CN105119719B - 一种安全存储系统的密钥管理方法 - Google Patents
一种安全存储系统的密钥管理方法 Download PDFInfo
- Publication number
- CN105119719B CN105119719B CN201510675608.9A CN201510675608A CN105119719B CN 105119719 B CN105119719 B CN 105119719B CN 201510675608 A CN201510675608 A CN 201510675608A CN 105119719 B CN105119719 B CN 105119719B
- Authority
- CN
- China
- Prior art keywords
- key
- array
- management center
- security management
- secure storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种安全存储系统的密钥管理方法,所述安全存储系统包括安全管理中心和安全存储阵列;所述安全管理中心负责密钥管理,安全存储阵列包括阵列控制器和磁盘存储单元,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密。本发明的积极效果是:安全高效;易用友好,可与存储设备无缝集成,密钥管理体系中业务逻辑之间的交互皆遵循业界标准的技术,具备可维护性和伸缩性;支持多种算法,满足不同业务需求,支持国产商密算法和通用加密算法。
Description
技术领域
本发明属于安全存储技术领域,具体涉及一种安全存储系统的密钥管理方法。
背景技术
目前,国内的安全存储系统产品较少,主要原因是存储设备的厂商一般不涉及信息安全领域。国外的NetApp的DecruDataFort设备是企业级的存储加密系统,它采用的技术路线是通过网关将所有数据加密后存储至后端,网络加密性能成为其重要性能瓶颈。EMC公司的Data Domain Encryption使用集中式加密密钥生命周期管理实现透明加解密,但是EMC的产品仅支持AES加密算法,不支持国产商密算法。
因此,研制安全高效的安全存储系统的关键是设计出安全高效的密钥管理体系。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种安全存储系统的密钥管理方法,安全存储系统由安全管理中心和安全存储阵列组成,安全管理中心负责密钥管理,安全存储阵列由阵列控制器和磁盘存储单元组成,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密。其中,密码设备既支持国产商用密码算法也支持多种通用算法,且可以根据用户的安全需求选用不同的密码算法。
本发明解决其技术问题所采用的技术方案是:一种安全存储系统的密钥管理方法,所述安全存储系统包括安全管理中心和安全存储阵列;所述安全管理中心负责密钥管理,安全存储阵列包括阵列控制器和磁盘存储单元,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密。
与现有技术相比,本发明的积极效果是:
1、安全高效。密钥分发和密钥协商都采用安全通道传输,密钥采用三层体系,层层向下加密,保障其安全,同时,安全存储阵列内部部署加密卡,实现本地高性能的透明加解密;
2、易用友好,可与存储设备无缝集成。密钥管理体系中业务逻辑之间的交互皆遵循业界标准的技术,具备可维护性和伸缩性;
3、支持多种算法,满足不同业务需求。支持国产商密算法和通用加密算法。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明方法的系统架构图。
具体实施方式
一种安全存储系统的密钥管理方法,其中:安全存储系统包括安全管理中心和安全存储阵列,其架构如图1所示,安全管理中心为安全存储系统的密钥管理中心,它负责对整个安全存储系统密钥进行全生命周期管理,它的功能主要由部署其中的代理服务端程序实现。安全存储阵列包含阵列控制器和盘组,安全存储阵列接收到安全管理中心下发的密文密钥数据,并负责密钥链的构建和安全存储,安全存储系统的加解密过程在安全存储阵列(主要由阵列控制器完成,其功能主要由代理客户端程序实现)内部实现,对上层应用访问是透明的,可无缝与数据库、Mail、OA等业务系统集成。
1.安全存储阵列中密钥分发过程
密钥分发过程术语约定:密钥分为三层,存储并逐层保护。上层密钥为安全存储阵列的设备密钥devMK,devMK用于保护密钥加密密钥KEK,devMK采用公钥加密存储;中间层是密钥加密密钥KEK,密钥加密密钥KEK用于加密数据加密密钥DEK;下层是数据加密密钥DEK,DEK用于加密数据。
安全存储阵列首次上线时,首先应在安全管理中心注册,若身份合法,则安全存储阵列中的代理客户端程序调用加密卡产生公私钥对,并将公钥发送到安全管理中心的代理服务端申请设备证书,代理服务端颁发设备证书,包含设备密钥devMK,并与根证书一起发放到安全存储阵列。
KEK和DEK密钥分发流程:
(1)安全管理中心启动下发KEK和DEK密钥(对应的设备、类型、数量)操作;
(2)安全管理中心检测代理服务端与代理客户端是否建立安全通道,如果没有则返回错误,否则继续;
(3)代理服务端为对应的阵列产生密钥,KEK采用devMK加密,DEK采用KEK加密,并将密钥进行存储;
(4)代理服务端通过安全通道下发密钥;
(5)代理客户端收到密钥验证密钥正确性(验证校验值),将密钥操作转递给阵列系统接口;
(6)代理客户端向代理服务端返回操作结果,成功更改密钥状态。
2.会话密钥协商流程
会话密钥协商过程的术语约定:KSK为安全管理中心的私钥,KPK为安全管理中心的公钥,ZSK为安全存储阵列的私钥,ZPK为安全存储阵列的公钥,SIG_ZSK(M)表示用安全存储阵列私钥ZSK对消息M签名,SIG_KSK(M)表示用安全管理中心私钥KSK对消息M签名,PEN_ZPK(M)表示用安全存储阵列的公钥ZPK对消息M加密,H(M)表示用杂凑算法对消息M做Hash运算,SK为会话密钥。
