技術(shù)特征:1.一種高速網(wǎng)絡(luò)加密存貯密鑰管理系統(tǒng)����,其特征在于���,所述密鑰管理系統(tǒng)通過四種密鑰,采用逐級保護(hù)的方法�,對待加密設(shè)備完成密鑰管理,具體管理內(nèi)容包括生產(chǎn)��、分發(fā)�、存儲、備份�����、更換����、恢復(fù)和銷毀�。
2.根據(jù)權(quán)利要求1所述的密鑰管理系統(tǒng),其特征在于�����,所述密鑰管理系統(tǒng)包括設(shè)備根密鑰���、設(shè)備身份密鑰��、密鑰加密密鑰和工作密鑰�����;
設(shè)備根密鑰�����,所述設(shè)備根密鑰用于實現(xiàn)對關(guān)鍵參數(shù)����、密鑰等的存儲加密保護(hù);
設(shè)備身份密鑰��,所述設(shè)備身份密鑰用于本機(jī)身份認(rèn)證���,為集群設(shè)備的密鑰分享過程提供密碼保護(hù)�����;
密鑰加密密鑰����,所述密鑰加密密鑰用于實現(xiàn)在密鑰分發(fā)過程中對工作密鑰的加密保護(hù);
工作密鑰��,所述工作密鑰用于實現(xiàn)對業(yè)務(wù)數(shù)據(jù)信息傳輸?shù)募用鼙Wo(hù)����。
3.根據(jù)權(quán)利要求2所述的密鑰管理系統(tǒng),其特征在于�,所述設(shè)備根密鑰由設(shè)備生成后分為三份S1,S2�,S3,其中S1在生產(chǎn)時固化在網(wǎng)絡(luò)存儲加密機(jī)內(nèi)部的安全芯片中�;S2保存在分量key1中;S3保存在分量key2中���。
4.根據(jù)權(quán)利要求2所述的密鑰管理系統(tǒng)���,其特征在于,所述設(shè)備身份密鑰為非對稱密碼算法密鑰����,所述非對稱密碼算法密鑰為一組公/私鑰對���,其中私鑰長度為256比特�����,公鑰長度為512比特�����,所述公鑰通過USB Key或配置管理接口導(dǎo)出�,私鑰保存在網(wǎng)絡(luò)存儲加密機(jī)內(nèi)的安全芯片中。
5.根據(jù)權(quán)利要求2所述的密鑰管理系統(tǒng)���,其特征在于���,所述密鑰加密密鑰為長度128比特的對稱分組密碼算法密鑰,用于對集群內(nèi)工作密鑰的分享進(jìn)行加解密保護(hù)���,所述密鑰加密密鑰在每次對集群內(nèi)各網(wǎng)絡(luò)存儲加密機(jī)進(jìn)行密鑰分享時�����,由發(fā)起者的隨機(jī)數(shù)生成單元實時產(chǎn)生并經(jīng)檢驗后使用���,密鑰分發(fā)完成后即銷毀,不保存���。
6.根據(jù)權(quán)利要求2所述的密鑰管理系統(tǒng)���,其特征在于���,所述工作密鑰為長度128比特的對稱分組密碼算法密鑰,用于光纖通道中磁盤數(shù)據(jù)在傳輸過程中的加解密�����,當(dāng)更改工作密鑰時�,需先將磁盤中的原加密數(shù)據(jù)使用原工作密鑰解密后再使用新工作密鑰加密后進(jìn)行存儲,然后再使用新工作密鑰替換原工作密鑰��,所述工作密鑰獲取來自于安全芯片����,所述安全芯片從兩個WNG9隨機(jī)數(shù)發(fā)生器獲取兩個隨機(jī)數(shù),將兩個隨機(jī)數(shù)的異或結(jié)果作為LUN的工作密鑰�,然后使用設(shè)備根密鑰進(jìn)行加密后存儲到數(shù)據(jù)庫中。
