CN105681031A - 一种存储加密网关密钥管理***及方法 - Google Patents
一种存储加密网关密钥管理***及方法 Download PDFInfo
- Publication number
- CN105681031A CN105681031A CN201610008401.0A CN201610008401A CN105681031A CN 105681031 A CN105681031 A CN 105681031A CN 201610008401 A CN201610008401 A CN 201610008401A CN 105681031 A CN105681031 A CN 105681031A
- Authority
- CN
- China
- Prior art keywords
- key
- data
- storage
- encryption
- encryption gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种存储加密网关密钥管理***及方法,涉及网络安全技术领域。该***包括:密钥管理中心、存储加密网关;其中密钥管理中心用于对整个***中的密钥的整个生命周期进行管理,包括密钥的生成、分配、更新、销毁、恢复管理;存储加密网关用于对数据进行加密和解密,以及连接前端应用服务器和存储设备之间的数据通信。该***和方法针对当前存储加密网关管理***对密钥生命周期管理不全、加密后的数据易被破解、安全性低等缺点,提出一种改进的***和方法,有效增强了存储加密网关管理***的功能和安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种存储加密网关密钥管理***及方法。
背景技术
网关(Gateway),又称为网间连接器、协议转换器。网关在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。存储加密网关既可以用于广域网互连,也可以用于局域网互连。网关是一种充当转换重任的计算机***或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种***之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的***的需求。
密钥管理,主要负责对整个加密***中的密钥进行管理,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。具体过程一般包括:密钥生成、密钥分发、验证密钥、更新密钥、密钥存储、备份密钥、销毁密钥。
CBC(Cipher-blockchaining,密码分组链接)模式,是指在进行加密时,每个平文块先与前一个密文块进行异或后,再进行加密。在这种方法中,每个密文块都依赖于它前面的所有平文块。同时,为了保证每条消息的唯一性,在第一个块中需要使用初始化向量。
ECB(ElectronicCodebook,电码本)模式是分组密码的一种最基本的工作模式。在该模式下,待处理信息被分为大小合适的分组,然后分别对每一分组独立进行加密或解密处理。
随着信息化建设的不断推进,各行业、企事业单位利用计算机***和计算机网络技术进行关键业务数据的存储和处理越加频繁。各种数据存储设备集中到数据中心机房为各种业务前端应用服务器提供数据存储服务,随着云计算和大数据业务的推广,数据中心存储的数据更将呈几何级数增长。在目前技术条件下数据存储主要依靠各种磁盘阵列为代表的网络存储设备,数据本身无安全保护措施在使用过程中存在极大的数据安全风险。
而现有的密钥管理***,功能较简单,对密钥的整个生命周期并未进行完备的管理。导致一些情况无法处理,造成数据的无法解密和加密失败等。除此之外,现有的密钥管理***多采用国外研制的算法进行加密和解密,导致***安全性受到质疑;加密时客户端应用程序也需要进行参与,增加了客户端的负荷。另外,加密时相同的明文数据块加密后的密文一样,使得反向破译变得容易,降低了***的安全性。
发明内容
鉴于此,本发明提供了一种存储加密网关密钥管理***及方法,该***及方法加密后的数据破解难度大、更加安全,且对整个密钥生命周期进行了完整的管理。
本发明采用的技术方案如下:
一种存储加密网关密钥管理***,其特征在于,所述***包括:密钥管理中心、存储加密网关、前端应用服务器、存储设备;
所述密钥管理中心,用于生成密钥,将生成的密钥发送给存储加密网关;检测***中密钥是否过期,如果密钥过期,则发送密钥更新指令和新的密钥至存储加密网关进行密钥的更新;接收来自存储加密网关的密钥销毁请求,销毁密钥,将销毁的密钥存储在历史密钥存储区内;存储加密网关的密钥丢失后,接收存储加密网关的恢复密钥请求,将密钥重新发送给存储加密网关;
所述存储加密网关,用于接收密钥管理中心生成的密钥,并利用该密钥对前端应用服务器传递来的数据进行加密和解密;接收密钥管理中心更新密钥的指令,进行密钥更新;删除密钥后,通知密钥管理中心进行密钥的销毁;连接前端应用服务器和存储设备之间的数据通信;。
所述密钥管理中心包括中心数据通信模块、密钥生成模块、密钥更新模块、密钥销毁模块、历史密钥存储模块和密钥备份恢复模块;
所述中心数据通信模块,用于接收来自存储加密网关的数据和请求,以及将密钥和指令发送给存储加密网关;所述密钥生成模块,用于生成设备主密钥MK、数据保护密钥KEK和数据加密密钥DEK;所述密钥更新模块,用于检测***中的数据保护密钥KEK是否过期,如果数据保护密钥KEK过期,则发送密钥更新指令和新的数据保护密钥KEK至存储加密网关;所述密钥销毁模块,用于根据来自存储加密网关的密钥销毁请求,销毁***中的数据保护密钥KEK和数据加密密钥DEK,将销毁的数据保护密钥KEK和数据加密密钥DEK存储在历史密钥存储模块;所述历史密钥存储模块,用于将生成并发送给存储加密网关的密钥进行备份,将销毁后的密钥进行存储记录;所述密钥备份恢复模块,用于在存储加密网关的密钥丢失后,根据存储加密网关的恢复密钥请求,从历史密钥存储模块中获取备份的密钥,将密钥重新发送给存储加密网关。
所述存储加密网关包括网关数据通信模块、加密/解密模块、密钥更新模块和文件***创建/删除模块;
所述网关数据通信模块用于连接前端应用服务器和存储设备之间的数据通信,接收来自前端应用服务器的数据和接收来自存储设备上的数据;接收来自密钥管理中心的密钥和指令,以及发送数据和请求至密钥管理中心;所述加密/解密模块,用于将前端应用服务器传递过来的数据进行加密以及将获取的存储设备上的数据进行解密;所述密钥更新模块,用于根据密钥管理中心发送来的密钥更新指令和新的数据保护密钥KEK进行密钥的更新;所述文件***创建/删除模块,用于根据前端应用服务器的请求发送指令至存储设备删除文件***,并销毁数据保护密钥KEK和数据加密密钥DEK。
一种基于权利要求1至3之一的存储加密网关密钥管理***的方法,其特征在于,所述方法具体步骤为:
步骤1:***初始化,启动成功后,存储加密网关在密钥管理中心进行注册,注册成功后密钥管理中心生成设备主密钥MK,并发送给存储加密网关;
步骤2:存储加密网关新建文件***时,向密钥管理***申请数据保护密钥KEK和数据加密密钥DEK;密钥管理中心接到申请后,生成1个数据保护密钥KEK和256数据加密密钥DEK,并发送给存储加密网关;
步骤3:存储加密网关生成CBC模式加密的初始化向量;
步骤4:存储加密网关接收来自前端应用服务器的数据,对数据进行加密;使用数据加密密钥DEK采用CBC模式对数据进行加密;
步骤5:存储加密网关将加密后的加密数据块传递到存储设备中,写入存储设备时,生成加密数据块标识;将对应数据块使用过的数据加密密钥DEK与对应的加密数据块标识一一对应的关系存储在存储设备中,形成密钥链;
步骤6:对加密数据块标识进行Hash运算,得到虚拟编号,然后取虚拟编号的末位1个字节作为BucketId;数据加密密钥DEK和BucketId一一对应;
步骤7:存储加密网关在接受到前端应用服务器获取数据的请求后,获取存储设备上存储的相对应的数据块,根据不同数据块中不同的BucketId可以找到加密时使用的是哪一个DEK;存储加密网关先使用设备主密钥MK进行解密;然后使用数据保护密钥KEK进行解密,最后用数据加密密钥DEK采用CBC模式进行解密;
步骤8:当密钥管理中心检测到***中的数据保护密钥KEK过期后,会将密钥更新请求和生成的新的数据保护密钥KEK发送给存储加密网关;
步骤9:存储加密网关删除文件***后,会销毁数据保护密钥KEK和数据加密密钥DEK,然后发送请求至密钥管理中心;密钥管理中心接收到该请求后,将销毁的密钥存储在历史密钥存储模块;
步骤10:存储加密网关丢失密钥后,会发送密钥恢复请求至密钥管理中心,密钥管理中心接收到该请求后从历史密钥存储模块中获取备份的密钥,将密钥重新发送给存储加密网关。
所述数据保护密钥KEK、设备主密钥MK可以采用CBC模式进行加密,也可以采用ECB模式进行加密,数据加密密钥DEK只能采用CBC模式进行加密。
所述CBC加密模式的初始化向量的生成方法为:存储加密网关在初始化的存储设备中读取虚拟数据块编号和逻辑单元号,将逻辑单元号连接在虚拟数据块编号后面,合成16个字节的数据;如果合成后的数据长度大于16字节,则去掉逻辑单元号后超过16字节的部分;如果合成后的数据长度不够16字节,则在其后添加缺损比特长度补足;如合成信息长度为14字节,在其后添加0X1010补足16字节;然后采用DEK加密该合成后的数据,该加密后的数据即为CBC加密模式的初始化向量。
采用以上技术方案,本发明产生了以下有益效果:
1、密钥全生命周期管理:整个***对密钥的全生命周期进行完整的管
理,能从容应对***运行过程中所遇到的各种问题。完善的密钥备份机制,保证密钥的可恢复性。密钥管理***和存储加密网关中的密钥丢失,都可采用相应的机制/介质恢复,保证***的正常运行,有效防止了数据无法解密、加密不成功等问题。
2、国产算法:采用国产的算法对数据进行加解密,能最大程度上提升
***的安全性,杜绝利用后门和漏洞入侵***的问题。
3、数据块的透明加解密:整个加解密过程中客户端应用程序没有参与,
有效降低了客户端的运行负荷,提升了客户端的流畅性。
4、随机初始向量:***初始化时各LUN数据块大量存在相同数据,加
入了随机的初始向量进行CBC模式的加密,可保证相同明文数据块所加密后的密文不一样。从而防止了样本数据过多情况下的反向破译,有效提升了***的安全性。
附图说明
图1是本发明的一种存储加密网关密钥管理***的结构示意图。
图2是本发明一种存储加密网关密钥管理***的密钥管理中心的结构示意图。
图3是本发明一种存储加密网关密钥管理***的存储加密网关的结构示意图。
图4是本发明一种存储加密网关密钥管理方法的密钥链的结构示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要)中公开的任一特征,除非特别叙述,均可被其它等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明实施例1中提供了一种存储加密网关密钥管理***及方法,***结构图如图1所示,具体步骤如下:
步骤1:将存储设备和存储加密网关、密钥管理中心、前端应用服务器连接在一起,将***完整搭建出来。
步骤2:***初始化,启动成功后,存储加密网关在密钥管理中心进行注册,注册成功后密钥管理中心生成设备主密钥MK,并发送给存储加密网关。
步骤3:存储加密网关新建文件***时,向密钥管理***申请数据保护密钥KEK和数据加密密钥DEK;密钥管理中心接到申请后,生成1个数据保护密钥KEK和256数据加密密钥DEK,并发送给存储加密网关。
步骤4:存储加密网关在初始化的存储设备中读取虚拟数据块编号和逻辑单元号,将逻辑单元号连接在虚拟数据块编号后面,合成16个字节的数据;如果合成后的数据长度大于16字节,则去掉逻辑单元号后超过16字节的部分;如果合成后的数据长度不够16字节,则在其后添加缺损比特长度补足;如合成信息长度为14字节,在其后添加0X1010补足16字节;然后采用DEK加密该合成后的数据,加密结果作为CBC模式加密的初始化向量。
步骤5:存储加密网关接收来自前端应用服务器的数据,对数据进行加密;首先使用数据加密密钥DEK采用CBC模式对数据进行加密,针对不同数据块末位字节的不同情况采用不同的DEK进行加密,然后使用数据保护密钥KEK进行加密,最后使用设备主密钥MK进行加密;
步骤6:存储加密网关将加密后的加密数据块传递到存储设备中,写入存储设备时,生成加密数据块标识;将对应数据块使用过的数据加密密钥DEK与对应的加密数据块标识一一对应的关系存储在存储设备中,形成密钥链。
步骤7:对加密数据块标识进行Hash运算,得到虚拟编号,然后取虚拟编号的末位1个字节作为BucketId;数据加密密钥DEK和BucketId一一对应。
步骤8:存储加密网关在接受到前端应用服务器获取数据的请求后,获取存储设备上存储的相对应的数据块,根据不同数据块中不同的BucketId可以找到加密时使用的是哪一个DEK;存储加密网关先使用设备主密钥MK进行解密;然后使用数据保护密钥KEK进行解密;最后用数据加密密钥DEK采用CBC模式进行解密,得到解密后的数据。
本发明实施例2中提供了一种存储加密网关密钥管理***及方法,***结构图如图1所示,具体步骤如下,具体步骤如下:
步骤1:将存储设备和存储加密网关、密钥管理中心、前端应用服务器连接在一起,将***完整搭建出来。
步骤2:***初始化,启动成功后,存储加密网关在密钥管理中心进行注册,注册成功后密钥管理中心生成设备主密钥MK,并发送给存储加密网关。
步骤3:存储加密网关新建文件***时,向密钥管理***申请数据保护密钥KEK和数据加密密钥DEK;密钥管理中心接到申请后,生成1个数据保护密钥KEK和256数据加密密钥DEK,并发送给存储加密网关。
步骤4:存储加密网关在初始化的存储设备中读取虚拟数据块编号和逻辑单元号,将逻辑单元号连接在虚拟数据块编号后面,合成16个字节的数据;如果合成后的数据长度大于16字节,则去掉逻辑单元号后超过16字节的部分;如果合成后的数据长度不够16字节,则在其后添加缺损比特长度补足;如合成信息长度为14字节,在其后添加0X1010补足16字节;然后采用DEK加密该合成后的数据,加密结果作为CBC模式加密的初始化向量。
步骤5:存储加密网关接收来自前端应用服务器的数据,对数据进行加密;首先使用数据加密密钥DEK采用CBC模式对数据进行加密,针对不同数据块末位字节的不同情况采用不同的DEK进行加密,然后使用数据保护密钥KEK采用CBC模式进行加密,然后使用设备主密钥MK采用CBC模式进行加密;将加密后的第三数据加密块传递到存储设备中。
步骤6:存储加密网关将加密后的加密数据块传递到存储设备中,写入存储设备时,生成加密数据块标识;将对应数据块使用过的数据加密密钥DEK与对应的加密数据块标识一一对应的关系存储在存储设备中,形成密钥链。
步骤7:对加密数据块标识进行Hash运算,得到虚拟编号,然后取虚拟编号的末位1个字节作为BucketId;数据加密密钥DEK和BucketId一一对应。
步骤8:存储加密网关在接受到前端应用服务器获取数据的请求后,获取存储设备上存储的相对应的数据块,根据不同数据块中不同的BucketId可以找到加密时使用的是哪一个DEK;存储加密网关先使用设备主密钥MK采用CBC模式进行解密;然后使用数据保护密钥KEK采用CBC模式进行解密;最后用数据加密密钥DEK采用CBC模式进行解密。
步骤9:当密钥管理中心检测到***中的数据保护密钥KEK过期后,会将密钥更新请求和生成的新的数据保护密钥KEK发送给存储加密网关;存储加密网关会先对使用该数据保护密钥KEK采用CBC模式进行加密的信息进行解密,得到解密后的信息,然后使用数据加密密钥DEK采用CBC模式进行加密,使用新的数据保护密钥KEK采用CBC模式进行加密,然后使用设备主密钥MK采用CBC模式进行加密。
本发明实施例3中提供了一种存储加密网关密钥管理***及方法,***结构图如图1所示,具体步骤如下,具体步骤如下:
步骤1:将存储设备和存储加密网关、密钥管理中心、前端应用服务器连接在一起,将***完整搭建出来。
步骤2:***初始化,启动成功后,存储加密网关在密钥管理中心进行注册,注册成功后密钥管理中心生成设备主密钥MK,并发送给存储加密网关;
步骤3:存储加密网关新建文件***时,向密钥管理***申请数据保护密钥KEK和数据加密密钥DEK;密钥管理中心接到申请后,生成1个数据保护密钥KEK和256数据加密密钥DEK,并发送给存储加密网关;
步骤4:存储加密网关在初始化的存储设备中读取虚拟数据块编号和逻辑单元号,将逻辑单元号连接在虚拟数据块编号后面,合成16个字节的数据;如果合成后的数据长度大于16字节,则去掉逻辑单元号后超过16字节的部分;如果合成后的数据长度不够16字节,则在其后添加缺损比特长度补足;如合成信息长度为14字节,在其后添加0X1010补足16字节;然后采用DEK加密该合成后的数据,加密结果作为CBC模式加密的初始化向量;
步骤5:存储加密网关接收来自前端应用服务器的数据,对数据进行加密;首先使用数据加密密钥DEK采用CBC模式对数据进行加密,针对不同数据块末位字节的不同情况采用不同的DEK进行加密,然后使用数据保护密钥KEK采用ECB模式进行加密,然后使用设备主密钥MK采用ECB模式进行加密。
步骤6:存储加密网关将加密后的数据块传递到存储设备中,写入存储设备时,生成加密数据块标识;将对应数据块使用过的数据加密密钥DEK与对应的加密数据块标识一一对应的关系存储在存储设备中,形成密钥链;
步骤7:对加密数据块标识进行Hash运算,得到虚拟编号,然后取虚拟编号的末位1个字节作为BucketId;数据加密密钥DEK和BucketId一一对应;
步骤8:存储加密网关在接受到前端应用服务器获取数据的请求后,获取存储设备上存储的相对应的数据块,根据不同数据块中不同的BucketId可以找到加密时使用的是哪一个DEK;存储加密网关先使用设备主密钥MK采用ECB模式进行解密;然后使用数据保护密钥KEK采用ECB模式进行解密;最后用数据加密密钥DEK采用CBC模式进行解密,得到解密后的数据;将解密后数据发送给前端应用服务器;
步骤9:存储加密网关删除文件***后,会销毁数据保护密钥KEK和数据加密密钥DEK,然后发送请求至密钥管理中心;密钥管理中心接收到该请求后,将销毁的密钥存储在历史密钥存储模块。
本发明实施例4中提供了一种存储加密网关密钥管理***及方法,***结构图如图1所示,具体步骤如下,具体步骤如下:
步骤1:将存储设备和存储加密网关、密钥管理中心、前端应用服务器连接在一起,将***完整搭建出来。
步骤2:***初始化,启动成功后,存储加密网关在密钥管理中心进行注册,注册成功后密钥管理中心生成设备主密钥MK,并发送给存储加密网关;
步骤3:存储加密网关新建文件***时,向密钥管理***申请数据保护密钥KEK和数据加密密钥DEK;密钥管理中心接到申请后,生成1个数据保护密钥KEK和256数据加密密钥DEK,并发送给存储加密网关;
步骤4:存储加密网关在初始化的存储设备中读取虚拟数据块编号和逻辑单元号,将逻辑单元号连接在虚拟数据块编号后面,合成16个字节的数据;如果合成后的数据长度大于16字节,则去掉逻辑单元号后超过16字节的部分;如果合成后的数据长度不够16字节,则在其后添加缺损比特长度补足;如合成信息长度为14字节,在其后添加0X1010补足16字节;然后采用DEK加密该合成后的数据,加密结果作为CBC模式加密的初始化向量。
步骤5:存储加密网关接收来自前端应用服务器的数据,加密模块对数据进行加密;首先使用数据加密密钥DEK采用CBC模式对数据进行加密,针对不同数据块末位字节的不同情况采用不同的DEK进行加密,然后使用数据保护密钥KEK采用ECB模式进行加密,然后使用设备主密钥MK采用ECB模式进行加密;将加密后的数据块传递到存储设备中。
步骤6:存储加密网关将加密后的数据块传递到存储设备中,写入存储设备时,生成加密数据块标识;将对应数据块使用过的数据加密密钥DEK与对应的加密数据块标识一一对应的关系存储在存储设备中,形成密钥链。
步骤7:对加密数据块标识进行Hash运算,得到虚拟编号,然后取虚拟编号的末位1个字节作为BucketId;数据加密密钥DEK和BucketId一一对应。
步骤8:存储加密网关在接受到前端应用服务器获取数据的请求后,获取存储设备上存储的相对应的数据块,根据不同数据块中不同的BucketId可以找到加密时使用的是哪一个DEK;存储加密网关先使用设备主密钥MK采用ECB模式进行解密;然后使用数据保护密钥KEK采用ECB模式进行解密;最后用数据加密密钥DEK采用CBC模式进行解密,得到解密后的数据。
步骤9:存储加密网关丢失密钥后,会发送密钥恢复请求至密钥管理中心,密钥管理中心接收到该请求后从历史密钥存储模块中获取备份的密钥,将密钥重新发送给存储加密网关。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (6)
1.一种存储加密网关密钥管理***,其特征在于,所述***包括:密钥管理中心、存储加密网关;
所述密钥管理中心,用于生成密钥,将生成的密钥发送给存储加密网关;检测***中密钥是否过期,如果密钥过期,则发送密钥更新指令和新的密钥至存储加密网关进行密钥的更新;接收来自存储加密网关的密钥销毁请求,销毁密钥,将销毁的密钥存储在历史密钥存储区内;存储加密网关的密钥丢失后,接收存储加密网关的恢复密钥请求,将密钥重新发送给存储加密网关;
所述存储加密网关,用于接收密钥管理中心生成的密钥,并利用该密钥对前端应用服务器传递来的数据进行加密和解密;接收密钥管理中心更新密钥的指令,进行密钥更新;删除密钥后,通知密钥管理中心进行密钥的销毁;连接前端应用服务器和存储设备之间的数据通信。
2.如权利要求1所述的一种存储加密网关密钥管理***,其特征在于,所述密钥管理中心包括中心数据通信模块、密钥生成模块、密钥更新模块、密钥销毁模块、历史密钥存储模块和密钥备份恢复模块;
所述中心数据通信模块,用于接收来自存储加密网关的数据和请求,以及将密钥和指令发送给存储加密网关;所述密钥生成模块,用于生成设备主密钥MK、数据保护密钥KEK和数据加密密钥DEK;所述密钥更新模块,用于检测***中的数据保护密钥KEK是否过期,如果数据保护密钥KEK过期,则发送密钥更新指令和新的数据保护密钥KEK至存储加密网关;所述密钥销毁模块,用于根据来自存储加密网关的密钥销毁请求,销毁***中的数据保护密钥KEK和数据加密密钥DEK,将销毁的数据保护密钥KEK和数据加密密钥DEK存储在历史密钥存储模块;所述历史密钥存储模块,用于将生成并发送给存储加密网关的密钥进行备份,将销毁后的密钥进行存储记录;所述密钥备份恢复模块,用于在存储加密网关的密钥丢失后,根据存储加密网关的恢复密钥请求,从历史密钥存储模块中获取备份的密钥,将密钥重新发送给存储加密网关。
3.如权利要求1所述的存储加密网关密钥管理***,其特征在于,所述存储加密网关包括网关数据通信模块、加密/解密模块、密钥更新模块和文件***创建/删除模块;
所述网关数据通信模块用于连接前端应用服务器和存储设备之间的数据通信,接收来自前端应用服务器的数据和接收来自存储设备上的数据;接收来自密钥管理中心的密钥和指令,以及发送数据和请求至密钥管理中心;所述加密/解密模块,用于将前端应用服务器传递过来的数据进行加密以及将获取的存储设备上的数据进行解密;所述密钥更新模块,用于根据密钥管理中心发送来的密钥更新指令和新的数据保护密钥KEK进行密钥的更新;所述文件***创建/删除模块,用于根据前端应用服务器的请求发送指令至存储设备删除文件***,并销毁数据保护密钥KEK和数据加密密钥DEK。
4.一种基于权利要求1至3之一所述存储加密网关密钥管理***的方法,其特征在于,所述方法具体步骤为:
步骤1:***初始化,启动成功后,存储加密网关在密钥管理中心进行注册,注册成功后密钥管理中心生成设备主密钥MK,并发送给存储加密网关;
步骤2:存储加密网关新建文件***时,向密钥管理***申请数据保护密钥KEK和数据加密密钥DEK;密钥管理中心接到申请后,生成1个数据保护密钥KEK和256数据加密密钥DEK,并发送给存储加密网关;
步骤3:存储加密网关生成CBC模式加密的初始化向量;
步骤4:存储加密网关接收来自前端应用服务器的数据,对数据进行加密;使用数据加密密钥DEK采用CBC模式对数据进行加密;
步骤5:存储加密网关将加密后的加密数据块传递到存储设备中,写入存储设备时,生成加密数据块标识;将对应数据块使用过的数据加密密钥DEK与对应的加密数据块标识一一对应的关系存储在存储设备中,形成密钥链;
步骤6:对加密数据块标识进行Hash运算,得到虚拟编号,然后取虚拟编号的末位1个字节作为BucketId;数据加密密钥DEK和BucketId一一对应;
步骤7:存储加密网关在接受到前端应用服务器获取数据的请求后,获取存储设备上存储的相对应的数据块,根据不同数据块中不同的BucketId可以找到加密时使用的是哪一个DEK;存储加密网关先使用设备主密钥MK进行解密;然后使用数据保护密钥KEK进行解密,最后用数据加密密钥DEK采用CBC模式进行解密;
步骤8:当密钥管理中心检测到***中的数据保护密钥KEK过期后,会将密钥更新请求和生成的新的数据保护密钥KEK发送给存储加密网关;
步骤9:存储加密网关删除文件***后,会销毁数据保护密钥KEK和数据加密密钥DEK,然后发送请求至密钥管理中心;密钥管理中心接收到该请求后,将销毁的密钥存储在历史密钥存储模块;
步骤10:存储加密网关丢失密钥后,会发送密钥恢复请求至密钥管理中心,密钥管理中心接收到该请求后从历史密钥存储模块中获取备份的密钥,将密钥重新发送给存储加密网关。
5.如权利要求4所述的一种基于权利要求1至3之一所述存储加密网关密钥管理***的方法,其特征在于,所述数据保护密钥KEK、设备主密钥MK可以采用CBC模式进行加密,也可以采用ECB模式进行加密,数据加密密钥DEK只能采用CBC模式进行加密。
6.如权利要求4所述的一种基于权利要求1至3之一所述存储加密网关密钥管理***的方法,其特征在于,所述CBC加密模式的初始化向量的生成方法为:存储加密网关在初始化的存储设备中读取虚拟数据块编号和逻辑单元号,将逻辑单元号连接在虚拟数据块编号后面,合成16个字节的数据;如果合成后的数据长度大于16字节,则去掉逻辑单元号后超过16字节的部分;如果合成后的数据长度不够16字节,则在其后添加缺损比特长度补足;如合成信息长度为14字节,在其后添加0X1010补足16字节;然后采用DEK加密该合成后的数据,该加密后的数据即为CBC加密模式的初始化向量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610008401.0A CN105681031B (zh) | 2016-01-08 | 2016-01-08 | 一种存储加密网关密钥管理***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610008401.0A CN105681031B (zh) | 2016-01-08 | 2016-01-08 | 一种存储加密网关密钥管理***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105681031A true CN105681031A (zh) | 2016-06-15 |
CN105681031B CN105681031B (zh) | 2018-12-21 |
Family
ID=56299237
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610008401.0A Active CN105681031B (zh) | 2016-01-08 | 2016-01-08 | 一种存储加密网关密钥管理***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105681031B (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106060084A (zh) * | 2016-07-18 | 2016-10-26 | 青岛大学 | 一种透明文件加密技术 |
CN106411715A (zh) * | 2016-11-02 | 2017-02-15 | 中国人民公安大学 | 一种基于云端的安全即时通信方法及*** |
CN106790697A (zh) * | 2017-02-20 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 安全存储实现方法及装置 |
CN107944255A (zh) * | 2016-10-13 | 2018-04-20 | 深圳市图灵奇点智能科技有限公司 | 一种面向区块链的密钥管理方法 |
CN108174151A (zh) * | 2017-12-27 | 2018-06-15 | 北京计算机技术及应用研究所 | 视频监控***及控制方法、视频信息的调用方法 |
CN108206820A (zh) * | 2016-12-20 | 2018-06-26 | 扬智科技股份有限公司 | 网络设备与其传输流封包的解密方法 |
CN110351082A (zh) * | 2019-07-12 | 2019-10-18 | 上海瀚银信息技术有限公司 | 一种密钥管理*** |
CN111147430A (zh) * | 2018-11-06 | 2020-05-12 | 中移(杭州)信息技术有限公司 | 一种应用于智能家庭网关的加密方法及装置 |
CN111625843A (zh) * | 2019-07-23 | 2020-09-04 | 方盈金泰科技(北京)有限公司 | 一种适用于大数据平台的数据透明加解密*** |
CN112800439A (zh) * | 2020-12-02 | 2021-05-14 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及*** |
CN114124373A (zh) * | 2021-11-02 | 2022-03-01 | 广东省通信产业服务有限公司 | 一种自动备份与恢复的视频密钥管理方法及*** |
CN117014143A (zh) * | 2023-10-07 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、***及设备 |
CN117221878A (zh) * | 2023-09-22 | 2023-12-12 | 深圳市神州共赢信息技术有限公司 | 一种基于无线网络设备的信息安全管控方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070130084A1 (en) * | 2005-12-06 | 2007-06-07 | Microsoft Corporation | Key Distribution For Secure Messaging |
CN101635924A (zh) * | 2009-08-27 | 2010-01-27 | 成都卫士通信息产业股份有限公司 | 一种cdma端到端加密通信***及其密钥分发方法 |
CN105119719A (zh) * | 2015-10-16 | 2015-12-02 | 成都卫士通信息产业股份有限公司 | 一种安全存储***的密钥管理方法 |
-
2016
- 2016-01-08 CN CN201610008401.0A patent/CN105681031B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070130084A1 (en) * | 2005-12-06 | 2007-06-07 | Microsoft Corporation | Key Distribution For Secure Messaging |
CN101635924A (zh) * | 2009-08-27 | 2010-01-27 | 成都卫士通信息产业股份有限公司 | 一种cdma端到端加密通信***及其密钥分发方法 |
CN105119719A (zh) * | 2015-10-16 | 2015-12-02 | 成都卫士通信息产业股份有限公司 | 一种安全存储***的密钥管理方法 |
Non-Patent Citations (1)
Title |
---|
黄容: "FC加密存储交换机的密钥管理***的研究与设计", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106060084A (zh) * | 2016-07-18 | 2016-10-26 | 青岛大学 | 一种透明文件加密技术 |
CN107944255B (zh) * | 2016-10-13 | 2020-08-04 | 深圳市图灵奇点智能科技有限公司 | 一种面向区块链的密钥管理方法 |
CN107944255A (zh) * | 2016-10-13 | 2018-04-20 | 深圳市图灵奇点智能科技有限公司 | 一种面向区块链的密钥管理方法 |
CN106411715A (zh) * | 2016-11-02 | 2017-02-15 | 中国人民公安大学 | 一种基于云端的安全即时通信方法及*** |
CN108206820A (zh) * | 2016-12-20 | 2018-06-26 | 扬智科技股份有限公司 | 网络设备与其传输流封包的解密方法 |
CN106790697A (zh) * | 2017-02-20 | 2017-05-31 | 深圳市中博睿存信息技术有限公司 | 安全存储实现方法及装置 |
CN108174151A (zh) * | 2017-12-27 | 2018-06-15 | 北京计算机技术及应用研究所 | 视频监控***及控制方法、视频信息的调用方法 |
CN111147430A (zh) * | 2018-11-06 | 2020-05-12 | 中移(杭州)信息技术有限公司 | 一种应用于智能家庭网关的加密方法及装置 |
CN110351082A (zh) * | 2019-07-12 | 2019-10-18 | 上海瀚银信息技术有限公司 | 一种密钥管理*** |
CN111625843A (zh) * | 2019-07-23 | 2020-09-04 | 方盈金泰科技(北京)有限公司 | 一种适用于大数据平台的数据透明加解密*** |
CN112800439A (zh) * | 2020-12-02 | 2021-05-14 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及*** |
CN114124373A (zh) * | 2021-11-02 | 2022-03-01 | 广东省通信产业服务有限公司 | 一种自动备份与恢复的视频密钥管理方法及*** |
CN117221878A (zh) * | 2023-09-22 | 2023-12-12 | 深圳市神州共赢信息技术有限公司 | 一种基于无线网络设备的信息安全管控方法及装置 |
CN117221878B (zh) * | 2023-09-22 | 2024-05-28 | 深圳市神州共赢信息技术有限公司 | 一种基于无线网络设备的信息安全管控方法及装置 |
CN117014143A (zh) * | 2023-10-07 | 2023-11-07 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、***及设备 |
CN117014143B (zh) * | 2023-10-07 | 2024-01-05 | 北京数盾信息科技有限公司 | 一种载荷加密网关设备的密钥分发方法、***及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105681031B (zh) | 2018-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105681031B (zh) | 一种存储加密网关密钥管理***及方法 | |
US10686598B2 (en) | One-to-many symmetric cryptographic system and method | |
US9698979B2 (en) | QKD key management system | |
US8401186B2 (en) | Cloud storage data access method, apparatus and system based on OTP | |
CN108418796B (zh) | 云数据多副本完整性验证及关联删除的方法、云存储*** | |
WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息*** | |
US20120254125A1 (en) | Method and apparatus of securely processing data for file backup, de-duplication, and restoration | |
JP2020510353A (ja) | キー暗号化方法、装置、及びシステム | |
CN105072107A (zh) | 增强数据传输及存储安全的***和方法 | |
CN111737770A (zh) | 一种密钥管理方法及应用 | |
CN104660590A (zh) | 一种文件加密安全云存储方案 | |
CN110166458B (zh) | 一种三级秘钥加密方法 | |
CN103607273A (zh) | 一种基于时间期限控制的数据文件加解密方法 | |
CN103117850A (zh) | 一种基于随机序列数据库的密码*** | |
JPH10171717A (ja) | Icカードおよびそれを用いた暗号通信システム | |
CN112865965B (zh) | 一种基于量子密钥的列车业务数据处理方法及*** | |
CN105871858A (zh) | 一种保证数据安全的方法及*** | |
CN112800462A (zh) | 一种云计算环境下机密信息的存储方法 | |
CN103916237A (zh) | 对用户加密密钥恢复进行管理的方法和*** | |
CN109726584B (zh) | 云数据库密钥管理*** | |
CN105656866B (zh) | 数据加密方法及*** | |
WO2016078382A1 (zh) | Hsm加密信息同步实现方法、装置和*** | |
CN115412236A (zh) | 一种密钥管理和密码计算的方法、加密方法及装置 | |
Gong | [Retracted] Application Research of Data Encryption Algorithm in Computer Security Management | |
CN104283868A (zh) | 面向物联网和云计算安全存储分布式文件***的加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
CP01 | Change in the name or title of a patent holder |