CN212364995U - 一种具有数据安全功能的固态硬盘组件 - Google Patents
一种具有数据安全功能的固态硬盘组件 Download PDFInfo
- Publication number
- CN212364995U CN212364995U CN202021371702.8U CN202021371702U CN212364995U CN 212364995 U CN212364995 U CN 212364995U CN 202021371702 U CN202021371702 U CN 202021371702U CN 212364995 U CN212364995 U CN 212364995U
- Authority
- CN
- China
- Prior art keywords
- encryption
- solid state
- state disk
- decryption
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本实用新型公开了一种具有数据安全功能的固态硬盘组件,所述固态硬盘组件包括:相互连接的固态硬盘和加/解密卡,所述加/解密卡包括:加/解密处理器、主机接口和密钥管理设备接口;所述主机接口用于连接主机;所述密钥管理设备接口用于连接密钥管理设备,以完成主密钥输入;所述加/解密处理器的PL部分用于对主机发送的数据流进行加密,然后发送至固态硬盘进行存储;还用于对固态硬盘发送的数据流进行解密,然后发送至主机;所述加/解密处理器的PS部分完成与密钥管理设备之间的协议命令解析和任务管理。本实用新型所述的固态硬盘组件能够实现固态硬盘的全盘数据加密,具有高安全性、高吞吐率特点。
Description
技术领域
本实用新型涉及数据存储领域,尤其涉及到一种具有数据安全功能的固态硬盘组件。
背景技术
固态硬盘(SSD)是一种基于永久性存储器或者非永久性存储器的计算机外部存储设备,具有速度快、耗电量低、抗震性佳与可靠性高等优点,不仅广泛地用于便携式计算机中,也广泛应用于军事、车载、工控、航空导航设备等特殊领域。随着互联网络快速发展和普及,病毒、黑客等各种安全威胁的出现,考虑到个人信息和数据泄漏事件持续增多,固态硬盘的数据安全性也引起了广泛关注。
固态硬盘的层级结构如图1所示,可以分为SSD固件、SSD控制器和NAND Flash三层。其中SSD固件又可以分为主机接口、闪存转换层和底层驱动三层,主机接口负责与主机通信;闪存转换层把主机针对磁盘的独立扇区操作转换为对NAND Flash的操作;底层驱动负责配置SSD控制器。
闪存转换层(Flash Translation Layer,FTL)是SSD固件设计的核心,因此SSD固件也可以称为FTL。FTL将逻辑地址和物理地址进行灵活地重新映射,实现异地更新,可以减少擦除NAND Flash的次数。同时,FTL还进行垃圾回收、坏块管理、磨损均衡等工作,FTL的效率直接影响SSD的性能和寿命。为了高效运行FTL,提高SSD性能,SSD控制器中集成了高性能的嵌入式处理器,并配备大容量缓存。SSD控制器的基本结构具有CPU、内存和ROM,可以看作是一个小型计算机系统,在固件的控制下可以有自己的行为。这种结构存在以下隐患:
1)SSD可以自主地读写、擦除NAND Flash,也可以将某些数据块标记为坏块,或者对数据进行加密,不一定需要主机授权。
2)由于闪存转换层的存在,主机无法有效地监督SSD内部的活动,可能导致用户无法确切知道SSD的容量大小、坏块多少、有无隐藏空间、有无预存数据,以及FTL中有无恶意代码。
3)如果FTL中包含一些恶意代码,用户的数据安全将面临威胁,主机对SSD执行格式化和重装系统也无法消除这些安全风险。
现有技术的劣势:
当前对硬盘进行加密的大多是通过专门用于实时加解密硬盘内容的ASIC芯片实现的(如采用Enova公司的单芯片X-Wall SE解决方案),芯片设计了专门的用于用户身份识别的“安全钥匙”,只有通过确认的用户才能启动系统和进行数据的读写操作,这种方法简单易行。但由于上述芯片的功能己经固定,只能采用固有的工作方式和加密算法以及密钥管理方法,适应性较差,而且系统的升级、扩展都会受到影响。
实用新型内容
本实用新型的目的在于克服上述技术缺陷,设计了一种具有数据安全功能的固态硬盘组件,采用下述技术方案:
所述固态硬盘组件包括:相互连接的固态硬盘和加/解密卡,所述加/解密卡包括:加/解密处理器、主机接口和密钥管理设备接口;所述主机接口用于连接主机;所述密钥管理设备接口用于连接密钥管理设备,以完成主密钥输入;
所述加/解密处理器的PL部分用于对主机发送的数据流进行加密,然后发送至固态硬盘进行存储;还用于对固态硬盘发送的数据流进行解密,然后发送至主机;所述加/解密处理器的PS部分完成与密钥管理设备之间的协议命令解析和任务管理。
作为上述装置的一种改进,所述加/解密卡还包括固态硬盘接口,用于连接固态硬盘。
作为上述装置的一种改进,所述加/解密处理器采用高级加密标准的计数器模式、128bit密钥长度的加密引擎算法。
