基于硬件隔离的数据加密系统及方法技术方案

本发明专利技术涉及数据安全技术领域，具体提供一种基于硬件隔离的数据加密系统及方法，该系统包括：在应用服务器发起数据存储请求时，应用服务器发送第一协议报文，可信区管理模块接收并解析第一协议报文，并将第一协议报文和第一密钥索引信息封装成第一目标消息，隔离硬件根据第一密钥索引信息对第一目标消息进行加密，得到加密消息，非可信区管理模块获取加密消息，将加密消息解析成第一协议报文，并将第一协议报文发送至存储服务器。本发明专利技术通过可信区管理模块和非可信区管理模块分别管理安全等级不同的数据，并通过隔离硬件对数据完成加密操作，同时将可信区和非可信区的数据进行安全隔离，进一步保障了数据存储和传输的安全性。进一步保障了数据存储和传输的安全性。进一步保障了数据存储和传输的安全性。

【技术实现步骤摘要】
基于硬件隔离的数据加密系统及方法


[0001]本专利技术涉及数据安全
，尤其涉及一种基于硬件隔离的数据加密系统及方法。

技术介绍

[0002]随着信息化智能化的快速发展，政府、企业以及个人产生的相关数据规模呈爆炸式增长，人们对数据的依赖程度越来越严重，因此，越来越多的数据安全问题摆在了人们面前。尤其是敏感业务数据或个人资料信息的泄漏，不仅意味着商业机密的泄露、金融财产的损失，更严重的甚至会给国家和个人造成安全威胁。其中，SAN(Storage Area Network，存储区域网络)是政企单位最常用的存储架构，但是常规的存储区域网络的安全策略一般主要采用加强安全认证的方式，该方式实现的安全需求级别不高，并不能满足针对不同敏感级别的数据，可能划分不同的保密级别等。
[0003]因此，亟需一种新的加密系统来提升存储区域网络架构下的数据安全存储和传输。

技术实现思路

[0004]针对于现有技术存在的问题，本专利技术提供一种数据安全或其他相关领域的基于硬件隔离的数据加密系统及方法，以提升存储区域网络架构下的数据安全存储和传输。
[0005]第一方面，本专利技术实施例提供了一种基于硬件隔离的数据加密系统，包括：依次逻辑连接的应用服务器、可信区管理模块、隔离硬件、非可信区管理模块和存储服务器；
[0006]在所述应用服务器发起数据存储请求的情况下，所述应用服务器用于发送第一协议报文，所述可信区管理模块用于接收并解析所述第一协议报文，并将所述第一协议报文和第一磁盘对应的第一密钥索引信息封装成第一目标消息，所述隔离硬件用于根据所述第一密钥索引信息对所述第一目标消息进行加密，得到加密消息，所述非可信区管理模块用于获取所述加密消息，将所述加密消息解析成所述第一协议报文，并将所述第一协议报文发送至所述存储服务器。
[0007]在一种实施例中，所述隔离硬件包括数据管理模块、密钥管理模块和加解密模块，其中，所述加解密模块包括加密单元，所述数据管理模块分别连接所述密钥管理模块和所述加密单元，所述数据管理模块还分别连接所述可信区管理模块和所述非可信区管理模块；
[0008]所述数据管理模块用于接收所述第一目标消息，并解析所述第一目标消息中需要加密的数据，将所述需要加密的数据发送至所述加密单元；
[0009]所述密钥管理模块用于接收所述可信区管理模块的密钥配置指令，并根据所述密钥配置指令从所述第一密钥索引信息解析出第一密钥，将所述第一密钥发送至所述加密单元；
[0010]所述加密单元用于根据所述第一密钥对所述需要加密的数据进行加密，得到所述
加密消息；
[0011]所述数据管理模块用于将所述加密消息发送至所述非可信区管理模块。
[0012]在一种实施例中，所述数据管理模块包括数据发送单元和数据缓冲单元，所述数据发送单元和所述数据缓冲单元均连接所述可信区管理模块和所述非可信区管理模块；
[0013]所述数据缓冲单元用于接收并缓存所述第一目标消息，并解析所述第一目标消息的数据格式，将所述需要加密的数据发送至所述加密单元进行处理，还用于发送所述密钥配置指令至给所述密钥管理模块；
[0014]所述数据发送单元用于检查所述加密消息，并发送所述加密消息至所述非可信区管理模块。
[0015]在一种实施例中，所述可信区管理模块包括第一数据处理单元、第一协议处理单元、第一管理单元和第一驱动单元，所述第一数据处理单元分别连接所述第一协议处理单元、所述第一管理单元和所述第一驱动单元，所述第一数据处理单元还连接所述应用服务器，所述第一协议处理单元连接所述第一管理单元，所述第一驱动单元连接所述隔离硬件；
[0016]所述第一数据处理单元用于接收并解析所述第一协议报文，并根据所述第一协议报文对应的第一数据的协议类型和数据格式形成第一数据流，所述第一协议处理单元用于通过分析并跟踪所述第一数据流的协议状态，并基于所述协议状态识别所述第一协议报文的操作类型以及第一磁盘信息，所述第一管理单元用于获取所述第一磁盘信息对应的第一密钥索引信息，并将所述第一密钥索引信息和所述第一协议报文发送至所述第一数据处理单元，所述第一数据处理单元还用于将所述第一协议报文和所述第一密钥索引信息封装成第一目标消息，所述第一驱动单元用于发送所述第一目标消息至所述隔离硬件。
[0017]在一种实施例中，在所述应用服务器发起数据获取请求的情况下，所述存储服务器用于发送第二协议报文，所述非可信区管理模块还用于接收并解析所述第二协议报文，并将所述第二协议报文和第二磁盘对应的第二密钥索引信息封装成第二目标消息，所述隔离硬件还用于接收所述第二目标信息，并根据所述第二密钥索引信息对所述第二目标消息进行解密，得到解密消息，所述可信区管理模块还用于获取所述解密消息，将所述解密消息解析成所述第二协议报文，并将所述第二协议报文发送至所述应用服务器。
[0018]在一种实施例中，所述隔离硬件包括数据管理模块、密钥管理模块和加解密模块，其中，所述加解密模块还包括解密单元，所述数据管理模块分别连接所述密钥管理模块和所述解密单元，所述数据管理模块还分别连接所述可信区管理模块和所述非可信区管理模块；
[0019]所述数据管理模块还用于接收所述第二目标消息，并解析所述第二目标消息中需要解密的数据，将所述需要解密的数据发送至所述解密单元；
[0020]所述密钥管理模块还用于根据密钥配置指令从所述第二密钥索引信息解析出第二密钥，将所述第二密钥发送至所述解密单元；
[0021]所述解密单元用于根据所述第二密钥对所述需要解密的数据进行解密，得到所述解密消息；
[0022]所述数据管理模块还用于将所述解密消息发送至所述可信区管理模块。
[0023]在一种实施例中，所述非可信区管理模块包括第二数据处理单元、第二协议处理单元、第二管理单元和第二驱动单元，所述第二数据处理单元分别连接所述第二协议处理
单元、所述第二管理单元和所述第二驱动单元，所述第二数据处理单元还连接所述存储服务器，所述第二协议处理单元连接所述第二管理单元，所述第二驱动单元连接所述隔离硬件；
[0024]所述第二数据处理单元用于接收并解析所述第二协议报文，并根据所述第二协议报文对应的第二数据的协议类型和数据格式形成第二数据流，所述第二协议处理单元用于通过分析并跟踪所述第二数据流的协议状态，并基于所述协议状态识别所述第二协议报文的操作类型以及第二磁盘信息，所述第二管理单元用于获取所述第二磁盘信息对应的第二密钥索引信息，并将所述第二密钥索引信息和所述第二协议报文发送至所述第二数据处理单元，所述第二数据处理单元还用于将所述第二协议报文和所述第二密钥索引信息封装成第二目标消息，所述第二驱动单元用于发送所述第二目标消息至所述隔离硬件。
[0025]第二方面，本专利技术实施例提供了一种基于硬件隔离的数据加密方法，应用于上述第一方面所述的基于硬件隔离的数据加密系统，包括：
[0026]在所述应用服务器发起数据存储请求的情况下，所述应用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于硬件隔离的数据加密系统，其特征在于，包括：依次逻辑连接的应用服务器、可信区管理模块、隔离硬件、非可信区管理模块和存储服务器；在所述应用服务器发起数据存储请求的情况下，所述应用服务器用于发送第一协议报文，所述可信区管理模块用于接收并解析所述第一协议报文，并将所述第一协议报文和第一磁盘对应的第一密钥索引信息封装成第一目标消息，所述隔离硬件用于根据所述第一密钥索引信息对所述第一目标消息进行加密，得到加密消息，所述非可信区管理模块用于获取所述加密消息，将所述加密消息解析成所述第一协议报文，并将所述第一协议报文发送至所述存储服务器。2.根据权利要求1所述的基于硬件隔离的数据加密系统，其特征在于，所述隔离硬件包括数据管理模块、密钥管理模块和加解密模块，其中，所述加解密模块包括加密单元，所述数据管理模块分别连接所述密钥管理模块和所述加密单元，所述数据管理模块还分别连接所述可信区管理模块和所述非可信区管理模块；所述数据管理模块用于接收所述第一目标消息，并解析所述第一目标消息中需要加密的数据，将所述需要加密的数据发送至所述加密单元；所述密钥管理模块用于接收所述可信区管理模块的密钥配置指令，并根据所述密钥配置指令从所述第一密钥索引信息解析出第一密钥，将所述第一密钥发送至所述加密单元；所述加密单元用于根据所述第一密钥对所述需要加密的数据进行加密，得到所述加密消息；所述数据管理模块用于将所述加密消息发送至所述非可信区管理模块。3.根据权利要求2所述的基于硬件隔离的数据加密系统，其特征在于，所述数据管理模块包括数据发送单元和数据缓冲单元，所述数据发送单元和所述数据缓冲单元均连接所述可信区管理模块和所述非可信区管理模块；所述数据缓冲单元用于接收并缓存所述第一目标消息，并解析所述第一目标消息的数据格式，将所述需要加密的数据发送至所述加密单元进行处理，还用于发送所述密钥配置指令至给所述密钥管理模块；所述数据发送单元用于检查所述加密消息，并发送所述加密消息至所述非可信区管理模块。4.根据权利要求1所述的基于硬件隔离的数据加密系统，其特征在于，所述可信区管理模块包括第一数据处理单元、第一协议处理单元、第一管理单元和第一驱动单元，所述第一数据处理单元分别连接所述第一协议处理单元、所述第一管理单元和所述第一驱动单元，所述第一数据处理单元还连接所述应用服务器，所述第一协议处理单元连接所述第一管理单元，所述第一驱动单元连接所述隔离硬件；所述第一数据处理单元用于接收并解析所述第一协议报文，并根据所述第一协议报文对应的第一数据的协议类型和数据格式形成第一数据流，所述第一协议处理单元用于通过分析并跟踪所述第一数据流的协议状态，并基于所述协议状态识别所述第一协议报文的操作类型以及第一磁盘信息，所述第一管理单元用于获取所述第一磁盘信息对应的第一密钥索引信息，并将所述第一密钥索引信息和所述第一协议报文发送至所述第一数据处理单元，所述第一数据处理单元还用于将所述第一协议报文和所述第一密钥索引信息封装成第一目标消息，所述第一驱动单元用于发送所述第一目标消息至所述隔离硬件。
5.根据权利要求1所述的基于硬件隔离的数据加密系统，其特征在于，还包括：在所述应用服务器发起数据获取请求的情况下，所述存储服务器用于发送第二协议报文，所述非可信区管理模块还用于接收并解析所述第二协议报文，并将所述第二协议报文和第二磁盘对应的第二密钥索引信息封装成第二目标消息，所述隔离硬件还用于接收所述第二目标信息，并根据所述第二密钥索引信息对所述第二目标消息进行解密，得到解密消息，所述可信区管理模块还用于获取所述解密消息，将所述解密消息解析...

【专利技术属性】
技术研发人员：袁柱，龚溪东，
申请(专利权)人：湖南麒麟信安科技股份有限公司，
类型：发明
国别省市：