CN101286837B - 一种面向存储区域网的消息加密装置和方法 - Google Patents

Abstract

本发明涉及一种面向存储区域网的消息加密装置和方法，的是解决现有安全存储系统存在的通讯消息安全开销过大，导致存储系统I/O性能低等问题。本发明的技术方案是：一种面向存储区域网的消息加密装置，包括消息加密模块和消息解密模块，所述消息加密模块包括：通讯信息分析器，用于区分数据包中是消息还是数据；消息分类器，用于将消息进行分类，根据各消息类型选择相应的加密器；消息加密器，包括至少两种类型的加密器；所述消息解密模块包括：通讯信息分析器，用于区分数据包中是消息还是数据；消息分类器，将消息进行分类，根据各消息类型选择相应的解密器；消息解密器，包括至少两种与所述加密器对应类型的解密器，使用不同算法解密消息。

Description

一种面向存储区域网的消息加密装置和方法

技术领域

本发明是一种高效的存储区域网中结点间安全通讯装置和方法，主要用于解决存储区域网系统中存储设备、主机和元数据服务器间消息通讯的安全问题，属于存储技术和信息安全的交叉技术领域，尤其涉及其中的安全存储系统领域。

背景技术

存储区域网利用网络连接技术，实现海量的共享存储服务，由于需要用网络连接存储设备，因此保证通讯的安全性是实现安全存储区域网系统的重要方面。存储区域网中通讯的信息包括消息和数据，通讯信息的发送和接受过程，包括生成通讯数据、发送通讯数据、接收通讯数据、验证是否是消息，然后执行命令或读取数据，如图1所示。

现有安全存储系统中一般均不对数据进行加密。存储区域网中通讯的消息包括各类命令以及相应的反馈信息，消息的数据量相对较小，使得加密开销较小，因此加密消息是安全存储系统中常用的方法。

目前安全存储系统中主要采用消息验证、消息加密等技术以保障消息通信的安全，典型的系统有：NFSv4、SFS、AFS和NASD。NFSv4验证RPC请求消息和反馈消息，但入侵者较容易骗过验证机制，无法防止消息被窃取和修改。SFS实现了透明的点对点加密，验证客户机与主机间的通讯消息，使用验证后的密钥加密消息，不同的会话使用不同的密钥，以保证安全性，但采用先用算法加密所有信息，系统安全开销过大。AFS加密所有通信信息的方法，客户机使用私有密钥加密消息后发给主机，主机验证后发送反馈消息，实现双方的验证；但私有密钥易被窃取和破解，当通信量较大时系统性能的下降较大。NASD中加密需保密的信息，采用MAC验证；但未对消息进行分类，所有信息内容均采用同一加密方式，安全开销过大。

存储区域网中通讯消息的特性分析

存储区域网系统中的通信消息主要包括：建立目录、读写数据、修改文件属性、传送密钥、建立连接、查询网络等几类。但建立目录、读写数据、修改文件属性和传送密钥等消息被截获后，攻击者通过修改、伪造和重发消息等手段破坏存储区域网系统的安全性；但建立连接和查询网络等消息只用于建立网络连接，测试网络通信是否正常，被截获后攻击者无法利用其破坏存储系统中的数据。因此我们可将消息分成两类：安全性要求较高和安全性要求较低的消息。

1.安全性要求较高的消息

这类消息包括：建立目录、读写数据、修改文件属性、传送密钥、建立连接等。它们中均包含文件元数据、操作码、密钥、信号量和标识符等各类信息，它们对保护存储区域网系统的安全性很重要。但它们的特性和安全需求也各不相同，其中文件元数据、操作码和密钥等信息的泄露会严重威胁存储区域网的安全性，需较高强度的加密算法；而信号量和某些标识符等信息对数据的安全性影响相对较小，可使用较低强度的加密算法。此外某类信息的访问次数增多后，其被解密的几率增加，应动态提高加密该类信息的强度。

2.安全性要求较低的消息

这类消息包括：建立连接和查询网络等消息，它们仅仅用于建立网络连接，测试网络通信是否正常，因此只需要使用较低强度的加密算法。

发明内容

本发明的目的是解决现有安全存储系统存在的通讯消息安全开销过大，导致存储系统I/O性能低等问题，提供一种存储区域网中的快速消息加密装置和方法，减少存储区域网系统的I/O性能损失。

本发明的技术方案是：一种面向存储区域网的消息加密装置，包括消息加密模块和消息解密模块，所述消息加密模块包括：

通讯信息分析器，用于分析通讯信息，区分数据包中是消息还是数据；

消息分类器，分析消息的组成，将消息进行分类，根据各消息类型选择相应的加密器；

消息加密器，包括至少两种类型的加密器，使用不同算法加密消息；

所述消息解密模块包括：

通讯信息分析器，用于分析通讯信息，区分数据包中是消息还是数据；

消息分类器，分析消息的组成，将消息进行分类，根据各消息类型选择相应的解密器；

消息解密器，包括至少两种与所述加密器对应类型的解密器，使用不同算法解密消息。

所述消息加密模块和消息解密模块中的消息分类器具体包括下列装置：

消息分割装置，根据存储区域网消息中包含信息的语义，将消息分成n个部分；

安全参数设置装置，对每个消息部分设置安全参数ca和im，整个消息可表示为：message(msg1(ca1，im1)，msg2(ca2，im2)，，msgi(cai，imi)，，msgn(can，imn))im∈{1，2，3，4，5}，其中msgi为第i块信息，cai为该块信息的访问次数；

安全参数计算装置，根据ki＝cai*imi/(ca1*im1+ca2*im2+....can*imn)，计算安全参数ki的值；

安全参数比较装置，将各块消息的安全参数ki与设定的值进行比较；

消息分类装置，根据安全参数比较装置的比较结果，将消息分成不同安全级别的类型。

本发明通过分析存储区域网中消息的构成与特点，改进现有安全存储系统中的消息加、解密装置，对消息进行分类加密和解密，在保护存储区域网中消息通讯的安全性的同时保证安全存储区域网系统的I/O性能。

作为本发明装置的进一步改进，所述消息分类器还包括定期将各消息类型划分清除的清零装置。

清零装置定期将系统中各消息块的访问次数清0，重新计算ki的值，动态调整各块的安全级别。从而在保证重要信息安全性的同时，有效减少了安全系统的开销。

作为本发明装置的进一步改进，所述消息加密装置还包括密钥更新装置，根据t＝k*st/(se*sn)生成密钥生存周期t，其中，st为块的安全等级，se代表用户的安全要求，sn为密钥更新的次数，k为可变参数。安全性需求值se越大，密钥生存周期t越小，从而提高系统的安全性能；块的安全等级st的值越大时，增大密钥生存周期的值t，减少密钥管理开销，提高安全系统的效率；某种加密算法的运行时间越久，被破译几率就越大，在每次更新密钥后增大sn的值，使得加密算法的密钥更新逐渐加快，提高系统的安全性。

实现本发明目的的消息加密方法的技术方案如下：一种面向存储区域网的消息加密方法，包括消息加密步骤和消息解密步骤，

所述消息加密步骤包括下列步骤：

1.分析通讯信息，区分数据包中是消息还是数据；

2.对各消息块进行动态分类；

3.根据消息的类型，选择不同加密算法进行加密；

所述消息解密步骤包括下列步骤：

4.分析通讯信息，区分数据包中是消息还是数据；

5.对各消息块进行动态分类；

6.根据消息的类型，选择不同加密算法进行加密。

上述步骤2和步骤5中具体包括下列步骤：

(1)根据存储区域网消息中包含信息的语义，将消息分成n个部分；

(2)对每个消息部分设置安全参数ca和im，整个消息可表示为：message(msg1(ca1，im1)，msg2(ca2，im2)，，msgi(cai，imi)，，msgn(can，imn))im∈{1，2，3，4，5}，其中msgi为第i块信息，cai为该块信息的访问次数；

(3)根据ki＝cai*imi/(ca1*im1+ca2*im2+....can*imn)，计算安全参数ki的值；

(4)将各块消息的安全参数ki与设定的值进行比较；

(5)根据安全参数比较装置的比较结果，将消息分成不同安全级别的类型。

本发明通过分析存储区域网中消息的构成与特点，改进现有安全存储系统中的消息加密方法，通过对消息进行分类，根据消息类型采用不同的加密和解密方法，保护存储区域网中消息通讯的安全性，同时保证安全存储区域网系统的I/O性能。

作为本发明方法的进一步改进，上述步骤(2)和步骤(5)后进一步包括下列步骤：定期将各消息类型划分记录清零。

作为本发明方法的进一步改进，所述消息加密方法还包括密钥周期性的更新步骤：密钥生存周期t根据t＝k*st/(se*sn)计算；st为块的安全等级，se代表用户的安全要求，sn为密钥更新的次数，k为可变参数。

现有安全算法普遍采用加大密钥长度的方法以增强安全性，但密钥过长会增加加密算法的时空复杂度，严重降低系统性能。周期性的密钥更新方式可在不增加密钥长度的前提下提高系统的安全性，密钥的更新周期t直接影响系统的安全性与效率；t过大，入侵者容易破解密钥；密钥更新周期t过小，频繁的密钥更新会增加系统开销，影响系统的性能；因此如何根据安全系统当前的运行情况选择合适的密钥更新周期是一个非常重要的问题。本发明采用可变周期密钥更新策略，根据安全系统当前的运行状况动态调整密钥生存周期，以保证系统的安全性和效率。

附图说明

图1是现有技术中消息加密方法流程图

图2是本发明的消息加密方法流程图

图3是本发明的消息加密模块结构图

图4是本发明的消息解密模块结构图

图5是消息加密算法的流程图

图6是对消息加密算法开销的测试。

具体实施方式

本发明通过修改现有技术中存储区域网中各类结点发送和接收通讯信息的结构，增加快速消息加、解密模块，实现消息通讯的加密。

图3是消息加密模块的结构图，图4是消息解密模块结构图，结合图3和图4的示例，消息加密和解密模块中共包含八个功能模块：通讯信息分析器、消息分类器、3DES加密器、DES加密器、异或加密器、3DES解密器、DES解密器和异或解密器。各功能模块的说明见表1。

表1部件列表

部件名称	部件功能
		通讯信息分析器	分析通讯信息，区分数据包中是消息还是数据。
消息分类器	分析消息的组成，针对它们的特点，选择相应的加解密器。
		3DES加密器	使用3DES算法加密消息。
DES加密器	使用DES算法加密消息。
		异或加密器	使用异或算法加密消息。
3DES解密器	使用3DES算法解密消息。
		DES解密器	使用DES算法解密消息。
异或解密器	使用异或算法解密消息。

一种面向存储区域网的消息加密方法，包括消息加密步骤和消息解密步骤，所述消息加密步骤包括下列步骤：

1.分析通讯信息，区分数据包中是消息还是数据；

2.对各消息块进行动态分类；

3.根据消息的类型，选择不同加密算法进行加密；

所述消息解密步骤包括下列步骤：

4.分析通讯信息，区分数据包中是消息还是数据；

5.对各消息块进行动态分类；

6.根据消息的类型，选择不同加密算法进行加密。

上述步骤2和步骤5中具体包括下列步骤：

(1)根据存储区域网消息中包含信息的语义，将消息分成n个部分。

(2)对每个消息部分设置安全参数ca和im，整个消息可表示为：message(msg1(ca1，im1)，msg2(ca2，im2)，，msgi(cai，imi)，，msgn(can，imn))im∈{1，2，3，4，5}，其中msgi为第i块信息，cai为该块信息的访问次数，imi为i该块信息的重要级。例如：x2块的内容为文件元数据，其重要性级别最高，im2＝5。系统访问某部分信息后将递增对应的ca值，如访问过第2块信息后ca2自增1。根据各块的访问次数和重要级，按照公式1计算安全参数ki。

(3)根据ki＝cai*imi/(ca1*im1+ca2*im2+....can*imn)，计算安全参数ki的值。

将各块消息的安全参数ki与设定的值进行比较：设置阈值Ω和Γ，根据各块的安全参数对块进行分类，并动态的选择不同加密算法。消息中块的分类规则如下。

规则1：当Γ＜＝ki，第i块消息为I类信息

规则2：当Ω＜＝ki＜＝Γ，第i块消息为II类信息

规则3：当ki＜＝Ω，第i块消息为III类信息

(4)根据安全参数比较装置的比较结果，将消息分成不同安全级别的类型。系统根据信息的安全类别，选择不同加解密算法加解密信息，流程如图5所示。I类信息安全等级最高，访问率大，使用3DES加解密算法对其进行加解密，以保证此类信息的安全性；II类信息安全等级相对较低，可采用强度较小的DES算法，安全性比较好，性能降低较少；III类信息系统较少访问之，且较少涉及文件数据信息，可对其进行简单的异或算法加解密，保障存储区域网的I/O性能。

系统定期将各块的访问次数清0，重新计算ki的值，动态调整各块的安全级别。从而在保证重要信息安全性的同时，有效减少了安全系统的开销。

本发明的方法中还包括自适应密钥更新策略，即可变周期密钥更新策略，根据安全系统当前的运行状况动态调整密钥生存周期，以保证系统的安全性和效率，密钥生存周期t由公式2计算：

公式2：t＝k*st/(se*sn)

st为块的安全等级，se代表用户的安全要求，sn为密钥更新的次数，k为可变参数。

验证实例

我们修改存储区域网系统lustre的原代码，实现消息加解密模块。系统运行与一台PC机上，配置如表2所示。

表2测试环境的配置

CPU	Intel P4 2.4GHz
		Memory	256MB
OS	Linux RED HAT企业版3(kernel：2.4.24)
		硬盘	80GB IDE接口
存储区域网系统	Lustre-1.2.4
		测试工具	Iozone

Lustre系统包括主机，元数据服务器(MDS)和存储目标器(OST)几个模块。首先主机元数据服务器发送访问请求，元数据服务器返回文件元数据信息，主机获得元数据后，访问存储目标器读写数据。Lustre中的各个模块之间使用portals传输协议传输数据，包括文件数据和消息等。我们在通信子系统中实现快速消息加解密模块，实现高效的消息加密系统。

Lustre系统中主要包含ping、getattr、setattr、read、write、creat、connect、destroy、cancel、convert、getinfo等消息。消息ping主要用于定期检测网络是否可以通信，未涉及文件信息，快速消息加解密模块可忽略此类信息，直接进行发送，以减少安全开销；write、read、getattr等消息用于控制文件操作，快速消息加解密模块需对其中信息块进行动态的分类，对不同信息块选择相应的加解密算法。如write消息主要由操作码(opc)、缓冲(buf)、端口号(portal)、消息类型(type)、掩码、信号量以及链接指针等组成，系统初始化时操作码(opc)和缓冲(buf)中的信息等被定为I类信息，进行高强度的加密保护，端口号、消息类型以及信号量等被定为II类，可选用强度较低的DES加密算法加密此类信息，其余被定为III类信息的部分只须简单加解密，以减少安全开销。存储区域网系统运行过程中动态调整信息的等级，保证通讯消息的安全性。

使用Iozone作为测试工具，测试使用单一加密算法加解密全部消息和使用本发明的消息加解密模块加解密消息时，存储区域网系统的读写性能，比较安全开销，测试结果如图6所示。

从图6中可以发现，使用本发明的消息加解密模块加解密消息时，存储区域网系统的I/O性能下降较小，在10％左右；相比之下，使用单一加密算法加解密全部消息时，存储区域网系统性能下降了25％以上。结果表明我们实现的消息加解密模块具有很高效率，能用于实现高效的存储区域网消息加密功能。

Claims (5)

1.一种面向存储区域网的消息加解密装置，包括消息加密模块和消息解密模块，其特征在于，

所述消息加密模块包括：

通讯信息分析器，用于分析通讯信息，区分数据包中是消息还是数据；

消息分类器，分析消息的组成，将消息进行分类，根据各消息类型选择相应的加密器；

消息加密器，包括至少两种类型的加密器，使用不同算法加密消息；所述消息加解密装置还包括密钥更新装置，根据t＝k*st/(se*sn)生成密钥生存周期t，其中，st为消息块的安全等级，se代表用户的安全要求，sn为密钥更新的次数，k为可变参数；

所述消息解密模块包括：

通讯信息分析器，用于分析通讯信息，区分数据包中是消息还是数据；

消息分类器，分析消息的组成，将消息进行分类，根据各消息类型选择相应的解密器；

消息解密器，包括至少两种与所述加密器对应类型的解密器，使用不同算法解密消息；

所述消息加密模块和消息解密模块中的消息分类器具体包括下列装置：

消息分割装置，根据存储区域网消息中包含信息的语义，将消息分成n个部分；

安全参数设置装置，对每个消息部分设置安全参数ca和im，整个消息表示为：

message(msg1(ca1，im1)，msg2(ca2，im2)，…，msgi(cai，imi)，…，msgn(can，imn))im∈{1，2，3，4，5}，其中msgi为第i块消息，cai为该块消息的访问次数；

安全参数计算装置，根据ki＝cai*imi/(ca1*im1+ca2*im2+....can*imn)，计算安全参数ki的值；安全参数比较装置，将各块消息的安全参数ki与设定的值进行比较；

消息分类装置，根据安全参数比较装置的比较结果，将消息分成不同安全级别的类型。

2.根据权利要求1所述的消息加解密装置，其特征在于，所述消息分类器还包括定期将各消息类型划分清除的清零装置。

3.根据权利要求1所述的消息加解密装置，其特征在于，所述消息解密器包括3DES解密器、DES解密器和异或解密器。

4.一种面向存储区域网的消息加解密方法，包括消息加密步骤和消息解密步骤，所述消息加密步骤包括下列步骤：

(1)分析通讯信息，区分数据包中是消息还是数据；

(2)对消息进行动态分类；

(3)根据消息的类型，选择不同加密算法进行加密；

所述消息解密步骤包括下列步骤：

(4)分析通讯信息，区分数据包中是消息还是数据；

(5)对消息进行动态分类；

(6)根据消息的类型，选择不同算法进行解密；

上述步骤(2)和步骤(5)中具体包括下列步骤：

A)根据存储区域网消息中包含信息的语义，将消息分成n个部分；

B)对每个消息部分设置安全参数ca和im，整个消息表示为：

message(msg1(ca1，im1)，msg2(ca2，im2)，…，msgi(cai，imi)，…，msgn(can，imn))im ∈{1，2，3，4，5}，其中msgi为第i块消息，cai为该块消息的访问次数；

C)根据ki＝cai*imi/(ca1*im1+ca2*im2+....can*imn)，计算安全参数ki的值；

D)将各块消息的安全参数ki与设定的值进行比较；

E)根据安全参数比较步骤的比较结果，将消息分成不同安全级别的类型；

所述消息加解密方法还包括密钥周期性的更新步骤：密钥生存周期t根据t＝k*st/(se*sn)计算；

st为消息块的安全等级，se代表用户的安全要求，sn为密钥更新的次数，k为可变参数。

5.根据权利要求4所述的消息加解密方法，其特征在于，上述步骤(2)和步骤(5)后进一步包括下列步骤：定期将各消息类型划分记录清零。

Images