一种高速网络加密存贮密钥管理系统及方法与流程
本发明属于信息安全技术领域,具体涉及一种高速网络加密存贮密钥管理系统及方法。
背景技术:
在存储领域中,FC SAN(光纤存储局域网)基于其先天的高性能、稳定性一直占据着大部分市场。随着近年来各种信息安全事件的爆发,人们迫切需要有一种途径来保障自己的数据安全,尤其是像银行等单位。针对用户的FC存储网络系统的应用环境、FC协议特点和高可用性需求,如何稳定可靠、安全可控、快速高效地解决用户存储网络数据的保密问题以及密钥管理问题,正是研制高速网络存贮加密机的背景和意义所在。高速网络存储加密机主要通过一种基于FC协议的数据加解密机制,解析FC SAN网络中的应用服务器(以下称服务器端)和磁盘阵列(以下称存储器端)之间的FC协议,对于服务器端与存储器端之间传输的数据进行加解密。网络存储加密机采用透明传输的方式加入网络,除提供上述实时加解密FCP协议中的扇区数据的主要功能,还支持高可用性、日志审计、磁盘管理、密钥管理、访问控制等功能。设计先进、集成合理、稳定可靠、安全可控、快速高效、安全强度高,是符合国家商用密码技术规范及管理要求的、可用于FC网络存储加解密的、具有自主知识产权的安全保密设备。
技术实现要素:
为了解决上述问题,本发明提供一种高速网络加密存贮密钥管理系统,所述密钥管理系统通过四种密钥,采用逐级保护的方法,对待加密设备完成密钥管理,具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁;
进一步地,所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥;
设备根密钥,所述设备根密钥用于实现对关键参数、密钥等的存储加密保护;
设备身份密钥,所述设备身份密钥用于本机身份认证,为集群设备的密钥分享过程提供密码保护;
密钥加密密钥,所述密钥加密密钥用于实现在密钥分发过程中对工作密钥的加密保护;
工作密钥,所述工作密钥用于实现对业务数据信息传输的加密保护;
进一步地,所述设备根密钥由设备生成后分为三份S1,S2,S3,其中S1在生产时固化在网络存储加密机内部的安全芯片中;S2保存在分量key1中;S3保存在分量key2中;
进一步地,所述设备身份密钥为非对称密码算法密钥,所述非对称密码算法密钥为一组公/私钥对,其中私钥长度为256比特,公钥长度为512比特,所述公钥通过USB Key或配置管理接口导出,私钥保存在网络存储加密机内的安全芯片中;
进一步地,所述密钥加密密钥为长度128比特的对称分组密码算法密钥,用于对集群内工作密钥的分享进行加解密保护,所述密钥加密密钥在每次对集群内各网络存储加密机进行密钥分享时,由发起者的随机数生成单元实时产生并经检验后使用,密钥分发完成后即销毁,不保存;
进一步地,所述工作密钥为长度128比特的对称分组密码算法密钥,用于光纤通道中磁盘数据在传输过程中的加解密,当更改工作密钥时,需先将磁盘中的原加密数据使用原工作密钥解密后再使用新工作密钥加密后进行存储,然后再使用新工作密钥替换原工作密钥,所述工作密钥获取来自于安全芯片,所述安全芯片从两个WNG9随机数发生器获取两个随机数,将两个随机数的异或结果作为LUN的工作密钥,然后使用设备根密钥进行加密后存储到数据库中;
进一步地,一种高速网络加密存贮密钥管理方法,所述方法包括;
1)密钥生成,所述设备根密钥、设备身份密钥和工作密钥由网络存储加密机中双安全芯片的噪声发生器产生;
2)密钥分发,所述设备根密钥不分发,所述设备身份密钥由各个网络存储加密机生成,私钥不导出,公钥从网络存储加密机中导出后生成设备的证书请求文件,然后以注入key为载体,经密钥管理中心签发后统一下发到各个设备节点,所述工作密钥由KMC或者密钥产生端设备发起,在身份认证的前提下,通过数字信封的方式,经过公钥签名和所述密钥加密密钥的保护分发;
3)密钥存贮,所述设备根密钥经过分割,得到3份不同部分,1份保持在网络存储加密机安全芯片内,另外2份加密分别独立保存到2个USB Key上,在使用时设备根密钥存在于安全芯片内部SRAM中,掉电即丢失,所述设备身份密钥一经生成就用设备根密钥做为密钥,使用SM4算法,在网络存储加密机中加密后存储在网络存储加密机安全芯片内部FLASH中,使用时安全芯片将设备身份密钥解密到内部SRAM中,掉电即丢失;所述密钥加密密钥临时使用,随即销毁,不保存,所述工作密钥生成后使用两种方式保存;
4)密钥使用,所述密钥使用包括:设备根密钥使用和工作密钥使用;
所述设备根密钥使用步骤:
411)通过用户身份验证:使用者在身份验证时需要在五分钟时间间隔里插入两个USB Key;
412)至少两个USB Key通过身份验证后,分量Key中的根密钥分量被读入网络存储加密机安全芯片的SRAM中;
413)再加上网络存储加密机内部的一个根密钥分量,经过模2加运算,计算得到设备根密钥的明文;
414)设备根密钥恢复后保存在安全芯片的SRAM的特定位置,直到掉电丢失;
415)当设备根密钥注入完成后,分量key拔出或继续保存;
所述工作密钥使用步骤:
421)通过操作员身份认证后获得权限;
422)根据用户的指定确定解密方式;
423)将存储在FLASH中的工作密钥密文读到SRAM中;
424)以设备根密钥做为密钥,使用SM4算法,或以私钥解密获得工作密钥的明文;
425)保存在SRAM的特定位置,直到掉电丢失;
426)再次使用需要重新解密;
5)密钥备份:
51)设备根密钥分割存放在2个usb key中;
52)设备身份密钥备份在获得管理员身份权限后,使用安全芯片SRAM中的设备根密钥做为密钥,使用SM4算法,将网络存储加密机存储的设备身份密钥加密后存储在备份介质中,公钥和私钥通过两个备份介质分别独立保存;
53)密钥加密密钥不备份;
54)工作密钥是在获得管理员身份权限后,使安全芯片中SRAM中的设备根密钥做为密钥,使用SM4算法,加密后存储在USB key中;
6)密钥更换包括设备根密钥更换、设备身份密钥更换和工作密钥更换;
密钥恢复,所述密钥恢复包括设备根密钥恢复、设备身份密钥恢复和工作密钥恢复;
进一步地,所述工作密钥生成后的两种保存方法包括;
31)用私钥做为密钥,使用SM4算法加密存储在网络存储加密机内部FLASH中,需要时再解密在网络存储加密机CACHE中;
32)用加密卡的设备根密钥加密存储在网络存储加密机内部FLASH中,需要时再用设备根密钥解密在网络存储加密机CACHE中;
进一步地,所述密钥备份具体包括:设备根密钥更换;
所述密钥备份具体包括:设备根密钥更换:
611)第一次初始化网络存储加密机时置换设备根密钥;
612)公私钥对和所有敏感信息均存在于网络存储加密机的SRAM中时重新生成设备根密钥,并重新生成2个USB Key;
设备身份密钥更换:使用者取得管理员权限后,通过界面或命令行生成一对新的公私密钥对,并覆盖掉旧的公私密钥对,然后导出新的公钥生成新的证书请求文件,经密钥管理中心签发后以USB Key为载体下发到各个网络存储加密机,同时还对新的密钥对重新进行备份;
工作密钥更换:将磁盘中原加密数据备份为明文数据,再使用新的工作密钥加密为密文数据后进行磁盘存储;
进一步地,所述密钥更换具体包括:
71)设备根密钥恢复:管理员依次插入2个USB Key,安全芯片将USB key卡上的根密钥分量读入网络存储加密机内存后与卡内的分量合并成设备根密钥的明文;
72)设备身份密钥恢复:管理员将备份介质中存储的密文信息读入网络存储加密机,安全芯片使用设备根密钥作为解密密钥,使用SM4算法,在网络存储加密机中将密文信息解密后存放在对应SRAM区域;
73)工作密钥恢复:管理员将备份介质中存储的密文信息读入网络存储加密机,安全芯片使用设备根密钥作为解密密钥,使用SM4算法,重新下载工作密钥;
本发明的有益效果如下:
1)采用依LUN划分的密钥管理配置方案。不同的LUN使用不同的数据加解密密钥,确保了磁盘数据加密按不同LUN进行分割;每个网络存储加密机只拥有与自己LUN加解密相关联的密钥,一个网络存储加密机的安全威胁只影响与该加密机相关联的业务信息的安全,全网其他用户业务信息的安全不受影响;
2)采用集中的密钥维护策略,密钥管理安全可控。采用远程在线密钥分发机制,密钥配置灵活方便,可实现加密系统安全可靠的快速布置和调整。
3)具有远程销毁网络存储加密机中密钥和关键参数的能力,可在紧急情况下对网络存储加密机实施有效隔离,确保整个存储系统的安全;
4)选用国密局批准使用的SM4标准密码算法作为信息加解密和存储保护加密的核心载体,并且按照国家商用密码装备研制规范开展系统研制工作;
5)在保密系统的研制中,采用机、卡分离的开机认证、密钥和参数存储加密保护、专用密码算法芯片、Linux系统内核/专用驱动程序/专用密码服务管理模块/专用密钥分发管理协议等安全技术,使得保密系统自身具有很强的自我安全保护措施,单个设备的失控不会对系统安全造成致命损害。
附图说明
图1为本发明中所述网络存储加密机的硬件结构图;
图2为本发明中所述密钥结构的层次关系;
图3为本发明中密码密钥保障体系结构。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。下面为本发明的举出最佳实施例:
如图1-2所示,本发明基于网络存储加密机,提供一种高速网络加密存贮密钥管理系统,其特征在于,所述密钥管理系统通过四种密钥,采用逐级保护的方法,对待加密设备完成密钥管理,具体管理内容包括生产、分发、存储、备份、更换、恢复和销毁,所述密钥管理系统包括设备根密钥、设备身份密钥、密钥加密密钥和工作密钥;
设备根密钥,所述设备根密钥用于实现对关键参数、密钥等的存储加密保护;
设备身份密钥,所述设备身份密钥用于本机身份认证,为集群设备的密钥分享过程提供密码保护;
密钥加密密钥,所述密钥加密密钥用于实现在密钥分发过程中对工作密钥的加密保护;
工作密钥,所述工作密钥用于实现对业务数据信息传输的加密保护,所述设备根密钥由设备生成后分为三份S1,S2,S3,其中S1在生产时固化在网络存储加密机内部的安全芯片中;S2保存在分量key1中;S3保存在分量key2中,所述设备身份密钥为非对称密码算法密钥,所述非对称密码算法密钥为一组公/私钥对,其中私钥长度为256比特,公钥长度为512比特,所述公钥通过USB Key或配置管理接口导出,私钥保存在网络存储加密机内的安全芯片中,所述密钥加密密钥为长度128比特的对称分组密码算法密钥,用于对集群内工作密钥的分享进行加解密保护,所述密钥加密密钥在每次对集群内各网络存储加密机进行密钥分享时,由发起者的随机数生成单元实时产生并经检验后使用,密钥分发完成后即销毁,不保存,所述工作密钥为长度128比特的对称分组密码算法密钥,用于光纤通道中磁盘数据在传输过程中的加解密,当更改工作密钥时,需先将磁盘中的原加密数据使用原工作密钥解密后再使用新工作密钥加密后进行存储,然后再使用新工作密钥替换原工作密钥,所述工作密钥获取来自于安全芯片,所述安全芯片从两个WNG9随机数发生器获取两个随机数,将两个随机数的异或结果作为LUN的工作密钥,然后使用设备根密钥进行加密后存储到数据库中。
一种高速网络加密存贮密钥管理方法,所述方法包括:
1)密钥生成,所述设备根密钥、设备身份密钥和工作密钥由网络存储加密机中双安全芯片的噪声发生器产生;
2)密钥分发,所述设备根密钥不分发,所述设备身份密钥由各个网络存储加密机生成,私钥不导出,公钥从网络存储加密机中导出后生成设备的证书请求文件,然后以注入key为载体,经密钥管理中心签发后统一下发到各个设备节点,所述工作密钥由KMC或者密钥产生端设备发起,在身份认证的前提下,通过数字信封的方式,经过公钥签名和所述密钥加密密钥的保护分发;
3)密钥存贮,所述设备根密钥经过分割,得到3份不同部分,1份保持在网络存储加密机安全芯片内,另外2份加密分别独立保存到2个USB Key上,在使用时设备根密钥存在于安全芯片内部SRAM中,掉电即丢失,所述设备身份密钥一经生成就用设备根密钥做为密钥,使用SM4算法,在网络存储加密机中加密后存储在网络存储加密机安全芯片内部FLASH中,使用时安全芯片将设备身份密钥解密到内部SRAM中,掉电即丢失;所述密钥加密密钥临时使用,随即销毁,不保存,所述工作密钥生成后使用两种方式保存;
4)密钥使用,所述密钥使用包括:设备根密钥使用和工作密钥使用;
所述设备根密钥使用步骤:
411)通过用户身份验证:使用者在身份验证时需要在五分钟时间间隔里插入两个USB Key;
412)至少两个USB Key通过身份验证后,分量Key中的根密钥分量被读入网络存储加密机安全芯片的SRAM中;
413)再加上网络存储加密机内部的一个根密钥分量,经过模2加运算,计算得到设备根密钥的明文;
414)设备根密钥恢复后保存在安全芯片的SRAM的特定位置,直到掉电丢失;
415)当设备根密钥注入完成后,分量key拔出或继续保存;
所述工作密钥使用步骤:
421)通过操作员身份认证后获得权限;
422)根据用户的指定确定解密方式;
423)将存储在FLASH中的工作密钥密文读到SRAM中;
424)以设备根密钥做为密钥,使用SM4算法,或以私钥解密获得工作密钥的明文;
425)保存在SRAM的特定位置,直到掉电丢失;
426)再次使用需要重新解密;
5)密钥备份:
51)设备根密钥分割存放在2个usb key中;
52)设备身份密钥备份在获得管理员身份权限后,使用安全芯片SRAM中的设备根密钥做为密钥,使用SM4算法,将网络存储加密机存储的设备身份密钥加密后存储在备份介质中,公钥和私钥通过两个备份介质分别独立保存;
53)密钥加密密钥不备份;
54)工作密钥是在获得管理员身份权限后,使安全芯片中SRAM中的设备根密钥做为密钥,使用SM4算法,加密后存储在USB key中;
6)密钥更换包括设备根密钥更换、设备身份密钥更换和工作密钥更换;
7)密钥恢复,所述密钥恢复包括设备根密钥恢复、设备身份密钥恢复和工作密钥恢复。
所述工作密钥生成后的两种保存方法包括:
31)用私钥做为密钥,使用SM4算法加密存储在网络存储加密机内部FLASH中,需要时再解密在网络存储加密机CACHE中;
32)用加密卡的设备根密钥加密存储在网络存储加密机内部FLASH中,需要时再用设备根密钥解密在网络存储加密机CACHE中。
所述密钥备份具体包括:设备根密钥更换:
613)第一次初始化网络存储加密机时置换设备根密钥;
614)公私钥对和所有敏感信息均存在于网络存储加密机的SRAM中时重新生成设备根密钥,并重新生成2个USB Key;
设备身份密钥更换:使用者取得管理员权限后,通过界面或命令行生成一对新的公私密钥对,并覆盖掉旧的公私密钥对,然后导出新的公钥生成新的证书请求文件,经密钥管理中心签发后以USB Key为载体下发到各个网络存储加密机,同时还对新的密钥对重新进行备份;
工作密钥更换:将磁盘中原加密数据备份为明文数据,再使用新的工作密钥加密为密文数据后进行磁盘存储,所述密钥更换具体包括:
71)设备根密钥恢复:管理员依次插入2个USB Key,安全芯片将USB key卡上的根密钥分量读入网络存储加密机内存后与卡内的分量合并成设备根密钥的明文;
72)设备身份密钥恢复:管理员将备份介质中存储的密文信息读入网络存储加密机,安全芯片使用设备根密钥作为解密密钥,使用SM4算法,在网络存储加密机中将密文信息解密后存放在对应SRAM区域;
73)工作密钥恢复:管理员将备份介质中存储的密文信息读入网络存储加密机,安全芯片使用设备根密钥作为解密密钥,使用SM4算法,重新下载工作密钥。
本发明中所提及的网络存储加密机采用了标准密码算法配置(国密局批准使用的SM2、SM3、SM4算法)、三级密钥结构的密码密钥保障体系,网络存储加密机为2U高度的机架式设备,主体为数据处理FPGA与配置管理CPU,此外,还包括电源模块、风扇模块和监控模块。其硬件组成如图1所示。本发明所述密钥管理系统设计了业务数据加密算法、数字签名算法、存储保护加密算法和密钥分发加密算法。其中业务数据加密算法采用SM4算法实现,分组长度为128bit,密钥长度为128bi t;数字签名算法采用SM2、SM3算法共同实现,公私钥对长度分别为512和256bit;存储保护加密算法采用SM4算法实现,分组算法密钥长度128bi t;密钥分发加密算法采用SM2,SM3和SM4算法实现,公私钥对长度分别为512和256bit,分组长度为128bit,密钥长度为128bit。整个密码密钥保障体系使用了4种密钥:
设备根密钥(DRK):即管理密钥,用于对设备中其它密钥的密码存储保护,每设备一个。
设备身份密钥私钥(DSK):用于本机身份认证和对密钥远程分发过程的密码保护,每设备一个。
设备身份密钥公钥(DPK):用于本机身份认证和对密钥远程分发过程的密码保护,每设备一个。
密钥加密密钥(KEK):用于密钥的加密传输保护,由随机数生成器产生。
LUN块密钥(LBK):即工作密钥、会话密钥。供对磁盘存储数据的密码保护(SM4算法)使用,每LUN一个。
加密模组的密码密钥保障体系结构及层次关系如图3所示。
网络存储加密机的主要功能是:完成应用服务器从磁盘阵列读取数据的解密工作、应用服务器向磁盘阵列写入数据的加密工作;接受密钥管理中心的统一管理。其中密钥管理中心的功能如下。
为确保网络存储加密机能够始终在安全和抗攻击的环境下稳定可靠、快速高效地完成各项密码服务任务,就必须从系统的总体安全角度出发,并兼顾企业用户网络信息系统的需求特点,对网络存储加密机在密钥配置及使用策略等方面进行全面、综合的设计与实施。
考虑到应用领域和使用环境,网络存储加密机使用了较为完善的密钥结构、配置及管理方案。
本发明所述密钥管理模块包括:
1)设备根密钥
长度为128位的对称密码算法密钥,使用SM4算法,对网络存储加密机内FLASH存储的设备身份密钥、LUN工作密钥等敏感数据进行加密保护。设备根密钥由设备生成后分为三份S1,S2,S3,其中S1在生产时固化在网络存储加密机内部的安全芯片中;S2保存在分量key1中;S3保存在分量key2中。如果需要更新设备根密钥,要保证设备身份密钥和所有工作密钥等敏感信息均解密到网络存储加密机SRAM内存中,再重新使用新的设备根密钥加密后,再删除旧的根密钥主分量。
表1密钥种类及用途
2)设备身份密钥
非对称密码算法密钥。网络存储加密机的设备身份密钥是一组公/私钥对,长度为私钥256比特,公钥512比特,使用SM2算法,用于本机身份认证和工作密钥远程集群内分享时的密钥加密密钥的加密保护。
设备身份密钥的公/私钥对由设备产生,公钥可以通过USB Key或配置管理接口导出,私钥不能出网络存储加密机,只能保存在网络存储加密机内的安全芯片中。网络存储加密机与其设备的身份密钥相互独立、互不相同。
3)密钥加密密钥
长度为128比特的对称分组密码算法密钥。使用SM4算法,用于对集群内工作密钥的分享进行加解密保护。
密钥加密密钥仅在每次对集群内各网络存储加密机进行密钥分享时,由发起者的随机数生成单元实时产生并经检验后使用,密钥分发完成后即销毁,不保存。
4)工作密钥
长度为128比特的对称分组密码算法密钥,使用SM4算法,用于光纤通道中磁盘数据在传输过程中的加解密。每个LUN使用不同的工作密钥,每个扇区也使用不同的工作密钥。由于存储加密的特殊性质,工作密钥不可随便更改。用户需要更改工作密钥时,需要先将磁盘中的原加密数据使用原工作密钥解密后再使用新工作密钥加密后进行存储,然后才可以使用新工作密钥替换原工作密钥。网络存储加密机的工作密钥表可存储1024个工作密钥的密文。
网络存储加密机工作密钥由自己生成也可以通过注密key注入,用户在添加磁盘阵列LUN信息时,加密机调用安全芯片的密钥获取接口,安全芯片从两个WNG9随机数发生器获取两个随机数,将两个随机数的异或结果作为LUN的工作密钥,然后使用设备根密钥进行加密后返回给加密机,最后存储到数据库中。
2层次关系
网络存储加密机使用的密钥结构的层次关系如图2所示。
网络存储加密机密钥采取逐级保护的方式:
1)使用密钥分割方式备份和恢复设备根密钥,设备根密钥的物理存在方式是分割成3份,1份保存在网络存储加密机安全芯片内,1份保存在分量key1中,1份保存在分量key2上。正常工作时,设备根密钥明文仅存在于安全芯片的SRAM中,掉电即丢失,重加载设备根密钥需要插入正确的分量key;
2)设备身份密钥存在于网络存储加密机内安全芯片的FLASH中。当需要使用设备身份密钥时,从安全芯片的FLASH中读取保存在安全芯片的SRAM中,掉电即丢失;
3)工作密钥分享时,密钥加密密钥对工作密钥进行加密,同时,使用设备身份密钥的公钥对密钥加密密钥加密,然后与工作密钥的密文一起,以数字信封的方式分发给集群内的网络存储加密机。
工作密钥以密文形式存在于网络存储加密机的FLASH中,使用时从FLASH中读取密文,以设备根密钥作为密钥解密,解密后将明文配置到FPGA的SRAM中使用,掉电即丢失。
配置设计
网络存储加密机中密钥配置简要描述如表2所示。
其中,设备身份公私密钥、根密钥按网络存储加密机独立配置,与其它网络存储加密机互不相同;工作密钥按LUN配置,每LUN互不相同。
管理方案
网络存储加密机的密钥管理(包括生产、分发、存储、备份、更换、恢复、销毁等)方案如表4所示。
表3密钥管理
密钥生成
设备根密钥、设备身份密钥和工作密钥是保护数据的密钥,其随机等概性至关重要,要保证其随机性、不可重复性和不可预测性,我们主要采用由网络存储加密机中双安全芯片的噪声发生器产生密钥的方案,并经统计检验合格后,才用于生成各种密钥。
设备根密钥在网络存储加密机制作USB key时生成,从两个WNG9噪声发生器中各取3个16字节随机数进行异或后作为设备根密钥的3个分量,暂存在安全芯片的SRAM中,接着需要制作2个USB Key,1个分量存在卡内安全芯片的FLASH中,2个分量分别存在2个USB Key上,这是设备根密钥唯一的非易失载体。当网络存储加密机出厂前已经生成了一个根密钥作为出厂根密钥,分割后保存在3个位置;用户在第一次使用网络存储加密机时,要通过2个USB Key获得管理员权限,再次生成一个设备根密钥,并擦除出厂的2个USB Key,再重新生成2个USB Key中保存新的设备根密钥的分割因子。出厂根密钥随即失效。
设备身份密钥在网络存储加密机内,通过国家密码管理局认证的安全芯片内的SM2算法产生;设备身份密钥使用根密钥加密后存储在网络存储加密机内安全芯片的FLASH中,公钥可以导出,公钥导出后用来生成该设备的证书请求,经密钥管理中心签发后统一下发到各个设备节点。
密钥加密密钥和工作密钥由网络存储加密机产生,由也可以KMC产生,具体情况需要由应用设计来决定。密钥的产生必须通过随机性检验、重复性检验后方能使用。
密钥分发
设备根密钥在网络存储加密机制作USB key时生成,不需要分发。设备身份密钥由各个网络存储加密机生成,私钥不能导出,公钥从网络存储加密机中导出后生成设备的证书请求文件,然后以为注入key为载体,经密钥管理中心签发后统一下发到各个设备节点。工作密钥的分发由KMC或者密钥产生端设备发起,在身份认证的前提下,通过数字信封的方式,经过公钥签名和密钥加密密钥的保护分发。
密钥存贮
设备根密钥经过分割,得到3份不同部分,1份保持在网络存储加密机安全芯片内,另外2份加密保存到2个USB Key上,要求这2个USB Key分别独立保存。在使用时设备根密钥存在于安全芯片内部SRAM中,掉电即丢失。
设备身份密钥一经生成就用设备根密钥做为密钥,使用SM4算法,在网络存储加密机中加密后存储在网络存储加密机安全芯片内部FLASH中。使用时安全芯片将设备身份密钥解密到内部SRAM中,掉电即丢失。
密钥加密密钥临时使用,随即销毁,不保存。
工作密钥生成后使用两种用户可选的方式保存:
用私钥做为密钥,使用SM4算法加密存储在网络存储加密机内部FLASH中,需要时再解密在网络存储加密机CACHE中。
用加密卡的设备根密钥加密存储在网络存储加密机内部FLASH中,需要时再用设备根密钥解密在网络存储加密机CACHE中。
密钥使用
设备根密钥使用步骤:
1)首先必须通过用户身份验证:用户在身份验证时需要在五分钟时间间隔里插入两个USB Key;
2)至少两个USB Key通过身份验证后,分量Key中的根密钥分量会被读入网络存储加密机安全芯片的SRAM中;
3)再加上网络存储加密机内部的一个根密钥分量,经过模2加运算,计算得到设备根密钥的明文;
4)设备根密钥恢复后一直保存在安全芯片的SRAM的特定位置,直到掉电丢失;下次使用需要重新注入;
5)当设备根密钥注入完成后,分量key可拔出,继续保存;
设备身份密钥的使用步骤:
1)使用两个USB Key通过身份认证,获得权限;
2)将存储在安全芯片的FLASH中的设备身份密钥读到安全芯片的SRAM中;
3)设备身份密钥读出后保存在安全芯片的SRAM的特定位置,直到掉电丢失;下次使用需要重新读取;
4)当设备身份密钥认证完成后,分量Key可拔出,继续保存。
工作密钥的使用步骤:
1)通过操作员身份认证后获得权限;
2)根据用户的指定使用哪种解密方式;
3)将存储在FLASH中的工作密钥密文读到SRAM中;
4)以设备根密钥做为密钥,使用SM4算法,或以私钥解密获得工作密钥的明文;
5)保存在SRAM的特定位置,直到掉电丢失;下次使用需要重新解密。
密钥备份
网络存储加密机备份主要是指备份网络存储加密机中用来储存密钥和保护性数据的FLASH中的关键信息。备份工作对维持业务系统的可持续性非常重要,网络存储加密机支持内部信息的其它介质(usbkey)备份。网络存储加密机备份必须由网络存储加密机的管理员在系统维护模式下进行,备份介质应由专人负责保管。
根密钥的存储形式是分割存放在2个usb key中,没有其他备份。
设备身份密钥备份需要在获得管理员身份权限后,使用安全芯片SRAM中的设备根密钥做为密钥,使用SM4算法,将网络存储加密机存储的设备身份密钥加密后存储在备份介质中。要求备份时公钥和私钥用两个备份介质分别独立保存。
密钥加密密钥不备份。
工作密钥是解密磁盘数据的关键,必须选择备份,否则如果当前使用的工作密钥被销毁或文件损坏,用户的磁盘数据将无法恢复。备份时需要在获得管理员身份权限后,使安全芯片中SRAM中的设备根密钥做为密钥,使用SM4算法,加密后存储在USB key中。
密钥可根据需要定期备份或不定期备份。
密钥更换
设备根密钥在网络存储加密机生产时生成,一经写入,外界不能读取;用户第一次初始化网络存储加密机时需要重新生成设备根密钥,并置换出厂时的设备根密钥;以后可以不更换。如果需要更换设备根密钥,要保证公私钥对和所有敏感信息均存在于网络存储加密机的SRAM中,再重新生成设备根密钥,并重新生成2个USB Key。
设备身份密钥在超过使用时间后,由用户手动更换,即用户先取得管理员权限,通过界面或命令行再生成一对新的公私密钥对,并覆盖掉旧的公私密钥对,然后导出新的公钥生成新的证书请求文件,经密钥管理中心签发后以USB Key为载体下发到各个网络存储加密机。同时还需要对新的密钥对重新进行备份操作。
工作密钥由用户手动更新,更新前需要将磁盘中原加密数据备份为明文数据,然后再使用新的工作密钥加密为密文数据后进行磁盘存储。
密钥恢复
恢复设备根密钥:管理员需要依次插入2个USB Key,安全芯片将USB key卡上的根密钥分量读入网络存储加密机内存后与卡内的分量合并成设备根密钥的明文。
恢复设备身份密钥:管理员将备份介质中存储的密文信息读入网络存储加密机,安全芯片使用设备根密钥作为解密密钥,使用SM4算法,在网络存储加密机中将密文信息解密后存放在对应SRAM区域以供使用。
恢复工作密钥:管理员将备份介质中存储的密文信息读入网络存储加密机,安全芯片使用设备根密钥作为解密密钥,使用SM4算法,重新下载工作密钥即可更新。
除了采用国密局指定的密码算法、配置多级密钥、实施参数分割外,网络存储加密机还设计有多重安全防护机制,确保通信数据及系统自身的安全。
网络存储加密机的加解密点嵌入在存储系统的inintial和target之间的FC数据帧上,可以对所有的FC数据帧在链路中的传输实施有效的机密性保护。
采用依LUN划分的密钥管理配置方案。不同的LUN使用不同的数据加解密密钥,确保了磁盘数据加密按不同LUN进行分割;每个网络存储加密机只拥有与自己LUN加解密相关联的密钥,一个网络存储加密机的安全威胁只影响与该加密机相关联的业务信息的安全,全网其他用户业务信息的安全不受影响。
采用集中的密钥维护策略,密钥管理安全可控。采用远程在线密钥分发机制,密钥配置灵活方便,可实现加密系统安全可靠的快速布置和调整。
具有远程销毁网络存储加密机中密钥和关键参数的能力,可在紧急情况下对网络存储加密机实施有效隔离,确保整个存储系统的安全。选用国密局批准使用的SM4标准密码算法作为信息加解密和存储保护加密的核心载体,并且按照国家商用密码装备研制规范开展系统研制工作。在保密系统的研制中,采用机、卡分离的开机认证、密钥和参数存储加密保护、专用密码算法芯片、安全定制Linux系统内核/专用驱动程序/专用密码服务管理模块/专用密钥分发管理协议等安全技术,使得保密系统自身具有很强的自我安全保护措施,单个设备的失控不会对系统安全造成致命损害。
以上所述的实施例,只是本发明较优选的具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!