[发明专利]数据加解密方法及装置、加密设备及存储介质

说明书

本公开提供了一种数据加解密方法及装置、加密设备及存储介质。该方法包括：基于源设备标识和目的设备标识得到服务器标识、磁盘阵列标识及对应端口号；将服务器标识、磁盘阵列标识及对应端口号拼接为写地址，将光纤通道协议指令帧中的逻辑单元号和逻辑区块地址写入写地址对应的内存中；基于源设备标识和目的设备标识得到服务器标识、磁盘阵列标识及对应端口号；将服务器标识、磁盘阵列标识及对应端口号拼接为读地址进行查询，读取逻辑单元号和逻辑区块地址；采用服务器标识、磁盘阵列标识、逻辑单元号和逻辑区块地址拼接成密钥，对光纤通道协议数据帧进行加密或解密。

技术领域

本公开涉及数据存储领域，特别涉及一种数据加解密方法及装置、加密设备及存储介质。

背景技术

光纤通道存储区域网络(Fibre Channel-Storage Area Network，FC-SAN)具有较高的网络性能和较短的延迟，目前正被各行各业大型数据中心所使用。FC-SAN通常由服务器、交换机、磁盘阵列以及加密设备，加密设备主要用来对存储的数据进行加密或解密，以确保以FC-SAN为架构的大型数据中心的数据安全性。

相关技术中，加密设备在接收到FC指令帧时，将FC指令帧中的源设备标识(Sourcedevice IDentifier，S_ID)/目的设备标识(Destination device IDentifier，D_ID)和始发站交换标识(Originator eXchange IDentifier，OX_ID)链接组成的数据进行哈希(HASH)压缩作为双倍速率同步动态随机存储器(Double Data Rate Synchronous DynamicRandom Access Memory，DDR)的地址，创建一条会话，存储逻辑单元号(LUN)和逻辑区块地址(LBA)。加密设备在接收到FC数据帧时，通过通常的方式进行HASH压缩得到DDR地址，通过查询上述会话获得LUN和LBA，利用磁盘阵列标识(RAID_ID)、LUN和LBA等完成对FC数据帧的加密。

然而，采用HASH压缩必然会产生冲突，导致可能查询到错误的LUN和LBA数据，从而导致加密的数据无法解密，只能丢弃当前FCP数据帧，造成FC-SAN性能损耗；当出现大量冲突，丢失大量FCP数据帧时，甚至可能引起FC链路中断。此外，在加密过程中，主要采用RAID_ID进行加密，没有考虑到数据源服务器端安全隔离问题。

发明内容

本公开实施例提供了一种数据加解密方法及装置、加密设备及存储介质，能够解决HASH冲突的问题并且能够实现安全隔离。所述技术方案如下：

本公开至少一实施例提供了一种数据加解密方法，所述方法包括：

响应于接收到的光纤通道协议指令帧，基于所述光纤通道协议指令帧中的源设备标识和目的设备标识得到服务器标识及其端口号、磁盘阵列标识及其端口号；

将所述光纤通道协议指令帧中的始发站交换标识、所述服务器标识及其端口号和所述磁盘阵列标识及其端口号拼接作为写地址，将所述光纤通道协议指令帧中的逻辑单元号和逻辑区块地址作为数据写入所述写地址对应的内存中；

响应于接收到光纤通道协议数据帧，基于所述光纤通道协议数据帧中的源设备标识得到服务器标识及其端口号，基于所述光纤通道协议数据帧中的目的设备标识得到磁盘阵列标识及其端口号；

将所述光纤通道协议指令帧中的始发站交换标识、所述服务器标识及其端口号和所述磁盘阵列标识及其端口号拼接作为读地址进行查询，读取查询到的所述内存中的逻辑单元号和逻辑区块地址；

采用所述服务器标识、所述磁盘阵列标识、所述逻辑单元号和逻辑区块地址拼接成密钥，对所述光纤通道协议数据帧进行加密或解密。

在本公开实施例的一种实现方式中，所述基于所述光纤通道协议指令帧中的源设备标识和目的设备标识得到服务器标识及其端口号、磁盘阵列标识及其端口号，包括：