一种高速网络加密存贮密钥管理系统及方法技术方案

本发明专利技术基于网络存储加密机，提供一种高速网络加密存贮密钥管理系统，其特征在于，所述密钥管理系统通过四种密钥，采用逐级保护的方法，对待加密设备完成密钥管理，具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁，所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥采用集中的密钥维护策略，密钥管理安全可控。采用远程在线密钥分发机制，密钥配置灵活方便，可实现加密系统安全可靠的快速布置和调整。

【技术实现步骤摘要】

本专利技术属于信息安全
，具体涉及一种高速网络加密存贮密钥管理系统及方法。
技术介绍
在存储领域中，FCSAN(光纤存储局域网)基于其先天的高性能、稳定性一直占据着大部分市场。随着近年来各种信息安全事件的爆发，人们迫切需要有一种途径来保障自己的数据安全，尤其是像银行等单位。针对用户的FC存储网络系统的应用环境、FC协议特点和高可用性需求，如何稳定可靠、安全可控、快速高效地解决用户存储网络数据的保密问题以及密钥管理问题，正是研制高速网络存贮加密机的背景和意义所在。高速网络存储加密机主要通过一种基于FC协议的数据加解密机制，解析FCSAN网络中的应用服务器(以下称服务器端)和磁盘阵列(以下称存储器端)之间的FC协议，对于服务器端与存储器端之间传输的数据进行加解密。网络存储加密机采用透明传输的方式加入网络，除提供上述实时加解密FCP协议中的扇区数据的主要功能，还支持高可用性、日志审计、磁盘管理、密钥管理、访问控制等功能。设计先进、集成合理、稳定可靠、安全可控、快速高效、安全强度高，是符合国家商用密码技术规范及管理要求的、可用于FC网络存储加解密的、具有自主知识产权的安全保密设备。
技术实现思路
为了解决上述问题，本专利技术提供一种高速网络加密存贮密钥管理系统，所述密钥管理系统通过四种密钥，采用逐级保护的方法，对待加密设备完成密钥管理，具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁；进一步地，所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥；设备根密钥，所述设备根密钥用于实现对关键参数、密钥等的存储加密保护；设备身份密钥，所述设备身份密钥用于本机身份认证，为集群设备的密钥分享过程提供密码保护；密钥加密密钥，所述密钥加密密钥用于实现在密钥分发过程中对工作密钥的加密保护；工作密钥，所述工作密钥用于实现对业务数据信息传输的加密保护；进一步地，所述设备根密钥由设备生成后分为三份S1，S2，S3，其中S1在生产时固化在网络存储加密机内部的安全芯片中；S2保存在分量key1中；S3保存在分量key2中；进一步地，所述设备身份密钥为非对称密码算法密钥，所述非对称密码算法密钥为一组公/私钥对，其中私钥长度为256比特，公钥长度为512比特，所述公钥通过USBKey或配置管理接口导出，私钥保存在网络存储加密机内的安全芯片中；进一步地，所述密钥加密密钥为长度128比特的对称分组密码算法密钥，用于对集群内工作密钥的分享进行加解密保护，所述密钥加密密钥在每次对集群内各网络存储加密机进行密钥分享时，由发起者的随机数生成单元实时产生并经检验后使用，密钥分发完成后即销毁，不保存；进一步地，所述工作密钥为长度128比特的对称分组密码算法密钥，用于光纤通道中磁盘数据在传输过程中的加解密，当更改工作密钥时，需先将磁盘中的原加密数据使用原工作密钥解密后再使用新工作密钥加密后进行存储，然后再使用新工作密钥替换原工作密钥，所述工作密钥获取来自于安全芯片，所述安全芯片从两个WNG9随机数发生器获取两个随机数，将两个随机数的异或结果作为LUN的工作密钥，然后使用设备根密钥进行加密后存储到数据库中；进一步地，一种高速网络加密存贮密钥管理方法，所述方法包括；1)密钥生成,所述设备根密钥、设备身份密钥和工作密钥由网络存储加密机中双安全芯片的噪声发生器产生；2)密钥分发，所述设备根密钥不分发，所述设备身份密钥由各个网络存储加密机生成，私钥不导出，公钥从网络存储加密机中导出后生成设备的证书请求文件，然后以注入key为载体，经密钥管理中心签发后统一下发到各个设备节点，所述工作密钥由KMC或者密钥产生端设备发起，在身份认证的前提下，通过数字信封的方式，经过公钥签名和所述密钥加密密钥的保护分发；3)密钥存贮，所述设备根密钥经过分割，得到3份不同部分，1份保持在网络存储加密机安全芯片内，另外2份加密分别独立保存到2个USBKey上，在使用时设备根密钥存在于安全芯片内部SRAM中，掉电即丢失，所述设备身份密钥一经生成就用设备根密钥做为密钥，使用SM4算法，在网络存储加密机中加密后存储在网络存储加密机安全芯片内部FLASH中，使用时安全芯片将设备身份密钥解密到内部SRAM中，掉电即丢失；所述密钥加密密钥临时使用，随即销毁，不保存，所述工作密钥生成后使用两种方式保存；4)密钥使用，所述密钥使用包括：设备根密钥使用和工作密钥使用；所述设备根密钥使用步骤：411)通过用户身份验证：使用者在身份验证时需要在五分钟时间间隔里插入两个USBKey；412)至少两个USBKey通过身份验证后，分量Key中的根密钥分量被读入网络存储加密机安全芯片的SRAM中；413)再加上网络存储加密机内部的一个根密钥分量，经过模2加运算，计算得到设备根密钥的明文；414)设备根密钥恢复后保存在安全芯片的SRAM的特定位置，直到掉电丢失；415)当设备根密钥注入完成后，分量key拔出或继续保存；所述工作密钥使用步骤：421)通过操作员身份认证后获得权限；422)根据用户的指定确定解密方式；423)将存储在FLASH中的工作密钥密文读到SRAM中；424)以设备根密钥做为密钥，使用SM4算法，或以私钥解密获得工作密钥的明文；425)保存在SRAM的特定位置，直到掉电丢失；426)再次使用需要重新解密；5)密钥备份：51)设备根密钥分割存放在2个usbkey中；52)设备身份密钥备份在获得管理员身份权限后，使用安全芯片SRAM中的设备根密钥做为密钥，使用SM4算法，将网络存储加密机存储的设备身份密钥加密后存储在备份介质中，公钥和私钥通过两个备份介质分别独立保存；53)密钥加密密钥不备份；54)工作密钥是在获得管理员身份权限后，使安全芯片中SRAM中的设备根密钥做为密钥，使用SM4算法，加密后存储在USBkey中；6)密钥更换包括设备根密钥更换、设备身份密钥更换和工作密钥更换；密钥恢复，所述密钥恢复包括设备根密钥恢复、设备身份密钥恢复和工作密钥恢复；进一步地，所述工作密钥生成后的两种保存方法包括；31)用私钥做为密钥，使用SM4算法加密存储在网络存储加密机内部FLASH中，需要时再解密在网络存储加密机CACHE中；32)用加密卡的设备根密钥加密存储在网络存储加密机内部FLASH中，需要时再用设备根密钥解密在网络存储加密机CACHE中；进一步地，所述密钥备份具体包括：设备根密钥更换；所述密钥备份具体包括：设备根密钥更换：611)第一次初始化网络存储加密机时置换设备根密钥；612)公私钥对和所有敏感信息均存在于网络存储加密机的SRAM中时重新生成设备根密钥，并重新生成2个USBKey；设备身份密钥更换:使用者取得管理员权限后，通过界面或命令行生成一对新的公私密钥对，并覆盖掉旧的公私密钥对，然后导出新的公钥生成新的证书请求文件，经密钥管理中心签发后以USBKey为载体下发到各个网络存储加密机，同时还对新的密钥对重新进行备份；工作密钥更换：将磁盘中原加密数据备份为明文数据，再使用新的工作密钥加密为密文数据后进行磁盘存储；进一步地，所述密钥更换具体包括：71)设备根密钥恢复：管理员依次插入2个USBKey，安全芯片将USBkey卡上的根密钥分量读入网络存储加密机内存后与卡内的分量合本文档来自技高网...

【技术保护点】
一种高速网络加密存贮密钥管理系统，其特征在于，所述密钥管理系统通过四种密钥，采用逐级保护的方法，对待加密设备完成密钥管理，具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁。

【技术特征摘要】
1.一种高速网络加密存贮密钥管理系统，其特征在于，所述密钥管理系统通过四种密钥，采用逐级保护的方法，对待加密设备完成密钥管理，具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁。2.根据权利要求1所述的密钥管理系统，其特征在于，所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥；设备根密钥，所述设备根密钥用于实现对关键参数、密钥等的存储加密保护；设备身份密钥，所述设备身份密钥用于本机身份认证，为集群设备的密钥分享过程提供密码保护；密钥加密密钥，所述密钥加密密钥用于实现在密钥分发过程中对工作密钥的加密保护；工作密钥，所述工作密钥用于实现对业务数据信息传输的加密保护。3.根据权利要求2所述的密钥管理系统，其特征在于，所述设备根密钥由设备生成后分为三份S1，S2，S3，其中S1在生产时固化在网络存储加密机内部的安全芯片中；S2保存在分量key1中；S3保存在分量key2中。4.根据权利要求2所述的密钥管理系统，其特征在于，所述设备身份密钥为非对称密码算法密钥，所述非对称密码算法密钥为一组公/私钥对，其中私钥长度为256比特，公钥长度为512比特，所述公钥通过USBKey或配置管理接口导出，私钥保存在网络存储加密机内的安全芯片中。5.根据权利要求2所述的密钥管理系统，其特征在于，所述密钥加密密钥为长度128比特的对称分组密码算法密钥，用于对集群内工作密钥的分享进行加解密保护，所述密钥加密密钥在每次对集群内各网络存储加密机进行密钥分享时，由发起者的随机数生成单元实时产生并经检验后使用，密钥分发完成后即销毁，不保存。6.根据权利要求2所述的密钥管理系统，其特征在于，所述工作密钥为长度128比特的对称分组密码算法密钥，用于光纤通道中磁盘数据在传输过程中的加解密，当更改工作密钥时，需先将磁盘中的原加密数据使用原工作密钥解密后再使用新工作密钥加密后进行存储，然后再使用新工作密钥替换原工作密钥，所述工作密钥获取来自于安全芯片，所述安全芯片从两个WNG9随机数发生器获取两个随机数，将两个随机数的异或结果作为LUN的工作密钥，然后使用设备根密钥进行加密后存储到数据库中。7.一种高速网络加密存贮密钥管理方法，基于上述权利要求1-6之一所述的密钥管理系统，其特征在于，所述方法包括:1)密钥生成,所述设备根密钥、设备身份密钥和工作密钥由网络存储加密机中双安全芯片的噪声发生器产生；2)密钥分发，所述设备根密钥不分发，所述设备身份密钥由各个网络存储加密机生成，私钥不导出，公钥从网络存储加密机中导出后生成设备的证书请求文件，然后以注入key为载体，经密钥管理中心签发后统一下发到各个设备节点，所述工作密钥由KMC或者密钥产生端设备发起，在身份认证的前提下，通过数字信封的方式，经过公钥签名和所述密钥加密密钥的保护分发；3)密钥存贮，所述设备根密钥经过分割，得到3份不同部分，1份保持在网络存储加密机安全芯片内，另外2份加密分别独立保存到2个USBKey上，在使用时设备根密钥存在于安全芯片内部SRAM中，掉电即丢失，所述设备身份密钥一经生成就用设备根密钥做为密钥，使用SM4算法，在网络存储加密机中加密后存储在网络存储加密机安全芯片内部FLASH中，使用时安全芯片将设备身份密钥解密到内部SRAM中，掉电即丢失；所述密钥加密密钥临时使用，随即销毁，不保存，所述工作密钥生成后使用两种方式保存；4)密钥使用，所...

【专利技术属性】
技术研发人员：朱云，李元骅，张晓囡，
申请(专利权)人：北京数盾信息科技有限公司，
类型：发明
国别省市：北京;11