CN117473573B - 一种管理sata接口系统及数据安全摆渡的方法 - Google Patents

一种管理sata接口系统及数据安全摆渡的方法 Download PDF

Info

Publication number
CN117473573B
CN117473573B CN202311825445.9A CN202311825445A CN117473573B CN 117473573 B CN117473573 B CN 117473573B CN 202311825445 A CN202311825445 A CN 202311825445A CN 117473573 B CN117473573 B CN 117473573B
Authority
CN
China
Prior art keywords
data
hard disk
chip
host
ferry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311825445.9A
Other languages
English (en)
Other versions
CN117473573A (zh
Inventor
苏云学
孙玉玺
荣艳霞
唐保东
薛倩
孟杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Huayi Microelectronic Material Co Ltd
Original Assignee
Shanghai Huayi Microelectronic Material Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Huayi Microelectronic Material Co Ltd filed Critical Shanghai Huayi Microelectronic Material Co Ltd
Priority to CN202311825445.9A priority Critical patent/CN117473573B/zh
Publication of CN117473573A publication Critical patent/CN117473573A/zh
Application granted granted Critical
Publication of CN117473573B publication Critical patent/CN117473573B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

本发明属于数据安全信息处理的技术领域,更具体地,涉及一种管理SATA接口系统及数据安全摆渡的方法。具体包括:主机、Mutex芯片、摆渡芯片、硬盘、光驱;所述主机通过摆渡芯片管理SATA接口、硬盘和光驱,所述摆渡芯片通过IO控制通路选择Mutex芯片;所述摆渡芯片包括通过DTCM进行数据交互的CPU1和CPU2、SATA Device、多路SATA Host、密码模块和IO模块;所述SATA Device与主机相连,所述SATA Host与硬盘或光驱相连;所述密码模块包括多个对称算法核。本发明解决了现有技术中硬盘与光驱数据的安全摆渡以及光驱数据易泄露的问题。

