一種面向存儲區域網的消息加密裝置和方法

2023-06-01 16:20:16 2

專利名稱：：一種面向存儲區域網的消息加密裝置和方法
技術領域：
：本發明是一種高效的存儲區域網中結點間安全通訊裝置和方法，主要用於解決存儲區域網系統中存儲設備、主機和元數據伺服器間消息通訊的安全問題，屬於存儲技術和信息安全的交叉
技術領域：
，尤其涉及其中的安全存儲系統領域。
背景技術：
：存儲區域網利用網絡連接技術，實現海量的共享存儲服務，由於需要用網絡連接存儲設備，因此保證通訊的安全性是實現安全存儲區域網系統的重要方面。存儲區域網中通訊的信息包括消息和數據，通訊信息的發送和接受過程，包括生成通訊數據、發送通訊數據、接收通訊數據、驗證是否是消息，然後執行命令或讀取數據，如圖1所示。現有安全存儲系統中一般均不對數據進行加密。存儲區域網中通訊的消息包括各類命令以及相應的反饋信息，消息的數據量相對較小，使得加密開銷較小，因此加密消息是安全存儲系統中常用的方法。目前安全存儲系統中主要採用消息驗證、消息加密等技術以保障消息通信的安全，典型的系統有NFSv4、SFS、AFS和NASD。NFSv4—驗證RPC請求消息和反饋消息，但入侵者較容易騙過驗證機制，無法防止消息被竊取和修改。SFS實現了透明的點對點加密，驗證客戶機與主機間的通訊消息，使用驗證後的密鑰加密消息，不同的會話使用不同的密鑰，以保證安全性，但採用先用算法加密所有信息，系統安全開銷過大。AFS加密所有通信信息的方法，客戶機使用私有密鑰加密消息後發給主機，主機驗證後發送反饋消息，實現雙方的驗證；但私有密鑰易被竊取和破解，當通信量較大時系統性能的下降較大。NASD中加密需保密的信息，採用MAC驗證；但未對消息進行分類，所有信息內容均採用同一加密方式，安全開銷過大。存儲區域網中通訊消息的特性分析存儲區域網系統中的通信消息主要包括建立目錄、讀寫數據、修改文件屬性、傳送密鑰、建立連接、查詢網絡等幾類。但建立目錄、讀寫數據、修改文件屬性和傳送密鑰等消息被截獲後，攻擊者通過修改、偽造和重發消息等手段破壞存儲區域網系統的安全性；但建立連接和查詢網絡等消息只用於建立網絡連接，測試網絡通信是否正常，被截獲後攻擊者無法利用其破壞存儲系統中的數據。因此我們可將消息分成兩類安全性要求較高和安全性要求較低的消息。1.安全性要求較高的消息這類消息包括建立目錄、讀寫數據、修改文件屬性、傳送密鑰、建立連接等。它們中均包含文件元數據、操作碼、密鑰、信號量和標識符等各類信息，它們對保護存儲區域網系統的安全性很重要。但它們的特性和安全需求也各不相同，其中文件元數據、操作碼和密鑰等信息的洩露會嚴重威脅存儲區域網的安全性，需較高強度的加密算法；而信號量和某些標識符等信息對數據的安全性影響相對較小，可使用較低強度的加密算法。此外某類信息的訪問次數增多後，其被解密的機率增加，應動態提高加密該類信息的強度。2.安全性要求較低的消息這類消息包括建立連接和查詢網絡等消息，它們僅^f叉用於建立網絡連接，測試網絡通信是否正常，因此只需要使用較低強度的加密算法。
發明內容本發明的目的是解決現有安全存儲系統存在的通訊消息安全開銷過大，導致存儲系統1/0性能低等問題，提供一種存儲區域網中的快速消息加密裝置和方法，減少存儲區域網系統的1/0性能損失。本發明的技術方案是一種面向存儲區域網的消息加密裝置，包括消息加密模塊和消息解密模塊，所述消息加密模塊包括通訊信息分析器，用於分析通訊信息，區分數據包中是消息還是數據；消息分類器，分析消息的組成，將消息進行分類，根據各消息類型選擇相應的加密器；消息加密器，包括至少兩種類型的加密器，使用不同算法加密消息；所述消息解密模塊包括通訊信息分析器，用於分析通訊信息，區分數據包中是消息還是數據；消息分類器，分析消息的組成，將消息進行分類，根據各消息類型選擇相應的解密器；消息解密器，包括至少兩種與所述加密器對應類型的解密器，使用不同算法解密消息。