一种安全云存储层的制作方法
【专利摘要】本发明公开了一种安全云存储层,涉及网络存储安全领域,包括存储设备、底层磁盘存储阵列和便于数据通信的背板,采用FPGA形成隔离逻辑将存储设备分为内网单元和外网单元,外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,隔离单元包含FPGA实现的隔离逻辑,且隔离逻辑与外网主控芯片交互通信,内网单元包含内网主控芯片,内网主控芯片与隔离逻辑交互通信;内、外网主控芯片均通过背板的高速数据同步通道同步数据,磁盘存储阵列连接至背板存储最终数据。该安全云存储层有效解决了云存储层存储数据安全和云网络的安全接入问题,能够对云存储层设备的存储数据和接入云网络提供安全性保障。
【专利说明】—种安全云存储层
【技术领域】
[0001]本发明涉及网络存储安全领域,具体地说是一种安全云存储层。
【背景技术】
[0002]云存储是在云计算概念上延伸和发展出来的一个新概念,是指通过集群应用、网络技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。云存储是一个以数据存储和管理为核心的云计算系统,是将存储资源放在云上供人存取的一种新兴方案。使用者可以在任何时间、任何地方,透过任何可连网的装置连接到云上方便地存取数据。
[0003]存储层是云存储最基础的部分。存储设备可以是FC光纤通道存储设备,可以是NAS和iSCSI等IP存储设备,也可以是SCSI或SAS等DAS存储设备。云存储中的存储设备往往数量庞大且分布在不同地域,彼此之间通过广域网、互联网或者FC光纤通道网络连接在一起。存储数据安全和针对云的安全接入,是云存储层设备面临的主要挑战。
【发明内容】
[0004]本发明针对云存储层云网络的安全接入和数据的安全存储等问题,提供了一种安全云存储层。
[0005]本发明所述一种安全云存储层,解决上述技术问题采用的技术方案如下:该安全云存储层包括由若干个冗余主机组成的存储设备、底层磁盘存储阵列和便于各个主机数据通信的背板,在存储设备中采用FPGA形成一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,内网单元主要完成对磁盘和数据的管理,外网单元主要负责安全接入云网络;
每个主机包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机或其他主机的外网主控芯片均交互通信,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机或其他主机的FPGA实现的隔离逻辑交互通信;所有主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行数据同步,同时,所有主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行数据同步;所述磁盘存储阵列连接至所述背板用于数据最终存储。
[0006]本发明所述一种安全云存储层与现有技术对比具有的有益效果:该安全云存储层在存储设备中,采用FPGA实现一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,隔离逻辑还具备数据加/解密、密钥存储及合成、策略匹配和日志报警功能,并且这些功能完全由硬件实现,无需额外增加系统开销;且外网单元能够防网络攻击和身份认证,能够保证安全接入云网络;内网单元能够安全管理存储数据,有效解决了目前云存储层面临的存储数据安全和针对云的安全接入问题,能够对云存储层设备的存储数据和接入云网络提供安全性保障。
【专利附图】
【附图说明】
[0007]附图1为本实施例所述安全云存储层的结构框图。
【具体实施方式】
[0008]为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的一种安全云存储层进行详细说明。
[0009]本发明所述一种安全云存储层,在存储设备中采用FPGA形成一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,内网单元主要完成对磁盘和数据的管理;外网单元主要负责安全接入云网络;所述FPGA (Field 一 Programmable Gate Array,现场可编程门阵列),是在PAL、GAL、CPLD等可编程器件的基础上进一步发展的产物,是专用集成电路(ASIC)领域中的一种半定制电路,既解决了定制电路的不足,又克服了原有可编程器件门电路数有限的缺点。
[0010]该安全云存储层包括由若干个冗余主机组成的存储设备、底层磁盘存储阵列和便于各个主机数据通信的背板,每个主机包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的外网单元的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机或其他主机的外网主控芯片均交互通信,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机或其他主机的隔离单元的隔离逻辑交互通信,所有主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行同步数据,同时,所有主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行同步数据;所述磁盘存储阵列连接至所述背板。
[0011]本发明所述安全云存储层中所述FPGA实现的隔离逻辑能够将存储设备进行物理隔离,同时具备数据加/解密、密钥存储及合成、策略匹配和日志报警功能,这些功能完全由硬件实现,无需额外增加系统开销。所述外网单元具备防网络攻击和身份认证功能,保证对云网络的安全接入。
[0012]实施例:
下面通过一个实施例,对本发明所述一种安全云存储层的优点和设计内容,进行详细说明。
[0013]本实施例所述安全云存储层,如附图1所示,主要包括两个主机(主机I和主机2)、磁盘存储阵列和便于主机之间数据通信的背板,主机I和主机2均包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的外网单元的所述万兆网络接口与外网主控芯片相连;所述隔离单元包含FPGA以及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机和另一主机的外网主控芯片均实现互联,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机和另一主机的隔离单元的隔离逻辑交互通信,两个主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行数据同步,同时,两个主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行数据同步;所述磁盘存储阵列连接至所述背板。
[0014]本实施例所述安全云存储层中,每个主机的外网单元还包括存储、内存和用来连接调试网络的千兆网络接口,并且所述存储、内存和千兆网络接口均与其对应外网单元的外网主控芯片连接。
[0015]本实施例所述安全云存储层中,每个主机的隔离单元还设置有缓存和FLASH,且所述缓存和FLASH均与其对应隔离单元的FPGA相连,所述Flash又被称之为闪客,是一种动画创作与应用程序开发于一身的创作软件,较新版本Adobe Flash Profess1nal CC为创建数字动画、交互式Web站点、桌面应用程序以及手机应用程序开发提供了功能全面的创作和编辑环境。
[0016]本实施例所述安全云存储层中,每个主机的内网单元还包括存储、内存和用于连接调试网络的千兆网络接口,且所述存储、内存和千兆网络接口均与其对应内网单元的内网主控芯片相连。
[0017]本实施例所述安全云存储层中,每个主机的内网单元还设置有SAS桥和Expander,且所述Expander与所述SAS桥互连,同时所述SAS桥与其对应的内网单元的内网主控芯片相连,此外,每个主机的SAS桥和其它主机的Expander、所述Expander与其他主机的SAS桥分别交互通信。
[0018]通过本实施例所述安全云存储层,其包括两台冗余主机分别为主机I和主机2,进行数据写入时,若数据报文通过外网进入主机I的外网单元,主机I的外网单元会对数据进行初步处理,例如分片包重组、非法包排查等,同时主机I的外网单元通过背板的高速数据同步通道与主机2的外网单元同步该数据;之后,该数据分别从外网单元的外网控制芯片进入相对应的隔离单元的FPGA实现的隔离逻辑中,隔离单元根据策略匹配,决定该数据的处理模式,例如加密、明通或丢弃;最后数据报文进入内网单元的内网控制芯片,内网单元解析数据指令,主机I和主机2的内网单元通过背板的高速数据同步通道完成同步后,将数据写入磁盘存储阵列。通过该安全云存储层进行数据读取时,经过类似的上述流程,区别之处在于此时隔离单元执行的是解密操作。
[0019]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的权利要求书的且任何所属【技术领域】的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【权利要求】
1.一种安全云存储层,其特征在于,包括由若干个冗余主机组成的存储设备、底层磁盘存储阵列和便于各个主机数据通信的背板,在存储设备中采用FPGA形成一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,内网单元主要完成对磁盘和数据的管理,外网单元主要负责安全接入云网络; 每个主机包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机或其他主机的外网主控芯片均交互通信,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机或其他主机的FPGA实现的隔离逻辑交互通信;所有主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行数据同步,同时,所有主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行数据同步;所述磁盘存储阵列连接至所述背板用于数据最终存储。
2.根据权利要求1所述的一种安全云存储层,其特征在于,所述安全云存储层包含主机1、主机2、磁盘存储阵列和便于主机之间数据通信的背板,主机I和主机2均包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA以及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机和另一主机的外网主控芯片均实现互联,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机和另一主机的FPGA实现的隔离逻辑交互通信,两个主机的外网单元的外网主控芯片通过背板的高速数据同步通道同步数据,同时,两个主机的内网单元的内网主控芯片也通过背板的高速数据同步通道同步数据;所述磁盘存储阵列连接至所述背板存储最终数据。
3.根据权利要求2所述的一种安全云存储层,其特征在于,每个主机的外网单元还包括存储、内存和用来连接调试网络的千兆网络接口,并且所述存储、内存和千兆网络接口均与其对应外网单元的外网主控芯片连接。
4.根据权利要求3所述的一种安全云存储层,其特征在于,每个主机的隔离单元还设置有缓存和FLASH,且所述缓存和FLASH均与其对应隔离单元的FPGA实现的隔离逻辑相连。
5.根据权利要求4所述的一种安全云存储层,其特征在于,每个主机的内网单元还包括存储、内存和用于连接调试网络的千兆网络接口,且所述存储、内存和千兆网络接口均与其对应内网单元的内网主控芯片相连。
6.根据权利要求5所述的一种安全云存储层,其特征在于,每个主机的内网单元还设置有SAS桥和Expander,所述SAS桥与其对应内网单元的内网主控芯片相连,且所述SAS桥支持其主机和其他主机的内网单元的Expander。
7.根据权利要求6所述的一种安全云存储层,其特征在于,通过该安全云存储层进行数据写入时,若数据报文通过外网进入主机I的外网单元,主机I的外网单元会对数据进行分片包重组、非法包排查初步处理,同时主机I的外网单元通过背板的高速数据同步通道与主机2的外网单元同步该数据;之后,该数据分别从外网单元的外网控制芯片进入相对应的隔离单元的FPGA实现的隔离逻辑中,隔离单元根据策略匹配,对该数据进行加密、明通或丢弃处理;最后数据报文进入内网单元的内网控制芯片,内网单元解析数据指令,主机I和主机2的内网单元通过背板的高速数据同步通道完成同步后,将数据写入磁盘存储阵列;通过该安全云存储层进行数据读取时,经过上述相似流程,此时隔离单元执行解密操作。
【文档编号】H04L29/06GK104168324SQ201410423472
【公开日】2014年11月26日 申请日期:2014年8月26日 优先权日:2014年8月26日
【发明者】姜凯, 于治楼, 毕研山 申请人:浪潮集团有限公司