本發(fā)明屬于數(shù)據(jù)安全技術(shù)領(lǐng)域，具體涉及一種磁盤陣列存儲加密系統(tǒng)、方法。

背景技術(shù)：

隨著磁盤陣列存儲加密系統(tǒng)產(chǎn)品在數(shù)據(jù)安全存儲領(lǐng)域應(yīng)用日益廣泛，磁盤陣列存儲加密系統(tǒng)產(chǎn)品提出了越來越高的安全性要求，而目前磁盤陣列存儲加密系統(tǒng)產(chǎn)品大都采用密碼機的嘗試，不能做到為每一個用戶分配一套密碼資源，不能為每一個硬盤分配一個加密單元。因此無法在用戶與用戶之間、硬盤與硬盤之間做到安全隔離，進而威脅到用戶的數(shù)據(jù)安全。因此，提供一種磁盤陣列存儲加密系統(tǒng)、方法，是十分必要的。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于解決上述現(xiàn)有技術(shù)中不能為每一個用戶分配一套密碼資源，不能為每一個硬盤分配一個加密單元，無法進行個體間安全隔離，存在數(shù)據(jù)安全受威脅等問題，提供一種磁盤陣列存儲加密系統(tǒng)、方式。

為實現(xiàn)上述目的，本發(fā)明給出以下技術(shù)方案：

一種磁盤陣列存儲加密系統(tǒng)，包括：

為局域網(wǎng)中的用戶提供認證服務(wù)并接受用戶操作信息的用戶認證程序；

用于將用戶信息封存在scsi命令中進行傳輸?shù)膇nitiator端；

用于接收scsi命令，并繼續(xù)傳遞的target端；

對寫入和讀出硬盤的數(shù)據(jù)進行加解密操作的若干個sata硬盤密碼模塊。

作為優(yōu)選，所述用戶認證程序安裝在initiator端的應(yīng)用程序?qū)?，對請求存儲服?wù)的用戶進行認證管理操作，用戶通過ip網(wǎng)絡(luò)向用戶認證程序發(fā)認證請求，認證通過后調(diào)用initiator端的傳輸接口向target端發(fā)送scsi命令。

作為優(yōu)選，所述initiator端為用戶提供認證和存儲服務(wù)，并在認證通過后，將用戶信息封存在scsi命令中，然后將該scsi命令寫入iscsi協(xié)議，并通過san傳輸至target端。

作為優(yōu)選，所述initiator端包括聯(lián)系具體應(yīng)用的中間件的openpegasus，使得initiator端能被符合smi-s標準的管理軟件管理，位于應(yīng)用程序?qū)佑脩粽J證程序，位于卷管理層的多路徑軟件multipath，提供multipath軟件為initiator端到target端存儲設(shè)備提供負載均衡和故障切換功能；位于設(shè)備驅(qū)動層的網(wǎng)卡驅(qū)動。

作為優(yōu)選，所述target端與initiator端進行數(shù)據(jù)通訊，并將接收到的scsi

本方案提供的一種磁盤陣列存儲加密系統(tǒng)的軟硬件分別部署在initiator端與target端，即系統(tǒng)的主機服務(wù)器端與磁盤陣列端，并且跨越了操作系統(tǒng)的多個層次，功能性強大。

作為優(yōu)選，所述sata硬盤密碼模塊安裝在硬盤前端，對target端下發(fā)的帶有用戶信息的scsi命令進行解析，并根據(jù)解析出的用戶信息生成對稱加解密密鑰。

如上述的一種sata硬盤密碼模塊，安裝在硬盤前端，用于進行sata轉(zhuǎn)sata的數(shù)據(jù)加密；包括sata主控芯片，fpga（現(xiàn)場可編程門陣列）,pata轉(zhuǎn)sata橋片；sata協(xié)議數(shù)據(jù)通過sata接口進入sata主控芯片進行解析，解析后的用戶數(shù)據(jù)送入fpga進行加密操作，加密后的數(shù)據(jù)通過pata接口傳輸?shù)絧ata轉(zhuǎn)sata橋片，然后經(jīng)sata接口傳輸?shù)接脖P。

一種使用上述磁盤陣列存儲系統(tǒng)進行加密的方法，包括以下步驟：

1）用戶通過安裝在initiator端的用戶認證程序發(fā)起認證請求；

2）認證通過后，initiator端向target發(fā)起iscsi握手，同時將用戶信息封存在scsi命令中傳遞給target端；

3）target端還原scsi命令，并將其傳送給密碼模塊；

4）密碼模塊對scsi命令中的用戶信息進行解析，并將該信息生成數(shù)據(jù)加密密鑰，再進行相應(yīng)的加解密操作。

作為優(yōu)選，其中步驟（1），用戶首次連接initiator端時，管理員在initiator端向target端發(fā)出存儲服務(wù)申請，target端將為該新用戶分配存儲空間。

作為優(yōu)選，其中步驟（4），密碼模塊接受scsi命令后，解析出步驟（2）中封存的用戶信息，根據(jù)該用戶信息生成對稱加解密密鑰，用生成的密鑰對用戶數(shù)據(jù)進行加解密操作。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

本方案提供了一種磁盤陣列存儲加密系統(tǒng)、方法，通過用戶認證程序及sata硬盤密碼模塊的信息數(shù)據(jù)傳輸，軟硬件結(jié)合，使得磁盤陣列存儲加密系統(tǒng)產(chǎn)品在用戶與用戶之間，硬盤與硬盤之間實現(xiàn)安全隔離。通過使用本發(fā)明提供的加密系統(tǒng)和加密方法，使得每一個通過該磁盤陣列存儲加密系統(tǒng)獲取存儲服務(wù)的用戶都享有屬于自己的一套密碼資源，每一個用戶存儲到該系統(tǒng)的數(shù)據(jù)只有該用戶可以解密，別人無法破解，極大地保證了用戶數(shù)據(jù)的安全性。

此外，本發(fā)明方法原理可靠，步驟簡單，具有非常廣泛的應(yīng)用前景。

由此可見，本發(fā)明與現(xiàn)有技術(shù)相比，具有突出的實質(zhì)性特點和顯著地進步，其實施的有益效果也是顯而易見的。

附圖說明

圖1是本發(fā)明提供的一種磁盤陣列存儲加密系統(tǒng)的拓撲結(jié)構(gòu)圖。

圖2是本發(fā)明提供的一種磁盤陣列存儲加密系統(tǒng)的軟硬件結(jié)構(gòu)圖。

圖3是本發(fā)明提供的一種磁盤陣列存儲加密系統(tǒng)的數(shù)據(jù)傳輸路徑圖。

圖4是本發(fā)明提供的一種sata硬盤密碼模塊的硬件原理圖。

圖5是本發(fā)明提供的一種磁盤陣列存儲加密方法的流程圖。

其中，1-用戶認證程序，2-initiator端，3-target端，4-sata硬盤密碼模塊，41-sata主控芯片，42-fpga，43-pata轉(zhuǎn)sata橋片，5-硬盤。

具體實施方式

下面結(jié)合附圖對本發(fā)明作進一步詳細描述：

如圖1所示，本發(fā)明提供的一種磁盤陣列存儲加密系統(tǒng)，包括：

為局域網(wǎng)中的用戶提供認證服務(wù)并接受用戶操作信息的用戶認證程序1；

用于將用戶信息封存在scsi命令中進行傳輸?shù)膇nitiator端2；

用于接收scsi命令，并繼續(xù)傳遞的target端3；

對寫入和讀出硬盤的數(shù)據(jù)進行加解密操作的若干個sata硬盤密碼模塊4。

在本實施例中，所述用戶認證程序1安裝在initiator端2的應(yīng)用程序?qū)?，對請求存儲服?wù)的用戶進行認證管理操作，用戶通過ip網(wǎng)絡(luò)向用戶認證程序1發(fā)認證請求，認證通過后調(diào)用initiator端2的傳輸接口向target端3發(fā)送scsi命令。

在本實施例中，所述initiator端2為用戶提供認證和存儲服務(wù)，并在認證通過后，將用戶信息封存在scsi命令中，然后將該scsi命令寫入iscsi協(xié)議，并通過san傳輸至target端3。

在本實施例中，所述initiator端2包括聯(lián)系具體應(yīng)用的中間件的openpegasus，使得initiator端2能被符合smi-s標準的管理軟件管理，位于應(yīng)用程序?qū)佑脩粽J證程序，位于卷管理層的多路徑軟件multipath，提供multipath軟件為initiator端2到target端3存儲設(shè)備提供負載均衡和故障切換功能；位于設(shè)備驅(qū)動層的網(wǎng)卡驅(qū)動，還包括文件系統(tǒng)層和作為硬件的網(wǎng)卡。

在本實施例中，所述target端3與initiator端2進行數(shù)據(jù)通訊，并將接收到的scsi命令傳送給sata硬盤密碼模塊4。

在本實施例中，所述target端3包括聯(lián)系具體應(yīng)用的openpegasus；位于應(yīng)用程序?qū)拥腶pache和php，為本地管理界面提供web服務(wù)；位于卷管理層的scst，為scsi命令的網(wǎng)絡(luò)傳輸提供各種通訊協(xié)議；位于卷管理層的lvm和madam，提供后端存儲設(shè)備軟raid和邏輯卷管理功能，以及位于設(shè)備驅(qū)動層的網(wǎng)卡驅(qū)動和作為硬件的網(wǎng)卡。

本方案提供的一種磁盤陣列存儲加密系統(tǒng)的軟硬件分別部署在initiator端2與target端3，即系統(tǒng)的主機服務(wù)器端與磁盤陣列端，并且跨越了操作系統(tǒng)的多個層次，功能性強大。

在本實施例中，所述sata硬盤密碼模塊4安裝在硬盤5前端，對target端3下發(fā)的帶有用戶信息的scsi命令進行解析，并根據(jù)解析出的用戶信息生成對稱加解密密鑰。

本發(fā)明還提供了在上述加密系統(tǒng)中使用的一種sata硬盤密碼模塊4，安裝在硬盤5前端，用于進行sata轉(zhuǎn)sata的數(shù)據(jù)加密；包括sata主控芯片41，fpga（現(xiàn)場可編程門陣列）42,pata轉(zhuǎn)sata橋片43；sata協(xié)議數(shù)據(jù)通過sata接口進入sata主控芯片41進行解析，解析后的用戶數(shù)據(jù)送入fpga42進行加密操作，加密后的數(shù)據(jù)通過pata接口傳輸?shù)絧ata轉(zhuǎn)sata橋片43，然后經(jīng)sata接口傳輸?shù)接脖P5。

本發(fā)明還提供了一種使用上述磁盤陣列存儲系統(tǒng)進行加密的方法，包括以下步驟：

1）用戶通過安裝在initiator端的用戶認證程序發(fā)起認證請求；

2）認證通過后，initiator端向target發(fā)起iscsi握手，同時將用戶信息封存在scsi命令中傳遞給target端；

3）target端還原scsi命令，并將其傳送給密碼模塊；

4）密碼模塊對scsi命令中的用戶信息進行解析，并將該信息生成數(shù)據(jù)加密密鑰，再進行相應(yīng)的加解密操作。

在本實施例中，其中步驟（4），密碼模塊接受scsi命令后，解析出步驟（2）中封存的用戶信息，根據(jù)該用戶信息生成對稱加解密密鑰，用生成的密鑰對用戶數(shù)據(jù)進行加解密操作。

在本方案的其他實施例中，當用戶首次連接initiator端時，管理員在initiator端向target端發(fā)出存儲服務(wù)申請，target端將為該新用戶分配存儲空間，然后再進行步驟（1）的操作。

本方案提供了一種磁盤陣列存儲加密系統(tǒng)、方法，通過用戶認證程序1及sata硬盤密碼模塊4的信息數(shù)據(jù)傳輸，軟硬件結(jié)合，使得磁盤陣列存儲加密系統(tǒng)產(chǎn)品在用戶與用戶之間，硬盤5與硬盤5之間實現(xiàn)安全隔離。通過使用本發(fā)明提供的加密系統(tǒng)和加密方法，使得每一個通過該磁盤陣列存儲加密系統(tǒng)獲取存儲服務(wù)的用戶都享有屬于自己的一套密碼資源，每一個用戶存儲到該系統(tǒng)的數(shù)據(jù)只有該用戶可以解密，別人無法破解，極大地保證了用戶數(shù)據(jù)的安全性。

上述技術(shù)方案只是本發(fā)明的一種實施方式，對于本領(lǐng)域內(nèi)的技術(shù)人員而言，在本發(fā)明公開了應(yīng)用方法和原理的基礎(chǔ)上，很容易做出各種類型的改進或變形，而不僅限于本發(fā)明上述具體實施方式所描述的方法，因此前面描述的方式只是優(yōu)選的，而并不具有限制性的意義。