本申请公开了一种密钥保护方法、装置、设备、介质,涉及信息安全技术领域,包括:获取到由用户端发送到虚拟机的加解密请求后,从与虚拟机对应的业务数据卷中获取相应的加密密文;加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对虚拟机的密钥进行加密后得到的,不同宿主机分别对应于不同的管理公钥;将所有加密密文依次发送至目标宿主机的密码运算模块,确定目标加密密文;通过目标宿主机中的密码运算模块保存的目标管理私钥对加密密文进行解密获取虚拟机的密钥,以便利用虚拟机的密钥对用户端发送的加解密请求进行处理。本申请避免借助外部密钥保存系统对宿主机的管理密钥进行管理,减少管理密钥暴露的风险。险。险。
【技术实现步骤摘要】
一种密钥保护方法、装置、设备、存储介质
[0001]本专利技术涉及信息安全
,特别涉及一种密钥保护方法、装置、设备、存储介质。
技术介绍
[0002]容器虚拟化的安全设备,是指实现了容器虚拟化的各种合规的安全设备。作为一种云计算资源,它支持创建多个业务容器,它们会共享使用该安全设备的密码运算模块、计算资源、网络资源和存储资源等。出于集中管理、横向扩展和支持高可用等方面的考虑,可以将多台安全设备组成一个安全设备集群。这样,就可以将不同节点上的业务容器组成一个业务容器集群,统一对外提供业务。此外,也可以支持业务容器的跨节点漂移。
[0003]为了保证安全设备集群中每台安全的管理密钥的一致性,需要借助外部物理介质例如:使用安全的U盾(USB Key)对管理密钥进行安全同步,但这样一来,理论上会增加管理密钥暴露的风险。另外,当业务容器集群的数量很多时,对运维人员不太友好,也增加了运维误操作的概率。其次,由于安全设备集群只采用了一个管理密钥,如果有一台安全设备被入侵,将会导致该安全设备集群中其它所有的安全设备都存在泄露密钥的风险。
[0004]综上,如何避免安全设备集群使用存储在第三方密钥保存系统中的单个管理密钥管理产生的管理密钥暴露和安全设备集群被攻破的问题,实现支持业务容器的跨节点漂移,以及跨节点的业务容器集群对外统一提供服务。
技术实现思路
[0005]有鉴于此,本专利技术的目的在于提供一种密钥保护方法、装置、设备、存储介质,避免安全设备集群使用存储在第三方密钥保存系统中的单个管理密钥管理产生的管理密钥暴露和安全设备集群被攻破的问题,实现支持业务容器的跨节点漂移,以及跨节点的业务容器集群对外统一提供服务。其具体方案如下:
[0006]第一方面,本申请公开了一种密钥保护方法,应用于分布式存储系统,包括:
[0007]当获取到由用户端发送到虚拟机的加解密请求后,从与所述虚拟机对应的业务数据卷中获取相应的加密密文;所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的,其中,不同所述宿主机分别对应于不同的所述管理公钥;
[0008]将所有所述加密密文依次发送至目标宿主机的密码运算模块,以确定出目标加密密文;
[0009]通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥,以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理。
[0010]可选的,所述密钥保护方法,还包括:
[0011]确定宿主机集群中当前的待删除宿主机,利用所述待删除宿主机的唯一识别码从
所述公共数据卷中查询所述待删除宿主机的状态标识,并将所述待删除宿主机的状态标识配置为停用状态标识;
[0012]基于当前状态标识为停用状态标识的所述待删除宿主机的唯一识别码对业务数据卷上保存与所述待删除宿主机对应的所述加密密文进行删除。
[0013]可选的,所述密钥保护方法,还包括:
[0014]当宿主机集群中新增一台或多台宿主机,则确定与新增宿主机存在关联关系的虚拟机以得到关联虚拟机,并从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机;
[0015]利用所述新增宿主机的管理公钥对所述目标虚拟机的密钥进行加密以得到相应的目标加密密文,并将所述目标加密密文追加至所述业务数据卷。
[0016]可选的,所述密钥保护方法,还包括:
[0017]从所述新增宿主机的所述密钥运算模块中提取出所述新增宿主机的管理公钥,并将所述新增宿主机的唯一识别码以及所述新增宿主机的管理公钥同步至所述公共数据卷。
[0018]可选的,所述从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机,包括:
[0019]控制所述新增宿主机向每个所述关联虚拟机均发送绑定请求;
[0020]判断所述关联虚拟机针对所述绑定请求的响应是否满足预设响应条件,以从所有所述关联虚拟机中筛选出允许被所述新增宿主机调度的目标虚拟机。
[0021]可选的,所述判断所述关联虚拟机针对所述绑定请求的响应是否满足预设响应条件,以从所有所述关联虚拟机中筛选出允许被所述新增宿主机调度的目标虚拟机,包括:
[0022]判断所述关联虚拟机针对所述绑定请求的响应是否存在响应错误或响应超时;
[0023]若所述关联虚拟机针对所述绑定请求的响应不存在响应错误和响应超时,则将该关联虚拟机确定为允许被所述新增宿主机调度的目标虚拟机;
[0024]若所述关联虚拟机针对所述绑定请求的响应存在响应错误或响应超时,则禁止将该关联虚拟机确定为允许被所述新增宿主机调度的目标虚拟机。
[0025]可选的,所述密钥保护方法,还包括:
[0026]基于多台所述宿主机建立所述宿主机集群;
[0027]基于所述宿主机集群构建分布式存储系统,并在所述分布式存储系统中创建所述公共数据卷和所述业务数据卷。
[0028]第二方面,本申请公开了一种密钥保护装置,包括:
[0029]密文获取模块,用于当获取到由用户端发送到虚拟机的加解密请求后,从与所述虚拟机对应的业务数据卷中获取相应的加密密文;所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的,其中,不同所述宿主机分别对应于不同的所述管理公钥;
[0030]目标私钥获取模块,用于将所有所述加密密文依次发送至目标宿主机的密码运算模块,以确定出目标加密密文;
[0031]请求处理模块,用于通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥,以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理。
[0032]第三方面,本申请公开了一种电子设备,包括:
[0033]存储器,用于保存计算机程序;
[0034]处理器,用于执行所述计算机程序,以实现前述公开的密钥保护方法的步骤。
[0035]第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的密钥保护方法的步骤。
[0036]可见,本申请公开了一种密钥保护方法,应用于分布式存储系统,包括:当获取到由用户端发送到虚拟机的加解密请求后,从与所述虚拟机对应的业务数据卷中获取相应的加密密文;所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的,其中,不同所述宿主机分别对应于不同的所述管理公钥;将所有所述加密密文依次发送至目标宿主机的密码运算模块,以确定出目标加密密文;通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥,以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理。由此可见,本申请避免借助外部物理介质对宿主机的管理密钥进行安全同步操作,以减少管理密钥暴露的风险,并且,本申请中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥保护方法,其特征在于,应用于分布式存储系统,包括:当获取到由用户端发送到虚拟机的加解密请求后,从与所述虚拟机对应的业务数据卷中获取相应的加密密文;所述加密密文为利用从公共数据卷中保存的与宿主机对应的管理公钥对所述虚拟机的密钥进行加密后得到的,其中,不同所述宿主机分别对应于不同的所述管理公钥;将所有所述加密密文依次发送至目标宿主机的密码运算模块,以确定出目标加密密文;通过所述目标宿主机中的所述密码运算模块保存的目标管理私钥对所述目标加密密文进行解密以获取所述虚拟机的密钥,以便利用所述虚拟机的密钥对用户端发送的加解密请求进行处理。2.根据权利要求1所述的密钥保护方法,其特征在于,还包括:确定宿主机集群中当前的待删除宿主机,利用所述待删除宿主机的唯一识别码从所述公共数据卷中查询所述待删除宿主机的状态标识,并将所述待删除宿主机的状态标识配置为停用状态标识;基于当前状态标识为停用状态标识的所述待删除宿主机的唯一识别码对业务数据卷上保存与所述待删除宿主机对应的所述加密密文进行删除。3.根据权利要求1所述的密钥保护方法,其特征在于,还包括:当宿主机集群中新增一台或多台宿主机,则确定与新增宿主机存在关联关系的虚拟机以得到关联虚拟机,并从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机;利用所述新增宿主机的管理公钥对所述目标虚拟机的密钥进行加密以得到相应的目标加密密文,并将所述目标加密密文追加至所述业务数据卷。4.根据权利要求3所述的密钥保护方法,其特征在于,还包括:从所述新增宿主机的所述密钥运算模块中提取出所述新增宿主机的管理公钥,并将所述新增宿主机的唯一识别码以及所述新增宿主机的管理公钥同步至所述公共数据卷。5.根据权利要求3或4所述的密钥保护方法,其特征在于,所述从所有所述关联虚拟机中确定出允许被所述新增宿主机调度的目标虚拟机,包括:控制所述新增宿主机向每个所述关联虚拟机均发送绑定请求;判断所述关联虚拟机针对所述绑定请求的响应是否满足预设响...
【专利技术属性】
技术研发人员:文欣,崔炳华,谭亮,胡凌男,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。