]S12:加密中間件對復制文本進行加密生成數據密文，將數據密文通過IP網絡發(fā)送至遠程服務器；
[0055]S13:遠程服務器將數據密文存儲于SCSI磁盤陣列作為鏡像數據。
[0056]其中，客戶端和本地存儲設備組成本地系統，本地系統和加密中間件位于本地網絡;遠程服務器和SCSI磁盤陣列組成鏡像系統，鏡像系統位于遠程網絡;本地網絡與遠程網絡之間通過IP網絡進行通信;加密中間件內嵌加密機制，對數據進行加解密處理。
[0057]本發(fā)明所提供的一種基于iSCSI的遠程鏡像方法，加密中間件能夠進行加密過程，即內嵌加密機制，客戶端和服務器端不進行加解密運算，只進行訪問控制，并且加密中間件對復制文本進行加密生成數據密文，將數據密文通過IP網絡發(fā)送至遠程服務器，遠程服務器將數據密文存儲于SCSI磁盤陣列作為鏡像數據，即整個過程在iSCSI層進行加密操作，加解密效率高，密鑰管理安全方便，數據傳輸和存儲的安全性很高，而且，由于數據加解密運算是CPU密集型運算，因此加密中間件分擔了客戶端和服務器端的CPU資源占用率，在一定程度上提高系統的讀寫性能，所以實現保證網絡數據傳輸和存儲的安全性，并提高系統的讀寫性能。
[0058]優(yōu)選的，所述方法還包括以下步驟:
[0059]S21:當本地存儲設備中的關鍵應用數據丟失時，客戶端通過IP網絡向遠程服務器發(fā)送鏡像數據請求；
[0060]S22:遠程服務器接收鏡像數據請求，將數據密文發(fā)送至加密中間件；
[0061 ] S22:加密中間件對數據密文進行解密，將數據密文解密成可用的數據明文，將數據明文發(fā)送至客戶端。
[0062]具體的，加密中間件包括目標驅動器模塊、tgt內核模塊、用戶空間守護進程模塊、加解密模塊、啟動器模塊和以太網適配器模塊。其中，加解密模塊包括加密單元和解密單
J L.ο
[0063]基于步驟S12，步驟S12優(yōu)選采用以下步驟實現:
[0064]S1:目標驅動器模塊接收復制文本，激活SCSI命令和任務管理請求，將SCSI命令、任務管理請求及復制文本發(fā)送至tgt內核模塊；
[0065]S2:tgt內核模塊將SCSI命令、任務管理請求及復制文本發(fā)送至用戶空間守護進程豐旲塊;
[0066]S3:用戶空間守護進程模塊接收任務管理請求和SCSI命令，調用加解密模塊對復制文本進行加密生成數據密文；
[0067]S4:用戶空間守護進程模塊將數據密文發(fā)送至啟動器模塊；
[0068]S5:啟動器模塊利用以太網適配器模塊將數據密文發(fā)送至遠程服務器。
[0069]優(yōu)選的，所述方法還包括以下步驟:
[0070]S31:加密中間件接收客戶端發(fā)送的讀寫請求，判斷讀寫請求的讀寫操作碼為寫操作碼2a還是寫操作碼28;
[0071]S32:若判斷讀寫操作碼為寫操作碼2a，加密中間件對客戶端傳來的數據信息進行加密，將加密后的密文信息發(fā)送至遠程服務器進行存儲備份；
[0072]S33:若判斷讀寫操作碼為讀操作碼28，加密中間件從遠程服務器中讀取密文信息，對密文信息進行解密操作，將解密后生成的明文信息發(fā)送至客戶端。
[0073]詳細的，在基于iSCSI的遠程鏡像方法中，利用本地網絡、IP網絡、遠程網絡這三部分。本地網絡與遠程網絡之間通過IP網絡進行通信。本地系統與加密中間件位于本地網絡，鏡像系統位于遠程網絡。本地系統主要包括客戶機與本地存儲設備，鏡像系統主要包括服務器和SCSI磁盤陣列。
[0074]加密中間件內嵌加密機制，客戶端和服務器端不進行加解密運算，只進行訪問控制，在iSCSI層進行加密操作，加解密效率高，密鑰管理安全方便。由于數據加解密運算是CPU密集型運算，因此加密中間件分擔了客戶端和服務器端的CPU資源占用率，在一定程度上提高系統的讀寫性能。加密中間件獨立于前端主機和后端存儲，易于部署。利用加密中間件實現的遠程鏡像過程不僅保證了網絡數據傳輸和存儲的安全性，而且在一定程度上提高了系統性能。服務器端即指遠程服務器。
[0075]鏡像過程中存取數據的流程如圖2所示?？蛻舳藢㈥P鍵應用數據先在本地存儲設備中存儲一份，關鍵應用數據為iSCSI數據，同時客戶端將關鍵應用數據復制一份經過加密中間件加密處理變?yōu)閿祿芪?，數據密文為加密的iSCSI數據塊，數據密文經過IP網絡發(fā)送給遠程服務器，遠程服務器將收到的數據密文存儲于SCSI磁盤陣列中用于容災備份?？蛻舳讼葟谋镜卮鎯υO備讀取數據即關鍵應用數據進行使用，當地域性災難發(fā)生，造成本地存儲設備中數據丟失和破壞，導致本地系統中的存儲數據失去使用價值。此時，客戶端讀取遠程服務器存儲在SCSI磁盤陣列中備份的數據密文，數據密文流經加密中間件被解密為可用的數據明文，供客戶端使用或用于恢復本地存儲設備中的數據，從而保證工作的正常進行。
