本发明涉及一种保护方法,具体是一种公民网络身份认证数据加密保护方法。
背景技术:
目前市场上已有几种对于公民网络身份认证数据的加密产品,包括数据源加密方式、数据库中间件加密、网络双栈存储加密设备等,具体的优缺点如下:
1)数据源加密方式
在数据保存到网络存储之前进行加密,将密文保存到网络存储中;使用数据时先读出,在进行解密后使用。
优点:实现简单,用应用层软件即可实现。
缺点:写入数据库的数据如果使用数据源加密,会导致数据库查找功能无法使用;数据必须整存整取,对片段数据的操作将导致数据不可用。
适用场景:与数据库无关的静态数据的保存和备份。
2)数据库中间件加密
在数据写入数据库的过程中加密,在读出数据库时解密使用。
优点:通过内核层软件实现,可以支持大部分数据库的操作。
缺点:只能对特定数据库的特定版本有效,目前只支持oracle的某些版本,一旦oracle版本升级,由于缺乏底层协议细节,不能及时支持;加解密过程消耗cpu资源,性能影响较大;所有使用数据库的终端都需要安装中间件软件,实施较繁琐。
适用场景:访问不频繁的专用数据库客户端。
3)网络双栈存储加密设备
加密设备串接在服务器和存储资源之间,通过两套协议栈实现对网络存储数据加密。从服务器方向看加密设备,模拟成存储资源池;从存储资源池方向看加密设备,模拟成服务器。存储时,一套协议栈先提取数据净荷,加密后再通过另一套协议栈写入存储资源。
优点:对文件系统网络存储支持较好;独立设备,不占用服务器资源。
缺点:对数据库支持较弱,部分数据库操作失效;需要与服务器和储存资源配置保持一致,无法适应复杂拓扑;加密设备仍然使用软件协议栈,性能较低。
技术实现要素:
本发明的目的在于提供一种公民网络身份认证数据加密保护方法,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:
一种公民网络身份认证数据加密保护方法,包括如下步骤:在认证服务器和磁盘阵列之间,串接fc网络存储加密机,写入磁盘阵列的数据自动加密,读出磁盘阵列的数据自动解密,保存在存储介质上的数据均为密文。
作为本发明再进一步的方案:对底层fc标准协议采用透明的传输方式。
与现有技术相比,本发明的有益效果是:1)对存储数据透明加解密;确保存在在磁盘阵列上的数据均为密文,无授权用户无法得到明文数据,同时不影响加密后的数据搜索功能、软件功能以及用户的使用习惯。
2)具有高安全性;平台实现fc网络协议,根据对存储介质的访问操作,对不同数据块以不同密钥进行加解密;采用用户身份认证、阵列访问控制,行为分析等安全管理机制进行安全管理;而且网络存储加密机不需配置网络地址,对所有数据包采取在线处理方式,本身无攻击点。
3)强稳定性;采用工业级处理器和fpga搭建,芯片组与核心路由器相同;存储处理采用多路冗余处理方式,有效避免误处理;支持多机热备和负载均衡,支持磁盘阵列自身的热备和灾备。
4)高性能的加解密速率;密通状态下网络存储加密机加密机读写速率保持在6gbps左右,与明通状态相比,速率损耗在5%以内,对原有网络拓扑的速率基本无影响。
具体实施方式
下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例中,一种公民网络身份认证数据加密保护方法,其特征在于,包括如下步骤:在认证服务器和磁盘阵列之间,串接fc网络存储加密机,写入磁盘阵列的数据自动加密,读出磁盘阵列的数据自动解密,保存在存储介质上的数据均为密文。
由于本设备仅处理fc标准协议中的某些特定上层应用,对底层fc标准协议采用透明的传输方式,因此具备很好的网络适应性。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。