[发明专利]统一加密存储方法、系统及计算机可读存储介质

说明书

本发明公开了一种统一加密存储方法、系统及计算机可读存储介质。所述统一加密存储系统包括统一加密子系统、算法适配模块以及目标驱动模块。通过实现统一加密子系统、目标驱动模块与算法适配模块，屏蔽底层加密卡驱动差异，构建不同算法以标准接口支持不同存储系统的加解密需求。统一加密子系统提供加密算法注册、加密卡调度、密钥生成等功能，块存储、文件存储和对象存储通过调用各自选定的算法，通过统一的算法接口完成数据的加解密，各存储类型无需关注具体的算法实现和底层加密卡的差异，避免了对各自存储IO栈的冲击。

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种通用型统一加密存储方法、系统及计算机可读存储介质。

背景技术

随着对于计算机网络生成数据的安全性越来越重视，对数据的安全存储提出了各种各样的需求，不同保密级别的单位对于加密装置和数据加密粒度都有着不同的要求，甚至在同一系统针对不同安全级别的数据的加解密会采用不同的方案。

常见的加密装置一般包括软算法和硬件卡两种形式，前者表示采用纯软件的方式实现加密算法相关的加解密接口以及密钥加载功能，通常会占用主机处理器完成数据运算过程，而硬件卡是指通过专用的智能卡硬件对数据进行加解密。相对于软算法，由于硬件卡加解密密钥不出卡，且难以被跟踪或反编译等手段进行攻击，具有更好的数据安全性，同时其运算过程不占用计算机主机处理器，所以更有利于提升加解密处理性能，是保密级别较高的数据加解密方案中常用的方法。但是，不同厂商的硬件卡实现方案、接口形式都不尽相同，通常需要进行针对性的适配，加之可能与软算法在同一系统切换使用，这样对于需要支持不同智能卡的数据加密系统的灵活性和扩展性带来了极大的考验。常规的适配方式通常会引入针对性的软件版本，甚至对各类型存储系统加解密接口调用方式带来冲击，这显著地增加了版本管理和逻辑管理的复杂性，不仅导致工作量的提升还降低了系统的可靠性。

根据不同的数据存储应用场景，数据加解密的粒度一般可以分为块、文件以及对象三种类型，各自对应于块存储、文件存储以及对象存储。不同的存储类型通常对数据的加解密方式也不尽相同，例如块存储通常以逻辑卷作为密钥管理单元，不同的逻辑卷采用不同的密钥进行数据加解密，而文件存储则按照一文一密的原则分配密钥，对象存储则对每一个对象分配不同的密钥。此外，块加密和文件加密通常在操作系统内核态进行加解密处理，而对象存储则一般在用户态进行。不同的应用方式使得加解密接口的调用、密钥管理形式都存在着明显的差异，不同存储方式对加解密接口有着同步化或异步化要求，加之通常需要在同一系统中同时支持块加密存储、文件加密存储以及对象加密存储中的一种或多种形式，这进一步放大了加密系统硬件卡适配、功能扩展以及版本管理的复杂性，随着应用场景和适配的硬件卡类型越来越多，极易导致系统变得臃肿，稳定性降低，并且给维护和版本管理带来极大的资源开销。

综上可见，为了适应不断丰富的数据加密存储形态，支持不同类型的硬件卡接口，如何在保证安全性、稳定性和性能的基础上，尽可能地解耦应用形态和加密形态，从技术方案上提出一种通用的统一加密存储系统及方法，实现对不同型号加密卡的快速支持，是现有技术中亟待解决的问题。

发明内容

本发明的主要目的在于提供一种统一加密存储方法、系统及计算机可读存储介质，以解决上述的技术问题。

为实现上述目的，本发明提供的一种统一加密存储系统，包括：统一加密子系统、算法适配模块以及目标驱动模块；其中，

所述目标驱动模块用于接收和响应块存储通过device mapper访问注册的所述目标驱动模块的请求，选择并调用所述统一加密子系统完成所述块存储的加解密操作；

所述统一加密子系统与操作系统算法管理模块通信，所述统一加密子系统包括：加解密算法抽象模块，用于对每个加解密算法按照预设抽象规则抽象出与所述加解密算法匹配的算法规则；密钥生成算法抽象模块，用于对每个加密卡的密钥生成过程按照预设抽象规则抽象出一个随机数生成算法；虚拟字符设备用于供用户态应用管理程序直接访问，以ioctl系统调用的形式，根据业务需要完成对底层加密卡进行操作；