CN113779619A - 一种基于国密算法的ceph分布式对象存储***加解密方法 - Google Patents
一种基于国密算法的ceph分布式对象存储***加解密方法 Download PDFInfo
- Publication number
- CN113779619A CN113779619A CN202110916712.8A CN202110916712A CN113779619A CN 113779619 A CN113779619 A CN 113779619A CN 202110916712 A CN202110916712 A CN 202110916712A CN 113779619 A CN113779619 A CN 113779619A
- Authority
- CN
- China
- Prior art keywords
- server
- cryptographic algorithm
- algorithm
- encryption
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000006854 communication Effects 0.000 claims abstract description 80
- 238000004891 communication Methods 0.000 claims abstract description 76
- 230000005540 biological transmission Effects 0.000 claims description 54
- 238000012795 verification Methods 0.000 claims description 8
- 238000006467 substitution reaction Methods 0.000 abstract description 18
- 230000002787 reinforcement Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003014 reinforcing effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于国密算法的ceph分布式对象存储***加解密方法,其包括在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现客户端与服务端之间的访问通信。本发明通过客户端与服务端之间的访问通信的加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全;另外,基于国密算法SM3/SM4对服务端内部组件之间的数据通信进行加固,能有效保障通信数据安全,实现密码加固算法的国密替代;同时,通过对客户端与服务端之间的访问通信的加解密算法的国密替代与服务端内部组件之间的数据通信的国密替代,使得整个ceph分布式对象存储***实现加解密的国密替代,对外提供统一服务时有效保障了用户数据及隐私安全。
Description
技术领域
本发明涉及ceph分布式对象存储技术领域,尤其是涉及一种基于国密算法的ceph分布式对象存储***加解密方法。
背景技术
随着信息化进程的不断深入,非结构化数据图片和视频在保存后不会再进行修改的数据量越来越多。区别于传统的文件存储和块存储,ceph分布式对象存储即由分布式存储***ceph提供的对象存储作为一种新兴的存储方式,越来越受到人们的欢迎。
ceph分布式对象存储***作为一种现有广泛使用的存储***,具有高扩展性、高可靠性、高性能、多副本的特点。现有的开源ceph分布式对象存储***的客户端与服务端之间采用http协议的方式进行通信,且其***内各组件如OSD、MON之间的通信存在中途截获或盗取的隐患,导致用户的数据安全隐患和隐私泄露风险。
发明内容
基于此,本发明的目的在于提供一种基于国密算法的ceph分布式对象存储***加解密方法,实现加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全。
为解决上述技术问题,本发明采用以下技术方案:
本发明提供了一种基于国密算法的ceph分布式对象存储***加解密方法,其包括如下步骤:
步骤S100、在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信;
步骤S110、服务端向公共平台认证中心申请数字证书C;
步骤S120、客户端向服务端发送SSL信息并产生随机数A;
步骤S130、服务端接收SSL信息后,向客户端回应服务端所使用的SSL协议的版本及加密算法,并产生随机数B,从服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C发送给客户端;
步骤S140、验证客户端接收到的数字证书C是否合法;若是,则转入步骤S150;若否,则终止客户端与服务端之间的数据传输;
步骤S150、客户端的数字证书C验证通过后,客户端向服务端发送客户端支持的SM4国密算法方案信息给服务端;
步骤S160、服务端接收客户端发送的SM4国密算法方案信息后,服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给客户端;
步骤S170、客户端根据随机数A和随机数B生成随机码R,随机码R作为SM4国密算法加解密的密钥,并使用收到的服务端的SM2公钥对随机码R进行加密,获得加密结果并发送给服务端;
步骤S180、服务端使用SM2私钥对加密结果进行解密,以获得SM4国密算法的密钥R;
步骤S190、客户端与服务端之间基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的可信通道建立,通过SM4国密算法的密钥R对通信报文进行加解密,开始进行客户端与服务端之间数据通信。
在其中一个实施例中,所述步骤S190之后,还包括:
步骤S200、通过国密SM3哈希算法验证客户端和服务端之间的数据通信过程中通信报文的完整性。
在其中一个实施例中,所述步骤S100中在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的方法,具体操作包括:
将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法;
利用OpenSSL生成国密算法SM2/SM4对应的密钥。
在其中一个实施例中,所述步骤将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法的方法,包括:
将OpenSSL源码的cipher.c密码算法文件中的密码替换为SM2/SM3/SM4国密算法。
在其中一个实施例中,所述步骤S150中SM4国密算法方案为对OpenSSL源码中算法库进行修改后形成。
在其中一个实施例中,还包括
步骤S300、基于国密算法SM3/SM4对服务端内部组件之间的数据通信进行加解密。
在其中一个实施例中,所述步骤S300的方法,具体操作包括:
步骤S310、将预置的SM4对称加密算法的密钥复制到服务端部署目录下;
步骤S320、通过调用预置的SM4对称加密算法的密钥对发送端组件的第一传输数据进行加密,将加密后的第一传输数据传输给socket接口;
步骤S330、接收端组件获取加密后的第一传输数据,利用预置的SM4对称加密算法的密钥进行解密,得到解密后的第二传输数据;
步骤S340、通过socket接口将解密后的第二传输数据送至接收端组件识别。
在其中一个实施例中,所述步骤S330之后,还包括:
步骤S350、利用SM3国密算法对解密后的第二传输数据进行完整性校验,以防止中间人进行篡改。
在其中一个实施例中,所述步骤S310中SM4对称加密算法通过OpenSSL工具产生。
在其中一个实施例中,所述步骤300的方法,具体操作包括:
将预置的SM4对称加密算法的密钥复制到服务端部署目录下;
通过调用预置的SM4对称加密算法的密钥对接收端组件的第三传输数据进行加密,将加密后的第三传输数据传输给socket接口;
发送端组件获取加密后的第三传输数据,利用预置的SM4对称加密算法的密钥进行解密,得到解密后的第四传输数据;
通过socket接口将解密后的第四传输数据送至发送端组件识别。
综上所述,本发明提供的一种基于国密算法的ceph分布式对象存储***加解密方法通过在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信,实现加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全。
附图说明
图1为本发明实施例提供的ceph分布式对象存储***国密加固示意图;
图2为本发明实施例提供的第一种基于国密算法的ceph分布式对象存储***加解密方法的流程示意图;
图3为本发明实施例提供的第二种基于国密算法的ceph分布式对象存储***加解密方法的流程示意图;
图4为本发明实施例提供的第三种基于国密算法的ceph分布式对象存储***加解密方法的流程示意图;
图5为本发明实施例提供的ceph分布式对象存储***中服务端各组件之间国密加固示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的ceph分布式对象存储***的客户端与服务端之间采用http协议的方式进行通信,ceph分布式对象存储***内各组件如OSD、MON之间的通信均是采用基于RSA/DES等国外密码体系加解密或者直接明文的方式,这种客户端与服务端之间的认证传输及ceph各组件间的数据通信方式,未进行有效的身份认证,存在中途截获或盗取的隐患,且这些加密方法容易让用户失去对数据的控制,导致用户的数据安全隐患和隐私泄露风险。
如图1所示,在多台物理硬件设备服务器(sever)上部署Ceph分布式对象存储集群,构成Ceph分布式对象存储***的服务端,Ceph分布式对象存储集群包含MON、OSD等主要组件,其中OSD用于根据物理设备磁盘而设置提供节点存储能力,MON为监控组件,以监控Ceph分布式对象存储集群的各项指标。
图2是本发明实施例提供的第一种基于国密算法的ceph分布式对象存储***加解密方法的流程示意图,如图2所示,一种基于国密算法的ceph分布式对象存储***加解密方法,具体包括如下步骤:
步骤S100、在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信;以方便在建立可信通道后,在国密环境下进行客户端与服务端之间的数据通信,实现加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全。
具体地,如图1所示,在ceph分布式对象存储物理集群之上的librgw层及librados层提供API,即实现对ceph分布式对象存储集群进行操作的库,上层通过调取库里的可以直接实现对ceph分布式对象存储集群的各项操作,也可以基于librgw层及librados层利用C、C++、Python等开发相应的客户端。
在Librgw层及librados层之上调用API为Ceph对象网关即Rados网关,可以将http请求转换为RADOS请求,同时也可以把RADOS请求转换为http请求,从而提供RESTful接口的对象存储。
在RADOS网关的基础之上,ceph分布式对象存储***提供兼容的S3API、SwiftAPI以及管理API,不同客户端可以通过调取不同的接口实现对rados网关的认证及通信;其中,所述客户端为基于librgw层及librados层运用C、C++、Python等开发的相应客户端或者调用SwiftAPI、S3API、管理API后的其它应用,所述服务端为ceph分布式对象存储***的Rados网关。
客户端与rados网关即ceph分布式对象存储***的服务端之间采用RESTful接口形式的http协议进行访问通信,为了身份认证及数据通信安全,在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证,以替换现有的RSA/DES算法或者直接明文的传输方式,建立可信通道后,进而在国密环境下进行客户端与服务端的数据通信,实现加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全。
具体地,所述步骤S100中在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的方法,具体操作包括:
将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法;具体地,将OpenSSL源码的cipher.c密码算法文件中的密码替换为SM2/SM3/SM4国密算法;
利用OpenSSL生成国密算法SM2/SM4对应的密钥。
步骤S110、服务端向公共平台认证中心(CertificateAuthority)申请数字证书C。
步骤S120、客户端向服务端发送SSL信息并产生随机数A;其中,SSL信息包括客户端支持的SSL协议的版本及国密算法列表。
步骤S130、服务端接收SSL信息后,向客户端回应服务端所使用的SSL协议的版本及加密算法,并产生随机数B,从服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C发送给客户端。
步骤S140、验证客户端接收到的数字证书C是否合法;若是,则转入步骤S150;若否,则终止客户端与服务端之间的数据传输。
其中,客户端接收SM2公钥及数字证书C后,通过CA机构以及国密SM3哈希算法验证数字证书C的合法性及完整性,包括证书是否过期、是否已经被吊销、是否可信,如果上述验证都没有问题,则转入步骤S150;如果上述验证没有通过,则客户端返回不安全的警告,然后终止客户端与服务端之间的数据通信,从而有效防止黑客冒充,提高了客户端及服务端双方的数据传输的可靠性和安全性。
步骤S150、客户端向服务端发送客户端支持的SM4国密算法方案信息给服务端;其中,SM4国密算法方案为对OpenSSL源码中算法库进行修改后形成。
步骤S160、服务端接收客户端发送的SM4国密算法方案信息后,由于SM4国密算法的加密效率高,服务端发送同意使用SM4国密算法对通信数据进行加解密后并发送给客户端;
步骤S170、客户端根据随机数A和随机数B生成随机码R,随机码R作为SM4国密算法加解密的密钥,并使用收到的服务端的SM2公钥对随机码R进行加密,获得加密结果并发送给服务端;
步骤S180、服务端使用SM2私钥对加密结果进行解密,以获得SM4国密算法的密钥R;
步骤S190、客户端与服务端之间基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的可信通道建立,通过SM4国密算法的密钥R对通信报文进行加解密,开始进行客户端与服务端之间数据通信;客户端及服务端双方后续的数据通信都会建立在该SM4国密算法的密钥R上进行加解密,以保障客户端及服务端通信中信息的安全。
如图3所示,在其中一个实施例中,所述步骤S190之后,还包括
步骤S200、通过国密SM3哈希算法验证客户端和服务端之间的数据通信过程中通信报文的完整性。
本发明一种基于国密算法的ceph分布式对象存储***加解密方法通过在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信,实现加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全。
如图4所述,在其中一个实施例中,一种基于国密算法的ceph分布式对象存储***加解密方法,还包括
步骤S300、基于国密算法SM3/SM4对服务端内部即ceph分布式对象存储集群内部组件之间的数据通信进行加解密,能有效保障通信数据安全,实现密码加固算法的国密替代;其中,对服务端内部组件之间的数据通信进行加解密的密钥通过OpenSSL工具产生。
如图5所示,具体地,服务端内部各组件主要包括MON、OSD,本发明实施例中以MON组件、OSD组件之间的数据通信进行举例说明。
本发明中,步骤S300与步骤S100可同步进行,可也分别进行,以ceph分布式对象存储***的具体数据传输需求选用合适的步骤顺序。
在其中一个实施例中,所述服务端内部组件之间的数据通信是通过socket接口来实现。
在其中一个实施例中,所述步骤S300的方法,具体操作包括:
步骤S310a、将预置的SM4对称加密算法的密钥复制到服务端部署目录下;SM4对称加密算法通过OpenSSL工具产生,本实例中服务端部署目录为服务端内部组件的部署目录/opt/ceph,具体为部署Ceph分布式对象存储集群的服务器(sever)目录下,服务端组件MON、OSD可根据需要部署在同一台服务器上,也可以分别部署在不同的服务器上;
步骤S320a、通过调用预置的SM4对称加密算法的密钥对发送端组件的第一传输数据进行加密,将加密后的第一传输数据传输给socket接口;服务端组件根据信息收发状态分为发送端组件及接收端组件,服务端组件之间的通信数据包括保持心跳机制的数据、各节点监控数据等;
步骤S330a、接收端组件获取加密后的第一传输数据,利用预置的SM4对称加密算法的密钥进行解密,得到解密后的第二传输数据;具体地,接收端组件接收到加密后的第一传输数据信息后,会从socket接口中获取加密后的第一传输数据,再利用预置的SM4对称加密算法的密钥对其进行解密,最后得到解密后的第二传输数据;
步骤S340a、通过socket接口将解密后的第二传输数据送至接收端组件识别,进而实现对服务端内部组件之间数据通信的加解密,使得ceph分布式对象存储***的服务端各组件之间在原有socket通信的基础上采用国密算法SM3/SM4加固,能有效保障通信数据安全,实现密码加固算法的国密替代。
在其中一个实施例中,所述步骤S330之后,还包括
步骤S350、利用SM3国密算法对解密后的第二传输数据进行完整性校验,以防止中间人进行篡改。
在其中一个实施例中,所述步骤S300的方法,具体操作包括:
步骤S310b、将预置的SM4对称加密算法的密钥复制到服务端部署目录下;
步骤S320b、通过调用预置的SM4对称加密算法的密钥对接收端组件的第三传输数据进行加密,将加密后的第三传输数据传输给socket接口;
步骤S330b、发送端组件获取加密后的第三传输数据,利用预置的SM4对称加密算法的密钥进行解密,得到解密后的第四传输数据;具体地,发送端组件接收到加密后的第三传输数据信息后,会从socket接口中获取加密后的第三传输数据,再利用预置的SM4对称加密算法的密钥对其进行解密,最后得到解密后的第四传输数据;
步骤S340b、通过socket接口将解密后的第四传输数据送至发送端组件识别,进而实现对服务端内部组件之间数据通信的加解密,使得ceph分布式对象存储***的服务端各组件之间在原有socket通信的基础上采用国密算法SM3/SM4加固,能有效保障通信数据安全,实现密码加固算法的国密替代。
为了更加清晰本发明的技术方案,下面再阐述优选实施例。
步骤S100、在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信;
步骤S120、客户端向服务端发送SSL信息并产生随机数A;
步骤S130、服务端接收SSL信息后,向客户端回应服务端所使用的SSL协议的版本及加密算法,并产生随机数B,从服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C发送给客户端;
步骤S140、验证客户端接收到的数字证书C是否合法;若是,则转入步骤S150;若否,则终止客户端与服务端之间的数据传输。
步骤S150、客户端的数字证书C验证通过后,客户端向服务端发送客户端支持的SM4国密算法方案信息给服务端;
步骤S160、服务端接收客户端发送的SM4国密算法方案信息后,基于SM4国密算法的加密效率高,服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给客户端;
步骤S170、客户端根据随机数A和随机数B生成随机码R,随机码R作为SM4国密算法加解密的密钥,并使用收到的服务端的SM2公钥对随机码R进行加密,获得加密结果并发送给服务端;
步骤S180、服务端使用SM2私钥对加密结果进行解密,以获得SM4国密算法的密钥R;
步骤S190、客户端与服务端之间基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的可信通道建立,通过SM4国密算法的密钥R对通信报文进行加解密,开始进行客户端与服务端之间数据通信;
步骤S200、通过国密SM3哈希算法验证客户端和服务端之间的数据通信过程中通信报文的完整性;
步骤S300、基于国密算法SM3/SM4对服务端内部组件之间的数据通信进行加解密。
本发明实施例中,基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信,实现加解密算法的国密替代;配合基于国密算法SM3/SM4对服务端内部组件之间的数据通信进行加固,使得整个ceph分布式对象存储***实现加解密的国密替代,对外提供统一服务时有效保障了用户数据及隐私安全。
综上所述,本发明一种基于国密算法的ceph分布式对象存储***加解密方法通过在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信,实现加解密算法的国密替代,防止客户端请求被中途截获或盗取,有效保障访问及数据安全;另外,基于国密算法SM3/SM4对服务端内部组件之间的数据通信进行加固,能有效保障通信数据安全,实现密码加固算法的国密替代;同时,通过对客户端与服务端之间的访问通信的加解密算法的国密替代与服务端内部组件之间的数据通信的国密替代,使得整个ceph分布式对象存储***实现加解密的国密替代,对外提供统一服务时有效保障了用户数据及隐私安全。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的***和方法,可以通过其它的方式实现。例如,以上所描述的***实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明的保护范围应以所附权利要求为准。
Claims (10)
1.一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,包括如下步骤:
步骤S100、在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证实现ceph分布式对象存储***的客户端与服务端之间的访问通信;
步骤S110、服务端向公共平台认证中心申请数字证书C;
步骤S120、客户端向服务端发送SSL信息并产生随机数A;
步骤S130、服务端接收SSL信息后,向客户端回应服务端所使用的SSL协议的版本及加密算法,并产生随机数B,从服务端的秘钥库中取出要使用的SM2公钥,将SM2公钥及数字证书C发送给客户端;
步骤S140、验证客户端接收到的数字证书C是否合法;若是,则转入步骤S150;若否,则终止客户端与服务端之间的数据传输;
步骤S150、客户端的数字证书C验证通过后,客户端向服务端发送客户端支持的SM4国密算法方案信息给服务端;
步骤S160、服务端接收客户端发送的SM4国密算法方案信息后,服务端发送同意使用SM4国密算法对通信报文进行加解密后并发送给客户端;
步骤S170、客户端根据随机数A和随机数B生成随机码R,随机码R作为SM4国密算法加解密的密钥,并使用收到的服务端的SM2公钥对随机码R进行加密,获得加密结果并发送给服务端;
步骤S180、服务端使用SM2私钥对加密结果进行解密,以获得SM4国密算法的密钥R;
步骤S190、客户端与服务端之间基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的可信通道建立,通过SM4国密算法的密钥R对通信报文进行加解密,开始进行客户端与服务端之间数据通信。
2.根据权利要求1所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,所述步骤S190之后,还包括:
步骤S200、通过国密SM3哈希算法验证客户端和服务端之间的数据通信过程中通信报文的完整性。
3.根据权利要求1或2所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,所述步骤S100中在基于http协议通信的基础上加入基于国密算法SM2/SM3/SM4的TLS/SSL单向认证的方法,具体操作包括:
将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法;
利用OpenSSL生成国密算法SM2/SM4对应的密钥。
4.根据权利要求3所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,所述步骤将OpenSSL源码的密码算法文件中修改为SM2/SM3/SM4国密算法的方法,包括:
将OpenSSL源码的cipher.c密码算法文件中的密码替换为SM2/SM3/SM4国密算法。
5.根据权利要求1或2所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于:所述步骤S150中SM4国密算法方案为对OpenSSL源码中算法库进行修改后形成。
6.根据权利要求1或2所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于:还包括
步骤S300、基于国密算法SM3/SM4对服务端内部组件之间的数据通信进行加解密。
7.根据权利要求6所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,所述步骤S300的方法,具体操作包括:
步骤S310a、将预置的SM4对称加密算法的密钥复制到服务端部署目录下;
步骤S320a、通过调用预置的SM4对称加密算法的密钥对发送端组件的第一传输数据进行加密,将加密后的第一传输数据传输给socket接口;
步骤S330a、接收端组件获取加密后的第一传输数据,利用预置的SM4对称加密算法的密钥进行解密,得到解密后的第二传输数据;
步骤S340a、通过socket接口将解密后的第二传输数据送至接收端组件识别。
8.根据权利要求7所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,所述步骤S330之后,还包括:
步骤S350、利用SM3国密算法对解密后的第二传输数据进行完整性校验,以防止中间人进行篡改。
9.根据权利要求7所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于:所述步骤S310中SM4对称加密算法通过OpenSSL工具产生。
10.根据权利要求7所述的一种基于国密算法的ceph分布式对象存储***加解密方法,其特征在于,所述步骤300的方法,具体操作包括:
步骤S310b、将预置的SM4对称加密算法的密钥复制到服务端部署目录下;
步骤S310b、通过调用预置的SM4对称加密算法的密钥对接收端组件的第三传输数据进行加密,将加密后的第三传输数据传输给socket接口;
步骤S310b、发送端组件获取加密后的第三传输数据,利用预置的SM4对称加密算法的密钥进行解密,得到解密后的第四传输数据;
步骤S310b、通过socket接口将解密后的第四传输数据送至发送端组件识别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110916712.8A CN113779619A (zh) | 2021-08-11 | 2021-08-11 | 一种基于国密算法的ceph分布式对象存储***加解密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110916712.8A CN113779619A (zh) | 2021-08-11 | 2021-08-11 | 一种基于国密算法的ceph分布式对象存储***加解密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113779619A true CN113779619A (zh) | 2021-12-10 |
Family
ID=78837287
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110916712.8A Pending CN113779619A (zh) | 2021-08-11 | 2021-08-11 | 一种基于国密算法的ceph分布式对象存储***加解密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113779619A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001703A (zh) * | 2022-05-25 | 2022-09-02 | 深圳市证通电子股份有限公司 | 一种基于国密加密机的堡垒机安全提升方法 |
CN116094775A (zh) * | 2022-12-28 | 2023-05-09 | 浪潮云信息技术股份公司 | 一种ceph分布式文件***服务端加密*** |
CN117527193A (zh) * | 2023-10-20 | 2024-02-06 | 合芯科技有限公司 | 一种基于国密ceph对象存储的加密方法及装置 |
CN117527193B (zh) * | 2023-10-20 | 2024-07-16 | 合芯科技有限公司 | 一种基于国密ceph对象存储的加密方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190129478A (ko) * | 2018-05-11 | 2019-11-20 | 국민대학교산학협력단 | Ssl/tls 기반의 네트워크 보안 장치 및 방법 |
CN110708304A (zh) * | 2019-09-27 | 2020-01-17 | 苏州浪潮智能科技有限公司 | 信息处理方法和装置 |
CN111106928A (zh) * | 2019-11-14 | 2020-05-05 | 西安电子科技大学 | 一种基于国密算法的ntp协议增强信息处理***及方法 |
CN111740844A (zh) * | 2020-06-24 | 2020-10-02 | 上海缔安科技股份有限公司 | 基于硬件的国密算法的ssl通信方法及装置 |
CN112003843A (zh) * | 2020-08-12 | 2020-11-27 | 中电科技(北京)有限公司 | 国产bmc服务器ssl认证方法及装置 |
-
2021
- 2021-08-11 CN CN202110916712.8A patent/CN113779619A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190129478A (ko) * | 2018-05-11 | 2019-11-20 | 국민대학교산학협력단 | Ssl/tls 기반의 네트워크 보안 장치 및 방법 |
CN110708304A (zh) * | 2019-09-27 | 2020-01-17 | 苏州浪潮智能科技有限公司 | 信息处理方法和装置 |
CN111106928A (zh) * | 2019-11-14 | 2020-05-05 | 西安电子科技大学 | 一种基于国密算法的ntp协议增强信息处理***及方法 |
CN111740844A (zh) * | 2020-06-24 | 2020-10-02 | 上海缔安科技股份有限公司 | 基于硬件的国密算法的ssl通信方法及装置 |
CN112003843A (zh) * | 2020-08-12 | 2020-11-27 | 中电科技(北京)有限公司 | 国产bmc服务器ssl认证方法及装置 |
Non-Patent Citations (1)
Title |
---|
罗德祥: "若干互联网安全协议的攻防技术研究", 中国优秀硕士学位论文全文数据库, no. 06, 15 June 2008 (2008-06-15), pages 139 - 85 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115001703A (zh) * | 2022-05-25 | 2022-09-02 | 深圳市证通电子股份有限公司 | 一种基于国密加密机的堡垒机安全提升方法 |
CN115001703B (zh) * | 2022-05-25 | 2023-09-01 | 深圳市证通电子股份有限公司 | 一种基于国密加密机的堡垒机安全提升方法 |
CN116094775A (zh) * | 2022-12-28 | 2023-05-09 | 浪潮云信息技术股份公司 | 一种ceph分布式文件***服务端加密*** |
CN117527193A (zh) * | 2023-10-20 | 2024-02-06 | 合芯科技有限公司 | 一种基于国密ceph对象存储的加密方法及装置 |
CN117527193B (zh) * | 2023-10-20 | 2024-07-16 | 合芯科技有限公司 | 一种基于国密ceph对象存储的加密方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10313135B2 (en) | Secure instant messaging system | |
US20050097113A1 (en) | Method and system for authentication information decryption for .ZIP files | |
CN109981255B (zh) | 密钥池的更新方法和*** | |
US20080031459A1 (en) | Systems and Methods for Identity-Based Secure Communications | |
WO1998002989A1 (en) | Cryptographic communication system | |
WO2002033884A2 (en) | Method and apparatus for providing a key distribution center | |
WO2010078755A1 (zh) | 电子邮件的传送方法、***及wapi终端 | |
KR20050037244A (ko) | 인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기 | |
US20210144002A1 (en) | Secondary Channel Authentication of Public Keys | |
CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及*** | |
CN113779619A (zh) | 一种基于国密算法的ceph分布式对象存储***加解密方法 | |
US20210112039A1 (en) | Sharing of encrypted files without decryption | |
US11265298B2 (en) | Method for end-to-end transmission of a piece of encrypted digital information, application of this method and object implementing this method | |
AU753951B2 (en) | Voice and data encryption method using a cryptographic key split combiner | |
CN113992702B (zh) | 一种ceph分布式文件***存储国密加固方法及*** | |
CN112035820B (zh) | 一种用于Kerberos加密环境下的数据解析方法 | |
CN113918971A (zh) | 基于区块链的消息传输方法、装置、设备及可读存储介质 | |
CN112822015A (zh) | 信息传输方法及相关装置 | |
CN111130796B (zh) | 即时通信中安全在线云存储方法 | |
CA3210990C (en) | End to end encryption with roaming capabilities | |
CN115361222B (zh) | 通信处理方法、装置和*** | |
CN114531235A (zh) | 一种端对端加密的通信方法及*** | |
CA3225987A1 (en) | End to end encryption with roaming capabilities | |
CN116684169A (zh) | 一种基于网络身份的应用层数据安全传输方法及*** | |
CN115567299A (zh) | 一种基于端到端加密的消息传输方法及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |