一种数据信息安全保护方法技术

本发明专利技术公开了一种数据信息安全保护方法，涉及信息安全领域。包括硬件保护和软件保护，硬件保护，通过直接添加新的硬件单元，从电路级别对磁盘数据进行保护，软件保护，通过硬件上层的操作系统或文件系统，从应用程序级、文件系统级或操作系统级对磁盘的读/写、访问等进行安全保护。设计并实现了一种快速的硬盘加密算法FastDiskEnc，其性能比WindowsVistaBitlocker所采用的算法快约20％并且在Linux2.4上基于该算法实现了一个安全的可堆叠文件系统；设计了具有可增量计算性质的Hash函数EHASH，在大量数据只进行少量修改的情形下，EHASH较传统Hash函数SHA1有显著的性能优势。此外，提出了一个针对备份磁盘数据的离线完整性保护方案，该方案能有效的解决完整性保护中抗重放攻击的难点。整性保护中抗重放攻击的难点。

【技术实现步骤摘要】
一种数据信息安全保护方法


[0001]本专利技术涉及信息安全领域，特别涉及一种数据信息安全保护方法。

技术介绍

[0002]数据安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。随着越来越多的重要数据存储在磁盘上，磁盘数据的安全保护逐渐成为备受关注的议题。众多的安全威胁如磁盘数据被非法修改、磁盘数据泄漏、磁盘失窃，都可能会对保存着重要信息的组织如政府、企业等造成无法估计的损失。
[0003]与内存不同，磁盘存储的数据是非易失的。作为数据的直接载体，磁盘所面临的安全威胁更为严峻。尤其是在当前较为流行的Storage Area Network(SAN)存储体系结构中，磁盘在物理上是与主机分离的，不同的主机通过HUB或Switch设备，利用Fiber Channel或i SCSI协议共同访问同一块磁盘。在这种环境下，磁盘就成为整个应用系统的Single Point Failure攻击点。并且由于磁盘的单独分离，更容易遭到窃取、破环、监听等旁道物理攻击

技术实现思路

[0004]本专利技术的主要目的在于提供一种数据信息安全保护方法，可以有效解决
技术介绍
中提到的问题。
[0005]为实现上述目的，本专利技术采取的技术方案为：
[0006]一种数据信息安全保护方法，包括硬件保护和软件保护，硬件保护，通过直接添加新的硬件单元，从电路级别对磁盘数据进行保护，软件保护，通过硬件上层的操作系统或文件系统，从应用程序级、文件系统级或操作系统级对磁盘的读/写、访问等进行安全保护。
[0007]进一步而言，所述硬件保护由数据缓冲电路对硬盘数据线上的数据进行缓冲，过滤命令控制信号，加密数据信号，实现硬盘数据的安全保护，且该系统使用智能卡存储和管理密钥，并支持DES，3DES,AES等各种加密算法，系统的认证方式可以是集中认证，采用认证服务器(Authenticationserver)进行，其中认证服务器为NASD[34]和AFS[32]，也可以采用自认证(Self
‑
certifying)的方式,如SFS[18]等。
[0008]进一步而言，所述软件保护采用Encrypt
‑
on
‑
wire系统，Encrypt
‑
on
‑
wire系统加密服务器和客户端间的通信，并验证客户端访问服务器的权限，当用户身份和权限得到确认后，允许其与服务器交互数据，Encrypt
‑
on
‑
disk系统将服务器排除在信任域之外，只信任客户端运行环境，在将数据写入服务器磁盘前先进行加密操作，以保证存储在服务器上的数据以密文的形式存在。
[0009]进一步而言，所述NASD[34]系统由客户端、文件服务器、认证服务器和磁盘四部分组成，用户第一次对文件服务器发出请求时，该请求被转移到认证服务器，NASD没有指定认证的机制，认证服务器可以是Kerberos服务器或其他认证服务器，通过认证服务器认证后，文件服务器响应给客户端一个capabilityobject，Capabilityobject中规定了客户端的权
限，之后在该会话期间内，客户端就可使用该capabilitykey直接访问磁盘。
[0010]进一步而言，所述NASD中的capabilityobject包括一个capabilitytoken和capabilitykey，Capabilitytoken包含了授予该用户的访问权限信息；capabilitykey是包含了访问权限信息以及密钥的消息认证码(MessageAuthenticationCode)，该密钥由文件服务器和磁盘事先确定，客户端通过认证并获得文件服务器返回的capabilityobject后，将其发送给磁盘，磁盘驱动用事先与文件服务器确定好的密钥验证该capabilityobject并获得客户端的访问权限。
[0011]进一步而言，所述SFS[18]系统由三部分组成，SFS文件服务器、SFS客户端和SFS认证服务器，SFS的认证服务器不是用来认证客户端的合法身份，而是用来存储客户端用户的组信息和公钥信息，SFS采用自认证路径(self
‑
certifyingpathnames)来完成服务器和客户端的双向认证，SFS文件系统通过挂载点/sfs/location/hostid进行访问，location是文件服务器的地址，可以是其DNS主机名或IP地址，hostid是服务器地址和其公钥的哈希值，当用户请求文件服务器上的文件时，SFS客户端首先生成一个公私钥对，然后从认证服务
[0012]器获取文件服务器的公钥，并将其哈希值同hostid值比对以验证文件服务器的身份，通过服务器的身份认证后，客户端和文件服务器协商创建会话密钥，建立安全信道，接着客户端用其私钥签名一个请求发送给文件服务器，用以获得服务器的验证，当服务器和客户端的双向认证结束后，双方在事先建立好的安全信道中通信。
[0013]与现有技术相比，本专利技术具有如下有益效果：
[0014]本专利技术从数据隐密性和完整性两个方面，对磁盘数据的安全保护进行了研究，在隐密性保护方面，设计并实现了一种快速的硬盘加密算法FastDiskEnc，其性能比WindowsVistaBitlocker所采用的算法快约20％并且在Linux2.4上基于该算法实现了一个安全的可堆叠文件系统；在完整性保护方面，设计了具有可增量计算性质的Hash函数EHASH，在大量数据只进行少量修改的情形下，EHASH较传统Hash函数SHA1有显著的性能优势。此外，基于增量校验技术，提出了一个针对备份磁盘数据的离线完整性保护方案，该方案能有效的解决完整性保护中抗重放攻击的难点。
附图说明
[0015]图1为本专利技术的数据存储及获取流程图；
具体实施方式
[0016]为使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本专利技术。
[0017]如图1所示，一种数据信息安全保护方法，其特征在于：包括硬件保护和软件保护，硬件保护，通过直接添加新的硬件单元，从电路级别对磁盘数据进行保护，软件保护，通过硬件上层的操作系统或文件系统，从应用程序级、文件系统级或操作系统级对磁盘的读/写、访问等进行安全保护。根据权利要求1的一种数据信息安全保护方法，其特征在于：硬件保护由数据缓冲电路对硬盘数据线上的数据进行缓冲，过滤命令控制信号，加密数据信号，实现硬盘数据的安全保护，且该系统使用智能卡存储和管理密钥，并支持DES，3DES,AES等各种加密算法，系统的认证方式可以是集中认证，采用认证服务器
(Authenticationserver)进行，其中认证服务器为NASD[34]和AFS[32]，也可以采用自认证(Self
‑
certifying)的方式,如SFS[18]等，应用程序对磁盘的访问本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据信息安全保护方法，其特征在于：包括硬件保护和软件保护，硬件保护，通过直接添加新的硬件单元，从电路级别对磁盘数据进行保护，软件保护，通过硬件上层的操作系统或文件系统，从应用程序级、文件系统级或操作系统级对磁盘的读/写、访问等进行安全保护。2.根据权利要求1所述的一种数据信息安全保护方法，其特征在于：所述硬件保护由数据缓冲电路对硬盘数据线上的数据进行缓冲，过滤命令控制信号，加密数据信号，实现硬盘数据的安全保护，且该系统使用智能卡存储和管理密钥，并支持DES，3DES,AES等各种加密算法，系统的认证方式可以是集中认证，采用认证服务器(Authenticationserver)进行，其中认证服务器为NASD[34]和AFS[32]，也可以采用自认证(Self
‑
certifying)的方式,如SFS[18]等。3.根据权利要求2所述的一种数据信息安全保护方法，其特征在于：所述软件保护采用Encrypt
‑
on
‑
wire系统，Encrypt
‑
on
‑
wire系统加密服务器和客户端间的通信，并验证客户端访问服务器的权限，当用户身份和权限得到确认后，允许其与服务器交互数据，Encrypt
‑
on
‑
disk系统将服务器排除在信任域之外，只信任客户端运行环境，在将数据写入服务器磁盘前先进行加密操作，以保证存储在服务器上的数据以密文的形式存在，其中算法的核心部分为FastDiskEnc函数，其接口参数为输入明文plainText，明文长度length(以Byte为单位)，扰乱值blockIndex以及结构体cryptoInfo。算法以128比特为单位，对输入明plainText顺序的进行加密操作；加密结束后，以sector为单位，对输入明文进行扰乱操作。4.根据权利要求3所述的一种数据信息安全保护方法，其特征在于：所述NASD[34]系统由客户端、文件服务器、认证服务器和磁盘四部分组成，用户第一次对文件服务器发出请求时，该请求被转移到...

【专利技术属性】
技术研发人员：张敏，赵宁宁，崔焕，管巫浩，
申请(专利权)人：北京神州安付科技股份有限公司，
类型：发明
国别省市：