FC加密卡密钥管理系统设计与实现.pdfVIP

FC加密卡密钥管理系统设计与实现 刘青龙， 谢 军， 季乔龙 (1. 电子科技大学 宽带光纤传输与通信网技术教育部重点实验室， 四川 成都 610054) 2009-07-24 摘 要： 一种基于对称加密体制的光纤通道加密卡密钥管理方案该方案将独立的密钥管理中心、 USB Key、硬件安全设备等有效地应用于密钥管理的各个重要环节 , 可以让用户以最小的安全风险和管理代价来 管理密钥信息的产生、分发、备份及恢复过程，从而确保存储数据安全。 关键词 : 密钥管理 ; 密钥管理中心 ; USB key; 硬件安全设备 近年来，网络存储技术已被应用到各个行业。网络存储又被誉为第三次 IT 浪潮 [1] 。FC-SAN(Fiber Channel- Storage Area Network) 网络是当前最主流的 SAN结构，它采用高速的光纤通道构架存储网络， 并用 FCP （Fibre Channel Protocol ）协议传输 SCSI 命令和数据。由于光纤通道的远距离连接能力以及高 速的传输能力，使得 FC-SAN的性能非凡，被业界普遍采用。随着 SAN网络的日益普及，网络存储数据的安 全问题也受到了人们的广泛关注。存储加密是保护数据的普遍做法。目前，存储系统中数据加密技术的实 现分成基于主机层、网络层及存储层的 3 类。由于内建加密功能的存储设备才刚推出，目前企业应用的加 密产品以主机或网络型产品为主流。基于主机层加密是在前端欲加密的主机上安装加密软件进行加密。但 软件加密的缺点是面对企业达到 TB 甚至 PB级数据量，加密运算将极大增加系统负担，影响效能，而且密 钥档的保管也相当麻烦，可能会遭到非法复制和遗失。基于网络层加密是通过在存储网络中插入特殊加密 硬件进行加密，但网络带宽会受影响。硬件方法将加 / 解密对性能的影响降到最低，可以做到对用户透明， 并且可以避免软件方法固有的安全隐患，最大限度地保证整个系统的安全性。综合考虑，在主机上安装硬 件加密装置是较好的选择。 出于对加 / 解密性能的考虑，目前大多采用实现方法相对简单的对称加密体制。由于加 / 解密都要使用 相同的密钥，因此密钥的存储和备份便成了该加密体系中最薄弱的环节。用专门的硬件设备来存储和分享 密钥，就可以极大地提高密钥系统的安全性。目前流行的 USB Key是一种在高安全领域内广泛使用的标准 USB接口的设备，能够对用户密钥提供多层的安全保护。使用 USB Key 除了可以保证用户密钥信息的安全 性以外，同时也在管理上以一种“硬件持有物”的方式，使得用户对虚拟的“数字身份”有了物理上的掌 握与控制。此外，为防止一些特权用户，如管理员私自复制密钥，一个较好的解决办法是研制多密钥系统。 使用一套密钥加密数据，使用另一套密钥对管理员进行身份识别。管理员绝不会真正看到用来加密数据的 密钥，从而降低了系统风险。 对 SAN网络而言 , 完善的密钥管理系统的研究与开发是一个十分重要的课题。 本文在对称加密体制的基础上，将 USB Key 用于密钥存储和身份认证，结合密钥共享和多密钥加密技 术，设计并实现了一种 FC加密卡的密钥管理系统，较好地实现了密钥的产生、分发、备份和恢复功能，满 足了 FC-SAN用户数据存储的安全需要。 1 FC 加密卡的密钥管理设计 1 为避免系统过于复杂， 且实现起来更加简单容易， 在实际使用的系统中， 根 据用户要求和系统规模采用使系统结构更加紧凑的二种密钥。一种是主密钥 , 用于保护其他密钥；另一种 是工作密钥