CN109684860B - 一种基于业务关系的数据加密方法及装置 - Google Patents
一种基于业务关系的数据加密方法及装置 Download PDFInfo
- Publication number
- CN109684860B CN109684860B CN201811641322.9A CN201811641322A CN109684860B CN 109684860 B CN109684860 B CN 109684860B CN 201811641322 A CN201811641322 A CN 201811641322A CN 109684860 B CN109684860 B CN 109684860B
- Authority
- CN
- China
- Prior art keywords
- key
- lun
- service
- storage
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
- G06F21/805—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors using a security table for the storage sub-system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种基于业务关系的数据加密方法及装置,该方法包括:接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;通过预设的第一密钥节点将第一LUN的第一密钥参数同步至预设的第二密钥节点,使得第二密钥节点将第一密钥参数替代自身的第二密钥参数、并依据第一密钥参数获得第一存储密钥;其中,第一密钥节点为第一LUN的密钥节点,第二密钥节点为第二LUN的密钥节点。由于建立业务关系的不同LUN可共享存储密钥,存储***内部执行业务的过程中,不同LUN之间的数据交互无需多余的加密和解密处理,减少了处理业务的时间消耗和对处理资源的占用,有效地提高了存储***整体的处理效率。
Description
技术领域
本申请涉及存储领域,特别涉及一种基于业务关系的数据加密方法及装置。
背景技术
数据是信息***的基石,为实现数据的安全存储和传输,存储***对写入磁盘的数据进行加密,使得数据以密文的形式保存在磁盘中。在这种情况下,即便数据被盗,也不会被解析。
在相关技术中,可在磁盘接口处或磁盘内部添加物理加密模块,该物理加密模块实际可以是加密芯片,数据通过该物理加密模块加密后,写入磁盘的即为密文数据。其中,每个磁盘被设置独有的存储密钥,物理加密模块与存储密钥管理服务器交互以获取该物理加密模块对应磁盘的存储密钥,进而可根据该存储密钥对写入磁盘的数据进行加密,对读出磁盘的数据进行解密。
发明内容
有鉴于此,本申请提供一种基于业务关系的数据加密方法及装置,用以在加密成本较低的情况下,提高存储安全性,并灵活地对数据进行加密。
具体地,本申请是通过如下技术方案实现的:
一种基于业务关系的数据加密方法,应用于存储***中的第一存储设备,所述存储***的各个LUN分别对应不同的密钥节点,任一LUN的密钥节点用于管理该LUN的存储密钥,包括:
接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;其中,所述第一业务的主LUN为所述第一LUN,所述第一业务的从LUN为第二LUN;
通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点,使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥;其中,所述第一密钥节点为所述第一LUN的密钥节点,所述第二密钥节点为所述第二LUN的密钥节点。
在所述基于业务关系的数据加密方法中,所述第二LUN位于所述存储***的第二存储设备上;
所述通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点,包括:
向所述第二存储设备发送密钥参数同步请求,以由所述第二存储设备将所述第一密钥参数替代所述第二密钥节点中的所述第二密钥参数;其中,所述密钥参数同步请求携带上述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和所述第一密钥参数。
在所述基于业务关系的数据加密方法中,所述存储***包括密钥管理服务器,所述密钥管理服务器为所述存储***中的LUN分配密钥参数;
在接收针对所述第一LUN的业务启用指令前,所述方法还包括:
创建所述第一LUN,并为所述第一LUN创建所述第一密钥节点;
创建所述第二LUN,并为所述第二LUN创建所述第二密钥节点;
通过所述第一密钥节点向所述密钥管理服务器进行认证,并从所述密钥管理服务器获取所述第一密钥参数;
通过所述第二密钥节点向所述密钥管理服务器进行认证,并从所述密钥管理服务器获取所述第二密钥参数。
在所述基于业务关系的数据加密方法中,密钥参数用于指示存储密钥;所述依据所述第一密钥参数获得第一存储密钥,包括:
通过所述第二密钥节点向所述密钥管理服务器发起密钥获取请求,以由所述密钥管理服务器依据所述密钥获取请求中的所述第一密钥参数返回所述第一存储密钥。
在所述基于业务关系的数据加密方法中,密钥参数包含存储密钥;所述依据所述第一密钥参数获得第一存储密钥,包括:
通过所述第二密钥节点解析所述第一密钥参数,获得所述第一存储密钥。
在所述基于业务关系的数据加密方法中,所述方法还包括:
在启用所述第一业务后,在所述第一密钥节点和所述第二密钥节点中分别记录所述第一业务的业务关系;其中,所述业务关系包括所述第一业务的业务标识、所述第一业务的主LUN的LUN标识和从LUN的LUN标识。
在所述基于业务关系的数据加密方法中,所述方法还包括:
接收针对所述第一LUN的写请求,解析所述写请求中的目标数据;
从所述第一密钥节点中获取所述第一存储密钥,并基于该第一存储密钥对所述目标数据进行加密,将加密得到的第一密文数据写入所述第一LUN;
检查所述第一密钥节点记录的以所述第一LUN为主LUN的业务关系,并确定该业务关系中的从LUN为所述第二LUN;
从所述第一LUN中获取所述第一密文数据,并将所述第一密文数据写入至所述第二LUN。
在所述基于业务关系的数据加密方法中,所述方法还包括:
接收业务解除指令,解除所述第一LUN和所述第二LUN之间的所述第一业务的业务关系;
检查预设的业务日志,确定是否在执行所述第一业务时向所述第二LUN写入所述第一密文数据;
若是,保持所述第二LUN的所述第一存储密钥不变;
若否,将所述第二LUN的所述第一存储密钥更改为所述第二存储密钥。
在所述基于业务关系的数据加密方法中,所述方法还包括:
接收针对所述第一LUN的业务启用指令,基于所述业务启用指令启用第二业务;其中,所述第二业务的主LUN为第三LUN,所述第二业务的从LUN为所述第一LUN;
通过预设的第三密钥节点将所述第三LUN的第三密钥参数同步至所述第一密钥节点,使得所述第一密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得第三存储密钥;其中,所述第三密钥节点为所述第三LUN的密钥节点;
通过所述第一密钥节点将所述第三密钥参数同步至所述第二密钥节点,使得所述第二密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得所述第三存储密钥。
一种基于业务关系的数据加密装置,应用于存储***中的第一存储设备,所述存储***的各个LUN分别对应不同的密钥节点,任一LUN的密钥节点用于管理该LUN的存储密钥,包括:
启用单元,用于接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;其中,所述第一业务的主LUN为所述第一LUN,所述第一业务的从LUN为第二LUN;
同步单元,用于通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点,使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥;其中,所述第一密钥节点为所述第一LUN的密钥节点,所述第二密钥节点为所述第二LUN的密钥节点。
在本申请技术方案中,存储设备启用第一业务后,建立第一LUN和第二LUN的业务关系,可通过第一LUN的第一密钥节点将第一LUN的第一密钥参数同步至第二LUN的第二密钥节点,使得第二密钥节点可将第一密钥参数替代自身的第二密钥参数,并依据该第一密钥参数获得第一存储密钥;
由于建立业务关系的不同LUN可共享存储密钥,存储***内部执行业务的过程中,不同LUN之间的数据交互无需多余的加密和解密处理,减少了处理业务的时间消耗和对处理资源的占用,有效地提高了存储***整体的处理效率。
附图说明
图1是本申请示出的一种存储***的架构示意图;
图2是本申请示出的一种基于业务关系的数据加密方法的流程图;
图3是本申请示出的另一种存储***的架构示意图;
图4是本申请示出的一种业务关系示意图;
图5是本申请示出的又一种存储***的架构示意图;
图6是本申请示出的另一种业务关系示意图;
图7是本申请示出的一种基于业务关系的数据加密装置的实施例框图;
图8是本申请示出的一种基于业务关系的数据加密装置的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,为本申请示出的一种存储***的架构示意图,如图1所示,存储***中存储设备的各个硬盘分别存在对应的物理加密模块(图1中的“Encrypte”),该物理加密模块可以位于磁盘接口处或磁盘内部。每个磁盘被设置独有的存储密钥,存储设备在向任一磁盘写入数据时,需通过该磁盘的物理加密模块和存储密钥对数据进行加密,然后将密文数据写入至磁盘。
当存储***对已写入磁盘的数据进行业务处理时,必须对数据进行一次解密和一次加密。其中,上述业务可以包括复制、镜像、克隆、快照等。
如图1所示,若存储设备将磁盘1中的数据镜像至磁盘2,首先需将磁盘1中读出的密文数据进行解密,然后将解密得到的明文数据传输至磁盘2。接着,依据磁盘2的存储密钥对该明文数据加密后得到新的密文数据,进而将新的密文数据写入到磁盘2中。
存储***内部的解密和加密处理增加了处理业务的时间消耗,并且占有存储***的处理资源,降低了存储***整体的处理效率。
为解决上述问题,本申请提出一种基于业务关系的数据加密方法,用以将数据加密操作与业务关系相关联,从而减少加密成本,提高存储***整体的处理效率。
参见图2,为本申请示出的一种基于业务关系的数据加密方法的流程图,该方法应用于存储***的第一存储设备,包括以下步骤:
步骤201:接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;其中,所述第一业务的主LUN为所述第一LUN,所述第一业务的从LUN为第二LUN。
其中,上述第一存储设备可以是存储***中的任一存储设备,其只是为方便描述方案进行的命名,并不限定本申请。
上述存储***的各个LUN分别对应不同的密钥节点,任一LUN的密钥节点管理该LUN的存储密钥。
参见图3,为本申请示出的另一种网络架构图,如图3所示,存储设备的物理加密模块(图3的“Encrypte”)安装于设备入口处,使得存储设备可马上就接收到的目标数据进行加密处理。需要指出的是,存储设备通过该物理加密模块对写入任一LUN的数据进行加密时,首先需从该LUN的密钥节点获取存储密钥,然后基于该存储密钥对数据进行加密。
需要指出的是,上述存储***可以包括密钥管理服务器,该密钥管理服务器为上述存储***中的LUN分配存储密钥。
首先,在本申请实施例中,在接收针对上述第一LUN的业务启用指令前,第一存储设备首先可以创建上述第一LUN,并为该第一LUN创建第一密钥节点,以及,第一存储设备可以创建上述第二LUN,并为该第二LUN创建第二密钥节点。
进一步地,第一存储设备可以通过上述第一密钥节点向上述密钥管理服务器进行认证,并从上述密钥管理服务器获取第一密钥参数。
同样地,第一存储设备可以通过上述第二密钥节点向上述密钥管理服务器进行认证,并从上述密钥管理服务器获取第二密钥参数。
作为一种实施例,密钥参数用于指示存储密钥,换而言之,密钥参数相当于密钥标识。在该实施例中,第一存储设备还需进一步通过该第一密钥参数为第一密钥节点获取第一存储密钥。其中,上述第一存储密钥为所述密钥管理服务器为第一LUN分配的存储密钥。
同样地,第一存储设备还需进一步通过该第二密钥参数为第二密钥节点获取第二存储密钥。其中,上述第二存储密钥为所述密钥管理服务器为第二LUN分配的存储密钥。
作为另一种实施例,密钥参数包含存储密钥,则第一存储设备需通过上述第一密钥节点解析该第一密钥参数,从而获取第一存储密钥。其中,上述第一存储密钥为所述密钥管理服务器为第一LUN分配的存储密钥。
同样地,第一存储设备需通过上述第二密钥节点解析该第二密钥参数,从而获取第二存储密钥。其中,上述第二存储密钥为所述密钥管理服务器为第二LUN分配的存储密钥。
另外,认证即为获取密钥管理服务器的访问权限,具体认证过程可参照现有技术,在此不再赘述。
通过上述措施,本申请技术方案可为每个LUN分别配置不同的密钥参数。由于存储设备在处理IO(Input/Output,写入/读出)请求时,通常是以LUN为单位实现数据读写。一个磁盘上可以创建多个LUN,因此,以LUN为加密基本单元,相比现有技术以磁盘为加密基本单元而言,细化了加密粒度,提高了数据安全性。
第一存储设备在创建各个LUN和对应于LUN的密钥节点后,可能会启用与存储相关的业务。其中,上述业务可以包括复制、镜像、克隆、快照等。
此时,作为一种实施例,管理员可基于业务需求向存储***下发业务启用指令。
上述第一存储设备接收针对上述第一LUN的业务启用指令,该业务启用指令携带业务标识、业务关系中主LUN(Major)的LUN标识和从LUN(Slave)的LUN标识。
其中,该业务标识可以是业务名称,该业务标识指示第一业务,当然,该第一业务是泛指的业务,可以前述复制、镜像等业务中的任一一种;该主LUN的LUN标识为上述第一LUN的LUN标识;该从LUN的LUN标识为上述第二LUN的LUN标识。
上述第一存储设备可基于该业务启用指令启用第一业务。
参见图4,为本申请示出的一种业务关系示意图,如图4中A图所示,LUN1和LUN2在初始状态下均未启用任何业务,因此,LUN1和LUN2此时为普通LUN(General)。当LUN1和LUN2上启用业务后,业务关系指定LUN1为主LUN,LUN2为从LUN。
步骤202:通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点,使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥;其中,所述第一密钥节点为所述第一LUN的密钥节点,所述第二密钥节点为所述第二LUN的密钥节点。
在启用上述第一业务后,上述第一存储设备可通过上述第一密钥节点将上述第一密钥参数同步至上述第二密钥节点。
进一步地,上述第一存储设备可通过上述第二密钥节点将上述第一密钥参数替代自身的第二密钥参数,然后依据该第一密钥参数获得第一存储密钥。
在示出的一种实施方式中,如果上述第二LUN位于存储***的第二存储设备上,则上述第一存储设备可向上述第二存储设备发送密钥参数同步请求。其中,该密钥参数同步请求可以携带上述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和上述第一密钥参数。
上述第二存储设备接收到该密钥参数同步请求后,可将上述第一密钥参数替代上述第二密钥节点中的第二密钥参数。进一步地,可依据该第一密钥参数获得第一存储密钥。
参见图5,为本申请示出的又一种网络架构图,如图5,存储***中包括存储设备1、存储设备2、存储设备3和存储设备4。因此,当启用的任一业务涉及的LUN位于不同存储设备上时,各个存储设备之间存在必要的交互。具体可参照现有技术,本申请不一一赘述。
作为一种实施例,如果密钥参数用于指示存储密钥,上述第一存储设备在依据第一密钥参数获得第一存储密钥的过程中,可以通过上述第二密钥节点向上述密钥管理服务器发送密钥获取请求。其中,该密钥获取请求携带上述第一密钥参数。
上述密钥管理服务器接收到该第一密钥参数后,向上述第一存储设备的第二密钥节点返回第一存储密钥。
由于上述第一存储设备通过第二密钥节点向密钥管理服务器完成认证,因此,在这种实施例中,即便第一存储设备上的密钥参数被攻击者窃取,攻击者也无法基于从密钥管理服务器获取存储密钥。该实施例可极大地提升存储数据的安全性。
作为另一种实施例,如果密钥参数包含存储密钥,上述第一存储设备在依据第一密钥参数获得第一存储密钥的过程中,可以通过上述第二密钥节点解析该第一密钥参数,从而获取第一存储密钥。
这种实施例的优点在于,第二密钥节点可以更快速地获取到第一存储密钥。
当然,如果上述第二LUN位于存储***的第二存储设备,则该第二存储设备同样可基于这两种实施例中的方式为第二密钥节点获取第一存储密钥。
在本申请实施例中,在启用上述第一业务后,上述第一存储设备可在上述第一密钥节点和上述第二密钥节点中分别记录上述第一业务的业务关系。其中,该业务关系可以包括上述第一业务的业务标识、上述第一业务的主LUN的LUN标识和从LUN的LUN标识。
当然,如果上述第二LUN位于存储***的第二存储设备,则该第二存储设备同样可向本地的第二密钥节点中记录上述第一业务的业务关系。
通过该措施,可便于后续执行业务。
在本申请实施例中,第一存储设备启用上述第一业务后,可在处理写请求的过程中执行上述第一业务。
具体地,第一存储设备接收针对上述第一LUN的写请求,可以解析该写请求中的目标数据。
接着,第一存储设备可从上述第一密钥节点中获取上述第一存储密钥,然后基于该第一存储密钥对该目标数据进行加密,并将加密得到的第一密文数据写入上述第一LUN。
进一步地,第一存储设备检查上述第一密钥节点记录的以该第一LUN为主LUN的业务关系,并确定该业务关系中的从LUN为上述第二LUN。
因此,第一存储设备可从上述第一LUN获取上述第一密文数据,然后将该第一密文数据写入至上述第二LUN。
由于第一LUN与第二LUN存在业务关系,因此,两者共享存储密钥,第一存储设备在执行第一业务的过程中,只需加密一次即可,相比现有技术,极大减少了处理业务的时间消耗,减少了业务占用的处理资源,从而提高了存储***整体的处理效率。
在本申请实施例中,同一个LUN可处于多个业务关系中,在这种情况下,为保证该LUN与各个业务关系中的其它LUN均能共享存储密钥,该LUN需与全部业务关系中的其它LUN共享同一个存储密钥。
下面以上述第一LUN为例,说明存储密钥的共享过程。
第一存储设备接收针对上述第一LUN的业务启用指令,该业务启用指令携带业务标识、业务关系中主LUN的LUN标识和从LUN的LUN标识。
其中,该主LUN的LUN标识为第三LUN的LUN标识;该从LUN的LUN标识为第一LUN的LUN标识。
上述第一存储设备可基于该业务启用指令启用第二业务。
接着,第一存储设备可通过预设的第三密钥节点将上述第三LUN的第三密钥参数同步至上述第一密钥节点。其中,该第三密钥节点为上述第三LUN的密钥节点。
进一步地,上述第一存储设备可通过上述第一密钥节点将上述第三密钥参数替代自身的第一密钥参数,然后依据该第三密钥参数获取第三存储密钥。
上述第一存储设备还需通过上述第一密钥节点将上述第三密钥参数同步至上述第二密钥节点,然后通过上述第二密钥节点将该第三密钥参数替代自身的第一密钥参数,并依据该第三密钥参数获取上述第三存储密钥。
参见图6,为本申请示出的另一种业务关系示意图。如图6所示,LUN1和LUN2首先建立业务关系,在该业务关系中,LUN1为主LUN,LUN2为从LUN,因此,LUN1将自身的密钥参数同步至LUN2,使得LUN2可与LUN1共享密钥参数,进而共享存储密钥。接着,LUN3和LUN1建立业务关系,在该业务关系中,LUN3为主LUN,LUN1为从LUN。在这种情况下,LUN3将自身的密钥参数同步至LUN1,LUN1再将该密钥参数同步至LUN2,使得三个LUN可共享密钥参数,进而共享存储密钥。
可见,当多个LUN之间存在多个业务关系时,各个LUN最终共享的存储密钥实际上是最后建立的业务关系中的主LUN的存储密钥。
在本申请实施例中,第一存储设备可在必要的时候解除已经启用的业务、作为一种实施例,管理员可向存储***下发业务解除指令。
上述第一存储设备接收该业务解除指令,该业务解除指令携带业务标识、业务关系中主LUN的LUN标识和从LUN的LUN标识。其中,该业务标识为上述第一业务的业务标识,该主LUN的LUN标识为上述第一LUN的LUN标识,该从LUN的LUN标识为上述第二LUN的LUN标识。
上述第一存储设备可响应于该业务解除指令,解除上述第一LUN和上述第二LUN之间的上述第一业务的业务关系。
进一步地,上述第一存储设备可检查预设的业务日志,确定是否在执行上述第一业务时向上述第二LUN写入上述第一密文数据。
一种情况下,该业务日志记录已向该第二LUN写入第一密文数据,此时,第一存储设备可保持该第二LUN的第一存储密钥不变。
另一种情况下,该业务日志记录未向该第二LUN写入第一密文数据,此时,第一存储设备可将该第二LUN的第一存储密钥更改为第二存储密钥。
参见图4中B图所示,LUN1和LUN2解除业务关系后,LUN1不再是主LUN,LUN2不再是从LUN,两者此时使用独立的存储密钥。
通过该措施,不同的LUN解除业务关系后,可分别使用不同的存储密钥,有利于存储的安全性。
综上所述,在本申请技术方案中,存储设备启用第一业务后,建立第一LUN和第二LUN的业务关系,可通过第一LUN的第一密钥节点将第一LUN的第一密钥参数同步至第二LUN的第二密钥节点,使得第二密钥节点可将第一密钥参数替代自身的第二密钥参数,并依据该第一密钥参数获得第二存储密钥;
由于建立业务关系的不同LUN可共享存储密钥,存储***内部执行业务的过程中,不同LUN之间的数据交互无需多余的加密和解密处理,减少了处理业务的时间消耗和对处理资源的占用,有效地提高了存储***整体的处理效率。
与前述基于业务关系的数据加密方法的实施例相对应,本申请还提供了基于业务关系的数据加密装置的实施例。
参见图7,为本申请示出的一种基于业务关系的数据加密装置70:
如图7所示,该基于业务关系的数据加密装置70,包括:
启用单元710,用于接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;其中,所述第一业务的主LUN为所述第一LUN,所述第一业务的从LUN为第二LUN;
同步单元720,用于通过预设的第一密钥节点将所述第一LUN的第一密钥参数同步至预设的第二密钥节点,使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥;其中,所述第一密钥节点为所述第一LUN的密钥节点,所述第二密钥节点为所述第二LUN的密钥节点。
在本例中,所述第二LUN位于所述存储***的第二存储设备上;
所述同步单元720,进一步用于:
向所述第二存储设备发送密钥参数同步请求,以由所述第二存储设备将所述第一密钥参数替代所述第二密钥节点中的所述第二密钥参数;其中,所述密钥参数同步请求携带上述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和所述第一密钥参数。
在本例中,所述存储***包括密钥管理服务器,所述密钥管理服务器为所述存储***中的LUN分配密钥参数;所述装置还包括:
创建单元730(图中未示出),用于创建所述第一LUN,并为所述第一LUN创建所述第一密钥节点;创建所述第二LUN,并为所述第二LUN创建所述第二密钥节点;
获取单元740(图中未示出),用于通过所述第一密钥节点向所述密钥管理服务器进行认证,并从所述密钥管理服务器获取所述第一密钥参数;通过所述第二密钥节点向所述密钥管理服务器进行认证,并从所述密钥管理服务器获取所述第二密钥参数。
在本例中,密钥参数用于指示存储密钥;所述装置还包括:
所述获取单元740(图中未示出),进一步用于通过所述第二密钥节点向所述密钥管理服务器发起密钥获取请求,以由所述密钥管理服务器依据所述密钥获取请求中的所述第一密钥参数返回所述第一存储密钥。
在本例中,密钥参数包含存储密钥;所述装置还包括:
所述获取单元740(图中未示出),进一步用于通过所述第二密钥节点解析所述第一密钥参数,获得所述第一存储密钥。
在本例中,所述装置还包括:
记录单元750(图中未示出),用于在启用所述第一业务后,在所述第一密钥节点和所述第二密钥节点中分别记录所述第一业务的业务关系;其中,所述业务关系包括所述第一业务的业务标识、所述第一业务的主LUN的LUN标识和从LUN的LUN标识。
在本例中,所述装置还包括:
接收单元760(图中未示出),用于接收针对所述第一LUN的写请求,解析所述写请求中的目标数据;
加密单元770(图中未示出),用于从所述第一密钥节点中获取所述第一存储密钥,并基于该第一存储密钥对所述目标数据进行加密,将加密得到的第一密文数据写入所述第一LUN;
检查单元780(图中未示出),用于检查所述第一密钥节点记录的以所述第一LUN为主LUN的业务关系,并确定该业务关系中的从LUN为所述第二LUN;
处理单元790(图中未示出),用于从所述第一LUN中获取所述第一密文数据,并将所述第一密文数据写入至所述第二LUN。
在本例中,所述装置还包括:
接收单元760(图中未示出),用于接收业务解除指令,解除所述第一LUN和所述第二LUN之间的所述第一业务的业务关系;
检查单元780(图中未示出),用于检查预设的业务日志,确定是否在执行所述第一业务时向所述第二LUN写入所述第一密文数据;
处理单元790(图中未示出),用于若是,保持所述第二LUN的所述第一存储密钥不变;若否,将所述第二LUN的所述第一存储密钥更改为所述第二存储密钥。
在本例中,所述装置还包括:
所述启用单元710,进一步用于接收针对所述第一LUN的业务启用指令,基于所述业务启用指令启用第二业务;其中,所述第二业务的主LUN为第三LUN,所述第二业务的从LUN为所述第一LUN;
所述同步单元720,进一步用于通过预设的第三密钥节点将所述第三LUN的第三密钥参数同步至所述第一密钥节点,使得所述第一密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得第三存储密钥;其中,所述第三密钥节点为所述第三LUN的密钥节点;通过所述第一密钥节点将所述第三密钥参数同步至所述第二密钥节点,使得所述第二密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得所述第三存储密钥。
本申请基于业务关系的数据加密装置的实施例可以应用在存储设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在存储设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图8所示,为本申请基于业务关系的数据加密装置所在存储设备的一种硬件结构图,除了图8所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的存储设备通常根据该基于业务关系的数据加密装置的实际功能,还可以包括其他硬件,对此不再赘述。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种基于业务关系的数据加密方法,应用于存储***中的第一存储设备,所述存储***的各个LUN分别对应不同的密钥节点,任一LUN的密钥节点用于管理该LUN的存储密钥,其特征在于,包括:
接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;其中,所述第一业务的主LUN为所述第一LUN,所述第一业务的从LUN为第二LUN,所述第二LUN位于所述存储***的第二存储设备上;
通过预设的第一密钥节点向所述第二存储设备发送密钥参数同步请求,以由所述第二存储设备将第一密钥参数替代第二密钥节点中的第二密钥参数;其中,所述密钥参数同步请求携带所述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和所述第一密钥参数,使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥;其中,所述第一密钥节点为所述第一LUN的密钥节点,所述第二密钥节点为所述第二LUN的密钥节点。
2.根据权利要求1所述的方法,其特征在于,所述存储***包括密钥管理服务器,所述密钥管理服务器为所述存储***中的LUN分配密钥参数;
在接收针对所述第一LUN的业务启用指令前,所述方法还包括:
创建所述第一LUN,并为所述第一LUN创建所述第一密钥节点;
创建所述第二LUN,并为所述第二LUN创建所述第二密钥节点;
通过所述第一密钥节点向所述密钥管理服务器进行认证,并从所述密钥管理服务器获取所述第一密钥参数;
通过所述第二密钥节点向所述密钥管理服务器进行认证,并从所述密钥管理服务器获取所述第二密钥参数。
3.根据权利要求2所述的方法,其特征在于,所述依据所述第一密钥参数获得第一存储密钥,包括:
通过所述第二密钥节点向所述密钥管理服务器发起密钥获取请求,以由所述密钥管理服务器依据所述密钥获取请求中的所述第一密钥参数返回所述第一存储密钥。
4.根据权利要求1所述的方法,其特征在于,所述依据所述第一密钥参数获得第一存储密钥,包括:
通过所述第二密钥节点解析所述第一密钥参数,获得所述第一存储密钥。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在启用所述第一业务后,在所述第一密钥节点和所述第二密钥节点中分别记录所述第一业务的业务关系;其中,所述业务关系包括所述第一业务的业务标识、所述第一业务的主LUN的LUN标识和从LUN的LUN标识。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收针对所述第一LUN的写请求,解析所述写请求中的目标数据;
从所述第一密钥节点中获取所述第一存储密钥,并基于该第一存储密钥对所述目标数据进行加密,将加密得到的第一密文数据写入所述第一LUN;
检查所述第一密钥节点记录的以所述第一LUN为主LUN的业务关系,并确定该业务关系中的从LUN为所述第二LUN;
从所述第一LUN中获取所述第一密文数据,并将所述第一密文数据写入至所述第二LUN。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收业务解除指令,解除所述第一LUN和所述第二LUN之间的所述第一业务的业务关系;
检查预设的业务日志,确定是否在执行所述第一业务时向所述第二LUN写入所述第一密文数据;
若是,保持所述第二LUN的所述第一存储密钥不变;
若否,将所述第二LUN的所述第一存储密钥更改为第二存储密钥。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收针对所述第一LUN的业务启用指令,基于所述业务启用指令启用第二业务;其中,所述第二业务的主LUN为第三LUN,所述第二业务的从LUN为所述第一LUN;
通过预设的第三密钥节点将所述第三LUN的第三密钥参数同步至所述第一密钥节点,使得所述第一密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得第三存储密钥;其中,所述第三密钥节点为所述第三LUN的密钥节点;
通过所述第一密钥节点将所述第三密钥参数同步至所述第二密钥节点,使得所述第二密钥节点将所述第三密钥参数替代自身的第一密钥参数、并依据所述第三密钥参数获得所述第三存储密钥。
9.一种基于业务关系的数据加密装置,应用于存储***中的第一存储设备,所述存储***的各个LUN分别对应不同的密钥节点,任一LUN的密钥节点用于管理该LUN的存储密钥,其特征在于,包括:
启用单元,用于接收针对第一LUN的业务启用指令,基于所述业务启用指令启用第一业务;其中,所述第一业务的主LUN为所述第一LUN,所述第一业务的从LUN为第二LUN,所述第二LUN位于所述存储***的第二存储设备上;
同步单元,用于通过预设的第一密钥节点向所述第二存储设备发送密钥参数同步请求,以由所述第二存储设备将第一密钥参数替代第二密钥节点中的第二密钥参数;其中,所述密钥参数同步请求携带所述第一业务的业务标识、主LUN的LUN标识、从LUN的LUN标识和所述第一密钥参数,使得所述第二密钥节点将所述第一密钥参数替代自身的第二密钥参数、并依据所述第一密钥参数获得第一存储密钥;其中,所述第一密钥节点为所述第一LUN的密钥节点,所述第二密钥节点为所述第二LUN的密钥节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811641322.9A CN109684860B (zh) | 2018-12-29 | 2018-12-29 | 一种基于业务关系的数据加密方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811641322.9A CN109684860B (zh) | 2018-12-29 | 2018-12-29 | 一种基于业务关系的数据加密方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109684860A CN109684860A (zh) | 2019-04-26 |
CN109684860B true CN109684860B (zh) | 2020-08-14 |
Family
ID=66191260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811641322.9A Active CN109684860B (zh) | 2018-12-29 | 2018-12-29 | 一种基于业务关系的数据加密方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109684860B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111191266A (zh) * | 2019-12-31 | 2020-05-22 | 中国广核电力股份有限公司 | 一种文件加密方法和***以及解密方法和*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000048357A1 (en) * | 1999-02-12 | 2000-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for enabling encrypted communication |
CN101983385A (zh) * | 2008-04-02 | 2011-03-02 | 思科技术公司 | 跨越数据中心对存储区域网加密密钥的分布 |
CN102077193A (zh) * | 2008-06-27 | 2011-05-25 | 微软公司 | 群集共享卷 |
US8010809B1 (en) * | 2007-06-22 | 2011-08-30 | Qlogic, Corporation | Method and system for securing network data |
US8855318B1 (en) * | 2008-04-02 | 2014-10-07 | Cisco Technology, Inc. | Master key generation and distribution for storage area network devices |
CN106331166A (zh) * | 2016-10-11 | 2017-01-11 | 杭州宏杉科技有限公司 | 一种存储资源的访问方法及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080022120A1 (en) * | 2006-06-05 | 2008-01-24 | Michael Factor | System, Method and Computer Program Product for Secure Access Control to a Storage Device |
US20170317991A1 (en) * | 2016-04-29 | 2017-11-02 | Netapp, Inc. | Offloading storage encryption operations |
-
2018
- 2018-12-29 CN CN201811641322.9A patent/CN109684860B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000048357A1 (en) * | 1999-02-12 | 2000-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and arrangement for enabling encrypted communication |
US8010809B1 (en) * | 2007-06-22 | 2011-08-30 | Qlogic, Corporation | Method and system for securing network data |
CN101983385A (zh) * | 2008-04-02 | 2011-03-02 | 思科技术公司 | 跨越数据中心对存储区域网加密密钥的分布 |
US8855318B1 (en) * | 2008-04-02 | 2014-10-07 | Cisco Technology, Inc. | Master key generation and distribution for storage area network devices |
CN102077193A (zh) * | 2008-06-27 | 2011-05-25 | 微软公司 | 群集共享卷 |
CN106331166A (zh) * | 2016-10-11 | 2017-01-11 | 杭州宏杉科技有限公司 | 一种存储资源的访问方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109684860A (zh) | 2019-04-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4728060B2 (ja) | ストレージ装置 | |
US10409990B2 (en) | Encryption and decryption method and apparatus in virtualization system, and system | |
CN102945355B (zh) | 基于扇区映射的快速数据加密策略遵从 | |
US9311471B2 (en) | Sharing USB key by multiple virtual machines located at different hosts | |
CN102855452B (zh) | 基于加密组块的快速数据加密策略遵从 | |
CN109189749B (zh) | 文件同步方法及终端设备 | |
US20070136606A1 (en) | Storage system with built-in encryption function | |
CN202795383U (zh) | 一种保护数据的设备和*** | |
CN109726575B (zh) | 一种数据加密方法及装置 | |
CA3176858A1 (en) | Data processing method and system | |
AU2013243923A1 (en) | Systems and methods for securing and restoring virtual machines | |
CN101025714A (zh) | 数据处理设备和数据处理方法 | |
CN111062045B (zh) | 信息加密、解密方法和装置、电子设备及存储介质 | |
CN111654372B (zh) | 密钥管理方法及相关装置 | |
CN111291399B (zh) | 数据加密方法、***、计算机***和计算机可读存储介质 | |
CN110334531B (zh) | 虚拟机密钥的管理方法、主节点、***、存储介质及装置 | |
CN113886862B (zh) | 一种可信计算***及基于可信计算***的资源处理方法 | |
US11625385B2 (en) | Method and apparatus for managing data based on blockchain | |
CN112088376A (zh) | 一种文件存储方法、装置及存储介质 | |
CN108763401A (zh) | 一种文件的读写方法及设备 | |
CN109684860B (zh) | 一种基于业务关系的数据加密方法及装置 | |
CN117389974A (zh) | 一种基于超融合***的文件安全共享方法 | |
CN109711207B (zh) | 一种数据加密方法及装置 | |
CN115758447A (zh) | 信息安全业务处理及集群生成方法、电子设备和存储介质 | |
CN111292082B (zh) | 一种块链式账本中的公钥管理方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |