CN103414555A - 阵列基于io块加密的密钥管理方法 - Google Patents
阵列基于io块加密的密钥管理方法 Download PDFInfo
- Publication number
- CN103414555A CN103414555A CN2013103552409A CN201310355240A CN103414555A CN 103414555 A CN103414555 A CN 103414555A CN 2013103552409 A CN2013103552409 A CN 2013103552409A CN 201310355240 A CN201310355240 A CN 201310355240A CN 103414555 A CN103414555 A CN 103414555A
- Authority
- CN
- China
- Prior art keywords
- key
- handle
- numbering
- array
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种阵列基于IO块加密的密钥管理方法,其具体方法为:在阵列内存中生成一个密钥句柄链池,采用新密钥加密时,判断密钥句柄链中句柄数量是否小于限定值,是,则生成句柄并插入到根节点后,句柄数量加一,否,则删除最后一个tail节点,然后生成句柄并插入到根节点后,然后将新密钥导入硬件加密设备生成句柄,并将该句柄插入到密钥句柄链的头节点中;同时将最新的访问阵列进行IO编号,与密钥以IO编号为关键字插入到快速查找树中,并保留与密钥句柄链的关联关系;当读取数据时,根据IO编号快速查找到对应的密钥,根据对应的句柄链操作得到密钥句柄,最后解密数据返回。
Description
技术领域
本发明涉及一种阵列基于IO块加密的密钥管理方法,特别是涉及一种适用于信息安全领域阵列基于IO块加密的密钥管理方法。
背景技术
随着信息化建设的不断推进,各行业、企事业单位利用计算机系统和计算机网络技术进行关键业务数据处理、存储的需求越来越大。但通过网络进行数据存储这种方式不同于传统数据物理隔离的存储方式,网络存储将数据置于网络环境中,使得这些数据被非法访问、盗用和滥用的风险骤增。
对于存储阵列系统而言,必须解决数据安全问题,其中数据的机密性涉及到大数据量的加密,当前多数厂家采用SAN/NAS协议网关加密模式、一体化存储加密模式。无论采用那种模式,都涉及到大数据加密的密钥量的管理问题。
大数据存储加密系统要求高速、高效性,因此不能在密钥管理上消耗过多。
系统采用硬件加密,加密的密钥使用密钥句柄进行密码运算,由于硬件设备资源有限,导致句柄数量受限。
发明内容
本发明要解决的技术问题是提供一种利用有限硬件资源,实现高效加密密钥的密钥管理方法,该方法采用阵列基于IO块加密的密钥管理方法,结合句柄链池,当采用新密钥加密时,将新密钥导入硬件加密设备生成句柄,并将该句柄插入到密钥句柄链的头节点中,实现高效的句柄定位,同时将最新的访问阵列IO编号与密钥以IO编号为关键字插入到快速查找树中,根据IO编号快速查找到对应的密钥,根据对应的句柄链操作得到密钥句柄,最后解密数据返回,从而实现块的加解密。该方法利用有限的硬件资源,实现高效加密密钥,完成大数据存储加密的高速、高效性。
本发明采用的技术方案如下:一种阵列基于IO块加密的密钥管理方法,其具体方法为:在阵列内存中生成一个密钥句柄链池,采用新密钥加密时,判断密钥句柄链中句柄数量是否小于限定值,是,则生成句柄并插入到根节点后,句柄数量加一,否,则删除最后一个tail节点,然后生成句柄并插入到根节点后,然后将新密钥导入硬件加密设备生成句柄,并将该句柄插入到密钥句柄链的头节点中;同时将最新的访问阵列进行IO编号,与密钥以IO编号为关键字插入到快速查找树中,并保留与密钥句柄链的关联关系;当读取数据时,根据IO编号快速查找到对应的密钥,根据对应的句柄链操作得到密钥句柄,最后解密数据返回。
作为优选,所述密钥句柄链池生成的具体方法为:将最近使用的密钥关系链接在一起形成一个句柄链池。
作为优选,对阵列进行IO编号的具体方法为:在存储阵列中给每个读写磁盘块IO根据时间生成IO编号。
作为优选,所述IO编号与数据块一起同时存储在磁盘块中。
作为优选,所述IO编号是根据时间的递增生成的,且不受系统时间的影响。
作为优选,所述IO编号为64位。
作为优选,写入磁盘块时总是采用最大编号的IO编号对应的密钥句柄加密数据块,并与当前访问阵列IO编号组包后通过一个IO操作写入磁盘。
作为优选,所述快速查找树是采用平衡二叉树,包括:键值数量、密钥、键值、密钥句柄和平衡因子;所述键值数量为3到5,所述键值为5,所述平衡因子为左子树与右子树高度之差不超过1。
与现有技术相比,本发明的有益效果是:该方法利用有限的硬件资源,实现高效加密密钥,完成大数据存储加密的高速、高效性。
