一種高速高通的數(shù)據(jù)安全存儲和傳輸方法
【專利摘要】本發(fā)明公開了一種高速高通的數(shù)據(jù)安全存儲和傳輸方法,該方法使用改進的iSCSI存儲技術將高速網(wǎng)卡傳輸?shù)臄?shù)據(jù)直接從PCI-E接口經(jīng)過PCI-E總線導向硬件透明加解密板卡��,由硬件透明加解密板卡將用戶明文數(shù)據(jù)加密成用戶密文數(shù)據(jù)��,由硬件透明加解密板卡將用戶密文數(shù)據(jù)解密成用戶明文數(shù)據(jù)�����,使用改進的iSCSI存儲技術將用戶明文數(shù)據(jù)經(jīng)過PCI-E總線導向光纖以太網(wǎng)卡�����,光纖以太網(wǎng)卡將用戶明文數(shù)據(jù)通過SFP接口轉換成光信號��,通過光纖傳輸給用戶���。本發(fā)明方法使用硬件透明加解密板卡對用戶數(shù)據(jù)進行加密和解密��,保證了云安全技術中用戶數(shù)據(jù)在存儲和傳輸中的安全�。同時,在將用戶數(shù)據(jù)加密保護的同時��,網(wǎng)絡速率并沒有像通常的軟件實現(xiàn)方案一樣有大幅的下降��。
【專利說明】一種高速高通的數(shù)據(jù)安全存儲和傳輸方法
【技術領域】
[0001] 本發(fā)明涉及數(shù)據(jù)安全存儲和傳輸��,尤其涉及一種高速高通的數(shù)據(jù)安全存儲和傳輸 方法���,屬于計算機信息安全【技術領域】。
【背景技術】
[0002] 市場上常見的存儲設備大多都采用"明文"方式存放數(shù)據(jù)��,這使得數(shù)據(jù)對系統(tǒng)管理 員�����、云存儲服務提供商而言是完全開放的�。更有甚者,一旦存儲服務器被攻破�����,所有數(shù)據(jù)都 將無密可守���。大規(guī)模高性能存儲系統(tǒng)安全需求���,尤其是云存儲應用中�����,可擴展和高性能的存 儲安全技術�����,是推動網(wǎng)絡環(huán)境下的云存儲應用最根本的保證���。因此,安全存儲數(shù)據(jù)已經(jīng)成為 當前網(wǎng)絡存儲領域的研究熱點��。要讓企業(yè)和組織大規(guī)模應用云計算技術與平臺����,放心地將 其數(shù)據(jù)交付于云服務提供商管理,就必須全面地分析并著手解決云計算所面臨的各種安全 問題�。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明公開了一種高速高通的數(shù)據(jù)安全存儲和傳輸方法,解決了數(shù)據(jù)存儲和傳輸 所面臨的安全和速度問題�����。
[0004] 為實現(xiàn)上述發(fā)明目的,本發(fā)明采取的技術方案是:一種高速高通的數(shù)據(jù)安全存儲 和傳輸?shù)姆椒?���,包括以下步驟: A :使用改進的iSCSI存儲技術將高速網(wǎng)卡傳輸?shù)臄?shù)據(jù)直接從PCI-E接口經(jīng)過PCI-E 總線導向硬件透明加解密板卡,由硬件透明加解密板卡將用戶明文數(shù)據(jù)加密成用戶密文數(shù) 據(jù)��; B :使用改進的iSCSI存儲技術將用戶密文數(shù)據(jù)保存至iSCSI存儲設備中��; C :使用改進的iSCSI存儲技術將用戶密文數(shù)據(jù)從存儲設備中取出�; D :將用戶密文數(shù)據(jù)通過PCI-E總線導向硬件透明加解密板卡��; E :由硬件透明加解密板卡將用戶密文數(shù)據(jù)解密成用戶明文數(shù)據(jù)���; F :使用改進的iSCSI存儲技術將用戶明文數(shù)據(jù)經(jīng)過PCI-E總線導向光纖以太網(wǎng)卡�。
[0005] 進一步地�,上述步驟A和步驟E中所使用的加/解密算法為對稱加密算法。
[0006] 優(yōu)選地�,所述步驟A中高速網(wǎng)卡傳輸?shù)臄?shù)據(jù)為載有用戶明文數(shù)據(jù)的電信號,而所 述載有用戶明文數(shù)據(jù)的電信號通過將用戶明文數(shù)據(jù)通過SFP接口由光信號轉換而成�。
[0007] 進一步優(yōu)選地,所述光信號載有用戶明文數(shù)據(jù)并通過光纖傳輸�。
[0008] 優(yōu)選地,緊隨步驟F�,所述光纖以太網(wǎng)卡將用戶明文數(shù)據(jù)通過SFP接口轉換成光信 號�,并通過光纖傳輸給用戶���。
[0009] 本發(fā)明方法使用硬件透明加解密板卡對用戶數(shù)據(jù)進行加密和解密���,保證了云安全 技術中用戶數(shù)據(jù)在存儲和傳輸中的安全。同時�����,在將用戶數(shù)據(jù)加密保護的同時�����,網(wǎng)絡速率并 沒有像通常的軟件實現(xiàn)方案一樣有大幅的下降����。
【專利附圖】
【附圖說明】
[0010] 圖1是實現(xiàn)本發(fā)明方法的系統(tǒng)架構示意圖。
[0011] 圖2是實現(xiàn)本發(fā)明方法的系統(tǒng)架構示意圖�。
[0012] 圖3是本發(fā)明方法流程示意圖。
[0013] 在圖3中�����,1至2的虛線表示用戶數(shù)據(jù)傳輸路徑���,2至3的虛線表示用戶密文數(shù)據(jù) 從存儲設備中讀取或者保存在存儲設備�,2至4的虛線表示密文數(shù)據(jù)從光纖讀取或保存。
【具體實施方式】
[0014] 下面將結合附圖進一步描述本發(fā)明����。應當理解,下面描述的本發(fā)明的特定細節(jié)僅 為說明本發(fā)明用���,并不構成對本發(fā)明的限制�����。根據(jù)所描述的本發(fā)明的教導作出的任何修改 和變型也在本發(fā)明的范圍內(nèi)。
[0015] 本發(fā)明方法可以分為網(wǎng)絡�����、存儲��、透明加解密三個部分�。其中網(wǎng)絡部分可包括:光 纖、SPF接口�����、光纖以太網(wǎng)卡;存儲部分可包括:存儲設備(存儲設備可以是傳統(tǒng)硬盤���、混合 硬盤�����、固態(tài)硬盤或者高速硬盤)����、iSCSI存儲技術����;透明加解密部分可包括:硬件透明加解密 板卡,其中優(yōu)選采用對稱加密算法�����。如圖1和圖2所示��。
[0016] 在圖1中�����,在基于光纖的網(wǎng)絡內(nèi)有數(shù)據(jù)訪問服務器1�����、數(shù)據(jù)訪問服務器2、數(shù)據(jù)訪問 服務器3�、安裝了硬件透明加解密板卡的透明加解密服務器、防火墻�����,硬件透明加解密板卡 有兩個SPF接口�����,分別與網(wǎng)絡中的光纖接口連接�����,透明加解密服務器使用改進的iSCSI存 儲技術將自身高速硬盤作為存儲資源創(chuàng)建iSCSI目的端�����,數(shù)據(jù)訪問服務器1����、數(shù)據(jù)訪問服務 器2���、數(shù)據(jù)訪問服務器3使用iSCSI發(fā)起端訪問透明加解密服務器上的iSCSI目的端即實 現(xiàn)了本發(fā)明��。其中�����,改進的iSCSI存儲技術由普通的iSCSI存儲技術改進而來����。相比普通 的iSCSI存儲技術,改進的iSCSI存儲技術改進了 iSCSI數(shù)據(jù)的流向���。未改進之前�,iSCSI 發(fā)起端將數(shù)據(jù)發(fā)送至iSCSI服務端�����,服務端將數(shù)據(jù)直接傳輸至邏輯磁盤上保存��;改進之后���, iSCSI發(fā)起端將數(shù)據(jù)發(fā)送至iSCSI服務端��,服務端將通過PCI-E協(xié)議將數(shù)據(jù)傳輸至硬件透明 加解密板卡���,硬件透明加解密板卡處理后���,取回數(shù)據(jù),繼續(xù)執(zhí)行原先的邏輯���,將數(shù)據(jù)傳輸至 邏輯磁盤上保存�。其中���,硬件透明加解密板卡的功能有兩個:一�����、加載密鑰��;二�����、接收密文/ 明文數(shù)據(jù)使用加載的密鑰,使用分組加密算法將密文/明文數(shù)據(jù)變?yōu)槊魑?密文數(shù)據(jù)��。硬 件透明加解密板卡可通過對現(xiàn)場可編程邏輯門陣列進行編程實現(xiàn)。
[0017] 圖2中右邊是存儲服務器集群�����,集群由基于光纖的網(wǎng)絡�、防火墻和若干存儲服務 器組成,提供了 iSCSI目的端存儲服務�,圖2中左邊由基于光纖的網(wǎng)絡、防火墻����、數(shù)據(jù)訪問服 務器1、數(shù)據(jù)訪問服務器2����、數(shù)據(jù)訪問服務器3、安裝了硬件透明加解密板卡的透明加解密服 務器組成���,硬件透明加解密板卡有兩個SPF接口����,分別與網(wǎng)絡中的光纖接口連接�。透明加解 密服務器使用iSCSI目的端對右邊的iSCSI目的端發(fā)起訪問,將右邊的存儲資源映射為自 身的存儲資源���,透明加解密服務器使用改進的iSCSI存儲技術將映射至本地的存儲資源作 為存儲資源創(chuàng)建iSCSI目的端���,數(shù)據(jù)訪問服務器1����、數(shù)據(jù)訪問服務器2���、數(shù)據(jù)訪問服務器3使 用iSCSI發(fā)起端訪問透明加解密服務器上的iSCSI目的端即實現(xiàn)了本發(fā)明�����。
[0018] 本發(fā)明方法也可以分為"明文靜態(tài)數(shù)據(jù)的存儲變成密文靜態(tài)數(shù)據(jù)的存儲"和"明文 動態(tài)數(shù)據(jù)的傳輸變成密文動態(tài)數(shù)據(jù)的傳輸"兩大部分����。下面分別進行詳細描述��。
[0019] (1)明文靜態(tài)數(shù)據(jù)的存儲變成密文靜態(tài)數(shù)據(jù)的存儲: 當用戶保存數(shù)據(jù)的時候�����,數(shù)據(jù)將通過基于以太網(wǎng)的iSCSI協(xié)議傳輸至透明加解密服務 器上�����,經(jīng)過透明加解密服務器上硬件透明加解密板卡的加密后存儲至透明加解密服務器的 高速硬盤上��,此時透明加解密服務器的硬盤上存儲的數(shù)據(jù)是經(jīng)過對稱加密算法加密的密文 數(shù)據(jù)�����,非法地通過直接讀取硬盤數(shù)據(jù)將不能得到正常的可讀數(shù)據(jù)�,出現(xiàn)的將是不可識別的 密文。
[0020] 當用戶讀取數(shù)據(jù)的時候��,數(shù)據(jù)訪問服務器將通過基于以太網(wǎng)的iSCSI協(xié)議從透明 加解密服務器的高速硬盤上找到相應的密文數(shù)據(jù)��,由透明加解密服務器上的硬件透明加解 密板卡將經(jīng)過對稱加密算法加密的密文數(shù)據(jù)解密成明文數(shù)據(jù)�����,最后經(jīng)過網(wǎng)絡傳輸將明文傳 輸至數(shù)據(jù)訪問服務器�,這時數(shù)據(jù)訪問服務器將能正常讀取識別數(shù)據(jù)。
[0021] (2)明文動態(tài)數(shù)據(jù)的傳輸變成密文動態(tài)數(shù)據(jù)的傳輸: 當用戶保存數(shù)據(jù)的時候���,數(shù)據(jù)將通過基于以太網(wǎng)的iSCSI協(xié)議傳輸至透明加解密服 務器上��,經(jīng)過透明加解密服務器上硬件透明加解密板卡的加密后���,繼續(xù)通過基于以太網(wǎng)的 iSCSI協(xié)議傳輸至存儲服務器上�����,此時存儲服務器的硬盤上存儲的數(shù)據(jù)將是經(jīng)過對稱加密 算法加密的密文數(shù)據(jù)�,非法地通過直接讀取存儲服務器的硬盤數(shù)據(jù)將不能得到正常的可讀 數(shù)據(jù)�����,出現(xiàn)的將是不可識別的密文����。
[0022] 當用戶讀取數(shù)據(jù)的時候,數(shù)據(jù)訪問服務器將通過基于以太網(wǎng)的iSCSI協(xié)議從存儲 服務器上找到相應的密文數(shù)據(jù)��,透明加解密服務器先將密文數(shù)據(jù)從存儲服務器讀取至透明 加解密服務器����,再由透明加解密服務器上的硬件透明加解密板卡將經(jīng)過對稱加密算法加密 的密文數(shù)據(jù)解密成明文數(shù)據(jù),最后經(jīng)過網(wǎng)絡傳輸將明文傳輸至數(shù)據(jù)訪問服務器���,這時數(shù)據(jù) 訪問服務器將能正常讀取識別數(shù)據(jù)�。
[0023] 以上通過分別描述每個過程的實施場景案例��,詳細描述了本發(fā)明��,本領域的技術 人員應能理解。在不脫離本發(fā)明實質的范圍內(nèi)�����,可以作修改和變形���,比如部分模塊的剝離使 用和將系統(tǒng)嵌入于其他應用系統(tǒng)中。
【權利要求】
1. 一種高速高通的數(shù)據(jù)安全存儲和傳輸方法����,其特征在于包括以下步驟: A. 將高速網(wǎng)卡傳輸?shù)挠脩裘魑臄?shù)據(jù)直接從PCI-E接口經(jīng)過PCI-E總線導向硬件透明 加解密板卡,由硬件透明加解密板卡將用戶明文數(shù)據(jù)加密成用戶密文數(shù)據(jù)��; B. 將用戶密文數(shù)據(jù)保存至iSCSI存儲設備中�����; C. 將用戶密文數(shù)據(jù)從存儲設備中取出��; D. 將用戶密文數(shù)據(jù)通過PCI-E總線導向硬件透明加解密板卡�; E. 由硬件透明加解密板卡將用戶密文數(shù)據(jù)解密成用戶明文數(shù)據(jù); F. 將用戶明文數(shù)據(jù)經(jīng)過PCI-E總線導向光纖以太網(wǎng)卡��。
2. 根據(jù)權利要求1所述的高速高通的數(shù)據(jù)安全存儲和傳輸方法����,其特征在于:所述的 加/解密算法為對稱加密算法����。
3. 根據(jù)權利要求2所述的高速高通的數(shù)據(jù)安全存儲和傳輸方法�����,其特征在于:所述步 驟A中高速網(wǎng)卡傳輸?shù)臄?shù)據(jù)為載有用戶明文數(shù)據(jù)的電信號���,而所述載有用戶明文數(shù)據(jù)的電 信號通過將用戶明文數(shù)據(jù)通過SFP接口由光信號轉換而成�����。
4. 根據(jù)權利要求3所述的高速高通的數(shù)據(jù)安全存儲和傳輸方法�,其特征在于:所述光 信號載有用戶明文數(shù)據(jù)并通過光纖傳輸����。
5. 根據(jù)權利要求1所述的高速高通的數(shù)據(jù)安全存儲和傳輸方法,其特征在于:緊隨步 驟F��,所述光纖以太網(wǎng)卡將用戶明文數(shù)據(jù)通過SFP接口轉換成光信號�,并通過光纖傳輸給用 戶。
【文檔編號】H04L29/08GK104092772SQ201410351884
【公開日】2014年10月8日 申請日期:2014年7月23日 優(yōu)先權日:2014年7月23日
【發(fā)明者】張曉東, 陳萬江, 傅文斌, 莊海泉 申請人:江蘇敏捷科技股份有限公司