查看原文
其他

信创安全 | 金融行业安全存储解决方案

合肥大唐存储 信创纵横
2024-10-31

点击 信创纵横 并设为星标⭐️ 及时获取最新资讯

编者按:该方案基于大唐存储存储控制芯片DSS510开发完成,该芯片支持多芯片合一的超聚合国际领先新技术,产品从传统2核8通道突破到4核12通道使产品的读写性能赶超国际一线品牌,基于DSS510研发的固态硬盘产品可应用于金融、教育、电信、交通等行业领域。数据加密密钥用于对硬盘上的数据进行加密解密,实现颗粒级别的加密技术让破解者即使通过拆机读取颗粒数据也束手无策



编辑|信创纵横公众号(ID:xinchuangzh)出品 | 安东工作室来源|合肥大唐存储转载|请注明出处

01

解决方案基本概述


1.1方案概述

该方案基于大唐存储存储控制芯片DSS510开发完成,该芯片支持多芯片合一的超聚合国际领先新技术,产品从传统2核8通道突破到4核12通道使产品的读写性能赶超国际一线品牌,基于DSS510研发的固态硬盘产品可应用于金融、教育、电信、交通等行业领域。

安全加密SSD维护2套密钥,一套用于身份认证,一套用于加密硬盘数据。身份认证密钥用于对硬盘的使用者身份进行认证,未能通过认证的主机将无法获取SSD的任何信息和内容,本系统任何外部认证功能均使用该密钥进行。数据加密密钥用于对硬盘上的数据进行加密解密,实现颗粒级别的加密技术让破解者即使通过拆机读取颗粒数据也束手无策。

1.2方案背景

在数字化转型加速与新基建东风的助推下,数据与计算产业迎来蓬勃发展。与此同时,随着国际大环境的变化,数据安全是网络安全的底线,也是信创产业发展的重中之重,国产自主也成为了产业发展的重要态势。

数据加密存储通常是通过系统级别的全盘加密或分区加密形式进行,一定程度上保证了数据的安全性,但是依然可以通过拆解硬盘、外部攻击等方式来破解。而过去的数据加密硬盘并不具备外部身份认证功能,增加了数据保护的难度。

02

解决方案总体架构及说明


2.1方案目标

该方案通过外部身份认证、颗粒级别的全盘数据加密、高度安全国密2级加密算法和硬件来保证信息安全不受侵犯,最终实现产品的安全级别可满足国密2级和EAL5+的要求。

2.1.1方案特点

在金融数据加密保护方面,大唐存储存储控制器芯片DSS510全球首家通过国家密码管理局密码认证芯片类安全二级认证并全球首家通过国家金融科技测评中心的金融数据存储芯片安全增强级检测,实现了在存储控制器芯片领域推出全球“双首家”高安全认证产品,并将于2022年陆续推出基于该款芯片的DTS510S和DTS510P系列固态硬盘新产品,后续将重点金融信创领域的业务增值目标。

  • 4核心12通道DSS510主控,强大的读写性能;
  • 支持SM2/3/4加密算法,可对抗外部攻击,满足国密2级、EAL5+技术要求;
  • 支持外部身份认证、颗粒级别的数据加密存储。

SSD硬盘的信息安全对所有用户而言正变得越来越重要,尤其是政府、教育、金融和医疗行业的用户,经营过程中收集到的客户资料信息包括身份证、银行卡号、手机号、住址等个人信息必须进行严格保护,数据加密存储是一个必不可少的环节,特别是在开发、测试过程中可能会使用到真实生产数据时。随着该方案的落地和量产,大唐存储将携手金融科技产业供应链厂商精诚合作,共同推进智慧金融领域的安全存储。

03

解决方案功能模块介绍


3.1安全控制器模块

安全控制模块采用大唐存储自主研发的DSS510存储控制器芯片,对密码安全技术进行升级改造, 该芯片按国密二级及EAL5+安全防护要求设计,具备高性能、高安全、稳定可靠的特点,是一款商用高安全等级的存储控制芯片。其采取了大量的安全措施,如内嵌电压检测器、频率检测器、温度检测器、光检测器、glitch检测器等模块,加解密时钟变频安全机制,防旁路攻击机制,内嵌真随机数发生器等有针对性的措施,可以充分保障安全。另外该产品算法接口丰富,既支持国密SM2、SM3、SM4算法,也支持国际RSA、AES、SHA系列算法,可以满足各种应用场景。


3.2硬件绑定与运行环境检测

采用大唐存储研发的硬件绑定技术与运行环境检测技术,来确保底层硬件、BIOS、操作系统的可信任性,实现安全启动。在硬件层面上,可绑定CPU序列号、MAC地址、主板序列号等硬件指纹,实现一盘一密,有效地防止硬盘被窃取后在其他平台上使用,从而防止数据泄露和保障硬件安全;在软件层面上,所有的软件运行环境和存储数据都加密保护在安全存储模块中,没有授权无法获取和修改,有效防止了软件环境恶意修改和数据泄露问题。

3.3加密运算

在加密运算引擎中应用国密算法,实现接入终端设备的身份认证与授权;在智能终端设备启动前通过硬件级别的认证来对使用者身份进行鉴别,可以有效的防止无权限人员的越权访问。对智能终端设备的内部敏感数据进行有效保护。此外根据具体需要支持带有硬件绑定功能的身份认证与授权功能,在对使用者身份进行验证的同时对运行硬件环境进行同步验证,此时无论是非法访问人员还是硬件环境改变都无法启动智能终端设备,达到保护数据安全的目的。

04

实现功能展示


  • 实现SM2/3/4加密算法,满足国密2级和EAL5+要求;

  • 配置电压检测器、频率检测器、温度检测器、电压毛刺检测器、和光检测器等,具备抵抗错误注入攻击的能力;

  • 支持外部身份认证、颗粒级别数据加解密安全存储;

  • 插入随机时序等手段打乱芯片运行的功耗特性,防止SPA/DPA旁路攻击。

05

解决应用方案应用案例


5.1智能银行网点


智能银行网点是集人工服务和自助银行服务于一身的创新型服务营销渠道。与传统银行网点不同,智能网点大部分的业务通过智能自助设备完成,通过系列智能化设备,将银行线上渠道与线下自助设备以及人工柜员联动起来,引入了 “智能自助+人工协助+无缝营销”创新的服务模式。


该模式结合了安全加密SSD方案高度安全防拆解、防外部攻击、数据颗粒级别加密等技术得以快速实现并落地,传统银行网点由原来的 “隔窗式” 服务变为与客户的 “零距离’ 交流, 解决了当前渠道转型、人员结构调整、服务提升中的许多瓶颈问题,有效推动了网点经营转型的内涵式发展,实现网点智慧管理和价值创造。


5.2自助发卡机


随着身份扫描识别技术、二代证阅读技术、指纹识别技术和音视频交互技术的成熟,以及大唐存储凭借多年的安全加密行业经验深入分析银行发卡业务在安全存储方面的需求和发展方向,推出的基于DSS510主控的安全加密SSD方案的落地,让银行自助发卡业务加快了业务高度集成化、多功能化、无人化操作的发展趋势。


同时有效地解决银行网点柜台发卡压力,缓解了客户新开户领卡排队难、流程复杂等问题,提高银行卡发卡效率和发卡量,拓展银行卡业务发展,提升银行形象。

06

相关产品列表介绍


6.1 DSS510主控

6.1.1 主要性能指标

  • 4核CPU
  • DRAM:  DDR4@1600, 32bit, 4 Rank, (2GB per rank);DDR3@1600, 32bit, 4 Rank;DDR3L@1600, 32bit, 4 Rank。
  • 支持主控接口有PCI-e Gen3*4、SATA Gen3 、NVMe 1.3、SR-IOV*1等;
  • FLASH接口Toggle 3.0 和ONFI 4.0 (800MT/s 支持电压域1.8/1.2v);
  • 支持12 路FLASH读写通道,可支持FLASH最大容量8T;
  • 纠错方式支持2K-LDPC 及 BCH纠错方式;
  • 安全技术:国密算法支持SM1/SM2/SM3/SM4,国际算法支持AES256,SHA1 / SHA256/ SHA512,RSA2048, RSA4096,ECC521,安全加密技术OPAL TCG 2.0;
  • 外设接口有SPI Master/Slave (40Mbps)* 3,UART * 2,I2C Master/Slave * 1,SMBus Master/Slave * 1,GPIO * 10 (支持 INT),SW JTAG for ARM CPU,SW JTAG for Andes CPU。

6.2 安全加密SSD

6.2.1 安全加密SSD产品特点

本产品实现了身份认证及数据传输加密、数据终端运行环境安全、数据存储等的数据安全多功能合一,具有以下优点:

  • 安全性
  • 模块具有可靠的证书鉴权功能,充分保证了使用者身份可靠。
  • 利用国密算法加密,保证了数据传输和存储的安全性。
  • 模块的密钥数据及证书存在模块内部,安全性更强。


  • 可靠性

  • 利用身份信息鉴权机制,保证了使用者身份信息可靠。
  • 密钥设置的鉴权机制,保证了密钥的可靠性。

  • 灵活性

  • 外围电路简单,与通用的固态存储硬盘相同,可灵活使用,适用于多种环境。
  • 可配置的接口(如PCIe、SATA、USB、SPI、I2C 等)较多,可以和不同的主机进行数据交互,灵活性较强。
  • 空间占用小,实现产品小型化。身份识别、数据传输、终端数据环境防护、数据存储的多芯片及其配件的多合一整合。

  • 高效性

  • 控制器芯片高速多核处理器技术,大幅提升了身份识别、数据传输加密、终端安全环境保护的处理性能。


  • 低成本
  • 多芯片合一,节省了多颗芯片及其配件成本;

  • 多芯片功能整合在在一个固态硬盘等存储产品中,节省了原有多颗芯片的配件成本。


07

解决方案联系方式


方案最终解释权归合肥大唐存储所有,如需进一步沟通请联系010-58140540


更多解决方案请扫二维码
——如果你觉得不错,点个在看吧。

END

  

点击图片查看完整内容:


继续滑动看下一个
信创纵横
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存