CN109558340A - 一种基于可信认证的安全固态盘加密系统及方法 - Google Patents
一种基于可信认证的安全固态盘加密系统及方法 Download PDFInfo
- Publication number
- CN109558340A CN109558340A CN201811358906.5A CN201811358906A CN109558340A CN 109558340 A CN109558340 A CN 109558340A CN 201811358906 A CN201811358906 A CN 201811358906A CN 109558340 A CN109558340 A CN 109558340A
- Authority
- CN
- China
- Prior art keywords
- module
- key
- state disk
- encryption
- storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于可信认证的安全固态盘加密系统及方法,属于信息安全技术领域。本发明中,安全固态盘的加密密钥采用多层次保护机制,存储密钥由可信模块动态生成,用存储密钥加密加密密钥,加密密钥以密文形式保存在存储模块的隐藏区中,用户不可见,提高了安全固态盘加密系统的安全性。安全固态盘加载之前必须首先经过身份认证,且用户身份认证基于可信模块完成,不可旁路和作弊,进一步提高了安全固态盘加密系统的安全性。更新安全固态盘加密系统所有者时,只需更新可信模块内的用户信息和隐藏区的加密密钥密文,数据区的数据不需更新,极大提高了系统所有者更新时的处理效率。
Description
技术领域
本发明属于信息安全技术领域,具体涉及一种基于可信认证的安全固态盘加密系统及方法。
背景技术
现有安全固态盘加密系统大致可分为两类:一类是基于软加密系统实现,一类是硬加密系统实现。在软加密系统中,通常是在硬盘与主机之间放置加密系统,对计算机硬盘和主机之间传输的数据进行加解密,达到硬盘数据加密的目标,但这种方法占用宿主机资源,影响业务系统性能。硬加密系统通常是将加密系统集成在固态盘上,位于固态盘对外接口模块与存储控制器之间,实现对进/出存储模块数据的加解密。对于安全性相对较高的硬加密系统,由于密钥存储在固态盘中,在密钥的保存、管理和传输上存在风险,攻击者可通过攻击固态硬盘中存放密钥的存储介质来非法手段获得密钥,从而实现密文的破解。
随着安全固态盘产品的出现,其针对知识产权保护的专利也相继被提出。如:武汉固捷联讯科技有限公司的专利申请“一种固态硬盘安全加密系统”(公开号:CN101788959A)中,提出了一种基于密钥和身份认证系统的固态硬盘安全加密系统,将密钥存储在固态硬盘以外的密钥存储介质上(如USBKey或其他存储设备或服务器),使得密钥与主机、固态硬盘分离,提高了固态硬盘安全加密系统的安全性。又如,武汉讯存科技有限公司的专利申请“一种固态盘加密方法和系统”(公开号:CN104090853A)中,提出了一种固态盘加密方法,将固态盘的物理地址空间划分为一个只读的公开区和若干个加密区,公开区中存放认证系统,用来建立用户、密钥和固态盘之间的安全连接,并将密钥导入固态盘。该发明利用固态盘内部固有的映射机制实现加密分区的隐藏和切换以及认证系统的植入,从而实现灵活的密钥导入功能,并支持多用户的分别加密。这些安全盘的加密密钥不管存储在何种介质上,都以明文形式完整保存,存在被窃取的可能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何设计一种基于可信认证的安全固态盘加密系统,加强对加密密钥的保护,提高安全盘的安全性。
(二)技术方案
为了解决上述技术问题,本发明提供了一种基于可信认证的安全固态盘加密系统,包括可信模块和安全固态盘两大组件;
其中所述可信模块又包括可信认证模块1、密钥生成模块2、第一算法引擎模块3和安全存储模块4;所述安全固态盘包括密钥合成模块6、密钥管理模块7、第二算法引擎模块8、对外接口模块5、固态盘控制器模块9和存储模块,存储模块分为隐藏区10和数据区11两部分;
基于可信认证的安全固态盘加密系统在可信认证通过之前禁止安全固态盘的加载;安全固态盘的密钥由存储密钥和加密密钥组成,采用存储密钥动态生成、用存储密钥加密加密密钥、加密密钥密文隐藏保存这些多级密钥保护机制;安全固态盘加密系统所有者更新由更新用户身份信息和加密密钥密文实现;
所述可信模块采用支持二次开发的密码芯片实现,可信认证模块1运行在密码芯片内部微处理器上,用于完成用户身份认证、用户身份信息的更新,以及用户身份信息特征值的提取工作;密钥生成模块2也运行在芯片内部的微处理器上,用于根据用户身份信息特征值,调用第一算法引擎模块3中的密钥生成算法动态生成存储密钥分量一;密码芯片内部的第一算法引擎模块3用于对外提供密码服务;从密码芯片内部非易失性存储器中划分出一段空间作为所述安全存储模块4,用于提供合法用户身份信息的非易失性存储;
所述密钥合成模块6、密钥管理模块7和第二算法引擎模块8三大安全模块,用于实现对数据的加解密和密钥的安全管理,这三个安全模块采用支持二次开发的密码芯片实现;或采用可编程门阵列实现,其中,密钥合成模块6用于通过调用第二算法引擎模块8提供密码算法实现存储密钥分量一和存储密钥分量二的有机合成,形成完整的存储密钥明文;密钥管理模块7用于调用第二算法引擎模块8提供的加密算法实现加密密钥的加解密、密钥数据的提取与更新功能;第二算法引擎模块8则提供密码服务,为存储密钥的合成、加密密钥的加解密、用户数据的加解密提供算法支持;对外接口模块5用于实现安全固态盘各类对外接口总线上数据包接收与转发,实现读写数据包、控制指令的输入/输出;固态盘控制器模块9用于实现Sata报文的转发;存储模块用于实现数据的非易失性存储,并根据用户是否可见划分为隐藏区10和数据区11,其中隐藏区10对用户不可见,用于存储加密密钥密文和存储密钥分量二,数据区11用于存储用户数据和系统数据,当写数据请求包经对外接口模块5进入安全固态盘后,由第二算法引擎模块8用加密密钥加密后传递给固态盘控制模块9,由其写入相应的存储模块的数据区11中;同样地,当数据从数据区11读取后,由安全固态盘控制模块9传至第二算法引擎模块8,第二算法引擎模块8根据密钥进行解密后,通过对外接口模块5传送给应用系统或用户。
优选地,所述可信模块内部集成密码算法引擎、真随机数发生器、微处理器、RAM和非易失性存储器。
本发明还提供了一种所述的安全固态盘加密系统所有者更新的方法,包括以下步骤:
步骤1.基于可信认证的安全固态盘加密系统完成启动过程,进入正常工作状态,如果系统已启动,则直接略过步骤1而进入步骤2;否则,若系统启动成功时,则执行步骤2,若启动失败,则结束;
步骤2.可信认证模块1接收所有者更新指令和新用户身份信息,并对接收的新用户身份信息进行有效性验证,如果验证成功,则执行步骤3;否则结束;
步骤3.可信认证模块1将新用户信息经第一算法引擎模块3提供的密码运算后保存到可信模块的安全存储模块4中,完成新用户信息的更新,如果用户信息更新成功,则执行步骤4;否则结束;
步骤4.可信认证模块1提取新用户身份信息的特征值并向密钥管理模块7发送密钥更新指令,密钥生成模块2基于可信模块内部的第一算法引擎模块3为新用户生成新的存储密钥分量一,如果存储密钥分量一动态生成成功,则执行步骤5;否则结束;
步骤5.密钥合成模块6从对外接口模块5接收步骤4新生成的存储密钥分量一,从存储模块的隐藏区10中读取存储密钥分量二,通过第二算法引擎模块8执行密钥合成操作,合成存储密钥,如果存储密钥合成成功,则执行步骤6;否则结束;
步骤6.密钥管理模块7从对外接口模块5接收密钥更新指令,用步骤5新合成的存储密钥调用第二算法引擎模块8的加解密算法对已解密的加密密钥重新加密,通过固态盘控制器模块9保存到隐藏区10中,替换原加密密钥密文,完成加密密钥密文数据的更新,如果加密密钥密文更新失败,则结束。
优选地,步骤1中,安全固态盘加密系统的启动步骤具体为:
步骤11.计算设备上电,可信模块控制安全固态盘的加载;
步骤12.可信认证模块1完成用户身份的可信认证,如果认证成功,则加载并启动安全固态盘,执行步骤13;否则结束;
步骤13.可信认证模块1、密钥生成模块2和密钥合成模块6相互合作,共同完成存储密钥的动态生成,如果存储密钥生成成功,则执行步骤14,否则结束;
步骤14.密钥管理模块7从隐藏区10中读取加密密钥密文,调用第二算法引擎模块8中的加解密算法用步骤13生成的存储密钥解密,获得加密密钥明文,如果解密成功,则执行步骤15;否则结束;
步骤15.对于输入报文,对外接口模块5接收写数据报文并传递给第二算法引擎模块8,第二算法引擎模块8用步骤14解密后的加密密钥对写数据报文进行加密得到密文数据,通过固态盘控制器模块9写入数据区11中;或对预输出的读数据报文,第二算法引擎模块8对从数据区11中读取的数据密文,用加密密钥解密后,通过对外接口模块5传递给用户或上层系统。
优选地,步骤12中,可信认证模块1完成用户身份的可信认证的具体为:
步骤121.可信认证模块1等待用户输入认证请求和身份信息,并进行有效性验证,如果认证请求或身份信息有效,则进行步骤122;否则继续等待;
步骤122.可信认证模块1从安全存储模块4中提取合法用户身份信息,调用第一算法引擎模块3进行认证操作,如果认证通过,则加载并启动安全固态盘;否则,返回步骤121。
优选地,步骤13中,可信认证模块1、密钥生成模块2和密钥合成模块6相互合作,共同完成存储密钥的动态生成具体为:
步骤131.可信认证模块1从用户输入的身份信息中提取身份特征值,如果特征值提取成功,则执行步骤132;否则结束;
步骤132.密钥生成模块2根据用户身份特征值,调用可信模块内的第一算法引擎模块3执行密钥生成操作,生成存储密钥分量一,如果存储密钥分量一生成成功,则执行步骤133,否则结束;
