基于网络的存储加密方法与流程

本发明涉及一种存储加密方法，特别是涉及一种基于网络的存储加密方法。

背景技术：

现有的存储数据加密更多的是采用在存储磁盘卷安装相应的加密插件或旁接一台加密硬件，执行对存储数据加密处理。此类加密技术更多需要人员进行干预。在加密时，存储卷将不可使用，非常影响用户的体验。

技术实现要素：

本发明所要解决的技术问题是提供一种基于网络的存储加密方法，其简化存储加密部署应用，有效防止存储数据在网络传输过程中的泄露，在加解密过程中，不需要中断用户业务数据。

本发明是通过下述技术方案来解决上述技术问题的：一种基于网络的存储加密方法，其包括写数据流程、读数据流程，其中：

写数据流程，为写入数据到存储卷中，采用网络存储协议的客户端一旦写数据，存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷；

读数据流程，客户端从存储卷读出数据，读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。

优选地，所述写数据流程主要包括如下步骤：

步骤一，拦截客户端发出的网络存储报文；

步骤二，对网络存储报文进行解析，根据协议头等信息解析出数据段部分；

步骤三，对解析的数据段部分进行加密；

步骤四，将加密数据回填到网络传输报文中；

步骤五，将加密后的报文透传到存储卷。

优选地，所述写数据中的网络存储协议包括应用协议、TCP/IP协议，其中：

应用协议，用于定义运行在不同端系统上的应用程序进程如何相互传递报文；

TCP/IP协议，用于定义电子设备如何连入因特网，以及数据如何在它们之间传输的标准。

优选地，所述应用协议包括Gluster报文、CEPH报文，其中：

Gluster报文，用于Gluster数据加密；

CEPH报文，用于CEPH数据加密。

优选地，所述TCP/IP协议包括TCP报文、IP报文、MAC报文，其中：

TCP报文，用于完成第四层传输层所指定的功能；

IP报文，用于将邮件从一个Internet位置传递到另一个位置；

MAC报文，用于设置虚拟网络，对网络进行分组管理。

优选地，所述读数据流程主要包括如下步骤：

步骤十一，拦截存储卷发出携带存储数据的网络报文；

步骤十二，对网络存储报文解析解析，根据协议头等信息解析出数据段部分；

步骤十三，对数据段部分进行解密；

步骤十四，将解密数据回填到网络传输报文中；

步骤十五，将解密后的报文透传到客户端。

本发明的积极进步效果在于：本发明简化存储加密部署应用，基本或者不需要修改现有存储部署环境，实现数据的存储加密；由于采用在网络层进行加密，可以有效防止存储数据在网络传输过程中的泄露；在加解密过程中，不需要中断用户业务数据，保证客户的体验。

附图说明

图1为本发明基于网络的存储加密方法的加密示意图。

图2为本发明基于网络的存储加密方法的加密流程图。

图3为专用的网络加密存储系统的系统框架图。

图4为专用的网络加密存储系统的客户端处理流程图。

图5为专用的网络加密存储系统的存储卷处理流程图。

具体实施方式

下面结合附图给出本发明较佳实施例，以详细说明本发明的技术方案。

如图1、图2所示，本发明公开了一种基于网络的存储加密方法，其包括写数据流程、读数据流程，其中：

写数据流程(图2的实线方向)，为写入数据到存储卷中，采用网络存储协议的客户端一旦写数据，存储协议客户端程序会将存储数据组装成对应的TCP/IP(传输控制协议/网间协议)协议报文通过IP(网间协议)网络传输到存储卷；

读数据流程(图2的虚线方向)，客户端从存储卷读出数据，读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。

所述写数据流程主要包括如下步骤：

步骤一，拦截客户端发出的网络存储报文；

步骤二，对网络存储报文进行解析，根据协议头等信息解析出数据段部分；

步骤三，对解析的数据段部分进行加密；

步骤四，将加密数据回填到网络传输报文中；

步骤五，将加密后的报文透传到存储卷。

所述写数据中的网络存储协议包括应用协议、TCP/IP协议，其中：

应用协议，用于定义运行在不同端系统上的应用程序进程如何相互传递报文；

TCP/IP协议，用于定义电子设备如何连入因特网，以及数据如何在它们之间传输的标准。

所述应用协议包括Gluster(分布式集群文件系统)报文、CEPH(分布式文件系统)报文，其中：

Gluster报文，用于Gluster数据加密；

CEPH报文，用于CEPH数据加密。

所述TCP/IP协议包括TCP(传输控制协议)报文、IP报文、MAC(物理)报文，其中：

TCP报文，用于完成第四层传输层所指定的功能；

IP报文，用于将邮件从一个Internet位置传递到另一个位置；

MAC报文，用于设置虚拟网络，对网络进行分组管理。

所述读数据流程主要包括如下步骤：

步骤十一，拦截存储卷发出携带存储数据的网络报文；

步骤十二，对网络存储报文解析解析，根据协议头等信息解析出数据段部分；

步骤十三，对数据段部分进行解密；

步骤十四，将解密数据回填到网络传输报文中；

步骤十五，将解密后的报文透传到客户端。

本发明主要针对现有流行的网络存储技术，如Gluster、CEPH等；针对存储技术特征，提出在网络协议层进行加、解密，加、解密部分为图1。

本发明通过在存储数据在网络传输过程中，对数据报文进行获取。解析出存储协议报文格式部分。对网络存储协议头进行解析，分析出存储数据偏移量，根据偏移量，将存储数据进行加密或解密处理。

实施举例：

如图3所示，本发明可用于设计一台专用的网络加密存储系统，硬件平台采用标准的x86架构，操作系统采用Linux。加密系统可以注册到Linux内核的的TCP/IP网络协议栈中。对所有存储协议报文进行拦截。

如图4所示，客户端至存储卷的处理流程包括以下步骤：

步骤二十一，拦截客户端请求报文；

步骤二十二，解析请求报文；

步骤二十三，请求报文是否带存储数据，如果不带到步骤二十五；

步骤二十四，获取存储数据部分；

步骤二十五，对存储数据进行加密；

步骤二十六，透传处理后的网络报文到存储卷。

如图5所示，存储卷至客户端的处理流程包括以下步骤：

步骤三十一，拦截存储卷响应报文；

步骤三十二，解析响应报文；

步骤三十三，响应报文是否带存储数据，如果不带到步骤三十五；

步骤三十四，获取存储数据部分；

步骤三十五，对存储数据进行解密；

步骤三十六，透传处理后的网络报文到客户端。

本发明专门针对网络存储技术方案而提出，存储数据在网络传输过程中进行截取，对数据存储部分进行加密，然后透传到存储卷。那么存储卷收到的存储数据将是加密后的数据，存储卷根据其技术原理，将加密数据存储到磁盘中。本发明可用于解决不同硬件和软件平台的异构性，而引起加密插件的兼容性问题。本发明对存储卷一端的软、硬件无需做任何改动。本发明部署在存储数据网络传输通道之间，所有存储数据都能进行获截并加密处理。该加密处理对用户来说是透明的，无感知。现有更多的存储加密技术都是事后加密，意思就是先将数据进行存储，然后由加密插件将数据读取出来加密然后再存储，而且加密过程中，存储数据将暂时不可用，将可能引起用户的业务短暂中断。而本发明采用实时加密技术，第一次存储到磁盘中的数据都是经过加密的，不会引起用户业务的中断。本发明在网络传输过程中对存储数据加密，可以防止存储数据在传输过程中的泄露。

以上所述的具体实施例，对本发明的解决的技术问题、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。