業務數據專用存儲系統的制作方法
【技術領域】
[0001]本發明涉及計算機技術領域,尤其涉及高保密業務數據存儲技術,具體是指一種業務數據專用存儲系統。
【背景技術】
[0002]隨著社會生活中各種應用信息系統的普及,信息系統也產生了大量的數據,對于一些保密性比較高的系統,數據安全顯得尤為重要。目前,多數系統所采取的安全措施有:文件級加密,這種針對非結構化的數據保護方式一般在網絡附加存儲NAS這一層嵌入實現,這種實現方式所帶來的最大問題在于性能的影響;數據庫加密,與文件級加密類似,數據庫加密針對結構化數據實現加密保護,但由于數據庫操作中設計大量查詢修改語句,因此數據庫加密會對系統造成重大影響。
【發明內容】
[0003]本發明的目的是克服了上述現有技術的缺點,提供了一種能夠實現的業務數據專用存儲系統。
[0004]為了實現上述目的,本發明的業務數據專用存儲系統具有如下構成:
[0005]該業務數據專用存儲系統,其主要特點是,所述的系統包括:
[0006]實現業務需求的子應用系統,用以用戶進行業務操作;
[0007]結構化數據存儲模塊,用以存儲業務操作過程中的結構化數據;
[0008]非結構化數據存儲模塊,用以存儲業務操作過程中的非結構化數據,且所述的非結構化數據存儲模塊中存儲的非結構化數據為基于存儲介質層加密后的加密數據。
[0009]進一步地,所述的非結構化數據存儲模塊設置有隨機數發生器、基于硬件的加密算法單元以及存儲單元。
[0010]更進一步地,所述的基于硬件的加密算法單元為AES算法單元、ECC算法單元、RSA算法單元、DES算法單元、3DES算法單元、SM2算法單元、SM3算法單元或者SM4算法單元。
[0011]更進一步地,所述的存儲單元包括隱藏區和公開區,所述的隱藏區和所述的公開區之間設置有物理隔離,且在系統關機、休眠或重啟狀態下,所述的隱藏區自動進入隱藏狀
??τ O
[0012]再進一步地,所述的子應用系統包括:
[0013]用戶信息識別模塊,用于獲取用戶信息及密碼,并將所述的用戶信息及密碼發送至非結構化數據存儲模塊;
[0014]所述的基于硬件的加密算法單元識別并判斷所述的用戶信息及密碼是否正確,并將識別結構反饋至所述的子應用系統。
[0015]采用了該發明中的業務數據專用存儲系統,增強信息系統業務數據的安全性,利用存儲介質中硬件實現的加密算法,來提升數據的讀寫效率,并防止因硬盤物理破解造成的業務數據泄露,該技術還可以提高系統在異常斷電時的可靠性,加密SSD支持SMART指令、全速命令隊列、碎片整理等功能,其雙分區物理隔離、隱藏分區的功能,可以很好的防止硬盤暴力破解,相比傳統的將業務數據直接存儲于硬盤中,業務數據專用存儲具有更高的安全性、穩定性、可靠性。
【附圖說明】
[0016]圖1為本發明的業務數據專用存儲系統的第一實施例的結構示意圖。
[0017]圖2為本發明的業務數據專用存儲系統的架構圖。
[0018]圖3為本發明的業務數據專用存儲系統的一種操作方法的步驟流程圖。
【具體實施方式】
[0019]為了能夠更清楚地描述本發明的技術內容,下面結合具體實施例來進行進一步的描述。
[0020]請參閱圖1至圖3所示,本發明給出了一種業務數據專用存儲系統,其基于存儲介質對數據進行加密,利用存儲介質內置的加密算法實現對系統業務數據的高效加密,既可以保證系統數據的安全,又不影響數據的讀寫效率。
[0021]本發明基于加密存儲介質,給出了一種業務數據專用存儲系統,其基本部署如圖1所示,系統可分為三部分:實現業務需求的子應用系統、結構化數據存儲模塊(數據庫存儲)、非結構化數據存儲模塊(業務數據專用存儲)。結構化數據存儲通過傳統的數據庫存儲應用信息系統中的部分數據,非結構化數據主要是一些密級較高的數據,采用加密SSD進行存儲。如圖2所示,其中SSD內置了采用硬件模塊實現的加密算法(包括AES、ECC、RSA、DES/3DES、SM2、SM3、SM4等)以及隨機數發生器,為非結構化的業務數據提供了芯片級的信息安全。本發明在存儲介質層對業務數據進行了加密存儲,在保證了讀寫速度的情況下,極大地提高了業務數據的安全性。請再次參閱圖1所示,為本發明的業務數據專用存儲系統的第一實施例的結構示意圖。本發明的業務數據專用存儲系統包括:
[0022]實現業務需求的子應用系統,用以用戶進行業務操作;
[0023]結構化數據存儲模塊,用以存儲業務操作過程中的結構化數據;
[0024]非結構化數據存儲模塊,用以存儲業務操作過程中的非結構化數據,且所述的非結構化數據存儲模塊中存儲的非結構化數據為基于存儲介質層加密后的加密數據。
[0025]在一種優選的實施方式中,所述的非結構化數據存儲模塊設置有隨機數發生器、基于硬件的加密算法單元以及存儲單元。
[0026]在一種優選的實施方式中,所述的基于硬件的加密算法單元為AES算法單元、ECC算法單元、RSA算法單元、DES算法單元、3DES算法單元、SM2算法單元、SM3算法單元或者SM4算法單元。
[0027]在一種優選的實施方式中,所述的存儲單元包括隱藏區和公開區,所述的隱藏區和所述的公開區之間設置有物理隔離。
[0028]在一種優選的實施方式中,所述的子應用系統包括:
[0029]用戶信息識別模塊,用于獲取用戶信息及密碼,并將所述的用戶信息及密碼發送至非結構化數據存儲模塊;
[0030]所述的基于硬件的加密算法單元識別并判斷所述的用戶信息及密碼是否正確,并將識別結構反饋至所述的子應用系統。
[0031]請參閱圖3所示,為本發明的業務數據專用存儲系統的一種操作方法的步驟流程圖。
[0032]系統用戶登錄子應用系統之前要先插入代表其個人的授權UKey,然后輸入個人密碼,系統在獲取個人密碼和終端用戶個人信息后,將這些信息發送至加密SSD (即非結構化數據存儲模塊),由存儲介質對用戶身份進行識別,并將識別結果返回給子應用系統。
[0033]用戶登錄子應用系統成功后,即可對子應用系統進行業務操作,業務操作過程中所產生的結構化數據存儲于數據庫(即結構化數據存儲模塊),非結構化數據存儲于加密SSD (即非結構化數據存儲模塊)中。
[0034]加密SSD(即非結構化數據存儲模塊)分為隱藏區和公開區,采用物理隔離,通過B1S密碼選擇分區。其中,隱藏區支持手動和自動兩種隱藏模式:
[0035]手動隱藏,即通過軟件對mSATA模塊的隱藏分區進行隱藏;
[0036]自動隱藏,即在系統重啟、關機、休眠、15分鐘無操作這四種情況下,mSATA模塊將自動隱藏。
[0037]用戶可以通過UKey對mSATA模塊的隱藏分區進行開啟,也可通過B1S密碼開啟。對于使用了 UKey的用戶,可以自由選擇將業務數據存儲于公共分區還是隱藏分區。
[0038]采用了該發明中的業務數據專用存儲系統,增強信息系統業務數據的安全性,利用存儲介質中硬件實現的加密算法,來提升數據的讀寫效率,并防止因硬盤物理破解造成的業務數據泄露,該技術還可以提高系統在異常斷電時的可靠性,加密SSD支持SMART指令、全速命令隊列、碎片整理等功能,其雙分區物理隔離、隱藏分區的功能,可以很好的防止硬盤暴力破解,相比傳統的將業務數據直接存儲于硬盤中,業務數據專用存儲具有更高的安全性、穩定性、可靠性。
[0039]在此說明書中,本發明已參照其特定的實施例作了描述。但是,很顯然仍可以作出各種修改和變換而不背離本發明的精神和范圍。因此,說明書和附圖應被認為是說明性的而非限制性的。
【主權項】
1.一種業務數據專用存儲系統,其特征在于,所述的系統包括: 實現業務需求的子應用系統,用以用戶進行業務操作; 結構化數據存儲模塊,用以存儲業務操作過程中的結構化數據; 非結構化數據存儲模塊,用以存儲業務操作過程中的非結構化數據,且所述的非結構化數據存儲模塊中存儲的非結構化數據為基于存儲介質層加密后的加密數據。2.根據權利要求1所述的業務數據專用存儲系統,其特征在于,所述的非結構化數據存儲模塊設置有隨機數發生器、基于硬件的加密算法單元以及存儲單元。3.根據權利要求2所述的業務數據專用存儲系統,其特征在于,所述的基于硬件的加密算法單元為AES算法單元、ECC算法單元、RSA算法單元、DES算法單元、3DES算法單元、SM2算法單元、SM3算法單元或者SM4算法單元。4.根據權利要求2所述的業務數據專用存儲系統,其特征在于,所述的存儲單元包括隱藏區和公開區,所述的隱藏區和所述的公開區之間設置有物理隔離,且在系統關機、休眠或重啟狀態下,所述的隱藏區自動進入隱藏狀態。5.根據權利要求4所述的業務數據專用存儲系統,其特征在于,所述的子應用系統包括: 用戶信息識別模塊,用于獲取用戶信息及密碼,并將所述的用戶信息及密碼發送至非結構化數據存儲模塊; 所述的基于硬件的加密算法單元識別并判斷所述的用戶信息及密碼是否正確,并將識別結構反饋至所述的子應用系統。
【專利摘要】本發明涉及一種業務數據專用存儲系統,所述的系統包括:實現業務需求的子應用系統,用以用戶進行業務操作;結構化數據存儲模塊,用以存儲業務操作過程中的結構化數據;非結構化數據存儲模塊,用以存儲業務操作過程中的非結構化數據,且所述的非結構化數據存儲模塊中存儲的非結構化數據為基于存儲介質層加密后的加密數據。采用該種結構的業務數據專用存儲系統,增強信息系統業務數據的安全性,利用存儲介質中硬件實現的加密算法,來提升數據的讀寫效率,并防止因硬盤物理破解造成的業務數據泄露。
【IPC分類】G06F21/78
【公開號】CN105224889
【申請號】CN201510662904
【發明人】吳松洋, 陳以山, 張濤, 符運輝, 張春麗, 李勛, 熊雄
【申請人】公安部第三研究所
【公開日】2016年1月6日
【申請日】2015年10月14日