CN112417491A - 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 - Google Patents
固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 Download PDFInfo
- Publication number
- CN112417491A CN112417491A CN202011460780.XA CN202011460780A CN112417491A CN 112417491 A CN112417491 A CN 112417491A CN 202011460780 A CN202011460780 A CN 202011460780A CN 112417491 A CN112417491 A CN 112417491A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption key
- kek
- solid state
- state disk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 102
- 239000007787 solid Substances 0.000 title claims abstract description 75
- 230000008569 process Effects 0.000 claims description 12
- 238000011084 recovery Methods 0.000 abstract description 14
- 238000007726 management method Methods 0.000 description 51
- 238000005516 engineering process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012954 risk control Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种固态硬盘的数据加密密钥获取、恢复方法和数据读写方法,该数据加密密钥获取方法包括:获取固态硬盘的主控芯片管理密钥和创建的用户口令;根据主控芯片管理密钥、用户口令和第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;根据保护密钥ENK以及第二密码学方法对生成的密钥加密密钥KEK进行加密,获取加密后的密钥加密密钥CIPHER_KEK;根据密钥加密密钥KEK以及第三密码学方法对生成的数据加密密钥DEK进行加密,获取加密后的数据加密密钥CIPHER_DEK。该实施例方案在固态硬盘的主控芯片损坏或固件有故障时为用户数据恢复提供技术基础,并提高了固件硬盘加密密钥的安全性。
Description
技术领域
本文涉及信息安全技术,尤指一种固态硬盘的数据加密密钥获取、恢复方法和数据读写方法。
背景技术
固态硬盘主要由主控芯片与NADN FLASH组成。数据加密密钥DEK用于加密用户数据,密钥加密密钥KEK用于加密数据加密密钥DEK。
目前数据加密密钥的生成及保存方法如下:
1、DEK和KEK由内部随机数产生,DKE由KEK保护,DEK密文保存在芯片内部或NAND中,KEK存放在芯片内部,KEK和DEK无其他保密方法参与保护或派生。
使用该方案时,一旦固态硬盘主控芯片损坏或固件有故障,就会导致数据加密密钥无法恢复,造成用户数据无法恢复;
2、DEK和KEK由内部随机数产生,KEK由用户口令保护,DEK由KEK保护,密钥存放在芯片内部或NAND中。
该方案虽然有用户口令参与保护或派生的方式,然而如果KEK存放至芯片内部,则主控芯片损坏或固件出现故障后,用户数据无法恢复;如果KEK存放至NAND中,仅由用户口令保护,安全性太低,容易遭到攻击破解。
发明内容
本申请实施例提供了一种固态硬盘的数据加密密钥获取、恢复方法和数据读写方法,能够在固态硬盘的主控芯片损坏或固件有故障时,为用户数据恢复提供技术基础,并能提高固件硬盘加密密钥的安全性。
本申请实施例提供了一种固态硬盘的数据加密密钥获取方法,所述方法可以包括:
获取固态硬盘的主控芯片管理密钥和创建的用户口令;
根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密,获取加密后的密钥加密密钥CIPHER_KEK;
根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密,获取加密后的数据加密密钥CIPHER_DEK。
在本申请的示例性实施例中,获取固态硬盘的主控芯片管理密钥可以包括:
基于所述固态硬盘的管理主密钥和唯一序列号,通过预设的第四密码学方法生成所述主控芯片管理密钥。
在本申请的示例性实施例中,所述方法还可以包括:将生成的所述主控芯片管理密钥存放至所述固态硬盘的主控芯片内部的非易失存储器内。
在本申请的示例性实施例中,所述非易失存储器可以包括:一次性可编程OTP存储器,和/或,带电可擦可编程只读存储器EEPROM。
在本申请的示例性实施例中,所述第一密码学方法和所述第四密码学方法可以包括:SM3密码杂凑算法;
所述第二密码学方法和所述第二密码学方法可以包括:SM4密码杂凑算法。
在本申请的示例性实施例中,所述方法还可以包括:
在所述固态硬盘出厂之前,对所述固态硬盘执行预设的开卡流程,并在所述开卡流程中生成所述主控芯片管理密钥。
在本申请的示例性实施例中,所述方法还可以包括:
将所述加密后的密钥加密密钥CIPHER_KEK和所述加密后的数据加密密钥CIPHER_DEK存储到非易失闪存NAND中。
在本申请的示例性实施例中,所述方法还可以包括:
通过所述固态硬盘的主控芯片产生第一随机数作为密钥加密密钥KEK,并产生第二随机数作为数据加密密钥DEK。
本申请实施例还提供了一种固态硬盘的数据读写方法,所述方法可以包括:
调取存储的主控芯片管理密钥,并读取输入的用户口令;
根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK;
根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密,获取所述密钥加密密钥KEK;
根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密,获取数据加密密钥DEK;
根据获取的所述数据加密密钥DEK对写入的数据进行加密,或者,对读取的加密数据进行解密。
本申请实施例还提供了一种固态硬盘的数据加密密钥恢复方法,所述方法可以包括:
在确定所述固态硬盘内放入主控芯片后,重新生成固态硬盘的主控芯片管理密钥;
读取输入的用户口令,根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK;
根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密,获取所述密钥加密密钥KEK;
根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密,获取数据加密密钥DEK。
与相关技术相比,本申请实施例包括:获取固态硬盘的主控芯片管理密钥和创建的用户口令;根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密,获取加密后的密钥加密密钥CIPHER_KEK;根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密,获取加密后的数据加密密钥CIPHER_DEK。通过该实施例方案,实现了在固态硬盘的主控芯片损坏或固件有故障时,为用户数据恢复提供技术基础,解决了固态硬盘的主控芯片损坏或固件有故障时,导致数据加密密钥无法恢复,从而造成用户数据无法恢复的问题;并解决了固件硬盘加密密钥仅由用户口令参与保护或派生,安全性低的问题,并提高了固件硬盘加密密钥的安全性。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
附图用来提供对本申请技术方案的理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1为本申请实施例的固态硬盘的数据加密密钥获取方法流程图;
图2为本申请实施例的固态硬盘的数据读写方法流程图;
图3为本申请实施例的固态硬盘的数据加密密钥恢复方法流程图。
具体实施方式
本申请描述了多个实施例,但是该描述是示例性的,而不是限制性的,并且对于本领域的普通技术人员来说显而易见的是,在本申请所描述的实施例包含的范围内可以有更多的实施例和实现方案。尽管在附图中示出了许多可能的特征组合,并在具体实施方式中进行了讨论,但是所公开的特征的许多其它组合方式也是可能的。除非特意加以限制的情况以外,任何实施例的任何特征或元件可以与任何其它实施例中的任何其他特征或元件结合使用,或可以替代任何其它实施例中的任何其他特征或元件。
本申请包括并设想了与本领域普通技术人员已知的特征和元件的组合。本申请已经公开的实施例、特征和元件也可以与任何常规特征或元件组合,以形成由权利要求限定的独特的发明方案。任何实施例的任何特征或元件也可以与来自其它发明方案的特征或元件组合,以形成另一个由权利要求限定的独特的发明方案。因此,应当理解,在本申请中示出和/或讨论的任何特征可以单独地或以任何适当的组合来实现。因此,除了根据所附权利要求及其等同替换所做的限制以外,实施例不受其它限制。此外,可以在所附权利要求的保护范围内进行各种修改和改变。
此外,在描述具有代表性的实施例时,说明书可能已经将方法和/或过程呈现为特定的步骤序列。然而,在该方法或过程不依赖于本文所述步骤的特定顺序的程度上,该方法或过程不应限于所述的特定顺序的步骤。如本领域普通技术人员将理解的,其它的步骤顺序也是可能的。因此,说明书中阐述的步骤的特定顺序不应被解释为对权利要求的限制。此外,针对该方法和/或过程的权利要求不应限于按照所写顺序执行它们的步骤,本领域技术人员可以容易地理解,这些顺序可以变化,并且仍然保持在本申请实施例的精神和范围内。
本申请实施例提供了一种固态硬盘的数据加密密钥获取方法,如图1所示,所述方法可以包括步骤S101-S104:
S101、获取固态硬盘的主控芯片管理密钥和创建的用户口令;
S102、根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
S103、根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密,获取加密后的密钥加密密钥CIPHER_KEK;
S104、根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密,获取加密后的数据加密密钥CIPHER_DEK。
在本申请的示例性实施例中,所述方法还可以包括:
在所述固态硬盘出厂之前,对所述固态硬盘执行预设的开卡流程,并在所述开卡流程中生成所述主控芯片管理密钥。
在本申请的示例性实施例中,获取固态硬盘的主控芯片管理密钥可以包括:
基于所述固态硬盘的管理主密钥和唯一序列号,通过预设的第四密码学方法生成所述主控芯片管理密钥。
在本申请的示例性实施例中,所述第一密码学方法和所述第四密码学方法可以包括:SM3密码杂凑算法;所述第二密码学方法和所述第二密码学方法可以包括:SM4密码杂凑算法。
在本申请的示例性实施例中,所述方法还可以包括:
通过所述固态硬盘的主控芯片产生第一随机数作为密钥加密密钥KEK,并产生第二随机数作为数据加密密钥DEK。
在本申请的示例性实施例中,所述方法还可以包括:
将所述加密后的密钥加密密钥CIPHER_KEK和所述加密后的数据加密密钥CIPHER_DEK存储到非易失闪存NAND中。
在本申请的示例性实施例中,固态硬盘在出厂时可以进行开卡操作,导入主控芯片管理密钥。开卡流程可以包括:根据固态硬盘的管理主密钥和固态硬盘的唯一序列号,通过密码学方式生成主控芯片管理密钥。比如,可以通过SM3的方式。
在本申请的示例性实施例中,所述方法还可以包括:将生成的所述主控芯片管理密钥存放至所述固态硬盘的主控芯片内部的非易失存储器内。
在本申请的示例性实施例中,所述非易失存储器可以包括:一次性可编程OTP存储器,和/或,带电可擦可编程只读存储器EEPROM。
在本申请的示例性实施例中,将主控芯片管理密钥存放至芯片内部的OTP、EEPROM等非易失存储器内;保证每个硬盘的主控芯片管理密钥都是唯一的。
在本申请的示例性实施例中,用户拿到固态硬盘后,可以进行密钥初始化操作。用户密钥初始化流程可以包括:
用户创建用户口令;
根据用户口令及主控芯片管理密钥,通过第一密码学方法(比如SM3),得到KEK的保护密钥ENK;
固态硬盘的主控芯片产生两个随机数(例如第一随机数和第二随机数),作用KEK和DEK;
用KEK的保护密钥ENK,通过第三密码学方法(如SM4)进行加密,对KEK进行保护,可以得到CIPHER_KEK;
用KEK通过第三密码学方法(如SM4)进行加密,对DEK进行加密,得到CIPHER_DEK;
将CIPHER_KEK和CIPHER_DEK存放至NAND中。
本申请实施例还提供了一种固态硬盘的数据读写方法,如图2所示,所述方法可以包括步骤S201-S206:
S201、调取存储的主控芯片管理密钥,并读取输入的用户口令;
S202、根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
S203、从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK;
S204、根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密,获取所述密钥加密密钥KEK;
S205、根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密,获取数据加密密钥DEK;
S206、根据获取的所述数据加密密钥DEK对写入的数据进行加密,或者,对读取的加密数据进行解密。
在本申请的示例性实施例中,获取上述的加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK以后,用户正常进行数据读写时的读写数据流程可以包括:
用户输入用户口令,根据用户口令和调取的主控管理密钥获得密钥加密密钥KEK的保护密钥ENK,并从NAND中读取密文KEK(即CIPHER_KEK),解密得到明文KEK(即KEK);
利用明文KEK,从NAND中读取密文DEK(即CIPHER_DEK),解密得到明文DEK(即DEK);
写数据时,用获得的明文DEK对用户数据进行加密,加密后存放至NAND中;
读数据时,从NAND中读取密文数据,用获得的明文DEK解密后传给用户。
在本申请的示例性实施例中,数据对于企业用户和个人用户来说,无疑是重要的。而目前固态硬盘是数据存储的主流产品。由于外部或内部使用环境的不同,固态硬盘可能会出现主控芯片损坏、固件有故障,导致固态硬盘无法使用的问题。而此时如何安全的把用户的数据恢复出来,是关键且很有必要的。用户数据的恢复就是数据加密密钥的恢复,只有将密钥恢复出来,才能恢复用户数据。
本申请实施例还提供了一种固态硬盘的数据加密密钥恢复方法,如图3所示,所述方法可以包括步骤S301-S305:
S301、在确定所述固态硬盘内放入主控芯片后,重新生成固态硬盘的主控芯片管理密钥;
S302、读取输入的用户口令,根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
S303、从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK;
S304、根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密,获取所述密钥加密密钥KEK;
S305、根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密,获取数据加密密钥DEK。
在本申请的示例性实施例中,固态硬盘出现故障时,密钥恢复流程可以包括:
更换主控芯片,重新进行开卡流程,根据固态硬盘的管理主密钥和固态硬盘的唯一序列号,生成主控芯片管理密钥,存放至主控芯片内部;
获取用户输入的用户口令,根据用户口令和主控管理密钥,从NAND中读取密文KEK(即CIPHER_KEK),解密得到明文KEK;
利用明文KEK,从NAND中读取密文DEK(即CIPHER_DEK),解密得到明文DEK;密钥恢复流程结束。
在本申请的示例性实施例中,通过将用户口令和主控芯片管理密钥共同参与恢复与保护数据加密密钥的方案,可安全有效的解决数据恢复问题。首先用户口令掌握在用户手中,没有用户口令,其他人或固态硬盘厂商也无法进行数据恢复。而即使有了用户口令,也需要再有主控芯片管理密钥的情况下才能进行数据恢复,而主控芯片管理密钥掌握在固态硬盘厂商或企业管理者手中,这样有利于风险把控,进一步防止数据流失。
在本申请的示例性实施例中,至少包括以下优势:
1、KEK和DEK都是由主控芯片随机产生,KEK用于加密DEK,根据不同安全策略,KEK可根据需要进行更新,而不影响当前已加密用户数据。
2、DEK由KEK加密存储在NAND中。KEK由用户口令及主控芯片管理密钥MEK通过密码学方式保护,密文KEK也存放至NAND中;
3、主控芯片管理密钥MEK在固态硬盘开卡时在安全环境导入,该密钥由管理主密钥和固态硬盘序列号通过密码学方式产生,保证每个硬盘密钥不同,该密钥存放在主控芯片内部。根据安全策略,管理主密钥可以是厂商主密钥,每个厂商的主密钥都是固定的;也可以是产品主密钥,不同批次该主密钥不同;也可以是企业用户主密钥,由企业用户提供,不同用户该主密钥不同;
4、主控芯片损坏或固件有故障时,需要同时具备用户口令及主控芯片管理密钥才能进行加密密钥的恢复。恢复的流程包括:根据固态硬盘的唯一序列号及管理主密钥,派生出主控芯片管理密钥;根据主控芯片管理密钥及用户口令,恢复出KEK;根据恢复出的KEK,恢复出DEK;根据恢复出的DEK,恢复出用户数据;
5、由于主控芯片损坏或固件有故障而进行的数据加密密钥恢复,需要同时具备用户口令及主控芯片管理密钥,而主控芯片管理密钥控制在硬盘厂商或企业用户管理处,因此安全性得到保障,更有助于风险把控,有效防止非法数据恢复;
6、利用用户口令与主控芯片管理密钥共同保护KEK,其中主控芯片管理密钥一片一密,KEK和DEK采用随机数方式,安全性更高;
7、KEK和DEK采用密码学的机制,安全的存放在NAND中,以进行主控芯片损坏或固件故障后的数据恢复。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (10)
1.一种固态硬盘的数据加密密钥获取方法,其特征在于,所述方法包括:
获取固态硬盘的主控芯片管理密钥和创建的用户口令;
根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密,获取加密后的密钥加密密钥CIPHER_KEK;
根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密,获取加密后的数据加密密钥CIPHER_DEK。
2.根据权利要求1所述的固态硬盘的数据加密密钥获取方法,其特征在于,获取固态硬盘的主控芯片管理密钥包括:
基于所述固态硬盘的管理主密钥和唯一序列号,通过预设的第四密码学方法生成所述主控芯片管理密钥。
3.根据权利要求2所述的固态硬盘的数据加密密钥获取方法,其特征在于,所述方法还包括:将生成的所述主控芯片管理密钥存放至所述固态硬盘的主控芯片内部的非易失存储器内。
4.根据权利要求3所述的固态硬盘的数据加密密钥获取方法,其特征在于,所述非易失存储器包括:一次性可编程OTP存储器,和/或,带电可擦可编程只读存储器EEPROM。
5.根据权利要求2所述的固态硬盘的数据加密密钥获取方法,其特征在于,
所述第一密码学方法和所述第四密码学方法包括:SM3密码杂凑算法;
所述第二密码学方法和所述第二密码学方法包括:SM4密码杂凑算法。
6.根据权利要求2所述的固态硬盘的数据加密密钥获取方法,其特征在于,所述方法还包括:
在所述固态硬盘出厂之前,对所述固态硬盘执行预设的开卡流程,并在所述开卡流程中生成所述主控芯片管理密钥。
7.根据权利要求1-6任意一项所述的固态硬盘的数据加密密钥获取方法,其特征在于,所述方法还包括:
将所述加密后的密钥加密密钥CIPHER_KEK和所述加密后的数据加密密钥CIPHER_DEK存储到非易失闪存NAND中。
8.根据权利要求1-6任意一项所述的固态硬盘的数据加密密钥获取方法,其特征在于,所述方法还包括:
通过所述固态硬盘的主控芯片产生第一随机数作为密钥加密密钥KEK,并产生第二随机数作为数据加密密钥DEK。
9.一种固态硬盘的数据加密密钥恢复方法,其特征在于,所述方法包括:
在确定所述固态硬盘内放入主控芯片后,重新生成固态硬盘的主控芯片管理密钥;
读取输入的用户口令,根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK;
根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密,获取所述密钥加密密钥KEK;
根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密,获取数据加密密钥DEK。
10.一种固态硬盘的数据读写方法,其特征在于,所述方法包括:
调取存储的主控芯片管理密钥,并读取输入的用户口令;
根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK;
从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK;
根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密,获取所述密钥加密密钥KEK;
根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密,获取数据加密密钥DEK;
根据获取的所述数据加密密钥DEK对写入的数据进行加密,或者,对读取的加密数据进行解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011460780.XA CN112417491A (zh) | 2020-12-11 | 2020-12-11 | 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011460780.XA CN112417491A (zh) | 2020-12-11 | 2020-12-11 | 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112417491A true CN112417491A (zh) | 2021-02-26 |
Family
ID=74775659
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011460780.XA Pending CN112417491A (zh) | 2020-12-11 | 2020-12-11 | 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112417491A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113360957A (zh) * | 2021-06-30 | 2021-09-07 | 四川效率源信息安全技术股份有限公司 | 一种主控为sm2246en的固态硬盘的密码提取方法 |
CN115357528A (zh) * | 2022-10-08 | 2022-11-18 | 北京智芯微电子科技有限公司 | 固态硬盘的密钥加密方法、密钥解密方法和安全防护系统 |
CN116881945A (zh) * | 2023-07-26 | 2023-10-13 | 百信信息技术有限公司 | 一种基于tpcm的固态硬盘加解密方法、系统及电子设备 |
CN117786729A (zh) * | 2024-02-26 | 2024-03-29 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
CN117786729B (zh) * | 2024-02-26 | 2024-05-24 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104247327A (zh) * | 2012-02-21 | 2014-12-24 | 密克罗奇普技术公司 | 使用密钥加密密钥的密码发射系统 |
CN107315966A (zh) * | 2017-06-22 | 2017-11-03 | 湖南国科微电子股份有限公司 | 固态硬盘数据加密方法及系统 |
CN111460455A (zh) * | 2020-03-20 | 2020-07-28 | 北京智芯微电子科技有限公司 | 自加密固态硬盘的密钥协商方法、安全引导方法及系统 |
US20200356285A1 (en) * | 2019-05-10 | 2020-11-12 | Silicon Motion, Inc. | Password protected data storage device and control method for non-volatile memory |
CN112000975A (zh) * | 2020-10-28 | 2020-11-27 | 湖南天琛信息科技有限公司 | 一种密钥管理系统 |
-
2020
- 2020-12-11 CN CN202011460780.XA patent/CN112417491A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104247327A (zh) * | 2012-02-21 | 2014-12-24 | 密克罗奇普技术公司 | 使用密钥加密密钥的密码发射系统 |
CN107315966A (zh) * | 2017-06-22 | 2017-11-03 | 湖南国科微电子股份有限公司 | 固态硬盘数据加密方法及系统 |
US20200356285A1 (en) * | 2019-05-10 | 2020-11-12 | Silicon Motion, Inc. | Password protected data storage device and control method for non-volatile memory |
CN111460455A (zh) * | 2020-03-20 | 2020-07-28 | 北京智芯微电子科技有限公司 | 自加密固态硬盘的密钥协商方法、安全引导方法及系统 |
CN112000975A (zh) * | 2020-10-28 | 2020-11-27 | 湖南天琛信息科技有限公司 | 一种密钥管理系统 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113360957A (zh) * | 2021-06-30 | 2021-09-07 | 四川效率源信息安全技术股份有限公司 | 一种主控为sm2246en的固态硬盘的密码提取方法 |
CN113360957B (zh) * | 2021-06-30 | 2022-08-02 | 四川效率源信息安全技术股份有限公司 | 一种主控为sm2246en的固态硬盘的密码提取方法 |
CN115357528A (zh) * | 2022-10-08 | 2022-11-18 | 北京智芯微电子科技有限公司 | 固态硬盘的密钥加密方法、密钥解密方法和安全防护系统 |
CN116881945A (zh) * | 2023-07-26 | 2023-10-13 | 百信信息技术有限公司 | 一种基于tpcm的固态硬盘加解密方法、系统及电子设备 |
CN117786729A (zh) * | 2024-02-26 | 2024-03-29 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
CN117786729B (zh) * | 2024-02-26 | 2024-05-24 | 芯能量集成电路(上海)有限公司 | 一种芯片密钥管理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9722977B2 (en) | Secure host authentication using symmetric key crytography | |
CN112417491A (zh) | 固态硬盘的数据加密密钥获取、恢复方法和数据读写方法 | |
EP3066610B1 (en) | Data protection in a storage system using external secrets | |
US10432397B2 (en) | Master password reset in a zero-knowledge architecture | |
KR20210061426A (ko) | 이중 암호화된 시크릿 부분의 서브세트를 사용하여 시크릿의 어셈블리를 허용하는 이중 암호화된 시크릿 부분 | |
CN109918925A (zh) | 数据存储方法、数据节点及存储介质 | |
US9154295B2 (en) | Method of generating a correspondence table for a cryptographic white box | |
US20080016127A1 (en) | Utilizing software for backing up and recovering data | |
WO2009137371A2 (en) | Enterprise device recovery | |
US10437524B2 (en) | PUF based boot-loading for data recovery on secure flash devices | |
CN103931137A (zh) | 用于保护内容的方法和存储设备 | |
CN111639348B (zh) | 数据库秘钥的管理方法及装置 | |
CN110298186B (zh) | 一种基于动态可重构密码芯片的无密钥数据加解密方法 | |
CN111008390A (zh) | 根密钥生成保护方法、装置、固态硬盘及存储介质 | |
CN111191217B (zh) | 一种密码管理方法及相关装置 | |
KR101458479B1 (ko) | 세션상태정보의 암호화 및 복호화 방법 | |
US20100241870A1 (en) | Control device, storage device, data leakage preventing method | |
JPH10271104A (ja) | 暗号化方法及び復号化方法 | |
CN110855429A (zh) | 一种基于tpm的软件密钥保护方法 | |
CN113127814B (zh) | 软件防抄方法、装置、电子设备及可读存储介质 | |
CN114297673A (zh) | 一种口令验证方法、固态硬盘和上位机 | |
CN115310136A (zh) | 基于sata桥接芯片的数据安全保障方法 | |
JP2007193800A (ja) | カード認証システムのセキュリティレベルを向上させる装置及び方法 | |
CN104598843A (zh) | 一种加密ssd认证方法 | |
US11093656B2 (en) | Change-tolerant method of generating an identifier for a collection of assets in a computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 230088 floor 7, block C, building J2, phase II, innovation industrial park, high tech Zone, Hefei, Anhui Province Applicant after: HEFEI DATANG STORAGE TECHNOLOGY Co.,Ltd. Address before: 100094 No. 6 Yongjia North Road, Beijing, Haidian District Applicant before: HEFEI DATANG STORAGE TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information |