本發(fā)明涉及安全存儲領域,具體涉及一種高性能、高可靠的具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法。
背景技術:
當前,存儲技術不斷完善,基于存儲區(qū)域網絡(san)的架構的san存儲系統(tǒng)成為企業(yè)級存儲的主流選擇。san存儲系統(tǒng)主要采用光纖通道(fc-san)或以太網絡(ip-san)連接服務器主機,對數據進行集中存儲,能提升用戶it系統(tǒng)效率,降低數據運維成本。
如圖1所示,目前的san存儲系統(tǒng)中,應用服務器針對san存儲系統(tǒng)的訪問為明文的形式,這樣必然會存在安全性的隱患。因此,在san存儲系統(tǒng)廣泛應用的同時,為了保證數據存儲的安全性,目前存在對存儲數據進行加密的方法,但是現有的方法不能橫向擴展,導致數據加密防護服務器只能單臺或多臺串行運行,從而加解密性能低、延時高、用戶體驗差,并且存在加密數據損壞的風險。
技術實現要素:
本發(fā)明要解決的技術問題:針對現有技術的上述問題,提供一種可橫向擴展、高性能、高可靠,能夠滿足和提高對加密存儲數據的低時延、高可靠性的要求的具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法。
為了解決上述技術問題,本發(fā)明采用的技術方案為:
一種具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法,實施步驟包括:
1)預先部署安裝數據加密防護系統(tǒng),所述數據加密防護系統(tǒng)包括配置管理服務器、密鑰管理服務器和數據加密服務器組,所述數據加密服務器組包含n臺數據加密服務器,所述配置管理服務器、數據加密服務器分別與san存儲系統(tǒng)相連,所述密鑰管理服務器和配置管理服務器相連;
2)管理員通過配置管理服務器在san存儲系統(tǒng)的存儲空間中劃分出空閑的分區(qū)a;配置管理服務器根據分區(qū)a的分區(qū)id從密鑰管理服務器獲得密鑰,將密鑰分發(fā)給各臺數據加密服務器,且n臺數據加密服務器分別使用密鑰將分區(qū)a初始化為對應的加密卷bi;
3)所述數據加密防護系統(tǒng)基于各臺數據加密服務器的加密卷bi對外提供san存儲服務,且數據加密服務器與訪問數據加密防護系統(tǒng)的應用服務器之間傳輸未加密的明文數據、與san存儲系統(tǒng)之間傳輸通過密鑰進行加密后的加密數據。
優(yōu)選地,步驟3)的詳細步驟包括:
3.1)管理員通過配置管理服務器配置n臺數據加密服務器對應的加密卷bi分別映射給訪問數據加密防護系統(tǒng)的應用服務器,訪問數據加密防護系統(tǒng)的應用服務器將各臺數據加密服務器映射的加密卷bi通過多路徑軟件聚合成一個磁盤設備使用;
3.2)當應用服務器向磁盤設備發(fā)送寫請求時,跳轉執(zhí)行步驟3.3);當應用服務器向磁盤設備發(fā)送讀請求時,跳轉執(zhí)行步驟3.4);
3.3)應用服務器將帶有未加密的明文數據的寫請求分解為多個子寫請求并通過輪詢的方式發(fā)送給空閑的數據加密服務器,然后各臺數據加密服務器分別將對應的子寫請求中未加密的明文數據通過密鑰進行加密后寫入對應的加密卷bi,并將執(zhí)行結果返回給應用服務器,跳轉執(zhí)行步驟3.2);
3.4)應用服務器將讀請求分解為多個子讀請求并通過輪詢的方式發(fā)送給空閑的數據加密服務器,然后各臺數據加密服務器分別執(zhí)行對應的子讀請求從對應的加密卷bi中讀取通過密鑰進行加密后的加密數據并通過密鑰進行解密后返回給應用服務器,跳轉執(zhí)行步驟3.2)。
優(yōu)選地,所述san存儲系統(tǒng)為光纖通道fc-san存儲系統(tǒng),所述配置管理服務器、數據加密服務器分別通過光纖以及光纖交換機與san存儲系統(tǒng)相連。
本發(fā)明具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法具有下述優(yōu)點:本發(fā)明具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法通過在現有san存儲架構上增加本發(fā)明所述的數據加密防護系統(tǒng),可以實現對san存儲的數據進行加密防護,并且由于此數據加密防護系統(tǒng)中多個數據加密防護節(jié)點能夠并行對外提供服務,一方面提高了存儲數據加解密的性能,另一方面增加了數據傳輸路徑的容錯性,即使部分數據加密服務器故障或者路徑出錯,應用服務器依然能夠通過正常的路徑讀寫存儲數據,具有可橫向擴展、高性能、高可靠的優(yōu)點,能夠滿足和提高對加密存儲數據的低時延、高可靠性的要求。
附圖說明
圖1為現有的san存儲系統(tǒng)應用原理示意圖。
圖2為本發(fā)明實施例方法的基本流程示意圖。
圖3為本發(fā)明實施例中的數據加密防護系統(tǒng)拓撲結構示意圖。
圖4為本發(fā)明實施例方法的內部數據加密流程示意圖。
具體實施方式
下文將以光纖通道fc-san存儲系統(tǒng)為例,對本發(fā)明具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法進行進一步的詳細說明。
如圖2所示,本實施例具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法的實施步驟包括:
1)預先部署安裝數據加密防護系統(tǒng),如圖3所示,數據加密防護系統(tǒng)包括配置管理服務器、密鑰管理服務器和數據加密服務器組,數據加密服務器組包含n臺數據加密服務器,配置管理服務器、數據加密服務器分別與san存儲系統(tǒng)相連,密鑰管理服務器和配置管理服務器相連;
2)管理員通過配置管理服務器在san存儲系統(tǒng)的存儲空間中劃分出空閑的分區(qū)a;配置管理服務器根據分區(qū)a的分區(qū)id從密鑰管理服務器獲得密鑰,將密鑰分發(fā)給各臺數據加密服務器,且n臺數據加密服務器分別使用密鑰將分區(qū)a初始化為對應的加密卷bi;
3)數據加密防護系統(tǒng)基于各臺數據加密服務器的加密卷bi對外提供san存儲服務,且數據加密服務器與訪問數據加密防護系統(tǒng)的應用服務器之間傳輸未加密的明文數據、與san存儲系統(tǒng)之間傳輸通過密鑰進行加密后的加密數據。
如圖3所示,本實施例中san存儲系統(tǒng)為光纖通道fc-san存儲系統(tǒng),配置管理服務器、數據加密服務器分別通過光纖以及光纖交換機與san存儲系統(tǒng)相連。如圖3所示,本實施例中數據加密服務器組包含兩臺數據加密服務器,它們的目標器端通過光纖與fc交換機1連接,fc交換機1通過光纖與應用服務器連接;數據加密服務器的啟動器端通過光纖與fc交換機2連接,fc交換機2通過光纖與磁盤陣列連接。配置管理服務器通過光纖與fc交換機2連接,通過以太網絡與數據加密服務器、密鑰管理服務器連接。配置管理服務器、密鑰管理服務器和數據加密服務器組共同組成一個的高性能、高可靠的數據加密防護系統(tǒng)。
配置管理服務器用于管理各個數據加密服務器和san存儲系統(tǒng)上需要加密防護的磁盤,通過配置管理服務器將磁盤設置為加密卷,并向數據加密服務器分發(fā)加密卷的密鑰信息,通知數據加密服務器進行加密卷的初始化,配置管理服務器還通過基于{加密卷,數據加密服務器,應用服務器}的三元組實現對加密卷的訪問控制,防止未經授權的應用服務器訪問加密卷,配置管理服務器通過fc光纖或者以太網連接于san存儲,通過以太網絡與所有數據加密服務器連接,也可以將其與一個數據加密服務器設置于同一臺服務器中。
密鑰管理服務器用于生成能夠應用于各種加密算法的密鑰提供給配置管理服務器,并對密鑰進行更新、備份、銷毀等管理操作;密鑰管理服務器通過有線與配置管理服務器連接,也可以設置其與配置管理服務器于同一臺服務器中。
數據加密服務器通過fc光纖或者以太網連接于san存儲系統(tǒng)和應用服務器之間,用于將san存儲系統(tǒng)的磁盤轉換成加密卷再映射給應用服務器使用。應用服務器和數據加密服務器之間傳遞的是明文數據,數據加密服務器和san存儲系統(tǒng)之間傳遞的是密文數據。數據加密服務器具有橫向擴展(scale-out)特性,可以將多個數據加密服務器并聯于san存儲系統(tǒng)和應用服務器之間,多個數據加密服務器能并行地對同一塊存儲空間進行加解密,然后將加密卷分別向應用服務器映射出去。
本實施例中,步驟3)的詳細步驟包括:
3.1)管理員通過配置管理服務器配置n臺數據加密服務器對應的加密卷bi分別映射給訪問數據加密防護系統(tǒng)的應用服務器,訪問數據加密防護系統(tǒng)的應用服務器將各臺數據加密服務器映射的加密卷bi通過多路徑軟件聚合成一個磁盤設備使用;當一臺數據加密防護服務器發(fā)生故障時,對應用服務器來說只是多路徑上的1條路徑故障,來自另外一臺服務器的1條路徑是正常的,不影響應用服務器使用。另外,由于加解密模塊性能原因導致通過數據加密防護服務器的i/o性能成為瓶頸時,可以通過增加數據加密防護服務器的方式增加數據鏈路,加密卷的i/o性能會接近線性的提升;
3.2)當應用服務器向磁盤設備發(fā)送寫請求時,跳轉執(zhí)行步驟3.3);當應用服務器向磁盤設備發(fā)送讀請求時,跳轉執(zhí)行步驟3.4);
某一時刻,用戶通過應用服務器向磁盤設備寫入明文數據,即向數據加密服務器發(fā)起寫數據請求,數據加密服務器根據請求類型為寫數據請求,跳轉執(zhí)行步驟3.3);某一時刻,用戶通過應用服務器讀取磁盤設備的數據,即向數據加密服務器發(fā)起讀數據請求,數據加密服務器根據請求類型為讀數據請求,跳轉執(zhí)行步驟3.4);
3.3)應用服務器將帶有未加密的明文數據的寫請求分解為多個子寫請求并通過輪詢的方式發(fā)送給空閑的數據加密服務器,然后各臺數據加密服務器分別將對應的子寫請求中未加密的明文數據通過密鑰進行加密后寫入對應的加密卷bi,并將執(zhí)行結果返回給應用服務器,跳轉執(zhí)行步驟3.2);
3.4)應用服務器將讀請求分解為多個子讀請求并通過輪詢的方式發(fā)送給空閑的數據加密服務器,然后各臺數據加密服務器分別執(zhí)行對應的子讀請求從對應的加密卷bi中讀取通過密鑰進行加密后的加密數據并通過密鑰進行解密后返回給應用服務器,跳轉執(zhí)行步驟3.2)。
如圖4所示,數據加密服務器1和數據加密服務器2內分別設有加解密模塊,加解密模塊通過配置管理服務器從密鑰管理服務器獲得密鑰,以便對經過數據加密服務器1和數據加密服務器2的數據進行加解密。
數據加密服務器1和數據加密服務器2的fc目標器基于fc協(xié)議和應用服務器中的fc啟動器相連,數據加密服務器1和數據加密服務器2的fc啟動器分別基于fc協(xié)議和光纖通道fc-san存儲系統(tǒng)相連。本實施例中,管理員通過配置管理服務器在san存儲系統(tǒng)的存儲空間中劃分出分區(qū)a;配置管理服務器根據分區(qū)id從密鑰管理服務器獲得密鑰,將密鑰分發(fā)給數據加密服務器1和數據加密服務器2,數據加密服務器1和數據加密服務器2使用相同的密鑰將分區(qū)a初始化為加密卷b1和加密卷b2。對于應用服務器而言,其訪問的磁盤設備加密卷b實質上為加密卷b1和加密卷b2構成的磁盤設備的集合,實現了加密性能的線性提升,提高了系統(tǒng)加解密性能。
本實施例中的數據加密防護系統(tǒng)支持fc-san和ip-san兩種協(xié)議,使用ip-san時采用以太網絡以及以太網交換機。
結合上述說明能夠看出,本發(fā)明具有橫向擴展功能的san存儲系統(tǒng)的數據加密方法的數據加密服務器支持并聯方式部署,多臺數據加密服務器同時對外提供服務,實現高可靠性,數據加密服務器對同一個加密卷使用相同的密鑰進行加解密,因此可以并發(fā)工作又互為備份,實現了加密性能的線性提升,提高了系統(tǒng)加解密性能。
以上所述僅是本發(fā)明的優(yōu)選實施方式,本發(fā)明的保護范圍并不僅局限于上述實施例,凡屬于本發(fā)明思路下的技術方案均屬于本發(fā)明的保護范圍。應當指出,對于本技術領域的普通技術人員來說,在不脫離本發(fā)明原理前提下的若干改進和潤飾,這些改進和潤飾也應視為本發(fā)明的保護范圍。