其进一步的有益效果是:
1、IO编号与加密数据块一起存储在磁盘块中,当读取数据时根据IO编号找到对应的密钥进行解密,查找简单快捷。
2、IO编号按照时间递增,且不受系统时间的影响,采用该方式顺序读写数据块速度更快。
3、IO编号为64位,64位足够大不会存在用尽的问题。
4、设置键值为5,既保证只需两次查找的少次数超找量,又保证两次查找的最大存储量;既保证了快速查找,又保证了最大的存储空间。
5、设置键值数量至少3个,避免存储空间的浪费。
附图说明
图1为本发明其中一实施例的IDZ与密钥和数据块的对应关系图。
图2为本发明密钥句柄链池结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本说明书中公开的所有特征,除了互相排除的特征以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
一种阵列基于IO块加密的密钥管理方法,其具体方法为:在阵列内存中生成一个密钥句柄链池,采用新密钥加密时,判断密钥句柄链中句柄数量是否小于限定值,是,则生成句柄并插入到根节点后,句柄数量加一,否,则删除最后一个tail节点,然后生成句柄并插入到根节点后,然后将新密钥导入硬件加密设备生成句柄,并将该句柄插入到密钥句柄链的头节点中;同时将最新的访问阵列进行IO编号,与密钥以IO编号为关键字插入到快速查找树中,并保留与密钥句柄链的关联关系;当读取数据时,根据IO编号快速查找到对应的密钥,根据对应的句柄链操作得到密钥句柄,最后解密数据返回。
如图1所示,所述密钥句柄链池生成的具体方法为:为管理密钥句柄,将最近使用(可根据具体需求进行设置,如可将10次以内使用的定位为最近使用的。)的密钥关系链接在一起形成一个句柄链池。
对阵列进行IO编号的具体方法为:在存储阵列中给每个读写磁盘块IO根据时间生成IO编号。
所述IO编号与数据块一起同时存储在磁盘块中。
所述IO编号是根据时间的递增生成的,且不受系统时间的影响。
所述IO编号为64位。
写入磁盘块时总是采用最大编号的IO编号对应的密钥句柄加密数据块,并与当前访问阵列IO编号组包后通过一个IO操作写入磁盘。
在基于数据块加密的存储加密系统中,一定数据量的加密数据块使用的加密密钥(DEK)是不同的,因此加密密钥与数据块对应的关系链的高效管理至关重要,这个关系链叫密钥链。
在存储阵列中给每个读写磁盘块IO根据时间生成递增的64位IO编号(64位足够大不会存在用尽的问题),在本发明中将这个编号叫IDZ,且IDZ与数据块一起同时存储在磁盘块中。
如图2所示,IDZ与加密数据块一起存储在磁盘块中,当读取数据时根据IDZ找到对应的密钥进行解密。
对于本方法原理限制条件:
1、加密密钥DEK在内存中处理,且一旦使用不能在内存中被删除,除非重启系统重建索引;
2、IDZ按照时间递增,且不受系统时间的影响,采用该方式顺序读写数据块速度更快。
如图2所示,按照时间划分,每批量的数据块用一个加密密钥进行加密。IDZ1至IDZ2的数据块采用DEK1加密数据,IDZ3至IDZ5采用DEK2加密,如此类推。
所述快速查找树是采用平衡二叉树,包括:键值数量、密钥、键值、密钥句柄和平衡因子;所述键值数量为3到5,所述键值为5,所述平衡因子为左子树与右子树高度之差不超过1。
采用平衡树实现快速查找定位密钥句柄,该实现针对内存访问优化索引技术,它是一种节点包含多个键值条目的平衡二叉树,每个节点内的关键字有序排列,并实现了关键字的范围查询。
该树具有以下特点:
1、树左子树与右子树高度之差不超过1;
2、一个节点可以存储多个值,且这些值有序排列,这里取值为5,既保证只需两次查找的少次数超找量,又保证两次查找的最大存储量;既保证了快速查找,又保证了最大的存储空间;
3、一个节点的最左值与右值分别是这个节点的最小值与最大值,它的左子树仅仅包含小于最小值的记录节点,同理,右子树仅仅包含大于最大值的记录节点;
4、每个节点内部键值数目必须不小等于指定的数量值,这里取值为3,避免存储空间的浪费;
在本发明中,平衡树主要完成查找及插入操作,其中插入操作以查找为基础。对树的维护以其旋转平衡为关键。在插入的情况下,依次对所有沿新节点到根节点中的节点路径进行检查:该节点的二个字树高度相等,此时不需要旋转;该节点的二个字树高度差大于1,此时需一次旋转。由此对于插入操作最多只需要一次旋转操作。删除操作将耗更多的时间,应避免键值的删除。
系统节点存储结构TTREE_ITEM结构需要如下关键信息:
{
Int keynum; 键值数量
Unsigned char key[5][32];密钥
Uint64_t idz[5]; 键值idz
Void* handle[5]; 密钥句柄
TTREE_ITEM *r,*l; 右子树、左子树
Int b;平衡因子
};
