管理API接口;所述加密所述密钥并发送至所述第二系统盘以使第二控制器芯片解密并保存所述密钥的步骤包括:
通过第一密钥管理API接口获取加密的所述密钥并发送至所述从服务器,以使所述从服务器通过所述第二密钥管理API将加密的所述密钥发送至所述第二系统盘来使第二控制器芯片解密并保存所述密钥。
第二方面,本发明实施例提供了一种密钥管理装置,应用于分布式集群中的主服务器,所述装置包括:控制模块,存储模块和接口模块;
所述控制模块,用于响应新数据盘加入所述分布式集群,通过所述控制模块生成密钥,并将所述密钥保存至所述存储模块;
所述接口模块,用于将所述密钥同步至所述新数据盘。
第三方面,本发明实施例提供了一种服务器,应用于分布式集群,所述服务器包括系统盘,所述系统盘包括控制器芯片和存储器,并用于存储所述服务器的操作系统;包括:
所述控制器芯片用于响应新数据盘加入所述分布式集群,生成密钥并将所述密钥保存至所述存储器;
所述控制器芯片还用于将所述密钥同步至所述新数据盘。
第四方面,本发明实施例提供了一种密钥管理系统,应用于分布式集群,所述密钥管理系统包括主服务器和从服务器,所述主服务器包括第一系统盘,所述第一系统盘包括第一控制器芯片和第一存储器,并用于存储所述主服务器的操作系统;所述从服务器包括第二系统盘,所述第二系统盘包括第二控制器芯片和第二存储器;
所述主服务器用于响应新数据盘加入所述分布式集群,通过所述第一控制器芯片生成密钥并所述密钥保存至所述第一存储器;
当所述新数据盘加入所述主服务器时,所述主服务器用于将所述密钥同步至所述新数据盘;
当所述新数据盘加入所述从服务器时,所述主服务器用于通过第一控制器芯片加密所述密钥并将加密后的所述密钥发送至所述第二系统盘,以使第二控制器芯片将加密后的所述密钥解密后保存至所述第二存储器并同步至所述新数据盘。
第五方面,本发明实施例提供了一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现第一方面所述的方法。
相比现有技术,本申请实施例提供的一种密钥管理方法、装置、服务器、系统及存储介质,应用于分布式集群中的主服务器,该主服务器包括第一系统盘,该第一系统盘包括第一控制器芯片和第一存储器,并用于存储所述主服务器的操作系统;主服务器响应新数据盘加入分布式集群,通过第一控制器芯片生成密钥,并将密钥保存至第一存储器;再将密钥同步至新数据盘,实现减少密钥管理的复杂度,增强保密安全性的有益效果。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种分布式集群示意性框图;
图2为本申请实施例提供的一种服务器架构示意性框图;
图3为本申请实施例提供的一种密钥管理方法流程示意图;
图4为本申请实施例提供的另一种密钥管理方法流程示意图;
图5为本申请实施例提供的另一种密钥管理方法流程示意图;
图6为本申请实施例提供的另一种密钥管理方法流程示意图;
图7为本申请实施例提供的另一种密钥管理方法流程示意图;
图8为本申请实施例提供的一种密钥管理装置示意性框图;
图9为本申请实施例提供的一种服务器示意性框图;
图10为本申请实施例提供的一种密钥管理系统示意性框图。
图标:10-分布式集群;110-主服务器;120-从服务器;130-第三服务器;111-第一系统盘;121-第二系统盘;131-第三系统盘;1110-第一控制器芯片;1112-第一存储器;1210-第二控制器芯片;1212-第二存储器;30-密钥管理装置;301-控制模块;302-存储模块;303-接口模块;40-服务器;401-系统盘;402-数据盘;4011-控制器芯片;4012-存储器;50-密钥管理系统。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
目前,对于使用加密硬盘的分布式存储系统,其进行密钥的生成、分发和存储,有两种可能的实现方式。在第一种可能的实现方式中,分布式存储系统中的主服务器向外置的密钥管理中心KMC(Key Management Center,简称KMC)发送生成密钥的请求,外置的KMC接收密钥生成请求后,生成密钥,然后将密钥同步给其他存储服务器。因此,KMC统一管理密钥的生成、分发和存储。在第二种可能的实现方式中,分布式存储系统中主服务器上插入外置USB,主服务器向USB设备申请生成密钥,USB设备生成密钥后,由主服务器将密钥同步给其它存储服务器。
以上两种可能的实现方式都是针对需要按照保密标准来进行的保密要求高的密钥,且都采取外置设备管理密钥。其中,在第一种可能实现的方式中利用KMC管理密钥增加了密钥管理的复杂度,且KMC设备价格昂贵,增加了保密成本;第二种可能的实现方式中所采取USB设备容易因丢失或被破坏而使保密安全性降低。
本发明的主要改进思路:利用分布式存储的集群管理,将不同存储服务器的系统盘联系在一起,将密钥生成、分发和存储内置于分布式存储系统中主存储服务器系统盘内的控制芯片中,降低了保密成本,减少密钥管理的复杂度,增强保密安全性的目标。
具体地,为了解决上述问题,在不使用外置设备的情况下,通过分布式存储系统中的存储服务器系统盘内的控制芯片完成密钥的生成、分发和存储。本申请实施例提供一种可能的分布式集群示意框图,参见图1所示,分布式集群10以四个服务器作为示例进行说明,其中,包括主服务器110、从服务器120和多个第三服务器130,在一个分布式集群中,最佳的从服务器数目为2个,每个服务器之间可以进行网络数据传输。
每个服务器内部均包括集群管理服务和存储服务,集群管理服务为服务器通过调用本地或远程代码以执行的服务功能,用于实现服务器内部资源调度和服务器与其他服务器之间的通信传输。服务器安装并运行集群管理服务后就可以加入分布式集群。以图1中的主服务器110为例,该服务器上的集群管理服务可以通过该密钥管理对应的应用程序接口(Application Programming Interface,简称API),实现控制第一系统盘111生成密钥,加密或解密密钥以及同步密钥等功能,其中,集群管理服务与系统盘的交互,可以利用串行高级技术附件(Serial Advanced Technology Attachment,简称SATA)、非易失性内存主机控制器接口规范(Non-Volatile Memory express,简称NVMe)、高速串行计算机扩展总线标准(Peripheral Component Interconnect Express,简称PCI-E)或小型计算机系统接口(Small Computer System Interface,简称SCSI)中的一种或多种访问协议实现。
进而,该集群管理服务可以访问系统盘内的内容,在本发明实施例中,系统盘的内容包括但不限于:闪存管理的算法、纠错算法、加密解密算法(包括但不限于国密算法SM2/SM3/SM4)、密钥以及认证证书等。认证证书可以是但不限于系统盘证书、数据盘证书、公钥或所有者的识别信息等。存储服务为实现服务器内部数据同步而执行的服务功能,能够实现将数据、文件、密钥等内容随时随地同步到数据盘上。
可选地,图2为本发明实施例提供的一种服务器的结构示意图,参见图2,该服务器可以为上述主服务器110、从服务器120或第三服务器130中的任意一种,下以图1中的主服务器110为例,来对服务器内部结构进行详细的描述。
具体地,参见图2,第一系统盘111用于存储服务器的操作系统,同时,还可以提供多种物理接口和访问协议,例如,该物理接口可以是M.2、PCI-E、SATA、SCSI,该访问协议可以是SATA、PCI-E、NVMe、SCSI。
可选地,第一系统盘111内包括第一控制器芯片1110和第一存储器1112,使得该第一系统盘111既可以提供普通硬盘的功能,又可以提供密钥管理功能,该密钥管理功能可以包括生成密钥、存储密钥、迁移密钥和销毁密钥等功能。
可选地,第一控制器芯片1110,可以是一种集成电路芯片,具有信号的处理能力。该第一控制器芯片中包括非易失性控制器(NAND FLASH Controler,简称NFC)、随机数生成算法、闪存管理的算法、纠错算法、加密解密算法(包括其不限于国密算法SM2/SM3/SM4),同时也能够提供内部永久化保存CA(Certificate Authority,简称CA)颁发的证书和密钥的功能。另外,该芯片还能提供SATA、PCIe、SCSI和NVMe的物理层到协议层的访问协议。对于系统扩展服务器时,第一控制器芯片1110需要为新加入的服务器的数据盘分密钥的同时,第一服务器还要查询新接入的服务器是否配置有密管能力的系统盘,如果有,第一服务器需要将标注为备选的密管服务器。如果当前集群中的从服务器小于2个,那么备选的密管服务器可以转换为从服务器。
可选地,第一存储器1112可以是但不限于,随机存取存储器(Random AccessMemory,RAM),还可以包括一个或多个存储单元,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件(NAND FLASH)。
可选地,图1中的第二系统盘121和第三系统盘131具有和第一系统盘类似的功能结构。
结合上述图1及图2所示的分布式集群及服务器架构的示例,下面以主服务器110为执行主体,对本发明实施例提供的一种密钥管理方法进行说明,具体的,主服务器110包括第一系统盘111,第一系统盘内部包含的第一控制器芯片1110和第一存储器1112,图3为本申请实施例提供的一种密钥管理方法流程图,参见图3,该方法具体包括:
步骤201、响应新数据盘加入分布式集群,在第一控制器芯片内生成密钥,并将密钥保存至第一存储器。
具体地,第一控制器芯片用于生成密钥、对密钥进行加密和解密,第一存储器用于存储第一控制器芯片生成的密钥。
步骤202、将密钥同步至新数据盘。
具体地,在本发明实施例中,新数据盘可以是一种加密硬盘,主服务器同步到新数据盘的密钥用来将新数据盘中的文件和数据加密或解密。
本申请实施例提供的密钥管理方法,应用于分布式集群中的主服务器,主服务器包括第一系统盘,第一系统盘包括第一控制器芯片和第一存储器,并用于存储主服务器的操作系统;主服务器响应新数据盘加入分布式集群,通过第一控制器芯片生成密钥,并将密钥保存至第一存储器;再将密钥同步至新数据盘。通过在主服务器内部执行该方法来进行密钥管理,在具有保密性的前提下,实现了减少密钥管理的复杂度的有益效果。
在一种可能的实现方式中,当新数据盘接入主服务器上时,在图3的基础上,下面给出步骤202的一种可能的实现方式,具体地,参见图4,图4是本申请实施例提供的另一种密钥管理方法流程图,步骤202具体包括:
步骤202a:将密钥同步至主服务器的新数据盘。
可选地,结合图1,当新数据盘为主服务器110中的数据盘n时,将主服务器110内部的集群管理服务和存储服务可以称为第一集群管理服务和第一存储服务,第一系统盘上提供密钥管理API可以称为第一密钥管理API。
具体地,主服务器通过第一集群管理服务向第一系统盘发起调用第一密钥管理API,第一密钥管理API通过系统盘授权后,通过驱动程序访问第一系统盘获取密钥并将获取的密钥同步给第一存储服务,由第一存储服务将密钥同步到新数据盘上。
可选地,在主服务器向新数据盘同步密钥之前,主服务与新数据盘之间所需要建立安全通信通道,具体地,主服务器可以通过临时会话密钥将新密钥进行加密,保证加密密钥传输中的保密性及可溯源性,该临时会话密钥具有时效性及随机性,由主服务器维护。
在一种可能的实现方式中,当新数据盘接入从服务器上时,具体地,该从服务器包括第二系统盘,该第二系统盘内包含的第二控制器芯片和第二存储器,在图3的基础上,给出步骤202的一种可能的实现方式,具体地,参见图5,图5是本申请实施例提供的另一种密钥管理方法流程图,步骤202具体包括:
步骤202b、加密密钥并发送至第二系统盘,以使第二控制器芯片在解密密钥后将密钥保存至第二存储器并同步至新数据盘。
可选地,第二控制器芯片可以用于对加密的密钥进行解密,第二存储器可以用于存储第二控制器芯片解密后获得的密钥。
可选地,结合图1,当新数据盘为从服务器120中的数据盘n时,将从服务器120内部的集群管理服务和存储服务可以称为第二集群管理服务和第二存储服务,密钥管理API可以称为第一密钥管理API。
具体地,主服务器首先通过第一密钥管理API接口调用驱动程序以使第一控制芯片对密钥进行加密;然后,主服务器内的第一集群管理服务发起调用第一密钥管理API命令,第一密钥管理API通过调用驱动程序访问第一系统盘,第一控制器芯片内加密的密钥并返回给集第一集群管理服务,第一集群管理服务将获得的加密的密钥同步至从服务器。
进一步地,从服务器在接收主服务器同步的加密的密钥后,可以通过调用第二密钥管理API命令来实现密钥的同步。具体的,首先通过调用该第二密钥管理API命令中的解密指令,实现对接收到的密钥进行解密;之后,可以再通过调用该第二密钥管理API命令中的密钥获取指令,实现将密钥从系统盘内获取并同步给新数据盘。
具体地,从服务器内的第二集群管理服务发起调用第二密钥管理API命令,第二密钥管理API第一次调用驱动程序访问第二系统盘,以使第二控制器芯片将加密的密钥解密并保存至第二存储器;然后,第二集群管理服务再次调用第二密钥管理API命令,第二密钥管理API调用驱动程序访问第二系统盘获得解密的密钥,并将解密的密钥同步给第二存储服务,由第二存储服务将密钥同步到新数据盘上。
可选地,在主服务器向从服务同步密钥之前,主服务与从服务器之间所需要建立安全通信通道,具体地,主服务器和从服务器可以交换各自的CA证书实现绑定,并在主服务器的第一主控芯片中生成临时传输密钥后对加密密钥加密,进而将加密的密钥同步到从服务器中。
在一种可能的实现方式中,当新数据盘接入第三服务器上时,该第三服务器包括第三系统盘,该第三系统盘内包含的第三控制器芯片,在图3的基础上,下面给出步骤202的一种可能的实现方式,具体地,参见图6,图6是本申请实施例提供的另一种密钥管理方法流程图,步骤202具体包括:
步骤202c、加密密钥并发送至第二系统盘,以使第二控制器芯片解密密钥并保存所第二存储器;
步骤202d、将加密的密钥发送至第三系统盘,以使第三控制器芯片解密并将解密后的密钥同步至新数据盘。
可选地,第三控制器芯片可以用于对加密的密钥进行解密。
可选地,结合图1,当新数据盘为第三服务器130中的数据盘n时,第三服务器内部的集群管理服务和存储服务可以称为第三集群管理服务和第三存储服务,密钥管理API可以称为第三密钥管理API。
具体地,主服务器首先通过第一密钥管理API接口调用驱动程序以使第一控制芯片对密钥进行加密;然后,主服务器内的第一集群管理服务发起调用第一密钥管理API命令,第一密钥管理API调用驱动程序访问第一系统盘,获取第一控制器芯片内加密的密钥并返回给第一集群管理服务,第一集群管理服务将获得的加密的密钥同步至从服务器。
进一步地,从服务器在接收主服务器同步的加密的密钥后,首先,从服务器内的第二集群管理服务发起调用第二密钥管理API命令,第二密钥管理API响应命令,调用驱动程序访问第二系统盘,以使第二控制器芯片将加密的密钥解密并保存至第二存储器;
进一步地,主服务器内的集群管理服务再次调用第一密钥管理API命令,第一密钥管理API第二次调用驱动程序访问第一系统盘,获取第一控制器芯片内加密的密钥并返回给第一集群管理服务,第一集群管理服务将获得的加密的密钥同步至第三服务器。
进一步地,第三服务器在接收主服务器同步的加密的密钥后,首先,第三服务器内的第三集群管理服务发起调用第三密钥管理API命令,第三密钥管理API调用驱动程序访问第三系统盘,以使第三控制器芯片将加密的密钥解密,并获取解密后密钥同步给第三存储服务,由第三存储服务将密钥同步到新数据盘上。
在本申请实施例中,为了清楚的描述主服务器的第一控制器芯片生成密钥的过程,下面给出一种第一控制器芯片内生成并存储密钥的可能的实现方式,参见图7,图7为本申请实施例提供的另一种密钥管理方法的流程示意图,其中,步骤201具体包括:
步骤201a、响应新数据盘加入分布式集群,通过第一密钥管理API接口调用驱动程序以改变第一系统盘预存的固件来使第一控制器芯片内生成并存储密钥。
可选地,在主服务器响应新数据盘加入分布式集群之前,主服务器的驱动程序扫描集群中服务器上的数据盘状态信息,当有新数据盘接入后,主服务器检测出新数据盘信息,就会为新数据盘生成密钥并同步给新数据盘。
具体地,主服务器通过集群管理服务发起调用第一管理API接口的命令,第一密钥管理API调用驱动程序访问第一次系统盘,第一系统盘改变预存的固件并来使第一控制器芯片调用密钥生成算法来生密钥。
可选地,主服务器可以向所有服务器发送销毁密钥命令,服务器节点收到销毁密钥命令后,向本地的数据盘发送销毁密钥命令。待所有数据盘销毁密钥成功后,主服务器再向从服务器发送删除密钥命令,从服务器收到删除密钥命令后,向本地的系统盘删除指定的密钥,最后主服务器向本地系统盘删除指定密钥,以使系统中没有任何被销毁的密钥存在。
为了执行上述实施例及各个可能的方式中的相应地步骤,本申请实施例提供了一种密钥管理装置的实现方式,请参照图8,图8示出了本发明实施例提供的一种密钥管理装置30功能模块示意图。该密钥管理装置30应用于分布式集群中的主服务器110中,包括控制模块301、存储模块302和接口模块303。
控制模块301,用于响应新数据盘加入分布式集群,通过控制模块生成密钥,并将密钥保存至存储模块302;
接口模块303,用于将密钥同步至新数据盘。
需要说明的是,本实施例所提供的密钥管理装置,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。可选地,控制模块301、存储模块302和接口模块303各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
可以理解,控制模块301和该存储模块302共同执行上述步骤201、步骤201a,以实现相应的技术效果。
可以理解,接口模块303执行步骤202,步骤202a,步骤202b,步骤202c,步骤202d,以实现相应的技术效果。
图9为本申请实施例提供的一种服务器的示意性框图,该服务器可以用于执行上述实施例中服务器中执行的各个步骤,以实现相应地功能。参见图9,该服务器40包括系统盘401和数据盘402,系统盘用于存储服务器40的操作系统。该系统盘内包括控制器芯片4011、存储器4012。
控制器芯片4011用于响应新数据盘加入分布式集群,生成密钥并将密钥保存至存储器4012。
控制器芯片4011还用于将密钥同步至新数据盘。
应当理解的是,图9所示的结构仅为服务器40的示意性框图,服务器40还可包括比图9中所示更多或者更少的组件,或者具有与图9所示不同的配置。图9中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种密钥管理系统的示意性框图,应用于图1中的分布式集群10,可以包括分布式集群10中的多个服务器,参见图10,图10为本申请实施例提供的一种密钥管理系统,具体地,该密钥管理系统50包括主服务器110和从服务器120,主服务器包括第一系统盘111,第一系统盘111包括第一控制器芯片1110和第一存储器1112,并用于存储主服务器的操作系统;从服务器120包括第二系统盘121,第二系统盘121包括第二控制器芯片1210和第二存储器1212。
主服务器110用于通过第一控制器芯片1110响应新数据盘加入分布式集群,生成密钥并密钥保存至第一存储器1112。
当新数据盘加入主服务器110时,主服务器110用于将密钥同步至主服务器110的新数据盘。
当新数据盘加入从服务器120时,主服务器110用于将加密后的密钥发送至第二系统盘121,以使第二控制器芯片1210将加密后的密钥解密后保存至第二存储器1212并同步至新数据盘。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,例如,当该计算机可读存储介质存储于图9中的存储器4012时,该计算机被控制器芯片4011执行实现上述图3、图4、图5、图6以及图7中的各个步骤,以实现相应的技术效果。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种密钥管理方法,应用于分布式集群中的主服务器,其特征在于,所述主服务器包括第一系统盘,所述第一系统盘包括第一控制器芯片和第一存储器,并用于存储所述主服务器的操作系统;所述方法包括:
响应新数据盘加入所述分布式集群,通过第一控制器芯片生成密钥,并将所述密钥保存至所述第一存储器;
将所述密钥同步至所述新数据盘。
2.根据权利要求1所述的方法,其特征在于,当所述新数据盘加入主服务器时,所述将所述密钥同步至所述新数据盘的步骤包括:
将所述密钥同步至所述主服务器的新数据盘。
3.根据权利要求1所述的方法,其特征在于,所述分布式集群还包括与主服务器通信的从服务器,所述从服务器包括第二系统盘,所述第二系统盘包括第二控制器芯片和第二存储器,当所述新数据盘加入所述从服务器时,所述将所述密钥同步至所述新数据盘的步骤包括:
加密所述密钥并发送至所述第二系统盘,以使第二控制器芯片将所述密钥解密后保存至所述第二存储器并同步至所述新数据盘。
4.根据权利要求3所述的方法,其特征在于,所述分布式集群还包括与主服务器通信的第三服务器,所述第三服务器包括第三系统盘,所述第三系统盘包括第三控制器芯片,当所述新数据盘加入所述第三服务器时,所述将所述密钥同步至所述新数据盘的步骤包括:
加密所述密钥并发送至所述第二系统盘,以使第二控制器芯片解密所述密钥并保存所第二存储器;
将加密后的所述密钥发送至所述第三系统盘,以使第三控制器芯片将所述密钥解密并将解密后的密钥同步至所述新数据盘。
5.根据权利要求1所述的方法,其特征在于,所述第一系统盘提供第一密钥管理API接口,所述当响应新数据盘加入所述分布式集群,在所述第一控制器芯片内生成并存储密钥的步骤包括:
响应所述新数据盘加入所述分布式集群,通过所述第一密钥管理API接口调用驱动程序以改变所述第一系统盘预存的固件来使第一控制器芯片内生成并存储密钥。
6.根据权利要求3所述的方法,其特征在于,所述第二系统盘提供第二密钥管理API接口;所述加密所述密钥并发送至所述第二系统盘以使第二控制器芯片解密并保存所述密钥的步骤包括:
通过第一密钥管理API接口获取加密的所述密钥并发送至所述从服务器,以使所述从服务器通过所述第二密钥管理API将加密的所述密钥发送至所述第二系统盘来使第二控制器芯片解密并保存所述密钥。
7.一种密钥管理装置,应用于分布式集群中的主服务器,其特征在于,所述装置包括:控制模块,存储模块和接口模块;
所述控制模块,用于响应新数据盘加入所述分布式集群,通过所述控制模块生成密钥,并将所述密钥保存至所述存储模块;
所述接口模块,用于将所述密钥同步至所述新数据盘。
8.一种服务器,应用于分布式集群,其特征在于,所述服务器包括系统盘,所述系统盘包括控制器芯片和存储器,并用于存储所述服务器的操作系统;包括:
所述控制器芯片用于响应新数据盘加入所述分布式集群,生成密钥并将所述密钥保存至所述存储器;
所述控制器芯片还用于将所述密钥同步至所述新数据盘。
9.一种密钥管理系统,应用于分布式集群,其特征在于,所述密钥管理系统包括主服务器和从服务器,所述主服务器包括第一系统盘,所述第一系统盘包括第一控制器芯片和第一存储器,并用于存储所述主服务器的操作系统;所述从服务器包括第二系统盘,所述第二系统盘包括第二控制器芯片和第二存储器;
所述主服务器用于响应新数据盘加入所述分布式集群,通过所述第一控制器芯片生成密钥并所述密钥保存至所述第一存储器;
当所述新数据盘加入所述主服务器时,所述主服务器用于将所述密钥同步至所述新数据盘;
当所述新数据盘加入所述从服务器时,所述主服务器用于通过第一控制器芯片加密所述密钥并将加密后的所述密钥发送至所述第二系统盘,以使第二控制器芯片将加密后的所述密钥解密后保存至所述第二存储器并同步至所述新数据盘。
10.一种存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911204601.3A CN110830253A (zh) | 2019-11-29 | 2019-11-29 | 密钥管理方法、装置、服务器、系统及存储介质 |
| CN202010650253.9A CN111654372B (zh) | 2019-11-29 | 2020-07-08 | 密钥管理方法及相关装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911204601.3A CN110830253A (zh) | 2019-11-29 | 2019-11-29 | 密钥管理方法、装置、服务器、系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110830253A true CN110830253A (zh) | 2020-02-21 |
Family
ID=69543372
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911204601.3A Pending CN110830253A (zh) | 2019-11-29 | 2019-11-29 | 密钥管理方法、装置、服务器、系统及存储介质 |
| CN202010650253.9A Active CN111654372B (zh) | 2019-11-29 | 2020-07-08 | 密钥管理方法及相关装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010650253.9A Active CN111654372B (zh) | 2019-11-29 | 2020-07-08 | 密钥管理方法及相关装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN110830253A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257606A (zh) * | 2021-12-13 | 2022-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112000975B (zh) * | 2020-10-28 | 2021-02-09 | 湖南天琛信息科技有限公司 | 一种密钥管理系统 |
| CN113285950B (zh) * | 2021-05-21 | 2023-02-24 | 清创网御(合肥)科技有限公司 | 一种基于加密卡的密钥传输和存储方法 |
| CN114710263B (zh) * | 2022-06-07 | 2022-08-05 | 苏州浪潮智能科技有限公司 | 密钥管理方法、密钥管理装置、密钥管理设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6085265B2 (ja) * | 2014-02-27 | 2017-02-22 | 日本電信電話株式会社 | 分散処理システム |
| KR102460096B1 (ko) * | 2015-05-27 | 2022-10-27 | 삼성에스디에스 주식회사 | 클라우드 서비스를 위한 암호화 키 관리 방법 및 그 장치 |
| US10162978B2 (en) * | 2015-09-22 | 2018-12-25 | Mastercard International Incorporated | Secure computer cluster with encryption |
| CN106604070B (zh) * | 2016-11-24 | 2019-10-29 | 中国传媒大学 | 云环境下流媒体的分布式密钥管理系统与密钥管理方法 |
| CN109104433A (zh) * | 2018-09-28 | 2018-12-28 | 方信息科技(上海)有限公司 | 一种分布式加密存储系统 |
-
2019
- 2019-11-29 CN CN201911204601.3A patent/CN110830253A/zh active Pending
-
2020
- 2020-07-08 CN CN202010650253.9A patent/CN111654372B/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257606A (zh) * | 2021-12-13 | 2022-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
| CN114257606B (zh) * | 2021-12-13 | 2024-03-29 | 阿里巴巴(中国)有限公司 | 数据处理方法、文件管理系统、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111654372B (zh) | 2023-03-07 |
| CN111654372A (zh) | 2020-09-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108753B2 (en) | Securing files using per-file key encryption | |
| CN112491847B (zh) | 区块链一体机及其自动建链方法、装置 | |
| CN110830253A (zh) | 密钥管理方法、装置、服务器、系统及存储介质 | |
| US8826015B2 (en) | Portable system and method for remotely accessing data | |
| TWI582638B (zh) | 電子器件、用於建立及強制實行與一存取控制元件相關聯之一安全性原則之方法及安全元件 | |
| CN108768633B (zh) | 实现区块链中信息共享的方法及装置 | |
| US8761401B2 (en) | System and method for secure key distribution to manufactured products | |
| US20160036789A1 (en) | Secure host authentication using symmetric key crytography | |
| US20140380057A1 (en) | Method, Server, Host, and System for Protecting Data Security | |
| CN109921902B (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
| US9576144B2 (en) | Secured file system management | |
| US10721074B2 (en) | Methods and apparatus to authenticate and differentiate virtually identical resources using session chaining | |
| CN101605137A (zh) | 安全分布式文件系统 | |
| CN104090853A (zh) | 一种固态盘加密方法和系统 | |
| CN108173827B (zh) | 基于区块链思维的分布式sdn控制平面安全认证方法 | |
| CN110601830B (zh) | 基于区块链的密钥管理方法、装置、设备及存储介质 | |
| CN111191217B (zh) | 一种密码管理方法及相关装置 | |
| US20230269078A1 (en) | Key sharing method, key sharing system, authenticating device, authentication target device, recording medium, and authentication method | |
| JP2014530553A (ja) | グループメンバーによるグループ秘密の管理 | |
| CN110635904A (zh) | 一种软件定义物联网节点远程证明方法及系统 | |
| CN116155491B (zh) | 安全芯片的对称密钥同步方法及安全芯片装置 | |
| CN113545021B (zh) | 预先授权设备的注册 | |
| JP2018157246A (ja) | 管理装置、および管理方法 | |
| TW202304172A (zh) | 位置密鑰加密系統 | |
| KR20220162609A (ko) | 저장 디바이스와 호스트 디바이스 사이의 데이터 전송을 인증하는 모듈 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200221 |
|
| WD01 | Invention patent application deemed withdrawn after publication |