专利名称:一种保障存储网络数据安全的方法及装置的制作方法
技术领域:
本发明涉及存储网络的安全技术,特别涉及一种保障存储网络数据安全的方法及装置。
背景技术:
计算机安全问题是计算机技术的热点之一,采用的主要技术是各种加密技术或防火墙技术。但据有关方面的数据统计,50%~80%的攻击来源于网络内部,是位于防火墙内部的攻击,这些攻击包括对存储数据的窃取。目前大部分数据是用明码的方式存储,这些数据如被窃取,将有可能对公司的经济利益带来巨大的损失;有些关键数据甚至关系到国家的利益和安全。
存储网络是数据存储发展的一个重要的趋势。存储网络的安全不同于通常意义的网络安全,它是位于通常的网络安全防火墙之下,是为了预防内部窃取而建立的安全技术。存储网络的安全也不等同于普通存储设备如单个硬盘或单个阵列的安全,存储网络是多用户共享的方式存储,存储设备同时为多个用户访问,数据更易于被窃取;总之,存储网络的安全问题是计算机系统安全问题关键问题。
发明内容
本发明针对现有技术的不足,提供一种保障存储网络数据安全的方法,能在多用户共享的的条件下,实现存储网络数据存储和用户访问的安全。本发明还提供该方法下的存储网络数据安全管理装置。
本发明保障存储网络数据安全的方法,所述存储网络中连接有服务器集群和存储设备集群,其特征在于,在存储网络中服务器集群和存储设备集群之间的命令和数据通道上设置安全管理装置,由所述安全管理装置对所述服务器集群和存储设备集群之间传输的命令和数据进行隔离,并由所述安全管理装置对两者之间传输的命令和数据进行数据处理和实施数据安全管理。
本发明方法由于在服务器集群和存储设备集群之间设置了对命令和数据进行隔离的安全管理装置,并由所述安全管理装置对两者之间的数据进行处理和安全管理,相当于对服务器集群和存储设备集群之间的数据流设置了一位智能安全管理员,一方面能实现服务器集群和存储设备集群之间正常的数据处理,另一方面,在安全管理装置内可以采取安全措施,对于全部的数据流或特殊的数据流采取安全措施,比如进行加密处理,进行权限管理限制等等,为多用户共享存储设备条件下的数据存储和用户访问提供了安全措施和保障。
进一步,所述数据处理是由所述安全管理装置分别模拟存储设备和服务器的工作模式来实现,对所述服务器集群的I/O命令,所述安全管理装置模拟存储设备的工作模式,接收并响应所述命令;对所述存储设备集群,所述安全管理装置模拟服务器的工作模式,读写所述存储设备集群中的存储设备,并发送I/O命令到所述存储设备集群的各个存储设备和/或存储空间;所述数据安全管理是由在所述安全管理装置内对存储通道的存储协议层进行数据加密/解密处理来实现。
安全管理装置分别模拟存储设备和服务器的工作模式,可利用普通的服务器硬件或嵌入式硬件平台来设置安全管理装置,可使本发明方法实现简单便捷。在存储协议层进行访问授权和/或数据加密/解密来实现数据处理和安全管理,能和现有的存储系统完全兼容,即兼容任意硬件、操作系统以及应用程序。
更进一步,所述安全管理装置包括硬件平台和软件平台,所述硬件平台为普通的服务器硬件或嵌入式硬件,并设置有分别与所述存储设备集群和服务器集群在物理层和传输层上相连的设备端硬件协议处理端口和服务器端硬件协议处理端口,用于处理存储网络传输底层协议;所述软件平台包括分别与两个硬件协议处理端口相连的设备端存储协议模块、服务器端存储协议模块及连于两者之间的加密管理模块,还包括一个与上述三个模块相连的配置数据库,所述两个存储协议模块实现命令的收发和分析及存储网络数据的收发,所述加密管理模块根据命令的类型对数据进行加密/解密处理,所述配置数据库存储和管理各类信息。所述硬件平台还设置有密钥硬件接口;所述加密管理模块还设置有硬件加密模块和/或软件加密模块;所述软件平台还设置有分别与配置数据库相连的用于实现访问授权管理和数据加密的口令管理模块、权限管理模块、加密算法管理模块和密钥管理模块,所述四个模块的信息均传送给配置数据库。
上述技术措施可采用标准的存储网络接口连接服务器集群和存储设备集群,可兼容目前大部份的存储网络协议,如光纤通道(Fibre Channel)、iSCSI、附网存储(NAS),基于对象的存储(OSD);上述技术方案还通过单存储设备中各个存储空间的密钥和加密的独立配置,即通过对存储设备集群的各个存储设备/存储空间分别管理,赋予用户不同的密钥和算法,实现了多用户共享环境下的数据加密。而用户登录口令、加密密钥和网络管理员分配空间权限相结合的管理方式,使数据安全得到进一步的保障。本发明方法采用密钥设备分离的技术方案可以快速损毁密钥,保障数据安全。
图1是本发明装置结构示意图;图2是本发明初始化、连接的流程图;图3是本发明用户登录的流程图;图4是本发明写数据的流程图;图5是本发明读数据的流程图;图6是本发明断开用户的流程图。
图中标记列示如下1-本发明存储网络数据安全装置;2-存储设备集群;3-服务器集群;4-存储网络;10-安全装置的硬件平台;20-安全装置的软件平台;100-设备端协议处理端口;110-服务器端协议处理端口;120-硬加密模块;130-密钥硬件接口;200-设备端存储协议模块;210-服务器端存储协议模块;220-加密管理模块;230-软件加密模块;240-口令管理模块;250-权限管理模块;260-加密算法管理模块;270-密钥管理模块;280-配置数据库。
具体实施例方式
下面结合附图来详细说明本发明的具体技术方案。
图1是本发明存储网络数据安全装置结构示意图。如图1所述,本发明存储网络数据安全装置1和通过存储网络4连接存储设备集群2和服务器集群3,设置在两者之间的命令和数据通道上,对数据和命令进行隔离。存储网络数据安全装置1包括硬件平台10和软件平台20,对服务器集群3和存储设备集群2之间传输的数据进行数据处理和实施数据安全管理。
硬件平台10包括设备端硬件协议处理端口100、服务器端硬件协议处理端口110和硬加密模块120。服务器端硬件协议处理端口110连接到服务器集群3,设备端硬件协议处理端口100连接到存储设备集群2。所述设备端硬件协议处理端口100、服务器端硬件协议处理端口110由底层硬件系统和处理存储协议层部分组成。本实施例所示的端口方案采用常用的硬件处理底层协议、软件处理高层协议方式。所述设备端硬件协议处理端口100、服务器端硬件协议处理端口110可采用最常用的以太网口和光纤通道口,实际的应用可采取灵活的软硬件配置方式实现各个协议层的功能,也可以采取其他类型的硬件端口。密钥硬件接口130负责读取硬密钥,可以是USB接口读入USB的密钥或IC卡读卡器接口读入IC卡等任意方式。
硬件平台10可以由普通的服务器硬件或自行研发的嵌入式硬件平台组成。除所述的硬件协议处理端口和密钥硬件接口外,硬件的其他部分与普通的硬件平台架构一样,包括中央处理器、控制程序或固件运行用的内存、存储控制程序或固件的外存储器、外部扩展总线等。
软件控制平台包括设备端存储协议模块200、服务器端存储协议模块210、加密管理模块220,软件加密模块230、口令管理模块240、权限管理模块250、加密算法管理模块260、密钥管理模块270、配置数据库280。
设备端存储协议模块200连接设备端硬件协议处理端口100,模拟服务器的工作模式,读写存储设备集群2。具体地,设备端存储协议模块200发送高层存储设备I/O命令到所述存储设备集群2的各个存储设备/存储空间,得到其地址、标志、状态和容量,并不断扫描监控存储设备集群状态的变化,并将上述信息存入配置数据库280。所述的服务器端存储协议模块210连接服务器端硬件协议处理端口110,模拟存储设备的工作模式,对服务器集群3的读写I/O命令进行响应。具体地,服务器端存储协议模块210从配置数据库280中获得存储设备集群2存储设备/存储空间的信息,由这些信息接收并响应从服务器集群3来的高层存储设备命令。
这一技术方案使服务器集群3到存储设备集群2之间的命令和数据传输被隔离,而由本发明模拟服务器和存储设备的工作模式来处理数据和命令。该技术方案实际上设定两个区域服务器集群3和服务器端存储协议模块210区域,在该区域中,服务器集群3只能看到本发明存储网络数据安全设备;存储设备集群2和设备端存储协议模块200区域,在该区域中,本发明存储网络数据安全装置只能看到存储设备集群2。因此,服务器集群只能通过本发明存储网络数据安全设备才能访问到存储设备集群2。
本实施例的数据安全管理是通过设置访问授权管理和/或加密来实现的,优选的方案是同时进行访问授权管理和加密处理,具体实施过程如下口令管理模块240是用户(服务器集群3)对存储设备/存储空间进行访问时登录的限制,由用户和管理员交互完成,用户信息在管理员认可的情况下传送给配置数据库280;权限管理模块250是用户(服务器集群3)对存储设备/存储空间存取权限的控制,由用户和网络管理员共同完成,用户信息、用户所在服务器信息和用户所分配存储设备/存储空间信息等由管理员传送给配置数据库280;加密算法管理模块260可以存放多种加密算法,这些算法以硬件(通过硬加密模块120)或软件方式(通过软件加密模块230)实现。用户选择加密算法,传送给配置数据库280;密钥管理模块270管理数据加密密钥,密钥可以是用户输入的软密钥,也可以是从所述的密钥硬件接口130读入硬密钥,密钥管理模块270把密钥传送给配置数据库280。在收到服务器集群的读写命令时,配置数据库280读取上述信息,根据用户所在服务器信息、密钥信息、加密算法信息对读写数据进行加密/解密处理。
配置数据库280管理所有的存储信息、用户信息、加密算法信息、密钥信息等。当用户和管理员配合输入一组配置信息后,配置数据库把上述四种信息作为一个数组存入。用户在以后的每次登录时,设备端存储协议模块200将检查用户、登录口令是否有效,并从配置数据库280中取出给用户所分配空间信息,报告给用户。用户在读写上述空间时,设备端存储协议模块200将根据密钥信息和加密算法信息通过硬件或软件方式对数据进行加密/解密处理。
图2是本发明初始化、连接的流程图。如图2中(a)所示,连接存储设备集群2的设备端硬件协议处理端口100和设备端存储协议模块200模拟服务器工作方式。这种方式下,本发明存储网络数据安全装置1主动发送高层存储设备命令给存储设备集群2,得到存储设备集群2各存储设备/存储空间的地址、标志、状态、以及容量。由于存储网络中会存在新设备加入、原有设备断开、读写过程中出现错误等情况,本发明存储网络数据安全装置1设定了定时扫描方案,循环检测存储设备集群2中各存储设备/存储空间的状态,更新配置数据库280。
如图2中(b)所示,连接服务器集群3的服务器端硬件协议处理端口110和服务器端存储协议处理模块210模拟存储设备工作方式,接收和响应从服务器集群3来的高层存储设备命令,如读取存储器属性命令、读状态命令、读取容量命令、读写命令等。所有的存储设备/存储空间的状态参数取自配置数据库280。
图3是本发明用户登录的流程图。如图3所示,当用户需要存储空间时,向网络管理员发出申请,网络管理员确认用户可以使用存储资源后,将用户信息、服务器信息以及分配用户的存储空间信息存入配置数据库280;用户决定登陆口令、加密算法、密钥,也存入配置数据库280。
用户利用登录口令登录到本发明的存储网络数据安全装置1,本发明检索配置数据库280,确认用户名、口令和服务器有效,才允许用户登录。
上述口令和密钥与网络管理员隔离,网络管理员只知道有口令和密钥存在,而不知道内容。即网络管理员只有分配存储设备/存储空间的权利,而没有访问存储设备/存储空间的权利。
图4是本发明写数据的流程图。如图4所示,本发明收到写命令后,从配置数据库280中取出加密算法和密钥,利用硬件或软件方式对写数据进行加密,写入相应的存储设备/存储空间。
图5是本发明读数据的流程图。如图5所示,本发明收到读命令后,从相应的存储设备/存储空间中读取数据,然后根据从配置数据库60中取出加密算法和密钥,利用硬件或软件方式对读数据进行解密,把数据返回到服务器。
图6是本发明断开用户的流程图。如图6所示,为切实保障数据安全,在用户断开连接时,本发明从配置数据库280中删除密钥。如用户有进一步的需求,用户登录的口令也可以清除。
以上对本发明的具体实施方式
进行了说明,但不限于此,也不以任何形式对本发明做出限制。应当指出,对本领域技术人员来说,依据本发明的指导思想还可以做出很多相关的变形和改进,但这些均将落入本发明的保护范围。
权利要求
1.一种保障存储网络数据安全的方法,所述存储网络中连接有服务器集群和存储设备集群,其特征在于,在存储网络中服务器集群和存储设备集群之间的数据通道上设置安全管理装置,由所述安全管理装置对所述服务器集群和存储设备集群之间传输的命令和数据进行隔离,并由所述安全管理装置对两者之间传输的命令和数据进行数据处理和实施数据安全管理。
2.根据权利要求1所述的保障存储网络数据安全的方法,其特征在于所述数据处理是由所述安全管理装置分别模拟存储设备和服务器的工作模式来实现,对所述服务器集群的I/O命令,所述安全管理装置模拟存储设备的工作模式,接收并响应所述命令;对所述存储设备集群,所述安全管理装置模拟服务器的工作模式,读写所述存储设备集群中的存储设备,并发送I/O命令到所述存储设备集群的各个存储设备和/或存储空间;所述数据安全管理是在所述安全管理装置内的存储通道的存储协议层进行访问授权和/或数据加密/解密处理来实现。
3.根据权利要求1或2所述的保障存储网络数据安全的方法,其特征在于所述安全管理装置包括硬件平台和软件平台,所述硬件平台为普通的服务器硬件或嵌入式硬件,并设置有分别与所述存储设备集群和服务器集群在物理层和传输层上相连的设备端硬件协议处理端口和服务器端硬件协议处理端口,用于处理存储网络传输底层协议;所述软件平台包括分别与两个硬件协议处理端口相连的设备端存储协议模块、服务器端存储协议模块及连于两者之间的加密管理模块,还包括一个与上述三个模块相连的配置数据库,所述两个存储协议模块实现命令的收发和分析及存储网络数据的收发,所述加密管理模块根据命令的类型对数据进行加密/解密处理,所述配置数据库存储和管理各类信息。
4.根据权利要求3所述的保障存储网络数据安全的方法,其特征在于所述硬件平台还设置有密钥硬件接口;所述加密管理模块还设置有硬件加密模块和/或软件加密模块;所述软件平台还设置有分别与配置数据库相连的用于实现访问授权管理和/或数据加密的口令管理模块、权限管理模块、加密算法管理模块和密钥管理模块,所述四个模块的信息均传送给配置数据库。
5.根据权利要求4所述的保障存储网络数据安全的方法,其特征在于所述模拟服务器的工作模式是通过设备端存储协议模块与设备端硬件协议处理端口实现的,设备端存储协议模块发送命令到所述存储设备集群的各个存储设备/存储空间,得到其地址、标志、状态和容量等属性,并不断扫描监控存储设备集群状态的变化进行数据更新,同时将上述信息存入配置数据库;所述模拟存储设备的工作模式是由服务器端存储协议模块和服务器端硬件协议处理端口实现的,所述服务器端存储协议模块从配置数据库中获得存储设备集群存储设备/存储空间的信息,由这些信息接收并响应从服务器集群来的命令;对于命令中的读数据和写数据命令,则需要通过加密管理模块根据配置数据库内的加密算法和密钥进行加密/解密处理后才能对存储设备集群中的存储设备/存储空间进行读和写操作。
6.根据权利要求4所述的保障存储网络数据安全的方法,其特征在于访问授权管理和数据加密/解密是这样实现的口令管理模块设置用户对存储设备/存储空间进行访问时登录的限制,并设置成由用户和管理员交互完成,所产生的用户信息在管理员认可的情况下传送给配置数据库;权限管理模块设置了用户对存储设备/存储空间存取权限的控制,且设置成由用户和网络管理员共同完成,由此产生的用户信息、用户所在服务器信息和用户所分配存储设备/存储空间信息等由管理员传送给配置数据库;加密算法管理模块存放有多种加密算法,这些算法通过硬件加密模块或软件加密模块实现,用户选择加密算法,传送给配置数据库;密钥管理模块管理数据加密密钥,密钥可以是用户输入的软密钥,也可以是从所述的密钥硬件接口读入的硬密钥,密钥管理模块把密钥传送给配置数据库,在收到服务器集群的读写命令时,配置数据库读取上述信息,根据用户所在服务器信息、密钥信息、加密算法信息对读写数据进行加密/解密处理。
7.一种存储网络数据安全管理装置,所述存储网络中连接有服务器集群和存储设备集群,其特征在于,所述存储网络数据安全管理装置设置在存储网络中服务器集群和存储设备集群之间的命令和数据通道上,由硬件平台和软件平台组成,对服务器集群和存储设备集群之间传输的命令和数据进行数据处理和实施数据安全管理。
8.根据权利要求7所述的存储网络数据安全管理装置,其特征在于所述硬件平台为普通的服务器硬件或嵌入式硬件,并设置有分别与所述存储设备集群和服务器集群在物理层和传输层上相连的设备端硬件协议处理端口和服务器端硬件协议处理端口,用于处理存储网络传输底层协议;所述软件平台包括分别与两个硬件协议处理端口相连的设备端存储协议模块、服务器端存储协议模块及连于两者之间的加密管理模块,还包括一个与上述三个模块相连的配置数据库,所述两个存储协议模块实现命令的收发和分析及存储网络数据的收发,所述加密管理模块根据命令的类型对数据进行加密/解密处理,所述配置数据库存储和管理各类信息。
9.根据权利要求8所述的存储网络数据安全管理装置,其特征在于所述硬件平台还设置有密钥硬件接口;所述加密管理模块还设置有硬件加密模块和/或软件加密模块;所述软件平台还设置有分别与配置数据库相连的用于实现访问授权管理和数据加密/解密的口令管理模块、权限管理模块、加密算法管理模块和密钥管理模块,所述四个模块的信息均传送给配置数据库。
全文摘要
本发明一种保障存储网络数据安全的方法及装置涉及存储网络的安全技术,特别涉及一种保障存储网络数据安全的方法及装置。本发明解决多个用户访问下存储系统安全问题。本发明方法在存储网络中服务器集群和存储设备集群之间的数据通道上设置安全管理装置,由所述安全管理装置对所述服务器集群和存储设备集群之间传输的命令和数据进行隔离,并由所述安全管理装置对两者之间传输的命令和数据进行数据处理和实施数据安全管理。本发明一方面能实现服务器集群和存储设备集群之间正常的数据处理,另一方面,可以采取各种安全措施,对于全部的数据流或特殊的数据流进行安全处理,为多用户共享下的数据存储和用户访问提供了安全措施和保障。
文档编号H04L29/06GK1694415SQ20051001166
公开日2005年11月9日 申请日期2005年4月29日 优先权日2005年4月29日
发明者祝夭龙, 熊晖, 严杰 申请人:北京邦诺存储科技有限公司