通信与网络中的光纤通道存储区域网络上的通信与网络中的光纤通道存储区域网络上的FC加密卡设计加密卡设计
0引言 9.11带来的教训是惨痛的,尤其是那些在世贸中心的IT企业,因为它们的数据损失是灾难性的,这在
几年内都会对它们的业务产生影响.所以企业信息数据存储安全的重要性越来越被认可。而近年来的一些最没
有技术含量的失窃事件,反而让大众认识到为数据加密的重要性。 目前已经有多家厂商致力于存储加密标
准,希望让存储安全工具更容易和多种存储架构一同工作。 有关加密技术的实现可根据不同厂商与产品分
成三类:基于主机、基于网络(数据传输)以及基于磁带机。这有点类似实现虚拟存储的划分方式。 本文所
介绍的FC加密卡是基于网络层的,这是在设备I/O端口外接的一个硬件加密装置。本FC加密卡的主要
0引言
9.11带来的教训是惨痛的,尤其是那些在世贸中心的IT企业,因为它们的数据损失是灾难性的,这在几年内都会对它们的
业务产生影响.所以企业信息数据存储安全的重要性越来越被认可。而近年来的一些最没有技术含量的失窃事件,反而让大众
认识到为数据加密的重要性。
目前已经有多家厂商致力于存储加密标准,希望让存储安全工具更容易和多种存储架构一同工作。
有关加密技术的实现可根据不同厂商与产品分成三类:基于主机、基于网络(数据传输)以及基于磁带机。这有点类似实现
虚拟存储的划分方式。
本文所介绍的FC加密卡是基于网络层的,这是在设备I/O端口外接的一个硬件加密装置。本FC加密卡的主要功能有存储
加密、基于主机的身份认证、访问控制和安全日志等,同时还可以支持多种操作系统的服务器主机以及FC协议,并具有安
全、方便的管理配置界面,能可靠的接人到FC-SAN的应用环境。
1FC加密卡的应用环境
本FC加密卡主要用于采用光纤通道技术的FC-SAN中,可安装在存储服务器上的FC HBA卡和交换机/磁盘阵列FC接口之
间。主要功能是完成进出磁盘阵列的SCSI数据的加解密。FC加密卡的加密密钥采用USB KEY并以密文的形式注入,以配合主
机输入的解密密钥将工作密钥解密。同时也可以根据主机设定的控制策略,对进出磁盘阵列的有效数据进行加解密。本加密卡
的应用方式如图1所示。
2总体硬件设计
2.1 FC加密卡硬件设计
FC加密卡系统的总体结构如图2所示。该加密卡包含一块加密卡硬件和相应的驱动程序以及设备管理程序,同时包含2个2
GB的FC光收发模块,可用于连接HBA卡和磁盘阵列。此外,该加密卡还可通过PCI-E接口连接到计算机主板,然后通过设备
管理程序完成设备状态的检测、显示和日志记录等功能。密钥的注入也是设备管理程序的工作,而驱动程序则可用于完成与下
层驱动程序的接口功能。本FC加密卡硬件的总体结构如图3所示。本加密卡主要由三部分组成:光收发器、大容量FPGA和外
围附加电路。其中光收发模块可完成光电信号的转换功能,设计时可采用最高能支持2 Gbps的FC用光收发模块,该模块支持
热插拔,所以可将其中的一路光收发模块与服务器的HBA卡光接口相连,而将另一路与磁盘阵列的光接口相连。