一種基于iSCSI的遠(yuǎn)程鏡像方法及系統(tǒng)的制作方法

一種基于iSCSI的遠(yuǎn)程鏡像方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及遠(yuǎn)程鏡像技術(shù)領(lǐng)域，特別是涉及一種基于iSCSI的遠(yuǎn)程鏡像方法及系統(tǒng)。
【背景技術(shù)】
[0002]信息化建設(shè)推動數(shù)據(jù)資產(chǎn)的發(fā)展，為保護(hù)信息的安全，互聯(lián)網(wǎng)小型計(jì)算機(jī)系統(tǒng)接口 iSCSI遠(yuǎn)程鏡像技術(shù)被用于數(shù)據(jù)容災(zāi)系統(tǒng)，iSCSI使用標(biāo)準(zhǔn)的TCP/IP協(xié)議，將現(xiàn)有SCSI接口與以太網(wǎng)技術(shù)結(jié)合，在IP網(wǎng)絡(luò)上傳送SCSI數(shù)據(jù)和命令，因此普通IP網(wǎng)絡(luò)上的攻擊手段都適用于iSCSI環(huán)境，攻擊者也可以通過遠(yuǎn)程容災(zāi)備份或數(shù)據(jù)鏡像來竊取保存在存儲設(shè)備中的數(shù)據(jù)，如此數(shù)據(jù)存儲的安全性很低。傳統(tǒng)的數(shù)據(jù)防護(hù)為加密通信線路和存儲設(shè)備上的數(shù)據(jù)，都是基于應(yīng)用主機(jī)進(jìn)行加解密運(yùn)算，導(dǎo)致服務(wù)器和客戶端負(fù)載增大，系統(tǒng)的讀寫性能很低。

【發(fā)明內(nèi)容】

[0003]本發(fā)明的目的是提供一種基于iSCSI的遠(yuǎn)程鏡像方法及系統(tǒng)，以實(shí)現(xiàn)保證網(wǎng)絡(luò)數(shù)據(jù)傳輸和存儲的安全性，并提高系統(tǒng)的讀寫性能。
[0004]為解決上述技術(shù)問題，本發(fā)明提供一種基于iSCSI的遠(yuǎn)程鏡像方法，該方法包括:
[0005]客戶端將關(guān)鍵應(yīng)用數(shù)據(jù)存儲于本地存儲設(shè)備，并復(fù)制一份關(guān)鍵應(yīng)用數(shù)據(jù)，將關(guān)鍵應(yīng)用數(shù)據(jù)的復(fù)制文本發(fā)送至加密中間件；
[0006]所述加密中間件對所述復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文，將所述數(shù)據(jù)密文通過IP網(wǎng)絡(luò)發(fā)送至遠(yuǎn)程服務(wù)器；
[0007]所述遠(yuǎn)程服務(wù)器將所述數(shù)據(jù)密文存儲于SCSI磁盤陣列作為鏡像數(shù)據(jù)。
[0008]優(yōu)選的，所述方法還包括:
[0009]當(dāng)所述本地存儲設(shè)備中的關(guān)鍵應(yīng)用數(shù)據(jù)丟失時(shí)，所述客戶端通過IP網(wǎng)絡(luò)向所述遠(yuǎn)程服務(wù)器發(fā)送鏡像數(shù)據(jù)請求；
[0010]所述遠(yuǎn)程服務(wù)器接收所述鏡像數(shù)據(jù)請求，將所述數(shù)據(jù)密文發(fā)送至所述加密中間件；
[0011]所述加密中間件對所述數(shù)據(jù)密文進(jìn)行解密，將所述數(shù)據(jù)密文解密成可用的數(shù)據(jù)明文，將所述數(shù)據(jù)明文發(fā)送至所述客戶端。
[0012]優(yōu)選的，所述加密中間件包括目標(biāo)驅(qū)動器模塊、tgt內(nèi)核模塊、用戶空間守護(hù)進(jìn)程模塊、加解密模塊、啟動器模塊和以太網(wǎng)適配器模塊。
[0013]優(yōu)選的，所述加密中間件對所述復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文，將所述數(shù)據(jù)密文通過IP網(wǎng)絡(luò)發(fā)送至遠(yuǎn)程服務(wù)器，包括:
[0014]所述目標(biāo)驅(qū)動器模塊接收所述復(fù)制文本，激活SCSI命令和任務(wù)管理請求，將所述SCSI命令、任務(wù)管理請求及復(fù)制文本發(fā)送至所述tgt內(nèi)核模塊；
[0015]所述tgt內(nèi)核模塊將所述SCSI命令、任務(wù)管理請求及復(fù)制文本發(fā)送至所述用戶空間守護(hù)進(jìn)程模塊；
[0016]所述用戶空間守護(hù)進(jìn)程模塊接收所述任務(wù)管理請求和SCSI命令，調(diào)用所述加解密模塊對所述復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文；
[0017]所述用戶空間守護(hù)進(jìn)程模塊將所述數(shù)據(jù)密文發(fā)送至所述啟動器模塊；
[0018]所述啟動器模塊利用以太網(wǎng)適配器模塊將所述數(shù)據(jù)密文發(fā)送至遠(yuǎn)程服務(wù)器。
[0019]優(yōu)選的，所述方法還包括:
[0020]加密中間件接收所述客戶端發(fā)送的讀寫請求，判斷所述讀寫請求的讀寫操作碼為寫操作碼2a還是讀操作碼28;
[0021]若判斷所述讀寫操作碼為寫操作碼2a，所述加密中間件對所述客戶端傳來的數(shù)據(jù)信息進(jìn)行加密，將加密后的密文信息發(fā)送至所述遠(yuǎn)程服務(wù)器進(jìn)行存儲備份；
[0022]若判斷所述讀寫操作碼為讀操作碼28，所述加密中間件從所述遠(yuǎn)程服務(wù)器中讀取密文信息，對所述密文信息進(jìn)行解密操作，將解密后生成的明文信息發(fā)送至所述客戶端。
[0023]本發(fā)明還提供一種基于iSCSI的遠(yuǎn)程鏡像系統(tǒng)，該系統(tǒng)包括:
[0024]客戶端，用于將關(guān)鍵應(yīng)用數(shù)據(jù)存儲于本地存儲設(shè)備，并復(fù)制一份關(guān)鍵應(yīng)用數(shù)據(jù)，將關(guān)鍵應(yīng)用數(shù)據(jù)的復(fù)制文本發(fā)送至加密中間件；
[0025]所述本地存儲設(shè)備，用于存儲關(guān)鍵應(yīng)用數(shù)據(jù)；
[0026]所述加密中間件，用于對所述復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文，將所述數(shù)據(jù)密文通過IP網(wǎng)絡(luò)發(fā)送至遠(yuǎn)程服務(wù)器；
[0027]所述遠(yuǎn)程服務(wù)器，用于將所述數(shù)據(jù)密文存儲于SCSI磁盤陣列作為鏡像數(shù)據(jù)；
[0028]所述SCSI磁盤陣列，用于存儲所述數(shù)據(jù)密文。
[0029]優(yōu)選的，所述客戶端還用于當(dāng)所述本地存儲設(shè)備中的關(guān)鍵應(yīng)用數(shù)據(jù)丟失時(shí)，通過IP網(wǎng)絡(luò)向所述遠(yuǎn)程服務(wù)器發(fā)送鏡像數(shù)據(jù)請求；
[0030]所述遠(yuǎn)程服務(wù)器還用于接收所述鏡像數(shù)據(jù)請求，將所述數(shù)據(jù)密文發(fā)送至所述加密中間件；
[0031]所述加密中間件還用于對所述數(shù)據(jù)密文進(jìn)行解密，將所述數(shù)據(jù)密文解密成可用的數(shù)據(jù)明文，將所述數(shù)據(jù)明文發(fā)送至所述客戶端。
[0032]優(yōu)選的，所述加密中間件包括目標(biāo)驅(qū)動器模塊、tgt內(nèi)核模塊、用戶空間守護(hù)進(jìn)程模塊、加解密模塊、啟動器模塊和以太網(wǎng)適配器模塊。
[0033]優(yōu)選的，所述目標(biāo)驅(qū)動器模塊用于接收所述復(fù)制文本，激活SCSI命令和任務(wù)管理請求，將所述SCSI命令、任務(wù)管理請求及復(fù)制文本發(fā)送至所述tgt內(nèi)核模塊；
[0034]所述tgt內(nèi)核模塊用于將所述SCSI命令、任務(wù)管理請求及復(fù)制文本發(fā)送至所述用戶空間守護(hù)進(jìn)程模塊；
[0035]所述用戶空間守護(hù)進(jìn)程模塊用于接收所述任務(wù)管理請求和SCSI命令，調(diào)用所述加解密模塊對所述復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文；
[0036]所述用戶空間守護(hù)進(jìn)程模塊用于將所述數(shù)據(jù)密文發(fā)送至所述啟動器模塊；
[0037]所述啟動器模塊用于利用以太網(wǎng)適配器模塊將所述數(shù)據(jù)密文發(fā)送至遠(yuǎn)程服務(wù)器。
[0038]優(yōu)選的，所述加密中間件還包括:
[0039]接收模塊，用于接收所述客戶端發(fā)送的讀寫請求，判斷所述讀寫請求的讀寫操作碼為寫操作碼2a還是讀操作碼28;
[0040]第一判斷模塊，用于若判斷所述讀寫操作碼為寫操作碼2a，所述加密中間件對所述客戶端傳來的數(shù)據(jù)信息進(jìn)行加密，將加密后的密文信息發(fā)送至所述遠(yuǎn)程服務(wù)器進(jìn)行存儲備份；
[0041]第二判斷模塊，用于若判斷所述讀寫操作碼為讀操作碼28，所述加密中間件從所述遠(yuǎn)程服務(wù)器中讀取密文信息，對所述密文信息進(jìn)行解密操作，將解密后生成的明文信息發(fā)送至所述客戶端。
[0042]本發(fā)明所提供的一種基于iSCSI的遠(yuǎn)程鏡像方法及系統(tǒng)，客戶端將關(guān)鍵應(yīng)用數(shù)據(jù)存儲于本地存儲設(shè)備，并復(fù)制一份關(guān)鍵應(yīng)用數(shù)據(jù)，將關(guān)鍵應(yīng)用數(shù)據(jù)的復(fù)制文本發(fā)送至加密中間件;所述加密中間件對所述復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文，將所述數(shù)據(jù)密文通過IP網(wǎng)絡(luò)發(fā)送至遠(yuǎn)程服務(wù)器;所述遠(yuǎn)程服務(wù)器將所述數(shù)據(jù)密文存儲于SCSI磁盤陣列作為鏡像數(shù)據(jù)?？梢?，加密中間件能夠進(jìn)行加密過程，即內(nèi)嵌加密機(jī)制，客戶端和服務(wù)器端不進(jìn)行加解密運(yùn)算，只進(jìn)行訪問控制，并且加密中間件對復(fù)制文本進(jìn)行加密生成數(shù)據(jù)密文，將數(shù)據(jù)密文通過IP網(wǎng)絡(luò)發(fā)送至遠(yuǎn)程服務(wù)器，遠(yuǎn)程服務(wù)器將所述數(shù)據(jù)密文存儲于SCSI磁盤陣列作為鏡像數(shù)據(jù)，即整個(gè)過程在iSCSI層進(jìn)行加密操作，加解密效率高，密鑰管理安全方便，數(shù)據(jù)傳輸和存儲的安全性很高，而且，由于數(shù)據(jù)加解密運(yùn)算是CPU密集型運(yùn)算，因此加密中間件分擔(dān)了客戶端和服務(wù)器端的CHJ資源占用率，在一定程度上提高系統(tǒng)的讀寫性能，所以實(shí)現(xiàn)保證網(wǎng)絡(luò)數(shù)據(jù)傳輸和存儲的安全性，并提高系統(tǒng)的讀寫性能。
【附圖說明】
[0043]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。
[0044]圖1為本發(fā)明所提供的一種基于iSCSI的遠(yuǎn)程鏡像方法的流程圖；
[0045]圖2為鏡像過程中存取數(shù)據(jù)的流程示意圖；
[0046]圖3為加密中間件主要功能模塊示意圖；
[0047]圖4為加密中間件的數(shù)據(jù)處理流程示意圖；
[0048]圖5為密文與密鑰的存儲位置示意圖；
[0049]圖6為本發(fā)明提供的一種基于iSCSI的遠(yuǎn)程鏡像系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0050]本發(fā)明的核心是提供一種基于iSCSI的遠(yuǎn)程鏡像方法及系統(tǒng)，以實(shí)現(xiàn)保證網(wǎng)絡(luò)數(shù)據(jù)傳輸和存儲的安全性，并提高系統(tǒng)的讀寫性能。
[0051]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0052]請參考圖1，圖1為本發(fā)明所提供的一種基于iSCSI的遠(yuǎn)程鏡像方法的流程圖，該方法包括:
[0053]SI 1:客戶端將關(guān)鍵應(yīng)用數(shù)據(jù)存儲于本地存儲設(shè)備，并復(fù)制一份關(guān)鍵應(yīng)用數(shù)據(jù)，將關(guān)鍵應(yīng)用數(shù)據(jù)的復(fù)制文本發(fā)送至加密中間件；
[0054