CN107517268A - 一种基于san存储的数据操作方法、装置及系统 - Google Patents
一种基于san存储的数据操作方法、装置及系统 Download PDFInfo
- Publication number
- CN107517268A CN107517268A CN201710790739.0A CN201710790739A CN107517268A CN 107517268 A CN107517268 A CN 107517268A CN 201710790739 A CN201710790739 A CN 201710790739A CN 107517268 A CN107517268 A CN 107517268A
- Authority
- CN
- China
- Prior art keywords
- data
- server
- disk
- target
- storage end
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于SAN存储的数据操作方法,包括:接收服务器发送的数据操作请求;判断与所述数据操作请求对应的服务器是否为目标服务器,如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。可见,本方案中,当服务器对存储端的数据进行操作之前,先判断该服务器是否有访问存储端数据的权限,如果有该权限,才允许操作存储端的数据。因此,避免了没有访问该存储端权限的非法人员对存储端的数据进行操作。提高了存储端数据的安全性,防止非法人员盗取存储端的数据而造成的数据泄露。本发明还公开了一种基于SAN存储的数据操作装置及系统,同样能实现上述技术效果。
Description
技术领域
本发明涉及云存储领域,特别涉及一种基于SAN存储的数据操作方法、装置及系统。
背景技术
随着互联网技术的发展,为现代企业带来信息化的飞跃。各领域持续的网络信息化,产生企业数据的井喷。SAN架构的存储网络,具有大容量,弹性扩展,设备整合,数据集中,可靠性高等特点,广泛应用于数据服务和数据备份等领域。因此,利用SAN存储存放数据是各类云存储的不二选择。
但是,现有技术中,各大企业采用SAN存储存放数据虽然合适,但是,由于SAN存储系统对连接数据中心的应用系统缺乏有效的认证和监管机制,非法者便有机会通过应用系统非法访问SAN存储系统中的机密数据。因此,导致企业在SAN存储存放的数据安全性较低,数据容易被泄露。而企业数据资产的泄露,会导致企业的经济和名誉受到很大的影响。
因此,如何提高SAN存储的数据的安全性,防止数据泄露是本领域人员需要解决的问题。
发明内容
本发明的目的是提供一种基于SAN存储的数据操作方法、装置及系统,解决了SAN存储的数据的安全性较低,防止了数据泄露的问题。
为实现上述目的,本发明实施例提供了如下技术方案:
一方面,本发明实施例提供一种基于SAN存储的数据操作方法,包括:
接收服务器发送的数据操作请求;
判断与所述数据操作请求对应的服务器是否为目标服务器,所述目标服务器为具有访问存储端权限的服务器;
如果是,则在所述目标服务器对应的存储端执行与所述数据操作请求对应的数据操作。
优选的,若所述数据操作请求为数据读请求,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作包括:
从存储端中确定与所述数据读请求对应的目标加密磁盘;
将所述目标加密磁盘进行解密得到第一数据;将所述第一数据进行解密后发送至所述目标服务器。
优选的,若所述数据操作请求为数据写请求,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作包括:
从所述目标服务器获取与所述数据写请求对应的第二数据;
从所述存储端中确定与所述数据写请求对应的目标磁盘;
判断所述目标磁盘是否被加密;
如果是,则将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;
如果否,则将所述第二数据加密后写入所述目标磁盘,并将所述目标磁盘进行加密。
优选的,当判定所述目标磁盘被加密后,所述方法还包括:
将所述目标磁盘进行共享;
将共享后的所述目标磁盘挂载至服务器,以使所述服务器直接对所述目标磁盘执行数据操作。
优选的,所述判断与所述数据操作请求对应的服务器是否为目标服务器包括:
判断与所述数据操作请求对应的服务器是否属于具有访问存储端权限的内部网络的服务器。
另一方面,本发明实施例提供一种基于SAN存储的数据操作装置,包括:
数据操作请求接收模块,用于接收服务器发送的数据操作请求;
目标服务器判断模块,用于判断所述数据操作请求接收模块接收到的与所述数据操作请求对应的服务器是否为目标服务器,所述目标服务器为具有访问存储端权限的服务器;
数据操作执行模块,用于目标服务器判断模块判定与所述数据操作请求对应的服务器是为目标服务器时,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
优选的,若所述数据操作请求接收模块接收到的数据操作请求为数据读请求时,所述数据操作执行模块包括:
目标加密磁盘确定单元,用于从存储端中确定与所述数据读请求对应的目标加密磁盘;
数据解密单元,用于将所述目标加密磁盘确定单元得到的所述目标加密磁盘进行解密得到第一数据;将所述第一数据进行解密后发送至所述目标服务器。
另一方面本发明实施例提供一种基于SAN存储的数据操作系统,包括:
服务器,用于发送数据操作请求;
存储加密机,用于接收所述服务器发送的数据操作请求后,判断所述数据操作请求是否为目标服务器的数据操作请求;如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
优选的,若所述数据操作请求为数据读请求,所述存储加密机还用于:确定与所述数据读请求对应的存储端的目标加密磁盘;将所述目标加密磁盘进行解密得到第一数据;将得到的所述第一数据进行解密后发送至所述目标服务器。
优选的,若所述数据操作请求为数据写请求,所述存储加密机还用于:
从所述目标服务器获取与所述数据写请求对应的第二数据;确定与所述数据写请求对应的存储端中的目标磁盘;判断所述目标磁盘是否被加密;
如果是,则将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;如果否,则将所述第二数据加密后写入至所述目标磁盘,并将所述目标磁盘进行加密。
本发明实施例所提供的一种基于SAN存储的数据操作方法,包括:接收服务器发送的数据操作请求;判断与所述数据操作请求对应的服务器是否为目标服务器,如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。可见,本方案中,当服务器对存储端的数据进行操作之前,先判断该服务器是否有访问存储端数据的权限,如果有该权限,才允许操作存储端的数据。因此,避免了没有访问该存储端权限的非法人员对存储端的数据进行操作。提高了存储端数据的安全性,防止非法人员盗取存储端的数据而造成的数据泄露。本发明还公开了一种基于SAN存储的数据操作装置及系统,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于SAN存储的数据操作方法流程图;
图2为本发明实施例提供的一种基于SAN存储的数据操作装置结构示意图;
图3为本发明实施例提供的一种基于SAN存储的数据操作系统结构示意图;
图4为本发明实施例提供的一种基于SAN存储的数据读写流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种基于SAN存储的数据操作方法、装置及系统。当服务器对存储端的数据进行操作之前,先判断该服务器是否有访问存储端数据的权限,如果有该权限,才允许操作存储端的数据。因此,避免了没有访问该存储端权限的非法人员对存储端的数据进行操作。提高了存储端数据的安全性,防止非法人员盗取存储端的数据而造成的数据泄露。
请参见图1,图1为本发明实施例提供的一种基于SAN存储的数据操作方法流程图,包括:
S101、接收服务器发送的数据操作请求;
具体的,本实施例中的服务器为客户端的应用服务器,例如企业内部电脑中安装的办公软件;其中,数据操作请求为用户通过应用服务器发送的,其可以为数据写请求,其具体为向数据存储端写入数据;也可以为数据读请求,其具体为从数据存储端读取数据,当然,也可以为其他类型的数据操作请求,例如数据删除请求、数据修改请求等,在此并不作限定。
S102、判断与所述数据操作请求对应的服务器是否为目标服务器,所述目标服务器为具有访问存储端权限的服务器;
具体的,本实施例中的目标服务器为具有访问存储端权限的服务器,其可以为特定局域网的服务器,也可以为非特定局域网的具有访问该存储端数据权限的服务器,在此并不作限定,其中,当该服务器访问存储端的存储数据时,可以根据该服务器的IP地址来判定是否属于目标服务器,也可以通过相应的访问存储端的对应访问密码来判定是否为目标服务器,具体的访问权限的设置可以由管理员自行设定,在此并不作限定。
S103、当判定与所述数据操作请求对应的服务器为目标服务器时,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
具体的,本实施例中的存储端为SAN存储系统中的存储磁盘,当目标服务器发送数据操作请求后,在对应的存储端执行与该数据操作请求对应的数据操作;例如,当目标服务器发送数据写请求时,需要在SAN存储系统中的第一磁盘写入数据,则通过该数据写请求对应SAN存储系统的第一磁盘,向该第一磁盘中写入数据。
需要说明的是,当判定发送数据操作请求的服务器不是目标服务器时,也就是说,该服务器不具有访问存储端存储数据的权限,则拒绝其进行与该服务器对应的数据操作。
可见,本发明实施例提供的一种基于SAN存储的数据操作方法,在接收服务器发送的数据操作请求后,先判断与所述数据操作请求对应的服务器是否为目标服务器,如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。可见,本方案中,当服务器对存储端的数据进行操作之前,先判断该服务器是否有访问存储端数据的权限,如果有该权限,才允许操作存储端的数据。因此,避免了没有访问该存储端权限的非法人员对存储端的数据进行操作。提高了存储端数据的安全性,防止非法人员盗取存储端的数据而造成的数据泄露。
基于上述实施例,在本实施例中,若所述数据操作请求为数据读请求,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作包括:
从存储端中确定与所述数据读请求对应的目标加密磁盘;
具体的,本实施例中的数据读请求为从SAN存储系统中的存储磁盘中读取数据的请求,针对该数据读请求中确定对应的目标加密磁盘;其中,目标加密磁盘为经过加密算法进行加密过的磁盘。
将所述目标加密磁盘进行解密得到第一数据;将所述第一数据进行解密后发送至所述目标服务器。
具体的,本实施例中,当接收到目标服务器发送的数据读请求时,则自动对目标加密磁盘进行解密得到经过加密的第一数据,再将第一数据进行解密后将得到的解密数据反馈至目标服务器。其中,对目标加密磁盘和第一数据的解密都是通过存储加密机自动完成的;具体为,接收到目标服务器发送的数据读请求时,存储加密机自动解析SCSI/FC协议,对目标加密磁盘和目标加密磁盘中的加密数据进行自动解密。当然,具体的自动解密的方式,根据对应的目标加密磁盘的目标加密磁盘中的数据的加密算法确定,在此并不作限定。
可见,本实施例中,当接收到目标服务器发送的数据读请求后,确定数据读请求确定对应的目标加密磁盘,对目标加密磁盘中存储的数据进行读取。因此,在用户具有访问存储端权限的情况下,读取存储端存储的经过加密的数据时,通过存储加密机自动对加密数据进行解密,再将解密后的数据反馈至目标服务器,整个解密过程不需要用户参与,非常方便。同时,通过对数据和数据所在的磁盘进行加密,即使非法者访问到存储端,但是由于数据和数据所在磁盘都被加密,从而非法者无法破解,从而提高了数据的安全性,防止数据泄露。
基于上述实施例,在本实施例中,若所述数据操作请求为数据写请求,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作包括:
从所述目标服务器获取与所述数据写请求对应的第二数据;
具体的,本实施例中的数据写请求为目标服务器向存储端写入数据的请求,第二数据为目标服务器向存储端写入的数据。
从所述存储端中确定与所述数据写请求对应的目标磁盘;
具体的,本实施例中的目标磁盘为SAN存储系统中的目标服务器写入数据的磁盘,其中,目标磁盘可以为经过加密算法加密过的磁盘,也可以为未经加密过的磁盘。
判断所述目标磁盘是否被加密;
如果是,则将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;
具体的,本实施例中的目标磁盘为经过加密的磁盘,其具有对应的加密名称和对应的加密算法,相应的,加密的第二数据也对应有加密算法。将加密过的目标磁盘进行解密时,由存储加密机根据对应的加密算法实现对目标磁盘的自动解密。对第二数据进行加密时,由存储加密机自动实现对数据的加密。
如果否,则将所述第二数据加密后写入所述目标磁盘,并将所述目标磁盘进行加密。
具体的,本实施例中的目标磁盘为未经加密过的目标磁盘,在向该目标磁盘中写入数据时,先对该写入的第二数据进行自动加密,将加密后的第二数据再写入至目标磁盘,并对该目标磁盘进行自动加密。
可见,本实施例中,当目标服务器写入数据至存储端时,先判断存储端的目标磁盘是否被加密过,如果已经被加密,则先对该目标磁盘进行解密后再写入加密的数据,再对该解密后的加密磁盘进行加密。若目标磁盘未被加密,则直接写入加密数据后再将目标磁盘加密。因此,当数据写入时,通过存储加密机自动对目标磁盘进行自动加密或解密、对数据进行自动加密,整个加密过程不需要用户参与,非常方便。同时,通过对数据和数据所在的磁盘进行加密,即使非法者访问到存储端,但是由于数据和数据所在磁盘都被加密,从而非法者无法破解,从而提高了数据的安全性,防止数据泄露。
