CN113810373B - 一种基于国密算法的ceph可视化一键部署方法 - Google Patents

一种基于国密算法的ceph可视化一键部署方法 Download PDF

Info

Publication number
CN113810373B
CN113810373B CN202110916711.3A CN202110916711A CN113810373B CN 113810373 B CN113810373 B CN 113810373B CN 202110916711 A CN202110916711 A CN 202110916711A CN 113810373 B CN113810373 B CN 113810373B
Authority
CN
China
Prior art keywords
ceph
deployed
node
key ring
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110916711.3A
Other languages
English (en)
Other versions
CN113810373A (zh
Inventor
刘玲星
唐卓
周玮康
宋柏森
马兴旺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhengtong Cloud Computing Co ltd
Changsha Zhengtong Cloud Calculating Co ltd
Shenzhen Zhengtong Electronics Co Ltd
Original Assignee
Shenzhen Zhengtong Cloud Computing Co ltd
Changsha Zhengtong Cloud Calculating Co ltd
Shenzhen Zhengtong Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhengtong Cloud Computing Co ltd, Changsha Zhengtong Cloud Calculating Co ltd, Shenzhen Zhengtong Electronics Co Ltd filed Critical Shenzhen Zhengtong Cloud Computing Co ltd
Priority to CN202110916711.3A priority Critical patent/CN113810373B/zh
Publication of CN113810373A publication Critical patent/CN113810373A/zh
Application granted granted Critical
Publication of CN113810373B publication Critical patent/CN113810373B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于国密算法的ceph可视化一键部署方法,其包括基于国密算法SM2/SM3/SM4实现ceph分布式存储集群的待部署节点之间的免密登陆。本发明通过在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道,实现对现有加解密算法的国密替代,保障了任意两个待部署节点之间通信认证的安全;然后通过对ceph分布式存储集群用户及各待部署节点支持的服务之间认证的密钥环采用国密算法SM4进行加解密,可以保证认证的密钥环的安全,保障用户隐私安全;最后通过一键部署方式配合采用ceph‑ansible工具,实现对各个待部署节点部署指令的下发,完成ceph分布式存储集群的可视化一键部署操作。

Description

一种基于国密算法的ceph可视化一键部署方法
技术领域
本发明涉及ceph分布式对象存储技术领域,尤其是涉及一种基于国密算法的ceph可视化一键部署方法。
背景技术
Ceph分布式存储系统是一个开源项目,提供软件定义的、统一的存储解决方案,具备可大规模扩展、高性能、无单点故障的优点。近年来,随着云计算的发展,由于ceph作为云计算平台云存储服务的主要后台系统,也得到了越来越广泛的应用。
Ceph分布式存储系统由于其服务分布在不同节点上,随着节点的增加,其部署、扩容及运维会变得非常复杂。现有的部署或扩容方式大都是靠运维人员手动完成,或者手动配置结合ceph官方的工具如ceph-deploy,ceph-anslble等完成。
然而,上述Ceph分布式存储系统部署或扩容方法存在一些不可忽略的缺陷:首先,手动方法或者手动配置结合官方工具的方式工作量巨大,过程繁琐,效率较低;第二,受人为因素,网络环境影响较大,容易出错,部署或扩容成功率低;第三,部署过程中SSH通信密钥加密及客户端服务端之间、各组件之间的认证加解密均存在信息安全问题。
发明内容
基于此,本发明的目的在于提供一种基于国密算法的ceph可视化一键部署方法,实现加解密算法的国密替代,保障了任意两个待部署节点之间认证通信的安全。
为解决上述技术问题,本发明采用以下技术方案:
本发明提供了一种基于国密算法的ceph可视化一键部署方法,其包括如下步骤:
步骤S110、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机;
步骤S120、获取ceph分布式存储集群的待部署节点;
步骤S130、基于国密算法SM2/SM3/SM4实现ceph分布式存储集群的待部署节点之间的免密登陆;
步骤S140、更新待部署节点的源和依赖,并在其中一个待部署节点安装ceph-ansible工具;
步骤S150、在安装有ceph-ansible工具的待部署节点上设置ceph分布式存储集群中各个待部署节点支持的服务;
步骤S160、对待部署节点进行设置;
步骤S170、修改ceph-ansible工具安装路径下的配置文件,基于国密算法SM4为ceph分布式存储集群的用户及各个待部署节点支持的服务创建一个密钥环;
步骤S180、通过ceph-ansible工具实现ceph分布式存储集群一键部署。
在其中一个实施例中,所述步骤S180的方法,具体操作包括:
步骤S200、获取新增的待部署节点及新增的待部署节点支持的服务,对ceph分布式存储集群进行扩容。
在其中一个实施例中,所述步骤S200的方法,具体操作包括:
步骤S210、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机;
步骤S220、获取新增的ceph分布式存储集群的待部署节点,其中,新增的ceph分布式存储集群的待部署节点为在预设网段内能ping通的物理硬件设备服务器和/或虚拟机对应的节点中除去已经部署完成后的节点;
步骤S230、重复执行步骤S130~步骤S180,实现对ceph分布式存储集群的可视化一键扩容操作。
在其中一个实施例中,所述步骤S180之后,还包括:
步骤S190、查询ceph分布式存储集群的部署状态,并对ceph分布式存储集群部署日志进行打印。
在其中一个实施例中,所述步骤S120之后,还包括:
步骤S120-1、关闭ceph分布式存储集群的待部署节点对应的防火墙服务。
在其中一个实施例中,所述步骤S120之后,还包括:
步骤S120-2、将ceph分布式存储集群的时间进行同步。
在其中一个实施例中,所述步骤S130的方法,具体操作包括:
步骤S1300、在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道;
步骤S1301、第二待部署节点向CA机构申请数字证书C1;其中,第二待部署节点为ceph分布式存储集群的其中一个待部署节点;
步骤S1302、第一待部署节点向第二待部署节点发送SSL信息;
步骤S1303、第二待部署节点接收SSL信息,向第一待部署节点第一待部署节点回应使用的SSL协议的版本及加密算法,并产生随机数R1,从第二待部署节点的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C1发送给第一待部署节点;
步骤S1304、验证第一待部署节点接收到的数字证书C1是否合法;若是,则转入步骤S1305;若否,则与第二待部署节点拒绝与第一待部署节点连接;
步骤S1305、第一待部署节点向第二待部署节点发送第一待部署节点支持的SM4国密算法方案信息给第二待部署节点;
步骤S1306、第二待部署节点接收SM4国密算法方案信息后,同意使用SM4国密算法对通信报文进行加解密,并将同意使用SM4国密算法对通信报文进行加解密的信息发送给客户端;
步骤S1307、第一待部署节点根据随机数R1生成随机码A,随机码A作为国密算法SM4加密的密钥,并使用SM2公钥对随机码A进行加密,获得加密文件A1,并将加密文件A1发送给第二待部署节点;
步骤S1308、第二待部署节点使用SM2私钥对加密文件A1进行解密,获得国密算法SM4的密钥A;
步骤S1309、由于第一待部署节点与第二待部署节点之间基于国密算法SM3/SM4的可信通道已经建立,通过国密算法SM4的密钥A对通信报文进行加解密,进行ssh通信。
在其中一个实施例中,所述步骤S1309之后,还包括:
步骤S1310、通过国密SM3哈希算法验证第一待部署节点与第二待部署节点之间的数据通信过程中通信报文的完整性。
在其中一个实施例中,当进行加密时,所述步骤S170的方法,具体操作包括:
步骤S1701a、在ceph分布式存储集群的各个待部署节点支持的指定服务所在的物理硬件设备服务器上预置SM4对称加密算法的密钥C2;其中,指定服务为ceph分布式存储集群所包含的MON组件及OSD组件对应的服务;
步骤S1702a、创建监视器密钥环ceph.mon.keyring,对监视器密钥环ceph.mon.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第一监视器密钥环ceph.mon.keyring1;
步骤S1703a、创建管理员密钥环,生成client.admin用户,然后添加client.admin用户到管理员密钥环上,获得client.admin用户密钥环ceph.client.admin.keyring;
步骤S1704a、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第一认证密钥环ceph.client.admin.keyring1;
