您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

国密算法在数据存储中的安全应用

时间:2020-04-23 16:37:26  来源:  作者:

时至今日,互联网和物联网已经渗透到我们生活的点点滴滴,数据在其中的重要性不言而喻,一旦数据遭到恶意攻击,导致泄漏或篡改等,这两张网的安全性也就不复存在。因此,2015年重新颁布的《国家安全法》中第24、25条特别强调了数据安全要自主可控,而作为数据安全最重要环节之一的数据存储安全也就成为了业界关注的焦点。

硬盘是数据的栖息地,那么如何确保数据能安全的存储在硬盘上呢?众所周知,人们为防止自己家中财物被盗取,往往会在门上加上一把锁,没有钥匙就没办法入门,一样的道理,为了保护数据,可以对数据进行加密,只有拥有密钥的用户才能获取数据内容,这就是密码技术。

国密算法在数据存储中的安全应用

 

密码技术的核心是对信息按照一定的规则重新编码来保证信息的机密性,国际上已有一系列密码算法,而为了信息安全自主可控,我国商用密码局近年来也组织制定了一些自主研发的密码算法,包括SM1、SM2、SM3、SM4、SM7、SM9等。结合国家密码算法,从硬盘固件安全和数据安全两个方面出发,可以一定程度确保整个数据存储系统的安全。

下面先简述几种常用国密算法的基本原理和应用场景,再从固件安全和数据安全两个方面,详细介绍国密算法在对应安全节点的具体应用。

几种常用的国密算法

国密算法在数据存储中的安全应用

 

一系列国密算法中每个算法都有其独特的用途,有些用于大量数据的加解密,有些用于身份的认证,有些用于防止数据被篡改。这些算法的安全性经过大量的论证,并基于现代密码学的原理,逐步公开算法的具体实现,任何单位和个人都可以使用国密算法来保护自己的信息安全,其中应用最多最广的是SM2、SM3、SM4算法。

SM2算法是一种基于椭圆曲线的非对称密码算法,即使用私钥加密后的密文只能用对应公钥进行解密,反之使用公钥加密的密文也只能用对应的私钥进行解密。通过对私钥进行椭圆曲线运算可以生成公钥,而由于椭圆曲线的特点,知道公钥却很难反推出私钥,这就决定了SM2算法的安全性。SM2算法最常见的应用是进行身份认证,也就是我们熟知的数字签名与验签,通过私钥的私密性来实现身份的唯一性和合法性。

国密算法在数据存储中的安全应用

 


国密算法在数据存储中的安全应用

 

SM3算法是一种杂凑算法,任意长度的数据进过SM3算法后会生成长度固定为256bit的摘要。SM3算法的逆运算在数学上是不可实现的,即通过256bit的摘要无法反推出原数据的内容,因此在信息安全领域内常用SM3算法对信息的完整性进行度量。

国密算法在数据存储中的安全应用

 

SM4算法是一种对称密码算法,它以128bit为一组进行加解密。密钥也固定为128bit,使用某一密钥加密后的密文只能用该密钥解密出明文,故而称为对称加密。SM4算法采用32轮非线性迭代实现,加解密速度较快,常应用于大量数据的加密,保存在存储介质上的用户数据往往就使用SM4算法进行加密保护。

国密算法在固件安全中的应用

固件控制着整个存储系统的正常运行,倘若非法人员可以随意导入固件、修改固件,那么数据也将完全暴露,因此保护数据存储安全的首要一点就是要确保固件在导入、保存和执行过程中的安全。

在固件导入过程中使用SM2算法进行验签,其中用到的公钥保存在主控芯片内部,私钥由受信用的固件厂商保存。对于要导入的固件,需要使用私钥对其进行签名,将签名和固件一起导入到盘片,带有签名的固件下载到缓存RAM后,再用公钥进行SM2验签。只有使用合法私钥签名的固件才能通过验签,成功导入,没有签名或者使用非法私钥签名的固件无法通过验签而被丢弃。如此,拥有合法私钥的用户才拥有固件的导入权限,从源头上确保了盘片内部固件的合法性。

国密算法在数据存储中的安全应用

 

国密算法在数据安全中的应用

国密算法在数据存储中的安全应用

 

以固态硬盘为例,用户数据由主机写入到硬盘的流程如上图所示,虚线部分为国密算法在数据安全中的应用。若用户数据的明文直接保存在存储介质上,那么只要拿到存储数据的存储介质,就能以一定的途径获取到其中存储的用户数据,比如换上其它的主控芯片、对存储介质上的电平进行分析等。我们可以在数据读写路径上加上一道门锁——SM4加解密:数据由主机传输到缓存RAM的过程中,使用SM4 算法加密,写入到缓存上的就是密文,并最终以密文的形式保存在存储介质Flash上;读取数据时再解密出明文返回给主机。

以上所述的加密过程对用户是完全透明的,用户完全感知不到加解密过程的存在。为确保明文数据只对授权用户可见,需要对加解密数据的密钥——介质密钥(MKey)进行保护,将其与授权用户关联起来。一种简单的关联方式如下图所示,一方面使用SM3算法对用户口令进行杂凑生成口令摘要,保存口令摘要用于身份鉴权;另一方面,对用户口令进行派生构造加密密钥(EKey),对介质密钥进行加密保存。这个过程主要有以下三个方面:

创建——如上图所示,用户创建自己口令的同时,会生成取自口令摘要的加密密钥EKey和取自真随机数的介质密钥MKey;通过SM4算法将MKey用EKey加密;最终将口令摘要和MKey密文保存在Flash上。

鉴权——创建用户口令后再次上电,鉴权之前,由于无法获取MKey而使盘片处于锁定状态。鉴权的过程即时将输入的用户口令使用SM3算法进行杂凑得到一份摘要,再从Flash上加载出保存的口令摘要,两份摘要相同则认为用户身份合法,反之不同则不合法。

解锁——输入正确的用户口令,通过身份鉴权之后,才能构造出正确的EKey,解密出MKey明文,进而对读写的数据进行正常的加解密,实现盘片的解锁,如上图所示。

这个关联过程也叫做密钥管理过程,上面介绍的仅仅是一个基本思路,事实上在实际使用过程中,往往采用密钥多级加密方式,也往往会在这个过程中加入一些真随机数,来确保鉴权的有效性和介质密钥的私密性。

综上所述,对用户数据的直接保护也使用了两道门锁——一道是对数据的输入和输出加上SM4加解密,确保存储的用户数据是密文;另一道是对介质密钥加上SM3和SM4算法,确保介质密钥直接与可信用户关联,进而实现了用户数据明文只有可信用户唯一可见。

结语

SM2、SM3、SM4算法,从固件安全和数据安全两个维度,为数据存储安全建立了一道坚实的保护墙。将自主研发的国家商用密码算法应用到数据存储安全,是顺应了国产化需求的,也是实现数据安全自主可控道路上重要的一步。

 



Tags:数据存储   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
话说C是面向内存的编程语言。数据要能存得进去,取得出来,且要考虑效率。不管是顺序存储还是链式存储,其寻址方式总是很重要。顺序存储是连续存储。同质结构的数组通过其索引表...【详细内容】
2021-12-08  Tags: 数据存储  点击:(18)  评论:(0)  加入收藏
数据作为新的生产要素,其蕴含的价值日益凸显,而安全问题却愈发突出。密码技术,是实现数据安全最经济、最有效、最可靠的手段,对数据进行加密,并结合有效的密钥保护手段,可在开放环...【详细内容】
2021-11-26  Tags: 数据存储  点击:(17)  评论:(0)  加入收藏
很多小伙伴在购买电脑时,通常为了性能的大幅度提升,在加装硬盘时往往会将系统装入到单独的固态硬盘中,而我们数据存储放到机械硬盘当中,这样做有什么好处呢?本期小君就谈谈固态硬...【详细内容】
2021-10-19  Tags: 数据存储  点击:(75)  评论:(0)  加入收藏
作者:LX 一、 环境搭建 1、 启动Spark集群服务 1)启动Spark集群 2)子节点加入集群 3)查看是否加入成功 2、启动Elasticsearch数据库 1)可以启动自己安装的Elasticsearch数据库...【详细内容】
2021-06-11  Tags: 数据存储  点击:(134)  评论:(0)  加入收藏
大数据存储: HBase API,DDL,DML4.1 环境准备新建项目后在pom.xml中添加依赖:<dependency> <groupId>org.apache.hbase</groupId> <artifactId>hbase-server</artifactId>...【详细内容】
2020-08-25  Tags: 数据存储  点击:(98)  评论:(0)  加入收藏
HBase写流程HBase写流程写流程:1、Client 先访问 zookeeper,获取 hbase:meta 表位于哪个 Region Server。2、访问对应的 Region Server,获取 hbase:meta 表,根据读请求的 namesp...【详细内容】
2020-07-04  Tags: 数据存储  点击:(46)  评论:(0)  加入收藏
阿里云HBase增强版(Lindorm)简介阿里云数据库HBase增强版,是基于阿里集团内部使用的Lindorm产品研发的、完全兼容HBase的云上托管数据库,从2011年开始正式承载阿里内部业务的...【详细内容】
2020-05-07  Tags: 数据存储  点击:(112)  评论:(0)  加入收藏
时至今日,互联网和物联网已经渗透到我们生活的点点滴滴,数据在其中的重要性不言而喻,一旦数据遭到恶意攻击,导致泄漏或篡改等,这两张网的安全性也就不复存在。因此,2015年重新颁布...【详细内容】
2020-04-23  Tags: 数据存储  点击:(132)  评论:(0)  加入收藏
在Windows操作系统中,如果我们通过MySql的全自动安装包安装数据库,那么数据库的数据将会默认被存储在C盘中,而C盘作为系统盘,一般情况下我们并不想放和系统无关的一些内容。那么...【详细内容】
2019-06-17  Tags: 数据存储  点击:(431)  评论:(0)  加入收藏
▌简易百科推荐
众所周知,Windows系统流氓软件众多,其中不乏出身大厂的产品。这些带有流氓性质的软件,很多都会偷偷扫描系统数据,读取用户文件,造成电脑卡顿拖慢不说,还严重侵害了个人隐私,造成巨...【详细内容】
2021-12-06  趣玩APPS    Tags:流氓软件   点击:(16)  评论:(0)  加入收藏
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  IT野涵    Tags:sql注入   点击:(21)  评论:(0)  加入收藏
互联网时代,不论是个人还是组织,都将数据视为一项重要的资产。为了便于存储、管理,企业常常会为各项数据建立一个数据库,如果没有做好安全风险防护,一旦数据库被攻占,企业将迎来很...【详细内容】
2021-10-28  快快网络   企鹅号  Tags:数据库   点击:(50)  评论:(0)  加入收藏
前言(可能思路狭隘,有缺有错,师傅们多带带)【查看资料】Author: 0ne本篇文章数据来源于18+省市级别HVV,90+单位失陷报告。(一部分是笔者的参与,一部分是薅的公司其他师傅的报告...【详细内容】
2021-10-28  IT野涵    Tags:缺口   点击:(46)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19    博客园  Tags:SQL注入   点击:(52)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  woaker    Tags:SQL注入漏洞   点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  合天网安实验室    Tags:sql注入   点击:(60)  评论:(0)  加入收藏
“放纵自己的欲望是最大的祸害,窥探别人的隐私是最大的罪恶,不知自己的过失是最大的病痛”。 上文咱们知道了目前互联网的数据安全存在隐患,数据安全的问题,每天都在发生,只不过...【详细内容】
2021-08-13  小陶子矿工    Tags:IPFS   点击:(79)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  IT影子    Tags:sql注入   点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  李志宽    Tags:SQL注入   点击:(74)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条