买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!
申请/专利权人:河南嵩山实验室产业研究院有限公司洛阳分公司
摘要:本发明公开一种网络编排器中容器数据持久化加密存储方法和系统,该系统包括网络编排器、云服务密码平台和存储服务器,网络编排器包括编排控制器、CSI驱动控制器、业务容器及sidecar加解密服务容器,CSI驱动控制器用于向业务容器注入sidecar加解密服务容器,创建加密文件系统存储卷并向编排控制器注册钩子回调函数;编排控制器负责将加密文件系统存储卷和业务容器进行绑定;云服务密码平台中的虚拟密码机集群为sidecar加解密服务容器提供加解密、签名验签和密钥存储接口;存储服务器包括元数据引擎和对象存储,分别持久化存储加密文件系统的元数据和加密数据。本发明能够为网络编排器容器提供解耦的文件持久化加密存储,保障容器敏感数据全生命周期的安全性。
主权项:1.一种网络编排器中容器数据持久化加密存储方法,其特征在于,包括以下步骤:S1、加密文件系统数据初始化阶段:在基于kubernetes二次开发的网络编排器中,部署定制化开发的CSI驱动控制器,创建业务容器和加密文件系统,CSI驱动控制器向业务容器注入sidecar加解密服务容器,sidecar加解密服务容器通过云服务密码平台为加密文件系统分配SM2非对称密钥,再将加密文件系统元数据上传至元数据引擎,并将加密文件系统挂载至业务容器的相应加密目录下;S2、数据加密阶段:将敏感数据文件放在所述加密目录下,sidecar加解密服务容器对原始数据进行分块并压缩,之后使用对称密钥和初始向量IV对每个数据块进行加密得到密文数据,使用SM2私钥对对称密钥明文进行签名,并将对称密钥明文及其签名值进行加密得到密钥密文,然后将密文数据、密钥密文和初始向量IV组合上传至对象存储进行持久化存储;S3、数据解密阶段:sidecar加解密服务容器下载加密对象并进行拆分,使用非对称密钥对对称密钥密文进行解密和验签,使用解密出的对称密钥和初始向量IV对密文数据解密,最后再对明文数据块解压缩,业务容器即可访问加密敏感数据。
全文数据:
权利要求:
百度查询: 河南嵩山实验室产业研究院有限公司洛阳分公司 一种网络编排器中容器数据持久化加密存储方法和系统
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。