本发明专利技术公开了一种基于网络的存储加密方法,其包括写数据流程、读数据流程,其中:写数据流程为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。本发明专利技术简化存储加密部署应用,有效防止存储数据在网络传输过程中的泄露,在加解密过程中,不需要中断用户业务数据。
【技术实现步骤摘要】
本专利技术涉及一种存储加密方法,特别是涉及一种基于网络的存储加密方法。
技术介绍
现有的存储数据加密更多的是采用在存储磁盘卷安装相应的加密插件或旁接一台加密硬件,执行对存储数据加密处理。此类加密技术更多需要人员进行干预。在加密时,存储卷将不可使用,非常影响用户的体验。
技术实现思路
本专利技术所要解决的技术问题是提供一种基于网络的存储加密方法,其简化存储加密部署应用,有效防止存储数据在网络传输过程中的泄露,在加解密过程中,不需要中断用户业务数据。本专利技术是通过下述技术方案来解决上述技术问题的:一种基于网络的存储加密方法,其包括写数据流程、读数据流程,其中:写数据流程,为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。优选地,所述写数据流程主要包括如下步骤:步骤一,拦截客户端发出的网络存储报文;步骤二,对网络存储报文进行解析,根据协议头等信息解析出数据段部分;步骤三,对解析的数据段部分进行加密;步骤四,将加密数据回填到网络传输报文中;步骤五,将加密后的报文透传到存储卷。优选地,所述写数据中的网络存储协议包括应用协议、TCP/IP协议,其中:应用协议,用于定义运行在不同端系统上的应用程序进程如何相互传递报文;TCP/IP协议,用于定义电子设备如何连入因特网,以及数据如何在它们之间传输的标准。优选地,所述应用协议包括Gluster报文、CEPH报文,其中:Gluster报文,用于Gluster数据加密;CEPH报文,用于CEPH数据加密。优选地,所述TCP/IP协议包括TCP报文、IP报文、MAC报文,其中:TCP报文,用于完成第四层传输层所指定的功能;IP报文,用于将邮件从一个Internet位置传递到另一个位置;MAC报文,用于设置虚拟网络,对网络进行分组管理。优选地,所述读数据流程主要包括如下步骤:步骤十一,拦截存储卷发出携带存储数据的网络报文;步骤十二,对网络存储报文解析解析,根据协议头等信息解析出数据段部分;步骤十三,对数据段部分进行解密;步骤十四,将解密数据回填到网络传输报文中;步骤十五,将解密后的报文透传到客户端。本专利技术的积极进步效果在于:本专利技术简化存储加密部署应用,基本或者不需要修改现有存储部署环境,实现数据的存储加密;由于采用在网络层进行加密,可以有效防止存储数据在网络传输过程中的泄露;在加解密过程中,不需要中断用户业务数据,保证客户的体验。附图说明图1为本专利技术基于网络的存储加密方法的加密示意图。图2为本专利技术基于网络的存储加密方法的加密流程图。图3为专用的网络加密存储系统的系统框架图。图4为专用的网络加密存储系统的客户端处理流程图。图5为专用的网络加密存储系统的存储卷处理流程图。具体实施方式下面结合附图给出本专利技术较佳实施例,以详细说明本专利技术的技术方案。如图1、图2所示,本专利技术公开了一种基于网络的存储加密方法,其包括写数据流程、读数据流程,其中:写数据流程(图2的实线方向),为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP(传输控制协议/网间协议)协议报文通过IP(网间协议)网络传输到存储卷;读数据流程(图2的虚线方向),客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。所述写数据流程主要包括如下步骤:步骤一,拦截客户端发出的网络存储报文;步骤二,对网络存储报文进行解析,根据协议头等信息解析出数据段部分;步骤三,对解析的数据段部分进行加密;步骤四,将加密数据回填到网络传输报文中;步骤五,将加密后的报文透传到存储卷。所述写数据中的网络存储协议包括应用协议、TCP/IP协议,其中:应用协议,用于定义运行在不同端系统上的应用程序进程如何相互传递报文;TCP/IP协议,用于定义电子设备如何连入因特网,以及数据如何在它们之间传输的标准。所述应用协议包括Gluster(分布式集群文件系统)报文、CEPH(分布式文件系统)报文,其中:Gluster报文,用于Gluster数据加密;CEPH报文,用于CEPH数据加密。所述TCP/IP协议包括TCP(传输控制协议)报文、IP报文、MAC(物理)报文,其中:TCP报文,用于完成第四层传输层所指定的功能;IP报文,用于将邮件从一个Internet位置传递到另一个位置;MAC报文,用于设置虚拟网络,对网络进行分组管理。所述读数据流程主要包括如下步骤:步骤十一,拦截存储卷发出携带存储数据的网络报文;步骤十二,对网络存储报文解析解析,根据协议头等信息解析出数据段部分;步骤十三,对数据段部分进行解密;步骤十四,将解密数据回填到网络传输报文中;步骤十五,将解密后的报文透传到客户端。本专利技术主要针对现有流行的网络存储技术,如Gluster、CEPH等;针对存储技术特征,提出在网络协议层进行加、解密,加、解密部分为图1。本专利技术通过在存储数据在网络传输过程中,对数据报文进行获取。解析出存储协议报文格式部分。对网络存储协议头进行解析,分析出存储数据偏移量,根据偏移量,将存储数据进行加密或解密处理。实施举例:如图3所示,本专利技术可用于设计一台专用的网络加密存储系统,硬件平台采用标准的x86架构,操作系统采用Linux。加密系统可以注册到Linux内核的的TCP/IP网络协议栈中。对所有存储协议报文进行拦截。如图4所示,客户端至存储卷的处理流程包括以下步骤:步骤二十一,拦截客户端请求报文;步骤二十二,解析请求报文;步骤二十三,请求报文是否带存储数据,如果不带到步骤二十五;步骤二十四,获取存储数据部分;步骤二十五,对存储数据进行加密;步骤二十六,透传处理后的网络报文到存储卷。如图5所示,存储卷至客户端的处理流程包括以下步骤:步骤三十一,拦截存储卷响应报文;步骤三十二,解析响应报文;步骤三十三,响应报文是否带存储数据,如果不带到步骤三十五;步骤三十四,获取存储数据部分;步骤三十五,对存储数据进行解密;步骤三十六,透传处理后的网络报文到客户端。本专利技术专门针对网络存储技术方案而提出,存储数据在网络传输过程中进行截取,对数据存储部分进行加密,然后透传到存储卷。那么存储卷收到的存储数据将是加密后的数据,存储卷根据其技术原理,将加密数据存储到磁盘中。本专利技术可用于解决不同硬件和软件平台的异构性,而引起加密插件的兼容性问题。本专利技术对存储卷一端的软、硬件无需做任何改动。本专利技术部署在存储数据网络传输通道之间,所有存储数据都能进行获截并加密处理。该加密处理对用户来说是透明的,无感知。现有更多的存储加密技术都是事后加密,意思就是先将数据进行存储,然后由加密插件将数据读取出来加密然后再存储,而且加密过程中,存储数据将暂时不可用,将可能引起用户的业务短暂中断。而本专利技术采用实时加密技术,第一次存储到磁盘中的数据都是经过加密的,不会引起用户业务的中断。本专利技术在网络传输过程中对存储数据加密,可以防止存储数据在传输过程中的泄露。以上所述的具体实施例,对本专利技术的解决的技术问题、技术方案和有益效果进行了进一步详本文档来自技高网...
【技术保护点】
一种基于网络的存储加密方法,其特征在于,其包括写数据流程、读数据流程,其中:写数据流程,为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。
【技术特征摘要】
1.一种基于网络的存储加密方法,其特征在于,其包括写数据流程、读数据流程,其中:写数据流程,为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。2.如权利要求1所述的基于网络的存储加密方法,其特征在于,所述写数据流程主要包括如下步骤:步骤一,拦截客户端发出的网络存储报文;步骤二,对网络存储报文进行解析,根据协议头等信息解析出数据段部分;步骤三,对解析的数据段部分进行加密;步骤四,将加密数据回填到网络传输报文中;步骤五,将加密后的报文透传到存储卷。3.如权利要求1所述的基于网络的存储加密方法,其特征在于,所述写数据中的网络存储协议包括应用协议、TCP/IP协议,其中:应用协议,用于定义运行在不同端系统上的应用程序进程如何相互传递报文;TCP/IP协议,用...
【专利技术属性】
技术研发人员:张涛,
申请(专利权)人:中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。