国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種安全存儲系統(tǒng)的制作方法

      文檔序號:12123490閱讀:190來源:國知局

      本發(fā)明涉及信息安全技術(shù)領(lǐng)域,特別是涉及一種安全存儲系統(tǒng)。



      背景技術(shù):

      計算機(jī)信息安全一直是計算機(jī)研究的一個重要課題。自從斯諾登事件以來信息安全的重要性更上一個層次,成為國家安全的重要組成部分。

      數(shù)據(jù)安全包括以數(shù)據(jù)加密等保持?jǐn)?shù)據(jù)完整性為目的的諸多工作,也包括了以完全破壞數(shù)據(jù)完整性為目的的數(shù)據(jù)銷毀工作。目前在信息安全上主要包含如下三個層次的加密實現(xiàn):應(yīng)用層數(shù)據(jù)直接加密,文件系統(tǒng)層次的加密,SAN存儲網(wǎng)絡(luò)的加密。目前在SAN存儲網(wǎng)絡(luò)加密中主要是采用在網(wǎng)絡(luò)上進(jìn)行加密,即在主機(jī)和存儲之間加入存儲加密網(wǎng)關(guān)和秘鑰管理設(shè)備,而在加密網(wǎng)關(guān)后面才是最終的存儲,這所有的設(shè)備組合起來組成了安全存儲。其優(yōu)點在于將存儲系統(tǒng)和加密系統(tǒng)相互分離。任何的數(shù)據(jù)都需要通過加密系統(tǒng)才能夠達(dá)到存儲系統(tǒng)。這樣將存儲業(yè)務(wù)和加密業(yè)務(wù)相互分離,對于實現(xiàn)上更簡單。缺點在于存儲業(yè)務(wù)難以在最大程度上和加密功進(jìn)行融合。另外,由于所有數(shù)據(jù)都會流經(jīng)加密系統(tǒng),則加密系統(tǒng)的可靠性,穩(wěn)定性和性能就會成為整體安全存儲系統(tǒng)的瓶頸。并且一旦加密系統(tǒng)出現(xiàn)故障,必須要暫停所有的業(yè)務(wù),成本較高。

      因此,如何既能實現(xiàn)保證加密功能的穩(wěn)定性和可靠性,同時又能避免加密部分出現(xiàn)故障時必須暫停所有的業(yè)務(wù)的情況,是本領(lǐng)域技術(shù)人員目前需要解決的技術(shù)問題。



      技術(shù)實現(xiàn)要素:

      本發(fā)明的目的是提供一種安全存儲系統(tǒng),既能實現(xiàn)保證加密功能的穩(wěn)定性和可靠性,同時又能避免加密部分出現(xiàn)故障時必須暫停所有的業(yè)務(wù)的情況。

      為解決上述技術(shù)問題,本發(fā)明提供了如下技術(shù)方案:

      一種安全存儲系統(tǒng),包括:存儲設(shè)備,與所述存儲設(shè)備的PCIE卡插槽部插接的PCIE加密卡,所述PCIE加密卡用于根據(jù)自身存儲的數(shù)據(jù)加密秘鑰對輸入所述存儲設(shè)備中的數(shù)據(jù)進(jìn)行加密。

      優(yōu)選地,還包括:主秘鑰管理模塊,用于生成所述數(shù)據(jù)加密秘鑰、為所述數(shù)據(jù)加密秘鑰進(jìn)行加解密的主密鑰,并控制所述主密鑰和所述數(shù)據(jù)加密秘鑰的分發(fā)、保存、備份和恢復(fù)。

      優(yōu)選地,還包括:多個usbkey,用于存儲所述主密鑰。

      優(yōu)選地,還包括:

      從秘鑰管理模塊,用于和所述主密鑰管理模塊進(jìn)行主密鑰和數(shù)據(jù)加密秘鑰的同步;

      切換管理單元,用于在所述存儲設(shè)備的雙控端進(jìn)行主控切換或者單控制器宕機(jī)時,切換所述從秘鑰管理模塊執(zhí)行所述主秘鑰管理模塊的功能。

      優(yōu)選地,所述存儲設(shè)備設(shè)有基于Linux內(nèi)核的pciehp模塊,用于響應(yīng)所述PCIE加密卡的熱插拔。

      優(yōu)選地,所述pciehp模塊包括:

      PCIE鏈路建立單元,用于在所述PCIE加密卡插入所述PCIE卡插槽時進(jìn)行感知,并進(jìn)行PCIE鏈接;

      PCIE鏈路斷開單元,用于在所述PCIE加密卡拔出所述PCIE卡插槽,且所述存儲設(shè)備完成數(shù)據(jù)流的暫停時,斷開PCIE鏈接。

      優(yōu)選地,所述PCIE卡插槽部為PCIE卡插槽或PCIE卡轉(zhuǎn)接器。

      與現(xiàn)有技術(shù)相比,上述技術(shù)方案具有以下優(yōu)點:

      本發(fā)明所提供的一種安全存儲系統(tǒng),包括:存儲設(shè)備,與存儲設(shè)備的PCIE卡插槽部插接的PCIE加密卡,PCIE加密卡用于根據(jù)自身存儲的數(shù)據(jù)加密秘鑰對輸入存儲設(shè)備中的數(shù)據(jù)進(jìn)行加密。存儲設(shè)備上設(shè)有通用的PCIE卡插槽部,將存儲有數(shù)據(jù)加密秘鑰的PCIE加密卡和存儲設(shè)備連接,通過加密卡對于數(shù)據(jù)高速的加密功能,實現(xiàn)對于數(shù)據(jù)流的實時加解密,從而將加密設(shè)備和存儲設(shè)備融合在一起,由于PCIE本身具有熱插拔的特性,從而實現(xiàn)了PCIE加密卡的熱插拔功能;當(dāng)PCIE加密卡出現(xiàn)故障時可以方便進(jìn)行熱替換,保證了加密功能的穩(wěn)定性和可靠性,同時避免加密部分出現(xiàn)故障時必須暫停所有的業(yè)務(wù)的情況。

      附圖說明

      為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。

      圖1為本發(fā)明一種具體實施方式所提供的安全存儲系統(tǒng)結(jié)構(gòu)示意圖。

      具體實施方式

      本發(fā)明的核心是提供一種安全存儲系統(tǒng),既能實現(xiàn)保證加密功能的穩(wěn)定性和可靠性,同時又能避免加密部分出現(xiàn)故障時必須暫停所有的業(yè)務(wù)的情況。

      為了使本發(fā)明的上述目的、特征和優(yōu)點能夠更為明顯易懂,下面結(jié)合附圖對本發(fā)明的具體實施方式做詳細(xì)的說明。

      在以下描述中闡述了具體細(xì)節(jié)以便于充分理解本發(fā)明。但是本發(fā)明能夠以多種不同于在此描述的其它方式來實施,本領(lǐng)域技術(shù)人員可以在不違背本發(fā)明內(nèi)涵的情況下做類似推廣。因此本發(fā)明不受下面公開的具體實施的限制。

      請參考圖1,圖1為本發(fā)明一種具體實施方式所提供的安全存儲系統(tǒng)結(jié)構(gòu)示意圖。

      本發(fā)明的一種具體實施方式提供了一種安全存儲系統(tǒng),包括:存儲設(shè)備1,與存儲設(shè)備1的PCIE卡插槽部插接的PCIE加密卡2,PCIE加密卡2用于根據(jù)自身存儲的數(shù)據(jù)加密秘鑰對輸入存儲設(shè)備1中的數(shù)據(jù)進(jìn)行加密。

      進(jìn)一步地,存儲設(shè)備1設(shè)有基于Linux內(nèi)核的pciehp模塊,用于響應(yīng)PCIE加密卡的熱插拔。pciehp模塊包括:PCIE鏈路建立單元,用于在PCIE加密卡插入PCIE卡插槽時進(jìn)行感知,并進(jìn)行PCIE鏈接;PCIE鏈路斷開單元,用于在PCIE加密卡拔出PCIE卡插槽,且存儲設(shè)備完成數(shù)據(jù)流的暫停時,斷開PCIE鏈接。PCIE卡插槽部為PCIE卡插槽或PCIE卡轉(zhuǎn)接器。

      在本實施方式中,存儲設(shè)備上設(shè)有通用的PCIE卡插槽或PCIE卡轉(zhuǎn)接器,將存儲有數(shù)據(jù)加密秘鑰的PCIE加密卡和存儲設(shè)備連接,通過加密卡對于數(shù)據(jù)高速的加密功能,實現(xiàn)對于數(shù)據(jù)流的實時加解密,從而將加密設(shè)備和存儲設(shè)備融合在一起,由于PCIE本身具有熱插拔的特性,從而實現(xiàn)了PCIE加密卡的熱插拔功能;同時利用加密卡提供的豐富的加密算法,可以為用戶提供豐富的符合一定標(biāo)準(zhǔn)的加密算法。當(dāng)PCIE加密卡出現(xiàn)故障時可以方便進(jìn)行熱替換,保證了加密功能的穩(wěn)定性和可靠性,同時避免加密部分出現(xiàn)故障時必須暫停所有的業(yè)務(wù)的情況。PCIE協(xié)議天然是支持熱插拔的,利用Linux內(nèi)核的pciehp模塊可以方便實現(xiàn)加密卡的熱插拔,從而為用戶在正常IO的過程中提供維護(hù)加密卡的能力,提高設(shè)備的可維護(hù)性。在插入加密卡的時候,pciehp模塊會完成熱插入的流程,并感知PCIE鏈接的建立,這個時候加密卡內(nèi)的驅(qū)動可以開始數(shù)據(jù)流加解密的過程;當(dāng)拔出加密卡時,加密卡的驅(qū)動通知上層應(yīng)用完成數(shù)據(jù)流的暫停,然后pciehp模塊斷開PCIE鏈接,實現(xiàn)拔出流程。

      在本發(fā)明的一種實施方式中,該系統(tǒng)還包括:主秘鑰管理模塊,用于生成數(shù)據(jù)加密秘鑰、為數(shù)據(jù)加密秘鑰進(jìn)行加解密的主密鑰,并控制主密鑰和數(shù)據(jù)加密秘鑰的分發(fā)、保存、備份和恢復(fù)。

      進(jìn)一步地,還包括:多個usbkey,用于存儲主密鑰;從秘鑰管理模塊,用于和主密鑰管理模塊進(jìn)行主密鑰和數(shù)據(jù)加密秘鑰的同步;切換管理單元,用于在存儲設(shè)備的雙控端進(jìn)行主控切換或者單控制器宕機(jī)時,切換從秘鑰管理模塊執(zhí)行主秘鑰管理模塊的功能。

      在本實施方式中,從秘鑰的管理層上面使用了兩級秘鑰管理,即采用了主密鑰和數(shù)據(jù)加密秘鑰。其中,主密鑰只負(fù)責(zé)對于數(shù)據(jù)加密秘鑰進(jìn)行加解密。而數(shù)據(jù)加密秘鑰負(fù)責(zé)對輸入到存儲設(shè)備中的實際數(shù)據(jù)流進(jìn)行加解密。當(dāng)開啟加密功能時,主秘鑰管理模塊會生成主密鑰和數(shù)據(jù)加密秘鑰,并將主密鑰進(jìn)行分發(fā)并保存在多個usbkey上。當(dāng)一個新的數(shù)據(jù)加密秘鑰生成時,會首先利用主密鑰對其進(jìn)行加密,進(jìn)而將該數(shù)據(jù)加密秘鑰保存在PCIE加密卡中。PCIE加密卡為數(shù)據(jù)加密秘鑰的保存進(jìn)行管理,并且保證數(shù)據(jù)加密秘鑰即使在加密卡被非法竊取的情況下,沒有主密鑰也無法導(dǎo)入合法的秘鑰。此時,在整體的安全存儲系統(tǒng)中無法檢測到數(shù)據(jù)加密秘鑰的明文,這是由于數(shù)據(jù)加密秘鑰只有在數(shù)據(jù)加解密的時候會通過主密鑰進(jìn)行解密,并且完成數(shù)據(jù)流的加解密后立即釋放,而這所有的過程是利用加密卡的協(xié)處理器完成的,加密卡保證了其內(nèi)部內(nèi)存無法被系統(tǒng)所訪問。

      當(dāng)存儲設(shè)備為雙控存儲設(shè)備時,在本實施方式中還進(jìn)行了秘鑰管理中心的部署,秘鑰管理中心和存儲控制器一樣設(shè)有主次之分,即設(shè)置了主秘鑰管理模塊和從秘鑰管理模塊。在正常情況下,主密鑰管理模塊為整個存儲安全系統(tǒng)提供主密鑰的生成、數(shù)據(jù)加密秘鑰的生成,各秘鑰的分發(fā)、加密保存以及備份和恢復(fù)功能,且主秘鑰管理模塊和從秘鑰管理模塊進(jìn)行秘鑰的同步,這是由于雙控端看到的LUN是一樣的,雙控端都可以對數(shù)據(jù)流進(jìn)行加解密,必須保證其秘鑰的一致性。當(dāng)發(fā)生主控切換的時,或單控制器宕機(jī)時,秘鑰管理中心的切換管理單元會監(jiān)控到這些事件,隨著存儲設(shè)備的控制器的切換完成秘鑰管理中心的主從切換,此時從秘鑰管理模塊接管之前主密鑰管理模塊的工作,為安全存儲系統(tǒng)繼續(xù)提供加解密服務(wù)。

      綜上所述,本發(fā)明所提供的安全存儲系統(tǒng),采用PCIE加密卡來存儲數(shù)據(jù)加密秘鑰以對輸入存儲設(shè)備的數(shù)據(jù)流進(jìn)行加密處理,充分利用了PCIE設(shè)備的熱插拔特性,實現(xiàn)了加密卡的熱替換,增強(qiáng)了系統(tǒng)的可維護(hù)性,利用加密卡對于存儲的秘鑰的存儲功能,尤其是使用主密鑰和數(shù)據(jù)加密秘鑰的兩級秘鑰管理,保證數(shù)據(jù)加密秘鑰不會被惡意導(dǎo)出;利用了雙控存儲的冗余特性,通過主秘鑰管理模塊和從秘鑰管理模塊實現(xiàn)了兩個密管,當(dāng)主控切換或單控宕機(jī)時實現(xiàn)密管的切換,提高密管的可靠性。

      以上對本發(fā)明所提供的一種安全存儲系統(tǒng)進(jìn)行了詳細(xì)介紹。本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進(jìn)行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想。應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以對本發(fā)明進(jìn)行若干改進(jìn)和修飾,這些改進(jìn)和修飾也落入本發(fā)明權(quán)利要求的保護(hù)范圍內(nèi)。

      當(dāng)前第1頁1 2 3 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1