7.一種高速網(wǎng)絡(luò)加密存貯密鑰管理方法����,基于上述權(quán)利要求1-6之一所述的密鑰管理系統(tǒng)�,其特征在于����,所述方法包括:
1)密鑰生成,所述設(shè)備根密鑰���、設(shè)備身份密鑰和工作密鑰由網(wǎng)絡(luò)存儲加密機(jī)中雙安全芯片的噪聲發(fā)生器產(chǎn)生��;
2)密鑰分發(fā)����,所述設(shè)備根密鑰不分發(fā)����,所述設(shè)備身份密鑰由各個網(wǎng)絡(luò)存儲加密機(jī)生成,私鑰不導(dǎo)出����,公鑰從網(wǎng)絡(luò)存儲加密機(jī)中導(dǎo)出后生成設(shè)備的證書請求文件,然后以注入key為載體�,經(jīng)密鑰管理中心簽發(fā)后統(tǒng)一下發(fā)到各個設(shè)備節(jié)點(diǎn),所述工作密鑰由KMC或者密鑰產(chǎn)生端設(shè)備發(fā)起��,在身份認(rèn)證的前提下���,通過數(shù)字信封的方式���,經(jīng)過公鑰簽名和所述密鑰加密密鑰的保護(hù)分發(fā)���;
3)密鑰存貯,所述設(shè)備根密鑰經(jīng)過分割��,得到3份不同部分�����,1份保持在網(wǎng)絡(luò)存儲加密機(jī)安全芯片內(nèi)�����,另外2份加密分別獨(dú)立保存到2個USB Key上�����,在使用時設(shè)備根密鑰存在于安全芯片內(nèi)部SRAM中���,掉電即丟失��,所述設(shè)備身份密鑰一經(jīng)生成就用設(shè)備根密鑰做為密鑰��,使用SM4算法���,在網(wǎng)絡(luò)存儲加密機(jī)中加密后存儲在網(wǎng)絡(luò)存儲加密機(jī)安全芯片內(nèi)部FLASH中,使用時安全芯片將設(shè)備身份密鑰解密到內(nèi)部SRAM中�,掉電即丟失;所述密鑰加密密鑰臨時使用�����,隨即銷毀�����,不保存�����,所述工作密鑰生成后使用兩種方式保存�����;
4)密鑰使用���,所述密鑰使用包括:設(shè)備根密鑰使用和工作密鑰使用���;
所述設(shè)備根密鑰使用步驟:
411)通過用戶身份驗證:使用者在身份驗證時需要在五分鐘時間間隔里插入兩個USB Key�����;
412)至少兩個USB Key通過身份驗證后���,分量Key中的根密鑰分量被讀入網(wǎng)絡(luò)存儲加密機(jī)安全芯片的SRAM中;
413)再加上網(wǎng)絡(luò)存儲加密機(jī)內(nèi)部的一個根密鑰分量�����,經(jīng)過模2加運(yùn)算�����,計算得到設(shè)備根密鑰的明文��;
414)設(shè)備根密鑰恢復(fù)后保存在安全芯片的SRAM的特定位置���,直到掉電丟失�;
415)當(dāng)設(shè)備根密鑰注入完成后���,分量key拔出或繼續(xù)保存�;
所述工作密鑰使用步驟:
421)通過操作員身份認(rèn)證后獲得權(quán)限;
422)根據(jù)用戶的指定確定解密方式�;
423)將存儲在FLASH中的工作密鑰密文讀到SRAM中;
424)以設(shè)備根密鑰做為密鑰����,使用SM4算法,或以私鑰解密獲得工作密鑰的明文�;
425)保存在SRAM的特定位置���,直到掉電丟失����;
426)再次使用需要重新解密�;
5)密鑰備份:
51)設(shè)備根密鑰分割存放在2個usb key中;
52)設(shè)備身份密鑰備份在獲得管理員身份權(quán)限后���,使用安全芯片SRAM中的設(shè)備根密鑰做為密鑰����,使用SM4算法�����,將網(wǎng)絡(luò)存儲加密機(jī)存儲的設(shè)備身份密鑰加密后存儲在備份介質(zhì)中,公鑰和私鑰通過兩個備份介質(zhì)分別獨(dú)立保存�����;
53)密鑰加密密鑰不備份�����;
54)工作密鑰是在獲得管理員身份權(quán)限后����,使安全芯片中SRAM中的設(shè)備根密鑰做為密鑰,使用SM4算法��,加密后存儲在USB key中�;
6)密鑰更換包括設(shè)備根密鑰更換、設(shè)備身份密鑰更換和工作密鑰更換���;
7)密鑰恢復(fù)�,所述密鑰恢復(fù)包括設(shè)備根密鑰恢復(fù)�����、設(shè)備身份密鑰恢復(fù)和工作密鑰恢復(fù)����。
8.根據(jù)權(quán)利要求7所述的密鑰管理方法���,其特征在于,所述工作密鑰生成后的兩種保存方法包括:
31)用私鑰做為密鑰��,使用SM4算法加密存儲在網(wǎng)絡(luò)存儲加密機(jī)內(nèi)部FLASH中�,需要時再解密在網(wǎng)絡(luò)存儲加密機(jī)CACHE中;
32)用加密卡的設(shè)備根密鑰加密存儲在網(wǎng)絡(luò)存儲加密機(jī)內(nèi)部FLASH中��,需要時再用設(shè)備根密鑰解密在網(wǎng)絡(luò)存儲加密機(jī)CACHE中����。
9.根據(jù)權(quán)利要求7所述的密鑰管理方法��,其特征在于��,所述密鑰備份具體包括:設(shè)備根密鑰更換:
611)第一次初始化網(wǎng)絡(luò)存儲加密機(jī)時置換設(shè)備根密鑰���;
612)公私鑰對和所有敏感信息均存在于網(wǎng)絡(luò)存儲加密機(jī)的SRAM中時重新生成設(shè)備根密鑰�,并重新生成2個USB Key���;
設(shè)備身份密鑰更換:使用者取得管理員權(quán)限后�����,通過界面或命令行生成一對新的公私密鑰對���,并覆蓋掉舊的公私密鑰對���,然后導(dǎo)出新的公鑰生成新的證書請求文件,經(jīng)密鑰管理中心簽發(fā)后以USB Key為載體下發(fā)到各個網(wǎng)絡(luò)存儲加密機(jī)�����,同時還對新的密鑰對重新進(jìn)行備份��;
工作密鑰更換:將磁盤中原加密數(shù)據(jù)備份為明文數(shù)據(jù)�����,再使用新的工作密鑰加密為密文數(shù)據(jù)后進(jìn)行磁盤存儲����。
10.根據(jù)權(quán)利要求7所述的密鑰管理方法,其特征在于�����,所述密鑰更換具體包括:
71)設(shè)備根密鑰恢復(fù):管理員依次插入2個USB Key,安全芯片將USB key卡上的根密鑰分量讀入網(wǎng)絡(luò)存儲加密機(jī)內(nèi)存后與卡內(nèi)的分量合并成設(shè)備根密鑰的明文�;
72)設(shè)備身份密鑰恢復(fù):管理員將備份介質(zhì)中存儲的密文信息讀入網(wǎng)絡(luò)存儲加密機(jī),安全芯片使用設(shè)備根密鑰作為解密密鑰����,使用SM4算法,在網(wǎng)絡(luò)存儲加密機(jī)中將密文信息解密后存放在對應(yīng)SRAM區(qū)域����;
73)工作密鑰恢復(fù):管理員將備份介質(zhì)中存儲的密文信息讀入網(wǎng)絡(luò)存儲加密機(jī),安全芯片使用設(shè)備根密鑰作為解密密鑰���,使用SM4算法����,重新下載工作密鑰��。