CN109344632A - 一种基于硬件加密卡的openstack卷加密方法 - Google Patents

一种基于硬件加密卡的openstack卷加密方法 Download PDF

Info

Publication number
CN109344632A
CN109344632A CN201811139705.6A CN201811139705A CN109344632A CN 109344632 A CN109344632 A CN 109344632A CN 201811139705 A CN201811139705 A CN 201811139705A CN 109344632 A CN109344632 A CN 109344632A
Authority
CN
China
Prior art keywords
openstack
encryption
volumes
virtual machine
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811139705.6A
Other languages
English (en)
Inventor
孙大军
孙晓妮
元和清
路永轲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Chaoyue CNC Electronics Co Ltd
Original Assignee
Shandong Chaoyue CNC Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue CNC Electronics Co Ltd filed Critical Shandong Chaoyue CNC Electronics Co Ltd
Priority to CN201811139705.6A priority Critical patent/CN109344632A/zh
Publication of CN109344632A publication Critical patent/CN109344632A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及云计算安全保密领域,特别涉及一种基于硬件加密卡的OPENSTACK卷加密方法。本发明在OpenStack构建的云环境中,引入硬件密码卡,改造OpenStack中的卷加密模块,使用硬件加密算法实现OpenStack卷的透明加解密,增强OpenStack卷数据的安全性。

Description

一种基于硬件加密卡的OPENSTACK卷加密方法
技术领域
本发明涉及云计算安全保密领域,特别涉及一种基于硬件加密卡的OPENSTACK卷加密方法。
背景技术
OpenStack是一个开源的云计算管理平台项目,其安全性至关重要,其中的Cinder组件向外提供卷操作接口,实现卷的创建等操作。卷可以作为虚拟机的***盘,也可以附加到虚拟机作为数据盘,并集中存储到cinder-volume构建的OpenStack存储节点或后端存储设备。卷中数据容易受到“离线攻击”,即攻击者在***关机状态下可以物理接触到存储节点磁盘或者其他存储介质。无论在***运行还是关闭时,卷中数据有被窃取、篡改、未授权访问和配置不当无法访问等脆弱漏洞。
因此,必须实现虚拟机数据卷加密功能。目前,OpenStack中Cinder组件借助AES算法实现卷加密,但是软件加密存在密钥窃取、加密速率低等问题。
发明内容
为了解决现有技术的问题,本发明提供了一种基于硬件加密卡的OPENSTACK卷加密方法,其不再使用软件加密算法,而是采用密码卡算法对卷进行加解密,提升加解密速率,并提高安全性,最终实现卷的透明加解密,保证卷数据的安全性。
本发明所采用的技术方案如下:
一种基于硬件加密卡的OpenStack卷加密方法,包括以下步骤:
A、nova组件发起创建虚拟机的请求;
B、nova创建虚拟机时,会向Cinder组件发起请求,申请块设备绑定到虚拟机;
C、通过VolumeEncryptor处理块设备,借助硬件密码卡中的算法实现透明加解密;
D、更新虚拟机信息和块设备信息;
E、创建虚拟机,为其附加卷并启动虚拟机。
步骤C具体包括:
C1、借助dm-crypt机制,将密码卡算法加载到内核密码管理器;
C2、修改OpenStack源码,使OpenStack创建卷时,采用密码卡算法对卷进行加解密。
步骤C,是在OpenStack构建的云环境中配置硬件密码卡。
本发明提供的技术方案带来的有益效果是:
在OpenStack管理的云计算环境下,为了保证OpenStack卷中数据的安全性,杜绝虚拟机镜像或数据被非法窃取、篡改的情况,本发明在OpenStack构建的云环境中配置硬件密码卡,改造OpenStack,最终使用硬件密码卡中的密码算法实现OpenStack卷加解密,比原有的软件加密方式相比,密码算法运算速率更高、安全性更高,使云环境中卷数据具有更高的安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术下的OpenStack创建附加加密卷的虚拟机流程图;
图2为本发明的一种基于硬件加密卡的OpenStack卷加密方法的OpenStack卷硬件加密原理图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
如附图1所示, OpenStack卷不仅可以由用户直接创建,还可以由OpenStack其他组件比如nova来创建,为了确保云的正常运行以及卷中数据的安全性,必须实现OpenStack卷的透明加解密。虚拟机创建时,通常会随之创建OpenStack卷,在OpenStack的nova组件相关源码中会指定卷加密使用的软件算法为aes-xts-plain64,借助软算法实现卷加密的流程如图1所示,详细过程如下:
1、nova组件发起创建虚拟机的请求。
2、nova创建虚拟机时,会向Cinder组件发起请求,申请块设备绑定到虚拟机。
3、通过VolumeEncryptor处理块设备,借助软算法实现透明加解密。
4、更新虚拟机信息和块设备信息。
5、创建虚拟机,为其附加卷并启动虚拟机。
为了提高加解密速率及安全性,改造VolumeEncryptor,利用硬件密码卡中的算法替换软件算法,实现OpenStack卷的透明加解密,如图2所示。首先,借助dm-crypt机制,将密码卡算法加载到内核密码管理器,保证用户态程序可以借助cryptsetup工具成功调用密码卡算法。然后,修改OpenStack源码,改造VolumeEncryptor,使OpenStack创建卷时,不再使用软件加密算法,而是密码卡算法对卷进行加解密,提升加解密速率,并提高安全性,最终实现卷的透明加解密,保证卷数据的安全性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于硬件加密卡的OpenStack卷加密方法,包括以下步骤:
A、nova组件发起创建虚拟机的请求;
B、nova创建虚拟机时,会向Cinder组件发起请求,申请块设备绑定到虚拟机;
C、通过VolumeEncryptor处理块设备,借助硬件密码卡中的算法实现透明加解密;
D、更新虚拟机信息和块设备信息;
E、创建虚拟机,为其附加卷并启动虚拟机。
2.根据权利要求1所述的一种基于硬件加密卡的OpenStack卷加密方法,其特征在于,所述的步骤C具体包括:
C1、借助dm-crypt机制,将密码卡算法加载到内核密码管理器;
C2、修改OpenStack源码,使OpenStack创建卷时,采用密码卡算法对卷进行加解密。
3.根据权利要求1所述的一种基于硬件加密卡的OpenStack卷加密方法,其特征在于,所述的步骤C,是在OpenStack构建的云环境中配置硬件密码卡。
CN201811139705.6A 2018-09-28 2018-09-28 一种基于硬件加密卡的openstack卷加密方法 Pending CN109344632A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811139705.6A CN109344632A (zh) 2018-09-28 2018-09-28 一种基于硬件加密卡的openstack卷加密方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811139705.6A CN109344632A (zh) 2018-09-28 2018-09-28 一种基于硬件加密卡的openstack卷加密方法

Publications (1)

Publication Number Publication Date
CN109344632A true CN109344632A (zh) 2019-02-15

Family

ID=65307135

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811139705.6A Pending CN109344632A (zh) 2018-09-28 2018-09-28 一种基于硬件加密卡的openstack卷加密方法

Country Status (1)

Country Link
CN (1) CN109344632A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110543780A (zh) * 2019-09-06 2019-12-06 湖南麒麟信安科技有限公司 一种具有块存储加密功能的OpenStack***及其应用方法
CN111541725A (zh) * 2020-07-08 2020-08-14 支付宝(杭州)信息技术有限公司 区块链一体机及其密码加速卡、密钥管理方法和装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954452A (zh) * 2015-06-02 2015-09-30 华中科技大学 一种虚拟化环境下密码卡资源动态控制方法
EP3113443A1 (en) * 2015-07-02 2017-01-04 Telefonica Digital España, S.L.U. Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions
CN106708748A (zh) * 2016-12-21 2017-05-24 南京富士通南大软件技术有限公司 提高OpenStack块存储卷挂载性能的方法及***
CN106921481A (zh) * 2015-12-28 2017-07-04 航天信息股份有限公司 一种基于pki的租户划分及权限认证的***和方法
CN106936760A (zh) * 2015-12-30 2017-07-07 航天信息股份有限公司 一种登录Openstack云***虚拟机的装置和方法
CN107197022A (zh) * 2017-06-02 2017-09-22 华南理工大学 OpenStack存储优化方法及***
CN107943556A (zh) * 2017-11-10 2018-04-20 中国电子科技集团公司第三十二研究所 基于kmip和加密卡的虚拟化数据安全方法
CN108055327A (zh) * 2017-12-15 2018-05-18 佛山三维二次方科技有限公司 基于OpenStack的云计算实验平台
CN108512832A (zh) * 2018-03-07 2018-09-07 山东超越数控电子股份有限公司 一种针对OpenStack身份认证的安全增强方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954452A (zh) * 2015-06-02 2015-09-30 华中科技大学 一种虚拟化环境下密码卡资源动态控制方法
EP3113443A1 (en) * 2015-07-02 2017-01-04 Telefonica Digital España, S.L.U. Method, a system and computer program products for securely enabling in-network functionality over encrypted data sessions
CN106921481A (zh) * 2015-12-28 2017-07-04 航天信息股份有限公司 一种基于pki的租户划分及权限认证的***和方法
CN106936760A (zh) * 2015-12-30 2017-07-07 航天信息股份有限公司 一种登录Openstack云***虚拟机的装置和方法
CN106708748A (zh) * 2016-12-21 2017-05-24 南京富士通南大软件技术有限公司 提高OpenStack块存储卷挂载性能的方法及***
CN107197022A (zh) * 2017-06-02 2017-09-22 华南理工大学 OpenStack存储优化方法及***
CN107943556A (zh) * 2017-11-10 2018-04-20 中国电子科技集团公司第三十二研究所 基于kmip和加密卡的虚拟化数据安全方法
CN108055327A (zh) * 2017-12-15 2018-05-18 佛山三维二次方科技有限公司 基于OpenStack的云计算实验平台
CN108512832A (zh) * 2018-03-07 2018-09-07 山东超越数控电子股份有限公司 一种针对OpenStack身份认证的安全增强方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
BRUCE BENJAMIN 等: "VolumeEncryption", 《HTTPS://WIKI.OPENSTACK.ORG/WIKI/VOLUMEENCRYPTION》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110543780A (zh) * 2019-09-06 2019-12-06 湖南麒麟信安科技有限公司 一种具有块存储加密功能的OpenStack***及其应用方法
CN110543780B (zh) * 2019-09-06 2021-08-13 湖南麒麟信安科技股份有限公司 一种具有块存储加密功能的OpenStack***及其应用方法
CN111541725A (zh) * 2020-07-08 2020-08-14 支付宝(杭州)信息技术有限公司 区块链一体机及其密码加速卡、密钥管理方法和装置
US11626984B2 (en) 2020-07-08 2023-04-11 Alipay (Hangzhou) Information Technology Co., Ltd. Blockchain integrated station and cryptographic acceleration card, key management methods and apparatuses

Similar Documents

Publication Publication Date Title
TWI601405B (zh) 用於雲端輔助式密碼術之方法及設備
CN100487715C (zh) 一种数据安全存储***和装置及方法
US9973496B2 (en) Controlled use of a hardware security module
US20140351605A1 (en) System and method for wiping encrypted data on a device having file-level content protection
US10693641B2 (en) Secure container based protection of password accessible master encryption keys
US9529733B1 (en) Systems and methods for securely accessing encrypted data stores
CN114175580B (zh) 增强的安全加密和解密***
US10686764B2 (en) Executable coded cipher keys
CN104335548A (zh) 安全数据处理
CN109190401A (zh) 一种Qemu虚拟可信根的数据存储方法、装置及相关组件
CN112615824B (zh) 防泄漏一次一密通信方法及装置
CN107911221B (zh) 固态盘数据安全存储的密钥管理方法
CN111177699A (zh) 一种数据提取方法、秘钥生成方法、解锁方法及装置
CN109344632A (zh) 一种基于硬件加密卡的openstack卷加密方法
CN103136126A (zh) 一种可保障数据安全性的数据安全存储设备的实现方法
US20230409700A1 (en) Systems and methods for managing state
CN109891823B (zh) 用于凭证加密的方法、***以及非暂态计算机可读介质
US11646870B2 (en) Securing mobile device by RAM-encryption
CN116594567A (zh) 信息管理方法、装置和电子设备
CN116244750A (zh) 一种涉密信息维护方法、装置、设备及存储介质
KR20230095947A (ko) 키 관련 속성을 사용한 보안 키 교환 기법
CN108985079B (zh) 数据验证方法和验证***
CN111523129A (zh) 一种基于tpm的数据泄漏防护方法
KR100952300B1 (ko) 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법
US11621848B1 (en) Stateless system to protect data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190215

RJ01 Rejection of invention patent application after publication