[0076]加密中間件的加解密功能模塊主要基于目標器框架模塊中數據流的讀寫走向實現，加解密功能模塊的算法通過封裝OpenSSL庫中的AES算法實現。加密中間件主要功能模塊如圖3。從功能模塊可以看出加密中間件獨立于前機和后端服務器，內有獨立目標器模塊和啟動器模塊相連對整個系統是透明的。客戶端向遠程服務器發(fā)送SCSI鏡像數據即SCSI數據的復制文本時，加密中間件內功能模塊間的交互關系如下:首先客戶端通過本地網絡將數據信息即SCSI鏡像數據送至加密中間件的tgt架構的目標驅動器模塊(targetdrivers)，目標驅動器模塊負責管理向啟動器模塊傳送連接請求和指令，以及硬件與tgt內核模塊(tgtcore)之間或互聯子系統與tgt內核模塊之間的任務管理請求。數據信息繼續(xù)上傳到tgt內核模塊，tgt內核模塊是目標驅動器模塊與用戶空間守護進程模塊(tgtd)之間一個簡單的連接器，目標驅動器模塊通過網絡連接接口向用戶空間守護進程模塊傳送SCSI命令和任務管理請求。最后數據信息到達用戶空間守護進程模塊，該模塊是用戶空間的進程模塊，它獨立于傳輸協議和目標驅動器模塊，是SCSI狀態(tài)機，處理SCSI命令和任務管理請求，該模塊調用加解密模塊(Encrypt&decrypt)中的加密單元對數據信息進行加密處理，加解密模塊包括加密單元和解密單元。加密后的數據密文被傳送到啟動器模塊(iSCSIinitiator)，然后通過以太網適配器模塊(NICdriver)將加密數據發(fā)送到遠端鏡像系統的存儲設備進行數據備份。tgt架構中的tgt管理工具模塊是一個簡單的管理工具，用戶空間守護進程模塊啟動后，主要負責存儲設備上目標節(jié)點和邏輯單元的創(chuàng)建或刪除，并顯示與客戶端的連接狀態(tài)信息等。
[0077]另外，客戶端讀取鏡像系統數據功能模塊之間的交互是上述過程的逆過程，主要區(qū)別是調用加解密模塊中的解密單元，對讀取的數據密文解密處理得到數據明文供客戶端使用。
[0078]加密中間件的主要作用是對網絡數據流進行加解密處理。加密中間件的數據處理流程如圖4。客戶端與遠程服務器經過協商，交換登錄協議數據單元，進行身份認證，協商并相互認證后，iSCSI鏡像過程進入通信連接階段。連接建立后，客戶端向遠程服務器發(fā)送讀寫請求，加密中間件根據收到的讀寫請求的讀寫操作碼來判斷數據的加解密操作類型。當收到寫操作碼2a，加密中間件則對客戶端傳來的數據信息進行加密處理，并將加密后的密文信息送到遠程服務器存儲備份。如果收到讀操作碼28，加密中間件從遠程服務器中讀取備份數據即密文信息，對其進行解密操作，解密后的明文信息供客戶端用戶使用。
[0079]雖然對稱加密技術在加密強度和運算速度方面完全能勝任并保證重要數據信息在網絡中傳輸，但它有一個致命的弱點，加解密用的是同一個密鑰，通信雙方的共享密鑰在網絡上如何安全傳送仍是需要關注的問題。由于遠程服務器主要存放數據密文用于數據容災，因此密鑰保存在本地網絡，不需要在網絡上傳輸加密密鑰，避免了密鑰在網絡中傳輸的不安全性問題。密文與密鑰的存儲位置如圖5所示。基本原理為:用戶數據在通信之前，發(fā)送方利用SHA1散列算法將用于產生密鑰的口令字符串生成一個固定長度的加密密鑰，用OpenSSL庫中的AES算法對要傳送的數據加密，密文通過以太網被傳送到遠端存儲，即傳輸到遠程服務器，由遠程服務器存儲在SCSI磁盤陣列，加密密鑰保存在本地，即保存在本地存儲設備，解密操作在客戶端進行，解密數據信息供本地用戶使用。
[0080]在遠程鏡像過程中添加加密中間件的主要優(yōu)點為:在iSCSI層進行加密操作，加解密效率高，密鑰管理安全方便;鏡像數據以密文的形式傳輸和存儲;加密中間件獨立于前端主機和后端存儲，易于部署;加密中間件負責加解密運算，減輕主機和服務器負擔?；诩用苤虚g件實現的鏡像方法不僅保證了網絡數據傳輸和存儲的安全性，而且在一定程度上提高了系統性能。
[0081]請參考圖6，圖6為本發(fā)明提供的一種基于iSCSI的遠程鏡像系統的結構示意圖，該系統包括:
[0082]客戶端101，用于將關鍵應用數據存儲于本地存儲設備102，并復制一份關鍵應用數據，將關鍵應用數據的復制文本發(fā)送至加密中間件10