一种基于业务关系的数据加密方法及装置制造方法及图纸

本申请提供一种基于业务关系的数据加密方法及装置，该方法包括：接收针对第一LUN的业务启用指令，基于所述业务启用指令启用第一业务；通过预设的第一密钥节点将第一LUN的第一密钥参数同步至预设的第二密钥节点，使得第二密钥节点将第一密钥参数替代自身的第二密钥参数、并依据第一密钥参数获得第一存储密钥；其中，第一密钥节点为第一LUN的密钥节点，第二密钥节点为第二LUN的密钥节点。由于建立业务关系的不同LUN可共享存储密钥，存储系统内部执行业务的过程中，不同LUN之间的数据交互无需多余的加密和解密处理，减少了处理业务的时间消耗和对处理资源的占用，有效地提高了存储系统整体的处理效率。

A Data Encryption Method and Device Based on Business Relations

This application provides a data encryption method and device based on business relationship. The method includes: receiving a service enabling instruction for the first LUN and enabling the first service based on the service enabling instruction; synchronizing the first key parameter of the first LUN to the preset second key node by a preset first key node so that the second key node replaces the first key parameter itself. The second key parameter and the first storage key are obtained according to the first key parameter, where the first key node is the key node of the first LUN and the second key node is the key node of the second LUN. Because different LUNs that establish business relationships can share storage keys, data interaction between different LUNs does not need redundant encryption and decryption processing in the process of internal business execution, which reduces the time consumption of processing business and the occupation of processing resources, and effectively improves the overall processing efficiency of storage system.

【技术实现步骤摘要】
一种基于业务关系的数据加密方法及装置
本申请涉及存储领域，特别涉及一种基于业务关系的数据加密方法及装置。
技术介绍
数据是信息系统的基石，为实现数据的安全存储和传输，存储系统对写入磁盘的数据进行加密，使得数据以密文的形式保存在磁盘中。在这种情况下，即便数据被盗，也不会被解析。在相关技术中，可在磁盘接口处或磁盘内部添加物理加密模块，该物理加密模块实际可以是加密芯片，数据通过该物理加密模块加密后，写入磁盘的即为密文数据。其中，每个磁盘被设置独有的存储密钥，物理加密模块与存储密钥管理服务器交互以获取该物理加密模块对应磁盘的存储密钥，进而可根据该存储密钥对写入磁盘的数据进行加密，对读出磁盘的数据进行解密。
技术实现思路
有鉴于此，本申请提供一种基于业务关系的数据加密方法及装置，用以在加密成本较低的情况下，提高存储安全性，并灵活地对数据进行加密。具体地，本申请是通过如下技术方案实现的：一种基于业务关系的数据加密方法，应用于存储系统中的第一存储设备，所述存储系统的各个LUN分别对应不同的密钥节点，任一LUN的密钥节点用于管理该LUN的存储密钥，包括：接收针对第一LUN的业务启用指令，基于所述业务启用指令启用第一业务；其中，所述第一业务的主LUN为所述第一LUN，所述第一业务的从LUN为第二LUN；通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点，使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥；其中，所述第一密钥节点为所述第一LUN的密钥节点，所述第二密钥节点为所述第二LUN的密钥节点。在所述基于业务关系的数据加密方法中，所述第二LUN位于所述存储系统的第二存储设备上；所述通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点，包括：向所述第二存储设备发送密钥参数同步请求，以由所述第二存储设备将所述第一密钥参数替代所述第二密钥节点中的所述第二密钥参数；其中，所述密钥参数同步请求携带上述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和所述第一密钥参数。在所述基于业务关系的数据加密方法中，所述存储系统包括密钥管理服务器，所述密钥管理服务器为所述存储系统中的LUN分配密钥参数；在接收针对所述第一LUN的业务启用指令前，所述方法还包括：创建所述第一LUN，并为所述第一LUN创建所述第一密钥节点；创建所述第二LUN，并为所述第二LUN创建所述第二密钥节点；通过所述第一密钥节点向所述密钥管理服务器进行认证，并从所述密钥管理服务器获取所述第一密钥参数；通过所述第二密钥节点向所述密钥管理服务器进行认证，并从所述密钥管理服务器获取所述第二密钥参数。在所述基于业务关系的数据加密方法中，密钥参数用于指示存储密钥；所述依据所述第一密钥参数获得第一存储密钥，包括：通过所述第二密钥节点向所述密钥管理服务器发起密钥获取请求，以由所述密钥管理服务器依据所述密钥获取请求中的所述第一密钥参数返回所述第一存储密钥。在所述基于业务关系的数据加密方法中，密钥参数包含存储密钥；所述依据所述第一密钥参数获得第一存储密钥，包括：通过所述第二密钥节点解析所述第一密钥参数，获得所述第一存储密钥。在所述基于业务关系的数据加密方法中，所述方法还包括：在启用所述第一业务后，在所述第一密钥节点和所述第二密钥节点中分别记录所述第一业务的业务关系；其中，所述业务关系包括所述第一业务的业务标识、所述第一业务的主LUN的LUN标识和从LUN的LUN标识。在所述基于业务关系的数据加密方法中，所述方法还包括：接收针对所述第一LUN的写请求，解析所述写请求中的目标数据；从所述第一密钥节点中获取所述第一存储密钥，并基于该第一存储密钥对所述目标数据进行加密，将加密得到的第一密文数据写入所述第一LUN；检查所述第一密钥节点记录的以所述第一LUN为主LUN的业务关系，并确定该业务关系中的从LUN为所述第二LUN；从所述第一LUN中获取所述第一密文数据，并将所述第一密文数据写入至所述第二LUN。在所述基于业务关系的数据加密方法中，所述方法还包括：接收业务解除指令，解除所述第一LUN和所述第二LUN之间的所述第一业务的业务关系；检查预设的业务日志，确定是否在执行所述第一业务时向所述第二LUN写入所述第一密文数据；若是，保持所述第二LUN的所述第一存储密钥不变；若否，将所述第二LUN的所述第一存储密钥更改为所述第二存储密钥。在所述基于业务关系的数据加密方法中，所述方法还包括：接收针对所述第一LUN的业务启用指令，基于所述业务启用指令启用第二业务；其中，所述第二业务的主LUN为第三LUN，所述第二业务的从LUN为所述第一LUN；通过预设的第三密钥节点将所述第三LUN的第三密钥参数同步至所述第一密钥节点，使得所述第一密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得第三存储密钥；其中，所述第三密钥节点为所述第三LUN的密钥节点；通过所述第一密钥节点将所述第三密钥参数同步至所述第二密钥节点，使得所述第二密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得所述第三存储密钥。一种基于业务关系的数据加密装置，应用于存储系统中的第一存储设备，所述存储系统的各个LUN分别对应不同的密钥节点，任一LUN的密钥节点用于管理该LUN的存储密钥，包括：启用单元，用于接收针对第一LUN的业务启用指令，基于所述业务启用指令启用第一业务；其中，所述第一业务的主LUN为所述第一LUN，所述第一业务的从LUN为第二LUN；同步单元，用于通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点，使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥；其中，所述第一密钥节点为所述第一LUN的密钥节点，所述第二密钥节点为所述第二LUN的密钥节点。在本申请技术方案中，存储设备启用第一业务后，建立第一LUN和第二LUN的业务关系，可通过第一LUN的第一密钥节点将第一LUN的第一密钥参数同步至第二LUN的第二密钥节点，使得第二密钥节点可将第一密钥参数替代自身的第二密钥参数，并依据该第一密钥参数获得第一存储密钥；由于建立业务关系的不同LUN可共享存储密钥，存储系统内部执行业务的过程中，不同LUN之间的数据交互无需多余的加密和解密处理，减少了处理业务的时间消耗和对处理资源的占用，有效地提高了存储系统整体的处理效率。附图说明图1是本申请示出的一种存储系统的架构示意图；图2是本申请示出的一种基于业务关系的数据加密方法的流程图；图3是本申请示出的另一种存储系统的架构示意图；图4是本申请示出的一种业务关系示意图；图5是本申请示出的又一种存储系统的架构示意图；图6是本申请示出的另一种业务关系示意图；图7是本申请示出的一种基于业务关系的数据加密装置的实施例框图；图8是本申请示出的一种基于业务关系的数据加密装置的硬件结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致本文档来自技高网...

【技术保护点】
1.一种基于业务关系的数据加密方法，应用于存储系统中的第一存储设备，所述存储系统的各个LUN分别对应不同的密钥节点，任一LUN的密钥节点用于管理该LUN的存储密钥，其特征在于，包括：接收针对第一LUN的业务启用指令，基于所述业务启用指令启用第一业务；其中，所述第一业务的主LUN为所述第一LUN，所述第一业务的从LUN为第二LUN；通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点，使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥；其中，所述第一密钥节点为所述第一LUN的密钥节点，所述第二密钥节点为所述第二LUN的密钥节点。

【技术特征摘要】
1.一种基于业务关系的数据加密方法，应用于存储系统中的第一存储设备，所述存储系统的各个LUN分别对应不同的密钥节点，任一LUN的密钥节点用于管理该LUN的存储密钥，其特征在于，包括：接收针对第一LUN的业务启用指令，基于所述业务启用指令启用第一业务；其中，所述第一业务的主LUN为所述第一LUN，所述第一业务的从LUN为第二LUN；通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点，使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥；其中，所述第一密钥节点为所述第一LUN的密钥节点，所述第二密钥节点为所述第二LUN的密钥节点。2.根据权利要求1所述的方法，其特征在于，所述第二LUN位于所述存储系统的第二存储设备上；所述通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点，包括：向所述第二存储设备发送密钥参数同步请求，以由所述第二存储设备将所述第一密钥参数替代所述第二密钥节点中的所述第二密钥参数；其中，所述密钥参数同步请求携带上述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和所述第一密钥参数。3.根据权利要求1所述的方法，其特征在于，所述存储系统包括密钥管理服务器，所述密钥管理服务器为所述存储系统中的LUN分配密钥参数；在接收针对所述第一LUN的业务启用指令前，所述方法还包括：创建所述第一LUN，并为所述第一LUN创建所述第一密钥节点；创建所述第二LUN，并为所述第二LUN创建所述第二密钥节点；通过所述第一密钥节点向所述密钥管理服务器进行认证，并从所述密钥管理服务器获取所述第一密钥参数；通过所述第二密钥节点向所述密钥管理服务器进行认证，并从所述密钥管理服务器获取所述第二密钥参数。4.根据权利要求3所述的方法，其特征在于，密钥参数用于指示存储密钥；所述依据所述第一密钥参数获得第一存储密钥，包括：通过所述第二密钥节点向所述密钥管理服务器发起密钥获取请求，以由所述密钥管理服务器依据所述密钥获取请求中的所述第一密钥参数返回所述第一存储密钥。5.根据权利1所述的方法，其特征在于，密钥参数包含存储密钥；所述依据所述第一密钥参数获得第一存储密钥，包括：通过所述第二密钥节点解析所述第一密钥参数，获得所述第一存储密钥。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：在启用所述第一业务后，在所述第一密钥节点和所述第二密钥节点中分别记录所述第一业务的业务关系；其中，所述业务...

【专利技术属性】
技术研发人员：胡劲松，
申请(专利权)人：杭州宏杉科技股份有限公司，
类型：发明
国别省市：浙江,33