一种基于iSCSI的自适应加解密安全存储系统和方法

一种基于iSCSI的自适应加解密安全存储系统和方法
【专利摘要】本发明公开了一种基于iSCSI的自适应加解密安全存储系统和方法，系统包括相连的启动端和目标端，启动端包括启动端负载计算器、启动端转换控制器和启动端加解密器；目标端包括目标端负载计算器、目标端转换器和目标端加解密器。负载计算器每隔ΔT1收集负载信息，计算负载值；启动端转换控制器收集启动端和目标端负载值，每隔ΔT2计算负载均值，根据两端负载均值判断是否进行状态转换，如果不进行转换则保持状态不变，如果进行状态转换则向目标端和启动端加解密器发送状态转换命令；加解密器对数据进行加解密并接受状态转换命令实现状态转换。本发明将加解密任务根据服务器负载进行合理分摊，从而大幅度提高iSCSI安全存储系统的性能。
【专利说明】—种基于iSCSI的自适应加解密安全存储系统和方法
【技术领域】
[0001]本文发明属于高性能安全存储【技术领域】，具体涉及一种基于iSCSI的自适应加解密安全存储系统和方法。
【背景技术】
[0002]随着计算机技术和互联网技术的高速发展，网络中产生的数据呈爆炸式增长，如何安全高效的存取数据成为存储领域的关键问题之一。
[0003]iSCSI (Internet Small Computer System Interface)协议，即因特网小型计算机系统接口协议，是网络存储中关键性协议之一。iSCSI协议以TCP/IP (TransmissionControl Protocol/Internet Protocol)协议为基础，使原本只能在总线上传输的SCSI (Small Computer System Interface)协议，可以在 IP (Internet Protocol)网络设备之间传输。iSCSI存储系统以其成本低廉、易扩容备份、较高的传输速度和易安装维护等优点，在网络存储中被广泛使用。
[0004]由于信息是任何单位和个人最宝贵的资源，一旦数据丢失或泄露会造成严重的后果，特别是对有敏感信息的单位如安全局、军队等。要保证数据安全的存储，需要对要存入的数据进行加密，这样即使直接从存储介质中窃取数据也很难获得真实的信息，通过这种方式就保证了数据存储的高安全性。但目前的iSCSI存储系统都是在启动端服务器或目标端服务器上进行静态加解密，没有考虑到两端的负载情况。当对数据进行高级加解密计算时，需要很大的计算量，特别是在服务器本身对外提供服务负载很高的情况下，CPU过于繁忙，容易成为瓶颈，造成整个iSCSI安全存储系统性能严重下降，影响存储服务的稳定性和存储系统寿命。`
【发明内容】

[0005]针对现有技术的以上缺陷或改进需求，本发明提供一种基于iSCSI的自适应加解密安全存储系统及方法，从iSCSI存储系统整体自适应负载均衡的角度出发，将加解密任务根据启动端和目标端的负载情况进行动态分配，保证启动端和目标端的负载处于相对均衡的状态，从而防止出现负载瓶颈，在保证数据存储安全性的前提下，提高加解密系统的性倉泛。
[0006]本发明解决其技术问题所采用的技术方案是，提供一种基于iSCSI的自适应加解S安全存储系统，所述系统包括互相连接的启动端和目标端，
[0007]所述启动端包括依次连接的启动端负载计算器、启动端转换控制器和启动端加解密器，所述启动端负载计算器用于每隔△!!时间收集启动端负载信息，计算启动端负载值；所述启动端转换控制器用于收集启动端和目标端的负载值，并每隔ΛΤ2时间计算两端的负载均值，根据所述两端的负载均值判断是否进行状态转换，如果不进行状态转换则保持状态不变，如果进行状态转换则向目标端和启动端加解密器发送状态转换命令；所述启动端加解密器用于对iSCSI数据进行加解密并接受所述状态转换命令，实现状态转换，完成任务迁移；
