专利名称:一种固态硬盘安全加密系统的制作方法
技术领域:
本发明涉及计算机安全技术领域,特别是固态硬盘加密系统。
背景技术:
目前的计算机安全系统一般包括以下两种,一是通过软件进行用户访问权限的管控;二是对固态硬盘中的数据进行加密。 通过软件进行用户访问权限的管理控制的方法简单,易破解,保密性差,因此,大多数计算机安全系统采用对固态硬盘中的数据进行加密,即固态硬盘安全加密系统。
现有的固态硬盘安全加密系统一般包括固态硬盘、密钥和身份认证系统;固态硬盘包括加解密模块、固态硬盘控制模块、存储模块;密钥和身份认证系统存储在存储模块中。现有固态硬盘安全加密系统的方法包括以下步骤 步骤(1)、身份认证系统进行身份认证的步骤,该步骤做出以下选择
身份认证正确,进行步骤(2);
或 身份认证不正确,进行步骤(1); 步骤(2)、固态硬盘控制模块将密钥加载至加解密模块; 步骤(3)、加解密模块根据密钥为固态硬盘输入/输出的数据加密/解密。
由于固态硬盘中的数据均经过加密处理,安全性好,因此数据不易被破解。但现有的固态硬盘安全加密系统也存在一些缺陷一、由于密钥也存储在固态硬盘中,易在密钥的保存、管理和传输上出现问题,如攻击者可以通过攻击固态硬盘中存放密钥的存储介质来非法手段获得密钥,从而实现密文的破解。二、密钥具有唯一性,不利于多用户使用。
发明内容
本发明所要解决的技术问题是提供一种安全性更好的固态硬盘安全加密系统。
本发明为解决上述提出的问题所采用解决方案为 —种固态硬盘的安全加密系统,它包括主机、设置在主机上的固态硬盘、密钥和身份认证系统;固态硬盘包括加解密模块、固态硬盘控制模块、存储模块;身份认证系统存储在存储模块中;密钥存储在固态硬盘以外的密钥存储介质上。 上述方案中,存储模块内设有只读存储区域,身份认证系统存储在只读存储区域内。 上述方案中,所述固态硬盘在主机上电后,首先启动身份认证系统。 上述方案中,所述固态硬盘包括一个或多个用户存储区域,密钥为一个或多个;一
个用户存储区域对应一个或多个密钥,或, 一个密钥对应一个或多个用户存储区域。 上述方案中,所述身份认证系统在用户密钥存储介质连接在主机上并输入认证指
令后进行以下步骤 步骤(1)、认证输入认证指令的步骤,该步骤作出以下选择
认证指令正确,进行步骤(2);
或 认证指令不正确,进行步骤(1); 步骤(2)、认证密钥与用户存储区域的步骤,该步骤作出以下选择
认证正确,进行步骤(3);
或 认证不正确,进行步骤(2); 步骤(3)、切换存储区域至密钥对应存储区域并通过固态硬盘控制模块将密钥加 载至加解密模块。 上述方案中,密钥存储介质为可信存储介质,密钥存储介质为USB KEY或其它存储 设备或服务器。 与现有技术相比,本发明具有以下优点 1、密钥存储在固态硬盘以外的密钥存储介质(如USB KEY或其它存储设备或服务 器等)上,使得密钥与主机、固态硬盘分离,存储密钥的介质可另处保存,提高了固态硬盘 安全加密系统的安全性。 2、身份认证系统存储在只读存储区域内,不会遭到修改和破坏,进一步提高了固 态硬盘安全加密系统的安全性。 3、所述固态硬盘在主机上电后,首先启动身份认证系统,为提高整个固态硬盘安 全性和多用户使用创造条件。 4、固态硬盘还可以包括两个或两个以上的用户存储区域,密钥可以为两个或两个 以上,保证多用户情况下各用户数据的安全性。 5、身份认证系统在认证确认后才能切换存储区域至密钥对应存储区域并进行数 据的加解密,非法使用者无法访问他人的用户存储区域。 6、密钥存储介质为可信存储介质(TPM, Trusted Platform Module),安全性好。
图1为本发明系统实施例的结构框图
