一种数据处理方法及存储网关技术

本发明专利技术公开一种数据处理方法及存储网关，该方法包括以下数据加密过程：存储网关对其管理下的存储单元中未加密数据逐部分的读取进行加密，并将加密后的数据逐部分的写回所述存储单元；进一步的，上述数据加密过程中，还可以包括以下业务响应过程：接收对所述存储单元的读写操作；若所述读写操作的操作对象是当前正在进行加密的数据块，则延迟到该数据块加密完成后响应所述读写操作。本发明专利技术通过以上技术方案，实现了存储网关对其管理下的存储单元中未加密数据的加密，此外，在加密过程中，还可以不用中断客户端业务，同步实现新的读写操作，以及对新写入数据的加密操作，实现存储网关对存储单元中现有未加密数据的在线加密。

Data processing method and storage gateway

The invention discloses a method of data processing and storage gateway, the method includes the following processes: data encryption storage gateway to a storage unit under its management in the unencrypted data by reading part is encrypted, and the encrypted data by part of the write back to the storage unit; further, the data encryption process that may also include the following business response process: the storage unit for receiving the read and write operation; if the read and write operation object is currently ongoing data block encryption, the encrypted data block is delayed until after the completion of response to the read and write operations. The present invention through the above technical scheme, realize storage gateway for data encryption, encrypted storage unit under its management in addition, in the process of encryption, can not interrupt the client business, to achieve a new synchronous read and write operations, and writes the new data encryption operation, storage gateway for storage unit the existing online unencrypted data encryption.

【技术实现步骤摘要】

本专利技术涉及电子
，尤其涉及一种数据处理方法及存储网关。
技术介绍
存储网关设备能够将现有用户不同时期购置的不同厂商、不同类型、分散的存储资源整合在一起，形成一个统一的虚拟存储池提供给用户。现有的存储单元中所存入的数据有的是加密过的，有的是未加密过的，在存储网关接管第三方存储设备的物理存储单元时，存储单元很有可能已经保存了大量未经过加密处理的原始数据，对于这些接管时就已存在的大量数据，如何进行加密是需要解决的问题。加密的同时不影响用户新的读写操作，对用户屏蔽掉后端物理存储设备在功能、管理、数据存取等诸多方面的细节，也是目前大数据、海量存储的一个发展方向。
技术实现思路
本专利技术提供一种数据处理方法及存储网关，解决存储网关如何对其管理下的存储单元中未加密数据实现加密的问题。为解决上述技术问题，本专利技术采用以下技术方案:一种数据处理方法，包括以下数据加密过程：存储网关对其管理下的存储单元中未加密数据逐部分的读取进行加密，并将加密后的数据逐部分的写回所述存储单元。在一些实施例中，上述数据加密过程之前，还包括：在存储网关上创建加密逻辑存储单元，所述加密逻辑存储单元用于执行所述数据加密过程。在一些实施例中，上述数据处理方法还包括：创建所述加密逻辑存储单元的管理密钥；识别外部输入的口令信息是否与所述管理密钥一致，如果一致，允许启动所述加密逻辑存储单元。在一些实施例中，上述数据处理方法还包括：使用所述管理密钥对所述数据加密过程中用来对未加密数据逐部分加密的数据加密密钥进行加密后保存。在一些实施例中，上述数据加密过程中，还包括以下业务响应过程：接收对所述存储单元的读写操作；若所述读写操作的操作对象是当前正在进行加密的数据块，则延迟到该数据块加密完成后响应所述读写操作。在一些实施例中，所述数据加密过程中，对存储单元中未加密数据划分成的数据块进行加密前，先申请该数据块的读写锁，直到完成了对该数据块的加密过程释放该读写锁；业务响应过程中，接收到对所述存储单元的读写操作后，若所述读写操作对应的读写锁正被占用，则延迟到该读写锁被释放后响应所述读写操作。一种存储网关，包括数据加密模块，数据加密模块包括：数据加密子模块，用于对存储单元中未加密数据逐部分的读取进行加密；写回子模块，用于将数据加密子模块加密后的数据逐部分的写回所述存储单元。在一些实施例中，该存储网关还包括第一创建模块，用于创建加密逻辑存储单元，作为所述数据加密模块。如在一些实施例中，该存储网关还包括：第二创建模块，用于创建所述加密逻辑存储单元的管理密钥；启动控制模块，用于识别外部输入的口令信息是否与所述管理密钥一致，如果一致，允许启动所述加密逻辑存储单元。在一些实施例中，该存储网关还包括：密钥加密模块，用于使用所述管理密钥对所述数据加密子模块中用来对未加密数据逐部分加密的数据加密密钥进行加密；保存模块，用于对密钥加密模块加密后得到的密文密钥进行保存。在一些实施例中，该存储网关还包括业务响应模块，所述业务响应模块包括：操作接收模块，用于所述数据加密模块的加密过程中，接收对所述存储单元的读写操作；响应模块，用于若所述读写操作的操作对象是当前正在进行加密的数据块，则延迟到该数据块加密完成后响应所述读写操作。在一些实施例中，所述数据加密模块还包括读写锁控制模块，用于数据加密过程中，对存储单元中未加密数据划分成的数据块进行加密前，先申请该数据块的读写锁，直到完成了对该数据块的加密过程释放该读写锁；所述响应模块具体用于若所述读写操作对应的读写锁正被占用，则延迟到该读写锁被释放后响应所述读写操作。本专利技术中，在存储网关接管第三方存储设备的物理存储单元时，存储单元很有可能已经保存了大量未经过加密处理的原始数据，对于这些接管时就已存在的大量数据，存储网关对其逐部分的读取进行加密，并将加密后的数据逐部分的写回存储单元，解决了对存储单元现有未加密数据的加密问题。同时，由于是逐部分的进行加密，那么当前正在加密的始终是部分数据，而不是全部数据，对于未正在加密的数据可以照常进行读写操作，因此，实现了存储网关对存储单元中现有未加密数据的在线加密，且不用中断客户端业务，可同步实现新的读写操作，以及对新写入数据的加密操作。如果将存储单元中现有未加密数据划分的粒度小一些，那么当前正在加密的始终是很小量的部分数据，可以实现客户端的无感知。有效地保证了对存储单元中原始数据的兼容性，避免对原始数据的破坏，同时，又兼顾了客户端对存储单元的访问需求，加密过程中无需终端客户端业务，在提高存储系统安全性的同时，也保证了数据存储效率。附图说明图1为本专利技术一实施例提供的网络组成架构示意图；图2为本专利技术一实施例提供的数据处理方法的流程图；图3为本专利技术一实施例提供的存储网关的结构示意图。具体实施方式本专利技术提出一种构思，针对存储单元中现有的未加密数据，本专利技术提供的存储网关对其逐部分的读取进行加密，并将加密后的数据逐部分的写回存储单元。在此数据加密过程中，还可以同步响应客户端的读写操作。数据加密过程中的具体实现方式包括但不局限于，将存储单元中未加密数据划分成多个数据块，对划分成的数据块逐个读取到存储网关的内存中进行加密，其加密顺序包括但不局限于线性、随机、重要性次序等，每加密好一个数据块，就将加密好的数据块从存储网关的内存写回到存储单元的原地址，替换掉存储的单元中原未加密的数据块。对数据块进行加密时需要用到数据加密密钥，数据加密密钥可以随机生成，每一个数据块所使用的数据加密密钥可以相同或不同，为了简化操作，可以设置成相同的，每一个数据块的大小可以相同或不同，同样为了简化操作，可以设置成相同的。以下列举一种具体实施方式：存储网关从偏移地址0开始，按照预先设置好的数据块的大小遍历存储单元中的数据，从当前遍历到的偏移地址开始，读取预设大小的数据块到存储网关的内存，再使用预设的数据加密密钥对其进行加密操作，加密算法可以使用DES/AES/国密SM4等对称算法，为了加快加密速度，也可以采用专用硬件加密卡进行加密，加密后，再将加密后的数据块重新写回到存储单元中，写回的起始地址仍然是读取到该数据块的偏移地址，长度和原始数据块保持一致；再根据上一个偏移地址和数据块的大小计算下一个偏移地址，重复上述操作，直至存储单元的最大存储空间。以上数据加密过程可由存储网关中的现有功能模块来实现。当然，也可以在数据加密过程之前，在存储网关上新创建加密逻辑存储单元，该加密逻辑存储单元用于执行以上数据加密过程。如果存储网关需要对其管理下的两个或两个以上的存储单元进行上述数据加密过程，则该两个或两个以上的存储单元可以共用一个加密逻辑存储单元，也可以分别为每个存储单元创建一个对应的加密逻辑存储单元。优选的，一个加密逻辑存储单元使用同一个数据加密密钥，数据加密密钥可以保存在存储网关上对应加密逻辑存储单元的数据库条目中，或者，建立数据加密密钥与加密逻辑存储单元的映射关系，保存在只有认证客户端和存储网关在线加密线程才能访问的内存映射区域，映射关系可以采用哈希链表、AVL树等方式进行存储，方便后续需要时的索引，提高数据存取效率。对数据加密密钥进行保存包括但不局限于以下用途：其一，方便存储网关对该加密逻辑存储单元存取数据进行加解密操本文档来自技高网...

【技术保护点】
一种数据处理方法，其特征在于，包括以下数据加密过程：存储网关对其管理下的存储单元中未加密数据逐部分的读取进行加密，并将加密后的数据逐部分的写回所述存储单元。

【技术特征摘要】
1.一种数据处理方法，其特征在于，包括以下数据加密过程：存储网关对其管理下的存储单元中未加密数据逐部分的读取进行加密，并将加密后的数据逐部分的写回所述存储单元。2.如权利要求1所述的数据处理方法，其特征在于，数据加密过程之前，还包括：在存储网关上创建加密逻辑存储单元，所述加密逻辑存储单元用于执行所述数据加密过程。3.如权利要求2所述的数据处理方法，其特征在于，还包括：创建所述加密逻辑存储单元的管理密钥；识别外部输入的口令信息是否与所述管理密钥一致，如果一致，允许启动所述加密逻辑存储单元。4.如权利要求3所述的数据处理方法，其特征在于，还包括：使用所述管理密钥对所述数据加密过程中用来对未加密数据逐部分加密的数据加密密钥进行加密后保存。5.如权利要求1至4任一项所述的数据处理方法，其特征在于，所述数据加密过程中，还包括以下业务响应过程：接收对所述存储单元的读写操作；若所述读写操作的操作对象是当前正在进行加密的数据块，则延迟到该数据块加密完成后响应所述读写操作。6.如权利要求5所述的数据处理方法，其特征在于，所述数据加密过程中，对存储单元中未加密数据划分成的数据块进行加密前，先申请该数据块的读写锁，直到完成了对该数据块的加密过程释放该读写锁；业务响应过程中，接收到对所述存储单元的读写操作后，若所述读写操作对应的读写锁正被占用，则延迟到该读写锁被释放后响应所述读写操作。7.一种存储网关，其特征在于，包括数据加密模块，数据加密模块包括：数据加密子模块，用...

【专利技术属性】
技术研发人员：颜浩，杨长江，冯刚，吴刚，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44