查找算法的实现,首先查找目标值IDZX是否在当前节点的最左值与最右值范围内,如果是的话一般采用二分法查找,这里采用顺序查找,如果目标值小于最左值,则搜索在左子树,如果目标值大于最右值,则搜索在右子树。
TTREE_ITEM *pitem;
int i;
pitem = 根节点;
while(pitem)
{
for(i=0;i< keynum当前节点键值数量;i++)
{
if(IDZX<=pitem->idz[i])
break;
}
if(i== pitem->keynum) //IDZ大于最右值
pitem=pitem->r;
else if(IDZX>=pitem->idz[0])//已匹配位置i,必然不小于最左值
{
//表示IDZX采用当前节点i位置对应的密钥加密
if i位置对应节点没有句柄
{
生存密钥句柄并插入句柄链(算法参考前面的描述);
}
返回i位置对应的密钥句柄;
}
else
pitem=pitem->l;
}
该算法返回的值是范围查找关系,可以满足图2的需求。其中,每个句柄链中的节点需要保存指向查找树节点的指针,用于句柄链改变时可直接修改查找树中的句柄值。
当有新密钥产生,需要插入节点,插入节点可能会破环树的平衡,因此需要旋转树,其方法与普通树的旋转方式类式。
在本具体实施例中,对于插入操作最多只进行一次旋转操作就可以恢复到平衡状态。
Claims (8)
1.一种阵列基于IO块加密的密钥管理方法,其具体方法为:在阵列内存中生成一个密钥句柄链池,采用新密钥加密时,判断密钥句柄链中句柄数量是否小于限定值,是,则生成句柄并插入到根节点后,句柄数量加一,否,则删除最后一个tail节点,然后生成句柄并插入到根节点后,然后将新密钥导入硬件加密设备生成句柄,并将该句柄插入到密钥句柄链的头节点中;同时将最新的访问阵列进行IO编号,与密钥以IO编号为关键字插入到快速查找树中,并保留与密钥句柄链的关联关系;当读取数据时,根据IO编号快速查找到对应的密钥,根据对应的句柄链操作得到密钥句柄,最后解密数据返回。
2.根据权利要求1所述的方法,所述密钥句柄链池生成的具体方法为:将最近使用的密钥关系链接在一起形成一个句柄链池。
3.根据权利要求1所述的方法,对阵列进行IO编号的具体方法为:在存储阵列中给每个读写磁盘块IO根据时间生成IO编号。
4.根据权利要求1所述的方法,所述IO编号与数据块一起同时存储在磁盘块中。
5.根据权利要求3所述的方法,所述IO编号是根据时间的递增生成的,且不受系统时间的影响。
6.根据权利要求3或5所述的方法,所述IO编号为64位。
7.根据权利要求5所述的方法,写入磁盘块时总是采用最大编号的IO编号对应的密钥句柄加密数据块,并与当前访问阵列IO编号组包后通过一个IO操作写入磁盘。
8.根据权利要求1所述的方法,所述快速查找树是采用平衡二叉树,包括:键值数量、密钥、键值、密钥句柄和平衡因子;所述键值数量为3到5,所述键值为5,所述平衡因子为左子树与右子树高度之差不超过1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310355240.9A CN103414555B (zh) | 2013-08-15 | 2013-08-15 | 阵列基于io块加密的密钥管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310355240.9A CN103414555B (zh) | 2013-08-15 | 2013-08-15 | 阵列基于io块加密的密钥管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103414555A true CN103414555A (zh) | 2013-11-27 |
CN103414555B CN103414555B (zh) | 2016-08-10 |
Family
ID=49607541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310355240.9A Active CN103414555B (zh) | 2013-08-15 | 2013-08-15 | 阵列基于io块加密的密钥管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103414555B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105630779A (zh) * | 2014-10-27 | 2016-06-01 | 杭州海康威视系统技术有限公司 | 一种基于分布式文件系统的小文件存储方法和装置 |
CN106294545A (zh) * | 2016-07-22 | 2017-01-04 | 中国农业银行股份有限公司 | 一种树形结构数据的访问方法及装置 |