作为上述装置的一种改进,所述加/解密卡采用主密钥和固态硬盘的唯一标识码共同作为访问密钥,用于认证用户身份。
本实用新型的优势在于:
1、本实用新型的加/解密卡采用高级加密标准(AES)计数器(counter,CTR)模式、128bit密钥长度(CTR-AES-128)加密引擎算法,并基于zynq处理器实现该加密算法;
2、本实用新型的加/解密卡的FPGA的可编程灵活性、易实现性,以及简单的密钥管理技术保证了SSD安全方案的高性能;
3、本实用新型的固态硬盘组件能够实现SSD硬盘的全盘数据加密,具有高安全性、高吞吐率特点。
附图说明
图1为现有技术的固态硬盘的层级结构;
图2为本实用新型的具有数据安全功能的固态硬盘组件的结构图;
图3为本实用新型的加/解密卡的层级结构图;
图4为本实用新型的加/解密卡的读写流程图。
具体实施方式
下面结合附图对本实用新型的技术方案进行详细说明。
如图2所示,本实用新型提出了一种具有数据安全功能的固态硬盘组件,包括固态硬盘和加/解密卡,加/解密卡上集成了加/解密处理器、主机接口、SSD接口和密钥管理设备接口;加/解密卡设置在主机和固态硬盘之间,加/解密卡的主密钥通过密钥管理设备以外部输入的形式提供。加/解密处理器选用Zynq-7000,可实现逻辑运算和事务处理的功能。
如图3所示,在固态硬盘SSD和主机之间插入一个加/解密卡,加/解密卡与SSD独立,即SSD不知道存储的数据已被加密。这种方法可以抵御数据盗取和恶意代码从SSD加载病毒程序攻击主机,同时防止特殊数据序列或病毒程序触发FTL中的恶意代码。
首先,加/解密卡混淆了存入SSD的数据,可以防止不可信SSD盗取数据,保存在不可见区域,因为SSD中存储的数据都是密文,且SSD无法自行解密。其次,加密模块也混淆了从SSD读取的数据,可以防止不可信SSD攻击主机,因为攻击者预存于SSD不可见区域或固件中的病毒程序,在读取过程中经过解密变成了乱码,进而无法执行。
所以,在SSD和主机之间连接了加/解密卡后,只有用户自行写入到SSD中的数据能被正确读出。这种防御对策的性能开销很低,因为硬件加解密可达到很高的吞吐率。
加/解密处理器采用AES算法,AES是一种对称的分组迭代加解密算法,它将明文分组长度固定为128bit,密钥分组长度可为128bit,192bit和256bit,AES轮运算具有替代-置换(S-P)结构,分别由密钥扩展、轮密钥异或、字节替换、行移位变换和列混合变换构成。加/解密处理器中所采用的加解密算法是目前广泛使用的加解密算法。
在本实用新型的技术方案中,密钥分组选择128bit,AES的加密模式选择CTR(counter)模式,该模式是通过将数据信息(明文)与密码流相异或进行数据加密进而得到密文。
由于AES-128的加密运算绝大部分为逻辑运算,因此处理器选用Xilinx公司Zynq-7000 SoC处理器。Zynq-7000系列是全可编程片上系统,包含PS(processing system)和PL(Programmable Logic)两部分。Zynq-7000系列将ARM CPU和外设集成在一个芯片内,使得Zynq-7000系列皆具处理器和FPGA双重特性,适用于软硬件协同设计。Zynq处理器的PL部分完成数据流的加密和解密运算,Zynq处理器的PS部分完成与密钥管理设备之间的协议命令解析和任务管理。Zynq处理器的处理均采用现有技术的方法,不涉及方法的改进。
加密算法中的主密钥通过密钥管理设备以外部输入的形式提供,在加/解密卡上电自检时输入,主密钥和SSD的唯一标识码共同作为密钥来认证用户身份。用户如果没有合法密钥的密钥管理设备,则加/解密卡不能恢复操作系统数据,从而不能正常引导操作系统启动,更无法正确读出SSD硬盘里的数据。密钥管理设备由专人保管,密钥管理设备通过密钥管理设备接口与加/解密卡的处理器通信,完成主密钥输入。
本实用新型的加/解密卡的提供了一种高吞吐率的数据加密方案及密钥管理,能够在不改变现有平台的基础上,有效解决SSD的数据安全问题。
如图4为本实用新型的加/解密卡的读写流程。
最后所应说明的是,以上实施例仅用以说明本实用新型的技术方案而非限制。尽管参照实施例对本实用新型进行了详细说明,本领域的普通技术人员应当理解,对本实用新型的技术方案进行修改或者等同替换,都不脱离本实用新型技术方案的精神和范围,其均应涵盖在本实用新型的权利要求范围当中。
Claims (4)
1.一种具有数据安全功能的固态硬盘组件,其特征在于,所述固态硬盘组件包括:相互连接的固态硬盘和加/解密卡,所述加/解密卡包括:加/解密处理器、主机接口和密钥管理设备接口;所述主机接口用于连接主机;所述密钥管理设备接口用于连接密钥管理设备,以完成主密钥输入;
所述加/解密处理器的PL部分用于对主机发送的数据流进行加密,然后发送至固态硬盘进行存储;还用于对固态硬盘发送的数据流进行解密,然后发送至主机;所述加/解密处理器的PS部分完成与密钥管理设备之间的协议命令解析和任务管理。
2.根据权利要求1所述的具有数据安全功能的固态硬盘组件,其特征在于,所述加/解密卡还包括固态硬盘接口,用于连接固态硬盘。
