技術領域

本發明涉及計算機數據加密技術，特別是存儲域網絡和存儲數據加密的技術。

背景技術

存儲域網絡和存儲數據加密技術是現階段計算機領域的兩種基本技術。存儲域網絡(SAN：Storage?Area?Network)是計算機信息處理技術中的一種架構，它將服務器和遠程的計算機存儲設備(如磁盤陣列、磁帶庫)連接起來，使得這些存儲設備看起來就像是本地一樣。根據連接線路或接口的不同，可以將SAN區分為網絡SAN或者是光線通道SAN，這也就是平時所稱的iSCSI和FC-SAN。

存儲區域網絡(SAN)將不同的數據存儲設備連接在一起，構成一個存儲網絡。用戶可以對該網絡進行添加或刪除節點(存儲設備，交換機等)，從而很容易的實現數據備份和存檔以及數據保護。企業商務或運營商多采用SAN實現對數據的存儲和備份管理。由于SAN是基于網絡化的存儲，因此，較之傳統的存儲技術，SAN擁有更大的容量和更強的性能。通過專門的存儲管理軟件，可以直接在SAN里的大型主機、服務器或其他服務端電腦上添加硬盤和磁帶設備。當前，使用最多的是基于光線通道的FC-SAN。附圖1給出了SAN結構圖，由圖1中可知，在用戶服務器與由FC存儲器或/和存儲陳列構成的存儲設備間通過FC交換機連接。

由于SAN環境的存儲數據通常采用明文存儲，即獲取磁盤就可以直接讀取數據，從而使數據的安全性完全依賴數據存儲設備的物理訪問安全性，從而提高了數據成本，并且存在嚴重的安全隱患，為此，用戶對SAN存儲數據的加密方法和技術提出急切需求。

現有技術中存儲數據加密技術，存儲系統不具有任何加密策略，數據以明文的方式存儲，其安全性較低。在一些高級的存儲器或存儲陣列會將數據加密部件集成到存儲設備中，而低級或老式的存儲設備就不具備加密功能。另外，即使有加密功能的存儲器，其密鑰也存放在存儲設備中，即數據、加密模塊、密鑰管理模塊集中于存儲設備中，從而使存儲設備的關鍵信息集中于一處，安全性能相對降低。

發明內容

本發明針對現有存儲域網絡中數據的潛在安全問題，公開一種存儲域網絡環境加密方法，同時公開一種用于本發明的方法的裝置。

本發明的存儲域網絡環境加密方法是：在存儲節點和客戶節間設置有至少一個密鑰管理中心和至少一個數據加密中心，數據加密中心與客戶節點和存儲節點通過有線或/和無線網絡或/和光纖網絡連通，每個加密中心對至少一個磁盤或分區或存儲設備提供至少一種加密算法。

本發明實現前述加密方法的裝置是由：一個作為密鑰管理中心的微處理器，至少一個作為數據加密中心的微處理器，用戶服務器，網絡SAN(iSCSI)或/和FC-SAN存儲設備構成。前述各設備間通過有線網絡或/和無線網絡或/和光纖網絡實現物理連接，并基于彼此間的通訊協議實現相互間的數據傳輸。其中：用戶服務器與第一個數據加密中心之間傳輸明文或經用戶服務器加密后密文的數據，第n個數據加密中心與第n+1個數據加密中心之間傳輸經過第n個數據加密中心加密后的密文加密數據，最后一個數據加密中心與SAN存儲設備之間傳輸經最后一個數據加密中心加密后的密文加密數據，密鑰管理中心與各數據加密中心間以密文傳輸。

本發明所述裝置的一個實施例是數據加密中心與密鑰管理中心通過設置于同一個主機上的軟件實現。

本發明所述裝置的另一個實施例是通過將數據加密中心與密鑰管理中心分別置于不同的微處理機上的軟件實現，數據加密中心與密鑰管理中心通過有線網絡或/和無線網絡或/和光纖網絡實現物理連接，并基于彼此間的通訊協議實現相互間的數據傳輸。

由前述內容可知，本發明的加密系統由分別設置的數據加密中心和密鑰管理中心構成，在存儲域網絡中構建密鑰管理中心，由密鑰管理中心負責產生、存儲、收回、更新和備份密鑰；而數據加密中心必須通過密鑰管理中心獲取密鑰。密鑰管理中心可以獨立運行，亦可以與加密中心共存。這種在存儲域網絡中建立數據加密中心具有對存儲數據加密的能力，能夠支持分組加密算法，例如AES，DES，3DES，及多種模式，如XTS，CBC等。由于存儲節點和客戶節點的連接通道必須經過一個或多個數據加密中心，而每個加密中心對一個磁盤或分區或存儲設備提供一種或多種加密方案進行選擇，這里所述的加密方案也可以包含“不對數據進行加密”，因此其加密措施可靠，保密性強，可以充分保證數據的安全。加密中心對客戶節點和存儲節點透明，即無需再對客戶節點或存儲節點進行額外配置。

本發明具有以下優點：