基于上述实施例,本实施例中当判定所述目标磁盘被加密后,所述方法还包括:
将所述目标磁盘进行共享;
具体的,本实施例中的目标磁盘为被加密的磁盘。
将共享后的所述目标磁盘挂载至服务器,以使所述服务器直接对所述目标磁盘执行数据操作。
具体的,本实施例中的目标磁盘被共享后,IPSAN通过ISCSI获取该共享的加密磁盘,当然,也可以通过FCSAN通过HBA卡端口自动获取该共享的目标磁盘;其中,IPSAN为SAN存储系统中以IP网络构建的存储网络,ISCSI为互联网小型计算机系统接口,其为以太网中进行数据传输的标准。FCSAN为通过光纤交换机构建的存储网络。HBA卡端口为存储端和服务器提供输入/输出处理和物理连接的电路板或集成电路的适配器。利用IPSAN或FCSAN获取到共享的目标磁盘后直接挂载至服务器,从而通过服务器直接在目标磁盘执行数据操作。
基于上述实施例,在本实施例中,所述判断与所述数据操作请求对应的服务器是否为目标服务器包括:
判断与所述数据操作请求对应的服务器是否属于具有访问存储端权限的内部网络的服务器。
具体的,本实施例中的内部网络为特定的局域网,例如,企业内部的网络便可作为特定的局域网,在该企业内部网络中的所有服务器都具有访问该企业SAN存储的存储端数据的权限。
需要说明的是,具有访问存储端权限的内部网络的服务器都通过管理员预先设定访问权限,当未经设置访问权限的应用服务器接入内部网络时,由于管理员未预先设定其访问存储端数据的权限,因此,即使外部应用服务器接入至内部网络时也不能访问该存储端的数据。
可见,本发明实施例中,通过判断该服务器是否属于特定网络中的具有存储访问权限的服务器,只允许特定网络中的服务器访问存储端的数据,保证了数据的安全性。
下面对本发明实施例提供的一种基于SAN存储的数据操作装置进行介绍,下文描述的基于SAN存储的数据操作装置与上文描述的基于SAN存储的数据操作方法可以互相参照。
请参见图2,图2为本发明实施例提供的一种基于SAN存储的数据操作装置,包括:
数据操作请求接收模块100,用于接收服务器发送的数据操作请求;
目标服务器判断模块200,用于判断所述数据操作请求接收模块100接收到的与所述数据操作请求对应的服务器是否为目标服务器,所述目标服务器为具有访问存储端权限的服务器;
数据操作执行模块300,用于目标服务器判断模块200判定与所述数据操作请求对应的服务器是为目标服务器时,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
可见,本实施例中,数据操作请求接收模块100接收服务器发送的数据操作请求后,目标服务器判断模块200判断与所述数据操作请求对应的服务器是否为目标服务器,如果是,数据操作执行模块300在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。可见,本方案中,当服务器对存储端的数据进行操作之前,先判断该服务器是否有访问存储端数据的权限,如果有该权限,才允许操作存储端的数据。因此,避免了没有访问该存储端权限的非法人员对存储端的数据进行操作。提高了存储端数据的安全性,防止非法人员盗取存储端的数据而造成的数据泄露。
基于上述实施例,在本实施例中,所述数据操作执行模块300包括:
目标加密磁盘确定单元,用于从存储端中确定与所述数据读请求对应的目标加密磁盘;
数据解密单元,用于将所述目标加密磁盘确定单元得到的所述目标加密磁盘进行解密得到第一数据;将所述第一数据进行解密后发送至所述目标服务器。
基于上述实施例,在本实施例中,所述数据操作执行模块300包括:
第二数据获取单元,用于从所述目标服务器获取与所述数据写请求对应的第二数据;
目标磁盘确定单元,用于从所述存储端中确定与所述数据写请求对应的目标磁盘;
加密判断单元,用于判断所述目标磁盘是否被加密;
磁盘解密单元,用于所述加密判断单元判定所述目标磁盘被加密后,将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;
加密单元,用于所述加密判断单元判定所述目标磁盘未被加密时,将所述第二数据加密后写入所述目标磁盘,并将所述目标磁盘进行加密。
基于上述实施例,在本实施例中,还包括:
目标磁盘共享单元,用于将所述目标磁盘进行共享;
数据操作执行单元,用于将目标磁盘共享单元共享后的所述目标磁盘挂载至服务器,以使所述服务器直接对所述目标磁盘执行数据操作。
基于上述实施例,在本实施例中,目标服务器判断模块200包括:
内部网络服务器判断单元,用于判断与所述数据操作请求对应的服务器是否属于具有访问存储端权限的内部网络的服务器。
下面对本发明实施例提供的基于SAN存储的数据操作系统进行介绍,下文描述的基于SAN存储的数据操作系统与上文描述的基于SAN存储的数据操作方法及系统可以互相参照。
请参见图3,图3为本发明实施例提供的一种基于SAN存储的数据操作系统,包括:
服务器10,用于发送数据操作请求;
存储加密机20,用于接收所述服务器发送的数据操作请求后,判断所述数据操作请求是否为目标服务器的数据操作请求;如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
基于上述实施例,在本实施例中,若所述数据操作请求为数据读请求,所述存储加密机还用于:确定与所述数据读请求对应的存储端的目标加密磁盘;将所述目标加密磁盘进行解密得到第一数据;将得到的所述第一数据进行解密后发送至所述目标服务器。
基于上述实施例,在本实施例中,若所述数据操作请求为数据写请求,所述存储加密机还用于:从所述目标服务器获取与所述数据写请求对应的第二数据;确定与所述数据写请求对应的存储端中的目标磁盘;判断所述目标磁盘是否被加密;如果是,则将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;如果否,则将所述第二数据加密后写入至所述目标磁盘,并将所述目标磁盘进行加密。
可见,本发明实施例提供的基于SAN存储的数据操作系统,存储加密机20接收服务器10发送的数据操作请求后,先判断与所述数据操作请求对应的服务器是否为目标服务器,如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。可见,本方案中,当服务器对存储端的数据进行操作之前,先判断该服务器是否有访问存储端数据的权限,如果有该权限,才允许操作存储端的数据。因此,避免了没有访问该存储端权限的非法人员对存储端的数据进行操作。提高了存储端数据的安全性,防止非法人员盗取存储端的数据而造成的数据泄露。
下面结合本发明实施例在具体应用场景中的应用,来说明该基于SAN存储的数据操作方法;其中,基于SAN存储分为IPSAN存储网络和FCSAN存储网络,基于上述两种网络,执行的数据操作请求为数据写请求和数据读请求。
请参见图4,图4为本发明实施例提供的一种基于SAN存储的数据读写流程图;其中,灰色字体代表数据读过程,黑色字体代表数据写过程。在进行数据读写操作之前,首先对SAN存储系统的存储端进行配置,具体为:在存储端创建系统卷组VG,在所创建的VG中创建多个存储区域LV;将创建的LV通过IPSAN或FCSAN应用映射至创建的IP/FC主机组,其中,IP/FC主机组中添加有主机,主机可分为应用服务器和存储加密机,其中,无需加密设置的磁盘将应用服务器作为主机,加密设置的磁盘将存储加密机作为主机。其次,对存储加密机进行配置,登陆存储加密机后,IPSAN将应用服务器发送的存储IP地址添加至存储加密机的“目标主机地址中”,管理员单击“发现磁盘”则在下拉列表中显示后端存储创建的磁盘;或者是通过FCSAN进入FC共享界面,通过群组界面的“初始化HBA卡端口”对HBA端口进行初始化,然后进入磁盘显示页面,在信息列表中便会显示后端存储映射的磁盘,管理员单击该磁盘后,选择创建加密磁盘,输入加密磁盘名称和算法以及是否要启用多路径,单击创建后便可完成加密磁盘的创建。然后,可以将该加密磁盘进行共享;此时,IPSAN添加允许访问的服务器IP地址或者FCSAN添加允许访问的服务器HBA卡端口号。至此,存储加密机的配置完成。最后,对服务器端进行配置,首先IPSAN通过ISCSI发起程序获取存储加密机共享磁盘,将其格式化为本地磁盘后,便可正常使用,或者是FCSAN通过HBA卡端口自动获取存储加密机共享磁盘,并格式化为本地磁盘使用。
需要说明的是,在存储加密机配置过程中,密钥管理由存储加密机自带密码卡生成,在“密钥管理”页面,单击“初始化”,待初始化成功后存储加密机内部将产生所需密钥,但是不能重复存储加密机的密钥初始化操作,否则将会导致加密磁盘无法使用。
配置完成后,当应用服务器1或应用服务器2发送数据读请求时,通过网络交换机或光纤交换机发送至存储加密机,存储加密机判定应用服务器1或应用服务器2具有访问存储端的权限后,将该数据读请求发送至存储端,存储端反馈加密数据至存储加密机,存储加密机将该加密数据进行解密后通过网络交换机或光纤交换机直接将数据反馈至应用服务器1或应用服务器2。当应用服务器1或应用服务器2发送数据写请求时,通过网络交换机或光纤交换机发送至存储加密机,存储加密机判定应用服务器1或应用服务器2具有访问存储端的权限后,将该数据写请求发送至存储端,存储端反馈可以数据写入并将该反馈发送至存储加密机,存储加密机通过网络交换机或光纤交换机将该反馈发送至应用服务器1或应用服务器2,此时,应用服务器1或应用服务器2将写入的数据通过网络交换机或光纤交换机发送至存储加密机,若应用服务器1或应用服务器2写入数据的磁盘未加密,则通过存储端将需要加密的磁盘映射至存储加密机,通过该加密机将数据加密后存储至磁盘,再通过存储加密机将该磁盘进行加密。从而提高数据的安全性。
需要说明的是,本应用场景只是对数据的读写操作进行了说明,对应的,也可以应用于其他类型的数据操作,在此并不作限定。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于SAN存储的数据操作方法,其特征在于,所述方法包括:
接收服务器发送的数据操作请求;
判断与所述数据操作请求对应的服务器是否为目标服务器,所述目标服务器为具有访问存储端权限的服务器;
如果是,则在所述目标服务器对应的存储端执行与所述数据操作请求对应的数据操作。
2.根据权利要求1所述的基于SAN存储的数据操作方法,其特征在于,若所述数据操作请求为数据读请求,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作包括:
从存储端中确定与所述数据读请求对应的目标加密磁盘;
将所述目标加密磁盘进行解密得到第一数据;
将所述第一数据进行解密后发送至所述目标服务器。
3.根据权利要求1所述的基于SAN存储的数据操作方法,其特征在于,若所述数据操作请求为数据写请求,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作包括:
从所述目标服务器获取与所述数据写请求对应的第二数据;
从所述存储端中确定与所述数据写请求对应的目标磁盘;
判断所述目标磁盘是否被加密;
如果是,则将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;
如果否,则将所述第二数据加密后写入所述目标磁盘,并将所述目标磁盘进行加密。
4.根据权利要求3所述的基于SAN存储的数据操作方法,其特征在于,当判定所述目标磁盘被加密后,所述方法还包括:
将所述目标磁盘进行共享;
将共享后的所述目标磁盘挂载至服务器,以使所述服务器直接对所述目标磁盘执行数据操作。
5.根据权利要求1-4任意一项所述的基于SAN存储的数据操作方法,其特征在于,所述判断与所述数据操作请求对应的服务器是否为目标服务器包括:
判断与所述数据操作请求对应的服务器是否属于具有访问存储端权限的内部网络的服务器。
6.一种基于SAN存储的数据操作装置,其特征在于,包括:
数据操作请求接收模块,用于接收服务器发送的数据操作请求;
目标服务器判断模块,用于判断所述数据操作请求接收模块接收到的与所述数据操作请求对应的服务器是否为目标服务器,所述目标服务器为具有访问存储端权限的服务器;
数据操作执行模块,用于目标服务器判断模块判定与所述数据操作请求对应的服务器是为目标服务器时,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
7.根据权利要求6所述的基于SAN存储的数据操作装置,其特征在于,若所述数据操作请求接收模块接收到的数据操作请求为数据读请求时,所述数据操作执行模块包括:
目标加密磁盘确定单元,用于从存储端中确定与所述数据读请求对应的目标加密磁盘;
数据解密单元,用于将所述目标加密磁盘确定单元得到的所述目标加密磁盘进行解密得到第一数据;将所述第一数据进行解密后发送至所述目标服务器。
8.一种基于SAN存储的数据操作系统,其特征在于,包括:
服务器,用于发送数据操作请求;
存储加密机,用于接收所述服务器发送的数据操作请求后,判断所述数据操作请求是否为目标服务器的数据操作请求;如果是,则在所述目标服务器对应的存储端执行所述数据操作请求对应的数据操作。
9.根据权利要求8所述的基于SAN存储的数据操作系统,其特征在于,
若所述数据操作请求为数据读请求,所述存储加密机还用于:确定与所述数据读请求对应的存储端的目标加密磁盘;将所述目标加密磁盘进行解密得到第一数据;将得到的所述第一数据进行解密后发送至所述目标服务器。
10.根据权利要求8所述的基于SAN存储的数据操作系统,其特征在于,
若所述数据操作请求为数据写请求,所述存储加密机还用于:从所述目标服务器获取与所述数据写请求对应的第二数据;从所述存储端中确定与所述数据写请求对应的目标磁盘;判断所述目标磁盘是否被加密;
如果是,则将所述目标磁盘解密,并将所述第二数据进行加密后写入解密后的目标磁盘;如果否,则将所述第二数据加密后写入所述目标磁盘,并将所述目标磁盘进行加密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710790739.0A CN107517268A (zh) | 2017-09-05 | 2017-09-05 | 一种基于san存储的数据操作方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710790739.0A CN107517268A (zh) | 2017-09-05 | 2017-09-05 | 一种基于san存储的数据操作方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107517268A true CN107517268A (zh) | 2017-12-26 |
Family
ID=60724940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710790739.0A Pending CN107517268A (zh) | 2017-09-05 | 2017-09-05 | 一种基于san存储的数据操作方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107517268A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023056742A1 (zh) * | 2021-10-09 | 2023-04-13 | 苏州浪潮智能科技有限公司 | 一种云硬盘加解密方法、装置、系统及可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101291345A (zh) * | 2008-06-02 | 2008-10-22 | 杭州华三通信技术有限公司 | 存储资源访问控制方法、ip存储系统、存储设备和主机 |
CN101527728A (zh) * | 2009-04-28 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种带外容灾方法和设备 |
CN101763319A (zh) * | 2010-01-15 | 2010-06-30 | 蓝盾信息安全技术股份有限公司 | 一种磁盘全盘加密系统及方法 |
CN101841412A (zh) * | 2010-04-09 | 2010-09-22 | 兰州韦尔斯信息科技有限公司 | 一种存储域网络环境加密方法及装置 |
CN103369016A (zh) * | 2012-04-11 | 2013-10-23 | 长春易申软件有限公司 | 实现基于iSCSI的网络存储协议栈的方法 |
CN103701792A (zh) * | 2013-12-20 | 2014-04-02 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
CN103905466A (zh) * | 2014-04-22 | 2014-07-02 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
CN105117660A (zh) * | 2015-08-04 | 2015-12-02 | 杭州朗和科技有限公司 | 一种数据库系统启动方法和设备 |
-
2017
- 2017-09-05 CN CN201710790739.0A patent/CN107517268A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101291345A (zh) * | 2008-06-02 | 2008-10-22 | 杭州华三通信技术有限公司 | 存储资源访问控制方法、ip存储系统、存储设备和主机 |
CN101527728A (zh) * | 2009-04-28 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种带外容灾方法和设备 |
CN101763319A (zh) * | 2010-01-15 | 2010-06-30 | 蓝盾信息安全技术股份有限公司 | 一种磁盘全盘加密系统及方法 |
CN101841412A (zh) * | 2010-04-09 | 2010-09-22 | 兰州韦尔斯信息科技有限公司 | 一种存储域网络环境加密方法及装置 |
CN103369016A (zh) * | 2012-04-11 | 2013-10-23 | 长春易申软件有限公司 | 实现基于iSCSI的网络存储协议栈的方法 |
CN103701792A (zh) * | 2013-12-20 | 2014-04-02 | 中电长城网际系统应用有限公司 | 可信授权方法、系统、可信安全管理中心和服务器 |
CN103905466A (zh) * | 2014-04-22 | 2014-07-02 | 郭伟 | 一种存储系统数据访问控制系统及其方法 |
CN105117660A (zh) * | 2015-08-04 | 2015-12-02 | 杭州朗和科技有限公司 | 一种数据库系统启动方法和设备 |
Non-Patent Citations (3)
Title |
---|
丁久荣,张玉梅: "《计算机网络安全项目化教程》", 30 April 2015 * |
付园园: ""SAN存储网络安全解决方案的研究"", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
孙百昌: "《互联网+大数据在执法办案中的应用》", 30 August 2016 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023056742A1 (zh) * | 2021-10-09 | 2023-04-13 | 苏州浪潮智能科技有限公司 | 一种云硬盘加解密方法、装置、系统及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200242218A1 (en) | Systems and methods for providing identity assurance for decentralized applications | |
CA2939925C (en) | Securing client-specified credentials at cryptographically attested resources | |
US9735962B1 (en) | Three layer key wrapping for securing encryption keys in a data storage system | |
CN101449275B (zh) | 用于存储装置的安全访问控制的系统和方法 | |
US8170213B1 (en) | Methodology for coordinating centralized key management and encryption keys cached through proxied elements | |
US10726137B2 (en) | Copy protection for secured files | |
JP2020527791A (ja) | セキュア実行プラットフォームのクラスタ | |
US10742628B2 (en) | Secured cloud storage broker with enhanced security | |
US11256815B2 (en) | Object storage system with secure object replication | |
CN102945355A (zh) | 基于扇区映射的快速数据加密策略遵从 | |
JP2002538702A (ja) | 安全な情報の取り扱いのための方法及びシステム | |
JP7388803B2 (ja) | セキュア・ゲストのセキュア鍵をハードウェア・セキュリティ・モジュールに結びつけること | |
CN102855452A (zh) | 基于加密组块的快速数据加密策略遵从 | |
JP2011048661A (ja) | 仮想サーバ暗号化システム | |
CN111107044A (zh) | 数据安全管理方法和信息化管理平台 | |
CN109635581A (zh) | 一种数据处理方法、设备、系统及存储介质 | |
CN113498589A (zh) | Api和加密密钥机密管理系统和方法 | |
JP2006155554A (ja) | データベース暗号化及びアクセス制御方法、セキュリティ管理装置 | |
CN109726575A (zh) | 一种数据加密方法及装置 | |
CN107517268A (zh) | 一种基于san存储的数据操作方法、装置及系统 | |
CN109684860A (zh) | 一种基于业务关系的数据加密方法及装置 | |
CN113961970B (zh) | 跨网段网盘登录身份验证方法、装置、网盘及存储介质 | |
CN112784321B (zh) | 磁盘资安系统 | |
WO2017183089A1 (ja) | 計算機、計算機システム、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171226 |