3.根据权利要求1所述的具有数据安全功能的固态硬盘组件,其特征在于,所述加/解密处理器采用高级加密标准的计数器模式、128bit密钥长度的加密引擎算法。
4.根据权利要求1所述的具有数据安全功能的固态硬盘组件,其特征在于,所述加/解密卡采用主密钥和固态硬盘的唯一标识码共同作为访问密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202021371702.8U CN212364995U (zh) | 2020-07-13 | 2020-07-13 | 一种具有数据安全功能的固态硬盘组件 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202021371702.8U CN212364995U (zh) | 2020-07-13 | 2020-07-13 | 一种具有数据安全功能的固态硬盘组件 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN212364995U true CN212364995U (zh) | 2021-01-15 |
Family
ID=74130736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202021371702.8U Active CN212364995U (zh) | 2020-07-13 | 2020-07-13 | 一种具有数据安全功能的固态硬盘组件 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN212364995U (zh) |
-
2020
- 2020-07-13 CN CN202021371702.8U patent/CN212364995U/zh active Active
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7657754B2 (en) | Methods and apparatus for the secure handling of data in a microcontroller | |
CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
CN101196855B (zh) | 移动加密存储设备及密文存储区数据加解密处理方法 | |
EP3667535B1 (en) | Storage data encryption and decryption device and method | |
CN103020537B (zh) | 数据加密方法和装置、数据解密方法和装置 | |
KR100678927B1 (ko) | 비보안 영역에 보안 영역을 할당하는 방법 및 이를제공하는 휴대용 저장 장치 | |
CN101582109A (zh) | 数据加密方法及装置、数据解密方法及装置、固态硬盘 | |
CN103154963A (zh) | 对地址的加扰和对需存储于存储设备中的写入数据的加密 | |
CN102073808B (zh) | 一种通过sata接口加密存储的方法和加密卡 | |
CN101788959A (zh) | 一种固态硬盘安全加密系统 | |
CN1592877A (zh) | 用于对大容量存储设备上数据加密/解密的方法和装置 | |
CN104160407A (zh) | 利用存储控制器总线接口以确保存储设备和主机之间的数据传输安全 | |
US20090086965A1 (en) | Secure, two-stage storage system | |
CN109086612A (zh) | 一种基于硬件实现的嵌入式系统动态数据保护方法 | |
CN112069555B (zh) | 一种基于双硬盘冷切换运行的安全计算机架构 | |
CN116070241A (zh) | 一种移动硬盘加密控制方法 | |
CN105760789A (zh) | 一种加密移动固态硬盘加密密钥的保护方法 | |
CN104346586B (zh) | 自毁式保护数据的存储装置及自毁式保护数据的方法 | |
CN102609368B (zh) | 固态硬盘数据加解密的方法及其固态硬盘 | |
CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
CN107563226B (zh) | 一种存储器控制器、处理器模块及密钥更新方法 | |
CN212364995U (zh) | 一种具有数据安全功能的固态硬盘组件 | |
CN207475576U (zh) | 一种基于安全芯片的安全移动终端系统 | |
CN107861892B (zh) | 一种实现数据处理的方法及终端 | |
CN103154967A (zh) | 修改元素的长度以形成加密密钥 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |