本发明有关于数据中心的信息安全。
背景技术
除了传统硬盘(harddrive,简称hd),用于长时间数据储存的非挥发式存储器尚有其他新型态─例如,快闪存储器(flashmemory)、磁阻式随机存取存储器(magnetoresistiveram)、铁电随机存取存储器(ferroelectricram)、电阻式随机存取存储器(resistiveram)、自旋转移力矩随机存取存储器(spintransfertorque-ram,stt-ram)…等。所述新型态的非挥发式存储器通常搭配一控制芯片组成新型态的数据储存装置,可应用于数据中心(datacenter)取代传统硬盘。此类数据中心的信息安全为本技术领域一项重要课题。
技术实现要素:
本发明提出一种数据中心架构,其中将数据加解密用的金钥保护于一金钥储存空间,杜绝骇客依循登录档(logfile)寻得金钥而成功将加密保护的数据解密。
根据本发明一种实施方式所实现的一数据中心包括至少一数据储存装置、一主机以及一金钥储存空间。上述数据储存装置各自具有一非挥发式存储器以及一控制芯片。上述控制芯片各自具有一加解密模块。该主机通过上述控制芯片使用上述非挥发式存储器。该金钥储存空间储存上述加解密模块进行加解密运算所需的金钥。该金钥储存空间系常态隔绝在上述数据储存装置以及该主机之外,使未通过身份认证的使用者透过该主机仍无法操作上述加解密模块解密上述非挥发式存储器的数据。
根据本发明一种实施方式实现的数据中心操作方法,包括:令一数据中心配置至少一数据储存装置,上述数据储存装置各自具有一非挥发式存储器以及一控制芯片,且上述控制芯片各自具有一加解密模块;于该数据中心的一主机通过上述控制芯片使用上述非挥发式存储器;提供一金钥储存空间储存上述加解密模块进行加解密运算所需的金钥;且令上述金钥储存空间是常态隔绝在上述数据储存装置以及该主机之外,使未通过身份认证的使用者透过该主机仍无法操作上述加解密模块解密上述非挥发式存储器的数据。
下文特举实施例,并配合附图,详细说明本发明内容。
附图说明
图1图解了根据本发明一种实施方式所实现的一数据中心100;
图2为流程图,根据本发明一种实施方式描述数据中心100如何处理使用者上传的数据;
图3为流程图,根据本发明一种实施方式描述数据中心100如何处理数据读取要求;
图4为流程图,根据本发明另一种实施方式描述数据中心100如何处理使用者上传的数据;且
图5为流程图,根据本发明另一种实施方式描述数据中心100如何处理数据读取要求。
符号说明
100~数据中心;
102~主机;
104~个人电子装置;
106~网路;
110~快闪存储器;
112~控制芯片;
114~加解密模块;
120~金钥储存空间;
app~加解密应用程序;
s202…s214、s302…s316、s402…s420、s502…s520~步骤;
ssd#1…ssd#n~固态硬盘。
具体实施方式
以下叙述列举本发明的多种实施例。以下叙述介绍本发明的基本概念,且并非意图限制本发明内容。实际发明范围应依照权利要求书来界定。
长时间数据储存的非挥发式存储器有多种新型态,包括快闪存储器(flashmemory)、磁阻式随机存取存储器(magnetoresistiveram)、铁电随机存取存储器(ferroelectricram)、电阻式存储器(resistiveram,rram)、自旋转移力矩随机存取存储器(spintransfertorque-ram,stt-ram)…等。所述新型态的非挥发式存储器通常搭配一控制芯片组成新型态的数据储存装置,可应用于数据中心(datacenter)取代传统硬盘(harddiskdrive,简称hdd)。
以下特别以采用快闪存储器(flashmemory)的固态硬碟(solidstatedrive,简称ssd)为例方便说明。固态硬碟(ssd)可应用来取代传统硬碟,实现数据中心。
图1图解根据本发明一种实施方式所实现的一数据中心100。数据中心100包括多个固态硬碟ssd#1…ssd#n以及一主机102。使用者可透过个人电子装置104通过网路106连接该数据中心100,由主机102将使用者上传的数据储存至固态硬盘ssd#1…ssd#n。
如图所示,固态硬盘ssd#1…ssd#n各自具有一快闪存储器110、以及一控制芯片112。控制芯片112具有一加解密模块114。加解密模块114可遵循一进阶加密标准(advancedencryptionstandard,简称aes)进行数据的加解密运算,使数据加密后存入快闪存储器110、或是将取自快闪存储器110的数据解密。一种实施方式是在控制芯片112中以软硬件结合设计形成该加解密模块114。操作该些固态硬盘ssd#1…ssd#n的主机102可执行一加解密应用程序app。上述加解密模块114是由该加解密应用程序app通过供应商专用指令(venderuniquecommands)或输入正确的使用者密码而启动。设计于固态硬盘ssd#1…ssd#n端的控制芯片112中的加解密模块114将避免主机102的运算资源被加解密运算过度瓜分。至于加解密模块114的安全性问题,除了前述限定以供应商专用指令(venderuniquecommands)启动,本发明特别对其加解密运算所需的金钥提出一种安全机制。
对于以个人电子装置104透过网路106连接数据中心100的使用者,主机102可判断其所上传的数据是否为机密数据(例如,为身份证字号、户籍地址…等个资)。主机102上可定义机密资讯的种类。若认定为机密数据,加解密应用程序app通过供应商专用指令(venderuniquecommands)启动固态硬盘ssd#1…ssd#n端的加解密模块114。本发明还在固件设计上配合上述供应商专用指令(venderuniquecommands)配置特定逻辑区块地址(logicalblockaddress,缩写lba)管理机密数据─如同为机密数据规划出一保险箱。本发明为了提高安全性,是另行存放保险箱的金钥(即加解密所需的金钥)。金钥可以是由加解密应用程序app提示使用者自行输入,也可以是由加解密应用程序app产生,再由加解密应用程序app交与加解密模块114将机密数据加密且储存至快闪存储器110。特别是,加解密模块114利用完金钥后,金钥并不会留存在固态硬盘ssd#1…ssd#n或主机102。一种实施方式中,加解密应用程序app将金钥输出至固态硬盘ssd#1…ssd#n与主机102外的一金钥储存空间120储存。金钥储存空间120接收到金钥后与主机102断开连接。主机102后续若收到机密资讯读取要求(要求读取前述特定逻辑区块地址),加解密应用程序app会对提出要求者进行身份确认。身份确认通过后,主机102才会再次连接金钥储存空间120,以该加解密应用程序app将金钥自金钥储存空间120取出,交给控制芯片112的加解密模块114自快闪存储器110解密出机密数据。解密完毕后,加解密应用程序app再次把金钥在固态硬盘ssd#1…ssd#n与主机102的痕迹清除,且主机102与金钥储存空间120回到常态断开。如此常态断开的主机102与金钥储存空间120可确保固态硬盘ssd#1…ssd#n所储存的机密数据不被骇客或内贼通过操作主机102而窃取。甚至,固态硬盘ssd#1…ssd#n被拔走也不会使其中机密数据泄漏。在没有金钥的状态下,固态硬盘ssd#1…ssd#n储存的机密数据仅是无意义的乱码。
一种实施方式中,该金钥储存空间120是由一插拔式储存装置─如usb储存装置─提供。该插拔式储存装置一般由数据中心100的特定人员保管,由该特定人员为通过身份认证者插入该主机102。
一种实施方式中,该金钥储存空间120是由一金钥伺服器提供。金钥伺服器储存的金钥有多组,分别对应不同段的特定逻辑区块地址。不同段的特定逻辑区块地址所对应的合法存取者可不同。主机102与金钥伺服器的连接是在身份认证通过后建立,且金钥伺服器只提供对应身份的金钥。
一种实施方式中,特定逻辑区块地址被要求读取时,该加解密应用程序app的运作将使得远端的个人电子装置104出现提示信息,请远端使用者联系数据中心100进行身份确认。另一种实施方式中,该加解密应用程序app是要求远端使用者输入登入密码,或是进行指纹或人脸辨识。
一种实施方式中,加解密应用程序app还允许合法身份者管理机密数据。例如,加解密应用程序app可通过控制芯片112抹除(erase)特定逻辑区块地址对应的物理区块,使其中机密数据彻底消失。释放出的物理区块可成闲置区块待配置使用。
图2为流程图,根据本发明一种实施方式描述数据中心100如何处理使用者上传的数据。步骤s202接收数据。步骤s204判断是否为机密数据。若是机密数据,步骤s206通过供应商专用指令(venderuniquecommands)启动固态硬盘ssd#1…ssd#n端的加解密模块114,且更配合上述供应商专用指令(venderuniquecommands)配置特定逻辑区块地址(logicalblockaddress,缩写lba)管理机密数据。步骤s208传递金钥给加解密模块114,使加解密模块114对机密数据做加密运算后存入快闪存储器110。步骤s210将金钥输出至固态硬盘ssd#1…ssd#n与主机102外的一金钥储存空间120储存,并清除金钥在固态硬盘ssd#1…ssd#n与主机102的痕迹。步骤s212断开金钥储存空间120与主机102之间的连接。以上步骤s206~s212完成保险箱设计,并将金钥隔绝于保险箱储存。若步骤s204判断所接收到的数据非机密数据,则不同于步骤s206…s212,步骤s214不做加密即将数据储存至快闪存储器110。
图3为流程图,根据本发明一种实施方式描述数据中心100如何处理数据读取要求。步骤s302接收数据读取要求。步骤s304根据所要求读取的逻辑地址判断是否为机密数据。若是要求读取前述特定逻辑地址,即所要求读取的是机密数据。步骤s306将进行身份确认。若身份不合法,则步骤s308显示警示。若身份确认通过,步骤s310建立金钥储存空间120与主机102之间的连接,并通过供应商专用指令(venderuniquecommands)启动固态硬盘ssd#1…ssd#n端的加解密模块114。步骤s312自金钥储存空间120取得金钥,传递给加解密模块114,使加解密模块114自快闪存储器110解密出机密数据,供主机102回应读取要求。步骤s314将再次清除金钥在固态硬盘ssd#1…ssd#n与主机102的痕迹、并断开金钥储存空间120与主机102之间的连接。步骤s316则是设计来回应非机密数据的读取要求,控制芯片112将取自快闪存储器110的数据传递给主机102,其中加解密模块114并不启动。
图4为流程图,根据本发明另一种实施方式描述数据中心100如何处理使用者上传的数据。步骤s402,将数据中心100的储存空间划分成一般储存空间以及机密储存空间,其中,一般储存空间以及机密储存空间可以分属于不同的命名空间(namespace)或是不同的目录。步骤s404,接收来自于主机102的数据写入指令。步骤s406判断是否写入机密储存空间。若否,步骤s408,将数据写入一般储存空间;若是,步骤s410,判断远端是否有金钥,其中,远端表示数据中心100以外的装置,例如:金钥伺服器,或是可以插拔至数据中心100的装置,例如:金钥储存空间120。若无,步骤s420,产生并储存金钥于dram;若有,步骤s412,用金钥将数据加密成密文。步骤s414,将密文储存至机密储存空间。步骤s416,储存金钥至远端。步骤s418,自dram移除金钥,最后,结束此流程。由于金钥仅以dram暂存,不永久性地储存于数据中心100,因此,可避免有心人士藉由读取数据中心100而取得金钥,强化数据中心100的保密程度。另外,当远端已有金钥时,步骤s416可以省略。
图5为流程图,根据本发明另一种实施方式描述数据中心100如何处理数据读取要求。步骤s502接收数据读取指令。步骤s504判断是否存取机密储存空间。若否,步骤s506从一般储存空间读取数据,并回传数据。若是,步骤s508进行身份确认。若无法通过身份确认,则步骤s520显示警示。若通过身份确认,步骤s510从远端取得金钥且步骤s512储存金钥于dram。步骤s514从机密储存空间读取密文,步骤s516用金钥对密文解密以取得数据,并回传数据。步骤s518自dram移除金钥,最后,结束此流程。由于金钥仅于dram暂存,不永久性地储存于数据中心100,因此,可避免有心人士藉由读取数据中心100而取得金钥,强化数据中心100的保密程度。
其他采用上述金钥保护概念实现的技术都属于本发明所欲保护的范围。基于以上技术内容,本发明更涉及数据中心操作方法。
虽然本发明已以较佳实施例揭示如上,然其并非用以限定本发明,任何熟悉本技术领域者,在不脱离本发明的精神和范围内,当可做些许更动与润饰,因此本发明的保护范围当由权利要求书界定为准。