CN106529350A - 一种安全存储系统 - Google Patents
一种安全存储系统 Download PDFInfo
- Publication number
- CN106529350A CN106529350A CN201611041122.0A CN201611041122A CN106529350A CN 106529350 A CN106529350 A CN 106529350A CN 201611041122 A CN201611041122 A CN 201611041122A CN 106529350 A CN106529350 A CN 106529350A
- Authority
- CN
- China
- Prior art keywords
- pcie
- encryption
- key
- storage device
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种安全存储系统,包括:存储设备,与存储设备的PCIE卡插槽部插接的PCIE加密卡,PCIE加密卡用于根据自身存储的数据加密秘钥对输入存储设备中的数据进行加密。存储设备上设有通用的PCIE卡插槽部,将存储有数据加密秘钥的PCIE加密卡和存储设备连接,通过加密卡对于数据高速的加密功能,实现对于数据流的实时加解密,从而将加密设备和存储设备融合在一起,由于PCIE本身具有热插拔的特性,从而实现了PCIE加密卡的热插拔功能;当PCIE加密卡出现故障时可以方便进行热替换,保证了加密功能的稳定性和可靠性,同时避免加密部分出现故障时必须暂停所有的业务的情况。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种安全存储系统。
背景技术
计算机信息安全一直是计算机研究的一个重要课题。自从斯诺登事件以来信息安全的重要性更上一个层次,成为国家安全的重要组成部分。
数据安全包括以数据加密等保持数据完整性为目的的诸多工作,也包括了以完全破坏数据完整性为目的的数据销毁工作。目前在信息安全上主要包含如下三个层次的加密实现:应用层数据直接加密,文件系统层次的加密,SAN存储网络的加密。目前在SAN存储网络加密中主要是采用在网络上进行加密,即在主机和存储之间加入存储加密网关和秘钥管理设备,而在加密网关后面才是最终的存储,这所有的设备组合起来组成了安全存储。其优点在于将存储系统和加密系统相互分离。任何的数据都需要通过加密系统才能够达到存储系统。这样将存储业务和加密业务相互分离,对于实现上更简单。缺点在于存储业务难以在最大程度上和加密功进行融合。另外,由于所有数据都会流经加密系统,则加密系统的可靠性,稳定性和性能就会成为整体安全存储系统的瓶颈。并且一旦加密系统出现故障,必须要暂停所有的业务,成本较高。
因此,如何既能实现保证加密功能的稳定性和可靠性,同时又能避免加密部分出现故障时必须暂停所有的业务的情况,是本领域技术人员目前需要解决的技术问题。
发明内容
本发明的目的是提供一种安全存储系统,既能实现保证加密功能的稳定性和可靠性,同时又能避免加密部分出现故障时必须暂停所有的业务的情况。
为解决上述技术问题,本发明提供了如下技术方案:
一种安全存储系统,包括:存储设备,与所述存储设备的PCIE卡插槽部插接的PCIE加密卡,所述PCIE加密卡用于根据自身存储的数据加密秘钥对输入所述存储设备中的数据进行加密。
优选地,还包括:主秘钥管理模块,用于生成所述数据加密秘钥、为所述数据加密秘钥进行加解密的主密钥,并控制所述主密钥和所述数据加密秘钥的分发、保存、备份和恢复。
优选地,还包括:多个usbkey,用于存储所述主密钥。
优选地,还包括:
从秘钥管理模块,用于和所述主密钥管理模块进行主密钥和数据加密秘钥的同步;
切换管理单元,用于在所述存储设备的双控端进行主控切换或者单控制器宕机时,切换所述从秘钥管理模块执行所述主秘钥管理模块的功能。
优选地,所述存储设备设有基于Linux内核的pciehp模块,用于响应所述PCIE加密卡的热插拔。
优选地,所述pciehp模块包括:
PCIE链路建立单元,用于在所述PCIE加密卡插入所述PCIE卡插槽时进行感知,并进行PCIE链接;
PCIE链路断开单元,用于在所述PCIE加密卡拔出所述PCIE卡插槽,且所述存储设备完成数据流的暂停时,断开PCIE链接。
优选地,所述PCIE卡插槽部为PCIE卡插槽或PCIE卡转接器。
与现有技术相比,上述技术方案具有以下优点:
本发明所提供的一种安全存储系统,包括:存储设备,与存储设备的PCIE卡插槽部插接的PCIE加密卡,PCIE加密卡用于根据自身存储的数据加密秘钥对输入存储设备中的数据进行加密。存储设备上设有通用的PCIE卡插槽部,将存储有数据加密秘钥的PCIE加密卡和存储设备连接,通过加密卡对于数据高速的加密功能,实现对于数据流的实时加解密,从而将加密设备和存储设备融合在一起,由于PCIE本身具有热插拔的特性,从而实现了PCIE加密卡的热插拔功能;当PCIE加密卡出现故障时可以方便进行热替换,保证了加密功能的稳定性和可靠性,同时避免加密部分出现故障时必须暂停所有的业务的情况。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种具体实施方式所提供的安全存储系统结构示意图。
具体实施方式
本发明的核心是提供一种安全存储系统,既能实现保证加密功能的稳定性和可靠性,同时又能避免加密部分出现故障时必须暂停所有的业务的情况。
为了使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施方式做详细的说明。
在以下描述中阐述了具体细节以便于充分理解本发明。但是本发明能够以多种不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广。因此本发明不受下面公开的具体实施的限制。
请参考图1,图1为本发明一种具体实施方式所提供的安全存储系统结构示意图。
本发明的一种具体实施方式提供了一种安全存储系统,包括:存储设备1,与存储设备1的PCIE卡插槽部插接的PCIE加密卡2,PCIE加密卡2用于根据自身存储的数据加密秘钥对输入存储设备1中的数据进行加密。
进一步地,存储设备1设有基于Linux内核的pciehp模块,用于响应PCIE加密卡的热插拔。pciehp模块包括:PCIE链路建立单元,用于在PCIE加密卡插入PCIE卡插槽时进行感知,并进行PCIE链接;PCIE链路断开单元,用于在PCIE加密卡拔出PCIE卡插槽,且存储设备完成数据流的暂停时,断开PCIE链接。PCIE卡插槽部为PCIE卡插槽或PCIE卡转接器。
在本实施方式中,存储设备上设有通用的PCIE卡插槽或PCIE卡转接器,将存储有数据加密秘钥的PCIE加密卡和存储设备连接,通过加密卡对于数据高速的加密功能,实现对于数据流的实时加解密,从而将加密设备和存储设备融合在一起,由于PCIE本身具有热插拔的特性,从而实现了PCIE加密卡的热插拔功能;同时利用加密卡提供的丰富的加密算法,可以为用户提供丰富的符合一定标准的加密算法。当PCIE加密卡出现故障时可以方便进行热替换,保证了加密功能的稳定性和可靠性,同时避免加密部分出现故障时必须暂停所有的业务的情况。PCIE协议天然是支持热插拔的,利用Linux内核的pciehp模块可以方便实现加密卡的热插拔,从而为用户在正常IO的过程中提供维护加密卡的能力,提高设备的可维护性。在插入加密卡的时候,pciehp模块会完成热插入的流程,并感知PCIE链接的建立,这个时候加密卡内的驱动可以开始数据流加解密的过程;当拔出加密卡时,加密卡的驱动通知上层应用完成数据流的暂停,然后pciehp模块断开PCIE链接,实现拔出流程。
在本发明的一种实施方式中,该系统还包括:主秘钥管理模块,用于生成数据加密秘钥、为数据加密秘钥进行加解密的主密钥,并控制主密钥和数据加密秘钥的分发、保存、备份和恢复。
进一步地,还包括:多个usbkey,用于存储主密钥;从秘钥管理模块,用于和主密钥管理模块进行主密钥和数据加密秘钥的同步;切换管理单元,用于在存储设备的双控端进行主控切换或者单控制器宕机时,切换从秘钥管理模块执行主秘钥管理模块的功能。
在本实施方式中,从秘钥的管理层上面使用了两级秘钥管理,即采用了主密钥和数据加密秘钥。其中,主密钥只负责对于数据加密秘钥进行加解密。而数据加密秘钥负责对输入到存储设备中的实际数据流进行加解密。当开启加密功能时,主秘钥管理模块会生成主密钥和数据加密秘钥,并将主密钥进行分发并保存在多个usbkey上。当一个新的数据加密秘钥生成时,会首先利用主密钥对其进行加密,进而将该数据加密秘钥保存在PCIE加密卡中。PCIE加密卡为数据加密秘钥的保存进行管理,并且保证数据加密秘钥即使在加密卡被非法窃取的情况下,没有主密钥也无法导入合法的秘钥。此时,在整体的安全存储系统中无法检测到数据加密秘钥的明文,这是由于数据加密秘钥只有在数据加解密的时候会通过主密钥进行解密,并且完成数据流的加解密后立即释放,而这所有的过程是利用加密卡的协处理器完成的,加密卡保证了其内部内存无法被系统所访问。
当存储设备为双控存储设备时,在本实施方式中还进行了秘钥管理中心的部署,秘钥管理中心和存储控制器一样设有主次之分,即设置了主秘钥管理模块和从秘钥管理模块。在正常情况下,主密钥管理模块为整个存储安全系统提供主密钥的生成、数据加密秘钥的生成,各秘钥的分发、加密保存以及备份和恢复功能,且主秘钥管理模块和从秘钥管理模块进行秘钥的同步,这是由于双控端看到的LUN是一样的,双控端都可以对数据流进行加解密,必须保证其秘钥的一致性。当发生主控切换的时,或单控制器宕机时,秘钥管理中心的切换管理单元会监控到这些事件,随着存储设备的控制器的切换完成秘钥管理中心的主从切换,此时从秘钥管理模块接管之前主密钥管理模块的工作,为安全存储系统继续提供加解密服务。
综上所述,本发明所提供的安全存储系统,采用PCIE加密卡来存储数据加密秘钥以对输入存储设备的数据流进行加密处理,充分利用了PCIE设备的热插拔特性,实现了加密卡的热替换,增强了系统的可维护性,利用加密卡对于存储的秘钥的存储功能,尤其是使用主密钥和数据加密秘钥的两级秘钥管理,保证数据加密秘钥不会被恶意导出;利用了双控存储的冗余特性,通过主秘钥管理模块和从秘钥管理模块实现了两个密管,当主控切换或单控宕机时实现密管的切换,提高密管的可靠性。
以上对本发明所提供的一种安全存储系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (7)
1.一种安全存储系统,其特征在于,包括:存储设备,与所述存储设备的PCIE卡插槽部插接的PCIE加密卡,所述PCIE加密卡用于根据自身存储的数据加密秘钥对输入所述存储设备中的数据进行加密。
2.根据权利要求1所述的系统,其特征在于,还包括:主秘钥管理模块,用于生成所述数据加密秘钥、为所述数据加密秘钥进行加解密的主密钥,并控制所述主密钥和所述数据加密秘钥的分发、保存、备份和恢复。
3.根据权利要求2所述的系统,其特征在于,还包括:多个usbkey,用于存储所述主密钥。
4.根据权利要求3所述的系统,其特征在于,还包括:
从秘钥管理模块,用于和所述主密钥管理模块进行主密钥和数据加密秘钥的同步;
切换管理单元,用于在所述存储设备的双控端进行主控切换或者单控制器宕机时,切换所述从秘钥管理模块执行所述主秘钥管理模块的功能。
5.根据权利要求1至4任一项所述的系统,其特征在于,所述存储设备设有基于Linux内核的pciehp模块,用于响应所述PCIE加密卡的热插拔。
6.根据权利要求5所述的系统,其特征在于,所述pciehp模块包括:
PCIE链路建立单元,用于在所述PCIE加密卡插入所述PCIE卡插槽时进行感知,并进行PCIE链接;
PCIE链路断开单元,用于在所述PCIE加密卡拔出所述PCIE卡插槽,且所述存储设备完成数据流的暂停时,断开PCIE链接。
7.根据权利要求6所述的系统,其特征在于,所述PCIE卡插槽部为PCIE卡插槽或PCIE卡转接器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611041122.0A CN106529350A (zh) | 2016-11-11 | 2016-11-11 | 一种安全存储系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611041122.0A CN106529350A (zh) | 2016-11-11 | 2016-11-11 | 一种安全存储系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106529350A true CN106529350A (zh) | 2017-03-22 |
Family
ID=58356470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611041122.0A Pending CN106529350A (zh) | 2016-11-11 | 2016-11-11 | 一种安全存储系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106529350A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106992815A (zh) * | 2017-04-01 | 2017-07-28 | 黑龙江恒讯科技有限公司 | 一种基于qsfp接口128g的hba卡 |
| CN110414245A (zh) * | 2018-04-28 | 2019-11-05 | 伊姆西Ip控股有限责任公司 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
| CN112434351A (zh) * | 2020-11-30 | 2021-03-02 | 湖南国科微电子股份有限公司 | 一种多功能存储设备、系统及存储方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073808A (zh) * | 2010-11-17 | 2011-05-25 | 北京曙光天演信息技术有限公司 | 一种通过sata接口加密存储的方法和加密卡 |
| CN102279813A (zh) * | 2011-08-12 | 2011-12-14 | 无锡城市云计算中心有限公司 | 一种加密卡内系统的保护方法 |
| CN103065082A (zh) * | 2012-07-04 | 2013-04-24 | 北京京航计算通讯研究所 | 基于Linux系统的软件安全防护方法 |
| CN103580855A (zh) * | 2013-11-07 | 2014-02-12 | 江南大学 | 一种基于共享技术的UsbKey秘钥管理方案 |
| CN105303124A (zh) * | 2015-11-26 | 2016-02-03 | 浪潮电子信息产业股份有限公司 | 一种用于物理带库的母子密钥加密方法 |
| CN106326757A (zh) * | 2016-08-26 | 2017-01-11 | 浪潮(北京)电子信息产业有限公司 | 一种存储系统的数据加密装置 |
-
2016
- 2016-11-11 CN CN201611041122.0A patent/CN106529350A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102073808A (zh) * | 2010-11-17 | 2011-05-25 | 北京曙光天演信息技术有限公司 | 一种通过sata接口加密存储的方法和加密卡 |