所述消息加密模塊和消息解密模塊中的消息分類器具體包括下列裝置消息分割裝置，根據存儲區域網消息中包含信息的語義，將消息分成n個部分；安全參數設置裝置，對每個消息部分設置安全參數ca和im,整個消息可表示為message(msgl(cal，iml)，msg2(ca2,im2),,msgi(cai,imi),,msgn(can,imn))ime{1,2,3,4,5}，其中msgi為第i塊信息，cai為該塊信息的i方問次it;安全參數計算裝置,根據formulaseeoriginaldocumentpage8，計算安全參數ki的值；安全參數比較裝置，將各塊消息的安全參數ki與設定的值進行比較；消息分類裝置，根據安全參數比較裝置的比較結果，將消息分成不同安全級別的類型。本發明通過分析存儲區域網中消息的構成與特點，改進現有安全存儲系統中的消息加、解密裝置，對消息進行分類加密和解密，在保護存儲區域網中消息通訊的安全性的同時保證安全存儲區域網系統的1/0性能。作為本發明裝置的進一步改進，所述消息分類器還包括定期將各消息類型劃分清除的清零裝置。清零裝置定期將系統中各消息塊的訪問次數清0,重新計算ki的值，動態調整各塊的安全級別。從而在保證重要信息安全性的同時，有效減少了安全系統的開銷。作為本發明裝置的進一步改進，所述消息加密裝置還包括密鑰更新裝置，根據1=]^*31/(86*311)生成密鑰生存周期t，其中，St為塊的安全等級，Se代表用戶的安全要求，sn為密鑰更新的次數，k為可變參數。安全性需求值se越大，密鑰生存周期t越小，從而提高系統的安全性能；塊的安全等級st的值越大時，增大密鑰生存周期的值t，減少密鑰管理開銷，提高安全系統的效率；某種加密算法的運行時間越久，被破譯機率就越大，在每次更新密鑰後增大sn的值，使得加密算法的密鑰更新逐漸加快，提高系統的安全性。實現本發明目的的消息加密方法的技術方案如下一種面向存儲區域網的消息加密方法，包括消息加密步驟和消息解密步驟，所述消息加密步驟包括下列步驟1.分析通訊信息，區分悽t據包中是消息還是數據；2.對各消息塊進行動態分類；3.根據消息的類型，選擇不同加密算法進行加密；所述消息解密步驟包括下列步驟4.分析通訊信息，區分數據包中是消息還是數據；5.對各消息塊進行動態分類；6.根據消息的類型，選擇不同加密算法進行加密。上述步驟2和步驟5中具體包括下列步驟(1)根據存儲區域網消息中包含信息的語義，將消息分成n個部分；(2)對每個消息部分設置安全參數ca和im，整個消息可表示為message(msgl(cal，iml)，msg2(ca2,im2),，msgi(cai，imi),，msgn(can，imn))ime{1,2,3,4，5},其中msgi為第i塊信息，cai為該塊信息的訪問次數；(3)才艮才居ki=cai*imi/(cal*iml+ca2*im2+….can*imn)，計算安全參悽丈ki的值；(4)將各塊消息的安全參數ki與設定的值進行比較；(5)根據安全參數比較裝置的比較結果，將消息分成不同安全級別的類型。本發明通過分析存儲區域網中消息的構成與特點，改進現有安全存儲系統中的消息加密方法，通過對消息進行分類，根據消息類型採用不同的加密和解密方法，保護存儲區域網中消息通訊的安全性，同時保證安全存儲區域網系統的1/0性能。作為本發明方法的進一步改進，上述步驟(2)和步驟(5)後進一步包括下列步驟定期將各消息類型劃分記錄清零。作為本發明方法的進一步改進，所述消息加密方法還包括密鑰周期性的更新步驟密鑰生存周期t根據t-hst/(se4sn)計算；st為塊的安全等級，se代表用戶的安全要求，sn為密鑰更新的次數，k為可變參數。現有安全算法普遍採用加大密鑰長度的方法以增強安全性，但密鑰過長會增加加密算法的時空複雜度，嚴重降低系統性能。周期性的密鑰更新方式可在不增加密鑰長度的前提下提高系統的安全性，密鑰的更新周期t直接影響系統的安全性與效率；t過大，入侵者容易破解密鑰；密鑰更新周期t過小，頻繁的密鑰更新會增加系統開銷，影響系統的性能；因此如何根據安全系統當前的運行情況選擇合適的密鑰更新周期是一個非常重要的問題。本發明採用可變周期密鑰更新策略，根據安全系統當前的運行狀況動態調整密鑰生存周期，以保證系統的安全性和效率。圖l是現有技術中消息加密方法流程圖圖2是本發明的消息加密方法流程圖圖3是本發明的消息加密模塊結構圖圖4是本發明的消息解密模塊結構圖圖5是消息加密算法的流程6是對消息加密算法開銷的測試。具體實施例方式本發明通過修改現有技術中存儲區域網中各類結點發送和接收通訊信息的結構，增加快速消息加、解密模塊，實現消息通訊的加密。圖3是消息加密模塊的結構圖，圖4是消息解密模塊結構圖，結合圖3和圖4的示例，消息加密和解密模塊中共包含八個功能模塊通訊信息分析器、消息分類器、3DES加密器、DES加密器、異或加密器、3DES解密器、DES解密器和異或解密器。各功能模塊的說明見表l。表1部件列表tableseeoriginaldocumentpage11一種面向存儲區域網的消息加密方法，包括消息加密步驟和消息解密步驟，所述消息加密步驟包括下列步驟1.分析通訊信息，區分數據包中是消息還是數據；2.對各消息塊進^f於動態分類；3.根據消息的類型，選擇不同加密算法進行加密；所述消息解密步驟包括下列步驟4.分析通訊信息，區分數據包中是消息還是數據；5.對各消息塊進行動態分類；6.根據消息的類型，選擇不同加密算法進行加密。上述步驟2和步驟5中具體包括下列步驟(1)根據存儲區域網消息中包含信息的語義，將消息分成n個部分。(2)對每個消息部分設置安全參數ca和im，整個消息可表示為message(msgl(cal,iml),msg2(ca2,ira2)"msgi(cai，imi)，,msgn(can,imn))ime{1，2，3，4,5},其中msgi為第i塊信息，cai為該塊信息的訪問次數，imi為i該塊信息的重要級。例如x2塊的內容為文件元數據，其重要性級別最高，im2=5。系統訪問某部分信息後將遞增對應的ca值，如訪問過第2塊信息後ca2自增1。根據各塊的訪問次數和重要級，按照公式1計算安全參數ki。(3)根據ki=caWmi/(cal*iml+ca2*im2+….can*imn)，計算安全參數ki的值。將各塊消息的安全參數ki與設定的值進行比較設置閾值D和r，根據各塊的安全參數對塊進行分類，並動態的選擇不同加密算法。消息中塊的分類規則如下。規則1:當r<=ki，第i塊消息為I類信息規則2:當0<=ki<=r,第i塊消息為II類信息規則3:當ki<=Q,第i塊消息為m類信息(4)根據安全參數比較裝置的比較結果，將消息分成不同安全級別的類型。系統根據信息的安全類別，選擇不同加解密算法加解密信息，流程如圖5所示。I類信息安全等級最高，訪問率大，使用3DES加解密算法對其進行加解密，以保證此類信息的安全性；II類信息安全等級相對較低，可採用強度較小的DES算法，安全性比較好，性能降低較少；III類信息系統較少訪問之，且較少涉及文件數據信息，可對其進行簡單的異或算法加解密，保障存儲區域網的1/0性能。