步骤S1705a、创建一个bootstrap-osd密钥环,生成client.bootstrap-osd用户,然后添加client.bootstrap-osd用户到bootstrap-osd密钥环上,获得bootstrap-osd密钥环ceph.keyring;
步骤S1706a、对bootstrap-osd密钥环ceph.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第二认证密钥环ceph.keyring1;
步骤S1707a、将client.admin用户密钥环ceph.client.admin.keyring和bootstrap-osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中,获得第二监视器密钥环ceph.mon.keyring11;
步骤S1708a、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥C2加密,获得基于国密算法SM4加密的第三监视器密钥环ceph.mon.keyring111;
步骤S1709a、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤S1701a~S1708a中基于国密算法SM4加密后的密钥环;其中,其他指定服务为ceph分布式存储集群中除MON组件及OSD组件对应的服务以外的服务;
步骤S1710a、创建所述指定服务对应的服务密钥环ceph.service.keyring;
步骤S1711a、对服务密钥环ceph.service.keyring采用国密算法SM4进行加密,获得基于国密算法SM4加密的第三认证密钥环ceph.service.keyring1;
步骤S1712a、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法SM4加密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证。
在其中一个实施例中,当进行解密时,所述步骤S170的方法,具体操作包括:
步骤S1701b、在ceph分布式存储集群的各个待部署节点支持的服务所在的物理硬件设备服务器上预置SM4对称解密算法的密钥C2;其中,指定服务为ceph分布式存储集群所包含的MON组件及OSD组件对应的服务;
步骤S1702b、创建监视器密钥环ceph.mon.keyring,对监视器密钥环ceph.mon.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第一监视器密钥环ceph.mon.keyring1;
步骤S1703b、创建管理员密钥环,生成client.admin用户,然后添加client.admin用户到管理员密钥环上,获得client.admin用户密钥环ceph.client.admin.keyring;
步骤S1704b、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第一认证密钥环ceph.client.admin.keyring1;
步骤S1705b、创建一个bootstrbp-osd密钥环,生成client.bootstrbp-osd用户,然后添加client.bootstrbp-osd用户到bootstrbp-osd密钥环上,获得bootstrbp-osd密钥环ceph.keyring;
步骤S1706b、对bootstrbp-osd密钥环ceph.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第二认证密钥环ceph.keyring1;
步骤S1707b、将client.admin用户密钥环ceph.client.admin.keyring和bootstrbp-osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中,获得第二监视器密钥环ceph.mon.keyring11;
步骤S1708b、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥C2解密,获得基于国密算法SM4解密的第三监视器密钥环ceph.mon.keyring111;
步骤S1709b、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤S1701b~S1708b中基于国密算法SM4解密后的密钥环;其中,其他指定服务为ceph分布式存储集群中除MON组件及OSD组件对应的服务以外的服务;
步骤S1710b、创建所述指定服务对应的服务密钥环ceph.service.keyring;
步骤S1711b、对服务密钥环ceph.service.keyring采用国密算法SM4进行解密,获得基于国密算法SM4加密的第三认证密钥环ceph.service.keyring1;
步骤S1712b、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法SM4解密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证。
综上所述,本发明提供的一种基于国密算法的ceph可视化一键部署方法通过在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道,实现对现有加解密算法的国密替代,保障了任意两个待部署节点之间通信认证的安全;然后通过对ceph分布式存储集群用户及各待部署节点支持的服务之间认证的密钥环采用国密算法SM4进行加解密,可以保证认证的密钥环的安全,保障用户隐私安全;最后通过一键部署方式配合采用ceph-ansible工具,实现对各个待部署节点部署指令的下发,完成ceph分布式存储集群的可视化一键部署操作。
附图说明
图1为本发明实施例提供的第一种基于国密算法的ceph可视化一键部署方法的流程示意图;
图2为本发明实施例提供的第二种基于国密算法的ceph可视化一键部署方法的流程示意图;
图3为本发明实施例提供的第三种基于国密算法的ceph可视化一键部署方法的流程示意图;
图4为本发明实施例提供的第四种基于国密算法的ceph可视化一键部署方法的流程示意图;
图5为本发明实施例提供的第五种基于国密算法的ceph可视化一键部署方法的流程示意图;
图6为本发明实施例提供的第六种基于国密算法的ceph可视化一键部署方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明一种基于国密算法的ceph可视化一键部署方法应用于物理硬件设备服务器或者以物理硬件设备服务器为基础创建的虚拟机,本实施例中,物理硬件设备服务器数量为4台。
图1是本发明实施例提供的第一种基于国密算法的ceph可视化一键部署方法的流程示意图,如图1所示,一种基于国密算法的ceph可视化一键部署方法,具体包括如下步骤:
步骤S110、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机。
具体地,根据预设网段如10.12.75.0/24对局域网内该网段的物理硬件设备服务器和/或虚拟机的IP进行ping操作,获取预设网段内能ping通的物理硬件设备服务器和/或虚拟机;其中,ping操作为现有技术,可通过ping命令检查网络是否连通,在此不必赘述。
步骤S120、获取ceph分布式存储集群的待部署节点,其中,待部署节点为预设网段内能ping通的物理硬件设备服务器和/或虚拟机对应的节点。
如图2所示,在其中一个实施例中,所述步骤S120之后,还包括
步骤S120-1、关闭ceph分布式存储集群的待部署节点对应的防火墙服务,以方便后续在对ceph进行部署时各ceph组件之间的认证通信;其中,所述步骤S120-1的方法,具体操作过程为:
对ceph分布式存储集群的各个待部署节点关闭防火墙服务,并将防火墙服务设置为永久关闭,以方便后续在对ceph进行部署时各ceph组件之间的认证通信。
如图3所示,在其中一个实施例中,所述步骤S120之后,还包括
步骤S120-2、将ceph分布式存储集群的时间进行同步;其中,所述步骤S120-1的方法,具体操作过程为:
通过在ceph分布式存储集群部署NTP服务,采用广播的模式,以其中一台待部署节点对应的服务器或虚拟机时间为基准时间,其它待部署节点对应的服务器或虚拟机时间同步进行调整,使得ceph分布式存储集群的待部署节点对应的服务器或虚拟机时间与基准时间一致。
步骤S130、基于国密算法SM2/SM3/SM4实现ceph分布式存储集群的待部署节点之间的免密登陆;在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道,实现对现有加解密算法的国密替代,保障了任意两个待部署节点之间通信认证的安全。
在其中一个实施例中,所述步骤S130的方法,具体操作包括:
步骤S1300、在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道。
其中,所述步骤S1300的方法,具体操作包括:
将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法;具体地,将OpenSSL源码的cipher.c密码算法文件中的密码替换为SM2/SM3/SM4国密算法;
利用OpenSSL生成国密算法SM2/SM4对应的密钥。
步骤S1301、第二待部署节点node2向CA机构(Certificate Authority)申请数字证书C1;其中,第二待部署节点node2为ceph分布式存储集群的其中一个待部署节点。
步骤S1302、第一待部署节点node1向第二待部署节点node2发送SSL信息;其中,SSL信息包括第一待部署节点node1支持的SSL协议的版本及国密算法列表,第一待部署节点node1为ceph分布式存储集群的其中另一个待部署节点。
步骤S1303、第二待部署节点node2接收SSL信息,向第一待部署节点第一待部署节点node1回应使用的SSL协议的版本及加密算法,并产生随机数R1,从第二待部署节点node2的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C1发送给第一待部署节点node1。
步骤S1304、验证第一待部署节点node1接收到的数字证书C1是否合法;若是,则转入步骤S1305;若否,则与第二待部署节点node2拒绝与第一待部署节点node1连接。
其中,第一待部署节点node1接收SM2公钥及数字证书C1后,通过CA机构以及国密SM3哈希算法验证数字证书C1的合法性及完整性,包括证书是否过期、是否已经被吊销、是否可信,如果上述验证都没有问题,则转入步骤S135;如果上述验证没有通过,则第一待部署节点node1返回不安全的警告,然后第二待部署节点node2拒绝与第一待部署节点node1连接,从而有效防止黑客冒充,提高了第一待部署节点node1及第二待部署节点node2之间连接的可靠性和安全性。
步骤S1305、第一待部署节点node1向第二待部署节点node2发送第一待部署节点node1支持的SM4国密算法方案信息给第二待部署节点node2;SM4国密算法方案信息为需要使用SM4国密算法给后续数据通信进行加密的方案信息,其通过对OpenSSL源码中算法库进行修改后形成。
步骤S1306、第二待部署节点node2接收SM4国密算法方案信息后,同意使用SM4国密算法对通信报文进行加解密,并将同意使用SM4国密算法对通信报文进行加解密的信息发送给客户端;其中,通信报文为数据通信中产生的通信数据信息,由于SM4国密算法的加密效率高,第二待部署节点node2根据加密效率选择同意使用SM4国密算法对通信报文进行加解密。
步骤S1307、第一待部署节点node1根据随机数R1生成随机码A,随机码A作为国密算法SM4加密的密钥,并使用SM2公钥对随机码A进行加密,获得加密文件A1,并将加密文件A1发送给第二待部署节点node2。
步骤S1308、第二待部署节点node2使用SM2私钥对加密文件A1进行解密,获得国密算法SM4的密钥A。
步骤S1309、由于第一待部署节点node1与第二待部署节点node2之间基于国密算法SM3/SM4的可信通道已经建立,通过国密算法SM4的密钥A对通信报文进行加解密,进行SSH通信,以保障第一待部署节点node1与第二待部署节点node2通信中数据信息的安全。
在其中一个实施例中,所述步骤S1309之后,还包括
步骤S1310、通过国密SM3哈希算法验证第一待部署节点node1与第二待部署节点node2之间的数据通信过程中通信报文的完整性。
步骤S140、更新待部署节点的源和依赖,并在其中一个待部署节点安装ceph-ansible工具;具体地,为方便执行ceph可视化一键部署,需要先给各个待部署节点配置对应的源和依赖,如配置阿里云pip源或者对应的Python库,主要用于各安装包的在线下载。
步骤S150、在安装有ceph-ansible工具的待部署节点上设置ceph分布式存储集群中各个待部署节点支持的服务,其中,各个待部署节点支持的服务为MON组件、OSD组件或MDS组件对应的服务,如MON组件对应的服务型为监控服务,OSD组件对应的服务为存储信息服务,MDS组件对应的服务为管理文件元数据服务;通过修改ceph-ansible工具安装目录下的host文件,来对各个待部署节点支持的服务进行设置。
具体地,由于ceph分布式存储集群资源有限,通常一个待部署节点同时作为MON组件、OSD组件、MDS组件来提供服务,在本实施例中,4台物理硬件设备服务器均同时作为MON组件、OSD组件、MDS组件来提供服务,具体修改方法为编辑ceph-ansible工具安装目录下的host文件,默认位置在/etc/ansible/hosts下,在对应的服务下添加需要部署该服务的待部署节点的IP。
步骤S160、对待部署节点进行设置;具体地,设置待部署节点的内网网段、MON网关、指定各待部署节点的日志盘及数据盘,所述内网网段为ceph分布式存储集群内部各个服务对应的MON组件、OSD组件之间通信的网段,所述MON网关为ceph分布式存储集群提供对象存储时对应的网关服务,可设置为MON组件服务所在物理硬件设备服务器的某一网卡名,如ens3;本实施例中,列举出各个待部署节点及各个待部署节点上所有的磁盘信息,包括磁盘类型、大小、名称,选择设置某一磁盘如vda为日志盘或者数据盘的一种;上述所有设置最终体现在位于/ceph/ceph-ansible/group_vars下ansible的变量文件中。
步骤S170、修改ceph-ansible工具安装路径下的配置文件,基于国密算法SM4为ceph分布式存储集群的用户user1及各个待部署节点支持的服务创建一个密钥环keyring,以用于身份认证;ceph分布式存储集群使用共享密钥环进行身份验证,即ceph分布式存储集群可确保用户和各个待部署节点支持的服务拥有密钥环keyring,而用户和各个待部署节点支持的服务亦可确保ceph分布式存储集群持有密钥环keyring的副本,如client.admin用户从命令行调用ceph auth get-or-create-key来生成用户名和密钥环keyring。
当进行加密时,所述步骤S170的方法,具体操作包括:
步骤S1701a、在ceph分布式存储集群的各个待部署节点支持的指定服务所在的物理硬件设备服务器上预置SM4对称加密算法的密钥C2;其中,指定服务为ceph分布式存储集群所包含的MON组件及OSD组件对应的服务;
步骤S1702a、创建监视器密钥环ceph.mon.keyring,对监视器密钥环ceph.mon.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第一监视器密钥环ceph.mon.keyring1;
步骤S1703a、创建管理员密钥环,生成client.admin用户,然后添加client.admin用户到管理员密钥环上,获得client.admin用户密钥环ceph.client.admin.keyring;
步骤S1704a、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第一认证密钥环ceph.client.admin.keyring1;
步骤S1705a、创建一个bootstrap-osd密钥环,生成client.bootstrap-osd用户,然后添加client.bootstrap-osd用户到bootstrap-osd密钥环上,获得bootstrap-osd密钥环ceph.keyring;
步骤S1706a、对bootstrap-osd密钥环ceph.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第二认证密钥环ceph.keyring1;
步骤S1707a、将client.admin用户密钥环ceph.client.admin.keyring和bootstrap-osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中,获得第二监视器密钥环ceph.mon.keyring11;
步骤S1708a、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥C2加密,获得基于国密算法SM4加密的第三监视器密钥环ceph.mon.keyring111;
步骤S1709a、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤S1701a~S1708a中基于国密算法SM4加密后的密钥环;其中,其他指定服务为ceph分布式存储集群中除MON组件及OSD组件对应的服务以外的服务;
步骤S1710a、创建所述指定服务对应的服务密钥环ceph.service.keyring;
步骤S1711a、对服务密钥环ceph.service.keyring采用国密算法SM4进行加密,获得基于国密算法SM4加密的第三认证密钥环ceph.service.keyring1;
步骤S1712a、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法SM4加密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证,以保证认证的密钥环keyring的安全,其中,上述步骤中创建的密钥环采用国密算法SM4进行加解密处理后,即使在密钥环keying泄露的情况下,也不会造成信息泄露,保障用户隐私安全。
由于一般ceph分布式存储集群默认用户及各个待部署节点支持的服务之间认证的密钥环是随机产生的40位字符串,明文显示,一旦泄露,就可以冒充真实用户或服务获取集群的信息,而将密钥环采用对称加密算法SM4即国密算法SM4进行加解密,可以保证认证的密钥环的安全,即使在密钥环泄露的情况下,也不会造成信息泄露,进而保障用户隐私安全。
当进行解密时,由于国密算法SM4是对称加密算法,所述步骤S170的方法,具体操作包括:
步骤S1701b、在ceph分布式存储集群的各个待部署节点支持的服务所在的物理硬件设备服务器上预置SM4对称解密算法的密钥C2;其中,指定服务为ceph分布式存储集群所包含的MON组件及OSD组件对应的服务;
步骤S1702b、创建监视器密钥环ceph.mon.keyring,对监视器密钥环ceph.mon.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第一监视器密钥环ceph.mon.keyring1;
步骤S1703b、创建管理员密钥环,生成client.admin用户,然后添加client.admin用户到管理员密钥环上,获得client.admin用户密钥环ceph.client.admin.keyring;
步骤S1704b、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第一认证密钥环ceph.client.admin.keyring1;
步骤S1705b、创建一个bootstrbp-osd密钥环,生成client.bootstrbp-osd用户,然后添加client.bootstrbp-osd用户到bootstrbp-osd密钥环上,获得bootstrbp-osd密钥环ceph.keyring;
