专利名称:用于通过子地址来存储加密的数据的系统的制作方法
技术领域:
本发明总体上涉及用于存储加密的电子数据的系统和方法。更具 体地,本发明涉及用于通过用于最终存储的地址序列来传送电子数据 的系统和方法。本发明特别地但是不专门地用作用于传送电子数据的 系统和方法,其中所有的序列地址保持为明文。
背景技术:
典型地,计算机系统在它们被安装和使用的场所具有受限的有限 存储容量。不变的是,所述系统随着时间变得过载,并且这个容量变 得在操作上不足。尽管如此,经常发生的是,由计算机系统产生的电 子数据具有存档价值,并且不能被随便地丢弃。而且,为了安全的原 因,或者为了遵守良好的商业惯例,可能期望从位于工作地点的主服 务器移除此类电子数据,并且将其置于安全的存储器中。在这样的情 况下,经常优选的是,将所述数据置于位于离站存储设备的长期、非 暂时存储器中。如果是这样的话,那么重要的是,将电子数据从用户 站点迅速和方便地直接移动到位于存储设备的存储装置。公知的传输
控制协议(TCP)典型地被用于这个目的。
按照TCP,将被从主服务器传送到存储器的电子数据流(即数据 文件)被划分为"x+l"个数据分组。然后这些数据分组被从"0"到 "x"编号,并且全部包括32K字节的数据。这些数据分组被统称为"数 据区"。但是,TCP也要求使用"报头"。在使用中,这个报头位于第 一个数据分组之前,并且包括所述数据将被发送到的存储设备的地址。 但是,TCP在报头中提供了仅仅两个地址。它们是1)源地址,2)目 的地址。而且,每当期望加密用于存储的电子数据时,情况经常是报 头必须保持为明文。其不能被加密。如此是为了当加密的电子数据(数据文件)正在被传送到存储器中时在报头中显示加密的电子数据(数 据文件)的目的地址。
大多数数据存储设备为若干客户服务,因此具有若干不同的存储 装置。事实上,这样的设备甚至可以为特定的客户釆用专用的存储装 置。在这样的情况下,当数据文件到达存储设备时,需要到特定的存 储装置的附加路由。如上所述,TCP传输的报头在存储设备的主地址(即 目的地址)之外不提供路由。为了处理这种情况,惯例是将特定的存
储装置的子地址置于TCP协议的数据区中的"0"数据分组的前48个字 节中。典型地,这是使用所谓ISCSI协议来进行的。因此,当加密的数 据区己经达到存储设备时,需要解密所述数据区中的"0"数据分组, 以便确定数据将要被存储到的存储装置的最终目的地。
根据上述情况,本发明的一个目的是提供一种用于从主服务器经 由存储设备的主地址向存储装置的最终子地址传送加密的电子数据的 方法和系统,其中TCP协议的数据区中的存储设备的子地址保持为明 文。本发明的另一个目的是提供一种用于传送加密的电子数据的方法 和系统,其中最小化了加密/解密功能。本发明的另一个目的是提供一 种易于使用、便于实现和比较合算的用于传送加密的电子数据的方法 和系统。
发明内容
按照本发明,提供了一种用于在特定的存储设备中的专用存储装 置中存储加密的数据文件的系统和方法。对于本发明,这需要将所述 数据文件传送到主地址(存储设备),然后将所述数据文件路由到用 于存储的子地址(存储装置)。重要的是,这是在避免存储设备的主 地址和所述存储装置的子地址两者的加密的同时进行的。
按照标准传输控制协议(TCP),电子数据文件被格式化以具有 其后跟随有数据区的报头。典型地,当所述数据文件需要加密时,仅仅加密所述数据区。包括到所述存储设备的主地址的路由指令的报头 不被加密并且保持为明文。另一方面,将最终存储装置的子地址置于 加密的数据区中。重要的是,最终存储装置的子地址典型地在位于TCP
格式的数据区中的"0"数据分组的开端的48字节ISCSI中被发现。
在操作中,以本领域公知的任何方式来压縮/加密将要置于存储器 中的数据文件,所述方式诸如通过使用由HIFN制造的可商购得到的芯 片。这可以在主机(服务器)、网络交换机或者最终存储装置中进行。
按照常规方法,文件的TCP报头不被加密。对于本发明,位于第 一数据分组的开始并且包括最终存储装置的子地址的ISCSI的48字节也 不被加密。相反,主地址(存储设备)和子地址(存储装置)两者均 保持为明文,并且对于将数据文件传送到其意欲的目的地的使用来说 总是可用的。重要的是,对于这个传送,在数据文件被置于存储器中 之前,仅仅需要一个压縮/加密操作。类似地,当从存储器取回数据文 件时,仅仅需要一个解密/解压縮操作。
通过与所附说明相结合的附图可以最佳地理解关于本发明的结构 和操作上的新颖特征以及本发明本身,其中类似的附图标记表示类似 的部件,并且其中
图l是使用本发明的电子数据文件的示意图;以及 图2是由本发明使用的数据传输路由选择系统的示意图。
具体实施例方式
首先参见图1 ,按照本发明的电子数据文件被示出并且被概括地表 示为IO。按照标准传输控制协议(TCP),数据文件10包括多个数据分 组16,并且如示出的,每个数据分组16具有其自己的报头12。为了识 别的目的,数据分组16被从"0"到"x"依序编号。第一数据分组160 的一部分和全部随后的数据分组16jljl6x共同构成32K数据区14。同样如图1中所示,"0"数据分组16o具有紧随数据分组16o的报头12()的"48 字节"部分18。
在图2中,示出了被概括地表示为20的系统,其中用户22控制备份 服务器24。如本发明所预见的,由用户22例行或者定期产生的电子数 据文件10将被暂时保留在备份服务器24上。但是,最后,数据文件IO 需要被安全地存储在长期的非暂时的存储设备26。为此,备份服务器 24经由连接28以某种方式被连接到存储设备26。重要的是,为了保证 这个通信连接有效,存储设备26将会具有本领域公知的类型和格式的 专用主地址。重要的是,数据文件10需要被发送到这个主地址。
仍然参见图2,可以看到不同的存储装置30将与存储设备26相关 联。作为示例,存储装置30a、 30b和30c被示出在图2中,并且每个经由 线路32a、 32b和32c分别连接到存储设备26。为了本发明起见,每个存 储装置30可以是本领域公知的任何类型,诸如库、磁盘、磁带或者DVD。 在任何情况下,每个存储装置30具有专用子地址。例如,考虑存储装 置30a。如果要使用存储装置30a,则用户22需要首先从备份服务器24 经由连接28向存储设备26的主地址发送适当的数据文件10。由此,数 据文件10然后将经由线路32a被发送到存储装置30a的子地址。
如上所述,典型地并且最可能期望的是,数据文件io为了其在存 储装置30上的存储而被压缩和加密。对于本发明,这是由装置34以本 领域公知的方式来进行的,诸如通过使用由HIFN制造的可商购得到的 芯片。而且,如在图2中的虚线36、 36'、 36"所示,数据文件10的压縮/ 加密可以选择性地在服务器24、存储设备26 (网络交换机)或者存储 装置30a、 b、 c完成。
在操作中,准备数据文件IO。特别地,将存储设备26的主地址置 于由TCP要求的报头12o中。要存储数据文件10的特定存储装置30的子 地址被置于"0"数据分组16o的部分18中。除了 "0"数据分组16o的部分18之外,数据文件10的数据区14然后通过装置24被压縮和加密。如 以上所公开的,这个压縮/加密可以在服务器24、存储设备26 (网络交 换机)或者存储装置30a、 b或c进行。仅仅需要一个压縮/加密操作,并 且相反地,当要从存储装置30重新得到和移除数据文件10时,仅仅需 要一个解密/解压縮操作。本发明的一个重要方面是,无论数据文件io 被移动到哪里,在报头12中的存储设备26的主地址和在数据区14的部 分18中的存储装置30的子地址从不被加密并且总是保持为明文。
虽然在此详细示出和公开的用于通过子地址来存储加密数据的具 体系统完全能够达到发明目的并且提供如上所述的优点,应当理解的 是,其仅仅是说明本发明的当前优选实施例,并且不意欲对于除了在 所附的权利要求中所述的那些之外的、在此所示的结构或者设计的细 节施加任何限制。
权利要求
1.一种用于从主服务器经由存储设备的主地址向存储装置的最终子地址传送加密的电子数据的方法,所述方法包括步骤识别被传送的所述电子数据的报头部分和数据区,其中所述报头部分包括所述存储设备的所述主地址;将所述数据区划分为第一部分和第二部分,其中所述存储装置的所述子地址位于所述第一部分中;加密所述数据区的所述第二部分;并且经由所述主地址向所述存储装置的所述子地址传送所述电子数据。
2. 根据权利要求l的方法,其中所述报头部分和所述数据区被根 据传输控制协议(TCP)来建立。
3. 根据权利要求2的方法,其中所述数据区包括从"0"到"x" 依序编号的"x+l"个数据分组,并且其中所述数据区的所述第一部分 位于"0"数据分组中。
4. 根据权利要求3的方法,其中所述数据区的所述第一部分被根 据ISCSI协议来构造,并且包括所述"0"数据分组的前48个字节。
5. 根据权利要求l的方法,其中所述报头和所述数据区的所述第 一部分被以明文传送到所述存储设备和所述存储装置。
6. 根据权利要求l的方法,其中所述加密步骤在所述存储设备完成。
7. 根据权利要求l的方法,其中所述加密步骤在所述存储装置完成。
8. —种用于向存储装置传送电子数据的方法,其中所述电子数据 被根据传输控制协议(TCP)来格式化,并且所述电子数据具有报头和 数据区,所述方法包括步骤加密所述数据区的选定部分;向存储设备的主地址传送所述电子数据;并且将所述电子数据从所述存储设备的所述主地址路由到用于存储的 所述存储装置的子地址。
9. 根据权利要求8的方法,还包括将所述数据区划分为第一部分 和第二部分的步骤,其中所述存储装置的所述子地址位于所述第一部 分中。
10. 根据权利要求9的方法,其中所述数据区的被选定用来加密的 部分是所述第二部分。
11. 根据权利要求9的方法,其中所述加密步骤在所述传送步骤之 后完成。
12. 根据权利要求9的方法,其中所述数据区包括从"0"到"x" 依序编号的"x+l"个数据分组,并且其中所述数据区的所述第一部分 位于"0"数据分组中。
13. 根据权利要求12的方法,其中所述数据区的所述第一部分被 根据ISCSI协议来构造,并且包括所述"0"数据分组的前48个字节。
14. 根据权利要求9的方法,其中所述报头和所述数据区的所述第 一部分被以明文传送到所述存储设备和所述存储装置。
15. 根据权利要求9的方法,其中所述加密步骤在所述存储设备完成。
16. 根据权利要求9的方法,其中所述加密步骤在所述存储装置完成。
17. —种用于向存储装置传送电子数据的系统,其中所述电子数据被根据传输控制协议(TCP)来格式化,并且所述电子数据具有报头和数据区,所述系统包括用于加密所述数据区的选定部分的部件; 用于向存储设备的主地址传送所述电子数据的部件;以及 用于将所述电子数据从所述存储设备的所述主地址路由到用于存 储的所述存储装置的子地址的部件。
18. 根据权利要求17的系统,还包括用于将所述数据区划分为第 一部分和第二部分的部件,其中所述存储装置的所述子地址位于所述 数据区的所述第一部分中,并且其中所述数据区的被选定用来加密的 部分是所述第二部分。
19. 根据权利要求18的系统,其中所述数据区包括从"0"到"x" 依序编号的"x+l"个数据分组,并且其中所述数据区的所述第一部分 位于"O"数据分组中,并且其中所述数据区的所述第一部分被根据ISCSI 协议来构造并且包括所述"0"数据分组的前48个字节。
20. 根据权利要求19的系统,其中所述报头和所述数据区的所述 第一部分被以明文传送到所述存储设备和所述存储装置。
全文摘要
一种用于使用传输控制协议(TCP)来存储加密的电子数据的系统和方法,要求保持报头和TCP格式的数据区中的“0”数据分组的前48字节为明文。因此,数据可以被路由到主地址(存储设备),并且然后路由到用于存储的子地址(存储装置)。在存储之前,可以在主机(服务器)、网络交换机或者最终存储装置完成单一压缩/加密操作。
文档编号H04L29/08GK101309265SQ20081008709
公开日2008年11月19日 申请日期2008年4月11日 优先权日2007年5月18日
发明者约翰·E·G·马策 申请人:Hifn公司