Description

一种管理SATA接口系统及数据安全摆渡的方法
技术领域
本发明属于数据安全信息处理的技术领域,更具体地,涉及一种管理SATA接口系统及数据安全摆渡的方法。
背景技术
随着数字经济成为经济增长新引擎,数据作为核心资产成为重要的资源,受到越来越多的关注,而信息泄露导致的安全风险和安全隐患可能会造成重大损失。存储领域作为信息安全的基石,尤其关系国计民生的关键领域,保护个人、商业、政府敏感信息合理、合规、合法的使用显得尤为重要。
中国发明专利CN109657502A公开了一种基于国产密码算法的SATA桥接实时传输加密系统及方法,包括依次连接的桌面系统安全存储控制芯片、SATADEVICEIP核、SATAHOSTIP核和硬盘,还包括有USBHOSTIP核,用于对插入桌面系统的安全存储控制芯片外置USB口上的存储设备U_KEY进行身份认证,分别与SATADEVICEIP核和SATAHOSTIP核连接有用于数据加解密的简单数据管理协议SM1模块和SM4模块。
综上,目前主机\服务器的主流存储设备往往以SATA、SAS、PCIe接口为主,服务器数据保护一般通过设备例如IPSec、服务器机柜、安全环境等专门方式进行集中管理。比较容易防御外来攻击,且平摊成本较低;个人主机由于数量较多、使用人员和分布分散、使用频率高,统一管理难度较大。采用软保护的方式管理个人主机,难以解决内存窥测、数据跟踪、注入攻击、PE引导/恢复系统等攻击方式,防御强度较低,通过操作系统底层攻击手段方法多且复杂,很容易产生漏洞。而通过保密员、IT等人员使用管理权限对使用者主机进行管控,过程复杂,效率低下,主动/被动泄密造成的损失会产生更加严重;同时,目前个人主机存储设备目前还是以廉价、稳定的SATA接口硬盘为主,且市场现有存量较多,以更换安全硬盘、改造主机等方式解决信息安全问题,资金成本和时间成本较高,需要大量的时间去备份数据,代价巨大,而销毁旧存储介质又会造成一定的资源浪费。
发明内容
本发明旨在克服上述现有技术的至少一种缺陷,提供一种管理SATA接口系统及数据安全摆渡的方法,以解决现有技术中硬盘与光驱数据的安全摆渡以及光驱数据易泄露等问题。
本发明详细的技术方案如下:
一种管理SATA接口系统,如图1所示,具体包括:主机、Mutex芯片、摆渡芯片、硬盘、光驱;
所述主机通过摆渡芯片管理SATA接口、硬盘和光驱,所述摆渡芯片通过IO控制通路选择Mutex芯片;
进一步地,所述摆渡芯片包括通过DTCM进行数据交互的CPU1和CPU2、SATADevice、多路SATA Host(本文以两路SATA Host为例)、密码模块和IO模块;
所述SATA Device与主机相连,所述SATA Host与硬盘或光驱相连;
所述密码模块包括多个对称算法核;
所述CPU1通过控制SATA Device、SATA Host、密码模块以及相关数据通路,以主机-硬盘SATA桥接的形式,对硬盘进行加解密,将通用硬盘变为具有设备管理和数据加密功能的加密硬盘;
所述CPU2通过控制SATA Host、密码模块以及相关数据通路,与CPU1协同工作,以硬盘-光驱SATA桥接的形式,通过摆渡芯片控制SATA Host数据传输,实现硬盘与光驱的数据摆渡,整个过程数据脱机传输。
进一步地,所述密码模块包括算法核1和算法核2,所述算法核1包括加解密和透传模式,所述算法核2包括加解密模式;
判断硬盘属于现存硬盘还是新增硬盘;
若为现存硬盘设备,摆渡芯片将算法核1设置为透传模式,不使用加解密功能,主机通过摆渡芯片直接访问硬盘原有数据,无需对硬盘数据解密;透传模式是为了读取现有已经装配的硬盘数据而设计,这样可以通过透传方式读取现有硬盘的数据,然后只使用算法核2进行加密,即可加密导出到光驱上;
若为新增硬盘设备,摆渡芯片将算法核1设置为加解密模式,主机通过摆渡芯片加密主机到硬盘的数据、解密硬盘到主机的数据,硬盘数据以密文形式存储;算法核1加密模式是针对新增硬盘,如果我在新的电脑上使用,这样可以直接将算法核1设置为加密模式,这样算法核1对新增硬盘数据可以进行加密保护,更加安全。
进一步地,所述密码模块包括6个AHB接口,包括AHB S0、AHB S1、AHB S2、AHB S3、AHB S4、AHB S5;
所述CPU1通过AHB S4控制密码模块算法核1,所述CPU1控制AHB S4配置寄存器单元1;寄存器单元1负责控制算法核1,算法核1将自身的状态反馈给寄存器单元1;
所述CPU2通过AHB S5控制密码模块算法核2,所述CPU2控制AHB S5配置寄存器单元2;寄存器单元2负责控制算法核2,算法核2将自身的状态反馈给寄存器单元2;
所述算法核1的数据总线为AHB S0和AHB S1,用于传输硬盘和主机间的数据,并通过RX1 FIFO和TX1 FIFO缓存硬盘和主机间传输的数据;
所述AHB S2是中间数据总线,在数据导入、导出的过程中将中间数据暂存在RAM中;
所述AHB S3是光驱数据总线,通过TX2 FIFO向光驱导出数据;
所述密码模块还包括密钥合成单元、算法模块状态机,所述密钥合成单元用于计算MK。
进一步地,对于光驱设备访问控制,摆渡芯片通过IO模块控制Mutex芯片,实现间接管理和隐式管理两种模式,所述Mutex芯片包括数据通路A、B、A1、B1、B2;
所述间接管理模式为:当导通B2,关闭B1时,B2与B相连,A1与A相连,主机读取光驱的数据连接导通,主机导入光驱的数据连接断开;主机通过主机主板的SATA接口2导入光驱数据,主机通过摆渡芯片间接导出硬盘数据即将硬盘的数据向光驱传输,摆渡芯片管理光驱的数据导入行为。此时,光驱为只读功能,成为单向导入设备;间接管理模式下,主机可以直接导入光驱的数据,但禁止将硬盘数据以明文形式导出到光驱;
所述隐式管理模式为:当导通B1,关闭B2时,B1与B相连,A1与A相连,主机通过摆渡芯片和主机主板的SATA接口1访问硬盘和光驱数据;当导入光驱数据到硬盘时,通过摆渡芯片进行解密导入;当导出硬盘数据到光驱时,通过摆渡芯片进行加密导出,数据内容无需经过电脑主机,由摆渡芯片脱机实施;
具体过程是,使用专用光驱刻录工具解析摆渡数据对应的逻辑区块地址(LogicalBlock Address,LBA),通过SATA私有指令的方式将LBA发送给摆渡芯片,硬盘导出数据过程是摆渡芯片根据LBA使用硬盘密钥解密读取硬盘数据,再使用摆渡密钥进行加密,将加密后得密文导出到光驱;光驱导入数据过程是摆渡芯片根据LBA读取光驱数据,使用摆渡密钥将光驱数据解密后传递到摆渡芯片,摆渡芯片使用硬盘密钥将数据加密后导入到硬盘,主机通过摆渡芯片和主机主板的SATA接口1完成以上过程。
SATA私有指令可以采用大LBA偏移、自定义指令或修改SATA标准指令中的保留字段来实现。
进一步地,还包括一种基于管理SATA接口系统的数据安全摆渡的方法,具体包括:
硬盘数据导出过程如下:
S1、主机产生一组随机密钥参数R1,通过私有指令获取R1;
S2、摆渡芯片获取密码模块固化的密钥参数R2,密钥合成单元使用R1和R2生成摆渡密钥MK,将MK配置到算法核2;
S3、识别光驱设备,解析硬盘待导出数据对应的LBA,将LBA发送至摆渡芯片;
S4、摆渡芯片获取LBA,并读取LBA对应的硬盘数据,使用硬盘密钥和算法核1解密硬盘数据(这里以硬盘数据是加密存储为例);
其次,使用摆渡密钥MK和算法核2将硬盘数据加密并导出到光驱;
S5、使用算法核2和摆渡密钥MK,将S4中解密的硬盘数据进行加密,将密文数据导出到光驱;
S6、摆渡芯片提示当前LBA数据导出完成,主机判断是否所有数据导出完成;
若数据导出完成,则将R1、摆渡芯片标识、导出标识号上传到服务器;
若数据导出未完成,则继续解析剩余待导出数据对应的LBA,重复步骤S3~S6,直至硬盘全部待导出数据导出完成;
服务器用于合成和分发数据摆渡过程中的摆渡密钥,服务器需要预先存储摆渡芯片标识、密码模块固化的密钥参数R2,并在数据导入导出过程中存储导出标识号和密钥参数R1;
摆渡芯片标识是识别摆渡芯片的唯一标识,服务器根据摆渡芯片标识可以获取密码模块固化的密钥参数R2;导出标识号用于标识密钥参数R1,服务器根据导出标识号可以获得密钥参数R1。
数据摆渡导入过程如下:
S01、服务器获取摆渡芯片标识和导出标识号;
所述服务器是用于集中管理和分发密钥的,将光驱上的加密数据导出时,需要首先向服务器提交关键信息;
S02、服务器根据导出标识号和摆渡芯片标识获取R1、R2,使用密钥合成算法,计算得到MK;
S03、将MK通过私有指令发送给摆渡芯片,摆渡芯片使用MK配置算法核2,算法核2对光驱导入数据进行解密;
S04、主机将待导入数据的LBA发送给光驱,光驱根据LBA返回导入数据密文;
S05、摆渡芯片使用算法核2解密导入数据密文,得到明文;
S06、主机判断数据导入是否完成;
若数据导入未完成,则重复S04~S06,直至数据摆渡完成;
若数据导入完成,告知服务器销毁导出标识号,服务器将导出标识号和R1销毁。
与现有技术相比,本发明的有益效果为:
本发明提供的一种管理SATA接口系统及数据安全摆渡的方法,通过摆渡芯片,对硬盘和光驱进行管理,实现对现有非密光驱和硬盘改造为具有加解密功能的安全光驱和硬盘,而且数据摆渡过程是摆渡芯片完成的,解决硬盘与光驱数据的安全摆渡问题,可以不依赖于主机内存进行隐式数据导入导出,同时兼容现存设备和新增设备,并且从硬件和固件设计上将普通硬盘、光驱改造为安全设备,提高主机的安全性。
本发明提供的一种管理SATA接口系统及数据安全摆渡的方法,通过Mutex切换将光驱改造为单项导入设备、不影响光驱读取功能;同时具备集中式管理摆渡关键信息和分布式数据摆渡功能,并且可以有效防止光驱数据泄露,无需保密管理人员,有效控制数据传播范围,大大提高效率,且成本低廉、操作简洁。
附图说明
图1是本发明所述摆渡芯片总体结构。
图2是本发明实施例1中数据摆渡接口连接示意图。
图3是本发明实施例1中摆渡芯片密码模块结构。
图4是本发明实施例1中数据摆渡导出过程示意图。
图5是本发明实施例1中数据摆渡导入过程示意图。
具体实施方式
下面结合附图与实施例对本公开做进一步说明。
应该指出,以下详细说明都是示例性的,旨在对本公开提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本公开所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本公开的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
实施例 1
本实施例提供一种管理SATA接口系统,如图1所示,包括:主机、Mutex芯片、摆渡芯片、硬盘、光驱;
所述主机通过摆渡芯片管理SATA接口、硬盘和光驱,所述摆渡芯片通过IO控制通路选择Mutex芯片,实现间接管理和隐式管理两种模式;
进一步地,所述摆渡芯片包括通过DTCM进行数据交互的CPU1和CPU2、SATADevice、多路SATA Host、密码模块和IO模块,优选地,本实施例所述多路SATA Host包括SATA Host1、SATA Host2;
所述SATA Device与主机相连,所述SATA Host与硬盘或光驱相连;
所述密码模块包括多个对称算法核,负责加解密/透传主机-硬盘-光驱之间数据;
所述CPU1通过控制SATA Device、SATA Host1、密码模块以及相关数据通路,以主机-硬盘SATA桥接的形式,对硬盘进行加解密;
所述CPU2通过控制SATA Host2、密码模块以及相关数据通路,与CPU1协同工作,以硬盘-光驱SATA桥接的形式,通过摆渡芯片控制SATA Host数据传输,实现硬盘与光驱的数据摆渡。
进一步地,所述密码模块包括算法核1和算法核2,所述算法核1包括加解密和透传模式,所述算法核2仅包括加解密模式。
为将通用主机/硬盘改造为具有安全功能的专用主机,通过修改主机BIOS,破坏主机主板的SATA接口等方式,只保留两路SATA接口,将多余的外部存储接口关闭,防止硬盘数据在非管控的情况下导出,一般台式计算机都有4个主机主板的SATA接口;
针对现存硬盘设备,摆渡芯片将算法核1设置为透传模式,不使用加解密功能,主机通过摆渡芯片直接访问硬盘原有数据,无需对硬盘数据解密;
针对新增硬盘设备,摆渡芯片将算法核1设置为加解密模式,主机通过摆渡芯片加密主机到硬盘的数据、解密硬盘到主机的数据,硬盘数据以密文形式存储;
具体的,对于光驱设备访问控制,摆渡芯片通过IO模块控制Mutex芯片,实现间接管理和隐式管理两种模式:
当导通B2,关闭B1时,数据通路B2与B相连,A1与A相连,主机直接读取光驱,间接导入光驱,此模式为间接管理模式,该模式遵循以下规则:
a.主机解密读取硬盘:硬盘->摆渡芯片->主机主板的SATA接口1->主机;
b.主机加密导入硬盘:主机->主机主板的SATA接口1->摆渡芯片->硬盘;
c.主机透传读取光驱:光驱->数据通路B(Mutex)->数据通路B2(Mutex)->主机主板的SATA接口2->主机;
d.主机将数据透传导入光驱;不允许;
e.导入光驱数据到硬盘:光驱->数据通路B(Mutex)->数据通路B2(Mutex)->主机主板的SATA接口2->主机->主机主板的SATA接口1->摆渡芯片->硬盘;
f.导出硬盘数据到光驱:硬盘->摆渡芯片->数据通路A1(Mutex)->数据通路A(Mutex)->光驱。
当导通B1,关闭B2时,B1与B相连,A1与A相连,摆渡芯片管理光驱导入导出行为,主机无法识别光驱,此模式为隐式管理模式,该模式遵循以下规则:
a1.主机解密读取硬盘:硬盘->摆渡芯片->主机主板的SATA接口1->主机;
b1.主机加密导入硬盘:主机->主机主板的SATA接口1->摆渡芯片->硬盘;
c1.主机透传读取光驱:不允许;
d1.主机透传导入光驱;不允许;
e1.光驱到硬盘数据导入:光驱->数据通路B(Mutex)->数据通路B1(Mutex)->摆渡芯片->硬盘;
f1.硬盘到光驱数据导出:硬盘->摆渡芯片->数据通路A1(Mutex)->数据通路A(Mutex)->光驱。
实施例2
本实施例提供一种基于管理SATA接口系统及数据安全摆渡的方法,所述密码模块包括6个AHB接口和隔离的双算法核结构以及实施方法;
具体的,如图3所示,密码模块具备的6个AHB接口包括AHB S0、AHB S1、AHB S2、AHBS3、AHB S4、AHB S5;
所述CPU1通过AHB S4控制密码模块算法核1,所述CPU1控制AHB S4配置寄存器单元1;寄存器单元1负责控制算法核1,算法核1将自身的状态反馈给寄存器单元1。
所述CPU2通过AHB S5控制密码模块算法核2,所述CPU2控制AHB S5配置寄存器单元2;寄存器单元2负责控制算法核2,算法核2将自身的状态反馈给寄存器单元2;
所述算法核1的数据总线为AHB S0和AHB S1,用于传输硬盘数据,并通过RX1 FIFO和TX1 FIFO用于缓存硬盘和主机间传输数据;
所述AHB S2是中间数据总线,在数据导入导出过程中将中间数据暂存在RAM中;
所述AHB S3是光驱数据总线,通过TX2 FIFO向光驱导出数据;
所述密码模块还包括密钥合成单元、算法模块状态机,所述密钥合成单元用于计算MK。
密钥合成单元固化一组不可修改的固定密钥参数R2,R2不支持外部访问,在晶圆测试或摆渡芯片安装阶段设定,密钥合成单元用于生成摆渡密钥MK;
MK计算方式如下:由主机生成一组随机密钥参数R1,将R1传递给密钥合成单元,密钥合成单元将R1和R2进行计算得到摆渡密钥MK,MK加载到算法核2中,由CPU2控制算法核2对导出数据加密。密钥合成单元的计算方法可以采用哈希、R2R1 mod 232等单向不可逆算法。
以下是硬盘到主机数据加解密传输过程:
当主机数据导入硬盘,CPU1控制AHB S4配置寄存器单元1,数据由SATA Device通过AHB S0传入RX1 FIFO,算法核1对RX1 FIFO数据进行加密,计算完成后将密文传入TX1FIFO,SATA Host1通过AHB S1读取RX1 FIFO数据并发送到硬盘;
当主机读取硬盘数据,CPU1控制AHB S4配置寄存器单元1,数据由SATA Host1通过AHB S0传入RX1 FIFO,算法核1进行解密,计算完成后将明文传入TX1 FIFO,SATA Device通过AHB S1读取RX1 FIFO数据并发送到主机。
以下是硬盘数据加密导出到光驱的过程:
当主机将硬盘数据导出到光驱时,CPU1将R1配置到密钥合成单元,密钥合成单元根据R1和R2计算出MK,MK加载到算法核2。摆渡芯片通过SATA Host1读取硬盘数据,数据由AHB S0传入RX1 FIFO,算法核1对RX1 FIFO数据进行解密,计算完成后缓存到RAM,CPU2通过AHB S5控制算法核2,对RAM数据进行加密,加密数据传入TX2 FIFO中,SATA Host2适时将TX2 FIFO中的密文发送给光驱。
当主机导入光驱数据时,分为两种方式:
在隐式管理方式下,主机对光驱的数据导入行为由摆渡芯片控制,摆渡芯片控制SATA Host2通过AHB S2将光驱数据缓冲到RAM中, CPU1通过AHB S4总线控制算法核2对RAM数据进行解密,解密密钥(这里指的是摆渡密钥MK)由用户设定,解密数据传入TX1 FIFO,SATA Device通过AHB S1将TX1 FIFO数据发送到主机。
在间接接入方式下,摆渡芯片不参与主机读取光驱行为,主机通过主机主板的SATA接口2直接获取光驱原始数据。
其中,数据导出通过专用软件解析文件系统获取LBA、以LBA为标识读取硬盘数据,并使用MK对导出数据加密。导出完毕后,通过导出标识号标识本次导出过程,导出标识号在本机唯一,将[摆渡芯片标识、导出标识号、随机密钥参数R1]上传服务器;
服务器通过摆渡芯片标识检索到预存的固定密钥参数R2,将[摆渡芯片标识、导出标识号、固定密钥参数R2、随机密钥参数R1]作为四元组存储在服务器;
光驱数据导入过程需要首先将[摆渡芯片标识、导出标识号]上传服务器,服务器根据[摆渡芯片标识、导出标识号]检索得到R2和R1,使用密钥合成单元相同算法计算MK通过CPU1配置寄存器单元1,将MK配置到算法核1中,通过光驱导入数据过程中的隐式管理方式进行光驱数据导入;
MK的计算过程由服务器通过安全认证机制保护,方法不在本文讨论范围之内。
所述密码模块中涉及摆渡芯片内部数据流程如图3所示:
a2.主机解密读取硬盘:硬盘->SATA Host1->AHB S0->RX1 FIFO->算法核1(硬盘密钥解密)->TX1 FIFO->AHB S1->SATA Device->主机;
b2.主机加密导入硬盘:主机->SATA Device->AHB S0->RX1 FIFO->算法核1(硬盘密钥加密)->TX1 FIFO->AHB S1->SATA Host1->硬盘;
c2.光驱数据导入到硬盘:光驱->SATA Host2 ->AHB S2->RAM->算法核1(摆渡密钥MK解密)->TX1 FIFO->AHB S1->SATA Host1->硬盘;
d2.硬盘数据导出到光驱:硬盘->SATA Host1->AHB S0->RX1 FIFO->算法核1(硬盘密钥解密)->RAM->算法核2(摆渡密钥MK加密)->TX2 FIFO->AHB S3->SATA Host2->光驱。
硬盘密钥由用户设定,硬盘生命周期内不变,用于保护硬盘数据;摆渡密钥MK是由R1和R2通过密钥合成单元计算而成,R1每次由主机随机生成,R2固化到密码模块中始终不变。
实施例3
本实施例公布了一种基于管理SATA接口系统的数据安全摆渡的方法,具体包括数据摆渡导出过程:
硬盘数据导出到光驱的过程如图4所示:
S1、主机产生一组随机密钥参数R1,通过私有指令获取R1;
S2、摆渡芯片获取密码模块固化的密钥参数R2,密钥合成单元使用R1和R2生成摆渡密钥MK,将MK配置到算法核2;
S3、识别光驱设备,解析硬盘待导出数据对应的LBA,将LBA发送至摆渡芯片;
S4、摆渡芯片获取LBA,并读取LBA对应的硬盘数据,使用硬盘密钥和算法核1解密硬盘数据(这里以硬盘数据是加密存储为例);
其次,使用摆渡密钥MK和算法核2将硬盘数据加密导出到光驱;
S5、使用算法核2和摆渡密钥MK,将S4中解密的硬盘数据进行加密,将密文数据导出到光驱;
S6、摆渡芯片提示当前LBA数据导出完成,主机判断是否所有数据导出完成;
若数据导出完成,则将R1、摆渡芯片标识、导出标识号上传到服务器;
若数据导出未完成,则继续解析剩余待导出数据对应的LBA,重复步骤S3~S6,直至硬盘全部待导出数据导出完成;
服务器用于合成和分发数据摆渡过程中的摆渡密钥,所述服务器需要预先存储摆渡芯片标识、密码模块固化的密钥参数R2,并存储导出标识号和密钥参数R1;摆渡芯片标识是识别摆渡芯片的唯一标识,服务器根据摆渡芯片标识可以获取密码模块固化的密钥参数R2;导出标识号用于标识密钥参数R1,服务器根据导出标识号可以获得密钥参数R1。
数据摆渡导入过程如下:
S01、服务器获取摆渡芯片标识和导出标识号;
所述服务器是用于集中管理和分发密钥的,要将光驱上的加密数据导出时,需要首先向服务器提交关键信息;
S02、服务器根据导出标识号和摆渡芯片标识获取R1、R2,使用密钥合成算法,计算得到摆渡密钥MK;
S03、将MK通过私有指令发送给摆渡芯片,摆渡芯片使用MK配置算法核2,算法核2对光驱导入数据进行解密;
S04、主机将待导入数据的LBA发送给光驱,光驱根据LBA返回导入数据密文
S05、摆渡芯片使用算法核2解密导入数据密文,得到明文;
S06、主机判断数据导入是否完成;
若数据导入未完成,则重复S04-S06,直至数据摆渡完成;
若数据导入完成,告知服务器销毁导出标识号,服务器将导出标识号和R1销毁。
显然,本发明的上述实施例仅是为清楚地说明本发明技术方案所作的举例,而并非是对本发明的具体实施方式的限定。凡在本发明权利要求书的精神和原则之内所做的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (5)

1.一种管理SATA接口系统,其特征在于,包括主机、Mutex芯片、摆渡芯片、硬盘、光驱;
所述主机通过摆渡芯片管理SATA接口、硬盘和光驱,所述摆渡芯片通过IO控制通路选择Mutex芯片;
所述摆渡芯片包括通过DTCM进行数据交互的CPU1和CPU2、SATA Device、多路SATAHost、密码模块和IO模块;
所述SATA Device与主机相连,所述SATA Host与硬盘或光驱相连;
所述密码模块包括多个对称算法核;
所述CPU1通过控制SATA Device、SATA Host、密码模块的算法核1以及相关数据通路,以主机-硬盘SATA桥接的形式,对硬盘进行加解密;
所述CPU2通过控制SATA Host、密码模块的算法核2以及相关数据通路,与CPU1协同工作,以硬盘-光驱SATA桥接的形式,通过摆渡芯片控制SATA Host数据传输,实现硬盘与光驱的数据摆渡;
对于光驱设备访问控制,摆渡芯片通过IO模块控制Mutex芯片,实现间接管理和隐式管理两种模式,所述Mutex芯片包括数据通路A、B、A1、B1、B2;
所述间接管理模式为:当导通B2,关闭B1时,B2与B相连,A1与A相连,主机读取光驱的数据连接导通,主机导入光驱的数据连接断开;主机通过主机主板的SATA接口2导入光驱数据,主机通过摆渡芯片间接导出硬盘数据即将硬盘的数据向光驱传输,摆渡芯片管理光驱的数据导入行为;
所述隐式管理模式为:当导通B1,关闭B2时,B1与B相连,A1与A相连,主机通过摆渡芯片和主机主板的SATA接口1访问硬盘和光驱数据;当导入光驱数据到硬盘时,通过摆渡芯片进行解密导入;当导出硬盘数据到光驱时,通过摆渡芯片进行加密导出。
2.根据权利要求1所述的一种管理SATA接口系统,其特征在于,所述密码模块包括算法核1和算法核2,所述算法核1包括加解密和透传模式,所述算法核2包括加解密模式;
判断硬盘属于现存硬盘还是新增硬盘;
若为现存硬盘,摆渡芯片将算法核1设置为透传模式;
若为新增硬盘,摆渡芯片将算法核1设置为加解密模式。
3.根据权利要求2所述的一种管理SATA接口系统,其特征在于,所述密码模块包括6个AHB接口,包括AHB S0、AHB S1、AHB S2、AHB S3、AHB S4、AHB S5;
所述CPU1通过AHB S4控制密码模块算法核1,所述CPU1控制AHB S4配置寄存器单元1;寄存器单元1负责控制算法核1,算法核1将自身的状态反馈给寄存器单元1;
所述CPU2通过AHB S5控制密码模块算法核2,所述CPU2控制AHB S5配置寄存器单元2;寄存器单元2负责控制算法核2,算法核2将自身的状态反馈给寄存器单元2;
所述算法核1的数据总线为AHB S0和AHB S1,用于传输硬盘和主机间的数据,并通过RX1 FIFO和TX1 FIFO缓存硬盘和主机间传输的数据;
所述AHB S2是中间数据总线,在数据导入、导出的过程中将中间数据暂存在RAM中;
所述AHB S3是光驱数据总线,通过TX2 FIFO向光驱导出数据;
所述密码模块还包括密钥合成单元、算法模块状态机,所述密钥合成单元用于计算MK。
4.根据权利要求1-3任一所述一种管理SATA接口系统的数据安全摆渡的方法,其特征在于,包括数据摆渡导出过程:
S1、主机产生一组随机密钥参数R1,通过私有指令获取R1;
S2、摆渡芯片获取密码模块固化的密钥参数R2,密钥合成单元使用R1和R2生成摆渡密钥MK,将MK配置到算法核2;
S3、识别光驱设备,解析硬盘待导出数据对应的LBA,将LBA发送至摆渡芯片;
S4、摆渡芯片获取LBA,并读取LBA对应的硬盘数据,使用硬盘密钥和算法核1解密硬盘数据;
使用摆渡密钥MK和算法核2将硬盘数据加密并导出到光驱;
S5、使用算法核2和摆渡密钥MK,将S4中解密的硬盘数据进行加密,将密文数据导出到光驱;
S6、摆渡芯片提示当前LBA数据导出完成,主机判断是否所有数据导出完成;
若数据导出完成,则将R1、摆渡芯片标识、导出标识号上传到服务器;
若数据导出未完成,则继续解析剩余待导出数据对应的LBA,重复步骤S3~S6,直至硬盘全部待导出数据导出完成。
5.根据权利要求4所述的一种管理SATA接口系统的数据安全摆渡的方法,其特征在于,还包括数据摆渡导入过程:
S01、服务器获取摆渡芯片标识和导出标识号;
S02、服务器根据导出标识号和摆渡芯片标识获取R1、R2,使用密钥合成算法,计算得到MK;
S03、将MK通过私有指令发送给摆渡芯片,摆渡芯片使用MK配置算法核2,算法核2对光驱导入数据进行解密;
S04、主机将待导入数据的LBA发送给光驱,光驱根据LBA返回导入数据密文;
S05、摆渡芯片使用算法核2解密导入数据密文,得到明文;
S06、主机判断数据导入是否完成;
若数据导入未完成,则重复S04~S06,直至数据摆渡完成;
若数据导入完成,告知服务器销毁导出标识号,服务器将导出标识号和R1销毁。
CN202311825445.9A 2023-12-28 2023-12-28 一种管理sata接口系统及数据安全摆渡的方法 Active CN117473573B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311825445.9A CN117473573B (zh) 2023-12-28 2023-12-28 一种管理sata接口系统及数据安全摆渡的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311825445.9A CN117473573B (zh) 2023-12-28 2023-12-28 一种管理sata接口系统及数据安全摆渡的方法

Publications (2)

Publication Number Publication Date
CN117473573A CN117473573A (zh) 2024-01-30
CN117473573B true CN117473573B (zh) 2024-04-19

Family

ID=89624217

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311825445.9A Active CN117473573B (zh) 2023-12-28 2023-12-28 一种管理sata接口系统及数据安全摆渡的方法

Country Status (1)

Country Link
CN (1) CN117473573B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101826354A (zh) * 2010-05-11 2010-09-08 杨彬 光盘安全管理方法和装置
CN103051593A (zh) * 2011-10-12 2013-04-17 国民技术股份有限公司 一种数据安全摆渡的方法及系统
CN106991061A (zh) * 2017-03-31 2017-07-28 山东超越数控电子有限公司 一种sata硬盘密码模块及其工作方法
CN107393564A (zh) * 2016-05-16 2017-11-24 朱明� 数据摆渡装置及其摆渡方法
CN207587378U (zh) * 2017-08-21 2018-07-06 广东紫晶信息存储技术股份有限公司 一种光盘数据安全摆渡装置
CN115834192A (zh) * 2022-11-22 2023-03-21 杭州安恒信息技术股份有限公司 一种文件摆渡方法、装置及计算机可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017101122A1 (zh) * 2015-12-18 2017-06-22 深圳市振华微电子有限公司 管用分离的计算机加密锁

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101826354A (zh) * 2010-05-11 2010-09-08 杨彬 光盘安全管理方法和装置
CN103051593A (zh) * 2011-10-12 2013-04-17 国民技术股份有限公司 一种数据安全摆渡的方法及系统
CN107393564A (zh) * 2016-05-16 2017-11-24 朱明� 数据摆渡装置及其摆渡方法
CN106991061A (zh) * 2017-03-31 2017-07-28 山东超越数控电子有限公司 一种sata硬盘密码模块及其工作方法
CN207587378U (zh) * 2017-08-21 2018-07-06 广东紫晶信息存储技术股份有限公司 一种光盘数据安全摆渡装置
CN115834192A (zh) * 2022-11-22 2023-03-21 杭州安恒信息技术股份有限公司 一种文件摆渡方法、装置及计算机可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种带有加解密功能的数据摆渡模块设计;聂云杰;王元强;朱孟江;赵华;;单片机与嵌入式系统应用;20180901(第09期);全文 *

Also Published As

Publication number Publication date
CN117473573A (zh) 2024-01-30

Similar Documents

Publication Publication Date Title
EP2016525B1 (en) Encryption apparatus and method for providing an encrypted file system
CN112560058B (zh) 基于智能密码钥匙的ssd分区加密存储系统及其实现方法
US9135450B2 (en) Systems and methods for protecting symmetric encryption keys
JP2021002067A (ja) メモリ動作の暗号化
CN100487715C (zh) 一种数据安全存储系统和装置及方法
US20170277898A1 (en) Key management for secure memory address spaces
US20080072071A1 (en) Hard disc streaming cryptographic operations with embedded authentication
CN101196855B (zh) 移动加密存储设备及密文存储区数据加解密处理方法
US11755499B2 (en) Locally-stored remote block data integrity
CN104618096B (zh) 保护密钥授权数据的方法、设备和tpm密钥管理中心
EP1442349A1 (en) Method and device for encryption/decryption of data on mass storage device
CN1535411A (zh) 用于在使用附属的存储设备的计算机系统中提升安全性的方法和系统
US20190205087A1 (en) Technologies for protecting audio data with trusted i/o
CN105095945A (zh) 一种安全存储数据的sd卡
CN102930212A (zh) 用于办公系统的防数据泄密方法
US8156339B2 (en) Method for transmission/reception of contents usage right information in encrypted form, and device thereof
US20200242050A1 (en) System and method to protect digital content on external storage
CN116886356B (zh) 一种芯片级透明文件加密存储系统、方法及设备
US20040034768A1 (en) Data encryption device based on protocol analyse
CN117473573B (zh) 一种管理sata接口系统及数据安全摆渡的方法
TW202008744A (zh) 動態密碼密鑰擴展
CN112287415B (zh) Usb存储设备访问控制方法、系统、介质、设备及应用
CN111512308A (zh) 一种存储控制器、文件处理方法、装置及系统
CN112149167B (zh) 一种基于主从系统的数据存储加密方法及装置
CN101000584A (zh) 指纹加密硬盘

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant