一种安全网络存储系统与方法

一种安全网络存储系统与方法
【专利摘要】本发明涉及安全网络存储系统，包括网络存储发起端、网络数据安全处理服务器和网络存储目标端；网络存储发起端与网络数据安全处理服务器之间采用安全访问通道连接，网络数据安全处理服务器与网络存储目标端之间通过网络连接；网络数据安全处理服务器包括目标端代理接口、安全访问协议模块、数据加解密模块、管理模块和发起端代理接口；目标端代理接口为网络数据安全处理服务器向网络存储发起端提供的代理接口；安全访问协议模块用于实现安全访问协议的处理；数据加解密模块用于对数据加解密；管理模块用于实现对代理接口信息、安全访问协议信息和加解密算法的管理和维护；发起端代理接口为网络数据安全处理服务器向网络存储目标端提供的代理接口。
【专利说明】—种安全网络存储系统与方法

【技术领域】
[0001]本发明涉及网络安全领域，特别涉及一种安全网络存储系统与方法。

【背景技术】
[0002]在三网融合、云计算和物联网等新兴概念迅猛发展的时代背景下，随着市场需求的不断拉动，各种高速率、低延迟的网络数据应用正持续增长。这些高速网络数据应用给服务端的存储性能提出了更高的要求，同时也带来了更大的挑战。
[0003]当前业界普遍采用存储集群的方式来实现高速网络数据的高性能吞吐和存储，具体的实现方案主要以SAN (Storage Area Network,存储区域网络)和NAS (NetworkAttached Storage,网络附加存储)为基础，其中SAN通过交换机网络简单整合底层存储，具有较高的性能、更低的成本和配置灵活性；NAS本身带有标准的文件共享协议，具有管理方便、部署简单的特点，但是价格相对较高。无论是SAN还是NAS，其底层都由磁盘阵列及其集群构成，上层通过磁盘阵列的控制器来实现访问。
[0004]但是，当前业界普遍关注的是存储集群的带宽性能和可靠性等。作为高速网络数据业务系统中的关键一环，存储系统的安全性能并没有得到业界足够的重视。同时，目前几乎没有磁盘阵列前端控制器提供网络安全协议的支持和数据加解密的操作。这样做的后果是，一旦服务系统遭受攻击，大量的业务数据的安全将得不到保证。
[0005]鉴于以上问题，需要一种对网络数据的存储提供安全保障的方法，通过网络安全通道、数据加密等手段，来实现存储集群中数据的安全存储。


