一种安全存储系统的制作方法

本发明涉及存储技术领域，特别是涉及一种安全存储系统。

背景技术：

目前，国内的安全存储系统产品比较少，其中有采用门卫式加密机的安全存储系统，在这种存储系统中，客户端应用主机产生的数据首先传输到加密机，加密机利用密钥管理中心(Key Management Center，KMC)分发的密钥对数据进行加密处理，而后将加密数据传输至存储设备进行存储；客户端在获取数据时，加密机对从存储设备获取的数据进行解密，而后将获得的数据传输到应用主机。在这类存储系统中，用户不仅要对存储设备进行监控管理，还需要对加密机单独管理，因此这给用户带来较大的管理负担。

技术实现要素：

本发明的目的是提供一种安全存储系统，与现有技术相比可降低用户对设备的管理负担。

为实现上述目的，本发明提供如下技术方案：

一种安全存储系统，包括用于存储数据的存储设备，所述存储设备设置有存储代理和加密模块；

所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块；

所述加密模块用于采用所述密钥对数据进行加密或者解密。

可选地，在所述存储设备中存储数据包括：

在所述存储设备中创建存储池；

选取磁盘创建磁盘阵列，将磁盘阵列加入到所述存储池中；

在所述存储池中选取磁盘阵列创建用于存储数据的逻辑卷。

可选地，所述加密模块用于采用所述密钥对数据进行加密或者解密包括：

所述加密模块具体用于：

根据写请求，采用所述密钥以逻辑卷为单位对写入数据进行加密，将加密后的数据写入到逻辑卷对应的磁盘区域；

根据读请求，采用所述密钥对从逻辑卷对应的磁盘区域读出的数据进行解密。

可选地，所述存储代理用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块包括：

所述存储代理具体用于：

调用所述加密模块生成公私密钥对，向所述密钥管理服务器发送包含公钥的第一密钥申请，并将所述密钥管理服务器根据所述公钥生成的、并采用所述公钥加密的设备密钥传送给所述加密模块；

向所述密钥管理服务器发送第二密钥申请，并将所述密钥管理服务器生成的、并采用所述设备密钥加密的数据加密密钥传送给所述加密模块；

向所述密钥管理服务器发送第三密钥申请，并将所述密钥管理服务器生成的、并采用所述数据加密密钥加密的数据密钥传送给所述加密模块，所述加密模块采用所述数据密钥对数据进行加密或者解密。

可选地，所述加密模块还用于：

采用私钥对加密的设备密钥进行解密并保存；

采用所述设备密钥对加密的数据加密密钥进行解密并保存；

采用所述数据加密密钥对加密的数据密钥进行解密并保存。

可选地，所述密钥管理服务器与所述存储设备之间通过采用安全加密协议的通道传输密钥。

可选地，所述加密模块设置在所述存储设备的控制器中。

可选地，在所述存储设备的控制器中设置有一个或者两个所述加密模块。

可选地，所述存储设备包括两个或者四个控制器。

由上述技术方案可知，本发明所提供的安全存储系统，包括用于存储数据的存储设备，在存储设备设置有存储代理和加密模块。其中，由存储代理向密钥管理服务器发出密钥申请以申请密钥，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块，加密模块用于采用所述密钥对数据进行加密或者解密。

本发明安全存储系统，通过存储代理实现与密钥管理服务器的交互以申请密钥，通过加密模块实现采用密钥对数据进行加解密，本系统中存储代理和加密模块设置在存储设备中，因此用户只需对存储设备一同管理，与现有技术相比避免了对加密机的单独管理，从而可降低用户对设备的管理负担。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种安全存储系统的示意图；

图2为本发明实施例提供的安全存储系统向存储设备写数据的示意图；

图3为本发明实施例提供的安全存储系统从存储设备读数据的示意图；

图4为本发明又一实施例提供的一种安全存储系统的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

请参考图1，本发明实施例提供的一种安全存储系统，包括用于存储数据的存储设备10，所述存储设备10设置有存储代理100和加密模块101；

所述存储代理100用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块101；

所述加密模块101用于采用所述密钥对数据进行加密或者解密。

其中，由存储代理100与密钥管理服务器进行交互，所述密钥管理服务器即密钥管理中心(KMC)，用于分配和下发密钥。

可以看出，本实施例安全存储系统，在存储设备设置有存储代理和加密模块。由存储代理向密钥管理服务器发出密钥申请以申请密钥，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块，加密模块用于采用所述密钥对数据进行加密或者解密。

本实施例安全存储系统，通过存储代理实现与密钥管理服务器的交互以申请密钥，通过加密模块实现采用密钥对数据进行加解密，本系统中存储代理和加密模块设置在存储设备中，因此用户只需对存储设备一同管理，与现有技术相比避免了对加密机的单独管理，从而可降低用户对设备的管理负担。

下面对本实施例安全存储系统作进一步说明。本实施例安全存储系统包括用于存储数据的存储设备10。

具体的，所述存储设备10架构可按如下方式设置，在所述存储设备10中存储数据包括：

S100：在所述存储设备中创建存储池；

S101：选取磁盘创建磁盘阵列，将磁盘阵列加入到所述存储池中；

S102：在所述存储池中选取磁盘阵列创建用于存储数据的逻辑卷。其中，数据逻辑卷可以由所述存储池中的一个磁盘阵列(Redundant Arrays of Independent Disks，RAID)上的部分空间组成，也可以跨磁盘阵列创建，但数据逻辑卷只能使用本存储池中磁盘阵列提供的空间。

S103：在逻辑卷上建立文件系统。再使用。

优选的，本实施例中存储设备10采用存储区域网络(Storage Area Network，SAN)存储设备，SAN存储设备采用网状通道(Fibre Channel，FC)技术，通过FC交换机连接存储设备和服务器主机，建立专用于数据存储的区域网络。

在所述存储设备10设置有存储代理(Storage Agent，SA)100和加密模块101。其中，由存储代理与密钥管理服务器交互，向密钥管理服务器发出密钥申请，并将密钥管理服务器根据密钥申请生成的密钥传送给加密模块101。

本实施例中，在存储设备中所使用的密钥分为三级，具体包括：用于以逻辑卷为单位对数据进行加密的数据密钥(Data-Key)；用于对数据密钥进行加密的数据加密密钥(ED-Key)；用于对数据加密密钥进行加密的设备密钥(Storage-Key)。

所述存储代理100用于向密钥管理服务器发出密钥申请，并将所述密钥管理服务器根据所述密钥申请生成的密钥传送给所述加密模块包括：

所述存储代理100具体用于：

调用所述加密模块生成公私密钥对，向所述密钥管理服务器发送包含公钥的第一密钥申请，并将所述密钥管理服务器根据所述公钥生成的、并采用所述公钥加密的设备密钥传送给所述加密模块；

向所述密钥管理服务器发送第二密钥申请，并将所述密钥管理服务器生成的、并采用所述设备密钥加密的数据加密密钥传送给所述加密模块；

向所述密钥管理服务器发送第三密钥申请，并将所述密钥管理服务器生成的、并采用所述数据加密密钥加密的数据密钥传送给所述加密模块，所述加密模块采用所述数据密钥对数据进行加密或者解密。

所述加密模块101还具体用于：

采用私钥对加密的设备密钥进行解密并保存；

采用所述设备密钥对加密的数据加密密钥进行解密并保存；

采用所述数据加密密钥对加密的数据密钥进行解密并保存。

相应的，本实施例中存储代理100与密钥管理服务器交互，实现密钥的生成和分发过程如下：

存储设备开机后，如果首次上线，首先通过存储代理100向密钥管理服务器注册，存储代理100调用加密模块101生成公私密钥对，向密钥管理服务器发送包含公钥的第一密钥申请，密钥管理服务器生成设备密钥(Storage-Key)，并使用存储代理100发送来的公钥对设备密钥进行加密，然后发送给存储设备10。加密模块使用私钥对加密的设备密钥解密，并保存。

申请数据加密密钥(ED-Key)：存储设备10通过存储代理100向密钥管理服务器发送第二密钥申请，密钥管理服务器生成数据加密密钥(ED-Key)，并使用设备密钥(Storage-Key)对数据加密密钥进行加密，发送给存储设备10。加密模块101使用设备密钥对数据加密密钥解密，并保存。

申请数据密钥(Data-Key)：存储设备10通过存储代理100向密钥管理服务器发送第三密钥申请，密钥管理服务器生成数据密钥(Data-Key)，并使用数据加密密钥(ED-Key)对数据密钥进行加密，发送给存储设备10。加密模块使用数据加密密钥对数据密钥解密，并保存。

存储设备10关机后，加密模块中保存的全部密钥消失。存储设备10重启后，会由存储代理向密钥管理服务器重新申请Storage-Key，ED-Key以及Data-Key，并保存在加密模块中。

加密模块101用于采用密钥对数据进行加密或者解密。

具体的，请参考图2和图3，图2为本安全存储系统向存储设备写数据的示意图，图3为本安全存储系统从存储设备读数据的示意图。所述加密模块101用于采用所述密钥对数据进行加密或者解密包括：

所述加密模块101具体用于：

根据写请求，采用所述密钥以逻辑卷为单位对写入数据进行加密，将加密后的数据写入到逻辑卷对应的磁盘区域；

根据读请求，采用所述密钥对从逻辑卷对应的磁盘区域读出的数据进行解密。

所述加密模块101采用数据密钥以逻辑卷为单位对数据进行加密或者解密，在逻辑卷这一层对存储设备数据进行加密或者解密。

本实施例中，加密模块101可支持国产商密算法，并支持通用的加密算法。

优选的，所述密钥管理服务器与所述存储设备10之间通过采用安全加密协议的通道连接，传输密钥，保证数据传输的安全性。

本实施例中，所述加密模块101设置在所述存储设备10的控制器中。所述存储设备可以包括两个或者四个控制器，即可以是双控或者四控存储设备。

在所述存储设备10的控制器中可设置一个或者两个所述加密模块101。所述加密模块具体可以是加密卡，加密卡自身的驱动可以保证控制器中设置的加密卡越多，加解密速率越高。

本实施例中，请参考图4，存储设备10可以通过IP/FC交换机与密钥管理服务器连接，在这种情况下，通过使用IP/FC交换机密钥管理服务器可以方便地将与多台存储设备10连接，对多台存储设备进行密钥管理。

对于现有国内的安全存储系统产品较少，而国外存储厂商提供的安全存储系统并不支持国产商密算法，而本实施例安全存储系统通过国密认证，不仅支持国产商密算法，还支持通用的加密算法，满足了当前国内应用需求。

以上对本发明所提供的一种安全存储系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。