行业安全存储解决方案
所属单位:合肥大唐存储科技有限公司
参与奖项:最佳金融信创突破奖
评委评分:
热度 (转发微信朋友圈或群可以帮助增加热度)
微信扫码分享此评选

该方案基于大唐存储存储控制芯片DSS510开发完成,该芯片支持多芯片合一的超聚合国际领先新技术,产品从传统2核8通道突破到4核12通道使产品的读写性能赶超国际一线品牌,基于DSS510研发的固态硬盘产品可应用于金融、教育、电信、交通等行业领域。

安全加密SSD维护2套密钥,一套用于身份认证,一套用于加密硬盘数据。身份认证密钥用于对硬盘的使用者身份进行认证,未能通过认证的主机将无法获取SSD的任何信息和内容,本系统任何外部认证功能均使用该密钥进行。数据加密密钥用于对硬盘上的数据进行加密解密,实现颗粒级别的加密技术让破解者即使通过拆机读取颗粒数据也束手无策。

方案背景

在数字化转型加速与新基建东风的助推下,数据与计算产业迎来蓬勃发展。与此同时,随着国际大环境的变化,数据安全是网络安全的底线,也是信创产业发展的重中之重,国产自主也成为了产业发展的重要态势。

数据加密存储通常是通过系统级别的全盘加密或分区加密形式进行,一定程度上保证了数据的安全性,但是依然可以通过拆解硬盘、外部攻击等方式来破解。而过去的数据加密硬盘并不具备外部身份认证功能,增加了数据保护的难度。

方案目标

该方案通过外部身份认证、颗粒级别的全盘数据加密、高度安全国密2级加密算法和硬件来保证信息安全不受侵犯,最终实现产品的安全级别可满足国密2级和EAL5+的要求。

方案特点

在金融数据加密保护方面,大唐存储存储控制器芯片DSS510全球首家通过国家密码管理局密码认证芯片类安全二级认证并全球首家通过国家金融科技测评中心的金融数据存储芯片安全增强级检测,实现了在存储控制器芯片领域推出全球“双首家”高安全认证产品,并将于2022年陆续推出基于该款芯片的DTS510S和DTS510P系列固态硬盘新产品,后续将重点金融信创领域的业务增值目标。

1、4核心12通道DSS510主控,强大的读写性能;

2、支持SM2/3/4加密算法,可对抗外部攻击,满足国密2级、EAL5+技术要求;

3、支持外部身份认证、颗粒级别的数据加密存储。

SSD硬盘的信息安全对所有用户而言正变得越来越重要,尤其是政府、国防、金融和医疗行业的用户,经营过程中收集到的客户资料信息包括身份证、银行卡号、手机号、住址等个人信息必须进行严格保护,数据加密存储是一个必不可少的环节,特别是在开发、测试过程中可能会使用到真实生产数据时。随着该方案的落地和量产,大唐存储将携手金融科技产业供应链厂商精诚合作,共同推进智慧金融领域的安全存储。

方案业务流程图

首先,安全控制模块采用大唐存储自主研发的DSS510存储控制器芯片,对密码安全技术进行升级改造, 该芯片按国密二级及EAL5+安全防护要求设计,具备高性能、高安全、稳定可靠的特点,是一款商用高安全等级的存储控制芯片。其采取了大量的安全措施,如内嵌电压检测器、频率检测器、温度检测器、光检测器、glitch检测器等模块,加解密时钟变频安全机制,防旁路攻击机制,内嵌真随机数发生器等有针对性的措施,可以充分保障安全。另外该产品算法接口丰富,既支持国密SM2、SM3、SM4算法,也支持国际RSA、AES、SHA系列算法,可以满足各种应用场景。

其次,采用大唐存储研发的硬件绑定技术与运行环境检测技术,来确保底层硬件、BIOS、操作系统的可信任性,实现安全启动。在硬件层面上,可绑定CPU序列号、MAC地址、主板序列号等硬件指纹,实现一盘一密,有效地防止硬盘被窃取后在其他平台上使用,从而防止数据泄露和保障硬件安全;在软件层面上,所有的软件运行环境和存储数据都加密保护在安全存储模块中,没有授权无法获取和修改,有效防止了软件环境恶意修改和数据泄露问题。

在加密运算引擎中应用国密算法,实现接入终端设备的身份认证与授权;在智能终端设备启动前通过硬件级别的认证来对使用者身份进行鉴别,可以有效的防止无权限人员的越权访问。对智能终端设备的内部敏感数据进行有效保护。此外根据具体需要支持带有硬件绑定功能的身份认证与授权功能,在对使用者身份进行验证的同时对运行硬件环境进行同步验证,此时无论是非法访问人员还是硬件环境改变都无法启动智能终端设备,达到保护数据安全的目的。

实现功能展示

1、实现SM2/3/4加密算法,满足国密2级和EAL5+要求;

2、配置电压检测器、频率检测器、温度检测器、电压毛刺检测器、和光检测器等,具备抵抗错误注入攻击的能力;

3、支持外部身份认证、颗粒级别数据加解密安全存储;

4、插入随机时序等手段打乱芯片运行的功耗特性,防止SPA/DPA旁路攻击。

方案案例及效果

案例1:智能银行网点

智能银行网点是集人工服务和自助银行服务于一身的创新型服务营销渠道。与传统银行网点不同,智能网点大部分的业务通过智能自助设备完成,通过系列智能化设备,将银行线上渠道与线下自助设备以及人工柜员联动起来,引入了 “智能自助+人工协助+无缝营销”创新的服务模式。该模式结合了安全加密SSD方案高度安全防拆解、防外部攻击、数据颗粒级别加密等技术得以快速实现并落地,传统银行网点由原来的 “隔窗式” 服务变为与客户的 “零距离’ 交流, 解决了当前渠道转型、人员结构调整、服务提升中的许多瓶颈问题,有效推动了网点经营转型的内涵式发展,实现网点智慧管理和价值创造;

案例2:自助发卡机

随着身份扫描识别技术、二代证阅读技术、指纹识别技术和音视频交互技术的成熟,以及大唐存储凭借多年的安全加密行业经验深入分析银行发卡业务在安全存储方面的需求和发展方向,推出的基于DSS510主控的安全加密SSD方案的落地,让银行自助发卡业务加快了业务高度集成化、多功能化、无人化操作的发展趋势。同时有效地解决银行网点柜台发卡压力,缓解了客户新开户领卡排队难、流程复杂等问题,提高银行卡发卡效率和发卡量,拓展银行卡业务发展,提升银行形象。

方案未来展望

随着信息化发展的不断开拓,产业全景逐步显现,全面覆盖硬件研发、系统集成、基础软件及应用、软件开发、行业解决方案落地、产业人才培养等关键要素。如何保护数据安全问题是政府、金融、工业互联网等行业客户最关注的部分。数据即资产,数据的安全保障会带来非常大的经济效益,每年因数据丢失、数据被黑客攻击等带来的损失非常大。

未来将在安全加密方面持续发力,不断提高产品的市场竞争力,从固件篡改方面着手提升固件安全性能,增加高标准的固件数字签名认证模块;从数据销毁方面,除了现有的一键软销毁解决方案,拓展安全级别更高的一键硬件销毁方案。

随着互联网、电信、党政系统对于信息安全技术的关注度愈发增强,未来该方案将不仅仅局限于金融行业,将会立足于金融,向更多的相关行业拓展开来,发展空间很大。