CN107395350A (zh) * | 2017-08-22 | 2017-11-24 | 深圳市文鼎创数据科技有限公司 | 密钥及密钥句柄的生成方法、系统及智能密钥安全设备 |
CN111556071A (zh) * | 2020-05-12 | 2020-08-18 | 深圳市汇智通咨询有限公司 | 一种用于计算机的数据加密算法与系统 |
CN112235102A (zh) * | 2020-09-29 | 2021-01-15 | 北京智芯微电子科技有限公司 | 混合式密钥存储和管理方法及存储设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040111389A1 (en) * | 2002-12-09 | 2004-06-10 | Microsoft Corporation | Managed file system filter model and architecture |
CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
CN101582760A (zh) * | 2008-05-16 | 2009-11-18 | 中国科学院研究生院 | 一种基于树结构的密钥加密存储方法 |
CN102171968A (zh) * | 2008-10-10 | 2011-08-31 | 松下电器产业株式会社 | 信息处理装置、方法、程序及集成电路 |
-
2013
- 2013-08-15 CN CN201310355240.9A patent/CN103414555B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040111389A1 (en) * | 2002-12-09 | 2004-06-10 | Microsoft Corporation | Managed file system filter model and architecture |
CN101582760A (zh) * | 2008-05-16 | 2009-11-18 | 中国科学院研究生院 | 一种基于树结构的密钥加密存储方法 |
CN102171968A (zh) * | 2008-10-10 | 2011-08-31 | 松下电器产业株式会社 | 信息处理装置、方法、程序及集成电路 |
CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
Non-Patent Citations (1)
Title |
---|
杨波: ""可信计算平台密钥管理机制的应用与研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105630779A (zh) * | 2014-10-27 | 2016-06-01 | 杭州海康威视系统技术有限公司 | 一种基于分布式文件系统的小文件存储方法和装置 |
CN106294545A (zh) * | 2016-07-22 | 2017-01-04 | 中国农业银行股份有限公司 | 一种树形结构数据的访问方法及装置 |
CN107395350A (zh) * | 2017-08-22 | 2017-11-24 | 深圳市文鼎创数据科技有限公司 | 密钥及密钥句柄的生成方法、系统及智能密钥安全设备 |
CN107395350B (zh) * | 2017-08-22 | 2019-12-20 | 深圳市文鼎创数据科技有限公司 | 密钥及密钥句柄的生成方法、系统及智能密钥安全设备 |
CN111556071A (zh) * | 2020-05-12 | 2020-08-18 | 深圳市汇智通咨询有限公司 | 一种用于计算机的数据加密算法与系统 |
CN111556071B (zh) * | 2020-05-12 | 2020-12-04 | 深圳市汇智通咨询有限公司 | 一种用于计算机的数据加密算法与系统 |
CN112235102A (zh) * | 2020-09-29 | 2021-01-15 | 北京智芯微电子科技有限公司 | 混合式密钥存储和管理方法及存储设备 |
CN112235102B (zh) * | 2020-09-29 | 2023-07-21 | 北京智芯微电子科技有限公司 | 混合式密钥存储和管理方法及存储设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103414555B (zh) | 2016-08-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | Searchable symmetric encryption with forward search privacy | |