系統定期將各塊的訪問次數清O,重新計算ki的值，動態調整各塊的安全級別。從而在保證重要信息安全性的同時，有效減少了安全系統的開銷。本發明的方法中還包括自適應密鑰更新策略，即可變周期密鑰更新策略，根據安全系統當前的運行狀況動態調整密鑰生存周期，以保"i正系統的安全性和效率，密鑰生存周期t由公式2計算公式2:t=k*st7(se*sn)st為塊的安全等級，se代表用戶的安全要求，sn為密鑰更新的次數，k為可變參數。我們修文存儲區域網系統lustre的原代碼，實現消息加解密模塊。系統運行與一臺PC機上，配置如表2所示。表2測試環境的配置tableseeoriginaldocumentpage13Lustre系統包括主機，元數據伺服器(MDS)和存儲目標器(OST)幾個模塊。首先主機元數據伺服器發送訪問請求，元數據伺服器返回文件元數據信息，主機獲得元數據後，訪問存儲目標器讀寫數據。Lustre中的各個模塊之間使用portals傳輸協議傳輸^據，包括文件數據和消息等。我們在通信子系統中實現快速消息加解密模塊，實現高效的消息加密系統。Lustre系統中主要包含ping、getattr、setattr、read、write、creat、connect、destroy、cancel、convert、getinfo等消息。消息ping主要用於定期檢測網絡是否可以通信，未涉及文件信息，快速消息加解密模塊可忽略此類信息，直接進行發送，以減少安全開銷；write、read、getattr等消息用於控制文件操作，快速消息加解密模塊需對其中信息塊進行動態的分類，對不同信息塊選擇相應的加解密算法。如write消息主要由操作碼(opc)、援衝(buf)、埠號(portal)、消息類型(type)、掩碼、信號量以及連結指針等組成，系統初始化時操作碼(opc)和緩衝(buf)中的信息等被定為I類信息，進行高強度的加密保護，埠號、消息類型以及信號量等被定為n類，可選用強度較低的DES加密算法加密此類信息，其餘被定為ni類信息的部分只須簡單加解密，以減少安全開銷。存儲區域網系統運行過程中動態調整信息的等級，保證通訊消息的安全性。使用Iozone作為測試工具，測試使用單一加密算法加解密全部消息和使用本發明的消息加解密^t塊加解密消息時，存儲區域網系統的讀寫性能，比較安全開銷，測試結果如圖6所示。從圖6中可以發現，使用本發明的消息加解密模塊加解密消息時，存儲區域網系統的1/0性能下降較小，在10°/。左右；相比之下，使用單一加密算法加解密全部消息時，存儲區域網系統性能下降了25%以上。結果表明我們實現的消息加解密模塊具有很高效率，能用於實現高效的存儲區域網消息加密功能。權利要求1、一種面向存儲區域網的消息加密裝置，包括消息加密模塊和消息解密模塊，其特徵在於，所述消息加密模塊包括通訊信息分析器，用於分析通訊信息，區分數據包中是消息還是數據；消息分類器，分析消息的組成，將消息進行分類，根據各消息類型選擇相應的加密器；消息加密器，包括至少兩種類型的加密器，使用不同算法加密消息；所述消息解密模塊包括通訊信息分析器，用於分析通訊信息，區分數據包中是消息還是數據；消息分類器，分析消息的組成，將消息進行分類，根據各消息類型選擇相應的解密器；消息解密器，包括至少兩種與所述加密器對應類型的解密器，使用不同算法解密消息。2、根據權利要求l所述的消息加密裝置，其特徵在於，所述消息分類器還包括定期將各消息類型劃分清除的清零裝置。3、根據權利要求1所述的消息加密裝置，其特徵在於，所述消息加密裝置還包括密鑰更新裝置，根據t-hst/(se,sn)生成密鑰生存周期t,其中，st為塊的安全等級，se代表用戶的安全要求，sn為密鑰更新的次數，k為可變參數。4、根據權利要求1所述的消息加密裝置，其特徵在於，所述消息加密模塊和消息解密模塊中的消息分類器具體包括下列裝置消息分割裝置，根據存儲區域網消息中包含信息的語義，將消息分成n個部分；安全參數設置裝置，對每個消息部分設置安全參數ca和im,整個消息可表示為message(msgl(cal,iml)，msg2(ca2,im2)，，msgi(cai，imi)，，msgn(can，imn))ime{1，2，3,4，5}，其中msgi為第i塊信息，cai為該塊信息的訪問次數；安全參數計算裝置，根據ki=cai*imi/(cal*iml+ca2*im2+….can*imn),計算安全參數ki的值；安全參數比較裝置，將各塊消息的安全參數ki與設定的值進行比較；消息分類裝置，根據安全參數比較裝置的比較結果，將消息分成不同安全級別的類型。5、根據權利要求1所述的消息加密裝置，其特徵在於，所述消息解密器包括3DES加密器、DES加密器和異或加密器。6、一種面向存儲區域網的消息加密方法，包括消息加密步驟和消息解密步驟，所述消息加密步驟包括下列步驟(l)分析通訊信息，區分數據包中是消息還是數據；(2)對各消息塊進行動態分類；(3)根據消息的類型，選擇不同加密算法進行加密；所述消息解密步驟包括下列步驟(4)分析通訊信息，區分數據包中是消息還是數據；(5)對各消息塊進行動態分類；(6)根據消息的類型，選擇不同加密算法進行加密。7、根據權利要求6所述的消息加密裝置，其特徵在於，上述步驟(2)和步驟(5)中具體包括下列步驟A)根據存儲區域網消息中包含信息的語義，將消息分成n個部分；B)對每個消息部分設置安全參數ca和im,整個消息可表示為message(msgl(cal,iml)，msg2(ca2，im2)，，msgi(cai,imi)，,msgn(can,imn))ime(l，2，3,4，5},其中msgi為第i塊信息，cai為該塊信息的訪問次數；C)根據ki=cai*imi/(cal*iml+ca2*im2+….can*imn)，計算安全參數ki的值；D)將各塊消息的安全參數ki與設定的值進行比較；E)根據安全參數比較裝置的比較結果，將消息分成不同安全級別的類型。8、根據權利要求6所述的消息加密裝置，其特徵在於，上述步驟(2)和步驟(5)後進一步包括下列步驟定期將各消息類型劃分T己錄5青零。9、根據權利要求6所述的消息加密裝置，其特徵在於，所述消息加密方法還包括密鑰周期性的更新步驟密鑰生存周期t根據七=1^*31/(36*311)計算；st為塊的安全等級，se代表用戶的安全要求，sn為密鑰更新的次數，k為可變參數。全文摘要本發明涉及一種面向存儲區域網的消息加密裝置和方法，是解決現有安全存儲系統存在的通訊消息安全開銷過大，導致存儲系統I/O性能低等問題。本發明的技術方案是一種面向存儲區域網的消息加密裝置，包括消息加密模塊和消息解密模塊，所述消息加密模塊包括通訊信息分析器，用於區分數據包中是消息還是數據；消息分類器，用於將消息進行分類，根據各消息類型選擇相應的加密器；消息加密器，包括至少兩種類型的加密器；所述消息解密模塊包括通訊信息分析器，用於區分數據包中是消息還是數據；消息分類器，將消息進行分類，根據各消息類型選擇相應的解密器；消息解密器，包括至少兩種與所述加密器對應類型的解密器，使用不同算法解密消息。文檔編號H04L9/00GK101286837SQ20081010870公開日2008年10月15日申請日期2008年5月13日優先權日2008年5月13日發明者夏惠芬,濤蔡,鞠時光申請人:江蘇大學