摘要：综合应用SM2、SM3、SM4等国密标准算法，为数据中心的原有SAN环境提供数据透明加密存储，可有效防病毒、防窃取、防丢失，保护核心数据安全。基于CIFS、NFS文件共享协议解析，为原有NAS存储环境提供文件的访问控制和审计日志，可有效降低非法访问、越权访问等带来的敏感数据泄露风险。以标准存储协议为技术核心能兼容复杂多变的存储环境，兼容主流存储设备。

关键词：加密存储、文件审计、大数据、国密应用

1. 概述

1.1 背景

中创为量子安全存储网关系列产品，专为数据高度敏感用户提供基于国密算法SM4的SAN存储数据加解密及NAS存储的审计功能，由管理中心、存储网关和量子随机数发生器组成。管理中心提供web集中管理多台存储网关功能，所有的配置信息、日志信息及密钥信息由管理中心统一存储；网关负责真正核心业务数据的处理；量子随机数发生器提供真随机数作为密钥。

管理中心使用基于x86架构的工控机，部署自主研发的管理程序，具备管理多台网关的处理能力；存储网关使用基于x86架构的刀片服务器，部署自主研发的安全存储网关软件，具备SAN数据安全的加密功能和NAS审计功能；量子随机数发生器使用中创为自研量子设备。支持的协议包括：iSCSI、FC存储网络协议，SMBv2、NFSv3、NFSv4文件共享协议。

1.2 目标

量子安全存储网关产品适用于各类数据的安全加密存储，主要目标包括以下几点：

1. 数据私密性保障

文件采用明文的方式存储在硬盘上，存在安全隐患，需要加密存储。

2. 访问控制权限

对SAN和NAS的访问权限没有统一的控制或根本没有访问控制，非常容易造成越权访问或非法访问，需要有完善的访问控制管理；

3. 访问审计

对文件的访问没有留下记录，无法审计用户操作记录，需要提供文件访问日志记录。

2. 需求分析

随着信息时代得到来，人们对于数据安全和个人隐私越加重视。海量数据的存储为人工智能和大数据分析提供了基础，不断发展的存储技术为我们生活带来了极大便利，但安全问题也在时时困扰着我们，病毒、黑客的猖獗，各种威胁之声不断传出。数据安全问题成为了各界关注的重点问题，很多机密文件一旦被黑客窃取或泄露，损失是不可想象的，重则可能威胁到国家的安全。数据安全在一定程度上依赖于数据的安全存储。党的十九大报告中，习近平总书记明确提出了建设网络强国、数字中国的战略目标，提出推动互联网、大数据、人工智能和实体经济深度融合，促进传统产业优化升级。在这种形势下，各类信息系统正在快速发展建设，信息系统产生的敏感业务数据也越来越多，信息系统面对的来自内部和外部的的安全风险也大大增加。威胁存储安全的根源在于存储介质中的数据是以明文方式保存的，这使得入侵者可以轻易地非法获取和篡改数据，应对这种威胁的有效方法就是使用密码技术对存储在介质中的数据进行加密保护。基于以上相关背景，我公司凭借扎实的技术积累，自主研制了安全存储网关产品，为数据安全存储提供密码保护和支撑。

3. 方案架构

3.1产品架构

安全存储网关产品由以下组件构成：

存储网关：采用刀片堆叠的网关节点设计，每个节点提供万兆的加密性能，适应不同存储容量的数据加解密；

集中管理中心：采用X86平台，多核架构，提供网关节点的集中管理于策略设置，简化运维；

量子随机数发生器：基于测量脉冲激光器相位噪声的方式生成真随机数，体积小，使用方便。

3.2部署说明

图1 AN存储架构典型部署拓扑图

图2 NAS存储架构典型部署拓扑图

3.3主要功能

1) SAN存储环境下基于国密SM4算法的高性能数据加解密功能；

2) 支持SAN逻辑磁盘一对一、一对多、多对多访问控制；

3) NAS存储环境下详细的文件访问控制和审计功能；

4) 图形化管理界面，支持刀片网关节点集中化管理；

5) 支持存储多路径。

3.4技术指标

1.集中管理中心

（1）外部接口指标

（2）物理特性

1)体积：宽440mm×高44mm×深450mm；

2)重量：＜5kg。

（3）电气特性

1)控制电源：交流100V～240V，300W；

2)功耗：80W。

（4）环境指标

1)工作温度：0°C～+40°C；

2)存储温度：-20°C～+60°C；

3)湿    度：10%～80% 。

2.存储网关

（1）外部接口指标

（2）主要性能

1) 最大加解密带宽：20Gpbs；

2) 平均加解密时延：＜3ms。

（3）物理特性

1) 体积：宽448mm×高175.5mm×深898.2mm；

2) 重量：61kg。

（4）电气特性

1) 控制电源：交流100V～240V；

2) 功耗：200w。

（5）环境指标

1) 工作温度：5°C～+40°C；

2) 存储温度：-40°C～+55°C；

3) 湿    度：10%～90%。

4) 

3.量子随机数发生器

（1）外部接口指标

（2）主要性能

随机数实时生成速率：500Mbps～2Gbps。

（3）物理特性

Ø 体积：宽217 mm×深139mm×高41mm；

Ø 重量：＜2kg。

（4）电气特性

1) 控制电源：交流20v；

2) 功耗：30W。

4. 方案特色

3 

4.1存储多样化支持 

对已有存储系统的环境可使用网关形态的方式部署，无需改变现有的存储架构，可无缝接入现有环境；对没有存储系统的环境可使用安全存储网关提供的磁盘构造 SAN 环境对外提供存储空间。

多存储协议支持：IP SAN、FC SAN、CIFS、NFS。

双重映射实现 SAN 数据加解密 

SAN 存储架构使用的是 C/S 模型（通常称为启动器/目标器），在存储网关上同时实现了启动器和目标器功能。使用启动器将第三方存储或本地存储映射到本地，完成第一重映射；使用目标器将映射到本地的设备作为目标再对外映射出去，完成第二重映射。双重映射技术使得数据加解密使得无论是什么格式的数据或操作系统都能完全兼容，数据加解密达到和应用、系统的无关性。

4.2高适应性 

安全存储网关采用存储虚拟化技术和加密技术，在不改变现有业务和网络结构的基础之上，透明的解决了数据存储与访问的安全性问题，对保护企、事业单位的既有投资、快速解决信息系统合规性提供了灵活的解决方案与产品实现。

4.3高灵活性 

基于紧凑的刀片结构，灵活的解决了系统扩容。同时支持存储阵列与存储网关模式，支持 NAS 审计与权限管理，一劳永逸解决数据存储、访问安全问题。

5. 适用领域

该项目主要用于政府、部队、企事业部门和行业加密存储服务，适用范围包含但不局限于以下领域：

(一) 数据中心数据加密存储；

（二）具有重要核心业务数据和敏感数据单位的数据加密存储；

6. 应用案例

4 

5 

实施单位：陕西烽火通信集团有限公司

需求：客户使用浪潮的磁盘网关构建的SAN环境和NAS环境，需要对磁盘网关中的数据加密存储及对NFS共享文件访问有详细日志记录。

运行状况：安全存储网关采用网关模式部署，能完全适配客户存储环境，系统运行稳定，SAN加密和NFS文件访问审计均工作正常。

中创为（成都）量子通信技术有限公司

联系人：黄成

电  话：13608180453