Demertzis et al. | Dynamic searchable encryption with small client storage | |
Du et al. | Privacy-preserving indexing and query processing for secure dynamic cloud storage | |
US11144663B2 (en) | Method and system for search pattern oblivious dynamic symmetric searchable encryption | |
US11709948B1 (en) | Systems and methods for generation of secure indexes for cryptographically-secure queries | |
Demertzis et al. | Fast searchable encryption with tunable locality | |
CN105678189B (zh) | 加密数据文件存储和检索系统及方法 | |
US8930691B2 (en) | Dynamic symmetric searchable encryption | |
Williams et al. | Single round access privacy on outsourced storage | |
US8533489B2 (en) | Searchable symmetric encryption with dynamic updating | |
Li et al. | Towards privacy-preserving storage and retrieval in multiple clouds | |
Rizomiliotis et al. | ORAM based forward privacy preserving dynamic searchable symmetric encryption schemes | |
CN103414555B (zh) | 阵列基于io块加密的密钥管理方法 | |
Peng et al. | LS-RQ: A lightweight and forward-secure range query on geographically encrypted data | |
Ramya et al. | SecDedoop: secure deduplication with access control of big data in the HDFS/hadoop environment | |
Li et al. | Multi-keyword fuzzy search over encrypted cloud storage data | |
Li | Research of key technologies on encrypting vector spatial data in oracle spatial | |
Sreekumari | Privacy-preserving keyword search schemes over encrypted cloud data: an extensive analysis | |
Zhang et al. | S-oram: A segmentation-based oblivious ram | |
Rizomiliotis et al. | Simple forward and backward private searchable symmetric encryption schemes with constant number of roundtrips | |
Sun et al. | Research of data security model in cloud computing platform for SMEs | |
CN113626836A (zh) | 一种基于lsm的对称可搜索加密方法及系统 | |
Alyousif et al. | Improving the performance of searchable symmetric encryption by optimizing locality | |
CN113722366A (zh) | 一种基于不经意密文倒排索引的安全数据检索方法 | |
Mu et al. | Encrypted data retrieval scheme based on bloom filter |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |