统一加密存储方法、系统及计算机可读存储介质与流程

技术特征：
1.一种统一加密存储系统，其特征在于，包括：统一加密子系统、算法适配模块以及目标驱动模块；其中，所述目标驱动模块用于接收和响应块存储通过device mapper访问注册的所述目标驱动模块的请求，选择并调用所述统一加密子系统完成所述块存储的加解密操作；所述统一加密子系统与操作系统算法管理模块通信，所述统一加密子系统包括：加解密算法抽象模块，用于对每个加解密算法按照预设抽象规则抽象出与所述加解密算法匹配的算法规则；密钥生成算法抽象模块，用于对每个加密卡的密钥生成过程按照预设抽象规则抽象出一个随机数生成算法；虚拟字符设备用于供用户态应用管理程序直接访问，以ioctl系统调用的形式，根据业务需要完成对底层加密卡进行操作；所述统一加密子系统中存储有多个预设的算法模板，每个所述算法模板包括公共机制、算法处理机制、请求处理机制和配置管理机制；算法适配模块，用于根据调取的所述算法模板从所述统一加密子系统获取对应的所述加解密算法匹配的算法规则与随机数生成算法，并执行对应的加解密操作。2.根据权利要求1所述的统一加密存储系统，其特征在于，所述加解密算法匹配的算法规则包括加密卡调度策略、加密卡自检规则、性能统计规则、性能调优规则、加密校验规则。3.根据权利要求1所述的统一加密存储系统，其特征在于，所述统一加密子系统还用于在操作系统上对所述预设的算法模板配置的数据加密算法和密钥生成算法向进行注册。4.一种用于如权利要求1-3中任一项所述的统一加密存储系统的统一加密存储方法，其特征在于，包括步骤：步骤s1，响应加解密服务请求，确定所述加解密服务请求对应的加密算法并完成对所述加密算法的初始属性的设置；其中，所述加解密服务请求包括块存储在创建逻辑卷发起的加解密服务请求、文件存储在挂载文件系统发起的加解密服务请求以及对象存储在启动对象发起的加解密服务请求；步骤s2，在io流程中通过crypto api查找选定的所述加密算法，调用对应的标准密钥生成接口和数据加解密接口，通过算法标准接口获取预设的算法模板；其中，所述算法模板包括公共机制、算法处理机制、请求处理机制和配置管理机制步骤s3，根据抽象出的所述算法模板解析算法配置及操作参数，并根据加密卡驱动接口形态调用加密卡驱动接口，完成对数据的加解密流程；步骤s4，使用完成加解密操作后的数据对io流程中的源数据进行替换，按照原有的io流程继续完成数据的读写操作。5.根据权利要求4所述的方法，其特征在于，在所述步骤s1之前还包括步骤s00：在操作系统上对所述预设的算法模板配置的数据加密算法和密钥生成算法向进行注册。6.根据权利要求4所述的方法，其特征在于，所述步骤s00包括：步骤s01，依次根据预设的所述算法模板对定义的算法初始配置进行校验，校验无误后在操作系统对所述算法模板进行注册；步骤s02，在所述算法模板注册后，使用所述算法模板中的数据加密算法和密钥生成算法对加密卡进行自检；步骤s031，在自检通过且加密卡数满足应用需求时，完成所述所述算法模板的注册；步骤s032，在自检不通过或者加密卡数不满足应用需求时，移除所有针对该加密卡注
册的算法。7.根据权利要求4所述的方法，其特征在于，在所述加解密服务请求为块存储在创建逻辑卷发起的加解密服务请求时，所述步骤s4包括：通过读写系统调用接口进入操作系统内核，访问虚拟文件系统；虚拟文件系统识别到是块io请求后，将请求转入通用块层处理，通用块层进一步交由device mapper；所述device mapper根据块io请求访问的虚拟块设备以及该虚拟块设备绑定的映射表查找到块存储加解密目标驱动kdcs；所述目标驱动模块根据device mapper绑定的所述映射表，向所述操作系统算法管理模块查找配置的加解密算法，在算法查找失败时，返回io错误，结束访问请求；在算法查找成功时，调用所述加解密算法对应的标准加解密接口；算法标准加解密接口调用所述统一加密子系统中与所述加解密算法匹配的算法模板定义的加解密接口；所述算法模板定义的加解密接口继续调用由算法适配模块完成适配的加密卡驱动接口，完成对数据的加解密处理；所述目标驱动模块将io栈中的数据替换为加解密之后的数据，然后将读写请求转交io调度层处理，io调度层再进一步提交给块设备完成块存储的读写操作，结束所述块存储在创建逻辑卷发起的加解密服务请求。8.根据权利要求4所述的方法，其特征在于，在所述加解密服务请求为文件存储在挂载文件系统发起的加解密服务请求时，所述步骤s4包括：通过读写系统调用接口进入操作系统内核，访问虚拟文件系统；虚拟文件系统根据文件存储访问的操作系统目录，将请求转入加密文件系统；加密文件系统根据文件系统挂载配置，向操作系统算法管理模块查找加解密算法，在算法查找失败时，返回io错误，结束访问请求；在算法查找成功时，调用所述加解密算法对应的标准加解密接口；算法标准加解密接口调用所述统一加密子系统中与所述加解密算法匹配的算法模板定义的加解密接口；所述算法模板定义的加解密接口继续调用由算法适配模块完成适配的加密卡驱动接口，完成对数据的加解密处理；加密文件系统将原始数据替换为加解密之后的数据，然后提交给块设备，完成文件系统的读写操作，结束所述文件存储在挂载文件系统发起的加解密服务请求。9.根据权利要求4所述的方法，其特征在于，在所述加解密服务请求为对象存储在启动对象发起的加解密服务请求时，所述步骤s4包括：在用户态根据对象加解密服务启动配置，向操作系统算法管理模块查找加解密算法，在算法查找失败时，返回io错误，结束访问请求；在算法查找成功时，调用所述加解密算法对应的标准加解密接口；算法标准加解密接口调用所述统一加密子系统中与所述加解密算法匹配的算法模板定义的加解密接口；所述算法模板定义的加解密接口继续调用由算法适配模块完成适配的加密卡驱动接
口，完成对数据的加解密处理；将对象的原始数据替换为加解密之后的数据，然后调用对象存储接口完成对象的读写操作，结束所述对象存储在启动对象发起的加解密服务请求。10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求4至9任一项所述的统一加密存储方法的步骤。

技术总结
本发明公开了一种统一加密存储方法、系统及计算机可读存储介质。所述统一加密存储系统包括统一加密子系统、算法适配模块以及目标驱动模块。通过实现统一加密子系统、目标驱动模块与算法适配模块，屏蔽底层加密卡驱动差异，构建不同算法以标准接口支持不同存储系统的加解密需求。统一加密子系统提供加密算法注册、加密卡调度、密钥生成等功能，块存储、文件存储和对象存储通过调用各自选定的算法，通过统一的算法接口完成数据的加解密，各存储类型无需关注具体的算法实现和底层加密卡的差异，避免了对各自存储IO栈的冲击。避免了对各自存储IO栈的冲击。避免了对各自存储IO栈的冲击。


技术研发人员：袁柱 龚溪东 彭勇 申锟铠 刘文清 杨涛
受保护的技术使用者：湖南麒麟信安科技股份有限公司
技术研发日：2021.10.15
技术公布日：2022/1/14