signed intfd, constchar*buf, size_t count, long sid, long long token, intrw)。安全硬盘的 SafeRead 也可以做类似处理。不仅要为安全读/写增加新的系统调用,还需要把sid和token等新的验证参数从操作系统的接口传递到安全硬盘,这必须经过操作系统的整个1/0栈,包括虚拟文件系统、直接I/0(Direct 1/0)、通用块设备层(Generic Block Layer)、1/0调度层以及硬盘驱动程序层;如果安全硬盘是用SATA模块300与主机相连,那么硬盘驱动程序层又包含SCSI层、ATA层和AHCI等三层组成。虽然改动涉及的层面较多,但因为只是在现有的软件框架下增加参数或命令,因此改动的代码量不大。除了 SafeWrite和SafeRead命令,Challege、Response等命令也需要操作系统层面的支持,这可以通过为sys_1ctl系统调用增加对CMD_CHALLENGE和CMD_RESP0NSE等子命令的支持来实现,无需增加新的系统调用。
[0068]需要特别指出的是,安全读/写sys_write_safe和sys_read_safe是以直接1/0模式读写文件,不经过操作系统的高速磁盘缓存。操作系统的高速磁盘缓存所缓存的页可以被多个不同的进程共享复用,省去很多不必要的磁盘1/0。但高速磁盘缓存的这个优点对于安全硬盘的数据访问控制却是安全隐患,因为非安全硬盘授权的用户有可能从操作系统的磁盘缓存读取到属于其他用户的数据。以直接1/0模式读写文件,跳过了操作系统的磁盘缓存,可以避免上述问题。还要补充的是,直接1/0模式常用于自主管理磁盘缓存、无需操作系统缓存的数据密集型程序,比如数据库系统。而我们认为正是这种数据密集型应用更有可能利用安全硬盘的额外数据保护功能。
[0069]下面参照图4 以 HDFS(Hadoop Distributed File System, Hadoop 分布式文件系统)为例简要介绍安全硬盘如何提高大数据系统的数据安全性。
[0070]HDFS的现有安全机制需要名字节点420和数据节点400协作保证。名字节点420首先验证HDFS客户端410发来的文件操作(比如读操作)是否来自一个权限足够的用户。核实用户身份的凭证是其提供的代理令牌(Delegat1n token)。如果用户合法且权限足够,则名字节点420把操作所访问的块的块令牌返回给客户端,这个块令牌是加密过的,无法伪造,且过期即失效。随后客户端向数据节点400调用块操作时,会把块令牌也发送给数据节点400,后者检查块令牌的合法性。如果合法,才授权客户端的块操作。以上就是HDFS访问控制的基本原理。
[0071]但上面的访问控制是有不足的。数据节点400上的HDFS块是以文件形式存放的。这意味数据节点400的内部管理员或获得特权的外部攻击者,可以绕开上述的HDFS访问控制机制,直接读取块所在的文件。安全硬盘可以防止这种情况发生。用户的密钥可以存储在名字节点420 (认为是可信的)中,当用户需要读写受安全硬盘保护的HDFS块时,只要按照硬盘访问控制方法,先建立会话(比如基于挑战-应答协议),然后在这个会话中进行授权的读写操作即可。即使是拥有数据节点特权的攻击者,没有用户的用户密钥,也无法从安全硬盘中非法读写数据。
[0072]综上所述,本发明实施例所述的安全硬盘增强了其自身的安全访问机制,在整个运行期间持续保障其内数据的安全性。主要表现在:
[0073](I)多用户的数据隔离:支持多个用户安全地共享一个硬盘,并保证一个用户的受保护数据不被其他用户非法访问;
[0074](2)细粒度的访问控制:将存储扇区作为访问控制的最小单元,以在数据保护上达到最大的灵活性;
[0075](3)高安全的接口协议:硬盘接口协议的安全性仅依赖于客户端和安全硬盘,不依赖于主机上的系统软件(如操作系统),可以抵御各种软件层面的攻击;
[0076](4)最小化的可信安全基(Trusted Computing Base):访问控制机制是在硬盘固件上实现,其代码量远小于复杂庞大的系统软件,因此更难出现因软件缺陷而导致的安全问题。
[0077]除了以上安全性方面的优点,由于安全硬盘的访问控制所需的密码学计算较少,因此产生的运行时的额外开销较低;同时,安全硬盘的访问控制与普通硬盘兼容,因此所需的软硬件改动较少。
[0078]虽然本发明所公开的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所公开的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的保护范围,仍须以所附的权利要求书所界定的范围为准。
【主权项】
1.一种安全硬盘,其特征在于,包括: 新用户注册模块,设置为响应用户发送的注册命令,返回对应所述用户的用户身份标识,所述注册命令包括利用根密钥加密的用户密钥; 会话建立模块,设置为验证所述用户的身份的合法性;在确定所述用户的身份合法时建立会话,并将确定的对应所述会话的会话标识和会话密钥存储在会话信息表中; 访问控制模块,设置为接收所述用户发送的读/写请求,并在确定所述读/写请求所属的会话有效、确定所述读/写请求涉及的参数完整且确定所述用户有权访问所述读/写请求涉及的存储空间时,允许所述读/写请求; 会话终止模块,设置为在满足设定的终止条件时,终止所述会话。2.根据权利要求1所述的安全硬盘,其特征在于,所述会话建立模块具体设置为:利用挑战-应答机制验证所述用户的身份的合法性。3.根据权利要求1或2所述的安全硬盘,其特征在于,所述访问控制模块包括: 接收单元,设置为接收所述读/写请求,所述读/写请求包括用户身份标识、基本参数和验证参数; 第一验证单元,设置为根据所述验证参数和所述会话信息表,确定所述读/写请求所属的会话的有效性以及所述基本参数的完整性; 第二验证单元,设置为根据所述用户身份标识、所述验证参数和权限信息表,确定所述用户是否有权访问所述读/写请求涉及的存储空间; 访问控制单元,设置为在所述第一验证单元确定所述会话有效且所述基本参数完整,所述第二验证单元确定所述用户有权访问所述存储空间时,允许所述读/写请求。4.根据权利要求3所述的安全硬盘,其特征在于,所述验证参数包括会话标识和消息验证码;所述第一验证单元包括: 有效性验证子单元,设置为在判断出所述会话信息表中包括所述会话标识时,确定所述读/写请求所属的会话有效; 完整性验证子单元,设置为在利用所述消息验证码和所述会话信息表中存储的对应所述会话的会话密钥判断出所述基本参数未被篡改时,确定所述基本参数完整。5.根据权利要求3所述的安全硬盘,其特征在于,所述第二验证单元包括第一验证子单元,设置为依次对构成所述存储空间的每个存储扇区,验证所述用户是否有权访问所述存储扇区;在确定所述用户有权访问构成所述存储空间的所有存储扇区时,确定所述用户有权访问所述存储空间。6.根据权利要求5所述的安全硬盘,其特征在于,所述第二验证单元还包括第二验证子单元,设置为依次对所述第一验证子单元确定的所述用户无权访问的每个存储扇区,根据所述权限信息表中存储的对应所述存储扇区的权限标识,确定所述存储扇区是否可被访问;在确定所述第一验证子单元确定的所述用户无权访问的所有存储扇区均可被访问时,确定所述用户有权访问所述存储空间。7.根据权利要求1所述的安全硬盘,其特征在于,所述终止条件包括以下条件中的一种或几种: 所述会话持续预定的时间阈值; 在所述会话有效期间,所述用户进行操作的累计次数大于设定的第一次数阈值; 接收到所述用户发送的登出命令;以及 判断出拒绝所述读/写请求的次数大于设定的第二次数阈值。8.根据权利要求1至7中任一项所述的安全硬盘,其特征在于,所述安全硬盘为固态硬盘。
【专利摘要】本发明公开了一种安全硬盘,其包括新用户注册模块、会话建立模块、访问控制模块和会话终止模块,通过扩充普通硬盘的接口协议,保障在整个运行期间用户在硬盘中的受保护数据不被其他未授权用户访问。本发明具有多用户的数据隔离、细粒度的访问控制、高安全的接口协议和最小化的可信安全基等特点,可提高硬盘中存储数据的安全性。
【IPC分类】G06F21/79, G06F21/62
【公开号】CN105069377
【申请号】CN201510518298
【发明人】张勇, 田洪亮, 许信辉, 李超, 邢春晓
【申请人】清华大学
【公开日】2015年11月18日
【申请日】2015年8月21日