CN113836553A - 一种密码算法动态重构的分布式存储数据保护方法 - Google Patents
一种密码算法动态重构的分布式存储数据保护方法 Download PDFInfo
- Publication number
- CN113836553A CN113836553A CN202111108390.0A CN202111108390A CN113836553A CN 113836553 A CN113836553 A CN 113836553A CN 202111108390 A CN202111108390 A CN 202111108390A CN 113836553 A CN113836553 A CN 113836553A
- Authority
- CN
- China
- Prior art keywords
- user
- metadata
- data
- information
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Abstract
本发明涉及一种密码算法动态重构的分布式存储数据保护方法,属于安全领域。本发明应用于分布式存储系统中,在传统的元数据服务器MDS、客户端以及对象存储设备OSD之外,添加了具有身份注册、身份认证以及节点信息监管等功能的管理代理MA,并利用密码算法动态重构技术加密保护系统中的元数据MD,达到对分布式存储系统存储数据的保护。本发明的技术方案比直接对存储集群上的数据进行加解密的技术方案性能损耗更低,更适用于对安全性要求较高的分布式存储系统中。
Description
技术领域
本发明属于数据安全领域,具体涉及一种密码算法动态重构的分布式存储数据保护方法。
背景技术
分布式存储系统将数据分散存储到多个存储服务器上,并将这些分散的存储资源构成一个虚拟的存储设备,对这个虚拟的存储设备进行管理。它具有可扩展性、低成本、高性能等优点,可以较好地解决当前各种用户对不同种类的大量数据存储的需求。当前的分布式存储系统一般需要包括如下的部件:客户端、元数据服务器以及存储集群。其中客户端供用户使用,用户可以进行数据读写等操作;元数据服务器用于保存元数据,供客户端和存储集群在数据读写时访问;存储集群用于为用户保存各种数据。
在分布式存储系统中,当用户将数据存储到分布式存储系统的时候,就面临一些安全性问题,比如数据比较敏感,必须进行加密存储。解决方法一般可分为两种,分别是客户端加密以及服务器端加密。客户端加密是直接在客户端对数据进行加密后传输给存储集群保存,在传输过程中的数据都是加密的;服务器端加密则是客户端传送数据到存储集群后在存储集群上进行加密,则传输中的数据为明文,一般在进行数据的传输时需要用HTTPS协议进行保护。这两种方式虽然可以一定程度上保证分布式存储系统的安全性,但当用户需要保存较大的数据到分布式存储系统中时,在客户端或服务器端对数据进行加解密操作都会带来很大的加密数据管理损耗,大大降低分布式存储系统的性能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种密码算法动态重构的分布式存储数据保护方法,以解决用户需要保存较大的数据到分布式存储系统中时,在客户端或服务器端对数据进行加解密操作都会带来很大的加密数据管理损耗,大大降低分布式存储系统的性能的问题。
(二)技术方案
为了解决上述技术问题,本发明提出一种密码算法动态重构的分布式存储数据保护方法,该方法应用于分布式存储系统,该系统包括用户A、管理代理MA、元数据服务器MDS和对象存储设备OSD;管理代理MA进行身份注册、身份认证以及节点信息监管,利用密码算法动态重构技术加密系统中的元数据,达到对分布式存储系统存储数据的保护;对于不同的用户A,在进行普通用户的注册时,管理代理MA为其在算法池中选择并分配一个加密算法E供其在之后的元数据加解密中使用;用户A在分布式存储系统中进行数据读写时,根据不同的用户A,元数据服务器MDS利用密码算法动态重构提供密码算法E对存储文件的元数据MD进行加解密,再根据元数据MD的信息对对象存储设备OSD中对应位置的数据进行读写。
进一步地,所述用户A注册的步骤包括:
S11、用户A将需要进行注册的用户信息M传输给管理代理MA;
S12、管理代理MA收到注册信息M,验证M的正确性,并从可重构加密算法池为用户A随机分配密码算法E,得到密码算法标识符Alg;
S13、管理代理MA将用户信息以及密码算法E所对应的密码算法标识符Alg发送给元数据服务器MDS;
S14、元数据服务器MDS收到用户信息以及密码算法标识符Alg,为用户A分配好数据加解密密钥KA,将用户信息以及密钥KA保存在元数据服务器MDS中;
S15、元数据服务器MDS向管理代理MA返回密钥分配成功信息;
S16、管理代理MA收到密钥分配成功信息,并将注册成功信息以及密码算法E所对应的密码算法标识符Alg发送给用户A;
S17、用户A收到并保存密码算法标识符Alg到本地,用户注册完成。
进一步地,所述用户信息M包括用户名、口令以及随机数。
进一步地,所述用户A写数据的步骤如下:
S21、用户A与管理代理MA进行身份认证,认证通过后,管理代理MA向用户发送访问凭证以保证通信安全;
S22、管理代理MA向用户A发送对象存储设备OSD的存储节点分布信息,用户A对数据信息进行分析得到元数据MD;
S23、用户A利用访问凭证与元数据服务器MDS进行认证,认证通过后,用户A将元数据MD以及对应的密码算法标识符Alg发送给MDS,并且请求向对象存储设备OSD写入数据;
S24、元数据服务器MDS收到元数据MD以及密码算法标识符Alg,利用密码算法动态重构来得到密码算法E,并从后台得到与用户A对应的密钥KA,利用密码算法E和密钥KA将元数据MD进行加密后保存在MDS中,并将元数据的存储位置信息记录保存在MDS后台,给用户A发送同意写数据消息;
S25、用户A收到消息后,利用访问凭证与对象存储设备OSD进行认证,认证通过后,用户A根据生成的元数据MA信息,向对象存储设备OSD中写入数据,当向对象存储设备OSD中写完数据后,对象存储设备OSD向用户A返回写入文件成功的消息,用户A写入文件完成。
进一步地,OSD的存储节点分布信息包括OSD各节点存储大小和分布位置。
进一步地,所述用户A读数据的步骤如下:
S31、用户A与管理代理MA进行身份认证,获取相关访问凭证以保证通信安全;
S32、用户A利用访问凭证与元数据服务器MDS进行认证;认证通过后,用户A向元数据服务器MDS发送密码算法标识符Alg以及对于元数据的访问请求;元数据服务器MDS获得密码算法标识符Alg,利用密码算法动态重构技术生成得到密码算法E,并从后台得到用户A对应使用的密钥KA;
S33、元数据服务器MDS根据存储在MDS后台的元数据的存储位置信息,利用密码算法E和密钥KA对用户A需要访问的加密存储的元数据进行解密得到元数据MD,并将元数据MD传送给用户A;
S34、用户A获得需要访问的文件的元数据MD,用访问凭证与对象存储设备OSD进行认证;
S35、认证成功后用户A根据获得的元数据MD向对象存储设备OSD发送请求,对象存储设备OSD收到请求并向用户A发送数据,用户A得到需要访问的数据。
进一步地,算法E根据可重构加密算法池中配置的对称加密算法自由选择。
进一步地,所述元数据服务器MDS在分布式存储系统中负责存储和管理元数据,包括在对象存储设备OSD中存储数据的存储位置和数据大小信息,并且具有可重构加密算法模块和密钥管理功能;所述对象存储设备OSD在分布式系统中提供数据存储和安全访问任务;所述元数据MD描述数据的信息,包括数据大小、数据的备份数、每块数据存储在对象存储设备OSD中的位置信息。
进一步地,所述可重构加密算法模块支持多种杂凑、对称和非对称密码算法,支持密码算法毫秒级切换,支持高速加解密,支持根据需要向算法池中自由配置所需算法。
进一步地,所述管理代理MA作为单独的管理代理服务器,或集成于元数据服务器MDS中。
(三)有益效果
本发明提出一种密码算法动态重构的分布式存储数据保护方法,本发明利用了可动态重构的密码算法,可以为分布式存储系统的不同用户提供不同的密码算法。在不同用户进行存储文件数据的读写时,使用不同的对称加密算法加解密存储文件的元数据,可以使得分布式存储系统中的数据安全性得到保护,提升整体分布式存储系统的安全性。
本方案与直接对存储数据进行加解密操作的方案相比,不会出现过高的加密数据管理损耗,且可以使得整个分布式系统的安全性更高,满足用户保存敏感数据的需求。
附图说明
图1为本发明系统整体示意图;
图2为本发明实施例系统示意图;
图3为本发明实施例的用户注册流程图;
图4为本发明实施例的用户写数据流程图;
图5为本发明实施例的用户读数据流程图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
基于以上问题,本发明目的在于提供一种密码算法动态重构的分布式存储数据保护方法,在分布式存储系统中,利用密码算法动态重构技术,对于不同的用户可使用不同的密码算法对存储数据的元数据进行加密保护,从而避免了对系统中大规模数据进行加解密操作带来的巨大的性能损失,且提高分布式存储系统的安全性。
一种密码算法动态重构的分布式存储数据保护方法,其包括用户注册部分以及存储数据读写部分:
用户A创建注册时分配密码算法E,包括如下步骤:
S11、用户A将需要进行注册的用户信息M(包括用户名、口令以及随机数等)传输给管理代理MA;
S12、管理代理MA收到注册信息M,验证M的正确性,并从可重构加密算法池为用户A随机分配密码算法E,得到密码算法标识符Alg;
S13、管理代理MA将用户信息以及密码算法E所对应的密码算法标识符Alg发送给元数据服务器MDS;
S14、元数据服务器MDS收到用户信息以及密码算法标识符Alg,为用户A分配好数据加解密密钥KA,将用户信息以及密钥KA保存在元数据服务器MDS中;
S15、元数据服务器MDS向管理代理MA返回密钥分配成功信息;
S16、管理代理MA收到密钥分配成功信息,并将注册成功信息以及密码算法E所对应的密码算法标识符Alg发送给用户A;
S17、用户A收到并保存密码算法标识符Alg到本地,用户注册完成。
用户A的数据写过程,包括如下步骤:
S21、用户A与管理代理MA进行身份认证,认证通过后,管理代理MA向用户发送访问凭证以保证通信安全;
S22、管理代理MA向用户A发送对象存储设备OSD的存储节点分布信息(OSD各节点存储大小、分布位置等),用户A对数据信息进行分析得到元数据MD;