| CN102279813A (zh) * | 2011-08-12 | 2011-12-14 | 无锡城市云计算中心有限公司 | 一种加密卡内系统的保护方法 |
| CN103065082A (zh) * | 2012-07-04 | 2013-04-24 | 北京京航计算通讯研究所 | 基于Linux系统的软件安全防护方法 |
| CN103580855A (zh) * | 2013-11-07 | 2014-02-12 | 江南大学 | 一种基于共享技术的UsbKey秘钥管理方案 |
| CN105303124A (zh) * | 2015-11-26 | 2016-02-03 | 浪潮电子信息产业股份有限公司 | 一种用于物理带库的母子密钥加密方法 |
| CN106326757A (zh) * | 2016-08-26 | 2017-01-11 | 浪潮(北京)电子信息产业有限公司 | 一种存储系统的数据加密装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106992815A (zh) * | 2017-04-01 | 2017-07-28 | 黑龙江恒讯科技有限公司 | 一种基于qsfp接口128g的hba卡 |
| CN110414245A (zh) * | 2018-04-28 | 2019-11-05 | 伊姆西Ip控股有限责任公司 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
| CN110414245B (zh) * | 2018-04-28 | 2023-09-22 | 伊姆西Ip控股有限责任公司 | 用于在存储系统中管理加密密钥的方法、装置和计算机程序产品 |
| CN112434351A (zh) * | 2020-11-30 | 2021-03-02 | 湖南国科微电子股份有限公司 | 一种多功能存储设备、系统及存储方法 |
| CN112434351B (zh) * | 2020-11-30 | 2024-06-04 | 湖南国科微电子股份有限公司 | 一种多功能存储设备、系统及存储方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100464549C (zh) | 一种数据安全存储业务的实现方法 | |
| CN102916963B (zh) | 一种数据安全交换方法、装置、节点及系统 | |
| CN106330868A (zh) | 一种高速网络加密存贮密钥管理系统及方法 | |
| CN101815993A (zh) | 数据安全设备 | |
| CN111143870B (zh) | 一种分布式加密存储装置、系统及加解密方法 | |
| CN101098224B (zh) | 对数据文件动态加解密的方法 | |
| CN111737770B (zh) | 一种密钥管理方法及应用方法 | |
| CN106330869A (zh) | 一种基于云应用的数据安全保护系统和方法 | |
| CN105681031A (zh) | 一种存储加密网关密钥管理系统及方法 | |
| CN103546421A (zh) | 基于pki技术的网络工作交流安全保密系统及其实现方法 | |
| CN106529350A (zh) | 一种安全存储系统 | |
| CN103326999A (zh) | 一种基于云服务的文件安全管理系统 | |
| CN106685645A (zh) | 一种用于安全芯片业务密钥的密钥备份与恢复方法及系统 | |
| CN102170424A (zh) | 基于三级安全体系架构的移动介质安全防护系统 | |
| CN110300108A (zh) | 一种配电自动化报文加密传输方法、系统、终端及存储介质 | |
| CN107070642B (zh) | 多品牌密码机异构资源池复用技术 | |
| CN105471901A (zh) | 一种工业信息安全认证系统 | |
| CN106712943A (zh) | 一种安全存储系统 | |
| JP2001103045A (ja) | 暗号鍵バックアップ記憶装置 | |
| CN101656720A (zh) | 对信息系统中访问对象信息统一维护的方法及装置 | |
| CN106326757A (zh) | 一种存储系统的数据加密装置 | |
| CN106341226B (zh) | 一种数据加解密方法及系统 | |
| CN101118639A (zh) | 安全电子人口普查系统 | |
| CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN107707517A (zh) | 一种HTTPs握手方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170322 |
|
| RJ01 | Rejection of invention patent application after publication |