[发明专利]一种面向存储区域网的消息加密装置和方法

说明书

技术领域

本发明是一种高效的存储区域网中结点间安全通讯装置和方法，主要用于解决存储区域网系统中存储设备、主机和元数据服务器间消息通讯的安全问题，属于存储技术和信息安全的交叉技术领域，尤其涉及其中的安全存储系统领域。

背景技术

存储区域网利用网络连接技术，实现海量的共享存储服务，由于需要用网络连接存储设备，因此保证通讯的安全性是实现安全存储区域网系统的重要方面。存储区域网中通讯的信息包括消息和数据，通讯信息的发送和接受过程，包括生成通讯数据、发送通讯数据、接收通讯数据、验证是否是消息，然后执行命令或读取数据，如图1所示。

现有安全存储系统中一般均不对数据进行加密。存储区域网中通讯的消息包括各类命令以及相应的反馈信息，消息的数据量相对较小，使得加密开销较小，因此加密消息是安全存储系统中常用的方法。

目前安全存储系统中主要采用消息验证、消息加密等技术以保障消息通信的安全，典型的系统有：NFSv4、SFS、AFS和NASD。NFSv4验证RPC请求消息和反馈消息，但入侵者较容易骗过验证机制，无法防止消息被窃取和修改。SFS实现了透明的点对点加密，验证客户机与主机间的通讯消息，使用验证后的密钥加密消息，不同的会话使用不同的密钥，以保证安全性，但采用先用算法加密所有信息，系统安全开销过大。AFS加密所有通信信息的方法，客户机使用私有密钥加密消息后发给主机，主机验证后发送反馈消息，实现双方的验证；但私有密钥易被窃取和破解，当通信量较大时系统性能的下降较大。NASD中加密需保密的信息，采用MAC验证；但未对消息进行分类，所有信息内容均采用同一加密方式，安全开销过大。

存储区域网中通讯消息的特性分析

存储区域网系统中的通信消息主要包括：建立目录、读写数据、修改文件属性、传送密钥、建立连接、查询网络等几类。但建立目录、读写数据、修改文件属性和传送密钥等消息被截获后，攻击者通过修改、伪造和重发消息等手段破坏存储区域网系统的安全性；但建立连接和查询网络等消息只用于建立网络连接，测试网络通信是否正常，被截获后攻击者无法利用其破坏存储系统中的数据。因此我们可将消息分成两类：安全性要求较高和安全性要求较低的消息。

1.安全性要求较高的消息

这类消息包括：建立目录、读写数据、修改文件属性、传送密钥、建立连接等。它们中均包含文件元数据、操作码、密钥、信号量和标识符等各类信息，它们对保护存储区域网系统的安全性很重要。但它们的特性和安全需求也各不相同，其中文件元数据、操作码和密钥等信息的泄露会严重威胁存储区域网的安全性，需较高强度的加密算法；而信号量和某些标识符等信息对数据的安全性影响相对较小，可使用较低强度的加密算法。此外某类信息的访问次数增多后，其被解密的几率增加，应动态提高加密该类信息的强度。

2.安全性要求较低的消息

这类消息包括：建立连接和查询网络等消息，它们仅仅用于建立网络连接，测试网络通信是否正常，因此只需要使用较低强度的加密算法。

发明内容

本发明的目的是解决现有安全存储系统存在的通讯消息安全开销过大，导致存储系统I/O性能低等问题，提供一种存储区域网中的快速消息加密装置和方法，减少存储区域网系统的I/O性能损失。

本发明的技术方案是：一种面向存储区域网的消息加密装置，包括消息加密模块和消息解密模块，所述消息加密模块包括：

通讯信息分析器，用于分析通讯信息，区分数据包中是消息还是数据；

消息分类器，分析消息的组成，将消息进行分类，根据各消息类型选择相应的加密器；

消息加密器，包括至少两种类型的加密器，使用不同算法加密消息；

所述消息解密模块包括：

通讯信息分析器，用于分析通讯信息，区分数据包中是消息还是数据；

消息分类器，分析消息的组成，将消息进行分类，根据各消息类型选择相应的解密器；

消息解密器，包括至少两种与所述加密器对应类型的解密器，使用不同算法解密消息。

所述消息加密模块和消息解密模块中的消息分类器具体包括下列装置：

消息分割装置，根据存储区域网消息中包含信息的语义，将消息分成n个部分；

安全参数设置装置，对每个消息部分设置安全参数ca和im，整个消息可表示为：message(msg1(ca1，im1)，msg2(ca2，im2)，，msgi(cai，imi)，，msgn(can，imn))im∈{1，2，3，4，5}，其中msgi为第i块信息，cai为该块信息的访问次数；