一种云硬盘快速加密方法及系统与流程

本发明属于云计算数据安全，尤其涉及一种云硬盘快速加密方法及系统。

背景技术：

1、云计算是近年来快速发展的新兴技术，得到了政府、金融、交通等各行业单位的青睐，出现了政务云、金融云、交通云等行业云。云计算具有高性价比、高灵活性、高扩展性、专业安全服务保障等特点，有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时，云计算服务也面临诸多挑战，作为资源高度集中的平台环境，云计算平台更容易成为黑客的攻击目标。与传统企业的网络环境相比，云计算平台所面临的攻击威胁更大，产生的影响更大，导致云上数据安全成为众多用户担心的主要问题之一。

2、为了应对云计算环境下的数据安全风险，业界已经提出多种针对云计算数据安全解决方案，其中云硬盘加密是最直接最主要的数据保护手段之一，越来越受到业界的重视。

3、目前业界的云硬盘加密方法主要包括两类：

4、第一类是将全量数据发送到外部加密机进行加密，加密完成后再将数据发送回来进行存储。此方法存在以下问题：

5、1、云硬盘数据量通常从几十gb到几百gb不等，需要将所有数据发送到加密机，对加密机的性能要求很高，往往需要部署多台加密机以集群方式进行处理，加密成本很高；

6、2、云硬盘数据通过网络发送到加密机会占用大量网络带宽，影响正常业务开展；

7、3、由于数据量太大，要将所有数据完全进行加解密将耗费大量时间，导致用户的使用体验很差。

8、第二类加密方法是本地加密方法，相比第一类方法而言，不需要占用网络带宽，但仍然存在以下问题：

9、1、云硬盘本地加密几十gb到几百gb容量，将消耗大量存储节点的性能，对正常读写业务造成严重影响；

10、2、由于加密密钥都是本地生成或者由kms(key management service，密钥管理服务)发送到本地进行加密，未进行统一加密机硬件保护，存在密钥泄露的风险，在商用密码应用安全评估场景将判定为高危风险；

11、3、由于数据量太大，要将所有数据完全进行加解密同样将耗费大量时间，导致用户的使用体验很差。

12、因此，需要一种新的云硬盘加密方法和系统解决以上问题。

技术实现思路

1、鉴于以上现有技术的不足，本发明的目的在于提供一种云硬盘快速加密方法及系统，在提高加密可靠性的同时，降低加密的工作量和对正常业务的影响，提升用户使用体验。

2、本发明的第一方面，提出了一种云硬盘快速加密方法，包括以下步骤：

3、s1，确定云硬盘加密配置，所述加密配置包括加密方式和加密策略；

4、s2，将所述云硬盘的文件数据切分为预定大小的数据块；

5、s3，基于所述加密策略，从所述数据块中截取子数据块，同时记录所述文件数据的元数据；

6、s4，基于所述加密方式，分别对所述元数据和所述子数据块进行加密；

7、s5，将加密后的子数据块替换原数据块中的所述子数据块，形成新加密数据块，再将所述新加密数据块存储于所述云硬盘的数据节点，同时将加密后的元数据存储于所述云硬盘之外的元数据节点。

8、进一步地，s1中的所述加密策略包括随机采样算法、采样数量和加密颗粒度。

9、进一步地，s3中的所述子数据块位于所述数据块中的起始点由所述随机采样算法确定，所述子数据块的长度由所述加密颗粒度确定，所述子数据块的个数由所述采样数量确定。

10、进一步地，s3中的所述元数据的内容包括所述文件数据的信息、所述数据块的信息、所述子数据块的信息及对应数据节点的映射路径。

11、本发明的第二方面，提出了一种云硬盘快速加密系统，用于实现上述云硬盘快速加密方法，所述云硬盘快速加密系统包括：加密模块，用于对数据进行加密；控制台，用于创建云硬盘、配置所述加密模块，并提供可视化操作界面以确定加密策略；云硬盘，包括数据节点，用于存储数据块；云主机，包括计算节点，所述计算节点包括客户端，用于执行所述加密策略；底层控制器，用于接收所述控制台下发的所述加密策略并转发至所述云主机的客户端，同时记录所述文件数据的元数据。

12、进一步地，所述加密模块为硬件加密机。

13、进一步地，所述硬件加密机数量为若干个，采用集群部署模式。

14、进一步地，所述控制台对所述硬件加密机的配置信息包括硬件加密机的ip地址、集群信息和心跳检测信息。

15、进一步地，所述云硬盘快速加密系统采用脊-叶(spine-leaf)网络架构。

16、进一步地，所述云硬盘快速加密系统的控制流程包括：

17、s101，控制台创建云硬盘，并配置硬件加密机和加密策略；

18、s102，所述控制台下发所述加密策略至底层控制器；

19、s103，所述底层控制器发送所述加密策略和切片策略至客户端；

20、s104，所述客户端进行数据块切片和子数据块采样，同时所述底层控制器记录元数据；

21、s105，所述底层控制器通过所述硬件加密机加密所述元数据，并存储于所述底层控制器的元数据节点；

22、s106，所述客户端通过所述硬件加密机加密所述子数据块，并将加密后的子数据块替换原数据块中的所述子数据块，形成新加密数据块，再将所述新加密数据块发送并存储至所述云硬盘的数据节点。

23、本发明有益效果如下：

24、本发明所述的云硬盘快速加密方法及系统，通过对元数据和数据块均进行加密，提高加密可靠性和破解难度；通过对子数据块进行加密，在保持数据加密安全性的基础上降低加密的工作量、降低加密性能要求、节约成本、缩短加密时间、降低网络负担、减少对正常业务的影响、提高用户使用体验。用户可自定义采样数量和加密颗粒度，以控制加密强度，提供系统的灵活性。

技术特征：

1.一种云硬盘快速加密方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的云硬盘快速加密方法，其特征在于，s1中的所述加密策略包括随机采样算法、加密颗粒度和采样数量。

3.根据权利要求2所述的云硬盘快速加密方法，其特征在于，s3中的所述子数据块位于所述数据块中的起始点由所述随机采样算法确定，所述子数据块的长度由所述加密颗粒度确定，所述子数据块的个数由所述采样数量确定。

4.根据权利要求1所述的云硬盘快速加密方法，其特征在于，s3中的所述元数据的内容包括所述文件数据的信息、所述数据块的信息、所述子数据块的信息及对应数据节点的映射路径。

5.一种云硬盘快速加密系统，其特征在于，用于实现权利要求1至4任一项所述的云硬盘快速加密方法，所述云硬盘快速加密系统包括：

6.根据权利要求5所述的云硬盘快速加密系统，其特征在于，所述加密模块为硬件加密机。

7.根据权利要求6所述的云硬盘快速加密系统，其特征在于，所述硬件加密机数量为若干个，采用集群部署模式。

8.根据权利要求7所述的云硬盘快速加密系统，其特征在于，所述控制台对所述硬件加密机的配置信息包括硬件加密机的ip地址、集群信息和心跳检测信息。

9.根据权利要求6所述的云硬盘快速加密系统，其特征在于，所述云硬盘快速加密系统采用脊-叶(spine-leaf)网络架构。

10.根据权利要求9所述的云硬盘快速加密系统，其特征在于，所述云硬盘快速加密系统的控制流程包括：

技术总结
本发明涉及一种云硬盘快速加密方法及系统，属于云计算数据安全技术领域，该方法包括：确定云硬盘加密配置；将云硬盘的文件数据切分为预定大小的数据块；从数据块中截取子数据块，同时记录元数据；分别对元数据和子数据块进行加密；将加密后的子数据块替换原数据块中的子数据块，形成新加密数据块，将新加密数据块存储于云硬盘的数据节点，同时将加密后的元数据存储于云硬盘之外的元数据节点。本发明所提供的方法及系统，可以提高加密可靠性和破解难度；在保持数据加密安全性的基础上降低加密的工作量、降低加密性能要求、节约成本、缩短加密时间、降低网络负担、减少对正常业务的影响、提高用户使用体验。

技术研发人员：姚永亮,姜德强,潘晓东
受保护的技术使用者：天翼云科技有限公司
技术研发日：
技术公布日：2024/6/26