[发明专利]一种基于硬件加密卡的OPENSTACK卷加密方法

说明书

本发明涉及云计算安全保密领域，特别涉及一种基于硬件加密卡的OPENSTACK卷加密方法。本发明在OpenStack构建的云环境中，引入硬件密码卡，改造OpenStack中的卷加密模块，使用硬件加密算法实现OpenStack卷的透明加解密，增强OpenStack卷数据的安全性。

技术领域

本发明涉及云计算安全保密领域，特别涉及一种基于硬件加密卡的OPENSTACK卷加密方法。

背景技术

OpenStack是一个开源的云计算管理平台项目，其安全性至关重要，其中的Cinder组件向外提供卷操作接口，实现卷的创建等操作。卷可以作为虚拟机的系统盘，也可以附加到虚拟机作为数据盘，并集中存储到cinder-volume构建的OpenStack存储节点或后端存储设备。卷中数据容易受到“离线攻击”，即攻击者在系统关机状态下可以物理接触到存储节点磁盘或者其他存储介质。无论在系统运行还是关闭时，卷中数据有被窃取、篡改、未授权访问和配置不当无法访问等脆弱漏洞。

因此，必须实现虚拟机数据卷加密功能。目前，OpenStack中Cinder组件借助AES算法实现卷加密，但是软件加密存在密钥窃取、加密速率低等问题。

发明内容

为了解决现有技术的问题，本发明提供了一种基于硬件加密卡的OPENSTACK卷加密方法，其不再使用软件加密算法，而是采用密码卡算法对卷进行加解密，提升加解密速率，并提高安全性，最终实现卷的透明加解密，保证卷数据的安全性。

本发明所采用的技术方案如下：

一种基于硬件加密卡的OpenStack卷加密方法，包括以下步骤：

A、nova组件发起创建虚拟机的请求；

B、nova创建虚拟机时，会向Cinder组件发起请求，申请块设备绑定到虚拟机；

C、通过VolumeEncryptor处理块设备，借助硬件密码卡中的算法实现透明加解密；

D、更新虚拟机信息和块设备信息；

E、创建虚拟机，为其附加卷并启动虚拟机。

步骤C具体包括：

C1、借助dm-crypt机制，将密码卡算法加载到内核密码管理器；

C2、修改OpenStack源码，使OpenStack创建卷时，采用密码卡算法对卷进行加解密。

步骤C，是在OpenStack构建的云环境中配置硬件密码卡。

本发明提供的技术方案带来的有益效果是：

在OpenStack管理的云计算环境下，为了保证OpenStack卷中数据的安全性，杜绝虚拟机镜像或数据被非法窃取、篡改的情况，本发明在OpenStack构建的云环境中配置硬件密码卡，改造OpenStack，最终使用硬件密码卡中的密码算法实现OpenStack卷加解密，比原有的软件加密方式相比，密码算法运算速率更高、安全性更高，使云环境中卷数据具有更高的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术下的OpenStack创建附加加密卷的虚拟机流程图；