一种安全存储系统的密钥管理方法
【技术领域】
[0001]本发明属于安全存储技术领域,具体涉及一种安全存储系统的密钥管理方法。
【背景技术】
[0002]目前,国内的安全存储系统产品较少,主要原因是存储设备的厂商一般不涉及信息安全领域。国外的NetApp的DecruDataFort设备是企业级的存储加密系统,它采用的技术路线是通过网关将所有数据加密后存储至后端,网络加密性能成为其重要性能瓶颈。EMC公司的Data Domain Encrypt1n使用集中式加密密钥生命周期管理实现透明加解密,但是EMC的产品仅支持AES加密算法,不支持国产商密算法。
[0003]因此,研制安全高效的安全存储系统的关键是设计出安全高效的密钥管理体系。
【发明内容】
[0004]为了克服现有技术的上述缺点,本发明提供了一种安全存储系统的密钥管理方法,安全存储系统由安全管理中心和安全存储阵列组成,安全管理中心负责密钥管理,安全存储阵列由阵列控制器和磁盘存储单元组成,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密。其中,密码设备既支持国产商用密码算法也支持多种通用算法,且可以根据用户的安全需求选用不同的密码算法。
[0005]本发明解决其技术问题所采用的技术方案是:一种安全存储系统的密钥管理方法,所述安全存储系统包括安全管理中心和安全存储阵列;所述安全管理中心负责密钥管理,安全存储阵列包括阵列控制器和磁盘存储单元,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解
LU O
[0006]与现有技术相比,本发明的积极效果是:
[0007]1、安全高效。密钥分发和密钥协商都采用安全通道传输,密钥采用三层体系,层层向下加密,保障其安全,同时,安全存储阵列内部部署加密卡,实现本地高性能的透明加解密;
[0008]2、易用友好,可与存储设备无缝集成。密钥管理体系中业务逻辑之间的交互皆遵循业界标准的技术,具备可维护性和伸缩性;
[0009]3、支持多种算法,满足不同业务需求。支持国产商密算法和通用加密算法。
【附图说明】
[0010]本发明将通过例子并参照附图的方式说明,其中:
[0011]图1是本发明方法的系统架构图。
【具体实施方式】
[0012]—种安全存储系统的密钥管理方法,其中:安全存储系统包括安全管理中心和安全存储阵列,其架构如图1所示,安全管理中心为安全存储系统的密钥管理中心,它负责对整个安全存储系统密钥进行全生命周期管理,它的功能主要由部署其中的代理服务端程序实现。安全存储阵列包含阵列控制器和盘组,安全存储阵列接收到安全管理中心下发的密文密钥数据,并负责密钥链的构建和安全存储,安全存储系统的加解密过程在安全存储阵列(主要由阵列控制器完成,其功能主要由代理客户端程序实现)内部实现,对上层应用访问是透明的,可无缝与数据库、Mai 1、OA等业务系统集成。
[0013]1.安全存储阵列中密钥分发过程
[0014]密钥分发过程术语约定:密钥分为三层,存储并逐层保护。上层密钥为安全存储阵列的设备密钥devMK,devMK用于保护密钥加密密钥KEK,devMK采用公钥加密存储;中间层是密钥加密密钥KEK,密钥加密密钥KEK用于加密数据加密密钥DEK ;下层是数据加密密钥DEK,DEK用于加密数据。
[0015]安全存储阵列首次上线时,首先应在安全管理中心注册,若身份合法,则安全存储阵列中的代理客户端程序调用加密卡产生公私钥对,并将公钥发送到安全管理中心的代理服务端申请设备证书,代理服务端颁发设备证书,包含设备密钥devMK,并与根证书一起发放到安全存储阵列。
[0016]KEK和DEK密钥分发流程:
[0017](I)安全管理中心启动下发KEK和DEK密钥(对应的设备、类型、数量)操作;
[0018](2)安全管理中心检测代理服务端与代理客户端是否建立安全通道,如果没有则返回错误,否则继续;
[0019](3)代理服务端为对应的阵列产生密钥,KEK采用devMK加密,DEK采用KEK加密,并将密钥进行存储;
[0020](4)代理服务端通过安全通道下发密钥;
[0021 ] (5)代理客户端收到密钥验证密钥正确性(验证校验值),将密钥操作转递给阵列系统接口 ;
[0022](6)代理客户端向代理服务端返回操作结果,成功更改密钥状态。
[0023]2.会话密钥协商流程
[0024]会话密钥协商过程的术语约定:KSK为安全管理中心的私钥,KPK为安全管理中心的公钥,ZSK为安全存储阵列的私钥,ZPK为安全存储阵列的公钥,SIG_ZSK(M)表示用安全存储阵列私钥ZSK对消息M签名,SIG_KSK(M)表示用安全管理中心私钥KSK对消息M签名,PEN_ZPK(M)表示用安全存储阵列的公钥ZPK对消息M加密,H (M)表示用杂凑算法对消息M做Hash运算,SK为会话密钥。
[0025]协商会话密钥SK的详细过程描述如下:
[0026](I)安全存储阵列产生随机数rl,采用安全存储阵列的公钥加密,A = PEN_ZPK(rl),阵列对rl做签名运算,B = SIG_ZSK(H(rl)),将A和B发送到安全管理中心;
[0027](2)安全管理中心接收A和B,用管理中心的私钥解密A,采用数据库存储的阵列公钥验签B,如验证通过,则接收rl ;否则返回失败消息给安全存储阵列,要求重发;
[0028](3)安全管理中心产生随机数r2,采用安全存储阵列公钥加密rl和r2,C = PEN_ZPK(rl,r2),安全管理中心对rl做签名运算,D = SIG_KSK (H(r2)),安全管理中心将C和D发送到安全存储阵列;
[0029](4)安全存储阵列接收C和D,用安全存储阵列的私钥解密C,比较⑴产生的随机数rl是否一致,如一致,则接收;并且对D用安全管理中心的公钥验签,如验证通过,则接收r2 ;否则返回失败消息给安全管理中心,要求重发;
[0030](5)通信双方合成会话密钥:SK = rl ? r2,至此完成密钥协商,会话密钥可用于对通信数据进行加密。
【主权项】
1.一种安全存储系统的密钥管理方法,其特征在于:所述安全存储系统包括安全管理中心和安全存储阵列;所述安全管理中心负责密钥管理,安全存储阵列包括阵列控制器和磁盘存储单元,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密。2.根据权利要求1所述的一种安全存储系统的密钥管理方法,其特征在于:所述密钥分发的流程为: 步骤一、devMK的发放: 安全存储阵列首次上线时,首先在安全管理中心注册,若身份合法,则安全存储阵列中的代理客户端程序调用加密卡产生公私钥对,并将公钥发送到安全管理中心的代理服务端申请设备证书,代理服务端颁发包含devMK的设备证书,并与根证书一起发放到安全存储阵列; 步骤二、KEK和DEK的分发: (1)安全管理中心启动下发KEK和DEK密钥操作; (2)安全管理中心检测代理服务端与代理客户端是否建立安全通道,如果没有则返回错误,反之则进入第(3)步; (3)代理服务端为对应的阵列产生密钥,并采用devMK加密KEK,采用KEK加密DEK,然后将密钥进行存储; (4)代理服务端通过安全通道下发密钥; (5)代理客户端收到密钥,并在验证密钥正确后将密钥操作转递给阵列系统接口; (6)代理客户端向代理服务端返回操作结果,成功更改密钥状态; 所述devMK是指作为上层密钥的安全存储阵列的设备密钥;所述KEK是指作为中间层密钥的密钥加密密钥;所述DEK是指作为下层密钥的数据加密密钥。3.根据权利要求1所述的一种安全存储系统的密钥管理方法,其特征在于:所述加解密过程的会话密钥协商流程为: (1)安全存储阵列产生随机数rl,并对rl采用公钥加密后得到Ajfrl做签名运算得到B,然后将A和B发送到安全管理中心; (2)安全管理中心接收A和B,用私钥解密A,并采用数据库存储的阵列公钥验签B,若验证失败,则返回失败消息给安全存储阵列,要求重发,验证通过则接收rl,然后进入第(3)步; (3)安全管理中心产生随机数r2,然后采用安全存储阵列的公钥对rl和r2加密后得到C,并对rl做签名运算得到D,然后将C和D发送到安全存储阵列; (4)安全存储阵列接收C和D,用私钥解密C,并判断解密结果是否与第(I)步产生的随机数rl 一致,如不一致,则返回失败消息给安全管理中心,要求重发;如一致,则接收,并且对D用安全管理中心的公钥验签,如验证通过,则接收r2,然后进入第(5)步; (5)通信双方合成会话密钥:SK= rl ? r2,至此完成密钥协商。4.根据权利要求3所述的一种安全存储系统的密钥管理方法,其特征在于:所述安全存储阵列对rl做的签名运算为:B = SIG_ZSK(H(rl))05.根据权利要求3所述的一种安全存储系统的密钥管理方法,其特征在于:所述安全管理中心对rl做的签名运算为:D = SIG_KSK(H(r2))0
【专利摘要】本发明公开了一种安全存储系统的密钥管理方法,所述安全存储系统包括安全管理中心和安全存储阵列;所述安全管理中心负责密钥管理,安全存储阵列包括阵列控制器和磁盘存储单元,安全管理中心与阵列控制器之间通过安全通道实现密钥分发,阵列控制器内部通过部署加密代理和存储加密模块实现透明加解密。本发明的积极效果是:安全高效;易用友好,可与存储设备无缝集成,密钥管理体系中业务逻辑之间的交互皆遵循业界标准的技术,具备可维护性和伸缩性;支持多种算法,满足不同业务需求,支持国产商密算法和通用加密算法。
【IPC分类】H04L9/08, H04L29/06
【公开号】CN105119719
【申请号】CN201510675608
【发明人】尹一桦, 王斯梁
【申请人】成都卫士通信息产业股份有限公司
【公开日】2015年12月2日
【申请日】2015年10月16日