专利名称:一种通过sata接口加密存储的方法和加密卡的制作方法
技术领域:
本发明涉及加密卡技术领域,具体涉及一种通过SATA接口加密存储的方法和加S卡。
背景技术:
加密卡作为一种重要的密码设备,已经越来越广泛的应用在政府、金融、通信、国 防等行业领域中。由于涉及敏感信息的保护和安全,采用加密卡对存储介质加密尤为重要, 可以避免在硬盘丢失时重要或私有信息泄密。传统基于加密卡对存储介质的加密大多采用 软件实现方式,尤其是针对新的存储接口,例如SATA、SCSI,还没有硬件实现方式,采用软件 实现方式在性能表现上欠佳。在加密卡上对SATA等新型存储接口进行支持,将获得比软件 实现方式更高的性能。已有的加密卡在硬件层面对存储功能的支持较弱。例如,一种只提供IDE接口的 加密卡,其实现原理是支持IDE接口,主机端的数据从加密卡的一个IDE进入,进行加密后, 从另外一个IDE接口输出,写入到IDE磁盘,这种产品支持IDE接口,不支持PCI或PCIE接 口,使加密卡只能用于存储加密,并且也不支持SATA、SCSI等新型存储接口。已有的加密 卡,只支持PCI或PCIE接口,并不支持专门的存储接口,包括SATA、SCSI、RAID等高速接口, 使加密卡只能用于传统的加密领域,例如提供密码服务,不能作为一个专门的、硬件上支持 存储协议的设备使用。
发明内容
本发明的目的是提供一种通过SATA接口加密存储的方法和加密卡。一种通过SATA接口加密存储的方法,过程如下A、主机写操作,信息从主机SATA接口流向加密卡主板接口,然后流向主控模块;B、主控模块根据配置策略,选择密钥管理模块提供的密钥,调用加密模块提供的 算法,对数据进行加密;C、主控模块把加密后的数据交由SATA协议处理模块封装成标准SATA数据包;D、SATA数据包经由加密卡磁盘接口流向磁盘SATA接口,写入至磁盘中。一种支持SATA接口的加密卡,包括主控模块,加密模块,内存模块,flash模块和 PCIE接口,还包括密钥管理模块,SATA协议处理模块,磁盘接口和主板接口。本发明的一种优选技术方案在于主机的PCIE接口与加密卡的PCIE接口相连接; 主机的SATA接口与加密卡的主板接口相连接;磁盘的SATA接口与加密卡的磁盘接口相连 接。本发明的另一优选技术方案在于所述密钥管理模块,用来执行密钥生成、密钥保 护、密钥销毁操作,完成密钥生命周期管理。本发明的还一优选技术方案在于所述主控模块与SATA协议处理模块、密钥管理 模块、加密模块、内存模块、flash模块以及PCIE接口相连接。
本发明的又一优选技术方案在于所述SATA协议处理模块集成在主控模块中,与 磁盘接口及主板接口相连接。本发明的又一优选技术方案在于所述SATA协议处理模块实现方式包括硬件芯 片方式或可编程逻辑电路。本发明的又一优选技术方案在于所述加密卡同时支持SATA接口和PCIE接口,同 时启动时可以在操作系统级呈现为两个独立的存储设备。本发明实现的加密卡可以对经过SATA接口的信息在硬件层面进行加密存储,提 高存储加密性能。
图1为带有PCIE接口的加密卡示意图。图2为加密卡内加入SATA协议处理模块和密钥管理模块示意图。图3为加密卡通过PCIE接口和SATA接口与主机、磁盘相连的示意图。
具体实施方案下面结合附图和具体实施方式
对本发明的方法进行说明。为了简便,将现有加密卡原有的全部功能模块统称为加密功能模块210(图1和图 2所示)。除此以外,再增加一个密钥管理模块220 (图2所示)和一个SATA协议处理模块 230 (图2所示),230模块包含一个磁盘接口 231 (如图2所示),和一个主机接口 232 (如 图2所示)。主机MO的PCIE接口 241与加密卡的PCIE215接口相连。主机MO的SATA接口 242与加密卡的主板接口 232相连。磁盘250的SATA接口与加密卡的磁盘接口 231相连。(一 )对经过SATA接口的信息在硬件层面进行加密存储的流程1)经过主机通过写操作,信息从242流向232,然后流向主控模块214。2)214根据配置策略,选择220提供的密钥,调用211提供的算法,对数据进行加
密 O3) 214把加密后的数据交给230封装成标准SATA数据包。4) SATA数据包经由231,流向251,最终写入250(二)通过PCIE接口向外提供独立的密码服务流程1)主机端发起密码算法服务(如数字签名),请求信息经过241流向215,然后流 向主控模块214。2) 214根据配置策略,调用211提供的算法,对数据进行处理。3) 214把处理后的数据返回给215,流向Ml。4)最终主机端完成对密码服务的使用。(三)通过SATA接口和PCIE接口同时支持两个独立存储设备1)对加密卡的SATA协议处理程序进行配置,把加密卡连接的磁盘空间分成两部 分,分别映射给PCIE接口和SATA接口 ;其中,流经SATA接口的数据进行加密处理,流经 PCIE接口的数据作为明文处理。
2)主机端在操作系统层实现SATA设备驱动,使操作系统能识别出一个SATA设备。3)主机端在操作系统层针对PCIE接口实现块设备驱动(网络块设备),是操作系 统能识别出一个普通块设备。4)主机发起写SATA设备的访问,其流程参见(一);5)主机发起写PCIE块设备的访问。数据经由241流向215,然后流向主控模块 214。6)主控模块把明文数据交给230,23封装成标准SATA数据包。7) SATA数据包经由231,流向251,最终写入250分给PCIE接口对应范围内的存储区。
权利要求
1.一种通过SATA接口加密存储的方法,其特征在于过程如下A、主机写操作,信息从主机SATA接口流向加密卡主板接口,然后流向主控模块;B、主控模块根据配置策略,选择密钥管理模块提供的密钥,调用加密模块提供的算法, 对数据进行加密;C、主控模块把加密后的数据交由SATA协议处理模块封装成标准SATA数据包;D、SATA数据包经由加密卡磁盘接口流向磁盘SATA接口,写入至磁盘中。
2.一种支持SATA接口的加密卡,包括主控模块,加密模块,内存模块,flash模块和 PCIE接口,其特征在于包括密钥管理模块,SATA协议处理模块,磁盘接口和主板接口。
3.如权利要求2所述一种支持SATA接口的加密卡,其特征在于主机的PCIE接口与 加密卡的PCIE接口相连接;主机的SATA接口与加密卡的主板接口相连接;磁盘的SATA接 口与加密卡的磁盘接口相连接。
4.如权利要求2所述一种支持SATA接口的加密卡,其特征在于所述密钥管理模块, 用来执行密钥生成、密钥保护、密钥销毁操作,完成密钥生命周期管理。
5.如权利要求2所述一种支持SATA接口的加密卡,其特征在于所述主控模块与SATA 协议处理模块、密钥管理模块、加密模块、内存模块、flash模块以及PCIE接口相连接。
6.如权利要求2所述一种支持SATA接口的加密卡,其特征在于所述SATA协议处理 模块集成在主控模块中,与磁盘接口及主板接口相连接。
7.如权利要求2所述一种支持SATA接口的加密卡,其特征在于所述SATA协议处理 模块实现方式包括硬件芯片方式或可编程逻辑电路。
8.如权利要求2所述一种支持SATA接口的加密卡,其特征在于所述加密卡同时支持 SATA接口和PCIE接口,同时启动时可以在操作系统级呈现为两个独立的存储设备。
全文摘要
本发明提供了一种通过SATA接口加密存储的方法和加密卡。包括主控模块,加密模块,内存模块,flash模块和PCIE接口,还包括密钥管理模块,SATA协议处理模块,磁盘接口和主板接口。数据从SATA接口流入并在加密卡中加密。本发明实现的加密卡可以对经过SATA接口的信息在硬件层面进行加密存储,提高存储加密性能。
文档编号G06F21/00GK102073808SQ201010547970
公开日2011年5月25日 申请日期2010年11月17日 优先权日2010年11月17日
发明者吴伟, 孙国忠, 宋辉, 石旭, 秦东明 申请人:北京曙光天演信息技术有限公司