协商会话密钥SK的详细过程描述如下:
(1)安全存储阵列产生随机数r1,采用安全存储阵列的公钥加密,A=PEN_ZPK(r1),阵列对r1做签名运算,B=SIG_ZSK(H(r1)),将A和B发送到安全管理中心;
(2)安全管理中心接收A和B,用管理中心的私钥解密A,采用数据库存储的阵列公钥验签B,如验证通过,则接收r1;否则返回失败消息给安全存储阵列,要求重发;
(3)安全管理中心产生随机数r2,采用安全存储阵列公钥加密r1和r2,C=PEN_ZPK(r1,r2),安全管理中心对r1做签名运算,D=SIG_KSK(H(r2)),安全管理中心将C和D发送到安全存储阵列;
(4)安全存储阵列接收C和D,用安全存储阵列的私钥解密C,比较(1)产生的随机数r1是否一致,如一致,则接收;并且对D用安全管理中心的公钥验签,如验证通过,则接收r2;否则返回失败消息给安全管理中心,要求重发;
(5)通信双方合成会话密钥:SK=r1⊕r2,至此完成密钥协商,会话密钥可用于对通信数据进行加密。
Claims (4)
1.一种安全存储系统的密钥管理方法,其特征在于:所述安全存储系统包括安全管理中心和安全存储阵列;所述安全管理中心负责密钥管理,安全存储阵列包括阵列控制器和磁盘存储单元,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密,加解密过程的会话密钥协商流程为:
(1)安全存储阵列产生随机数r1,并对r1采用公钥加密后得到A,对r1做签名运算得到B,然后将A和B发送到安全管理中心;
(2)安全管理中心接收A和B,用私钥解密A,并采用数据库存储的阵列公钥验签B,若验证失败,则返回失败消息给安全存储阵列,要求重发,验证通过则接收r1,然后进入第(3)步;
(3)安全管理中心产生随机数r2,然后采用安全存储阵列的公钥对r1和r2加密后得到C,并对r1做签名运算得到D,然后将C和D发送到安全存储阵列;
(4)安全存储阵列接收C和D,用私钥解密C,并判断解密结果是否与第(1)步产生的随机数r1一致,如不一致,则返回失败消息给安全管理中心,要求重发;如一致,则接收,并且对D用安全管理中心的公钥验签,如验证通过,则接收r2,然后进入第(5)步;
(5)通信双方合成会话密钥:SK=r1⊕r2,至此完成密钥协商。
2.根据权利要求1所述的一种安全存储系统的密钥管理方法,其特征在于:所述密钥分发的流程为:
步骤一、devMK的发放:
安全存储阵列首次上线时,首先在安全管理中心注册,若身份合法,则安全存储阵列中的代理客户端程序调用加密卡产生公私钥对,并将公钥发送到安全管理中心的代理服务端申请设备证书,代理服务端颁发包含devMK的设备证书,并与根证书一起发放到安全存储阵列;
步骤二、KEK和DEK的分发:
(1)安全管理中心启动下发KEK和DEK密钥操作;
(2)安全管理中心检测代理服务端与代理客户端是否建立安全通道,如果没有则返回错误,反之则进入第(3)步;
(3)代理服务端为对应的阵列产生密钥,并采用devMK加密KEK,采用KEK加密DEK,然后将密钥进行存储;
(4)代理服务端通过安全通道下发密钥;
(5)代理客户端收到密钥,并在验证密钥正确后将密钥操作转递给阵列系统接口;
(6)代理客户端向代理服务端返回操作结果,成功更改密钥状态;
所述devMK是指作为上层密钥的安全存储阵列的设备密钥;所述KEK是指作为中间层密钥的密钥加密密钥;所述DEK是指作为下层密钥的数据加密密钥。
3.根据权利要求1所述的一种安全存储系统的密钥管理方法,其特征在于:所述安全存储阵列对r1做的签名运算为:B=SIG_ZSK(H(r1))。
4.根据权利要求1所述的一种安全存储系统的密钥管理方法,其特征在于:所述安全管理中心对r1做的签名运算为:D=SIG_KSK(H(r2))。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510675608.9A CN105119719B (zh) | 2015-10-16 | 2015-10-16 | 一种安全存储系统的密钥管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510675608.9A CN105119719B (zh) | 2015-10-16 | 2015-10-16 | 一种安全存储系统的密钥管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105119719A CN105119719A (zh) | 2015-12-02 |
| CN105119719B true CN105119719B (zh) | 2018-05-04 |
Family
ID=54667619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510675608.9A Active CN105119719B (zh) | 2015-10-16 | 2015-10-16 | 一种安全存储系统的密钥管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105119719B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681031B (zh) * | 2016-01-08 | 2018-12-21 | 成都卫士通信息产业股份有限公司 | 一种存储加密网关密钥管理系统及方法 |
| CN106712943A (zh) * | 2017-01-20 | 2017-05-24 | 郑州云海信息技术有限公司 | 一种安全存储系统 |
| CN108616537B (zh) * | 2018-04-28 | 2021-11-30 | 湖南麒麟信安科技股份有限公司 | 一种低耦合的通用数据加解密方法及系统 |
| CN110516435B (zh) * | 2019-09-02 | 2021-01-22 | 国网电子商务有限公司 | 一种基于生物特征的私钥管理方法及装置 |
| CN111709027A (zh) * | 2020-06-22 | 2020-09-25 | 湖南大学 | 一种数据存储安全管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512369A (zh) * | 2002-12-26 | 2004-07-14 | 成都卫士通信息产业股份有限公司 | 代理模式安全远程接入技术 |
| CN101983379A (zh) * | 2008-04-02 | 2011-03-02 | 惠普开发有限公司 | 盘驱动器数据加密 |
| CN103713854A (zh) * | 2012-10-08 | 2014-04-09 | 国际商业机器公司 | 实现自加密驱动的动态绑定 |
| CN103763315A (zh) * | 2014-01-14 | 2014-04-30 | 北京航空航天大学 | 一种应用于移动设备云存储的可信数据存取控制方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7877603B2 (en) * | 2006-09-07 | 2011-01-25 | International Business Machines Corporation | Configuring a storage drive to communicate with encryption and key managers |
-
2015
- 2015-10-16 CN CN201510675608.9A patent/CN105119719B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512369A (zh) * | 2002-12-26 | 2004-07-14 | 成都卫士通信息产业股份有限公司 | 代理模式安全远程接入技术 |
| CN101983379A (zh) * | 2008-04-02 | 2011-03-02 | 惠普开发有限公司 | 盘驱动器数据加密 |
| CN103713854A (zh) * | 2012-10-08 | 2014-04-09 | 国际商业机器公司 | 实现自加密驱动的动态绑定 |
| CN103763315A (zh) * | 2014-01-14 | 2014-04-30 | 北京航空航天大学 | 一种应用于移动设备云存储的可信数据存取控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105119719A (zh) | 2015-12-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106961336B (zh) | 一种基于sm2算法的密钥分量托管方法和系统 | |
| KR101999188B1 (ko) | 비밀 공유를 위한 타원 곡선 암호를 사용하는 개인용 장치 보안 | |
| CN103729942B (zh) | 将传输密钥从终端服务器传输到密钥服务器的方法及系统 | |
| US20240013212A1 (en) | Transferring cryptocurrency from a remote limited access wallet | |
| CN110460439A (zh) | 信息传输方法、装置、客户端、服务端及存储介质 | |
| CN102170357B (zh) | 组合密钥动态安全管理系统 | |
| CN105119719B (zh) | 一种安全存储系统的密钥管理方法 | |
| CN104980477B (zh) | 云存储环境下的数据访问控制方法和系统 | |
| CN107769922B (zh) | 区块链安全管理系统及方法 | |
| CN107819753B (zh) | 不完全匿名的区块链交易系统及方法 | |
| CN109067801A (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| KR20180116278A (ko) | 안전한 정보 교환과 계층 구조적이고 결정론적인 암호키를 위한 공통 비밀 결정 | |
| CN106301769A (zh) | 量子密钥输出方法、存储一致性验证方法、装置及系统 | |
| CN101771699A (zh) | 一种提高SaaS应用安全性的方法及系统 | |
| CN105553654B (zh) | 密钥信息处理方法和装置、密钥信息管理系统 | |
| CN109194523A (zh) | 隐私保护的多方诊断模型融合方法及系统、云端服务器 | |
| CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| CN107948156A (zh) | 一种基于身份的封闭式密钥管理方法及系统 | |
| CN102916971A (zh) | 一种电子数据固化系统及方法 | |
| CN107425971A (zh) | 终端及其无证书的数据加/解密方法和装置 | |
| CN107920052A (zh) | 一种加密方法及智能装置 | |
| CN106656489B (zh) | 一种面向移动支付的自助售卖设备与服务器间信息交互的安全提升方法 | |
| CN106972924A (zh) | 加密、解密、电子签章、验证签章的方法及装置 | |
| CN104200154A (zh) | 一种基于标识的安装包签名方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |