CN104168324A - 一种安全云存储层 - Google Patents
一种安全云存储层 Download PDFInfo
- Publication number
- CN104168324A CN104168324A CN201410423472.8A CN201410423472A CN104168324A CN 104168324 A CN104168324 A CN 104168324A CN 201410423472 A CN201410423472 A CN 201410423472A CN 104168324 A CN104168324 A CN 104168324A
- Authority
- CN
- China
- Prior art keywords
- control chip
- outer net
- main frame
- net unit
- main control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Multi Processors (AREA)
Abstract
本发明公开了一种安全云存储层,涉及网络存储安全领域,包括存储设备、底层磁盘存储阵列和便于数据通信的背板,采用FPGA形成隔离逻辑将存储设备分为内网单元和外网单元,外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,隔离单元包含FPGA实现的隔离逻辑,且隔离逻辑与外网主控芯片交互通信,内网单元包含内网主控芯片,内网主控芯片与隔离逻辑交互通信;内、外网主控芯片均通过背板的高速数据同步通道同步数据,磁盘存储阵列连接至背板存储最终数据。该安全云存储层有效解决了云存储层存储数据安全和云网络的安全接入问题,能够对云存储层设备的存储数据和接入云网络提供安全性保障。
Description
技术领域
本发明涉及网络存储安全领域,具体地说是一种安全云存储层。
背景技术
云存储是在云计算概念上延伸和发展出来的一个新概念,是指通过集群应用、网络技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储和业务访问功能的一个系统。云存储是一个以数据存储和管理为核心的云计算系统,是将存储资源放在云上供人存取的一种新兴方案。使用者可以在任何时间、任何地方,透过任何可连网的装置连接到云上方便地存取数据。
存储层是云存储最基础的部分。存储设备可以是FC光纤通道存储设备,可以是NAS和 iSCSI等IP存储设备,也可以是 SCSI或SAS等 DAS存储设备。云存储中的存储设备往往数量庞大且分布在不同地域,彼此之间通过广域网、互联网或者 FC光纤通道网络连接在一起。存储数据安全和针对云的安全接入,是云存储层设备面临的主要挑战。
发明内容
本发明针对云存储层云网络的安全接入和数据的安全存储等问题,提供了一种安全云存储层。
本发明所述一种安全云存储层,解决上述技术问题采用的技术方案如下:该安全云存储层包括由若干个冗余主机组成的存储设备、底层磁盘存储阵列和便于各个主机数据通信的背板,在存储设备中采用FPGA形成一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,内网单元主要完成对磁盘和数据的管理,外网单元主要负责安全接入云网络;
每个主机包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机或其他主机的外网主控芯片均交互通信,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机或其他主机的FPGA实现的隔离逻辑交互通信;所有主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行数据同步,同时,所有主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行数据同步;所述磁盘存储阵列连接至所述背板用于数据最终存储。
本发明所述一种安全云存储层与现有技术对比具有的有益效果:该安全云存储层在存储设备中,采用FPGA实现一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,隔离逻辑还具备数据加/解密、密钥存储及合成、策略匹配和日志报警功能,并且这些功能完全由硬件实现,无需额外增加系统开销;且外网单元能够防网络攻击和身份认证,能够保证安全接入云网络;内网单元能够安全管理存储数据,有效解决了目前云存储层面临的存储数据安全和针对云的安全接入问题,能够对云存储层设备的存储数据和接入云网络提供安全性保障。
附图说明
附图1为本实施例所述安全云存储层的结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的一种安全云存储层进行详细说明。
本发明所述一种安全云存储层,在存储设备中采用FPGA形成一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,内网单元主要完成对磁盘和数据的管理;外网单元主要负责安全接入云网络;所述FPGA(Field-Programmable Gate Array,现场可编程门阵列),是在PAL、GAL、CPLD等可编程器件的基础上进一步发展的产物,是专用集成电路(ASIC)领域中的一种半定制电路,既解决了定制电路的不足,又克服了原有可编程器件门电路数有限的缺点。
该安全云存储层包括由若干个冗余主机组成的存储设备、底层磁盘存储阵列和便于各个主机数据通信的背板,每个主机包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的外网单元的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机或其他主机的外网主控芯片均交互通信,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机或其他主机的隔离单元的隔离逻辑交互通信,所有主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行同步数据,同时,所有主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行同步数据;所述磁盘存储阵列连接至所述背板。
本发明所述安全云存储层中所述FPGA实现的隔离逻辑能够将存储设备进行物理隔离,同时具备数据加/解密、密钥存储及合成、策略匹配和日志报警功能,这些功能完全由硬件实现,无需额外增加系统开销。所述外网单元具备防网络攻击和身份认证功能,保证对云网络的安全接入。
实施例:
下面通过一个实施例,对本发明所述一种安全云存储层的优点和设计内容,进行详细说明。
本实施例所述安全云存储层,如附图1所示,主要包括两个主机(主机1和主机2)、磁盘存储阵列和便于主机之间数据通信的背板,主机1和主机2均包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的外网单元的所述万兆网络接口与外网主控芯片相连;所述隔离单元包含FPGA以及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机和另一主机的外网主控芯片均实现互联,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机和另一主机的隔离单元的隔离逻辑交互通信,两个主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行数据同步,同时,两个主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行数据同步;所述磁盘存储阵列连接至所述背板。
本实施例所述安全云存储层中,每个主机的外网单元还包括存储、内存和用来连接调试网络的千兆网络接口,并且所述存储、内存和千兆网络接口均与其对应外网单元的外网主控芯片连接。
本实施例所述安全云存储层中,每个主机的隔离单元还设置有缓存和FLASH,且所述缓存和FLASH均与其对应隔离单元的FPGA相连,所述Flash又被称之为闪客,是一种动画创作与应用程序开发于一身的创作软件,较新版本Adobe Flash Professional CC为创建数字动画、交互式Web站点、桌面应用程序以及手机应用程序开发提供了功能全面的创作和编辑环境。
本实施例所述安全云存储层中,每个主机的内网单元还包括存储、内存和用于连接调试网络的千兆网络接口,且所述存储、内存和千兆网络接口均与其对应内网单元的内网主控芯片相连。
本实施例所述安全云存储层中,每个主机的内网单元还设置有SAS桥和Expander,且所述Expander与所述SAS桥互连,同时所述SAS桥与其对应的内网单元的内网主控芯片相连,此外,每个主机的SAS桥和其它主机的Expander、所述Expander与其他主机的SAS桥分别交互通信。
通过本实施例所述安全云存储层,其包括两台冗余主机分别为主机1和主机2,进行数据写入时,若数据报文通过外网进入主机1的外网单元,主机1的外网单元会对数据进行初步处理,例如分片包重组、非法包排查等,同时主机1的外网单元通过背板的高速数据同步通道与主机2的外网单元同步该数据;之后,该数据分别从外网单元的外网控制芯片进入相对应的隔离单元的FPGA实现的隔离逻辑中,隔离单元根据策略匹配,决定该数据的处理模式,例如加密、明通或丢弃;最后数据报文进入内网单元的内网控制芯片,内网单元解析数据指令,主机1和主机2的内网单元通过背板的高速数据同步通道完成同步后,将数据写入磁盘存储阵列。通过该安全云存储层进行数据读取时,经过类似的上述流程,区别之处在于此时隔离单元执行的是解密操作。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (7)
1.一种安全云存储层,其特征在于,包括由若干个冗余主机组成的存储设备、底层磁盘存储阵列和便于各个主机数据通信的背板,在存储设备中采用FPGA形成一个隔离逻辑,将存储设备分为物理上的内网单元和外网单元,内网单元主要完成对磁盘和数据的管理,外网单元主要负责安全接入云网络;
每个主机包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机或其他主机的外网主控芯片均交互通信,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机或其他主机的FPGA实现的隔离逻辑交互通信;所有主机的外网单元的外网主控芯片通过背板的高速数据同步通道进行数据同步,同时,所有主机的内网单元的内网主控芯片也通过背板的高速数据同步通道进行数据同步;所述磁盘存储阵列连接至所述背板用于数据最终存储。
2.根据权利要求1所述的一种安全云存储层,其特征在于, 所述安全云存储层包含主机1、主机2、磁盘存储阵列和便于主机之间数据通信的背板,主机1和主机2均包括外网单元、隔离单元和内网单元,所述外网单元包含有用来连接外网的万兆网络接口和外网主控芯片,每个主机的所述万兆网络接口与其外网主控芯片相连;所述隔离单元包含FPGA以及FPGA实现的隔离逻辑,且所述隔离逻辑与其主机和另一主机的外网主控芯片均实现互联,所述内网单元包含内网主控芯片,所述内网主控芯片与其主机和另一主机的FPGA实现的隔离逻辑交互通信,两个主机的外网单元的外网主控芯片通过背板的高速数据同步通道同步数据,同时,两个主机的内网单元的内网主控芯片也通过背板的高速数据同步通道同步数据;所述磁盘存储阵列连接至所述背板存储最终数据。
3.根据权利要求2所述的一种安全云存储层,其特征在于,每个主机的外网单元还包括存储、内存和用来连接调试网络的千兆网络接口,并且所述存储、内存和千兆网络接口均与其对应外网单元的外网主控芯片连接。
4.根据权利要求3所述的一种安全云存储层,其特征在于, 每个主机的隔离单元还设置有缓存和FLASH,且所述缓存和FLASH均与其对应隔离单元的FPGA实现的隔离逻辑相连。
5.根据权利要求4所述的一种安全云存储层,其特征在于, 每个主机的内网单元还包括存储、内存和用于连接调试网络的千兆网络接口,且所述存储、内存和千兆网络接口均与其对应内网单元的内网主控芯片相连。
6.根据权利要求5所述的一种安全云存储层,其特征在于, 每个主机的内网单元还设置有SAS桥和Expander, 所述SAS桥与其对应内网单元的内网主控芯片相连,且所述SAS桥支持其主机和其他主机的内网单元的Expander。
7.根据权利要求6所述的一种安全云存储层,其特征在于,通过该安全云存储层进行数据写入时,若数据报文通过外网进入主机1的外网单元,主机1的外网单元会对数据进行分片包重组、非法包排查初步处理,同时主机1的外网单元通过背板的高速数据同步通道与主机2的外网单元同步该数据;之后,该数据分别从外网单元的外网控制芯片进入相对应的隔离单元的FPGA实现的隔离逻辑中,隔离单元根据策略匹配,对该数据进行加密、明通或丢弃处理;最后数据报文进入内网单元的内网控制芯片,内网单元解析数据指令,主机1和主机2的内网单元通过背板的高速数据同步通道完成同步后,将数据写入磁盘存储阵列;通过该安全云存储层进行数据读取时,经过上述相似流程,此时隔离单元执行解密操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410423472.8A CN104168324A (zh) | 2014-08-26 | 2014-08-26 | 一种安全云存储层 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410423472.8A CN104168324A (zh) | 2014-08-26 | 2014-08-26 | 一种安全云存储层 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104168324A true CN104168324A (zh) | 2014-11-26 |
Family
ID=51911945
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410423472.8A Pending CN104168324A (zh) | 2014-08-26 | 2014-08-26 | 一种安全云存储层 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104168324A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104460862A (zh) * | 2014-12-11 | 2015-03-25 | 四川中亚联邦科技有限公司 | 一种基于企业网盘应用的私有云存储一体机 |
| CN104539406A (zh) * | 2014-12-05 | 2015-04-22 | 浪潮集团有限公司 | 一种双控网络加密机系统 |
| CN104834484A (zh) * | 2015-05-11 | 2015-08-12 | 上海新储集成电路有限公司 | 基于嵌入式可编程逻辑阵列的数据处理系统及处理方法 |
| CN106170014A (zh) * | 2016-07-11 | 2016-11-30 | 安徽斗转星移信息科技有限公司 | 一种云存储系统和方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011094592A1 (en) * | 2010-01-29 | 2011-08-04 | Tokyo Electron Limited | Method and system for self-learning and self-improving a semiconductor manufacturing tool |
| CN102333103A (zh) * | 2010-07-12 | 2012-01-25 | 戴元顺 | 云存储系统 |
| CN202424770U (zh) * | 2011-12-08 | 2012-09-05 | 杭州翼鹏科技有限公司 | 一种网络数据安全隔离器 |
-
2014
- 2014-08-26 CN CN201410423472.8A patent/CN104168324A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011094592A1 (en) * | 2010-01-29 | 2011-08-04 | Tokyo Electron Limited | Method and system for self-learning and self-improving a semiconductor manufacturing tool |
| CN102333103A (zh) * | 2010-07-12 | 2012-01-25 | 戴元顺 | 云存储系统 |
| CN202424770U (zh) * | 2011-12-08 | 2012-09-05 | 杭州翼鹏科技有限公司 | 一种网络数据安全隔离器 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539406A (zh) * | 2014-12-05 | 2015-04-22 | 浪潮集团有限公司 | 一种双控网络加密机系统 |
| CN104460862A (zh) * | 2014-12-11 | 2015-03-25 | 四川中亚联邦科技有限公司 | 一种基于企业网盘应用的私有云存储一体机 |
| CN104834484A (zh) * | 2015-05-11 | 2015-08-12 | 上海新储集成电路有限公司 | 基于嵌入式可编程逻辑阵列的数据处理系统及处理方法 |
| CN104834484B (zh) * | 2015-05-11 | 2018-10-23 | 上海新储集成电路有限公司 | 基于嵌入式可编程逻辑阵列的数据处理系统及处理方法 |
| CN106170014A (zh) * | 2016-07-11 | 2016-11-30 | 安徽斗转星移信息科技有限公司 | 一种云存储系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10178073B2 (en) | Method to split data operational function among system layers | |
| EP3241113B1 (en) | Secure distributed backup for personal device and cloud data | |
| US20220198052A1 (en) | Data storage method, device, and storage medium | |
| CN107465656A (zh) | 一种基于云计算的安防监控大数据处理方法及系统 | |
| US20140223576A1 (en) | Method and System for Improving the Data Security of Cloud Computing | |
| WO2016140739A1 (en) | Systems and methods for securing data | |
| CN106599694A (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
| CN103238305A (zh) | 用于安全数据储存的加速器系统 | |
| WO2015196890A1 (zh) | 硬盘安全访问控制方法和硬盘 | |
| CN104301289B (zh) | 用于安全性信息交互的设备 | |
| CN104168324A (zh) | 一种安全云存储层 | |
| CN107533471A (zh) | 通过禁用不必要的功能改进虚拟化应用性能 | |
| US10530752B2 (en) | Efficient device provision | |
| US20180089417A1 (en) | Eye gazing passcode generation crossing augmented reality (ar) and virtual reality (vr) devices | |
| US10621055B2 (en) | Adaptive data recovery for clustered data devices | |
| CN104298472A (zh) | 一种分层实现计算虚拟化的方法与设备 | |
| US20220247554A1 (en) | Tenant-based database encryption | |
| PH12014501499B1 (en) | Secure data communications with network back end devices | |
| US20180007038A1 (en) | Monitoring encrypted communication sessions | |
| CN103237036A (zh) | 一种实现内外网物理隔断的装置 | |
| CN103209191A (zh) | 一种实现内外网物理隔断的方法 | |
| CN206759484U (zh) | Fc存储安全网关 | |
| CN102916960A (zh) | 一种应用于物理隔离网闸的策略同步方法及其系统 | |
| US11509469B2 (en) | Methods and systems for password recovery based on user location | |
| CN107066868A (zh) | 一种基于身份认证的数据保护方法与装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141126 |
|
| WD01 | Invention patent application deemed withdrawn after publication |