S23、用户A利用访问凭证与元数据服务器MDS进行认证,认证通过后,用户A将元数据MD以及对应的密码算法标识符Alg发送给MDS,并且请求向对象存储设备OSD写入数据;
S24、元数据服务器MDS收到元数据MD以及密码算法标识符Alg,利用密码算法动态重构来得到密码算法E,并从后台得到与用户A对应的密钥KA,利用密码算法E和密钥KA将元数据MD进行加密后保存在MDS中,并将元数据的存储位置信息记录保存在MDS后台,给用户A发送同意写数据消息;
S25、用户A收到消息后,利用访问凭证与对象存储设备OSD进行认证,认证通过后,用户A根据生成的元数据MA信息,向对象存储设备OSD中写入数据,当向对象存储设备OSD中写完数据后,对象存储设备OSD向用户A返回写入文件成功的消息,用户A写入文件完成。
用户A的数据读过程,包括如下步骤:
S31、用户A与管理代理MA进行身份认证,获取相关访问凭证以保证通信安全;
S32、用户A利用访问凭证与元数据服务器MDS进行认证。认证通过后,用户A向元数据服务器MDS发送密码算法标识符Alg以及对于元数据的访问请求。元数据服务器MDS获得密码算法标识符Alg,利用密码算法动态重构技术生成得到密码算法E,并从后台得到用户A对应使用的密钥KA;
S33、元数据服务器MDS根据存储在MDS后台的元数据的存储位置信息,利用密码算法E和密钥KA对用户A需要访问的加密存储的元数据进行解密得到元数据MD,并将元数据MD传送给用户A;
S34、用户A获得需要访问的文件的元数据MD,用访问凭证与对象存储设备OSD进行认证;
S35、认证成功后用户A根据获得的元数据MD向对象存储设备OSD发送请求,对象存储设备OSD收到请求并向用户A发送数据,用户A得到需要访问的数据。
其中算法E可根据可重构加密算法池中可配置的对称加密算法自由选择。
所述元数据服务器MDS在分布式存储系统中负责存储和管理元数据,包括在对象存储设备OSD中存储数据的存储位置、数据大小等数据信息,并且具有可重构加密算法模块和密钥管理功能;所述对象存储设备OSD在分布式系统中提供数据存储和安全访问等任务;所述元数据MD是描述数据的数据,包括数据的基本信息:数据大小、数据的备份数、每块数据存储在对象存储设备OSD中的位置等描述性信息,为存储的数据提供在计算、存储、成本、质量、安全、模型等治理领域上的数据支持;所述的管理代理MA可作为单独的管理代理服务器,也可集成于元数据服务器MDS中,为元数据服务器的一个模块组件,其在分布式存储系统中提供注册、身份认证、监管节点健康状态以及分配数据等服务。
所述可重构加密算法模块可支持多种杂凑、对称和非对称密码算法,可实现密码算法毫秒级切换,可实现高速加解密,可根据需要向算法池中自由配置所需算法。
本发明的有益效果是:利用了可动态重构的密码算法,可以为分布式存储系统的不同用户提供不同的密码算法。在不同用户进行存储文件数据的读写时,使用不同的对称加密算法加解密存储文件的元数据,可以使得分布式存储系统中的数据安全性得到保护,提升整体分布式存储系统的安全性。
实施例1:
一种密码算法动态重构的分布式存储数据保护方法,可以用于Ceph、HDFS、KFS以及GFS等分布式存储系统中,该系统如图2所示。以Ceph文件分布式存储系统,以及其元数据服务器部署于可重构加密环境下为例,包括以下步骤:
如图3-5所示,分布式存储系统的用户注册流程,具体步骤如下:
(1)用户A将需要进行注册的用户信息M(包括用户名、口令以及随机数等)传输给监控器(Monitor,Mon);
(2)监控器Mon收到注册信息M,验证M的正确性,并从可重构加密算法池为用户A随机分配密码算法E,得到密码算法标识符Alg;
(3)监控器Mon将用户信息以及密码算法E所对应的密码算法标识符Alg发送给元数据服务器MDS;
(4)元数据服务器MDS收到用户信息以及密码算法标识符Alg,为用户A分配好密钥KA,将用户信息以及密钥KA保存在元数据服务器MDS中;
(5)元数据服务器MDS向监控器Mon返回密钥分配成功信息;
(6)监控器Mon收到密钥分配成功信息,保存用户注册信息,并将注册成功信息以及密码算法E所对应的密码算法标识符Alg发送给用户A;
(7)用户A收到并保存密码算法标识符Alg到本地,用户注册完成。
用户A的数据写过程,具体步骤如下:
(1)用户A利用CephX认证协议与监控器Mon进行身份认证,认证通过后,监控器Mon给用户A发送相关访问凭证以保证通信安全;
(2)监控器Mon向用户A发送对象存储节点分布信息(OSD各节点存储大小、分布位置等),用户A对数据信息进行计算分析,最终生成得到元数据MD;
(3)用户A利用访问凭证与元数据服务器MDS进行认证,认证通过后,用户A将元数据MD以及对应的密码算法标识符Alg发送给MDS,并且请求向对象存储设备OSD写入数据;
(4)元数据服务器MDS收到元数据MD以及密码算法标识符Alg,利用密码算法动态重构来得到密码算法E,并从后台得到与用户A对应的密钥KA,利用密码算法E和密钥KA将元数据MD进行加密后保存在MDS中,并将元数据的存储位置信息记录保存在MDS后台,给用户A发送同意写数据消息;
(5)用户A收到消息后,利用访问凭证与OSD进行认证,认证通过后,向OSD中写入数据,当向OSD中写完数据后,OSD向用户A返回写入文件成功的消息,用户A写入文件完成。
用户A的数据读过程,具体步骤如下:
(1)用户A利用CephX认证协议与监控器Mon进行身份认证,获取相关访问凭证以保证通信安全;
(2)用户A利用访问凭证与元数据服务器MDS进行认证。认证通过后,用户A向元数据服务器MDS发送密码算法标识符Alg以及对于元数据的访问请求。元数据服务器MDS获得密码算法标识符Alg,利用密码算法动态重构技术生成得到密码算法E,并从MDS后台得到用户A对应使用的密钥KA;
(3)元数据服务器MDS根据MDS后台存储的元数据存储位置信息,利用密码算法E和密钥KA对用户A需要访问的元数据进行解密得到元数据MD,并将元数据MD传送给用户A;
(4)用户A获得需要访问的文件的元数据MD,用访问凭证与对象存储设备OSD进行认证;
(5)认证成功后用户A根据获得的元数据MD向对象存储设备OSD发送请求,对象存储设备OSD收到请求并向用户A发送数据,用户A得到需要访问的数据。
所述Ceph分布式存储系统,是一种为优秀的性能、可靠性和可扩展性而设计的统一的分布式文件系统,可以同时提供对象存储、块存储和文件系统存储三种功能,以便满足不同应用需求。Ceph分布式存储系统主要组件包括客户端、元数据服务器、监控器以及存储集群等。其中监控器主要功能是维护整个集群健康状态,提供一致性的决策,在本实施例中提供注册、身份认证、监管节点健康状态以及分配数据等服务;元数据服务器管理上层对象有关的元数据,起到协调客户端与存储节点之间数据交互的作用:在客户端请求读数据时,需要先从元数据服务器得到元数据,并从元数据得到数据的存储位置等信息,才能从存储节点得到数据,在客户端请求写数据时,需要先计算得到元数据,并存放在元数据服务器后才能继续写入数据,元数据服务器在本实施例中还提供元数据加解密以及密钥管理功能;存储集群在分布式系统中提供数据存储和安全访问等任务。
所述CephX认证模块为Ceph分布式存储系统提供的身份认证模块,用共享密钥来认证,即客户端和监视器集群各自都有客户端密钥的副本,在认证成功之后,监控器向用户返回访问凭证,用以保证之后的用户通信。
所述加密和解密过程中使用的密码算法E为对称加密算法,加密实现的具体算法信息仅由分布式存储系统掌握。
本发明提出的技术方案中,利用动态重构的密码算法应用于分布式存储系统的数据存储的加解密中,可以在用户注册时分配好不同的密码算法。之后用户在分布式存储系统中进行数据读写时,元数据服务器可以基于不同的用户来重构使用不同的对称加密算法,进行相关元数据的加解密,再根据元数据来查找需要的数据。本方案与直接对存储数据进行加解密操作的方案相比,不会出现过高的加密数据管理损耗,且可以使得整个分布式系统的安全性更高,满足用户保存敏感数据的需求。
实施例2:
一种密码算法动态重构的分布式存储数据保护方法,在分布式存储系统中,添加了可进行身份注册、身份认证以及节点信息监管的管理代理,利用密码算法动态重构技术加密保护系统中的元数据,达到对分布式存储系统存储数据的保护。对于不同的用户A,在进行普通用户的注册时,管理代理为其在算法池中选择并分配一个加密算法E供其在之后的元数据加解密中使用;用户A在分布式存储系统中进行数据读写时,根据不同的用户A,系统利用密码算法动态重构提供密码算法E对存储文件的元数据MD进行加解密,再根据元数据MD的信息对对象存储设备OSD中对应位置的数据进行读写,使得整体分布式存储系统中的数据安全性更高。
进一步地,所述的用户A注册时分配密码算法E,包括如下步骤:
(1)用户A将需要进行注册的用户信息M(包括用户名、口令以及随机数等)传输给管理代理MA;
(2)管理代理MA收到注册信息M,验证M的正确性,并从可重构加密算法池为用户A随机分配密码算法E,得到密码算法标识符Alg;
(3)管理代理MA将用户信息以及密码算法E所对应的密码算法标识符Alg发送给元数据服务器MDS;
(4)元数据服务器MDS收到用户信息以及密码算法标识符Alg,为用户A分配好数据加解密密钥KA,将用户信息以及密钥KA保存在元数据服务器MDS中;
(5)元数据服务器MDS向管理代理MA返回密钥分配成功信息;
(6)管理代理MA收到密钥分配成功信息,并将注册成功信息以及密码算法E所对应的密码算法标识符Alg发送给用户A;
(7)用户A收到并保存密码算法标识符Alg到本地,用户注册完成。
进一步地,包括如下步骤:
(1)用户A与管理代理MA进行身份认证,认证通过后,管理代理MA向用户发送访问凭证以获取相关访问凭证以保证通信安全;
(2)管理代理MA向用户A发送对象存储设备OSD的存储节点分布信息(OSD各个节点存储大小、分布位置等),用户A对数据信息进行分析得到元数据MD;
(3)用户A利用访问凭证与元数据服务器MDS进行认证,认证通过后,用户A将元数据MD以及对应的密码算法标识符Alg发送给MDS,并且请求向对象存储设备OSD写入数据;
(4)元数据服务器MDS收到元数据MD以及密码算法标识符Alg,利用密码算法动态重构来得到密码算法E,并从后台得到与用户A对应的密钥KA,利用密码算法E和密钥KA将元数据MD进行加密后保存在MDS中,并将元数据的存储位置信息记录保存在MDS后台,给用户A发送同意写数据消息;
(5)用户A收到消息后,利用访问凭证与对象存储设备OSD进行认证,认证通过后,用户A根据生成的元数据MA信息向对象存储设备OSD中写入数据,当向对象存储设备OSD中写完数据后,对象存储设备OSD向用户A返回写入文件成功的消息,用户A写入文件完成。
进一步地,包括如下步骤:
(1)用户A与管理代理MA进行身份认证,获取相关访问凭证以保证通信安全;
(2)用户A利用访问凭证与元数据服务器MDS进行认证。认证通过后,用户A向元数据服务器MDS发送密码算法标识符Alg以及对于元数据的访问请求。元数据服务器MDS获得密码算法标识符Alg,利用密码算法动态重构技术生成得到密码算法E,并从MDS后台得到用户A对应使用的密钥KA;
(3)元数据服务器MDS根据存储在MDS后台的元数据的存储位置信息,利用密码算法E和密钥KA对用户A需要访问的元数据进行解密得到元数据MD,并将元数据MD传送给用户A;
(4)用户A获得需要访问的文件的元数据MD,用访问凭证与对象存储设备OSD进行认证;
(5)认证成功后用户A根据获得的元数据MD向对象存储设备OSD发送请求,对象存储设备OSD收到请求并向用户A发送数据,用户A得到需要访问的数据。
进一步地,在分布式系统中提供数据存储和安全访问等任务。
进一步地,元数据MD是描述数据的数据,包括数据的基本信息:数据大小、数据的备份数、每块数据存储在对象存储设备OSD中的位置等对数据及信息资源的描述性信息,为存储的数据提供在计算、存储、成本、质量、安全、模型等治理领域上的数据支持;
进一步地,所述的管理代理MA可作为单独的管理代理服务器,也可集成于元数据服务器中,为元数据服务器的一个模块组件。MA在分布式存储系统中提供注册、身份认证、监管节点健康状态以及分配数据等服务。
进一步地,加密算法E可根据杂凑数从可重构加密算法池中可配置的密码算法中随机选择。密码算法可为SM4、DES等对称密码算法。
进一步地,所述的密码算法动态重构可支持多种杂凑、对称和非对称密码算法,可实现密码算法毫秒级切换,可实现高速加解密,可根据需要向算法池中自由配置所需算法。
进一步地,元数据服务器MDS在分布式存储系统中负责存储和管理元数据,包括在对象存储设备OSD中存储数据的存储位置、数据大小等数据信息,并且具有可重构加密算法模块和密钥管理功能。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种密码算法动态重构的分布式存储数据保护方法,其特征在于,该方法应用于分布式存储系统,该系统包括用户A、管理代理MA、元数据服务器MDS和对象存储设备OSD;管理代理MA进行身份注册、身份认证以及节点信息监管,利用密码算法动态重构技术加密系统中的元数据,达到对分布式存储系统存储数据的保护;对于不同的用户A,在进行普通用户的注册时,管理代理MA为其在算法池中选择并分配一个加密算法E供其在之后的元数据加解密中使用;用户A在分布式存储系统中进行数据读写时,根据不同的用户A,元数据服务器MDS利用密码算法动态重构提供密码算法E对存储文件的元数据MD进行加解密,再根据元数据MD的信息对对象存储设备OSD中对应位置的数据进行读写。
2.如权利要求1所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述用户A注册的步骤包括:
S11、用户A将需要进行注册的用户信息M传输给管理代理MA;
S12、管理代理MA收到注册信息M,验证M的正确性,并从可重构加密算法池为用户A随机分配密码算法E,得到密码算法标识符Alg;
S13、管理代理MA将用户信息以及密码算法E所对应的密码算法标识符Alg发送给元数据服务器MDS;
S14、元数据服务器MDS收到用户信息以及密码算法标识符Alg,为用户A分配好数据加解密密钥KA,将用户信息以及密钥KA保存在元数据服务器MDS中;
S15、元数据服务器MDS向管理代理MA返回密钥分配成功信息;
S16、管理代理MA收到密钥分配成功信息,并将注册成功信息以及密码算法E所对应的密码算法标识符Alg发送给用户A;
S17、用户A收到并保存密码算法标识符Alg到本地,用户注册完成。
3.如权利要求2所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述用户信息M包括用户名、口令以及随机数。
4.如权利要求2所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述用户A写数据的步骤如下:
S21、用户A与管理代理MA进行身份认证,认证通过后,管理代理MA向用户发送访问凭证以保证通信安全;
S22、管理代理MA向用户A发送对象存储设备OSD的存储节点分布信息,用户A对数据信息进行分析得到元数据MD;
S23、用户A利用访问凭证与元数据服务器MDS进行认证,认证通过后,用户A将元数据MD以及对应的密码算法标识符Alg发送给MDS,并且请求向对象存储设备OSD写入数据;
S24、元数据服务器MDS收到元数据MD以及密码算法标识符Alg,利用密码算法动态重构来得到密码算法E,并从后台得到与用户A对应的密钥KA,利用密码算法E和密钥KA将元数据MD进行加密后保存在MDS中,并将元数据的存储位置信息记录保存在MDS后台,给用户A发送同意写数据消息;
S25、用户A收到消息后,利用访问凭证与对象存储设备OSD进行认证,认证通过后,用户A根据生成的元数据MA信息,向对象存储设备OSD中写入数据,当向对象存储设备OSD中写完数据后,对象存储设备OSD向用户A返回写入文件成功的消息,用户A写入文件完成。
5.如权利要求4所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,OSD的存储节点分布信息包括OSD各节点存储大小和分布位置。
6.如权利要求2所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述用户A读数据的步骤如下:
S31、用户A与管理代理MA进行身份认证,获取相关访问凭证以保证通信安全;
S32、用户A利用访问凭证与元数据服务器MDS进行认证;认证通过后,用户A向元数据服务器MDS发送密码算法标识符Alg以及对于元数据的访问请求;元数据服务器MDS获得密码算法标识符Alg,利用密码算法动态重构技术生成得到密码算法E,并从后台得到用户A对应使用的密钥KA;
S33、元数据服务器MDS根据存储在MDS后台的元数据的存储位置信息,利用密码算法E和密钥KA对用户A需要访问的加密存储的元数据进行解密得到元数据MD,并将元数据MD传送给用户A;
S34、用户A获得需要访问的文件的元数据MD,用访问凭证与对象存储设备OSD进行认证;
S35、认证成功后用户A根据获得的元数据MD向对象存储设备OSD发送请求,对象存储设备OSD收到请求并向用户A发送数据,用户A得到需要访问的数据。
7.如权利要求1-7任一项所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,算法E根据可重构加密算法池中配置的对称加密算法自由选择。
8.如权利要求1-7任一项所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述元数据服务器MDS在分布式存储系统中负责存储和管理元数据,包括在对象存储设备OSD中存储数据的存储位置和数据大小信息,并且具有可重构加密算法模块和密钥管理功能;所述对象存储设备OSD在分布式系统中提供数据存储和安全访问任务;所述元数据MD描述数据的信息,包括数据大小、数据的备份数、每块数据存储在对象存储设备OSD中的位置信息。
9.如权利要求8所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述可重构加密算法模块支持多种杂凑、对称和非对称密码算法,支持密码算法毫秒级切换,支持高速加解密,支持根据需要向算法池中自由配置所需算法。
10.如权利要求1-7任一项所述的密码算法动态重构的分布式存储数据保护方法,其特征在于,所述管理代理MA作为单独的管理代理服务器,或集成于元数据服务器MDS中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111108390.0A CN113836553B (zh) | 2021-09-22 | 2021-09-22 | 一种密码算法动态重构的分布式存储数据保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111108390.0A CN113836553B (zh) | 2021-09-22 | 2021-09-22 | 一种密码算法动态重构的分布式存储数据保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113836553A true CN113836553A (zh) | 2021-12-24 |
| CN113836553B CN113836553B (zh) | 2023-10-20 |
Family
ID=78960311
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111108390.0A Active CN113836553B (zh) | 2021-09-22 | 2021-09-22 | 一种密码算法动态重构的分布式存储数据保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113836553B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595730A (zh) * | 2013-11-28 | 2014-02-19 | 中国科学院信息工程研究所 | 一种密文云存储方法和系统 |
| US20140304505A1 (en) * | 2013-03-15 | 2014-10-09 | William Johnson Dawson | Abstraction layer for default encryption with orthogonal encryption logic session object; and automated authentication, with a method for online litigation |
| CN105100076A (zh) * | 2015-07-03 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于USB Key的云数据安全系统 |
| CN105515780A (zh) * | 2016-01-12 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 基于量子密钥的身份认证系统和方法 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
| CN110233829A (zh) * | 2019-05-17 | 2019-09-13 | 广东电网有限责任公司信息中心 | 基于分布式存储的保密信息系统及通信方法 |
| CN110532791A (zh) * | 2019-08-27 | 2019-12-03 | 湖南麒麟信安科技有限公司 | 一种针对可移动存储介质的加解密方法及系统 |
| CN110650191A (zh) * | 2019-09-20 | 2020-01-03 | 浪潮电子信息产业股份有限公司 | 一种分布式存储系统的数据读写方法 |
| CN110677237A (zh) * | 2019-11-04 | 2020-01-10 | 郑州轻工业学院 | 一种具有似混沌特性的文件加密方法 |
| CN112152803A (zh) * | 2020-09-15 | 2020-12-29 | 河海大学 | 一种多接收者密文可搜索的基于身份加密方法和系统 |
-
2021
- 2021-09-22 CN CN202111108390.0A patent/CN113836553B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140304505A1 (en) * | 2013-03-15 | 2014-10-09 | William Johnson Dawson | Abstraction layer for default encryption with orthogonal encryption logic session object; and automated authentication, with a method for online litigation |
| CN103595730A (zh) * | 2013-11-28 | 2014-02-19 | 中国科学院信息工程研究所 | 一种密文云存储方法和系统 |
| CN105100076A (zh) * | 2015-07-03 | 2015-11-25 | 浪潮电子信息产业股份有限公司 | 一种基于USB Key的云数据安全系统 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN105515780A (zh) * | 2016-01-12 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 基于量子密钥的身份认证系统和方法 |
| CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
| CN110233829A (zh) * | 2019-05-17 | 2019-09-13 | 广东电网有限责任公司信息中心 | 基于分布式存储的保密信息系统及通信方法 |
| CN110532791A (zh) * | 2019-08-27 | 2019-12-03 | 湖南麒麟信安科技有限公司 | 一种针对可移动存储介质的加解密方法及系统 |
| CN110650191A (zh) * | 2019-09-20 | 2020-01-03 | 浪潮电子信息产业股份有限公司 | 一种分布式存储系统的数据读写方法 |
| CN110677237A (zh) * | 2019-11-04 | 2020-01-10 | 郑州轻工业学院 | 一种具有似混沌特性的文件加密方法 |
| CN112152803A (zh) * | 2020-09-15 | 2020-12-29 | 河海大学 | 一种多接收者密文可搜索的基于身份加密方法和系统 |
Non-Patent Citations (7)
| Title |
|---|
| SAMRAT KUMAR DEY等: "Enhancing the security of cloud computing: Genetic algorithm and QR code approach", 《2017 4TH INTERNATIONAL CONFERENCE ON ADVANCES IN ELECTRICAL ENGINEERING (ICAEE)》, pages 181 - 186 * |
| 冯志华等: "基于PUF的安全固态盘双向认证协议", 《计算机工程与设计》, vol. 41, no. 3, pages 621 - 627 * |
| 刘霞等: "面向云备份系统的多级隐私保护机制", 《计算机工程与设计》, vol. 38, no. 12, pages 3241 - 3246 * |
| 卢开毅: "基于属性加密的安全云存储算法的研究", 《中国优秀硕士学位论文全文数据库》, pages 137 - 53 * |
| 宋春芝等: "高效可验证的隐私保护推荐系统", 《华东师范大学学报(自然科学版)》, no. 02, pages 41 - 51 * |
| 李佩丽等: "区块链隐私保护与监管技术研究进展", 《信息安全学报》, vol. 6, no. 3, pages 159 - 168 * |
| 韩德志: "分布式安全存储技术", 《计算机科学》, no. 11, pages 6 - 12 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113836553B (zh) | 2023-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108753B2 (en) | Securing files using per-file key encryption | |
| CN113132103B (zh) | 一种数据跨域安全共享系统及方法 | |
| US10148431B2 (en) | Master key generation and distribution for storage area network devices | |
| Yan et al. | Heterogeneous data storage management with deduplication in cloud computing | |
| CN104980477B (zh) | 云存储环境下的数据访问控制方法和系统 | |
| US8989388B2 (en) | Distribution of storage area network encryption keys across data centers | |
| US8184807B2 (en) | Content distribution/browsing system, content distribution apparatus, content browsing apparatus and program | |
| Mahmoud et al. | An approach for big data security based on Hadoop distributed file system | |
| US7958356B1 (en) | System and method for establishing a shared secret among nodes of a security appliance | |
| US9020149B1 (en) | Protected storage for cryptographic materials | |
| US9774445B1 (en) | Host based rekeying | |
| CN106797316B (zh) | 路由器、数据设备、分发数据的方法和系统 | |
| CN106330868A (zh) | 一种高速网络加密存贮密钥管理系统及方法 | |
| CN111143870B (zh) | 一种分布式加密存储装置、系统及加解密方法 | |
| US8245050B1 (en) | System and method for initial key establishment using a split knowledge protocol | |
| US11595203B2 (en) | Systems and methods for encrypted content management | |
| CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
| US9071589B1 (en) | Encryption key management for storage area network devices | |
| WO2012161417A1 (ko) | 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법 | |
| KR20210058313A (ko) | 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템 | |
| CN113836553B (zh) | 一种密码算法动态重构的分布式存储数据保护方法 | |
| CN207251667U (zh) | 一种数据安全服务平台 | |
| KR101812311B1 (ko) | 사용자 단말 및 속성 재암호 기반의 사용자 단말 데이터 공유 방법 | |
| JP3674772B2 (ja) | 複数サーバ間ログイン連携システム、クライアント装置、ログイン管理装置、サーバ装置及び記憶媒体 | |
| CN112242899B (zh) | 使用量子密钥对存储文件进行加解密的nas存储系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |