基于国产平台自主可控安全存储系统设计与实现

电子设计工程

Electronic Design Engineering

第27卷Vol.27第1期No.12019年1月Jan.2019

收稿日期：2018-04-02

稿件编号：201804011

作者简介：郑寄平（1965—），男，浙江杭州人，高级工程师。研究方向：计算机应用。

网络信息时代，数据安全问题日益凸显。在社会的各领域当中，如政府机关的财政信息、军队系统的情报信息和内部核心技术、银行系统中的储蓄卡和信用卡网络信息、发展迅速的电子商务等，每天都有用户不断产生和交互大量的数据信息。数据作为信息系统的核心，数据安全是信息安全的核心内容。在信息系统中对数据进行有效保护，是对数据资源完整性、机密性、可用性的保护[1]。

从安全的角度看，敏感数据尤其是核心数据都应当被特殊对待，除了考虑数据在传输过程中的安全性，还应该考虑数据在存储系统中的安全性。而目前存储的趋势是数据存储和网络传输逐渐融合，因此存储系统中的数据资源遭到恶意攻击或者非法授权存取的几率大大提高。采用加密技术对计算机敏感通信数据进行加密，是提高信息安全的重要方法之一。特别是，近年来军用信息系统对重要数据进行加密存储已逐渐成为强制要求，然而国内基于加密存储阵列研发技术积累相对薄弱，目前的常规技术手段都是通过外接存储密码机实现数据加密，数据传输慢导致其性能存在明显缺陷。与此同时，党政信息系统使用的存储产品多以国外商用产品为主，信息安全存在严重隐患。因此，设计一种基于硬件的加解密系统应用在国产存储阵列上，用以实现对重要数据的保护是很有必要的。

综上所述，文中提出了一种基于国产平台的安全存储系统设计与实现架构。安全存储系统中的数据加解密由硬件系统完成，实现时可以采用FPGA

基于国产平台自主可控安全存储系统设计与实现

郑寄平，龚骁敏，于天琦

（中国电子科技集团有限公司第五十二研究所，浙江杭州310012）

摘要：随着存储技术和网络技术的飞速发展，数据的安全存储越来越受到国内科研院所、机关单位、军队系统的重视。数据是整个存储的核心部分，因此数据的加密和保护是安全存储的重点。而基于国产平台的存储阵列在国产化的背景下应用日益广泛，在军用市场方面应用尤为突出，因此对数据进行安全存储和加密设计显得更为重要。本文以国产平台存储阵列为加解密对象，设计了一种基于硬件加解密的安全存储系统，实现对存储阵列中核心数据的加密及保护。关键词：加解密；安全存储系统；存储阵列；数据保护中图分类号：TN918

文献标识码：A

文章编号：1674-6236（2019）01-0053-05

The design and realization of an independent controllable secure storage system

based on domestic platform

ZHENG Ji⁃ping ，GONG Xiao⁃min ，YU Tian⁃qi

（The 52nd Research Institute of China Electronic Technology Group Corporation ，Hangzhou 310012，China ）Abstract:With the rapid development of storage technology and network technology ，the safe storage of data has been paid more and more attention by domestic research institutes ，organ units and military systems.The data is the core of the entire storage ，and the encryption and protection of data is the focus of secure storage.And the storage array based on the domestic platform is gradually being applied in the context of localization ，especially in the face of the military market ，the secure storage and encryption

design of data is particularly important.In this paper ，the domestic platform storage array as the encrypted and decrypted object ，a data encryption and decryption security storage system based on hardware is designed to encrypt and protect the core data in the storage array.

Key words:encryption and decryption ；security storage system ；storage array ；data protection

《电子设计工程》2019年第1期

等方式。以FPGA 为例，硬件加解密模块工作时通过PCIE 总线将国产存储阵列接收的数据传输到安全加解密模块的缓存中，FPGA 从缓存中读取数据并启动加解密模块进行处理，处理后的数据存放至缓存中，最后通过PCIE 总线将处理后数据传回至存储阵列内存。

1数据的安全存储

存储系统作为海量数据的保存载体，是数据保护的最后一道防线。同时，随着存储系统由本地直连向着网络化和分布式的方向发展，并被网络上的众多计算机共享，使得存储系统更容易受到外部攻击，相对静态存储系统往往成为攻击者的首要目标，从而达到窃取、篡改或破坏数据的目的。因此，实现数据的安全存储显得尤为重要，数据安全存储主要包括存储安全技术、数据加解密技术等。文中提出的基于国产平台存储阵列的数据加解密系统正是基于上述两点进行开发、设计实现的。

随着国产CPU 的发展，X86平台的国产化替代已成为大势所趋，存储“国产化”成为实现存储安全技术的有效途径。而存储国产化的首要目标是自主可控、安全可靠。文中所提的国产双控存储阵列如图1所示，主控制器采用国产自主可控CPU 平台，通过自身研发设计，实现了存储系统从硬件到软件的完全自主研发、生产、升级、维护的全程可控，使国产存储阵列成为安全可靠的数据平台，为实现数据的

安全存储奠定良好基础。

图1国产双控存储阵列

另一方面，安全存储需要解决如何保证数据的安全性问题。而数据加解密技术是解决该问题的有效途径之一，同时也是数据安全存储的核心技术。在数据的安全存储中，利用加密技术将数据变为乱码存储，在使用数据的时候，应用解密技术将被加密数据还原。数据在存储和使用时在密文和明文状态两种方式切换，保证数据安全的同时又方便用户使用。

数据的加解密处理大致可以分为两类：软件加解密和硬件加解密。其中软件加解密的最大劣势是数据在加解密过程中需要占用大量系统资源导致加

解密速度缓慢且容易被破解；而硬件加解密一般采用专用加解密芯片代替软件，通过与主机进行数据交互，由硬件加解密模块完成数据加解密工作。硬件加解密数据的方式具备速度快、占用系统资源少、数据加解密安全可靠等优势。综合考虑，文中以基于AES 算法和FPGA 的硬件加解密模块为例，阐述如何实现对存储阵列中的数据进行安全保护[2]。

2

基于国产平台的安全存储系统总体

架构

文中以国产存储阵列为基础，加入基于FPGA

硬件加解密的安全存储模块和存储软件，从而实现对国产存储阵列中数据进行安全保护。基于国产平台的安全存储系统用户读写IO 流程图如图2所示（黑双向箭头表示IO 流向），FPGA 硬件加解密模块与软件加解密模块（图2中虚框部分）位于同一位置层级，通过所设计的硬件加解密模块取代软件加解

密模块完成对存储阵列中数据的加解密操作。

图2数据加解密用户读写IO 流程简图

基于国产平台的安全存储系统，采用集成硬件加解密模块的方式实现。其架构如下图所示。

安全存储系统由基于国产平台的存储阵列和数据加解密模块组成。国产存储阵列为基于国产CPU 平台设计的统一存储平台，技术趋于成熟，文中不再赘述；数据加解密模块以国产存储阵列为载体，通过PCIE 总线与存储阵列的控制器进行通信，用于实现加解密模块中FPGA 芯片与存储阵列控制器之间的

数据、密钥传输。