一种适配多种存储产品的加密系统实现方法
【技术领域】
[0001]本发明涉及一种适配多种存储产品的加密系统实现方法,特别是涉及一种适用于安全存储领域适配多种基于linux平台存储产品的加密系统实现方法。
【背景技术】
[0002]国家、企业、个人越来越重视信息安全。安全存储系统在数据存储的底层对数据进行加密保护,数据以密文的形式存储在存储设备中。为了提高加解密效率,提供密管适配器模块,加载到存储设备的内核层中。由于Linux系统模块间依赖特性以及加解密和存储业务间功能的依赖,导致加密系统很难适配到不同厂家不同型号的存储设备上。难以对加密策略进行定制。
【发明内容】
[0003]本发明要解决的技术问题是提供一种能够解除基于Linux平台的安全存储产品中存储业务模块和加密业务模块的依赖,适配多种基于linux平台存储产品的加密系统实现方法。
[0004]如图1所示的安全存储系统网络拓扑结构,安全存储系统中的安全业务分为四个部分:独立的对接多个密管代理的密管服务器,运行在存储设备上的密管代理,运行在存储设备内核层的密管适配器和适配钩子。其中,密管服务器和存储设备运行在同一个网络内。密管代理运行在存储设备的应用层,适配钩子和密管适配层运行在存储阵列的内核层。密管服务器和存储设备上运行在应用层的密管代理通信,负责和密管服务器进行身份认证,处理密管服务器下发的密钥。存储设备对密钥进行存储。密管适配器接收密管代理下发的存储加解密密钥,并使用存储业务模块提供的接口将密钥进行存取。
[0005]本发明采用的技术方案如下:一种适配多种存储产品的加密系统实现方法,具体方法为:设置独立的适配钩子模块;在所设置的适配钩子模块中指定需要存储业务模块提供的接口 ;在业务启动时,密管适配器不再和存储业务模块存在模块间符号表的静态依赖,而是全部与所设置的适配钩子模块进行模块间符号表的静态依赖。
[0006]作为优选,所述方法还包括:在业务上,解除安全存储系统中加密业务和存储业务的耦合。
[0007]作为优选,解除安全存储系统中加密业务和存储业务的耦合的具体方法为:密管代理提供指定存储单元ID所对应密钥数量的绑定接口和解绑定接口。
[0008]存储业务通过密管代理定制存储单元的密码管理策略,所以密管代理需要提供以下接口:
1、存储单元ID所对应密钥数量的绑定接口:通过存储单元ID和与其对应的要存储的密钥数量,获取绑定到存储单元指定的其ID ;
2、存储单元ID所对应密钥数量的解绑定接口:销毁绑定到存储单元ID的所有密钥或者销毁某个密钥。
[0009]与现有技术相比,本发明的有益效果是:灵活的钩子接口模型适配不同厂家基于Linux平台的存储产品,支持不同的安全存储产品针对不同的业务场景定制不同的加密策略,解除了安全存储系统中加密业务和存储业务的耦合,统一了加密业务的行为,最终得到适配多个基于linux平台存储产品的安全存储系统。
【附图说明】
[0010]图1为安全存储系统网络拓扑结构图。
[0011]图2为本发明的原理示意图。
【具体实施方式】
[0012]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0013]本说明书(包括摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或者具有类似目的的替代特征加以替换。S卩,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
[0014]—种适配多种存储产品的加密系统实现方法,具体方法为:设置独立的适配钩子模块;在所设置的适配钩子模块中指定需要存储业务模块提供的接口 ;在业务启动时,密管适配器不再和存储业务模块存在模块间符号表的静态依赖,而是全部与所设置的适配钩子模块进行模块间符号表的静态依赖。
[0015]存储业务模块需要向适配钩子中注册需要其提供的接口。同理,密管适配器也要向适配钩子中注册需要其提供的接口。
[0016]所述方法还包括:在业务上,解除安全存储系统中加密业务和存储业务的耦合。
[0017]解除安全存储系统中加密业务和存储业务的耦合的具体方法为:密管代理提供指定存储单元ID所对应密钥数量的绑定接口和解绑定接口。
[0018]存储业务通过密管代理定制存储单元的密码管理策略,所以密管代理需要提供以下接口:
1、存储单元ID所对应密钥数量的绑定接口:通过存储单元ID和与其对应的要存储的密钥数量,获取绑定到存储单元指定的其ID ;
2、存储单元ID所对应密钥数量的解绑定接口:销毁绑定到存储单元ID的所有密钥或者销毁某个密钥。
[0019]存储业务使用绑定接口和解绑定接口定制加密策略具体步骤为:
(1)存储业务调用绑定接口,传入存储单元ID和需要绑定到该存储单元上的密钥数量;
(2)加密业务会根据存储业务的需求,将密钥与对应的存储单元绑定,并将密钥信息返回给存储业务;
(3)存储业务对已绑定了密钥的存储单元进行读写时,调用加密业务的加解密接口,传入2中返回的密钥信息进行加解密运算;
(4)存储业务使用解绑定接口销毁不再使用的密钥。
[0020]不同的存储产品只需要调用这两个接口,就能定制加密策略,在同一个设备里,也可以针对不同的业务类型定制不同的加密策略。这种解除安全存储系统中加密业务和存储业务的耦合的更具灵活性。
[0021]本申请技术方案,解除了安全存储系统中加密业务和存储业务的耦合,不同厂家基于Linux系统的存储产品,只要在适配钩子中注册了必要的功能接口,就能和加密系统适配;用户可以针对不同的业务场景,在同一台安全存储产品中定制不同的加密策略;不同的安全存储产品,可以根据需求定制加密策略。
【主权项】
1.一种适配多种存储产品的加密系统实现方法,具体方法为:设置独立的适配钩子模块;在所设置的适配钩子模块中指定需要存储业务模块提供的接口 ;在业务启动时,密管适配器不再和存储业务模块存在模块间符号表的静态依赖,而是全部与所设置的适配钩子模块进行模块间符号表的静态依赖。2.根据权利要求1所述的适配多种存储产品的加密系统实现方法,所述方法还包括:在业务上,解除安全存储系统中加密业务和存储业务的耦合。3.根据权利要求2所述的适配多种存储产品的加密系统实现方法,解除安全存储系统中加密业务和存储业务的耦合的具体方法为:密管代理提供指定存储单元ID所对应密钥数量的绑定接口和解绑定接口。
【专利摘要】本发明提供了一种适配多种存储产品的加密系统实现方法,设置独立的适配钩子模块;在所设置的适配钩子模块中指定需要存储业务模块提供的接口;在业务启动时,密管适配器不再和存储业务模块存在模块间符号表的静态依赖,而是全部与所设置的适配钩子模块进行模块间符号表的静态依赖。不同厂家基于Linux系统的存储产品,只要在适配钩子中注册了必要的功能接口,就能和加密系统适配;用户可以针对不同的业务场景,在同一台安全存储产品中定制不同的加密策略;不同的安全存储产品,可以根据需求定制加密策略。
【IPC分类】H04L9/32, H04L9/08
【公开号】CN105245347
【申请号】CN201510686872
【发明人】刘力锐, 王远有
【申请人】成都卫士通信息产业股份有限公司
【公开日】2016年1月13日
【申请日】2015年10月22日