[发明专利]一种分布式块存储系统的密钥管理方法及装置

说明书

本发明公开了一种分布式块存储系统的密钥管理方法及装置，方法应用于客户端，包括：根据携带有加密属性和加密算法标识的第一创建指令，创建第一块设备；若加密属性指示第一块设备为加密设备，则发送包含所述加解密算法标识的第一密钥创建请求至服务端；接收服务端根据第一密钥创建请求反馈的第一密钥ID，第一密钥ID是服务端在确认客户端用户身份合法后反馈的。本发明的分布式块存储系统的密钥管理方法，通过在创建块设备时，对加密属性为加密设备的块设备，自动密钥创建，在服务端确认客户端身份合法后创建密钥，并反馈与密钥关联存储的密钥ID，确保了密钥的安全管理，提升了块设备数据的存储安全，也为后续块设备密钥的安全管理提供了基础。

技术领域

本发明涉及云计算安全技术领域，尤其涉及一种分布式块存储系统的密钥管理方法及装置。

背景技术

面对信息化程度不断提高带来的海量数据存储需求，传统的存储系统在容量和性能的扩展上存在瓶颈。云存储以其扩展性强、性价比高、容错性好等优势得到了业界的广泛认同。分布式块存储作为云存储中重要的技术，成为奠定云存储发展的重要基石。在一些特定的云计算应用场景中，分布式存储系统向上层提供块设备，供客户端用户来使用。例如Ceph提供块设备，供OpenStack组件使用。

在大规模分布式存储系统中，用户最关心的是数据的安全性。目前，主要采用数据的加密存储来保障数据安全。现有分布式块存储的应用中，在服务端对物理磁盘进行全盘加解密，该技术方式的加密密钥分散保存在物理磁盘上，且用户对磁盘的访问是无限制的，不能保证密钥的安全管理，也就不能保证块设备数据的存储安全。

发明内容

为了解决上述技术问题，本发明提供了一种分布式块存储系统的密钥管理方法及装置，解决了现有分布式块存储的密钥管理安全性较低，不能保证数据的存储安全的问题。

依据本发明的第一方面，提供了一种分布式块存储系统的密钥管理方法，应用于客户端，包括：

根据第一创建指令，创建第一块设备，所述第一创建指令携带有所述第一块设备的加密属性和加密算法标识；

若所述加密属性指示所述第一块设备为加密设备，则发送包含所述加解密算法标识的第一密钥创建请求至服务端；

接收所述服务端根据所述第一密钥创建请求反馈的第一密钥身份标识号码ID，所述第一密钥ID是所述服务端在确认客户端用户身份合法后反馈的。

可选的，所述方法还包括：

在打开所述加密属性为加密设备的所述第一块设备时，根据所述第一密钥ID，获取第一密钥，并将所述第一密钥保存在所述客户端的内存中。

可选的，根据所述第一密钥ID，获取第一密钥，包括：

根据所述第一密钥ID，生成第一密钥获取请求；

发送第一密钥获取请求至服务端；

接收所述服务端根据所述第一密钥获取请求反馈的第一密钥。

可选的，根据所述第一密钥ID，获取第一密钥之后，还包括：

为所述第一块设备设置加解密多任务队列，所述加解密多任务队列与加解密引擎对接；所述加解密引擎包括以下至少一项：加密软件、加密卡和加密机；

在向所述第一块设备写入数据时，通过所述加解密多任务队列，利用所述第一密钥，采用分组数据进行数据的加密处理；

在读取所述第一块设备中的数据时，通过所述加解密多任务队列，利用所述第一密钥，采用分组数据进行数据的解密处理。

可选的，根据所述第一密钥ID，获取第一密钥之后，还可以包括：

在更换所述第一块设备的所述第一密钥时，利用所述第一密钥解密并导出所述第一块设备中的第一数据；