[发明专利]用于在网络设备端口处执行静止数据加密的方法和装置

说明书

技术领域

本发明涉及网络技术。更具体而言，本发明涉及用于在网络设备端口处执行静止数据(data at rest)加密的机制。

背景技术

数据的安全通常通过数据的加密来获得。虽然数据的加密通常是为了在数据的传送中保证数据的安全，但是数据一经存储后为了保证其安全也可对数据进行加密。对存储介质上存储的数据进行的加密通常称为静止数据(EAR)的加密。具体而言，存储介质上存储的数据在其被存储后仍保持被加密的。存在很多方法可以加密静止数据。

一种由多个产品实施的执行静止数据的加密的方法是在如下网络设备处加密数据，所述网络设备负责加密从源网络设备接收的数据然后将加密的数据提供到存储介质。在诸如存储区域网(SAN)之类的支持多个存储设备的网络中，网络设备通常负责加密从多个源接收的数据。在这类网络设备内，加密通常由硬件加速的加密器执行。由于这种单一加密器必须服务于多个源，因此网络设备的性能受限。

加密静止数据的另一种常用方法是在生成数据的源网络设备处或者在将存储数据的存储介质处执行加密。在这些方法中，加密用软件执行，因为硬件加速会严重影响加密源网络设备或存储介质的成本。

虽然这些方法可以提供数据加密的可行解决方案，但是这些方法负担的吞吐量有限而成本较高。例如，现有网络设备加密数据的吞吐量为每秒数百兆比特。虽然这些方法足够服务于有限数目的存储介质，但是目前没有能够负担对多千兆位SAN中存储介质的整个集合的线速(wire-speed)保护的用于存储静止数据的普遍保护的解决方案。

对于那些想要加密所有存储器的用户，现有解决方案不足以满足该需求。具体而言，在网络设备处执行加密的现有解决方案不能扩展以满足该需求，而在源或目的地网络设备处执行加密的解决方案经济上不可行。

鉴于上述问题，希望开发一种可扩展的经济的方法来加密静止数据。

发明内容

公开了用于执行静止数据的加密的方法和装置。这是通过在诸如交换机之类的网络设备的端口处对写入存储器的数据执行加密来部份地完成的。通过这种方式，静止数据的加密由网络设备端口支持。

在下面的描述中，数据和命令被描述为以帧的形式发送。但是，要注意的是这些示例仅作说明之用。因此，数据和命令也可以分组的形式发送。从而，术语“帧”和“分组”可互换使用。

根据本发明的一个方面，诸如交换机之类的网络设备的端口执行静止数据的加密。具体而言，当网络设备在向诸如盘之类的存储介质写入期间从主机接收数据时，数据由网络设备端口加密然后加密的数据被发送到存储介质。更具体而言，当包含数据的帧由网络设备的端口之一接收时，端口从帧中获得数据。端口加密该数据，生成包含加密数据的修正帧，并将修正帧发送到它的目的地。目的地可以是诸如盘或磁带的存储介质。

根据本发明的另一方面，诸如交换机之类的网络设备的端口执行静止数据的解密。具体而言，当主机尝试从存储介质中读取数据时，网络设备端口从存储介质接收加密数据，对数据进行解密，并将解密的数据发送到主机。更具体而言，当包含数据的帧由网络设备的端口之一接收时，端口从帧中获得数据。端口解密该数据，生成包含解密的数据的修正帧，并将修正帧发送到它的目的地(例如，请求数据的主机)。

根据本发明的另一方面，本发明关于可用来在诸如交换机之类的网络设备的端口中执行和/或发起所公开的任意一种方法的系统。该系统包括一个或多个处理器以及一个或多个存储器。至少一个存储器和处理器适于提供至少某一上述方法操作。在另一个实施例中，本发明关于执行所公开的方法的计算机程序产品。该计算机程序产品具有至少一个计算机可读介质和存储在至少一个计算机可读产品内的用于执行至少某一上述方法操作的计算机程序指令。

本发明的以上及其他特征和优点将在通过示例方式说明本发明原理的本发明的下述说明及附图中更详细地展示。

附图说明

图1是说明示例性传统存储区域网的框图。

图2是根据本发明的一个实施例说明静止数据的加密或解密可在网络设备端口处执行的系统的框图。

图3根据本发明的一个实施例说明可维护的示例性密钥表。

图4根据本发明的一个实施例说明可维护的示例性事务(transaction)表。

图5是说明SCSI写的事务流程图。

图6是根据本发明的一个实施例说明处理写命令的方法的处理流程图。

图7是根据本发明的一个实施例说明向存储介质写数据的方法的处理流程图。

图8是说明SCSI读的事务流程图。