【发明内容】

[0006]本发明的目的在于克服现有技术中缺乏对存储系统安全性能的维护，从而提供一种安全网络存储系统与方法。
[0007]为了实现上述目的，本发明提供了一种安全网络存储系统，包括网络存储发起端302、网络数据安全处理服务器304和网络存储目标端311 ;所述网络存储发起端302与所述网络数据安全处理服务器304之间采用安全访问通道303实现数据传输，所述网络数据安全处理服务器304与网络存储目标端311之间通过网络连接；其中，
[0008]所述网络数据安全处理服务器304用于实现对网络数据的安全读取与存储，包括目标端代理接口 305、安全访问协议模块306、数据加解密模块307、管理模块308和发起端代理接口 309 ;所述目标端代理接口 305为所述网络数据安全处理服务器304向所述网络存储发起端302所提供的代理接口 ；所述安全访问协议模块306用于实现安全访问协议的处理，从而为所述网络存储发起端302提供透明的安全访问通道；所述数据加解密模块307用于对准备写入所述网络存储目标端311的数据通过加密算法加密，或对从所述网络存储目标端311中读出的加密数据通过相应的解密算法解密；所述管理模块308用于实现对代理接口信息、安全访问协议信息和加解密算法的管理和维护；所述发起端代理接口 309为所述网络数据安全处理服务器304向所述网络存储目标端311所提供的代理接口。
[0009]上述技术方案中，所述目标端代理接口 305包括初始化接口、数据读写接口以及查询接口 ；所述发起端代理接口 309包括网络存储的初始化接口、数据读写接口以及查询接口。
[0010]上述技术方案中，所述安全访问协议包括SSL协议或VPN协议。
[0011]上述技术方案中，所述加密算法或解密算法采用DES算法。
[0012]本发明还提供了一种基于所述的安全网络存储系统的安全网络存储方法，包括:
[0013]步骤I)、系统初始化；所述初始化包括:由所述网络数据安全处理服务器304完成安全访问通道303和数据加解密模块307中数据加密算法的初始化，同时完成网络存储目标端311的注册和挂载，由所述管理模块308来管理和维护这些信息；
[0014]步骤2)、所述网络数据安全处理服务器304通过安全访问通道303监听来自网络存储发起端302的请求；
[0015]步骤3)、某一时刻，所述网络数据安全处理服务器304通过安全访问通道303收到访问请求；
[0016]步骤4)、对所接收到的访问请求进行判断，若为读数据请求，执行步骤5)，若为写数据请求，执行步骤8)，若为对网络存储目标端的初始化请求，执行步骤11)，若为查询请求，执行步骤13);
[0017]步骤5)、所述网络数据安全处理服务器304根据读数据请求中提供的信息，通过所述发起端代理接口 309中的读数据接口从所述网络存储目标端311中的相应地址读取数据；
[0018]步骤6)、所述数据加解密模块307通过解密算法对读取到的已加密数据进行解密，得到明文数据；
[0019]步骤7)、所述安全访问协议模块306按照协议格式将明文数据进行封装，然后由所述目标端代理接口 305将封装后的明文数据通过所述安全访问通道303发送给所述网络存储发起端302,然后执彳了步骤16)；
[0020]步骤8)、所述数据加解密模块307将待写入的数据通过加密算法进行加密，得到密文数据；
[0021]步骤9)、由所述发起端代理接口 309将经过加密的数据写入到网络存储目标端311的相应位置；
[0022]步骤10)、向所述网络存储发起端302返回相应信息，接着执行步骤16)；
[0023]步骤11)、对所述网络存储目标端311的包括注册、挂载在内的命令的payload进行加密；
[0024]步骤12)、通过所述发起端代理接口 309中的网络存储的初始化接口与网络存储目标端311进行交互，然后执行步骤16);
[0025]步骤13)、当收到查询请求时，所述网络数据安全处理服务器304根据请求中提供的信息，将对所述网络存储目标端311的状态查询命令的payload进行加密；
[0026]步骤14)、通过所述发起端代理接口 309中的查询接口与所述网络存储目标端311进行交互，得到查询结果；
[0027]步骤15)、所述数据加解密模块307对查询结果进行解密，然后将解密后的查询结果经目标端代理接口 305中的查询接口通过所述安全访问通道303返回给网络存储发起端
302 ；
[0028]步骤16)、当前的访问请求是否已经处理完成，若已经处理完成，重新执行步骤2 )，若尚有待处理的访问请求，重新执行步骤4 )。
[0029]本发明的优点在于:
[0030]本发明提出了一种基于安全访问通道的网络数据加密存储和访问方法及系统，通过网络安全通道、数据加密等手段，为用户提供了一种安全、透明、高效的安全网络存储系统。