步骤S1706b、对bootstrbp-osd密钥环ceph.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第二认证密钥环ceph.keyring1;
步骤S1707b、将client.admin用户密钥环ceph.client.admin.keyring和bootstrbp-osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中,获得第二监视器密钥环ceph.mon.keyring11;
步骤S1708b、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥C2解密,获得基于国密算法SM4解密的第三监视器密钥环ceph.mon.keyring111;
步骤S1709b、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤S1701b~S1708b中基于国密算法SM4解密后的密钥环;其中,其他指定服务为ceph分布式存储集群中除MON组件及OSD组件对应的服务以外的服务;
步骤S1710b、创建所述指定服务对应的服务密钥环ceph.service.keyring;
步骤S1711b、对服务密钥环ceph.service.keyring采用国密算法SM4进行解密,获得基于国密算法SM4加密的第三认证密钥环ceph.service.keyring1;
步骤S1712b、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法SM4解密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证,以保证认证的密钥环的安全,其中,上述步骤中创建的密钥环采用国密算法SM4进行加解密处理后,即使在密钥环泄露的情况下,也不会造成信息泄露,保障用户隐私安全。
步骤S180、通过ceph-ansible工具实现ceph分布式存储集群一键部署;具体地,在完成步骤S110~步骤S180后,ceph分布式存储集群的各项配置要求及环境条件均已设置完成,点击一键部署即可采用ceph-ansible工具结合步骤S110~步骤S180开始部署,通过基于国密算法SM2/SM3/SM4的SSH免密登录,实现对各个待部署节点部署指令的下发。
如图4所示,在其中一个实施例中,所述步骤S180之后,还包括:
步骤S190、查询ceph分布式存储集群的部署状态,并对ceph分布式存储集群部署日志进行打印;其中,采用ceph-s查询部署中ceph分布式存储集群的状态,并收集部署过程中的日志打印到显示界面。
如图5所示,在其中一个实施例中,所述步骤S180之后,还包括:
步骤S200、获取新增的待部署节点及新增的待部署节点支持的服务,对ceph分布式存储集群进行扩容;在实现ceph分布式存储集群可视化一键部署的基础上,可通过对ceph分布式存储集群进行扩容,操作简单,部署效率和成功率大大提高。
具体地,所述步骤S200的方法,具体操作包括:
步骤S210、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机;
步骤S220、获取新增的ceph分布式存储集群的待部署节点,其中,新增的ceph分布式存储集群的待部署节点为预设网段内能ping通的物理硬件设备服务器和/或虚拟机对应的节点中除去已经部署完成后的节点。
步骤S230、重复执行步骤S130~步骤S180,实现对ceph分布式存储集群的可视化一键扩容操作;在实现ceph分布式存储集群可视化一键部署的基础上,通过对ceph分布式存储集群进行扩容,操作简单,部署效率和成功率大大提高;其中,步骤S130~步骤S180出现的待部署节点为新增待部署节点,出现的待部署节点支持的服务为新增的待部署节点支持的服务。
如图6所示,为了更加清晰本发明的技术方案,下面再阐述优选实施例。
步骤S110、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机;
步骤S120、获取ceph分布式存储集群的待部署节点;
步骤S120-1、关闭ceph分布式存储集群的待部署节点对应的防火墙服务;
步骤S120-2、将ceph分布式存储集群的时间进行同步;
步骤S130、基于国密算法SM2/SM3/SM4实现ceph分布式存储集群的待部署节点之间的免密登陆;
步骤S140、更新待部署节点的源和依赖,并在其中一个待部署节点安装ceph-ansible工具;
步骤S150、在安装有ceph-ansible工具的待部署节点上设置ceph分布式存储集群中各个待部署节点支持的服务;
步骤S160、对待部署节点进行设置;
步骤S170、修改ceph-ansible工具安装路径下的配置文件,基于国密算法SM4为ceph分布式存储集群的用户user1及各个待部署节点支持的服务创建一个密钥环keyring;
步骤S180、通过ceph-ansible工具实现ceph分布式存储集群一键部署;
步骤S190、查询ceph分布式存储集群的部署状态,并对ceph分布式存储集群部署日志进行打印;
步骤S200、获取新增的待部署节点及新增的待部署节点支持的服务,对ceph分布式存储集群进行扩容。
本发明具体实施时,首先通过在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道,实现对现有加解密算法的国密替代,保障了任意两个待部署节点之间通信认证的安全;然后通过对ceph分布式存储集群用户及各待部署节点支持的服务之间认证的密钥环采用国密算法SM4进行加解密,可以保证认证的密钥环的安全,即使在密钥环泄露的情况下,也不会造成信息泄露,保障用户隐私安全;最后通过一键部署方式配合采用ceph-ansible工具,实现对各个待部署节点部署指令的下发,完成ceph分布式存储集群的可视化一键部署操作;另外,在实现ceph分布式存储集群可视化一键部署的基础上,通过对ceph分布式存储集群进行扩容,操作简单,部署效率和成功率大大提高。
综上所述,本发明一种基于国密算法的ceph可视化一键部署方法通过在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道,实现对现有加解密算法的国密替代,保障了任意两个待部署节点之间通信认证的安全;然后通过对ceph分布式存储集群用户及各待部署节点支持的服务之间认证的密钥环采用国密算法SM4进行加解密,可以保证认证的密钥环的安全,保障用户隐私安全;最后通过一键部署方式配合采用ceph-ansible工具,实现对各个待部署节点部署指令的下发,完成ceph分布式存储集群的可视化一键部署操作。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。

Claims (9)

1.一种基于国密算法的ceph可视化一键部署方法,其特征在于,包括如下步骤:
步骤S110、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机;
步骤S120、获取ceph分布式存储集群的待部署节点;
步骤S130、基于国密算法SM2/SM3/SM4实现ceph分布式存储集群的待部署节点之间的免密登陆;
步骤S140、更新待部署节点的源和依赖,并在其中一个待部署节点安装ceph-ansible工具;
步骤S150、在安装有ceph-ansible工具的待部署节点上设置ceph分布式存储集群中各个待部署节点支持的服务;
步骤S160、对待部署节点进行设置;
步骤S170、修改ceph-ansible工具安装路径下的配置文件,基于国密算法SM4为ceph分布式存储集群的用户及各个待部署节点支持的服务创建一个密钥环;
步骤S180、通过ceph-ansible工具实现ceph分布式存储集群一键部署;
其中,所述步骤S130的方法,具体操作包括:
步骤S1300、在各个待部署节点基于SSH通信协议进行免密登陆的基础上增加基于国密算法SM2/SM3的TSL/SSL单向认证,并建立基于国密算法SM3/SM4的可信通道;
步骤S1301、第二待部署节点向CA机构申请数字证书C1;其中,第二待部署节点为ceph分布式存储集群的其中一个待部署节点;
步骤S1302、第一待部署节点向第二待部署节点发送SSL信息;
步骤S1303、第二待部署节点接收SSL信息,向第一待部署节点第一待部署节点回应使用的SSL协议的版本及加密算法,并产生随机数R1,从第二待部署节点的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C1发送给第一待部署节点;
步骤S1304、验证第一待部署节点接收到的数字证书C1是否合法;若是,则转入步骤S1305;若否,则与第二待部署节点拒绝与第一待部署节点连接;
步骤S1305、第一待部署节点向第二待部署节点发送第一待部署节点支持的SM4国密算法方案信息给第二待部署节点;
步骤S1306、第二待部署节点接收SM4国密算法方案信息后,同意使用SM4国密算法对通信报文进行加解密,并将同意使用SM4国密算法对通信报文进行加解密的信息发送给客户端;
步骤S1307、第一待部署节点根据随机数R1生成随机码A,随机码A作为国密算法SM4加密的密钥,并使用SM2公钥对随机码A进行加密,获得加密文件A1,并将加密文件A1发送给第二待部署节点;
步骤S1308、第二待部署节点使用SM2私钥对加密文件A1进行解密,获得国密算法SM4的密钥A;
步骤S1309、由于第一待部署节点与第二待部署节点之间基于国密算法SM3/SM4的可信通道已经建立,通过国密算法SM4的密钥A对通信报文进行加解密,进行ssh通信。
2.根据权利要求1所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,所述步骤S180的方法,具体操作包括:
步骤S200、获取新增的待部署节点及新增的待部署节点支持的服务,对ceph分布式存储集群进行扩容。
3.根据权利要求2所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,所述步骤S200的方法,具体操作包括:
步骤S210、根据预设网段查找连通的物理硬件设备服务器和/或虚拟机;
步骤S220、获取新增的ceph分布式存储集群的待部署节点,其中,新增的ceph分布式存储集群的待部署节点为在预设网段内能ping通的物理硬件设备服务器和/或虚拟机对应的节点中除去已经部署完成后的节点;
步骤S230、重复执行步骤S130~步骤S180,实现对ceph分布式存储集群的可视化一键扩容操作。
4.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,所述步骤S180之后,还包括:
步骤S190、查询ceph分布式存储集群的部署状态,并对ceph分布式存储集群部署日志进行打印。
5.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,所述步骤S120之后,还包括:
步骤S120-1、关闭ceph分布式存储集群的待部署节点对应的防火墙服务。
6.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于:所述步骤S120之后,还包括:
步骤S120-2、将ceph分布式存储集群的时间进行同步。
7.根据权利要求1所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,所述步骤S1309之后,还包括:
步骤S1310、通过国密SM3哈希算法验证第一待部署节点与第二待部署节点之间的数据通信过程中通信报文的完整性。
8.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,当进行加密时,所述步骤S170的方法,具体操作包括:
步骤S1701a、在ceph分布式存储集群的各个待部署节点支持的指定服务所在的物理硬件设备服务器上预置SM4对称加密算法的密钥C2;其中,指定服务为ceph分布式存储集群所包含的MON组件及OSD组件对应的服务;
步骤S1702a、创建监视器密钥环ceph.mon.keyring,对监视器密钥环ceph.mon.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第一监视器密钥环ceph.mon.keyring1;
步骤S1703a、创建管理员密钥环,生成client.admin用户,然后添加client.admin用户到管理员密钥环上,获得client.admin用户密钥环ceph.client.admin.keyring;
步骤S1704a、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第一认证密钥环ceph.client.admin.keyring1;
步骤S1705a、创建一个bootstrap-osd密钥环,生成client.bootstrap-osd用户,然后添加client.bootstrap-osd用户到bootstrap-osd密钥环上,获得bootstrap-osd密钥环ceph.keyring;
步骤S1706a、对bootstrap-osd密钥环ceph.keyring采用预置的密钥C2加密,获得基于国密算法SM4加密的第二认证密钥环ceph.keyring1;
步骤S1707a、将client.admin用户密钥环ceph.client.admin.keyring和bootstrap-osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中,获得第二监视器密钥环ceph.mon.keyring11;
步骤S1708a、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥C2加密,获得基于国密算法SM4加密的第三监视器密钥环ceph.mon.keyring111;
步骤S1709a、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤S1701a~S1708a中基于国密算法SM4加密后的密钥环;其中,其他指定服务为ceph分布式存储集群中除MON组件及OSD组件对应的服务以外的服务;
步骤S1710a、创建所述指定服务对应的服务密钥环ceph.service.keyring;
步骤S1711a、对服务密钥环ceph.service.keyring采用国密算法SM4进行加密,获得基于国密算法SM4加密的第三认证密钥环ceph.service.keyring1;
步骤S1712a、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法SM4加密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证。
9.根据权利要求1或2所述的一种基于国密算法的ceph可视化一键部署方法,其特征在于,当进行解密时,所述步骤S170的方法,具体操作包括:
步骤S1701b、在ceph分布式存储集群的各个待部署节点支持的服务所在的物理硬件设备服务器上预置SM4对称解密算法的密钥C2;其中,指定服务为ceph分布式存储集群所包含的MON组件及OSD组件对应的服务;
步骤S1702b、创建监视器密钥环ceph.mon.keyring,对监视器密钥环ceph.mon.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第一监视器密钥环ceph.mon.keyring1;
步骤S1703b、创建管理员密钥环,生成client.admin用户,然后添加client.admin用户到管理员密钥环上,获得client.admin用户密钥环ceph.client.admin.keyring;
步骤S1704b、对client.admin用户密钥环ceph.client.admin.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第一认证密钥环ceph.client.admin.keyring1;
步骤S1705b、创建一个bootstrbp-osd密钥环,生成client.bootstrbp-osd用户,然后添加client.bootstrbp-osd用户到bootstrbp-osd密钥环上,获得bootstrbp-osd密钥环ceph.keyring;
步骤S1706b、对bootstrbp-osd密钥环ceph.keyring采用预置的密钥C2解密,获得基于国密算法SM4解密的第二认证密钥环ceph.keyring1;
步骤S1707b、将client.admin用户密钥环ceph.client.admin.keyring和bootstrbp-osd密钥环ceph.keyring添加到监视器密钥环ceph.mon.keyring中,获得第二监视器密钥环ceph.mon.keyring11;
步骤S1708b、对第二监视器密钥环ceph.mon.keyring11采用预置的密钥C2解密,获得基于国密算法SM4解密的第三监视器密钥环ceph.mon.keyring111;
步骤S1709b、在ceph分布式存储集群的其他指定服务所在的待部署节点上复制步骤S1701b~S1708b中基于国密算法SM4解密后的密钥环;其中,其他指定服务为ceph分布式存储集群中除MON组件及OSD组件对应的服务以外的服务;
步骤S1710b、创建所述指定服务对应的服务密钥环ceph.service.keyring;
步骤S1711b、对服务密钥环ceph.service.keyring采用国密算法SM4进行解密,获得基于国密算法SM4加密的第三认证密钥环ceph.service.keyring1;
步骤S1712b、ceph分布式存储集群中用户和各个待部署节点支持的服务之间的认证为采用基于国密算法SM4解密后的第一监视器密钥环ceph.mon.keyring1、第一认证密钥环ceph.client.admin.keyring1、第二认证密钥环ceph.keyring1、第三监视器密钥环ceph.mon.keyring111或第三认证密钥环ceph.service.keyring1进行认证。
CN202110916711.3A 2021-08-11 2021-08-11 一种基于国密算法的ceph可视化一键部署方法 Active CN113810373B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110916711.3A CN113810373B (zh) 2021-08-11 2021-08-11 一种基于国密算法的ceph可视化一键部署方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110916711.3A CN113810373B (zh) 2021-08-11 2021-08-11 一种基于国密算法的ceph可视化一键部署方法

Publications (2)

Publication Number Publication Date
CN113810373A CN113810373A (zh) 2021-12-17
CN113810373B true CN113810373B (zh) 2023-04-07

Family

ID=78893488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110916711.3A Active CN113810373B (zh) 2021-08-11 2021-08-11 一种基于国密算法的ceph可视化一键部署方法

Country Status (1)

Country Link
CN (1) CN113810373B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114266060B (zh) * 2021-12-28 2024-03-26 航天科工智能运筹与信息安全研究院(武汉)有限公司 一种模型容器加密与部署方法
CN117527193B (zh) * 2023-10-20 2024-07-16 合芯科技有限公司 一种基于国密ceph对象存储的加密方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104735068A (zh) * 2015-03-24 2015-06-24 江苏物联网研究发展中心 基于国密的sip安全认证的方法
CN111865939A (zh) * 2020-07-02 2020-10-30 上海缔安科技股份有限公司 一种点对点国密隧道建立方法及装置
CN112422507A (zh) * 2020-10-19 2021-02-26 北京电子科技学院 一种基于标识算法的国密ssl加密方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103338215B (zh) * 2013-07-26 2016-12-28 中金金融认证中心有限公司 基于国密算法建立tls通道的方法
CN105162808B (zh) * 2015-10-19 2019-09-06 成都卫士通信息产业股份有限公司 一种基于国密算法的安全登录方法
CN106445741B (zh) * 2016-09-28 2019-08-02 郑州云海信息技术有限公司 一种基于ceph实现oracle数据库容灾备份方法
CN110635906B (zh) * 2019-11-01 2022-06-10 大唐高鸿信安(浙江)信息科技有限公司 一种分布式块存储系统的密钥管理方法及装置
CN111857735A (zh) * 2020-07-23 2020-10-30 浪潮云信息技术股份公司 一种基于Rook部署Ceph的Crush创建方法及系统
CN112114746A (zh) * 2020-08-27 2020-12-22 紫光云(南京)数字技术有限公司 一种分布式存储集群的自动化部署方法
CN112860374A (zh) * 2021-01-30 2021-05-28 柏科数据技术(深圳)股份有限公司 快速部署Ceph方法、装置、服务器及存储介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104735068A (zh) * 2015-03-24 2015-06-24 江苏物联网研究发展中心 基于国密的sip安全认证的方法
CN111865939A (zh) * 2020-07-02 2020-10-30 上海缔安科技股份有限公司 一种点对点国密隧道建立方法及装置
CN112422507A (zh) * 2020-10-19 2021-02-26 北京电子科技学院 一种基于标识算法的国密ssl加密方法

Also Published As

Publication number Publication date
CN113810373A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
CN111416807B (zh) 数据获取方法、装置及存储介质
US9912644B2 (en) System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
CN113572740B (zh) 一种基于国密的云管理平台认证加密方法
CN109302369B (zh) 一种基于密钥验证的数据传输方法及装置
CN113810373B (zh) 一种基于国密算法的ceph可视化一键部署方法
US20050120203A1 (en) Methods, systems and computer program products for automatic rekeying in an authentication environment
US20050010757A1 (en) Public-key infrastructure in network management
CN113992346B (zh) 一种基于国密加固的安全云桌面的实现方法
US20230037520A1 (en) Blockchain schema for secure data transmission
CN113779619B (zh) 一种基于国密算法的ceph分布式对象存储系统加解密方法
CN110839240A (zh) 一种建立连接的方法及装置
CN104767766A (zh) 一种Web Service接口验证方法、Web Service服务器、客户端
US11601402B1 (en) Secure communications to multiple devices and multiple parties using physical and virtual key storage
CN110581829A (zh) 通信方法及装置
CN111639357A (zh) 一种加密网盘系统及其认证方法和装置
CN109687956B (zh) 一种统一给客户提供密钥管理和密钥运算服务系统
WO2023116266A1 (zh) 通信加密方法、系统和装置
CN116366262A (zh) 双SSL证书web服务器设置方法和web服务系统
CN107733929B (zh) 认证方法和认证系统
CN115065530A (zh) 一种可信数据交互方法及系统
CN112422289B (zh) 一种NB-IoT终端设备的数字证书离线安全分发方法和系统
Albrecht et al. Share with Care: Breaking E2EE in Nextcloud
CN109981264B (zh) 一种应用密钥生成方法及密码机设备组件
CA3158465A1 (en) Transmission of secure information in a content distribution network
CA3210990C (en) End to end encryption with roaming capabilities

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant