本發(fā)明涉及一種存儲加密方法，特別是涉及一種基于網絡的存儲加密方法。

背景技術：

現有的存儲數據加密更多的是采用在存儲磁盤卷安裝相應的加密插件或旁接一臺加密硬件，執(zhí)行對存儲數據加密處理。此類加密技術更多需要人員進行干預。在加密時，存儲卷將不可使用，非常影響用戶的體驗。

技術實現要素：

本發(fā)明所要解決的技術問題是提供一種基于網絡的存儲加密方法，其簡化存儲加密部署應用，有效防止存儲數據在網絡傳輸過程中的泄露，在加解密過程中，不需要中斷用戶業(yè)務數據。

本發(fā)明是通過下述技術方案來解決上述技術問題的：一種基于網絡的存儲加密方法，其包括寫數據流程、讀數據流程，其中：

寫數據流程，為寫入數據到存儲卷中，采用網絡存儲協議的客戶端一旦寫數據，存儲協議客戶端程序會將存儲數據組裝成對應的TCP/IP協議報文通過IP網絡傳輸到存儲卷；

讀數據流程，客戶端從存儲卷讀出數據，讀取的數據同樣組裝成TCP/IP協議報文通過IP網絡達到客戶端。

優(yōu)選地，所述寫數據流程主要包括如下步驟：

步驟一，攔截客戶端發(fā)出的網絡存儲報文；

步驟二，對網絡存儲報文進行解析，根據協議頭等信息解析出數據段部分；

步驟三，對解析的數據段部分進行加密；

步驟四，將加密數據回填到網絡傳輸報文中；

步驟五，將加密后的報文透傳到存儲卷。

優(yōu)選地，所述寫數據中的網絡存儲協議包括應用協議、TCP/IP協議，其中：

應用協議，用于定義運行在不同端系統(tǒng)上的應用程序進程如何相互傳遞報文；

TCP/IP協議，用于定義電子設備如何連入因特網，以及數據如何在它們之間傳輸的標準。

優(yōu)選地，所述應用協議包括Gluster報文、CEPH報文，其中：

Gluster報文，用于Gluster數據加密；

CEPH報文，用于CEPH數據加密。

優(yōu)選地，所述TCP/IP協議包括TCP報文、IP報文、MAC報文，其中：

TCP報文，用于完成第四層傳輸層所指定的功能；

IP報文，用于將郵件從一個Internet位置傳遞到另一個位置；

MAC報文，用于設置虛擬網絡，對網絡進行分組管理。

優(yōu)選地，所述讀數據流程主要包括如下步驟：

步驟十一，攔截存儲卷發(fā)出攜帶存儲數據的網絡報文；

步驟十二，對網絡存儲報文解析解析，根據協議頭等信息解析出數據段部分；

步驟十三，對數據段部分進行解密；

步驟十四，將解密數據回填到網絡傳輸報文中；

步驟十五，將解密后的報文透傳到客戶端。

本發(fā)明的積極進步效果在于：本發(fā)明簡化存儲加密部署應用，基本或者不需要修改現有存儲部署環(huán)境，實現數據的存儲加密；由于采用在網絡層進行加密，可以有效防止存儲數據在網絡傳輸過程中的泄露；在加解密過程中，不需要中斷用戶業(yè)務數據，保證客戶的體驗。

附圖說明

圖1為本發(fā)明基于網絡的存儲加密方法的加密示意圖。

圖2為本發(fā)明基于網絡的存儲加密方法的加密流程圖。

圖3為專用的網絡加密存儲系統(tǒng)的系統(tǒng)框架圖。

圖4為專用的網絡加密存儲系統(tǒng)的客戶端處理流程圖。

圖5為專用的網絡加密存儲系統(tǒng)的存儲卷處理流程圖。

具體實施方式

下面結合附圖給出本發(fā)明較佳實施例，以詳細說明本發(fā)明的技術方案。

如圖1、圖2所示，本發(fā)明公開了一種基于網絡的存儲加密方法，其包括寫數據流程、讀數據流程，其中：

寫數據流程(圖2的實線方向)，為寫入數據到存儲卷中，采用網絡存儲協議的客戶端一旦寫數據，存儲協議客戶端程序會將存儲數據組裝成對應的TCP/IP(傳輸控制協議/網間協議)協議報文通過IP(網間協議)網絡傳輸到存儲卷；

讀數據流程(圖2的虛線方向)，客戶端從存儲卷讀出數據，讀取的數據同樣組裝成TCP/IP協議報文通過IP網絡達到客戶端。

所述寫數據流程主要包括如下步驟：

步驟一，攔截客戶端發(fā)出的網絡存儲報文；

步驟二，對網絡存儲報文進行解析，根據協議頭等信息解析出數據段部分；

步驟三，對解析的數據段部分進行加密；

步驟四，將加密數據回填到網絡傳輸報文中；

步驟五，將加密后的報文透傳到存儲卷。

所述寫數據中的網絡存儲協議包括應用協議、TCP/IP協議，其中：

應用協議，用于定義運行在不同端系統(tǒng)上的應用程序進程如何相互傳遞報文；

TCP/IP協議，用于定義電子設備如何連入因特網，以及數據如何在它們之間傳輸的標準。

所述應用協議包括Gluster(分布式集群文件系統(tǒng))報文、CEPH(分布式文件系統(tǒng))報文，其中：

Gluster報文，用于Gluster數據加密；

CEPH報文，用于CEPH數據加密。

所述TCP/IP協議包括TCP(傳輸控制協議)報文、IP報文、MAC(物理)報文，其中：

TCP報文，用于完成第四層傳輸層所指定的功能；

IP報文，用于將郵件從一個Internet位置傳遞到另一個位置；

MAC報文，用于設置虛擬網絡，對網絡進行分組管理。

所述讀數據流程主要包括如下步驟：

步驟十一，攔截存儲卷發(fā)出攜帶存儲數據的網絡報文；

步驟十二，對網絡存儲報文解析解析，根據協議頭等信息解析出數據段部分；

步驟十三，對數據段部分進行解密；

步驟十四，將解密數據回填到網絡傳輸報文中；

步驟十五，將解密后的報文透傳到客戶端。

本發(fā)明主要針對現有流行的網絡存儲技術，如Gluster、CEPH等；針對存儲技術特征，提出在網絡協議層進行加、解密，加、解密部分為圖1。

本發(fā)明通過在存儲數據在網絡傳輸過程中，對數據報文進行獲取。解析出存儲協議報文格式部分。對網絡存儲協議頭進行解析，分析出存儲數據偏移量，根據偏移量，將存儲數據進行加密或解密處理。

實施舉例：

如圖3所示，本發(fā)明可用于設計一臺專用的網絡加密存儲系統(tǒng)，硬件平臺采用標準的x86架構，操作系統(tǒng)采用Linux。加密系統(tǒng)可以注冊到Linux內核的的TCP/IP網絡協議棧中。對所有存儲協議報文進行攔截。

如圖4所示，客戶端至存儲卷的處理流程包括以下步驟：

步驟二十一，攔截客戶端請求報文；

步驟二十二，解析請求報文；

步驟二十三，請求報文是否帶存儲數據，如果不帶到步驟二十五；

步驟二十四，獲取存儲數據部分；

步驟二十五，對存儲數據進行加密；

步驟二十六，透傳處理后的網絡報文到存儲卷。

如圖5所示，存儲卷至客戶端的處理流程包括以下步驟：

步驟三十一，攔截存儲卷響應報文；

步驟三十二，解析響應報文；

步驟三十三，響應報文是否帶存儲數據，如果不帶到步驟三十五；

步驟三十四，獲取存儲數據部分；

步驟三十五，對存儲數據進行解密；

步驟三十六，透傳處理后的網絡報文到客戶端。

本發(fā)明專門針對網絡存儲技術方案而提出，存儲數據在網絡傳輸過程中進行截取，對數據存儲部分進行加密，然后透傳到存儲卷。那么存儲卷收到的存儲數據將是加密后的數據，存儲卷根據其技術原理，將加密數據存儲到磁盤中。本發(fā)明可用于解決不同硬件和軟件平臺的異構性，而引起加密插件的兼容性問題。本發(fā)明對存儲卷一端的軟、硬件無需做任何改動。本發(fā)明部署在存儲數據網絡傳輸通道之間，所有存儲數據都能進行獲截并加密處理。該加密處理對用戶來說是透明的，無感知?，F有更多的存儲加密技術都是事后加密，意思就是先將數據進行存儲，然后由加密插件將數據讀取出來加密然后再存儲，而且加密過程中，存儲數據將暫時不可用，將可能引起用戶的業(yè)務短暫中斷。而本發(fā)明采用實時加密技術，第一次存儲到磁盤中的數據都是經過加密的，不會引起用戶業(yè)務的中斷。本發(fā)明在網絡傳輸過程中對存儲數據加密，可以防止存儲數據在傳輸過程中的泄露。

以上所述的具體實施例，對本發(fā)明的解決的技術問題、技術方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本發(fā)明的具體實施例而已，并不用于限制本發(fā)明，凡在本發(fā)明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內。