本发明专利技术公开了一种安全存储系统,包括:存储设备,与存储设备的PCIE卡插槽部插接的PCIE加密卡,PCIE加密卡用于根据自身存储的数据加密秘钥对输入存储设备中的数据进行加密。存储设备上设有通用的PCIE卡插槽部,将存储有数据加密秘钥的PCIE加密卡和存储设备连接,通过加密卡对于数据高速的加密功能,实现对于数据流的实时加解密,从而将加密设备和存储设备融合在一起,由于PCIE本身具有热插拔的特性,从而实现了PCIE加密卡的热插拔功能;当PCIE加密卡出现故障时可以方便进行热替换,保证了加密功能的稳定性和可靠性,同时避免加密部分出现故障时必须暂停所有的业务的情况。
【技术实现步骤摘要】
本专利技术涉及信息安全
,特别是涉及一种安全存储系统。
技术介绍
计算机信息安全一直是计算机研究的一个重要课题。自从斯诺登事件以来信息安全的重要性更上一个层次,成为国家安全的重要组成部分。数据安全包括以数据加密等保持数据完整性为目的的诸多工作,也包括了以完全破坏数据完整性为目的的数据销毁工作。目前在信息安全上主要包含如下三个层次的加密实现:应用层数据直接加密,文件系统层次的加密,SAN存储网络的加密。目前在SAN存储网络加密中主要是采用在网络上进行加密,即在主机和存储之间加入存储加密网关和秘钥管理设备,而在加密网关后面才是最终的存储,这所有的设备组合起来组成了安全存储。其优点在于将存储系统和加密系统相互分离。任何的数据都需要通过加密系统才能够达到存储系统。这样将存储业务和加密业务相互分离,对于实现上更简单。缺点在于存储业务难以在最大程度上和加密功进行融合。另外,由于所有数据都会流经加密系统,则加密系统的可靠性,稳定性和性能就会成为整体安全存储系统的瓶颈。并且一旦加密系统出现故障,必须要暂停所有的业务,成本较高。因此,如何既能实现保证加密功能的稳定性和可靠性,同时又能避免加密部分出现故障时必须暂停所有的业务的情况,是本领域技术人员目前需要解决的技术问题。
技术实现思路
本专利技术的目的是提供一种安全存储系统,既能实现保证加密功能的稳定性和可靠性,同时又能避免加密部分出现故障时必须暂停所有的业务的情况。为解决上述技术问题,本专利技术提供了如下技术方案:一种安全存储系统,包括:存储设备,与所述存储设备的PCIE卡插槽部插接的PCIE加密卡,所述PCIE加密卡用于根据自身存储的数据加密秘钥对输入所述存储设备中的数据进行加密。优选地,还包括:主秘钥管理模块,用于生成所述数据加密秘钥、为所述数据加密秘钥进行加解密的主密钥,并控制所述主密钥和所述数据加密秘钥的分发、保存、备份和恢复。优选地,还包括:多个usbkey,用于存储所述主密钥。优选地,还包括:从秘钥管理模块,用于和所述主密钥管理模块进行主密钥和数据加密秘钥的同步;切换管理单元,用于在所述存储设备的双控端进行主控切换或者单控制器宕机时,切换所述从秘钥管理模块执行所述主秘钥管理模块的功能。优选地,所述存储设备设有基于Linux内核的pciehp模块,用于响应所述PCIE加密卡的热插拔。优选地,所述pciehp模块包括:PCIE链路建立单元,用于在所述PCIE加密卡插入所述PCIE卡插槽时进行感知,并进行PCIE链接;PCIE链路断开单元,用于在所述PCIE加密卡拔出所述PCIE卡插槽,且所述存储设备完成数据流的暂停时,断开PCIE链接。优选地,所述PCIE卡插槽部为PCIE卡插槽或PCIE卡转接器。与现有技术相比,上述技术方案具有以下优点:本专利技术所提供的一种安全存储系统,包括:存储设备,与存储设备的PCIE卡插槽部插接的PCIE加密卡,PCIE加密卡用于根据自身存储的数据加密秘钥对输入存储设备中的数据进行加密。存储设备上设有通用的PCIE卡插槽部,将存储有数据加密秘钥的PCIE加密卡和存储设备连接,通过加密卡对于数据高速的加密功能,实现对于数据流的实时加解密,从而将加密设备和存储设备融合在一起,由于PCIE本身具有热插拔的特性,从而实现了PCIE加密卡的热插拔功能;当PCIE加密卡出现故障时可以方便进行热替换,保证了加密功能的稳定性和可靠性,同时避免加密部分出现故障时必须暂停所有的业务的情况。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种具体实施方式所提供的安全存储系统结构示意图。具体实施方式本专利技术的核心是提供一种安全存储系统,既能实现保证加密功能的稳定性和可靠性,同时又能避免加密部分出现故障时必须暂停所有的业务的情况。为了使本专利技术的上述目的、特征和优点能够更为明显易懂,下面结合附图对本专利技术的具体实施方式做详细的说明。在以下描述中阐述了具体细节以便于充分理解本专利技术。但是本专利技术能够以多种不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本专利技术内涵的情况下做类似推广。因此本专利技术不受下面公开的具体实施的限制。请参考图1,图1为本专利技术一种具体实施方式所提供的安全存储系统结构示意图。本专利技术的一种具体实施方式提供了一种安全存储系统,包括:存储设备1,与存储设备1的PCIE卡插槽部插接的PCIE加密卡2,PCIE加密卡2用于根据自身存储的数据加密秘钥对输入存储设备1中的数据进行加密。进一步地,存储设备1设有基于Linux内核的pciehp模块,用于响应PCIE加密卡的热插拔。pciehp模块包括:PCIE链路建立单元,用于在PCIE加密卡插入PCIE卡插槽时进行感知,并进行PCIE链接;PCIE链路断开单元,用于在PCIE加密卡拔出PCIE卡插槽,且存储设备完成数据流的暂停时,断开PCIE链接。PCIE卡插槽部为PCIE卡插槽或PCIE卡转接器。在本实施方式中,存储设备上设有通用的PCIE卡插槽或PCIE卡转接器,将存储有数据加密秘钥的PCIE加密卡和存储设备连接,通过加密卡对于数据高速的加密功能,实现对于数据流的实时加解密,从而将加密设备和存储设备融合在一起,由于PCIE本身具有热插拔的特性,从而实现了PCIE加密卡的热插拔功能;同时利用加密卡提供的丰富的加密算法,可以为用户提供丰富的符合一定标准的加密算法。当PCIE加密卡出现故障时可以方便进行热替换,保证了加密功能的稳定性和可靠性,同时避免加密部分出现故障时必须暂停所有的业务的情况。PCIE协议天然是支持热插拔的,利用Linux内核的pciehp模块可以方便实现加密卡的热插拔,从而为用户在正常IO的过程中提供维护加密卡的能力,提高设备的可维护性。在插入加密卡的时候,pciehp模块会完成热插入的流程,并感知PCIE链接的建立,这个时候加密卡内的驱动可以开始数据流加解密的过程;当拔出加密卡时,加密卡的驱动通知上层应用完成数据流的暂停,然后pciehp模块断开PCIE链接,实现拔出流程。在本专利技术的一种实施方式中,该系统还包括:主秘钥管理模块,用于生成数据加密秘钥、为数据加密秘钥进行加解密的主密钥,并控制主密钥和数据加密秘钥的分发、保存、备份和恢复。进一步地,还包括:多个usbkey,用于存储主密钥;从秘钥管理模块,用于和主密钥管理模块进行主密钥和数据加密秘钥的同步;切换管理单元,用于在存储设备的双控端进行主控切换或者单控制器宕机时,切换从秘钥管理模块执行主秘钥管理模块的功能。在本实施方式中,从秘钥的管理层上面使用了两级秘钥管理,即采用了主密钥和数据加密秘钥。其中,主密钥只负责对于数据加密秘钥进行加解密。而数据加密秘钥负责对输入到存储设备中的实际数据流进行加解密。当开启加密功能时,主秘钥管理模块会生成主密钥和数据加密秘钥,并将主密钥进行分发并保存在多个usbkey上。当一个新的数据加密秘钥生成时,会首先利用主密钥对其进行加密,进而将该数据加密秘钥保存在PCIE加密卡中。PCIE加密卡为本文档来自技高网...
【技术保护点】
一种安全存储系统,其特征在于,包括:存储设备,与所述存储设备的PCIE卡插槽部插接的PCIE加密卡,所述PCIE加密卡用于根据自身存储的数据加密秘钥对输入所述存储设备中的数据进行加密。
【技术特征摘要】
1.一种安全存储系统,其特征在于,包括:存储设备,与所述存储设备的PCIE卡插槽部插接的PCIE加密卡,所述PCIE加密卡用于根据自身存储的数据加密秘钥对输入所述存储设备中的数据进行加密。2.根据权利要求1所述的系统,其特征在于,还包括:主秘钥管理模块,用于生成所述数据加密秘钥、为所述数据加密秘钥进行加解密的主密钥,并控制所述主密钥和所述数据加密秘钥的分发、保存、备份和恢复。3.根据权利要求2所述的系统,其特征在于,还包括:多个usbkey,用于存储所述主密钥。4.根据权利要求3所述的系统,其特征在于,还包括:从秘钥管理模块,用于和所述主密钥管理模块进行主密钥和数据加密秘钥的同步;切换管理单元,用于在所述存储设备...
【专利技术属性】
技术研发人员:王永刚,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。