[发明专利]一种实现文件存储服务端加密的系统与方法

说明书

本发明公开了一种实现文件存储服务端加密的系统与方法，属于计算机技术领域。本发明的实现文件存储服务端加密的系统包括客户端、NFS‑Ganesha、KMS和CephFS，客户端向NFS‑Ganesha发起读请求和写请求，NFS‑Ganesha判断是否需要加密，若需加密，从KMS获取密钥，对数据加密，若需解密，从CephFS中读取数据后，从KMS获取密钥，对数据解密后返回给客户端。该发明的实现文件存储服务端加密的系统能够实现对CephFS不同子目录使用不同密钥加密，并对客户端透明，具有很好的推广应用价值。

技术领域

本发明涉及计算机技术领域，具体提供一种实现文件存储服务端加密的系统与方法。

背景技术

目前各行业对云端数据的安全性要求日益提高，服务端加密作为一种有效提高安全性的手段被广泛采用。但NFS-Ganesha现有版本不支持服务端加密，Ceph虽然支持OSD级别的加密，但加密路径过短，仅能保证硬盘失窃情况的数据安全，且不支持使用不同密钥加密不同子目录。从加密路径长度和实际加密效果考虑，硬盘失窃的概率极小，运维人员或攻击者通过CephFS查看用户数据的可能性较大，所以OSD级别的加密对提高安全性几乎没有帮助。

NFS-Ganesha是一个开源的企业级NFS服务器，支持将多种存储后端对外导出，提供NFS协议文件系统服务，如果将CephFS作为存储后端，NFS-Ganesha通过CEPH类库libcephfs实现对CephFS的操作。一个CephFS子目录可以创建一个挂载点，每个挂载点都有一个唯一标识挂载点ID，客户端通过挂载点挂载NFS文件系统。KMS是密钥管理服务，提供密钥安全托管等服务，可以调用接口通过密钥ID获取密钥。服务端加密对用户透明，在将数据写入文件系统之前，将数据进行加密，读取数据时，自动将其解密，挂载加密文件系统和非加密文件系统没有任何区别，可以实现对用户透明的服务端加密。

发明内容

本发明的技术任务是针对上述存在的问题，提供一种能够实现对CephFS不同子目录使用不同密钥加密，并对客户端透明的实现文件存储服务端加密的系统。

本发明进一步的技术任务是提供一种实现文件存储服务端加密的方法。

为实现上述目的，本发明提供了如下技术方案：

一种实现文件存储服务端加密的系统，该系统基于NFS-Ganesha，包括客户端、NFS-Ganesha、KMS和CephFS，客户端向NFS-Ganesha发起读请求和写请求，NFS-Ganesha判断是否需要加密，若需加密，从KMS获取密钥，对数据加密，若需解密，从CephFS中读取数据后，从KMS获取密钥，对数据解密后返回给客户端。

一种实现文件存储服务端加密的方法，使用NFS-Ganesha将分布式文件系统CephFS导出，通过修改NFS-Ganesha源码，与密钥管理服务KMS对接，第一次读写时将密钥保存在缓存中，使用异或加密算法，通过定时任务检查密钥是否可用，实现对用户服务端加密。

作为优选，NFS-Ganesha通过监听端口，接收客户端发来的读请求和写请求，根据请求类型调用对应的libcephfs函数，使用异或加密算法将用户数据与密钥逐位进行异或计算，解密时将密文再与密钥进行一次异或操作即可解密。

作为优选，将密钥缓存在内存中，第一次读写时调用KMS接口获取密钥，再次读写时直接在缓存中读取密钥。

作为优选，将结构体数组作为缓存的数据结构，保存在全局变量中，结构体数组包括挂载点ID、密钥ID和密钥。

作为优选，新增挂载点时，在配置文件中新增挂载点ID与密钥ID的映射关系，修改NFS-Ganesha源码，使其在新增挂载点时将配置文件中新增的内容插入到结构体数组中，实现密钥ID的传入，删除挂载点时，将结构体数组对应元素所占内存释放。

作为优选，所述写操作包括以下过程：