[发明专利]用于在网络设备端口处执行静止数据加密的方法和装置

权利要求书

1.一种在具有多个端口的网络设备中加密数据的方法，包括：

由所述多个端口之一接收包含数据的帧，所述帧具有包含源地址和目的地地址的头部；

由所述多个端口之一从所述帧中获得所述数据；

由所述多个端口之一加密所述数据以生成加密数据；

由所述多个端口之一生成包含所述加密数据的修正帧以生成包含所述加密数据的修正帧；以及

由所述多个端口之一将所述包含加密数据的修正帧发送到所述目的地地址。

2.如权利要求1所述的方法，其中所述网络设备是交换机。

3.如权利要求1所述的方法，其中所述源地址标识主机且所述目的地地址标识存储介质，所述方法还包括：

从所述主机接收写命令帧并将所述写命令帧发送到所述存储介质，其中接收写命令帧和发送写命令帧先于接收所述包含数据的帧执行。

4.如权利要求3所述的方法，还包括：

从所述存储介质接收信用；以及

当所述修正帧被生成并发送时，将所述信用发送到所述主机。

5.如权利要求3所述的方法，还包括：

从一组密钥表之一中取得与所述存储介质相关的密钥，所述一组密钥表包括第一密钥表和第二密钥表，所述第一密钥表存储用于多个存储介质中的每一个的第一密钥，所述第二密钥表存储用于所述多个存储介质中的每一个的第二密钥。

6.如权利要求1所述的方法，其中发送所述修正帧通过传输协议来执行，其中所述传输协议是光纤通道或iSCSI。

7.如权利要求1所述的方法，其中所述帧是包含一组块的SCSI帧。

8.如权利要求1所述的方法，其中生成修正帧包括：

将签名附加到所述修正帧，其中所述签名对应于所述加密数据。

9.如权利要求7所述的方法，还包括：

在接收所述包含数据的帧之前接收命令帧，所述命令帧包含写命令；

解析所述命令帧以获得源标识符、目的地标识符、LUN、交换标识符和逻辑块地址；

识别与所述源标识符、目的地标识符和LUN相对应的密钥；

在事务表中填充条目，以使得所述条目包括所述密钥、含有所述源标识符的主机标识符、所述交换标识符和所述逻辑块地址；以及

将所述命令帧发送到所述目的地标识符。

10.如权利要求9所述的方法，还包括：

设置指示符，所述指示符指示所述命令帧包含写命令，从而指示所述数据将被加密。

11.如权利要求9所述的方法，还包括：

从所述包含数据的帧中获得所述源标识符和交换标识符；

在所述事务表中识别条目，所述条目具有从所述包含数据的帧中获得的交换标识符以及含有所述源标识符的主机标识符；

获得所述事务表条目中与所述源标识符和交换标识符相对应的密钥和逻辑块地址；

利用所述密钥和逻辑块地址加密所述数据以生成加密数据。

12.如权利要求11所述的方法，还包括：

更新所述事务表条目中的逻辑块地址。

13.如权利要求11所述的方法，还包括：

当收到响应或所述写命令失败时，从所述事务表中删除所述条目。

14.如权利要求11所述的方法，其中所述包含数据的帧是包含一组块的SCSI帧，并且其中所述利用密钥和逻辑块地址加密数据针对所述一组块中的一个块执行一次。

15.如权利要求7所述的方法，其中加密所述数据包括：

加密所述一组块中的一个块。

16.一种在具有多个端口的网络设备中解密数据的方法，包括：

由所述多个端口之一接收包含数据的帧，所述帧具有包含源地址和目的地地址的头部；

由所述多个端口之一从所述帧中获得所述数据；

由所述多个端口之一解密所述数据以生成解密数据；

由所述多个端口之一生成包含所述解密数据的修正帧以生成包含所述解密数据的修正帧；以及

由所述多个端口之一将所述包含解密数据的修正帧发送到所述目的地地址。