[0008]所述目标端包括依次连接的目标端负载计算器、目标端转换器和目标端加解密器，所述目标端负载计算器用于每隔△!!时间收集目标端负载信息，计算目标端负载值；所述目标端转换器用于将目标端负载值发送至启动端，接收所述状态转换命令并将所述状态转移命令发送至目标端加解密器；所述目标端加解密器用于对iSCSI数据进行加解密并接受所述状态转换命令，实现状态转换，完成任务迁移。
[0009]在本发明所述的基于iSCSI的自适应加解密安全存储系统中，根据所述两端的负载均值判断是否进行状态转换，判断过程遵循如下加解密状态转换规则:
[0010](l)gL(Initiator)与L(Target)负载值相差小于Δ d,则加解密任务状态保持不变；
[0011](2)若L(Initiator)与L(Target)负载值相差大于Ad,但两端负载值均小于LTH,则加解密任务状态保持不变；
[0012](3)若L(Initiator)与L(Target)负载值相差大于Ad,但两端负载值均大于LTH,则加解密任务状态保持不变；
[0013](4)若不满足(I) (2) (3)条且 L(Initiator) >L(Target)时:
[0014]<1>如果当前为状态2，则状态转换命令为将状态2转换成状态I
[0015]<2>如果当前为状态3，则状态转换命令为将状态3转换成状态I
[0016]<3>如果当前为状态4，则状态转换命令为将状态4转换为状态3
[0017]<4>如果当前为状态I，则加解密任务状态保持不变
[0018](5)若不满足(I) (2) (3)条且 L(Initiator)〈L(Target)时:
[0019]<1>如果当前为状态I，则状态转换命令为将状态I转换成状态2
[0020]<2>如果当前为状态2，则状态转换命令为将状态2转换成状态4
[0021]<3>如果当前为状态3，则状态转换命令为将状态3转换为状态4
[0022]<4>如果当前为状态4，则加解密任务状态保持不变
[0023](6)若为(I) (2) (3) (4) (5)以外的情况，加解密任务状态保持不变；
[0024]Ad为启动端和目标端负载差的阀值，L(Initiator)为ΛΤ2时间内启动端负载均值，L(Target)为Λ T2时间内目标端负载均值，LTH为启动端和目标端负载阀值；
[0025]所述状态I为启动端无任务，目标端加解密；状态2为启动端加密，目标端解密；状态3为启动端解密，目标端加密；状态4为启动端加解密，目标端无任务。
[0026]在本发明所述的基于iSCSI的自适应加解密安全存储系统中，所述启动端转换控制器控制状态转换过程，且保证状态转换过程中传输数据的强一致性。
[0027]在本发明所述的基于iSCSI的自适应加解密安全存储系统中，所述启动端负载
值、负载均值和目标端负载值、负载均值根据如下负载计算模型得到:
[0028]
【权利要求】
1.一种基于iSCSI的自适应加解密安全存储系统，其特征在于，所述系统包括互相连接的启动端和目标端， 所述启动％5包括依次连接的启动负载计算器、启动转换控制器和启动％5加解S器，所述启动端负载计算器用于每隔△T1时间收集启动端负载信息，计算启动端负载值；所述启动端转换控制器用于收集启动端和目标端的负载值，并每隔ΔΤ2时间计算两端的负载均值，根据所述两端的负载均值判断是否进行状态转换，如果不进行状态转换则保持状态不变，如果进行状态转换则向目标端和启动端加解密器分别发送状态转换命令，使得高负载一端的加解密任务可以部分或全部迁移到低负载一端；所述启动端加解密器用于对iSCSI数据进行加解密并接受所述状态转换命令，实现状态转换，完成任务迁移； 所述目标端包括依次连接的目标端负载计算器、目标端转换器和目标端加解密器，所述目标端负载计算器用于每隔△!!时间收集目标端负载信息，计算目标端负载值；所述目标端转换器用于将目标端负载值发送至启动端，接收所述状态转换命令并将所述状态转移命令发送至目标端加解密器；所述目标端加解密器用于对iSCSI数据进行加解密并接受所述状态转换命令，实现状态转换，完成任务迁移。
2.如权利要求1所述的基于iSCSI的自适应加解密安全存储系统，其特征在于，根据所述两端的负载均值判断是否进行状态转换，并生成状态转换命令，其过程遵循如下加解密状态转换规则: (1)若L(Initiator)与L(Target)负载值相差小于Δd,则加解密任务状态保持不变； (2)若L(Initiator)与L(Target)负载值相差大于Δd,但两端负载值均小于LTH,则加解密任务状态保持不变； (3)若L(Initiator)与L(Target)负载值相差大于Δd,但两端负载值均大于LTH,则加解密任务状态保持不变； (4)若不满足(1)(2) (3)条且 L(Initiator) >L(Target)时: <1>如果当前为状态2，则状态转换命令为将状态2转换成状态1 <2>如果当前为状态3，则状态转换命令为将状态3转换成状态1 <3>如果当前为状态4，则状态转换命令为将状态4转换为状态3 <4>如果当前为状态1，则加解密任务状态保持不变 (5)若不满足(1)(2) (3)条且 L(Initiator)〈L(Target)时: <1>如果当前为状态1，则状态转换命令为将状态I转换成状态2 <2>如果当前为状态2，则状态转换命令为将状态2转换成状态4 <3>如果当前为状态3，则状态转换命令为将状态3转换为状态4 <4>如果当前为状态4，则加解密任务状态保持不变 (6)若为(1)(2) (3) (4) (5)以外的情况，加解密任务状态保持不变； Ad为启动端和目标端负载差的阀值，L(Initiator)为Λ T2时间内启动端负载均值，L(Target)为Λ Τ2时间内目标端负载均值，LTH为启动端和目标端负载阀值； 所述状态1为启动端无任务，目标端加解密；状态2为启动端加密，目标端解密；状态3为启动端解密，目标端加密；状态4为启动端加解密，目标端无任务。
3.如权利要求1所述的基于iSCSI的自适应加解密安全存储系统，其特征在于，所述启动端转换控制器控制状态转换过程，且保证状态转换过程中传输数据的强一致性。
4.如权利要求1所述的基于iSCSI的自适应加解密安全存储系统，其特征在于，所述启动端负载值、负载均值和目标端负载值、负载均值根据如下负载计算模型得到:
5.一种基于iSCSI的自适应加解密安全存储方法，其特征在于，所述方法包括如下步骤: SUiSCSI启动端每隔ΛΤ1收集启动端服务器的负载信息，计算启动端负载值，并将其传递给启动端转换控制器； 52、iSCSI目标端每隔△!!收集目标端服务器的负载信息，计算目标端负载值，并将其传给启动端； 53、iSCSI启动端获取所述启动端负载值和目标端负载值，并每隔ΛΤ2时间，计算ΛΤ2时间内启动端和目标端的负载均值； 54、iSCSI启动端转换控制器根据所述两端的负载均值判断是否进行状态转换，如果不需要执行状态转换，则执行步骤SI ;如果需要状态转换，则向启动端加解密器和目标端发送状态转换命令，进行状态转换，使得高负载一端的加解密任务可以部分或全部迁移到低负载一端。
6.如权利要求5所述的基于iSCSI的自适应加解密安全存储方法，其特征在于，根据所述两端的负载均值判断是否进行状态转换，并生成状态转换命令，其过程遵循如下加解密状态转换规则: (1)若L(Initiator)与L(Target)负载值相差小于Δd,则加解密任务状态保持不变； (2)若L(Initiator)与L(Target)负载值相差大于Δd,但两端负载值均小于LTH,则加解密任务状态保持不变；(3)若L(Initiator)与L(Target)负载值相差大于Δd,但两端负载值均大于LTH,则加解密任务状态保持不变； (4)若不满足(I)(2) (3)条且 L(Initiator) >L(Target)时: <1>如果当前为状态2，则状态转换命令为将状态2转换成状态I <2>如果当前为状态3，则状态转换命令为将状态3转换成状态I <3>如果当前为状态4，则状态转换命令为将状态4转换为状态3 <4>如果当前为状态I，则加解密任务状态保持不变 (5)若不满足(I)(2) (3)条且 L(Initiator)〈L(Target)时: <1>如果当前为状态I，则状态转换命令为将状态I转换成状态2 <2>如果当前为状态2，则状态转换命令为将状态2转换成状态4 <3>如果当前为状态3，则状态转换命令为将状态3转换为状态4 <4>如果当前为状态4，则加解密任务状态保持不变 (6)若为(I)(2) (3) (4) (5)以外的情况，加解密任务状态保持不变； Ad为启动端和目标端负载差的阀值，L(Initiator)为Λ T2时间内启动端负载均值，L(Target)为Λ Τ2时间内目标端负载均值，LTH为启动端和目标端负载阀值； 所述状态I为启动端无任务，目标端加解密；状态2为启动端加密，目标端解密；状态3为启动端解密，目标端加密；状态4为启动端加解密，目标端无任务。
7.如权利要求5所述的基于iSCSI的自适应加解密安全存储方法，其特征在于，所述步骤S4还包括以下子步骤: S41、如果需要进行状态转换，则启动端转换控制器向启动端加解密器发送状态转换命令，并等待启动端加解密器状态转换完成回复； S42、启动端加解密器接收到所述状态转换命令后，首先暂停处理上层下发的I/O请求，然后判断当前是否有正在执行的I/O请求，如果当前有正在执行的I/O请求，则执行步骤S43 ;如果当前没有正在执行的I/O请求，执行步骤S44 ； S43、如果当前有正在执行的I/O请求，等待其执行完毕后执行步骤S44； S44、启动端加解密器根据所述状态转换命令将启动端当前加解密任务状态转换为相应状态； S45、启动端加解密任务状态转换完成后，启动端加解密器向启动端转换控制器发送启动端状态转换完成的回复；启动端转换控制器接收到所述启动端状态转换完成的回复后，向目标端转换器发送状态转换命令，并等待目标端状态转换完成回复； S46、目标端转换器接收到所述状态转换命令后，向目标端加解密器发送所述状态转换命令，并等待目标端加解密器状态转换完成回复；目标端加解密器接收到所述状态转换命令后，根据所述状态转换命令将当前加解密任务状态转换为相应状态，并向目标端转换器发送状态转换完成的回复； S47、目标端转换器接收到目标端加解密器状态转换成功的回复后，修改目标端转换器的状态信息，并向启动端转换控制器发送目标端状态转换完成回复； S48、启动端转换控制器接收到所述目标端状态转换完成回复后，向启动端加解密器发送恢复处理上层I/O请求的命令；启动端加解密器接收到所述命令后，恢复处理上层的I/O请求，并向启动端转换控制器发送完成恢复处理上层的I/O请求的回复；S49、启动端转换控制器接收所述完成恢复处理上层的I/O请求的回复，此时整个加解密任务状态转换全部完成，执行步骤SI。
8.如权利要求5所述的基于iSCSI的自适应加解密安全存储方法，其特征在于，所述启动端负载值、负载均值和目标端负载值、负载均值根据如下负载计算模型得到:
【文档编号】H04L29/08GK103812867SQ201410052455
【公开日】2014年5月21日 申请日期:2014年2月17日 优先权日:2014年2月17日
【发明者】陈俭喜, 刘景宁, 冯丹, 万全威, 梅林军, 郭雷, 庄振龙 申请人:华中科技大学