步骤133.密钥合成模块6通过对外接口模块5接收密钥生成模块2输出的存储密钥分量一,同时从存储模块的隐藏区10中读取存储密钥分量二,通过第二算法引擎模块8执行密钥合成操作,合成存储密钥,如果密钥合成成功,则将存储密钥提交给密钥管理模块7保管,完成存储密钥合成操作;否则结束。
(三)有益效果
本发明中,安全固态盘的加密密钥采用多层次保护机制,存储密钥由可信模块动态生成,用存储密钥加密加密密钥,加密密钥以密文形式保存在存储模块的隐藏区中,用户不可见,提高了安全固态盘加密系统的安全性。安全固态盘加载之前必须首先经过身份认证,且用户身份认证基于可信模块完成,不可旁路和作弊,进一步提高了安全固态盘加密系统的安全性。更新安全固态盘加密系统所有者时,只需更新可信模块内的用户信息和隐藏区的加密密钥密文,数据区的数据不需更新,极大提高了系统所有者更新时的处理效率。
附图说明
图1是本发明的基于可信认证的安全固态盘加密系统的组成及启动流程示意图;
图2是本发明的基于可信认证的安全固态盘加密系统的所有者更新流程示意图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
如图1所示,本发明提供的一种基于可信认证的安全固态盘加密系统,包括可信模块和安全固态盘两大组件;其中可信模块又包括可信认证模块1、密钥生成模块2、第一算法引擎模块3和安全存储模块4;安全固态盘由密钥合成模块6、密钥管理模块7、第二算法引擎模块8、对外接口模块5、固态盘控制器模块9和存储模块,存储模块分为隐藏区10和数据区11两部分。
基于可信认证的安全固态盘加密系统在可信认证通过之前禁止安全固态盘的加载;安全固态盘的密钥由存储密钥和加密密钥组成,采用存储密钥动态生成、用存储密钥加密加密密钥、加密密钥密文隐藏保存等多级密钥保护机制;安全固态盘加密系统所有者更新由更新用户身份信息和加密密钥密文实现。
如图1所示,可信模块可采用支持二次开发的密码芯片实现,芯片内部集成密码算法引擎、真随机数发生器、微处理器、RAM和非易失性存储器,支持合法用户信息的安全存储。可信认证模块1运行在密码芯片内部微处理器上,用于完成用户身份认证、用户身份信息的更新,以及用户身份信息特征值的提取工作;密钥生成模块2也运行在芯片内部的微处理器上,用于根据用户身份信息特征值,调用第一算法引擎模块3中的密钥生成算法动态生成存储密钥分量一;密码芯片内部的第一算法引擎模块3用于对外提供加解密、杂凑运算等密码服务,为用户身份认证、密钥生成提供算法支撑;从密码芯片内部非易失性存储器中划分出一段空间作为所述安全存储模块4,用于提供合法用户身份信息的非易失性存储,因其保存在芯片内部,受物理保护。
如图1所示,安全固态盘在通用固态盘基础上增加了密钥合成模块6、密钥管理模块7和第二算法引擎模块8三大安全模块,实现对数据的加解密和密钥的安全管理。这三个安全模块可采用支持二次开发的密码芯片,借助其芯片内部的算法引擎和设备定制开发的软件模块实现;也可采用可编程门阵列(FPGA),借助算法IP核和逻辑编程实现。不管采用何种方式实现,各模块都需要实现各自的功能。其中,密钥合成模块6用于通过调用第二算法引擎模块8提供密码算法实现存储密钥分量一和存储密钥分量二的有机合成,形成完整的存储密钥明文;密钥管理模块7用于调用第二算法引擎模块8提供的加密算法实现加密密钥的加解密、密钥数据的提取与更新功能;第二算法引擎模块8则提供加解密、杂凑运算等密码服务,为存储密钥的合成、加密密钥的加解密、用户数据的加解密提供算法支持;对外接口模块5用于实现安全固态盘各类对外接口总线上数据包接收与转发,包括Sata总线、I2C总线、GPIO控制总线等,实现读写数据包、控制指令等的输入/输出;固态盘控制器模块9用于实现Sata报文的转发;存储模块用于实现数据的非易失性存储,并根据用户是否可见划分为隐藏区10和数据区11,其中隐藏区10对用户不可见,用于存储加密密钥密文和存储密钥分量二,数据区11用于存储用户数据和系统数据。当写数据请求包经对外接口模块5进入安全固态盘后,由第二算法引擎模块8用加密密钥加密后传递给固态盘控制模块9,由其写入相应的存储模块的数据区11中;同样地,当数据从数据区11读取后,由安全固态盘控制模块9传至第二算法引擎模块8,第二算法引擎模块8根据密钥进行解密后,通过对外接口模块5传送给应用系统或用户。
基于可信认证的安全固态盘加密系统在通过用户身份可信认证之前禁止安全固态盘的加载和启动。基于可信认证的安全固态盘加密系统由可信模块和安全固态盘两大组件组成,系统上电后,可信模块通过GPIO控制总线控制安全固态盘的加载与启动;可信模块内部的可信认证模块1等待用户输入身份信息,执行可信认证操作。可信模块内部采用多因子身份认证,综合用户输入的身份信息和可信模块内部安全存储模块4中的合法用户身份信息,调用第一算法引擎模块3提供的密码算法进行用户身份的验证操作,提高认证的可信性。对于用户输入的身份信息可采用多种方式,如用户口令、指纹、指静脉等生物特征。只有在成功验证用户身份的合法性之后,可信模块释放安全固态盘的加载控制线,安全固态盘才开始执行加载和启动工作。本实施例的目的是通过加密系统与用户的交互,验证用户身份的合法性和可信性,进而为其分配相应的安全固态盘的访问权限和加密系统所有者更新权限。
所述安全固态盘加密系统用户身份可信认证的具体步骤为:
步骤1.可信认证模块1等待用户输入认证请求和身份信息,并进行有效性验证。如果认证请求或身份信息有效,则进行步骤2;否则继续等待。
步骤2.可信认证模块1从安全存储模块4中提取合法用户身份信息,调用第一算法引擎模块3进行认证操作,如果认证通过,则加载并启动安全固态盘;否则,返回步骤1。
基于可信认证的安全固态盘加密系统的密钥由存储密钥和加密密钥组成,采用存储密钥动态生成、用存储密钥加密加密密钥、加密密钥密文隐藏保存等多级密钥保护机制,加强对加密密钥的保护,提高了安全固态盘的安全性。为保护存储密钥的安全,将存储密钥分割成两部分:存储密钥分量一和存储密钥分量二,存储密钥分量一在用户身份可信认证成功之后由密钥生成模块2在算法引擎模块3的支持下动态生成,存储密钥分量二保存在安全固态盘内部存储模块的隐藏区10中;在存储密钥分量一动态生成成功之后,由安全固态盘内的密钥合成模块6调用第二算法引擎模块8的密码服务完成存储密钥分量一与存储密钥分量二的合成操作。为保护加密密钥的安全,密钥管理模块7用存储密钥加密加密密钥,保存在存储模块的隐藏区10中,对用户不可见;在系统启动过程中,密钥管理模块7从隐藏区10中提取加密密钥密文,调用第二算法引擎模块8提供的加解密算法用存储密钥进行解密,获得加密密钥明文。
所述安全固态盘加密系统中存储密钥动态生成步骤如下:
步骤1.可信认证模块1从用户输入的身份信息中提取身份特征值。如果特征值提取成功,则执行步骤2;否则结束。
步骤2.密钥生成模块2根据用户身份特征值,调用可信模块内的第一算法引擎模块3执行密钥生成操作,生成存储密钥分量一。如果存储密钥分量一生成成功,则执行步骤3,否则结束。
步骤3.密钥合成模块6通过对外接口模块5接收密钥生成模块2输出的存储密钥分量一,同时从存储模块的隐藏区10中读取存储密钥分量二,通过第二算法引擎模块8执行密钥合成操作,合成存储密钥。如果密钥合成成功,则将存储密钥提交给密钥管理模块7保管,完成存储密钥合成操作;否则结束。
所述基于可信认证的安全固态盘加密系统的启动步骤如下:
步骤1.计算设备上电,可信模块控制安全固态盘的加载。
步骤2.可信认证模块1完成用户身份的可信认证,详见“安全固态盘加密系统用户身份可信认证的具体步骤”。如果认证成功,则加载并启动安全固态盘,执行步骤3;否则结束。
步骤3.可信认证模块1、密钥生成模块2和密钥合成模块6等多模块相互合作,共同完成存储密钥的动态生成,详见“安全固态盘加密系统中存储密钥动态生成步骤”。如果存储密钥生成成功,则执行步骤4,否则结束。
步骤4.密钥管理模块7从隐藏区10中读取加密密钥密文,调用第二算法引擎模块8中的加解密算法用步骤3生成的存储密钥解密,获得加密密钥明文。如果解密成功,则执行步骤5;否则结束。
步骤5.对于输入报文,对外接口模块5接收写数据报文并传递给第二算法引擎模块8,第二算法引擎模块8用步骤4解密后的加密密钥对写数据报文进行加密得到密文数据,通过固态盘控制器模块9写入数据区11中;或对预输出的读数据报文,第二算法引擎模块8对从数据区11中读取的数据密文,用加密密钥解密后,通过对外接口模块5传递给用户或上层系统。
如图2所示,基于可信认证的安全固态盘加密系统所有者更新时只需更新可信模块内安全存储模块4中的所有者身份信息和安全固态盘隐藏区10中的加密密钥密文数据,安全固态盘数据区11的内容不需做任何处理。
所述安全固态盘加密系统所有者更新的具体步骤为:
步骤1.基于可信认证的安全固态盘加密系统完成启动过程,进入正常工作状态,详见“基于可信认证的安全固态盘加密系统的启动步骤”。如果系统已启动,则直接略过步骤1而进入步骤2;否则,若系统启动成功时,则执行步骤2,若启动失败,则结束。
步骤2.可信认证模块1接收所有者更新指令和新用户身份信息,并对接收的新用户身份信息进行有效性验证。如果验证成功,则执行步骤3;否则结束。
步骤3.可信认证模块1将新用户信息经第一算法引擎模块3提供的密码运算后保存到可信模块的安全存储模块4中,完成新用户信息的更新。如果用户信息更新成功,则执行步骤4;否则结束;
步骤4.可信认证模块1提取新用户身份信息的特征值并向密钥管理模块7发送密钥更新指令,密钥生成模块2基于可信模块内部的第一算法引擎模块3为新用户生成新的存储密钥分量一。如果存储密钥分量一动态生成成功,则执行步骤5;否则结束。
步骤5.密钥合成模块6从对外接口模块5接收步骤4新生成的存储密钥分量一,从存储模块的隐藏区10中读取存储密钥分量二,通过第二算法引擎模块8执行密钥合成操作,合成存储密钥。如果存储密钥合成成功,则执行步骤6;否则结束。
步骤6.密钥管理模块7从对外接口模块5接收密钥更新指令,用步骤5新合成的存储密钥调用第二算法引擎模块8的加解密算法对已解密的加密密钥重新加密,通过固态盘控制器模块9保存到隐藏区10中,替换原加密密钥密文,完成加密密钥密文数据的更新。如果加密密钥密文更新失败,则结束。
本发明可保证合法用户在合法平台上使用安全固态盘,且对安全固态盘的加密密钥采取多级保护机制,确保了安全固态盘加密密钥的安全,提高了安全固态盘加密系统的安全性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (6)
1.一种基于可信认证的安全固态盘加密系统,其特征在于,包括可信模块和安全固态盘两大组件;
其中所述可信模块又包括可信认证模块(1)、密钥生成模块(2)、第一算法引擎模块(3)和安全存储模块(4);所述安全固态盘包括密钥合成模块(6)、密钥管理模块(7)、第二算法引擎模块(8)、对外接口模块(5)、固态盘控制器模块(9)和存储模块,存储模块分为隐藏区(10和数据区(11)两部分;
基于可信认证的安全固态盘加密系统在可信认证通过之前禁止安全固态盘的加载;安全固态盘的密钥由存储密钥和加密密钥组成,采用存储密钥动态生成、用存储密钥加密加密密钥、加密密钥密文隐藏保存这些多级密钥保护机制;安全固态盘加密系统所有者更新由更新用户身份信息和加密密钥密文实现;
所述可信模块采用支持二次开发的密码芯片实现,可信认证模块(1)运行在密码芯片内部微处理器上,用于完成用户身份认证、用户身份信息的更新,以及用户身份信息特征值的提取工作;密钥生成模块(2)也运行在芯片内部的微处理器上,用于根据用户身份信息特征值,调用第一算法引擎模块(3)中的密钥生成算法动态生成存储密钥分量一;密码芯片内部的第一算法引擎模块(3)用于对外提供密码服务;从密码芯片内部非易失性存储器中划分出一段空间作为所述安全存储模块(4),用于提供合法用户身份信息的非易失性存储;
所述密钥合成模块(6)、密钥管理模块(7)和第二算法引擎模块(8)三大安全模块,用于实现对数据的加解密和密钥的安全管理,这三个安全模块采用支持二次开发的密码芯片实现;或采用可编程门阵列实现,其中,密钥合成模块(6)用于通过调用第二算法引擎模块(8)提供密码算法实现存储密钥分量一和存储密钥分量二的有机合成,形成完整的存储密钥明文;密钥管理模块(7)用于调用第二算法引擎模块(8)提供的加密算法实现加密密钥的加解密、密钥数据的提取与更新功能;第二算法引擎模块(8)则提供密码服务,为存储密钥的合成、加密密钥的加解密、用户数据的加解密提供算法支持;对外接口模块(5)用于实现安全固态盘各类对外接口总线上数据包接收与转发,实现读写数据包、控制指令的输入/输出;固态盘控制器模块(9)用于实现Sata报文的转发;存储模块用于实现数据的非易失性存储,并根据用户是否可见划分为隐藏区(10)和数据区(11),其中隐藏区(10)对用户不可见,用于存储加密密钥密文和存储密钥分量二,数据区(11用于存储用户数据和系统数据,当写数据请求包经对外接口模块(5)进入安全固态盘后,由第二算法引擎模块(8)用加密密钥加密后传递给固态盘控制模块(9),由其写入相应的存储模块的数据区(11)中;同样地,当数据从数据区(11)读取后,由安全固态盘控制模块(9)传至第二算法引擎模块(8),第二算法引擎模块(8)根据密钥进行解密后,通过对外接口模块(5)传送给应用系统或用户。
2.如权利要求1所述的系统,其特征在于,所述可信模块内部集成密码算法引擎、真随机数发生器、微处理器、RAM和非易失性存储器。
3.一种如权利要求1所述的安全固态盘加密系统所有者更新的方法,其特征在于,包括以下步骤:
步骤1.基于可信认证的安全固态盘加密系统完成启动过程,进入正常工作状态,如果系统已启动,则直接略过步骤1而进入步骤2;否则,若系统启动成功时,则执行步骤2,若启动失败,则结束;
步骤2.可信认证模块(1)接收所有者更新指令和新用户身份信息,并对接收的新用户身份信息进行有效性验证,如果验证成功,则执行步骤3;否则结束;
步骤3.可信认证模块(1)将新用户信息经第一算法引擎模块(3)提供的密码运算后保存到可信模块的安全存储模块(4)中,完成新用户信息的更新,如果用户信息更新成功,则执行步骤4;否则结束;
步骤4.可信认证模块(1)提取新用户身份信息的特征值并向密钥管理模块(7)发送密钥更新指令,密钥生成模块(2)基于可信模块内部的第一算法引擎模块(3)为新用户生成新的存储密钥分量一,如果存储密钥分量一动态生成成功,则执行步骤5;否则结束;
步骤5.密钥合成模块(6)从对外接口模块(5)接收步骤4新生成的存储密钥分量一,从存储模块的隐藏区(10)中读取存储密钥分量二,通过第二算法引擎模块(8)执行密钥合成操作,合成存储密钥,如果存储密钥合成成功,则执行步骤6;否则结束;
步骤6.密钥管理模块(7)从对外接口模块(5)接收密钥更新指令,用步骤5新合成的存储密钥调用第二算法引擎模块(8)的加解密算法对已解密的加密密钥重新加密,通过固态盘控制器模块(9)保存到隐藏区(10)中,替换原加密密钥密文,完成加密密钥密文数据的更新,如果加密密钥密文更新失败,则结束。
4.如权利要求3所述的方法,其特征在于,步骤1中,安全固态盘加密系统的启动步骤具体为:
步骤11.计算设备上电,可信模块控制安全固态盘的加载;
步骤12.可信认证模块(1)完成用户身份的可信认证,如果认证成功,则加载并启动安全固态盘,执行步骤13;否则结束;
步骤13.可信认证模块(1)、密钥生成模块(2)和密钥合成模块(6)相互合作,共同完成存储密钥的动态生成,如果存储密钥生成成功,则执行步骤(14),否则结束;
步骤14.密钥管理模块(7)从隐藏区(10)中读取加密密钥密文,调用第二算法引擎模块(8)中的加解密算法用步骤13生成的存储密钥解密,获得加密密钥明文,如果解密成功,则执行步骤15;否则结束;
步骤15.对于输入报文,对外接口模块(5)接收写数据报文并传递给第二算法引擎模块(8),第二算法引擎模块(8)用步骤14)解密后的加密密钥对写数据报文进行加密得到密文数据,通过固态盘控制器模块(9)写入数据区(11)中;或对预输出的读数据报文,第二算法引擎模块(8)对从数据区(11)中读取的数据密文,用加密密钥解密后,通过对外接口模块(5)传递给用户或上层系统。
5.如权利要求4所述的方法,其特征在于,步骤12中,可信认证模块(1)完成用户身份的可信认证的具体为:
步骤121.可信认证模块(1)等待用户输入认证请求和身份信息,并进行有效性验证,如果认证请求或身份信息有效,则进行步骤122;否则继续等待;
步骤122.可信认证模块(1)从安全存储模块(4)中提取合法用户身份信息,调用第一算法引擎模块(3)进行认证操作,如果认证通过,则加载并启动安全固态盘;否则,返回步骤121。
6.如权利要求4所述的方法,其特征在于,步骤13中,可信认证模块(1)、密钥生成模块(2)和密钥合成模块(6)相互合作,共同完成存储密钥的动态生成具体为:
步骤131.可信认证模块(1)从用户输入的身份信息中提取身份特征值,如果特征值提取成功,则执行步骤132;否则结束;
步骤132.密钥生成模块(2)根据用户身份特征值,调用可信模块内的第一算法引擎模块(3)执行密钥生成操作,生成存储密钥分量一,如果存储密钥分量一生成成功,则执行步骤133,否则结束;
步骤133.密钥合成模块(6)通过对外接口模块(5)接收密钥生成模块(2)输出的存储密钥分量一,同时从存储模块的隐藏区(10)中读取存储密钥分量二,通过第二算法引擎模块(8)执行密钥合成操作,合成存储密钥,如果密钥合成成功,则将存储密钥提交给密钥管理模块(7)保管,完成存储密钥合成操作;否则结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811358906.5A CN109558340B (zh) | 2018-11-15 | 2018-11-15 | 一种基于可信认证的安全固态盘加密系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811358906.5A CN109558340B (zh) | 2018-11-15 | 2018-11-15 | 一种基于可信认证的安全固态盘加密系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109558340A true CN109558340A (zh) | 2019-04-02 |
| CN109558340B CN109558340B (zh) | 2023-02-03 |
Family
ID=65866476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811358906.5A Active CN109558340B (zh) | 2018-11-15 | 2018-11-15 | 一种基于可信认证的安全固态盘加密系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109558340B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110427765A (zh) * | 2019-07-31 | 2019-11-08 | 四川效率源信息安全技术股份有限公司 | 一种生成固态硬盘中用户数据密钥的方法 |
| CN110727931A (zh) * | 2019-10-16 | 2020-01-24 | 青岛海信电子设备股份有限公司 | 一种数据存储装置和方法 |
| CN111241605A (zh) * | 2019-12-31 | 2020-06-05 | 航天信息股份有限公司 | 基于税务数字证书的安全存储装置及方法 |
| CN111310213A (zh) * | 2020-02-20 | 2020-06-19 | 苏州浪潮智能科技有限公司 | 一种业务数据保护方法、装置、设备及可读存储介质 |
| CN111954211A (zh) * | 2020-09-07 | 2020-11-17 | 北京计算机技术及应用研究所 | 一种移动终端新型认证密钥协商系统 |
| CN112084138A (zh) * | 2020-08-21 | 2020-12-15 | 杭州电子科技大学 | 一种用于可信存储的SoC安全盘控芯片架构设计方法 |
| CN112632571A (zh) * | 2020-12-04 | 2021-04-09 | 翰顺联电子科技(南京)有限公司 | 数据加密方法、解密方法与装置及存储装置 |
| CN117786729A (zh) * | 2024-02-26 | 2024-03-29 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788959A (zh) * | 2010-02-03 | 2010-07-28 | 武汉固捷联讯科技有限公司 | 一种固态硬盘安全加密系统 |
| CN102118392A (zh) * | 2011-01-18 | 2011-07-06 | 南京朗睿软件科技有限公司 | 数据传输的加密/解密方法及系统 |
| WO2013116928A1 (en) * | 2012-02-10 | 2013-08-15 | Connect In Private Corp. | Method and system for a certificate-less authentication encryption (clae) |
| CN104090853A (zh) * | 2014-07-03 | 2014-10-08 | 武汉迅存科技有限公司 | 一种固态盘加密方法和系统 |
-
2018
- 2018-11-15 CN CN201811358906.5A patent/CN109558340B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101788959A (zh) * | 2010-02-03 | 2010-07-28 | 武汉固捷联讯科技有限公司 | 一种固态硬盘安全加密系统 |
| CN102118392A (zh) * | 2011-01-18 | 2011-07-06 | 南京朗睿软件科技有限公司 | 数据传输的加密/解密方法及系统 |
| WO2013116928A1 (en) * | 2012-02-10 | 2013-08-15 | Connect In Private Corp. | Method and system for a certificate-less authentication encryption (clae) |
| CN104090853A (zh) * | 2014-07-03 | 2014-10-08 | 武汉迅存科技有限公司 | 一种固态盘加密方法和系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110427765B (zh) * | 2019-07-31 | 2023-02-03 | 四川效率源信息安全技术股份有限公司 | 一种生成固态硬盘中用户数据密钥的方法 |
| CN110427765A (zh) * | 2019-07-31 | 2019-11-08 | 四川效率源信息安全技术股份有限公司 | 一种生成固态硬盘中用户数据密钥的方法 |
| CN110727931A (zh) * | 2019-10-16 | 2020-01-24 | 青岛海信电子设备股份有限公司 | 一种数据存储装置和方法 |
| CN110727931B (zh) * | 2019-10-16 | 2023-08-08 | 青岛海信电子设备股份有限公司 | 一种数据存储装置和方法 |
| CN111241605A (zh) * | 2019-12-31 | 2020-06-05 | 航天信息股份有限公司 | 基于税务数字证书的安全存储装置及方法 |
| CN111310213A (zh) * | 2020-02-20 | 2020-06-19 | 苏州浪潮智能科技有限公司 | 一种业务数据保护方法、装置、设备及可读存储介质 |
| CN112084138A (zh) * | 2020-08-21 | 2020-12-15 | 杭州电子科技大学 | 一种用于可信存储的SoC安全盘控芯片架构设计方法 |
| CN111954211B (zh) * | 2020-09-07 | 2023-05-02 | 北京计算机技术及应用研究所 | 一种移动终端新型认证密钥协商系统 |
| CN111954211A (zh) * | 2020-09-07 | 2020-11-17 | 北京计算机技术及应用研究所 | 一种移动终端新型认证密钥协商系统 |
| CN112632571A (zh) * | 2020-12-04 | 2021-04-09 | 翰顺联电子科技(南京)有限公司 | 数据加密方法、解密方法与装置及存储装置 |
| CN112632571B (zh) * | 2020-12-04 | 2024-04-09 | 翰顺联电子科技(南京)有限公司 | 数据加密方法、解密方法与装置及存储装置 |
| CN117786729A (zh) * | 2024-02-26 | 2024-03-29 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
| CN117786729B (zh) * | 2024-02-26 | 2024-05-24 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109558340B (zh) | 2023-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109558340A (zh) | 一种基于可信认证的安全固态盘加密系统及方法 | |
| US8281115B2 (en) | Security method using self-generated encryption key, and security apparatus using the same | |
| US8799678B2 (en) | System and method for securing executable code | |
| CN104951409B (zh) | 一种基于硬件的全盘加密系统及加密方法 | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| US8347114B2 (en) | Method and apparatus for enforcing a predetermined memory mapping | |
| US20080072066A1 (en) | Method and apparatus for authenticating applications to secure services | |
| CN101470783B (zh) | 一种基于可信平台模块的身份识别方法及装置 | |
| US9703945B2 (en) | Secured computing system with asynchronous authentication | |
| US20110314288A1 (en) | Circuit, system, device and method of authenticating a communication session and encrypting data thereof | |
| CN102262599B (zh) | 一种基于可信根的移动硬盘指纹认证方法 | |
| TW202036347A (zh) | 資料儲存、驗證方法及裝置 | |
| KR20090007123A (ko) | 보안 부팅 방법 및 그 방법을 사용하는 반도체 메모리시스템 | |
| US11042652B2 (en) | Techniques for multi-domain memory encryption | |
| US10515022B2 (en) | Data center with data encryption and method for operating data center | |
| CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
| CN103051963B (zh) | 一种数字电视终端设备的安全控制方法 | |
| CN106156607A (zh) | 一种SElinux安全访问方法和POS终端 | |
| CN114611124A (zh) | 一种防止数据泄露的方法及装置 | |
| US8499357B1 (en) | Signing a library file to verify a callback function | |
| CN103370718B (zh) | 使用分布式安全密钥的数据保护方法、设备和系统 | |
| CN111539040A (zh) | 一种安全智能卡系统及其密码服务方法 | |
| KR101214899B1 (ko) | 유에스비 보안장치 및 그 보안 방법 | |
| CN114520735A (zh) | 一种基于可信执行环境的用户身份鉴定方法、系统及介质 | |
| US11340801B2 (en) | Data protection method and electronic device implementing data protection method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |