一种安全存储系统技术方案

本发明专利技术公开了一种安全存储系统，包括用于存储数据的存储设备，存储设备设置有存储代理和加密模块；存储代理用于向密钥管理服务器发出密钥申请，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块；加密模块用于采用密钥对数据进行加密或者解密。本发明专利技术安全存储系统，通过存储代理实现与密钥管理服务器的交互以申请密钥，通过加密模块实现采用密钥对数据进行加解密，本系统中存储代理和加密模块设置在存储设备中，因此用户只需对存储设备一同管理，与现有技术相比避免了对加密机的单独管理，从而可降低用户对设备的管理负担。

Secure storage system

The invention discloses a safety storage system includes a storage device for storing data, storage device is provided with a storage agent and encryption module; storage agent for application to the key a key management server, and the key management server according to the key transport key application to generate encryption module; the encryption module for encryption or decryption key used the data. The invention of secure storage system, through interaction with the key management server storage agent to apply for the key, the encryption module realized by keys for data encryption and decryption, the system stored in the proxy and set the encryption module in the storage device, so users only need to manage the storage device, compared with the existing technology to avoid the separate management the encryption machine, thereby reducing the burden on the user equipment management.

【技术实现步骤摘要】
一种安全存储系统
本专利技术涉及存储
，特别是涉及一种安全存储系统。
技术介绍
目前，国内的安全存储系统产品比较少，其中有采用门卫式加密机的安全存储系统，在这种存储系统中，客户端应用主机产生的数据首先传输到加密机，加密机利用密钥管理中心(KeyManagementCenter，KMC)分发的密钥对数据进行加密处理，而后将加密数据传输至存储设备进行存储；客户端在获取数据时，加密机对从存储设备获取的数据进行解密，而后将获得的数据传输到应用主机。在这类存储系统中，用户不仅要对存储设备进行监控管理，还需要对加密机单独管理，因此这给用户带来较大的管理负担。
技术实现思路
本专利技术的目的是提供一种安全存储系统，与现有技术相比可降低用户对设备的管理负担。为实现上述目的，本专利技术提供如下技术方案：一种安全存储系统，包括用于存储数据的存储设备，所述存储设备设置有存储代理和加密模块；所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块；所述加密模块用于采用所述密钥对数据进行加密或者解密。可选地，在所述存储设备中存储数据包括：在所述存储设备中创建存储池；选取磁盘创建磁盘阵列，将磁盘阵列加入到所述存储池中；在所述存储池中选取磁盘阵列创建用于存储数据的逻辑卷。可选地，所述加密模块用于采用所述密钥对数据进行加密或者解密包括：所述加密模块具体用于：根据写请求，采用所述密钥以逻辑卷为单位对写入数据进行加密，将加密后的数据写入到逻辑卷对应的磁盘区域；根据读请求，采用所述密钥对从逻辑卷对应的磁盘区域读出的数据进行解密。可选地，所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块包括：所述存储代理具体用于：调用所述加密模块生成公私密钥对，向所述密钥管理服务器发送包含公钥的第一密钥申请，并将所述密钥管理服务器根据所述公钥生成的、并采用所述公钥加密的设备密钥传送给所述加密模块；向所述密钥管理服务器发送第二密钥申请，并将所述密钥管理服务器生成的、并采用所述设备密钥加密的数据加密密钥传送给所述加密模块；向所述密钥管理服务器发送第三密钥申请，并将所述密钥管理服务器生成的、并采用所述数据加密密钥加密的数据密钥传送给所述加密模块，所述加密模块采用所述数据密钥对数据进行加密或者解密。可选地，所述加密模块还用于：采用私钥对加密的设备密钥进行解密并保存；采用所述设备密钥对加密的数据加密密钥进行解密并保存；采用所述数据加密密钥对加密的数据密钥进行解密并保存。可选地，所述密钥管理服务器与所述存储设备之间通过采用安全加密协议的通道传输密钥。可选地，所述加密模块设置在所述存储设备的控制器中。可选地，在所述存储设备的控制器中设置有一个或者两个所述加密模块。可选地，所述存储设备包括两个或者四个控制器。由上述技术方案可知，本专利技术所提供的安全存储系统，包括用于存储数据的存储设备，在存储设备设置有存储代理和加密模块。其中，由存储代理向密钥管理服务器发出密钥申请以申请密钥，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块，加密模块用于采用所述密钥对数据进行加密或者解密。本专利技术安全存储系统，通过存储代理实现与密钥管理服务器的交互以申请密钥，通过加密模块实现采用密钥对数据进行加解密，本系统中存储代理和加密模块设置在存储设备中，因此用户只需对存储设备一同管理，与现有技术相比避免了对加密机的单独管理，从而可降低用户对设备的管理负担。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种安全存储系统的示意图；图2为本专利技术实施例提供的安全存储系统向存储设备写数据的示意图；图3为本专利技术实施例提供的安全存储系统从存储设备读数据的示意图；图4为本专利技术又一实施例提供的一种安全存储系统的示意图。具体实施方式为了使本
的人员更好地理解本专利技术中的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。请参考图1，本专利技术实施例提供的一种安全存储系统，包括用于存储数据的存储设备10，所述存储设备10设置有存储代理100和加密模块101；所述存储代理100用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块101；所述加密模块101用于采用所述密钥对数据进行加密或者解密。其中，由存储代理100与密钥管理服务器进行交互，所述密钥管理服务器即密钥管理中心(KMC)，用于分配和下发密钥。可以看出，本实施例安全存储系统，在存储设备设置有存储代理和加密模块。由存储代理向密钥管理服务器发出密钥申请以申请密钥，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块，加密模块用于采用所述密钥对数据进行加密或者解密。本实施例安全存储系统，通过存储代理实现与密钥管理服务器的交互以申请密钥，通过加密模块实现采用密钥对数据进行加解密，本系统中存储代理和加密模块设置在存储设备中，因此用户只需对存储设备一同管理，与现有技术相比避免了对加密机的单独管理，从而可降低用户对设备的管理负担。下面对本实施例安全存储系统作进一步说明。本实施例安全存储系统包括用于存储数据的存储设备10。具体的，所述存储设备10架构可按如下方式设置，在所述存储设备10中存储数据包括：S100：在所述存储设备中创建存储池；S101：选取磁盘创建磁盘阵列，将磁盘阵列加入到所述存储池中；S102：在所述存储池中选取磁盘阵列创建用于存储数据的逻辑卷。其中，数据逻辑卷可以由所述存储池中的一个磁盘阵列(RedundantArraysofIndependentDisks，RAID)上的部分空间组成，也可以跨磁盘阵列创建，但数据逻辑卷只能使用本存储池中磁盘阵列提供的空间。S103：在逻辑卷上建立文件系统。再使用。优选的，本实施例中存储设备10采用存储区域网络(StorageAreaNetwork，SAN)存储设备，SAN存储设备采用网状通道(FibreChannel，FC)技术，通过FC交换机连接存储设备和服务器主机，建立专用于数据存储的区域网络。在所述存储设备10设置有存储代理(StorageAgent，SA)100和加密模块101。其中，由存储代理与密钥管理服务器交互，向密钥管理服务器发出密钥申请，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块101。本实施例中，在存储设备中所使用的密钥分为三级，具体包括：用于以逻辑卷为单位对数据进行加密的数据密钥(Data-Key)；用于对数据密钥进行加密的数据加密密钥(ED-Key)；用于对数据加密密钥进行加密的设备密钥(Storage-Key)。所述存储代理100用于向密钥管理服务器发出密钥申请，并将本文档来自技高网...

【技术保护点】
一种安全存储系统，其特征在于，包括用于存储数据的存储设备，所述存储设备设置有存储代理和加密模块；所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块；所述加密模块用于采用所述密钥对数据进行加密或者解密。

【技术特征摘要】
1.一种安全存储系统，其特征在于，包括用于存储数据的存储设备，所述存储设备设置有存储代理和加密模块；所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块；所述加密模块用于采用所述密钥对数据进行加密或者解密。2.根据权利要求1所述的安全存储系统，其特征在于，在所述存储设备中存储数据包括：在所述存储设备中创建存储池；选取磁盘创建磁盘阵列，将磁盘阵列加入到所述存储池中；在所述存储池中选取磁盘阵列创建用于存储数据的逻辑卷。3.根据权利要求2所述的安全存储系统，其特征在于，所述加密模块用于采用所述密钥对数据进行加密或者解密包括：所述加密模块具体用于：根据写请求，采用所述密钥以逻辑卷为单位对写入数据进行加密，将加密后的数据写入到逻辑卷对应的磁盘区域；根据读请求，采用所述密钥对从逻辑卷对应的磁盘区域读出的数据进行解密。4.根据权利要求1所述的安全存储系统，其特征在于，所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块包括：所述存储代理具体用于：调用所述加密模块生成公私密钥对，向所述密钥管理服务器发送包含公...

【专利技术属性】
技术研发人员：徐洪志，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41