CN106534169A - 基于网络的存储加密方法 - Google Patents
基于网络的存储加密方法 Download PDFInfo
- Publication number
- CN106534169A CN106534169A CN201611111846.8A CN201611111846A CN106534169A CN 106534169 A CN106534169 A CN 106534169A CN 201611111846 A CN201611111846 A CN 201611111846A CN 106534169 A CN106534169 A CN 106534169A
- Authority
- CN
- China
- Prior art keywords
- data
- storage
- network
- message
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003860 storage Methods 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000005540 biological transmission Effects 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 19
- 238000013500 data storage Methods 0.000 claims description 22
- WGZDBVOTUVNQFP-UHFFFAOYSA-N N-(1-phthalazinylamino)carbamic acid ethyl ester Chemical compound C1=CC=C2C(NNC(=O)OCC)=NN=CC2=C1 WGZDBVOTUVNQFP-UHFFFAOYSA-N 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 7
- 238000007726 management method Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/161—Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
Abstract
本发明公开了一种基于网络的存储加密方法,其包括写数据流程、读数据流程,其中:写数据流程为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。本发明简化存储加密部署应用,有效防止存储数据在网络传输过程中的泄露,在加解密过程中,不需要中断用户业务数据。
Description
技术领域
本发明涉及一种存储加密方法,特别是涉及一种基于网络的存储加密方法。
背景技术
现有的存储数据加密更多的是采用在存储磁盘卷安装相应的加密插件或旁接一台加密硬件,执行对存储数据加密处理。此类加密技术更多需要人员进行干预。在加密时,存储卷将不可使用,非常影响用户的体验。
发明内容
本发明所要解决的技术问题是提供一种基于网络的存储加密方法,其简化存储加密部署应用,有效防止存储数据在网络传输过程中的泄露,在加解密过程中,不需要中断用户业务数据。
本发明是通过下述技术方案来解决上述技术问题的:一种基于网络的存储加密方法,其包括写数据流程、读数据流程,其中:
写数据流程,为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;
读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。
优选地,所述写数据流程主要包括如下步骤:
步骤一,拦截客户端发出的网络存储报文;
步骤二,对网络存储报文进行解析,根据协议头等信息解析出数据段部分;
步骤三,对解析的数据段部分进行加密;
步骤四,将加密数据回填到网络传输报文中;
步骤五,将加密后的报文透传到存储卷。
优选地,所述写数据中的网络存储协议包括应用协议、TCP/IP协议,其中:
应用协议,用于定义运行在不同端系统上的应用程序进程如何相互传递报文;
TCP/IP协议,用于定义电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
优选地,所述应用协议包括Gluster报文、CEPH报文,其中:
Gluster报文,用于Gluster数据加密;
CEPH报文,用于CEPH数据加密。
优选地,所述TCP/IP协议包括TCP报文、IP报文、MAC报文,其中:
TCP报文,用于完成第四层传输层所指定的功能;
IP报文,用于将邮件从一个Internet位置传递到另一个位置;
MAC报文,用于设置虚拟网络,对网络进行分组管理。
优选地,所述读数据流程主要包括如下步骤:
步骤十一,拦截存储卷发出携带存储数据的网络报文;
步骤十二,对网络存储报文解析解析,根据协议头等信息解析出数据段部分;
步骤十三,对数据段部分进行解密;
步骤十四,将解密数据回填到网络传输报文中;
步骤十五,将解密后的报文透传到客户端。
本发明的积极进步效果在于:本发明简化存储加密部署应用,基本或者不需要修改现有存储部署环境,实现数据的存储加密;由于采用在网络层进行加密,可以有效防止存储数据在网络传输过程中的泄露;在加解密过程中,不需要中断用户业务数据,保证客户的体验。
附图说明
图1为本发明基于网络的存储加密方法的加密示意图。
图2为本发明基于网络的存储加密方法的加密流程图。
图3为专用的网络加密存储系统的系统框架图。
图4为专用的网络加密存储系统的客户端处理流程图。
图5为专用的网络加密存储系统的存储卷处理流程图。
具体实施方式
下面结合附图给出本发明较佳实施例,以详细说明本发明的技术方案。
如图1、图2所示,本发明公开了一种基于网络的存储加密方法,其包括写数据流程、读数据流程,其中:
写数据流程(图2的实线方向),为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP(传输控制协议/网间协议)协议报文通过IP(网间协议)网络传输到存储卷;
读数据流程(图2的虚线方向),客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。
所述写数据流程主要包括如下步骤:
步骤一,拦截客户端发出的网络存储报文;
步骤二,对网络存储报文进行解析,根据协议头等信息解析出数据段部分;
步骤三,对解析的数据段部分进行加密;
步骤四,将加密数据回填到网络传输报文中;
步骤五,将加密后的报文透传到存储卷。
所述写数据中的网络存储协议包括应用协议、TCP/IP协议,其中:
应用协议,用于定义运行在不同端系统上的应用程序进程如何相互传递报文;
TCP/IP协议,用于定义电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
所述应用协议包括Gluster(分布式集群文件系统)报文、CEPH(分布式文件系统)报文,其中:
Gluster报文,用于Gluster数据加密;
CEPH报文,用于CEPH数据加密。
所述TCP/IP协议包括TCP(传输控制协议)报文、IP报文、MAC(物理)报文,其中:
TCP报文,用于完成第四层传输层所指定的功能;
IP报文,用于将邮件从一个Internet位置传递到另一个位置;
MAC报文,用于设置虚拟网络,对网络进行分组管理。
所述读数据流程主要包括如下步骤:
步骤十一,拦截存储卷发出携带存储数据的网络报文;
步骤十二,对网络存储报文解析解析,根据协议头等信息解析出数据段部分;
步骤十三,对数据段部分进行解密;
步骤十四,将解密数据回填到网络传输报文中;
步骤十五,将解密后的报文透传到客户端。
本发明主要针对现有流行的网络存储技术,如Gluster、CEPH等;针对存储技术特征,提出在网络协议层进行加、解密,加、解密部分为图1。
本发明通过在存储数据在网络传输过程中,对数据报文进行获取。解析出存储协议报文格式部分。对网络存储协议头进行解析,分析出存储数据偏移量,根据偏移量,将存储数据进行加密或解密处理。
实施举例:
如图3所示,本发明可用于设计一台专用的网络加密存储系统,硬件平台采用标准的x86架构,操作系统采用Linux。加密系统可以注册到Linux内核的的TCP/IP网络协议栈中。对所有存储协议报文进行拦截。
如图4所示,客户端至存储卷的处理流程包括以下步骤:
步骤二十一,拦截客户端请求报文;
步骤二十二,解析请求报文;
步骤二十三,请求报文是否带存储数据,如果不带到步骤二十五;
步骤二十四,获取存储数据部分;
步骤二十五,对存储数据进行加密;
步骤二十六,透传处理后的网络报文到存储卷。
如图5所示,存储卷至客户端的处理流程包括以下步骤:
步骤三十一,拦截存储卷响应报文;
步骤三十二,解析响应报文;
步骤三十三,响应报文是否带存储数据,如果不带到步骤三十五;
步骤三十四,获取存储数据部分;
步骤三十五,对存储数据进行解密;
步骤三十六,透传处理后的网络报文到客户端。
本发明专门针对网络存储技术方案而提出,存储数据在网络传输过程中进行截取,对数据存储部分进行加密,然后透传到存储卷。那么存储卷收到的存储数据将是加密后的数据,存储卷根据其技术原理,将加密数据存储到磁盘中。本发明可用于解决不同硬件和软件平台的异构性,而引起加密插件的兼容性问题。本发明对存储卷一端的软、硬件无需做任何改动。本发明部署在存储数据网络传输通道之间,所有存储数据都能进行获截并加密处理。该加密处理对用户来说是透明的,无感知。现有更多的存储加密技术都是事后加密,意思就是先将数据进行存储,然后由加密插件将数据读取出来加密然后再存储,而且加密过程中,存储数据将暂时不可用,将可能引起用户的业务短暂中断。而本发明采用实时加密技术,第一次存储到磁盘中的数据都是经过加密的,不会引起用户业务的中断。本发明在网络传输过程中对存储数据加密,可以防止存储数据在传输过程中的泄露。
以上所述的具体实施例,对本发明的解决的技术问题、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种基于网络的存储加密方法,其特征在于,其包括写数据流程、读数据流程,其中:
写数据流程,为写入数据到存储卷中,采用网络存储协议的客户端一旦写数据,存储协议客户端程序会将存储数据组装成对应的TCP/IP协议报文通过IP网络传输到存储卷;
读数据流程,客户端从存储卷读出数据,读取的数据同样组装成TCP/IP协议报文通过IP网络达到客户端。
2.如权利要求1所述的基于网络的存储加密方法,其特征在于,所述写数据流程主要包括如下步骤:
步骤一,拦截客户端发出的网络存储报文;
步骤二,对网络存储报文进行解析,根据协议头等信息解析出数据段部分;
步骤三,对解析的数据段部分进行加密;
步骤四,将加密数据回填到网络传输报文中;
步骤五,将加密后的报文透传到存储卷。
3.如权利要求1所述的基于网络的存储加密方法,其特征在于,所述写数据中的网络存储协议包括应用协议、TCP/IP协议,其中:
应用协议,用于定义运行在不同端系统上的应用程序进程如何相互传递报文;
TCP/IP协议,用于定义电子设备如何连入因特网,以及数据如何在它们之间传输的标准。
4.如权利要求3所述的基于网络的存储加密方法,其特征在于,所述应用协议包括Gluster报文、CEPH报文,其中:
Gluster报文,用于Gluster数据加密;
CEPH报文,用于CEPH数据加密。
5.如权利要求3所述的基于网络的存储加密方法,其特征在于,所述TCP/IP协议包括TCP报文、IP报文、MAC报文,其中:
TCP报文,用于完成第四层传输层所指定的功能;
IP报文,用于将邮件从一个Internet位置传递到另一个位置;
MAC报文,用于设置虚拟网络,对网络进行分组管理。
6.如权利要求1所述的基于网络的存储加密方法,其特征在于,所述读数据流程主要包括如下步骤:
步骤十一,拦截存储卷发出携带存储数据的网络报文;
步骤十二,对网络存储报文解析解析,根据协议头等信息解析出数据段部分;
步骤十三,对数据段部分进行解密;
步骤十四,将解密数据回填到网络传输报文中;
步骤十五,将解密后的报文透传到客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611111846.8A CN106534169A (zh) | 2016-12-06 | 2016-12-06 | 基于网络的存储加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611111846.8A CN106534169A (zh) | 2016-12-06 | 2016-12-06 | 基于网络的存储加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106534169A true CN106534169A (zh) | 2017-03-22 |
Family
ID=58341953
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611111846.8A Pending CN106534169A (zh) | 2016-12-06 | 2016-12-06 | 基于网络的存储加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106534169A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887402A (zh) * | 2021-01-25 | 2021-06-01 | 北京云思畅想科技有限公司 | 一种加解密方法、系统、电子设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1625689A1 (en) * | 2003-05-16 | 2006-02-15 | Jarmo Talvitie | Method and system for encryption and storage of information |
CN105391543A (zh) * | 2015-11-09 | 2016-03-09 | 中国电子科技集团公司第三十研究所 | 一种基于iSCSI网络存储的加密实现方法及实现系统 |
-
2016
- 2016-12-06 CN CN201611111846.8A patent/CN106534169A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1625689A1 (en) * | 2003-05-16 | 2006-02-15 | Jarmo Talvitie | Method and system for encryption and storage of information |
CN105391543A (zh) * | 2015-11-09 | 2016-03-09 | 中国电子科技集团公司第三十研究所 | 一种基于iSCSI网络存储的加密实现方法及实现系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887402A (zh) * | 2021-01-25 | 2021-06-01 | 北京云思畅想科技有限公司 | 一种加解密方法、系统、电子设备及存储介质 |
CN112887402B (zh) * | 2021-01-25 | 2021-12-28 | 北京云思畅想科技有限公司 | 一种加解密方法、系统、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7483423B2 (en) | Authenticity of communications traffic | |
US11095758B2 (en) | Methods and apparatus for virtualized hardware optimizations for user space networking | |
WO2017143611A1 (zh) | 用于处理vxlan报文的方法、设备及系统 | |
CN106254896B (zh) | 一种针对实时视频的分布式加密方法 | |
US8370627B2 (en) | Confidential communication method | |
EP2530883A1 (en) | Method, device and network system for transmitting datagram | |
CN105516157B (zh) | 基于独立加密的网络信息安全输入系统和方法 | |
CN109379380A (zh) | 数据传输方法、数据接收方法及远程打印系统、移动终端 | |
CN102227718A (zh) | 用于远程桌面协议的硬件加速 | |
US10826876B1 (en) | Obscuring network traffic characteristics | |
US11095626B2 (en) | Secure in-line received network packet processing | |
CN112003937B (zh) | 卫星数据传输方法、装置、计算机设备、存储介质 | |
CN110620762A (zh) | 基于rdma的数据传输方法、网卡、服务器及介质 | |
WO2018209138A1 (en) | Secure telecommunications and transactional platform | |
CN106534169A (zh) | 基于网络的存储加密方法 | |
CN108076106A (zh) | 一种面向云存储数据加解密的流式处理系统及方法 | |
CN105246172A (zh) | 移动终端网络传输方法 | |
CN109607341A (zh) | 基于区块链的电梯运转信息管理系统 | |
CN110958216B (zh) | 安全的在线网络分组传输 | |
US11546151B2 (en) | System for securing deployed security cameras | |
JP6602575B2 (ja) | 向上したセキュリティを提供するクラウド基盤メールシステムおよびメールサービス方法 | |
CN110445764A (zh) | 一种通信密保系统与方法、及加解密服务器 | |
CN105430430A (zh) | 智能终端网络通信方法 | |
US20200076778A1 (en) | Streaming digital content with content metadata | |
CN110191360A (zh) | 多媒体处理方法、多媒体播放方法以及对应方法的装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |