技术领域
[0001] 本
发明涉及远程镜像技术领域,特别是涉及一种基于iSCSI的远程镜像方法及系统。
背景技术
[0002] 信息化建设推动数据资产的发展,为保护信息的安全,互联网小型
计算机系统接口iSCSI远程镜像技术被用于数据容灾系统,iSCSI使用标准的TCP/IP协议,将现有SCSI接口与以太网技术结合,在IP网络上传送SCSI数据和命令,因此普通IP网络上的攻击手段都适用于iSCSI环境,攻击者也可以通过远程容灾备份或数据镜像来窃取保存在存储设备中的数据,如此数据存储的安全性很低。传统的数据防护为加密通信线路和存储设备上的数据,都是基于应用主机进行加解密运算,导致
服务器和客户端负载增大,系统的读写性能很低。
发明内容
[0003] 本发明的目的是提供一种基于iSCSI的远程镜像方法及系统,以实现保证网络数据传输和存储的安全性,并提高系统的读写性能。
[0004] 为解决上述技术问题,本发明提供一种基于iSCSI的远程镜像方法,该方法包括:
[0005] 客户端将关键应用数据存储于本地存储设备,并复制一份关键应用数据,将关键应用数据的复制文本发送至加密
中间件;
[0006] 所述加密中间件对所述复制文本进行加密生成数据密文,将所述数据密文通过IP网络发送至远程服务器;
[0007] 所述远程服务器将所述数据密文存储于SCSI磁盘阵列作为镜像数据。
[0008] 优选的,所述方法还包括:
[0009] 当所述本地存储设备中的关键应用数据丢失时,所述客户端通过IP网络向所述远程服务器发送镜像数据
请求;
[0010] 所述远程服务器接收所述镜像数据请求,将所述数据密文发送至所述加密中间件;
[0011] 所述加密中间件对所述数据密文进行解密,将所述数据密文解密成可用的数据明文,将所述数据明文发送至所述客户端。
[0012] 优选的,所述加密中间件包括目标
驱动器模
块、tgt
内核模块、用户空间守护
进程模块、加解密模块、启动器模块和以太网适配器模块。
[0013] 优选的,所述加密中间件对所述复制文本进行加密生成数据密文,将所述数据密文通过IP网络发送至远程服务器,包括:
[0014] 所述目标驱动器模块接收所述复制文本,激活SCSI命令和任务管理请求,将所述SCSI命令、任务管理请求及复制文本发送至所述tgt内核模块;
[0015] 所述tgt内核模块将所述SCSI命令、任务管理请求及复制文本发送至所述用户空间
守护进程模块;
[0016] 所述用户空间守护进程模块接收所述任务管理请求和SCSI命令,调用所述加解密模块对所述复制文本进行加密生成数据密文;
[0017] 所述用户空间守护进程模块将所述数据密文发送至所述启动器模块;
[0018] 所述启动器模块利用以太网适配器模块将所述数据密文发送至远程服务器。
[0019] 优选的,所述方法还包括:
[0020] 加密中间件接收所述客户端发送的读写请求,判断所述读写请求的读写操作码为写操作码2a还是读操作码28;
[0021] 若判断所述读写操作码为写操作码2a,所述加密中间件对所述客户端传来的数据信息进行加密,将加密后的密文信息发送至所述远程服务器进行存储备份;
[0022] 若判断所述读写操作码为读操作码28,所述加密中间件从所述远程服务器中读取密文信息,对所述密文信息进行解密操作,将解密后生成的明文信息发送至所述客户端。
[0023] 本发明还提供一种基于iSCSI的远程镜像系统,该系统包括:
[0024] 客户端,用于将关键应用数据存储于本地存储设备,并复制一份关键应用数据,将关键应用数据的复制文本发送至加密中间件;
[0025] 所述本地存储设备,用于存储关键应用数据;
[0026] 所述加密中间件,用于对所述复制文本进行加密生成数据密文,将所述数据密文通过IP网络发送至远程服务器;
[0027] 所述远程服务器,用于将所述数据密文存储于SCSI磁盘阵列作为镜像数据;
[0028] 所述SCSI磁盘阵列,用于存储所述数据密文。
[0029] 优选的,所述客户端还用于当所述本地存储设备中的关键应用数据丢失时,通过IP网络向所述远程服务器发送镜像数据请求;
[0030] 所述远程服务器还用于接收所述镜像数据请求,将所述数据密文发送至所述加密中间件;
[0031] 所述加密中间件还用于对所述数据密文进行解密,将所述数据密文解密成可用的数据明文,将所述数据明文发送至所述客户端。
[0032] 优选的,所述加密中间件包括目标驱动器模块、tgt内核模块、用户空间守护进程模块、加解密模块、启动器模块和以太网适配器模块。
[0033] 优选的,所述目标驱动器模块用于接收所述复制文本,激活SCSI命令和任务管理请求,将所述SCSI命令、任务管理请求及复制文本发送至所述tgt内核模块;
[0034] 所述tgt内核模块用于将所述SCSI命令、任务管理请求及复制文本发送至所述用户空间守护进程模块;
[0035] 所述用户空间守护进程模块用于接收所述任务管理请求和SCSI命令,调用所述加解密模块对所述复制文本进行加密生成数据密文;
[0036] 所述用户空间守护进程模块用于将所述数据密文发送至所述启动器模块;
[0037] 所述启动器模块用于利用以太网适配器模块将所述数据密文发送至远程服务器。
[0038] 优选的,所述加密中间件还包括:
[0039] 接收模块,用于接收所述客户端发送的读写请求,判断所述读写请求的读写操作码为写操作码2a还是读操作码28;
[0040] 第一判断模块,用于若判断所述读写操作码为写操作码2a,所述加密中间件对所述客户端传来的数据信息进行加密,将加密后的密文信息发送至所述远程服务器进行存储备份;
[0041] 第二判断模块,用于若判断所述读写操作码为读操作码28,所述加密中间件从所述远程服务器中读取密文信息,对所述密文信息进行解密操作,将解密后生成的明文信息发送至所述客户端。
[0042] 本发明所提供的一种基于iSCSI的远程镜像方法及系统,客户端将关键应用数据存储于本地存储设备,并复制一份关键应用数据,将关键应用数据的复制文本发送至加密中间件;所述加密中间件对所述复制文本进行加密生成数据密文,将所述数据密文通过IP网络发送至远程服务器;所述远程服务器将所述数据密文存储于SCSI磁盘阵列作为镜像数据。可见,加密中间件能够进行加密过程,即内嵌加密机制,客户端和服务器端不进行加解密运算,只进行
访问控制,并且加密中间件对复制文本进行加密生成数据密文,将数据密文通过IP网络发送至远程服务器,远程服务器将所述数据密文存储于SCSI磁盘阵列作为镜像数据,即整个过程在iSCSI层进行加密操作,加解密效率高,密钥管理安全方便,数据传输和存储的安全性很高,而且,由于数据加解密运算是CPU密集型运算,因此加密中间件分担了客户端和服务器端的CPU资源占用率,在一定程度上提高系统的读写性能,所以实现保证网络数据传输和存储的安全性,并提高系统的读写性能。
附图说明
[0043] 为了更清楚地说明本发明
实施例或
现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0044] 图1为本发明所提供的一种基于iSCSI的远程镜像方法的
流程图;
[0045] 图2为镜像过程中存取数据的流程示意图;
[0046] 图3为加密中间件主要功能模块示意图;
[0047] 图4为加密中间件的
数据处理流程示意图;
[0049] 图6为本发明提供的一种基于iSCSI的远程镜像系统的结构示意图。
具体实施方式
[0050] 本发明的核心是提供一种基于iSCSI的远程镜像方法及系统,以实现保证网络数据传输和存储的安全性,并提高系统的读写性能。
[0051] 为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0052] 请参考图1,图1为本发明所提供的一种基于iSCSI的远程镜像方法的流程图,该方法包括:
[0053] S11:客户端将关键应用数据存储于本地存储设备,并复制一份关键应用数据,将关键应用数据的复制文本发送至加密中间件;
[0054] S12:加密中间件对复制文本进行加密生成数据密文,将数据密文通过IP网络发送至远程服务器;
[0055] S13:远程服务器将数据密文存储于SCSI磁盘阵列作为镜像数据。
[0056] 其中,客户端和本地存储设备组成本地系统,本地系统和加密中间件位于本地网络;远程服务器和SCSI磁盘阵列组成镜像系统,镜像系统位于远程网络;本地网络与远程网络之间通过IP网络进行通信;加密中间件内嵌加密机制,对数据进行加解密处理。
[0057] 本发明所提供的一种基于iSCSI的远程镜像方法,加密中间件能够进行加密过程,即内嵌加密机制,客户端和服务器端不进行加解密运算,只进行访问控制,并且加密中间件对复制文本进行加密生成数据密文,将数据密文通过IP网络发送至远程服务器,远程服务器将数据密文存储于SCSI磁盘阵列作为镜像数据,即整个过程在iSCSI层进行加密操作,加解密效率高,密钥管理安全方便,数据传输和存储的安全性很高,而且,由于数据加解密运算是CPU密集型运算,因此加密中间件分担了客户端和服务器端的CPU资源占用率,在一定程度上提高系统的读写性能,所以实现保证网络数据传输和存储的安全性,并提高系统的读写性能。
[0058] 优选的,所述方法还包括以下步骤:
[0059] S21:当本地存储设备中的关键应用数据丢失时,客户端通过IP网络向远程服务器发送镜像数据请求;
[0060] S22:远程服务器接收镜像数据请求,将数据密文发送至加密中间件;
[0061] S22:加密中间件对数据密文进行解密,将数据密文解密成可用的数据明文,将数据明文发送至客户端。
[0062] 具体的,加密中间件包括目标驱动器模块、tgt内核模块、用户空间守护进程模块、加解密模块、启动器模块和以太网适配器模块。其中,加解密模块包括加密单元和解密单元。
[0063] 基于步骤S12,步骤S12优选采用以下步骤实现:
[0064] S1:目标驱动器模块接收复制文本,激活SCSI命令和任务管理请求,将SCSI命令、任务管理请求及复制文本发送至tgt内核模块;
[0065] S2:tgt内核模块将SCSI命令、任务管理请求及复制文本发送至用户空间守护进程模块;
[0066] S3:用户空间守护进程模块接收任务管理请求和SCSI命令,调用加解密模块对复制文本进行加密生成数据密文;
[0067] S4:用户空间守护进程模块将数据密文发送至启动器模块;
[0068] S5:启动器模块利用以太网适配器模块将数据密文发送至远程服务器。
[0069] 优选的,所述方法还包括以下步骤:
[0070] S31:加密中间件接收客户端发送的读写请求,判断读写请求的读写操作码为写操作码2a还是写操作码28;
[0071] S32:若判断读写操作码为写操作码2a,加密中间件对客户端传来的数据信息进行加密,将加密后的密文信息发送至远程服务器进行存储备份;
[0072] S33:若判断读写操作码为读操作码28,加密中间件从远程服务器中读取密文信息,对密文信息进行解密操作,将解密后生成的明文信息发送至客户端。
[0073] 详细的,在基于iSCSI的远程镜像方法中,利用本地网络、IP网络、远程网络这三部分。本地网络与远程网络之间通过IP网络进行通信。本地系统与加密中间件位于本地网络,镜像系统位于远程网络。本地系统主要包括客户机与本地存储设备,镜像系统主要包括服务器和SCSI磁盘阵列。
[0074] 加密中间件内嵌加密机制,客户端和服务器端不进行加解密运算,只进行访问控制,在iSCSI层进行加密操作,加解密效率高,密钥管理安全方便。由于数据加解密运算是CPU密集型运算,因此加密中间件分担了客户端和服务器端的CPU资源占用率,在一定程度上提高系统的读写性能。加密中间件独立于前端主机和后端存储,易于部署。利用加密中间件实现的远程镜像过程不仅保证了网络数据传输和存储的安全性,而且在一定程度上提高了系统性能。服务器端即指远程服务器。
[0075] 镜像过程中存取数据的流程如图2所示。客户端将关键应用数据先在本地存储设备中存储一份,关键应用数据为iSCSI数据,同时客户端将关键应用数据复制一份经过加密中间件加密处理变为数据密文,数据密文为加密的iSCSI数据块,数据密文经过IP网络发送给远程服务器,远程服务器将收到的数据密文存储于SCSI磁盘阵列中用于容灾备份。客户端先从本地存储设备读取数据即关键应用数据进行使用,当地域性灾难发生,造成本地存储设备中数据丢失和破坏,导致本地系统中的存储数据失去使用价值。此时,客户端读取远程服务器存储在SCSI磁盘阵列中备份的数据密文,数据密文流经加密中间件被解密为可用的数据明文,供客户端使用或用于恢复本地存储设备中的数据,从而保证工作的正常进行。
[0076] 加密中间件的加解密功能模块主要基于目标器
框架模块中数据流的读写走向实现,加解密功能模块的
算法通过封装OpenSSL库中的AES算法实现。加密中间件主要功能模块如图3。从功能模块可以看出加密中间件独立于前机和后端服务器,内有独立目标器模块和启动器模块相连对整个系统是透明的。客户端向远程服务器发送SCSI镜像数据即SCSI数据的复制文本时,加密中间件内功能模块间的交互关系如下:首先客户端通过本地网络将数据信息即SCSI镜像数据送至加密中间件的tgt架构的目标驱动器模块(targetdrivers),目标驱动器模块负责管理向启动器模块传送连接请求和指令,以及
硬件与tgt内核模块(tgtcore)之间或互联子系统与tgt内核模块之间的任务管理请求。数据信息继续上传到tgt内核模块,tgt内核模块是目标驱动器模块与用户空间守护进程模块(tgtd)之间一个简单的连接器,目标驱动器模块通过网络连接接口向用户空间守护进程模块传送SCSI命令和任务管理请求。最后数据信息到达用户空间守护进程模块,该模块是用户空间的进程模块,它独立于传输协议和目标驱动器模块,是SCSI状态机,处理SCSI命令和任务管理请求,该模块调用加解密模块(Encrypt&decrypt)中的加密单元对数据信息进行加密处理,加解密模块包括加密单元和解密单元。加密后的数据密文被传送到启动器模块(iSCSIinitiator),然后通过以太网适配器模块(NICdriver)将加密数据发送到远端镜像系统的存储设备进行数据备份。tgt架构中的tgt管理工具模块是一个简单的管理工具,用户空间守护进程模块启动后,主要负责存储设备上目标
节点和逻辑单元的创建或删除,并显示与客户端的连接状态信息等。
[0077] 另外,客户端读取镜像系统数据功能模块之间的交互是上述过程的逆过程,主要区别是调用加解密模块中的解密单元,对读取的数据密文解密处理得到数据明文供客户端使用。
[0078] 加密中间件的主要作用是对网络数据流进行加解密处理。加密中间件的数据处理流程如图4。客户端与远程服务器经过协商,交换登录协议数据单元,进行身份认证,协商并相互认证后,iSCSI镜像过程进入通信连接阶段。连接建立后,客户端向远程服务器发送读写请求,加密中间件根据收到的读写请求的读写操作码来判断数据的加解密操作类型。当收到写操作码2a,加密中间件则对客户端传来的数据信息进行加密处理,并将加密后的密文信息送到远程服务器存储备份。如果收到读操作码28,加密中间件从远程服务器中读取备份数据即密文信息,对其进行解密操作,解密后的明文信息供客户端用户使用。
[0079] 虽然对称加密技术在加密强度和运算速度方面完全能胜任并保证重要数据信息在网络中传输,但它有一个致命的弱点,加解密用的是同一个密钥,通信双方的共享密钥在网络上如何安全传送仍是需要关注的问题。由于远程服务器主要存放数据密文用于数据容灾,因此密钥保存在本地网络,不需要在网络上传输加密密钥,避免了密钥在网络中传输的不安全性问题。密文与密钥的存储位置如图5所示。基本原理为:用户数据在通信之前,发送方利用SHA1散列算法将用于产生密钥的口令字符串生成一个固定长度的加密密钥,用OpenSSL库中的AES算法对要传送的数据加密,密文通过以太网被传送到远端存储,即传输到远程服务器,由远程服务器存储在SCSI磁盘阵列,加密密钥保存在本地,即保存在本地存储设备,解密操作在客户端进行,解密数据信息供本地用户使用。
[0080] 在远程镜像过程中添加加密中间件的主要优点为:在iSCSI层进行加密操作,加解密效率高,密钥管理安全方便;镜像数据以密文的形式传输和存储;加密中间件独立于前端主机和后端存储,易于部署;加密中间件负责加解密运算,减轻主机和服务器负担。基于加密中间件实现的镜像方法不仅保证了网络数据传输和存储的安全性,而且在一定程度上提高了系统性能。
[0081] 请参考图6,图6为本发明提供的一种基于iSCSI的远程镜像系统的结构示意图,该系统包括:
[0082] 客户端101,用于将关键应用数据存储于本地存储设备102,并复制一份关键应用数据,将关键应用数据的复制文本发送至加密中间件103;
[0083] 本地存储设备102,用于存储关键应用数据;
[0084] 加密中间件103,用于对复制文本进行加密生成数据密文,将数据密文通过IP网络发送至远程服务器104;
[0085] 远程服务器104,用于将数据密文存储于SCSI磁盘阵列105作为镜像数据;
[0086] SCSI磁盘阵列105,用于存储数据密文。
[0087] 其中,客户端还用于当本地存储设备中的关键应用数据丢失时,通过IP网络向远程服务器发送镜像数据请求;
[0088] 远程服务器还用于接收镜像数据请求,将数据密文发送至加密中间件;
[0089] 加密中间件还用于对数据密文进行解密,将数据密文解密成可用的数据明文,将数据明文发送至客户端。
[0090] 优选的,加密中间件包括目标驱动器模块、tgt内核模块、用户空间守护进程模块、加解密模块、启动器模块和以太网适配器模块。
[0091] 目标驱动器模块用于接收复制文本,激活SCSI命令和任务管理请求,将SCSI命令、任务管理请求及复制文本发送至tgt内核模块;
[0092] tgt内核模块用于将SCSI命令、任务管理请求及复制文本发送至用户空间守护进程模块;
[0093] 用户空间守护进程模块用于接收任务管理请求和SCSI命令,调用加解密模块对复制文本进行加密生成数据密文;
[0094] 用户空间守护进程模块用于将数据密文发送至启动器模块;
[0095] 启动器模块用于利用以太网适配器模块将数据密文发送至远程服务器。
[0096] 优选的,加密中间件还包括:
[0097] 接收模块,用于接收客户端发送的读写请求,判断读写请求的读写操作码为写操作码2a还是读操作码28;
[0098] 第一判断模块,用于若判断读写操作码为写操作码2a,加密中间件对客户端传来的数据信息进行加密,将加密后的密文信息发送至远程服务器进行存储备份;
[0099] 第二判断模块,用于若判断读写操作码为读操作码28,加密中间件从远程服务器中读取密文信息,对密文信息进行解密操作,将解密后生成的明文信息发送至客户端。
[0100] 本发明所提供的一种基于iSCSI的远程镜像系统,客户端将关键应用数据存储于本地存储设备,并复制一份关键应用数据,将关键应用数据的复制文本发送至加密中间件;加密中间件对复制文本进行加密生成数据密文,将数据密文通过IP网络发送至远程服务器;远程服务器将数据密文存储于SCSI磁盘阵列作为镜像数据。可见,加密中间件能够进行加密过程,即内嵌加密机制,客户端和服务器端不进行加解密运算,只进行访问控制,并且加密中间件对复制文本进行加密生成数据密文,将数据密文通过IP网络发送至远程服务器,远程服务器将数据密文存储于SCSI磁盘阵列作为镜像数据,即整个过程在iSCSI层进行加密操作,加解密效率高,密钥管理安全方便,数据传输和存储的安全性很高,而且,由于数据加解密运算是CPU密集型运算,因此加密中间件分担了客户端和服务器端的CPU资源占用率,在一定程度上提高系统的读写性能,所以实现保证网络数据传输和存储的安全性,并提高系统的读写性能。
[0101] 以上对本发明所提供的一种基于iSCSI的远程镜像方法及系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明
权利要求的保护范围内。