【专利附图】

【附图说明】
[0031]图1是本发明的安全网络存储系统的系统结构图；
[0032]图2是本发明的安全网络存储方法的流程图。

【具体实施方式】
[0033]现结合附图对本发明作进一步的描述。
[0034]参考图1，本发明的安全网络存储系统包括网络存储发起端302、网络数据安全处理服务器304和网络存储目标端311 ;其中，所述网络存储发起端302与所述网络数据安全处理服务器304之间采用安全访问通道303实现数据传输，所述网络数据安全处理服务器304与网络存储目标端311之间通过网络连接。
[0035]下面对该系统中的各个模块做进一步的说明。
[0036]所述网络存储发起端302为任一具有网络存储需求的终端，如智能手机、个人PC、工作站、巨型机、大型通用机等。
[0037]所述网络数据安全处理服务器304用于实现对网络数据的安全读取与存储。该服务器包括目标端代理接口 305、安全访问协议模块306、数据加解密模块307、管理模块308和发起端代理接口 309。
[0038]目标端代理接口305是网络数据安全处理服务器304向网络存储发起端302所提供的一系列代理接口，包括初始化接口、数据读/写接口以及查询接口，这些接口分别完成各自的功能。
[0039]安全访问协议模块306用于实现安全访问协议的处理，包括数据的封装与拆分，从而为网络存储发起端302提供透明的安全访问通道。所述的安全访问协议包括SSL协议、VPN协议等网络协议。
[0040]数据加解密模块307用于对准备写入网络存储目标端311的数据通过加密算法加密，或对从网络存储目标端311中读出的加密数据通过相应的解密算法解密。所述数据加解密算法可采用现有技术中的相关算法，如DES算法等。
[0041]管理模块308用于实现对代理接口信息、安全访问协议信息和加解密算法的管理和维护。
[0042]发起端代理接口 309是网络数据安全处理服务器304向网络存储目标端311所提供的一系列代理接口，包括网络存储的初始化接口、数据读/写接口以及查询接口。
[0043]所述网络存储目标端311为任一能够实现网络存储的存储设备，如磁盘阵列集群坐寸ο
[0044]基于上述安全网络存储系统，参考图2，对该系统的工作流程做进一步说明。
[0045]步骤401、系统初始化。网络数据安全处理服务器304完成安全访问通道303和数据加解密模块307中数据加密算法的初始化，同时完成网络存储目标端311的注册和挂载，由管理模块308来管理和维护这些信息。
[0046]在本实施例中，所述安全访问通道303所采用的协议为SSL协议，所述数据加密算法采用DES算法。在其他实施例中，安全访问通道303也可采用其他协议，如VPN协议，所述加密算法也可采用其他的加密算法。
[0047]步骤402、网络数据安全处理服务器304通过安全访问通道303，监听来自网络存储发起端302的请求。
[0048]步骤403、某一时刻，网络数据安全处理服务器304通过安全访问通道303收到访问请求。
[0049]步骤404、对所接收到的访问请求进行判断，若为读数据请求，执行步骤405，若为写数据请求，执行步骤408，若为初始化请求(指对网络存储目标端的初始化)，执行步骤411，若为查询请求，执行步骤413。
[0050]步骤405、网络数据安全处理服务器304根据读数据请求中提供的信息，通过发起端代理接口 309中的读数据接口从网络存储目标端311中的相应地址读取数据。
[0051]步骤406、数据加解密模块307通过解密算法对读取到的已加密数据进行解密，得到明文数据。
[0052]步骤407、安全访问协议模块306按照协议格式将明文数据进行封装，然后由目标端代理接口 305将封装后的明文数据通过安全访问通道303发送给网络存储发起端302，然后执行步骤416。
[0053]步骤408、数据加解密模块307将待写入的数据通过加密算法进行加密，得到密文数据。
[0054]步骤409、由发起端代理接口 309将经过加密的数据写入到网络存储目标端311的相应位置。
[0055]步骤410、向网络存储发起端302返回相应信息，接着执行步骤416。
[0056]步骤411、对网络存储目标端311的注册、挂载等命令的payload进行加密。
[0057]步骤412、通过发起端代理接口 309中的网络存储的初始化接口与网络存储目标端311进行交互,然后执行步骤416。
[0058]步骤413、当收到查询请求时，网络数据安全处理服务器304根据请求中提供的信息，将对网络存储目标端311的状态查询命令的payload进行加密。
[0059]步骤414、通过发起端代理接口 309中的查询接口与网络存储目标端311进行交互，得到查询结果。
[0060]步骤415、数据加解密模块307对查询结果进行解密，然后将解密后的查询结果经目标端代理接口 305中的查询接口通过安全访问通道303返回给网络存储发起端302。
[0061]步骤416、当前的访问请求是否已经处理完成，若已经处理完成，重新执行步骤402，若尚有待处理的访问请求，重新执行步骤404。
[0062]以上是对本发明的安全网络存储系统及相应方法的说明。从上述说明可以看出，本发明通过在网络存储发起端和网络存储目标端之间增加网络数据安全处理服务器来实现网络数据安全存储:网络数据安全处理服务器与发起端之间利用安全访问通道(SSL/VPN通道)来保证数据传输的安全性；网络数据安全处理服务器与网络存储目标端之间利用传输加密/解密方法来保证数据安全性。
[0063]最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。
【权利要求】
1.一种安全网络存储系统，其特征在于，包括网络存储发起端(302)、网络数据安全处理服务器(304)和网络存储目标端(311);所述网络存储发起端(302)与所述网络数据安全处理服务器(304)之间采用安全访问通道(303)实现数据传输，所述网络数据安全处理服务器(304)与网络存储目标端(311)之间通过网络连接；其中， 所述网络数据安全处理服务器(304)用于实现对网络数据的安全读取与存储，包括目标端代理接口( 305 )、安全访问协议模块(306 )、数据加解密模块(307 )、管理模块(308 )和发起端代理接口(309);所述目标端代理接口(305)为所述网络数据安全处理服务器(304)向所述网络存储发起端(302)所提供的代理接口 ；所述安全访问协议模块(306)用于实现安全访问协议的处理，从而为所述网络存储发起端(302)提供透明的安全访问通道；所述数据加解密模块(307 )用于对准备写入所述网络存储目标端(311)的数据通过加密算法加密，或对从所述网络存储目标端(311)中读出的加密数据通过相应的解密算法解密；所述管理模块(308)用于实现对代理接口信息、安全访问协议信息和加解密算法的管理和维护；所述发起端代理接口(309)为所述网络数据安全处理服务器(304)向所述网络存储目标端(311)所提供的代理接口。
2.根据权利要求1所述的安全网络存储系统，其特征在于，所述目标端代理接口(305)包括初始化接口、数据读写接口以及查询接口 ；所述发起端代理接口(309)包括网络存储的初始化接口、数据读写接口以及查询接口。
3.根据权利要求1所述的安全网络存储系统，其特征在于，所述安全访问协议包括SSL协议或VPN协议。
4.根据权利要求1所述的安全网络存储系统，其特征在于，所述加密算法或解密算法采用DES算法。
5.基于权利要求1-4之一所述的安全网络存储系统的安全网络存储方法，包括: 步骤I)、系统初始化；所述初始化包括:由所述网络数据安全处理服务器(304)完成安全访问通道(303)和数据加解密模块(307)中数据加密算法的初始化，同时完成网络存储目标端(311)的注册和挂载，由所述管理模块(308)来管理和维护这些信息； 步骤2)、所述网络数据安全处理服务器(304)通过安全访问通道(303)监听来自网络存储发起端302的请求； 步骤3)、某一时刻，所述网络数据安全处理服务器(304)通过安全访问通道(303)收到访问请求； 步骤4)、对所接收到的访问请求进行判断，若为读数据请求，执行步骤5)，若为写数据请求，执行步骤8)，若为对网络存储目标端的初始化请求，执行步骤11)，若为查询请求，执行步骤13); 步骤5)、所述网络数据安全处理服务器(304)根据读数据请求中提供的信息，通过所述发起端代理接口(309)中的读数据接口从所述网络存储目标端(311)中的相应地址读取数据； 步骤6)、所述数据加解密模块(307)通过解密算法对读取到的已加密数据进行解密，得到明文数据； 步骤7)、所述安全访问协议模块(306)按照协议格式将明文数据进行封装，然后由所述目标端代理接口(305)将封装后的明文数据通过所述安全访问通道(303)发送给所述网络存储发起端(302)，然后执行步骤16)； 步骤8)、所述数据加解密模块(307)将待写入的数据通过加密算法进行加密，得到密文数据； 步骤9)、由所述发起端代理接口(309)将经过加密的数据写入到网络存储目标端(311)的相应位置； 步骤10)、向所述网络存储发起端(302)返回相应信息，接着执行步骤16)； 步骤11)、对所述网络存储目标端(311)的包括注册、挂载在内的命令的payload进行加密； 步骤12)、通过所述发起端代理接口(309)中的网络存储的初始化接口与网络存储目标端(311)进行交互，然后执行步骤16); 步骤13)、当收到查询请求时，所述网络数据安全处理服务器(304)根据请求中提供的信息，将对所述网络存储目标端(311)的状态查询命令的payload进行加密； 步骤14)、通过所述发起端代理接口(309)中的查询接口与所述网络存储目标端(311)进行交互，得到查询结果； 步骤15)、所述数据加解密模块(307)对查询结果进行解密，然后将解密后的查询结果经目标端代理接口(305)中的查询接口通过所述安全访问通道(303)返回给网络存储发起端(302)； 步骤16)、当前的访问请求是否已经处理完成，若已经处理完成，重新执行步骤2)，若尚有待处理的访问请求，重新执行步骤4)。
【文档编号】H04L9/00GK104243510SQ201310226320
【公开日】2014年12月24日 申请日期:2013年6月7日 优先权日:2013年6月7日
【发明者】王劲林, 尚秋里, 郭秀岩, 张武 申请人:中国科学院声学研究所, 北京中科智网科技有限公司