图2为本发明实施例的固态硬盘的结构示意图
图3为本发明实施例数据加解密的原理框图
图4为本发明实施例数据加解密的方法流程图
图5为本发明实施例的数据读写流程图 图6为本发明实施例认证存储区域切换和用户数据存储区域切换方法的流程图
具体实施例方式
下面将结合本发明实施例和附图,对本发明的技术方案进行清楚、完整的描述,显 然,所描述的实施例是本发明的一部分实例,而不是全部的实施例。基于本发明的实施例, 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发 明保护的范围。 如图1所示的本发明实施例,它为固态硬盘的安全加密系统,它包括主机、设置在
4主机上的固态硬盘、密钥和身份认证系统;固态硬盘包括加解密模块、固态硬盘控制模块、 存储模块;身份(用户)认证系统存储在存储模块中,密钥存储在固态硬盘以外的密钥存储 介质上,本实施例的密钥存储介质为USB-KEY。 如图2所示,所述固态硬盘包括接口模块、加解密模块、固态硬盘控制器模块、存 储模块(闪存阵列模块),其中存储模块内设有只读存储区域(分区),身份认证系统存储 在只读存储区域内。 接口模块通过标准协议使固态硬盘和主机端进行通信,这个模块根据采用的标准 协议不同,可以为PATA、 SATA、 PCI-E等接口,其中密钥和用户数据都通过接口模块与固态 硬盘进行交互。加解密模块,通过硬件,或使用可编程门阵列(FPGA)做加解密逻辑,或使用 专用芯片(ASIC)进行加解密运算,用户数据经接口模块传输到固态硬盘之后,经由加密模 块根据密钥进行加密运算,同样的,用户数据从固态硬盘中读出时需要根据密钥进行解密 运算,之后才能通过接口模块传给主机端,其中加解密模块也可以包含在固态硬盘控制器 模块中,作为它的子模块来实现加解密功能。固态硬盘控制器模块,用于处理接口模块的标 准协议所发出的命令,然后解析命令,转化为存储模块能识别的操作等等。存储模块用来存 储用户数据,其中只读存储区域是固化在存储模块中的一个容量较小的存储区域,容量大 约为64MB 256MB,该存储区域用来存储身份认证系统。
所述固态硬盘在主机上电后,首先启动身份认证系统。 所述固态硬盘还可以包括一个或多个用户存储区域(分区),密钥可以为一个或 多个;一个用户存储区域可以对应一个或多个密钥,或,一个密钥可以对应一个或多个用户 存储区域。 所述身份认证系统在用户密钥存储介质连接在主机上并输入认证指令后进行以 下步骤 步骤(1)、认证输入认证指令的步骤,该步骤做出以下选择
认证指令正确,进行步骤(2);
或 认证指令不正确,进行步骤(1); 步骤(2)、认证密钥与用户存储区域的步骤,该步骤做出以下选择
认证正确,进行步骤(3);
或 认证不正确,进行步骤(2); 步骤(3)、切换存储区域至密钥对应存储区域并通过固态硬盘控制模块将密钥加
载至加解密模块。 本实施例的工作原理为 如图3所示,密钥存储介质用于对密钥进行管控,密钥存储介质应为可信介质 (TPM)。身份认证系统与用户进行交互,从而获得用户权限,可以采用多种认证方式,如用户 密码、射频识别、指纹等生物特征的认证方式,该身份认证系统固化在固态硬盘的只读存储 区域中,其平台操作系统可能是Windows、Dos、Li皿x或其他类Unix系统等。身份认证主要 包括3种密钥存储介质和用户之间的认证,用于认证用户对这个密钥管理的权限;密钥存 储介质和加解密模块之间的认证,用户获得密钥存储介质的权限之后,需要验证密钥存储介质和加解密模块之间的一一对应关系;当密钥存储介质和加解密模块之间的一一对应关 系确定之后,还需要有密钥存储介质和加解密模块之间的密钥传输的安全协议。加解密模 块通过硬件运算,对用户数据进行实时的加解密操作。这种方法使得密钥管理和固态硬盘 分离,因此丢失密钥存储介质或是固态硬盘都能使得数据依然能够得到保护;身份认证系 统本身固化在固态硬盘本身,使得用户认证不依赖与具体的主机平台。
如图4所示,本实施例的认证系统运行的具体步骤为 1、主机上电之后,首先启动固态硬盘中的只读存储区域。该存储区域上固化有操 作系统,如Linux、 Dos、 Windows或其它类型的系统,身份认证系统的程序就是基于该操作 系统上运行的。这个只读的系统会初始化主机的硬件,特别会加载与认证系统相关的硬件 驱动并初始化,如USB驱动、SATA或IDE驱动、VGA或VESA显卡驱动等。待初始化完毕,系 统进入用户认证程序。 2、根据密钥存储介质接口的不同类型,进行初始化。 3、用户身份认证系统之后,根据认证程序及实施例而采用的不同认证方式,和身 份认证系统进行交互,从而获得合法的用户权限。比如,采用键入密码、录入指纹等生物性 征的方式。而这是认证的第一步,通过该步骤确认用户对密钥存储模块的权限。如果用户 没有获得该权限,则无法进行后面的认证步骤。 4、在通过第一步的认证后,即用户取得密钥存储介质的权限之后,进行下一步的 认证。由于密钥存储介质应和固态硬盘存在着对应关系,如一对一关系,或一对多关系等 等,所以密钥存储介质和固态硬盘也应进行认证,若果不匹配,则无法进行下面的操作。这 一部分的认证,也是基于身份认证系统完成的。 5、在完成上述认证步骤之后,密钥通过安全的链路将密钥从密钥存储介质传输到 固态硬盘加密模块中。这个链路应是安全的,即需要将密钥进行封装,转化为密文进行传 输,且在传输过程应利用非公有标准进行传输,以防止被监听。 6、至此,用户认证系统的任务已经全部完成,需要退出认证存储区域,进入用户数 据存储区域。在认证系统完成认证任务后向固态硬盘发送切换存储区域的命令,于此同时, 退出身份认证系统并对固态硬盘进行硬复位操作。这样对用户而言,其所见的就是用户的 数据存储区域了,此时,用户对于认证存储区域是不可见的,同理,当进行用户认证操作时, 用户也只可见认证存储区域,对于用户的数据存储区域是不可见的。 7、此时,固态硬盘的加解密模块已经获得密钥。加解密模块通过硬件加解密运行, 对用户的数据进行实时的加解密操作,用户就能透明地访问固态硬盘中的加密数据。
下面介绍该实施例中的具体模块和实施步骤 1、如图1中USB-KEY密钥存储介质和主机之间通过USB接口和标准协议进行互联 通信。主机和固态硬盘侧通过SATA接口进行连接。在包含加解密模块的固态硬盘控制器 模块中集成了主控CPU、认证/密钥管理、XTS-AES加解密模块、闪存阵列控制器。存储模块 中包括固化在一个较小容量(64M 256M)的只读存储区域,其中装载着只读的认证系统。
2、具体对包含加解密模块的固态硬盘控制器模块中的各部分进行说明其中主 控CPU用于控制整个固态硬盘固件程序的运行,并且控制加解密硬件模块的运行。认证/ 密钥管理的功能是记录认证状态,并且用寄存器保存主密钥,其密钥在固态硬盘掉电之后 会丢失,因此,当固态硬盘掉电之后即需从新认证,重新获取密钥。XTS-AES加解密,其中XTS-AES模式的实现见标准IEEE Standard for Cryptographic Protection of Data on Block-OrientedStorage Devices。闪存阵列控制器用于控制闪存阵列的读写操作。
3、只读存储区域中装载的Li皿x操作系统在加电后在主机上运行,用户即进入身 份认证系统,后面的步骤。 数据进行加解密的操作过程如图5所示,当主机发出ATA命令后,运行在固态硬 盘控制器上的固件程序判断并解析该命令。如果是读命令,那么在固态硬盘控制器在从闪 存阵列中读取数据之后,经过固态硬盘控制器中的错误检测及纠错(ECC)操作,然后根据 XTS-AES算法,在硬件电路上对数据进行多项式运算,从而得到明文,之后传输到主机。同样 的,如果是写操作,那么在写入数据之后,经过XTS-AES算法的多项式运算之后,得到密文, 然后由控制器将数据写入到固态硬盘中的闪存阵列中。 只读存储区域和用户存储区域的切换过程如图6所示,其步骤在下面进行说明。
在固态硬盘的固件程序中,对逻辑地址(以下简称LBA)的解析的范围首先设定为 0 LBA1 (LBA1某逻辑地址,其大小为只读认证系统的大小),并将该存储区域的写保护进 行标记(Write Protect,参见标准ATA协议)。当固态硬盘加点后,进入0 LBA1范围的 存储区域,即只读的Li皿x认证存储区域。当认证完毕,固态硬盘的固件程序收到切换存储 区域的命令后,固件程序,将LBA解析范围偏移LBA1的大小,这样主机就能访问用户数据存 储区域。在固态硬盘硬复位之前,将该存储区域的写保护关掉,这样存储区域切换完成。
本发明的密钥存储介质还可为其他接口、其它存储设备或服务器等其他形式的可 信密钥载体。 本实施例是根据本发明提供的一种固态硬盘的安全加密系统,其它依据本发明进 行的实施方案均应属于在该方法下的实施。
权利要求
一种固态硬盘安全加密系统,它包括主机、设置在主机上的固态硬盘、密钥和身份认证系统;固态硬盘包括加解密模块、固态硬盘控制模块、存储模块;身份认证系统存储在存储模块中;其特征在于密钥存储在固态硬盘以外的密钥存储介质上。
2. 如权利要求1所述的固态硬盘安全加密系统,其特征在于存储模块内设有只读存 储区域,身份认证系统存储在只读存储区域内。
3. 如权利要求1或2所述的固态硬盘安全加密系统,其特征在于所述固态硬盘在主 机上电后,首先启动身份认证系统。
4. 如权利要求3所述的固态硬盘安全加密系统,其特征在于所述固态硬盘包括一个 或多个用户存储区域,密钥为一个或多个;一个用户存储区域对应一个或多个密钥,或,一 个密钥对应一个或多个用户存储区域。
5. 如权利要求4所述的固态硬盘安全加密系统,其特征在于所述身份认证系统在用 户密钥存储介质连接在主机上并输入认证指令后进行以下步骤步骤(1)、认证输入认证指令的步骤,该步骤作出以下选择认证指令正确,进行步骤(2);或认证指令不正确,进行步骤(1);步骤(2)、认证密钥与用户存储区域的步骤,该步骤作出以下选择认证正确,进行步骤(3);或认证不正确,进行步骤(2);步骤(3)、切换存储区域至密钥对应存储区域并通过固态硬盘控制模块将密钥加载至 加解密模块。
6. 如权利要求1或2所述的固态硬盘安全加密系统,其特征在于密钥存储介质为可信存储介质,密钥存储介质为USB KEY或其它存储设备或服务器。
全文摘要
本发明涉及一种固态硬盘安全加密系统,它包括主机、设置在主机上的固态硬盘、密钥和身份认证系统;固态硬盘包括加解密模块、固态硬盘控制模块、存储模块;身份认证系统存储在存储模块中;密钥存储在固态硬盘以外的密钥存储介质上。与现有技术相比,本发明密钥存储在固态硬盘以外的密钥存储介质(如USB KEY或其它存储设备或服务器等)上,使得密钥与主机、固态硬盘分离,存储密钥的介质可另处保存,提高了固态硬盘安全加密系统的安全性。
文档编号G06F12/14GK101788959SQ20101909100
公开日2010年7月28日 申请日期2010年2月3日 优先权日2010年2月3日
发明者吴非, 王亚轩, 王亮, 陈祥 申请人:武汉固捷联讯科技有限公司