一种基于SAS协议解析的服务器数据加密保护方法及装置与流程

本发明涉及数据加密，尤其涉及一种基于sas协议解析的服务器数据加密保护方法及装置。

背景技术：

1、传统的服务器数据加密保护装置，主要是通过应用程序调用api接口加密方式来对服务器中的数据进行加密保护，但是其存在以下缺陷：1、数据加解密性能低下：通过应用程序调用api接口加密方式来对服务器中的数据进行加密保护，需要在操作系统层面频繁进行数据的收发，占用大量系统资源，增加数据处理时间，导致数据加解密性能低下；2、应用程序开发和维护复杂：所有需要使用加密服务的应用程序都需要在进行开发时增加加密功能相关模块的开发工作，并在加密模块升级，api接口有变动时，所有应用程序也需要进行相应的配套修改，使得应用程序开发和维护变得更加复杂；3、增加安全防护风险：采用api调用式加密方式进行数据加密保护，需要在服务器操作系统上安装相应的软件驱动，这样会增加安全防护风险，可能会引入信息系统安全隐患。

2、需要说明的是，在上述背景技术部分公开的信息只用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

1、本发明的目的在于克服现有技术的缺点，提供了一种基于sas协议解析的服务器数据加密保护方法及装置，解决了传统服务器数据加密保护装置存在的不足。

2、本发明的目的通过以下技术方案来实现：一种基于sas协议解析的服务器数据加密保护方法，所述数据加密保护方法包括：

3、步骤s1、sas协议解析模块接收到sas帧时判断是ssp帧还是stp帧，如果是ssp帧或者stp帧，则进行后续处理，如果不是则进行透传处理；

4、步骤s2、如果是ssp帧或者stp帧，则判断是否能找到sspcmd读写命令帧或者stpcmd读写命令帧，如果能，则提取硬盘地址和逻辑块地址这些关键字段用于后续数据处理；

5、步骤s3、如果不能，则判断是否能找到ssp读写数据帧或者stp读写数据帧，如果能，则取出数据净荷，再根据sspcmd读写命令帧或者stpcmd读写命令帧提取的磁盘哈希sas地址、启动器端口传输标记、逻辑块地址、时间戳、数据方向和命令操作码等关键字段，建立算法参数查找表，在收到后续的数据帧后，通过关键字段查表进行匹配，找到相应的数据帧然后取出数据净荷，并通过算法模块对数据净荷进行加解密，对加解密后的数据重新计算crc，最后再重新组帧发送出去。

6、所述算法模块对ssp读写数据帧进行加解密具体包括以下内容：

7、在对ssp读写数据帧进行加解密处理时，先获取帧类型字段为06h的命令帧，再对其信息单元字段中的scsi命令描述块进行解析；

8、当scsi命令描述块中scsi命令为读/写时，则先提取该命令帧的磁盘哈希sas地址、启动器端口传输标记、逻辑块地址、时间戳、数据方向和命令操作码，建立算法参数查找表；

9、对后续收到的数据帧进行处理，在处理时均通过磁盘哈希sas地址和启动器端口传输标记将数据帧与命令帧的关键参数进行联系，同时在处理数据帧时提取偏移量，以用来计算数据净荷相对于起始逻辑块地址的偏移；

10、将数据净荷、逻辑块地址和磁盘序列号准备好后，送入算法模块进行数据加解密。

11、所述算法模块对stp读写数据帧进行加解密具体包括以下内容：

12、在对stp读写数据帧进行加解密处理时，先获取帧类型字段为27h的命令帧，再对命令字为读/写的帧进行后续处理；

13、先从该命令帧对应的open帧中提取磁盘哈希sas地址，再从该命令帧中提取逻辑块地址、时间戳、数据方向和命令操作码，建立算法参数查找表；

14、在处理后续收到的数据帧时均通过磁盘哈希sas地址将数据帧与命令帧的关键参数进行联系，同时在处理数据帧时提取偏移量，以用来计算数据净荷相对于起始逻辑块地址的偏移；

15、将数据净荷、逻辑块地址和磁盘序列号准备好后，送入算法模块进行数据加解密。

16、一种基于sas协议解析的服务器数据加密保护装置，它包括通过pcie接口与服务器连接的服务器数据加密设备，通过服务器主板进行供电，所述服务器数据加密设备通过接口连接raid卡和硬盘背板；

17、所述服务器数据加密设备包括算法模块、sas协议解析模块和系统管理模块；所述sas协议解析模块通过sas协议解析技术对读写命令以及数据进行处理，并将得到的数据净荷送入到所述算法模块进行加解密，所述系统管理模块用于提供设备管理和密码管理功能。

18、所述sas协议解析模块包括ssp帧解析单元和stp帧解析单元；

19、所述ssp解析单元：用于在接收到sas帧判断为ssp帧时，进一步判断是否能找到ssp cmd读写命令帧，如果能，则提取硬盘地址和逻辑块地址这些关键字段，如果不能，则判断是否能找到ssp读写数据帧，如果能，则取出数据净荷，再根据sspcmd读写命令帧提取的关键字段进行数据匹配；

20、所述stp帧解析单元：用于在接收到sas帧判断为stp帧时，进一步判断是否能找到stpcmd读写命令帧，如果能，则提取硬盘地址和逻辑块地址这些关键字段，如果不能，则判断是否能找到stp读写数据帧，如果能，则取出数据净荷，再根据stpcmd读写命令帧提取的关键字段进行数据匹配。

21、所述算法模块包括ssp数据帧加解密单元和stp数据帧加解密单元；

22、所述ssp数据帧加解密单元：用于在对ssp读写数据帧进行加解密处理时，先获取帧类型字段为06h的命令帧，再对其信息单元字段中的scsi命令描述块进行解析；当scsi命令描述块中scsi命令为读/写时，则先提取该命令帧的磁盘哈希sas地址、启动器端口传输标记、逻辑块地址、时间戳、数据方向和命令操作码，建立算法参数查找表；对后续收到的数据帧进行处理，在处理时均通过磁盘哈希sas地址和启动器端口传输标记将数据帧与命令帧的关键参数进行联系，同时在处理数据帧时提取偏移量，以用来计算数据净荷相对于起始逻辑块地址的偏移；将数据净荷、逻辑块地址和磁盘序列号准备好后，送入算法模块进行数据加解密；

23、所述stp数据帧加解密单元：用于在对stp读写数据帧进行加解密处理时，先获取帧类型字段为27h的命令帧，再对命令字为读/写的帧进行后续处理；先从该命令帧对应的open帧中提取磁盘哈希sas地址，再从该命令帧中提取逻辑块地址、时间戳、数据方向和命令操作码，建立算法参数查找表；在处理后续收到的数据帧时均通过磁盘哈希sas地址将数据帧与命令帧的关键参数进行联系，同时在处理数据帧时提取偏移量，以用来计算数据净荷相对于起始逻辑块地址的偏移；将数据净荷、逻辑块地址和磁盘序列号准备好后，送入算法模块进行数据加解密。

24、本发明具有以下优点：一种基于sas协议解析的服务器数据加密保护方法及装置，基于sas协议解析技术实现服务器数据加密保护，直接接入sas链路，让用户无感知，快速完成加解密功能，避免了传统调用式加密设备的诸多问题；采用全链路双冗余的高可靠性设计，有效避免了设备发生单点故障的情况；将硬盘sn号和硬盘lba地址作为关键信息，对每个数据块单独进行加解密，为加密设备提供了更高的安全性。