【技术实现步骤摘要】
本专利技术属于信息安全
,具体涉及一种高速网络加密存贮密钥管理系统及方法。
技术介绍
在存储领域中,FCSAN(光纤存储局域网)基于其先天的高性能、稳定性一直占据着大部分市场。随着近年来各种信息安全事件的爆发,人们迫切需要有一种途径来保障自己的数据安全,尤其是像银行等单位。针对用户的FC存储网络系统的应用环境、FC协议特点和高可用性需求,如何稳定可靠、安全可控、快速高效地解决用户存储网络数据的保密问题以及密钥管理问题,正是研制高速网络存贮加密机的背景和意义所在。高速网络存储加密机主要通过一种基于FC协议的数据加解密机制,解析FCSAN网络中的应用服务器(以下称服务器端)和磁盘阵列(以下称存储器端)之间的FC协议,对于服务器端与存储器端之间传输的数据进行加解密。网络存储加密机采用透明传输的方式加入网络,除提供上述实时加解密FCP协议中的扇区数据的主要功能,还支持高可用性、日志审计、磁盘管理、密钥管理、访问控制等功能。设计先进、集成合理、稳定可靠、安全可控、快速高效、安全强度高,是符合国家商用密码技术规范及管理要求的、可用于FC网络存储加解密的、具有自主知识产权的安全保密设备。
技术实现思路
为了解决上述问题,本专利技术提供一种高速网络加密存贮密钥管理系统,所述密钥管理系统通过四种密钥,采用逐级保护的方法,对待加密设备完成密钥管理,具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁;进一步地,所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥;设备根密钥,所述设备根密钥用于实现对关键参数、密钥等的存储加密保护;设备身份密钥,所述设备 ...
【技术保护点】
一种高速网络加密存贮密钥管理系统,其特征在于,所述密钥管理系统通过四种密钥,采用逐级保护的方法,对待加密设备完成密钥管理,具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁。
【技术特征摘要】
1.一种高速网络加密存贮密钥管理系统,其特征在于,所述密钥管理系统通过四种密钥,采用逐级保护的方法,对待加密设备完成密钥管理,具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁。2.根据权利要求1所述的密钥管理系统,其特征在于,所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥;设备根密钥,所述设备根密钥用于实现对关键参数、密钥等的存储加密保护;设备身份密钥,所述设备身份密钥用于本机身份认证,为集群设备的密钥分享过程提供密码保护;密钥加密密钥,所述密钥加密密钥用于实现在密钥分发过程中对工作密钥的加密保护;工作密钥,所述工作密钥用于实现对业务数据信息传输的加密保护。3.根据权利要求2所述的密钥管理系统,其特征在于,所述设备根密钥由设备生成后分为三份S1,S2,S3,其中S1在生产时固化在网络存储加密机内部的安全芯片中;S2保存在分量key1中;S3保存在分量key2中。4.根据权利要求2所述的密钥管理系统,其特征在于,所述设备身份密钥为非对称密码算法密钥,所述非对称密码算法密钥为一组公/私钥对,其中私钥长度为256比特,公钥长度为512比特,所述公钥通过USBKey或配置管理接口导出,私钥保存在网络存储加密机内的安全芯片中。5.根据权利要求2所述的密钥管理系统,其特征在于,所述密钥加密密钥为长度128比特的对称分组密码算法密钥,用于对集群内工作密钥的分享进行加解密保护,所述密钥加密密钥在每次对集群内各网络存储加密机进行密钥分享时,由发起者的随机数生成单元实时产生并经检验后使用,密钥分发完成后即销毁,不保存。6.根据权利要求2所述的密钥管理系统,其特征在于,所述工作密钥为长度128比特的对称分组密码算法密钥,用于光纤通道中磁盘数据在传输过程中的加解密,当更改工作密钥时,需先将磁盘中的原加密数据使用原工作密钥解密后再使用新工作密钥加密后进行存储,然后再使用新工作密钥替换原工作密钥,所述工作密钥获取来自于安全芯片,所述安全芯片从两个WNG9随机数发生器获取两个随机数,将两个随机数的异或结果作为LUN的工作密钥,然后使用设备根密钥进行加密后存储到数据库中。7.一种高速网络加密存贮密钥管理方法,基于上述权利要求1-6之一所述的密钥管理系统,其特征在于,所述方法包括:1)密钥生成,所述设备根密钥、设备身份密钥和工作密钥由网络存储加密机中双安全芯片的噪声发生器产生;2)密钥分发,所述设备根密钥不分发,所述设备身份密钥由各个网络存储加密机生成,私钥不导出,公钥从网络存储加密机中导出后生成设备的证书请求文件,然后以注入key为载体,经密钥管理中心签发后统一下发到各个设备节点,所述工作密钥由KMC或者密钥产生端设备发起,在身份认证的前提下,通过数字信封的方式,经过公钥签名和所述密钥加密密钥的保护分发;3)密钥存贮,所述设备根密钥经过分割,得到3份不同部分,1份保持在网络存储加密机安全芯片内,另外2份加密分别独立保存到2个USBKey上,在使用时设备根密钥存在于安全芯片内部SRAM中,掉电即丢失,所述设备身份密钥一经生成就用设备根密钥做为密钥,使用SM4算法,在网络存储加密机中加密后存储在网络存储加密机安全芯片内部FLASH中,使用时安全芯片将设备身份密钥解密到内部SRAM中,掉电即丢失;所述密钥加密密钥临时使用,随即销毁,不保存,所述工作密钥生成后使用两种方式保存;4)密钥使用,所...
【专利技术属性】
技术研发人员:朱云,李元骅,张晓囡,
申请(专利权)人:北京数盾信息科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。