买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：浪潮云信息技术股份公司

摘要：本发明特别涉及一种ceph分布式文件系统服务端加密系统。该ceph分布式文件系统服务端加密系统，包括密钥管理模块，客户端加解密模块，MDS端数据密钥存储模块和OSD数据存储模块。该ceph分布式文件系统服务端加密系统，通过对文件系统中文件数据进行加密，满足了用户隐私和数据安全方面的需求；通过信封加密的方式，加强了密钥管理和传输过程中的安全性，用信封加密和针对每个对象进行加密相结合的方式，更适用于大数据量的加密。

主权项：1.一种ceph分布式文件系统服务端加密系统，其特征在于：包括密钥管理模块，客户端加解密模块，MDS端数据密钥存储模块和OSD数据存储模块；所述密钥管理模块负责文件系统中主密钥的管理，并响应客户端加解密模块的请求；当客户端需要加密时，给客户端发放数据密钥；当客户端需要解密时，解密客户端发来的加密的数据密钥；所述客户端加解密模块位于CephFS客户端，负责与密钥管理模块交互获取数据密钥，并在客户端读写文件内容时进行加密和解密操作，将加密的数据密钥保存到MDS端数据密钥存储模块中；所述MDS端数据密钥存储模块负责存储加密每个文件加密后的数据密钥；所述OSD数据存储模块负责响应客户端的读写请求，保存用户数据；通过信封加密的方式为文件系统加密，为每个文件系统指定一个主密钥；对文件系统中文件加密时，先针对该文件向密钥管理模块申请数据密钥，然后将整个文件条带化处理为指定大小的RADOS对象，然后对每个对象进行加密，同时将加密后的数据密钥保存到文件对应的索引节点Inode的扩展属性中；加密流程包括以下步骤：步骤S1、通过信封加密的方式，针对每个文件系统在密钥管理模块中指定一个主密钥；步骤S2、当文件系统中每个文件进行写入时，使用主密钥向密钥管理模块申请数据密钥；然后对整个文件进行条带化处理，将其转化为指定大小的RADOS对象，并使用数据密钥对写入的文件数据进行加密，加密文件对应的RADOS对象共享对应的加密密钥；文件系统中文件数据的写入流程，如下：步骤S2.1、CephFS客户端收到文件写请求后，先判断要写入的文件是否需要新创建；若为需新建文件，则跳转至步骤S2.2；若已创建，则验证当前文件Inode是否包含ceph.file.encrypt属性，若不包含则该文件无需加密，直接执行写流程处理；否则，该文件需要加密，跳转至步骤S2.5；步骤S2.2、CephFS客户端根据文件系统的目录树向上回溯，直到找到有文件系统设置了ceph.dir.encrypt属性；如果直到根文件系统都没有设置ceph.dir.encrypt属性，则该文件不需要加密，直接执行写流程处理；否则，找到距当前文件最近的，设置了ceph.dir.encrypt属性的文件系统，并获取ceph.dir.encrypt属性的值；步骤S2.3、CephFS客户端向密钥管理模块发送请求，申请数据密钥，其中携带步骤S2.2中获取到的ceph.dir.encrypt属性的值，指定使用的主密钥；步骤S2.4、密钥管理模块向CephFS客户端返回生成的数据密钥以及使用主密钥加密的数据密钥，跳转至步骤S2.7，执行加密写入流程；步骤S2.5、针对已创建文件，但需加密的文件的情况，读取该文件的ceph.file.encrypt属性，获取加密原有文件数据的加密的数据密钥；步骤S2.6、CephFS客户端向密钥管理模块发送请求，将步骤S2.5中获取到的加密的文件数据密钥解密，获取数据密钥；步骤S2.7、获取到数据密钥后，将写请求中的要写入的文件数据按照文件的逻辑偏移和长度进行条带化处理后，映射为指定大小的RADOS对象；步骤S2.8、对于每个RADOS对象，使用数据密钥进行加密；加密时，将每个RADOS对象按照逻辑偏移拆分为4KiB的块，对每个块分别进行加密；加密后，将密文数据保存到OSD数据存储模块；步骤S3、将加密后的数据密钥保存在文件对应的索引节点Inode的扩展属性当中；通过信封加密的方式，将加密数据的数据密钥封入信封中进行存储、传递和使用，不再使用用户主密钥直接加解密数据。

全文数据：

权利要求：

百度查询： 浪潮云信息技术股份公司 一种ceph分布式文件系统服务端加密系统