该方案基于大唐存储2020年7月发布的业内首款支持国密二级和EAL5+芯片安全防护技术的加密存储控制芯片DSS510开发完成,支持多芯片合一的超聚合国际领先新技术,产品从传统2核8通道突破到4核12通道使产品的读写性能赶超国际一线品牌,基于DSS510研发的固态硬盘产品可应用于金融、教育、电信、交通等行业领域。
安全加密SSD维护2套密钥,一套用于身份认证,一套用于加密硬盘数据。身份认证密钥用于对硬盘的使用者身份进行认证,未能通过认证的主机将无法获取SSD的任何信息和内容,本系统任何外部认证功能均使用该密钥进行。数据加密密钥用于对硬盘上的数据进行加密解密,实现颗粒级别的加密技术让破解者即使通过拆机读取颗粒数据也束手无策。
方案背景
在数字化转型加速与新基建东风的助推下,数据与计算产业迎来蓬勃发展。与此同时,随着国际大环境的变化,数据安全是网络安全的底线,也是信创产业发展的重中之重,国产自主也成为了产业发展的重要态势。
数据加密存储通常是通过系统级别的全盘加密或分区加密形式进行,一定程度上保证了数据的安全性,但是依然可以通过拆解硬盘、外部攻击等方式来破解。而过去的数据加密硬盘并不具备外部身份认证功能,增加了数据保护的难度。
方案目标
该方案通过外部身份认证、颗粒级别的全盘数据加密、高度安全国密2级加密算法和硬件来保证信息安全不受侵犯,最终实现产品的安全级别可满足国密2级和EAL5+的要求。
方案特点
1. 4核心12通道DSS510主控,强大的读写性能;
2. 支持SM2/3/4加密算法,可对抗外部攻击,满足国密2级、EAL5+技术要求;
3. 支持外部身份认证、颗粒级别的数据加密存储。
SSD硬盘的信息安全对所有用户而言正变得越来越重要,尤其是政府、国防、金融和医疗行业的用户,经营过程中收集到的客户资料信息包括身份证、银行卡号、手机号、住址等个人信息必须进行严格保护,数据加密存储是一个必不可少的环节,特别是在开发、测试过程中可能会使用到真实生产数据时。随着该方案的落地和量产,大唐存储将携手金融科技产业供应链厂商精诚合作,共同推进智慧金融领域的安全存储。
方案业务流程图
1. 开机硬盘使用流程
每次开机的加密硬盘使用流程:
1)BIOS界面校验用户密码,该密码为用户在BIOS中设置的开机密码;
2)加密硬盘使用外部认证方式,认证BIOS的PIK。(通过外部认证校验PIK);
3)加密硬盘认证通过,则开始正常工作。
身份认证完成后,硬盘正常使用。
2. 外部认证流程
外部认证主要用于硬盘对BIOS进行认证,主要流程如下:
1)BIOS请求认证,硬盘生成随机数并返回给BIOS;
2)BIOS使用PIK将随机数加密并返回给加密硬盘;
3)加密硬盘对密文解密,并与自己生成的随机数对比,如果一致则认证通过,否则认为认证失败。
3. 数据加解密流程
1)将加解密验证所需数据依固定格式制成数据文件;
2)在主机软件上设置加解密验证所需数据文件;
3)主机软件解析数据文件,透过ATA Command 将数据送入装置;
4)装置进行加解密运算;
5)主机软件透过ATA Command 要求装置将加解密结果送回主机;
6)在主机软件上呈现加解密结果存成档案。
实现功能展示
1. 实现SM2/3/4加密算法,满足国密2级和EAL5+要求;
2. 配置电压检测器、频率检测器、温度检测器、电压毛刺检测器、和光检测器等,具备抵抗错误注入攻击的能力;
3. 支持外部身份认证、颗粒级别数据加解密安全存储;
4. 插入随机时序等手段打乱芯片运行的功耗特性,防止SPA/DPA旁路攻击。
方案案例及效果
案例1:智能银行网点
智能银行网点是集人工服务和自助银行服务于一身的创新型服务营销渠道。与传统银行网点不同,智能网点大部分的业务通过智能自助设备完成,通过系列智能化设备, 将银行线上渠道与线下自助设备以及人工柜员联动起来,引入了 “智能自助+人工协助+无缝营销”创新的服务模式。该模式结合了安全加密SSD方案高度安全防拆解、防外部攻击、数据颗粒级别加密等技术得以快速实现并落地,传统银行网点由原来的 “隔窗式” 服务变为与客户的 “零距离’ 交流, 解决了当前渠道转型、人员结构调整、服务提升中的许多瓶颈问题,有效推动了网点经营转型的内涵式发展,实现网点智慧管理和价值创造;
案例2:自助发卡机
随着身份扫描识别技术、二代证阅读技术、指纹识别技术和音视频交互技术的成熟,以及大唐存储凭借多年的安全加密行业经验深入分析银行发卡业务在安全存储方面的需求和发展方向,推出的基于DSS510主控的安全加密SSD方案的落地,让银行自助发卡业务加快了业务高度集成化、多功能化、无人化操作的发展趋势。同时有效地解决银行网点柜台发卡压力,缓解了客户新开户领卡排队难、流程复杂等问题,提高银行卡发卡效率和发卡量,拓展银行卡业务发展,提升银行形象。
方案未来展望
未来将在安全加密方面持续发力,不断提高产品的市场竞争力,从固件篡改方面着手提升固件安全性能,增加高标准的固件数字签名认证模块;从数据销毁方面,除了现有的一键软销毁解决方案,拓展安全级别更高的一键硬件销毁方案。
随着互联网、电信、党政系统对于信息安全技术的关注度愈发增强,未来该方案将不仅仅局限于金融行业,将会立足于金融,向更多的相关行业拓展开来,发展潜力非凡。