一种基于龙芯处理器的可信加密系统的制作方法

一种基于龙芯处理器的可信加密系统的制作方法
【专利摘要】本发明公开一种基于龙芯处理器的可信加密系统，通过TCM芯片对BIOS及操作系统进行完整性保护，并基于TCM芯片密码算法对密钥进行加密保护，密钥存储在USBkey内部，通过对BIOS改造实现密钥使用认证，密钥从USBKey到硬盘密码芯片的传输，采用可信计算技术保证系统不被破坏，通过加密密钥存储、使用过程的安全性保护，保证加密数据的安全可信。
【专利说明】—种基于龙芯处理器的可信加密系统

【技术领域】
[0001]本发明涉及信息安全领域，具体地说是一种基于龙芯处理器的可信加密系统。

【背景技术】
[0002]在计算机技术和互联网迅速发展的今天，数据已经成为企业、政府与个人非常重要的资产，随着数据的重要性提升，人们对数据的安全保密也逐渐重视起来。对敏感数据加密加密是保护数据安全的一种有效途径，能够有效防止敏感数据泄密。
[0003]数据加密一般采用软件加密与硬件加密两种方式，软件加密多采用文件过滤驱动、硬盘过滤驱动等技术实现，存在软件程序容易被篡改、数据丢失、数据无法解密等问题；硬件加密多采用硬件密码芯片加密，不易被破解，安全性更高，能够在有效保证数据安全的同时保证数据可用。传统硬件加密密钥通常存储于密码芯片内部，通过在B1S中输入ATA密码对加密的密钥解密，然后获取密钥明文对硬盘进行数据解密，这种方式存在两个严重问题:一是基于ATA密码方式，容易被盗取，二是没有保证B1S与操作系统的完整性，一旦B1S或操作系统被破坏，同样可以导致敏感数据泄密。通常密钥存储采用外部USBKey的形式，既保证了密钥安全又保证了用户身份，而完整性基于可信密码芯片TCM实现，通过调用TCM芯片杂凑算法对B1S与操作系统进行完整性验证。
[0004]随着各类安全事件的频发，国家对计算机国产化也逐步重视起来，在国产化进程中，国产化处理器是必不可少的组成部分。目前国产处理器在商用领域以龙芯处理器为主，3B龙芯处理器主频已经达到1.1GHZ，配套生态系统也比较成熟，已经能够满足基本日常应用的需求。


【发明内容】

[0005]本发明的目的是提供一种基于龙芯处理器的可信加密系统。
[0006]本发明的目的是按以下方式实现的，系统包含可信完整性验证模块I)、密钥管理模块2)、硬盘加解密模块3)，其中:
可信完整性验证模块I)首先通过TCM内部COS对B1S进行完整性度量，预期值保证在TCM芯片NV存储区内部，验证通过后将信任链传递给B10S，由B1S完整对操作系统的完整性验证；
可信完整性验证步骤如下:
Cl)开机加电，TCM可信密码模块COS调用TCM芯片杂凑算法对计算机B1S进行杂凑计算;
(2)将B1S杂凑值与TCM芯片内部存储的预期值进行对比，如果相同则继续下一步，否则禁止系统启动；
(3)B10S调用TCM芯片杂凑算法对操作系统内核进行杂凑计算，获得杂凑值，将所得杂凑值与TCM内部存储的操作系统内核预期值进行对比，如果相同则继续下一步，否则禁止系统启动； (4)B10S调用TCM芯片杂凑算法对操作系统关键文件进行杂凑计算，获得杂凑值，将所得杂凑值与TCM内部存储的操作系统关键文件预期值进行对比，如果相同启动操作系统，否则禁止系统启动；
密钥管理模块2)基于USBKey存储密钥，并通过TCM芯片对密钥进行加密保护；密钥管理模块包含密钥生成、密钥加密与密钥存储功能，密钥生成通过用户输入结合硬件信息产生加密密钥；通过TCM加密算法对密钥进行加密，加密后存储与USBKey内部，密钥管理步骤如下:
(1)将用户USBKey设备与计算机相连，密钥管理模块用于存储密钥；
(2)密钥管理模块输入用户基本信息，调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值，取杂凑值中的8字节作为密钥Kl ；
(3)密钥管理模块获取计算机硬件信息，调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值，将杂凑值作为K2 ；
(4)密钥管理模块将Kl与K2连接后得到密钥K，调用TCM芯片对称加密算法对K加密后存储存储于USBKey内部；
硬盘加解密模块3)通过改造B1S实现密钥读取认证与密钥解密传输功能，硬盘加解密模块首先B1S对密钥使用进行PIN认证，认证通过后对密钥解密，解密后传递给加密密码芯片，通过硬盘密码芯片对数据进行加解密，硬盘加解密步骤如下:
(1)将用户USBKey设备与计算机相连，密钥传输模块读取加密密钥；
(2)密钥传输模块提示用户输入PIN码，用于验证用户身份合法性；
(3)用户身份验证通过后，密钥传输模块从USBKey读取加密密钥，调用TCM对称加密算法对加密的密钥进行解密获得密钥明文，然后将密钥传递给硬盘加密模块，硬盘加密模块对硬盘数据加解密。
[0007]本发明的目的有益效果是:通过TCM芯片对B1S及操作系统进行完整性保护，并基于TCM芯片密码算法对密钥进行加密保护。密钥存储在USBkey内部，通过对B1S改造实现密钥使用认证，密钥从USBKey到硬盘密码芯片的传输。采用可信计算技术保证系统不被破坏，通过加密密钥存储、使用过程的安全性保护，保证加密数据的安全可信。

【专利附图】

【附图说明】
[0008]图1是可信完整性验证流程图；
图2是密钥管理流程图；
图3是硬盘加解密流程图。

【具体实施方式】
[0009]参照说明书附图对本发明的作以下详细地说明。
[0010]本发明的一种基于龙芯处理器的可信加密系统，为了使本发明的技术方法、优点更加清楚，以下结合附图和实施例对本发明系统和方法进行进一步详细说明。
[0011](一)传统计算机没有对B1S及操作系统文件进行完整性验证，如果B1S或操作系统遭到破坏，执行恶意代码，非常容易造成数据泄密。本发明通过TCM芯片COS对B1S进行完整性度量，由B1S对操作系统度量，通过信任链的传递保证计算机自身可信安全。
[0012]为实现B1S对操作系统完整性度量，B1S需要进行改造。参见图1改造后完整性度量过程如下:
(1)通过配置界面配置要度量的操作系统文件路径及预期值，配置信息存储于TCM芯片NV存储区中，B1S通过PCIE驱动与TCM芯片通信，通过发送TCM命令操作TCM相关功倉泛;
(2)B10S打开需操作系统文件，通过TCM_HASH_INIT_ORD命令初始化杂凑算法，然后通过TCM_HASH_UPDATE_ORD命令将操作系统文件发送到TCM芯片内部，最后调用TCM_HASH_FINI_0RD命令结束杂凑算法，获取杂凑值；
(3)从TCM芯片NV存储区读取操作系统文件预期值，对比计算得到的杂凑值与预期值，判断是否相同，如果相同则继续启动操作系统，否则停止启动操作系统。
[0013](二)传统硬件加密方式密钥存储于密码芯片内部，无法保证密钥使用安全，本发明将密钥存储与USBKey设备中，采用TCM芯片密码算法加密，如果要使用USBKey中存储密钥必须通过认证。图2为本发明的密钥管理流程图，详细步骤如下:
(O密钥管理模块输入用户基本信息，调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值，取杂凑值中的8字节作为密钥Kl ；
(2)密钥管理模块获取计算机硬件唯一标识，调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值，将杂凑值作为K2 ；
(3)密钥管理模块将Kl与K2连接后得到密钥K，调用TCM芯片对称加密算法对K加密；
(4)密钥管理模块调用USBKey驱动接口将加密后密钥存储与USBKey内部，并设置USBKey PIN 码。
[0014](三)硬盘加解密所使用的密钥通过B1S从USBKey内部读取，然后传递给硬盘密码芯片。图3为本发明的硬盘加解密流程，具体步骤如下:
(1)USBKey连接计算机，在计算机中USBKey以HID设备的形式识别；
(2)B10S检测到USBKey的插入，提示用户输入PIN码，用户输入PIN码确认后，B1S通过HID协议将PIN传递到USBKey内部，USBKey内部COS验证PIN码后将验证结果返回给B1S,认证通过则继续下一步，否则停止系统启动；
(3 )USBKey认证通过后，B1S从USBKey读取加密密钥，然后通过发送TPM_0RD_Decrypt命令对加密的密钥进行解密，得到加密密钥明文，然后将密钥传递给硬盘加密模块，硬盘加密模块通过调用加密芯片内部的密码算法对数据进行解密。
[0015]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
[0016]除说明书所述的技术特征外，均为本专业技术人员的已知技术。
【权利要求】
1.一种基于龙芯处理器的可信加密系统，其特征在于系统包含可信完整性验证模块I)、密钥管理模块2)、硬盘加解密模块3)，其中: 可信完整性验证模块I)首先通过TCM内部COS对B1S进行完整性度量，预期值保证在TCM芯片NV存储区内部，验证通过后将信任链传递给B1S，由B1S完整对操作系统的完整性验证； 可信完整性验证步骤如下: (1)开机加电，TCM可信密码模块COS调用TCM芯片杂凑算法对计算机B1S进行杂凑计算; (2)将B1S杂凑值与TCM芯片内部存储的预期值进行对比，如果相同则继续下一步，否则禁止系统启动； (3)B10S调用TCM芯片杂凑算法对操作系统内核进行杂凑计算，获得杂凑值，将所得杂凑值与TCM内部存储的操作系统内核预期值进行对比，如果相同则继续下一步，否则禁止系统启动； (4)B10S调用TCM芯片杂凑算法对操作系统关键文件进行杂凑计算，获得杂凑值，将所得杂凑值与TCM内部存储的操作系统关键文件预期值进行对比，如果相同启动操作系统，否则禁止系统启动； 密钥管理模块2)基于USBKey存储密钥，并通过TCM芯片对密钥进行加密保护；密钥管理模块包含密钥生成、密钥加密与密钥存储功能，密钥生成通过用户输入结合硬件信息产生加密密钥；通过TCM加密算法对密钥进行加密，加密后存储与USBKey内部，密钥管理步骤如下: (1)将用户USBKey设备与计算机相连，密钥管理模块用于存储密钥； (2)密钥管理模块输入用户基本信息，调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值，取杂凑值中的8字节作为密钥Kl ； (3)密钥管理模块获取计算机硬件信息，调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值，将杂凑值作为K2 ； (4)密钥管理模块将Kl与K2连接后得到密钥K，调用TCM芯片对称加密算法对K加密后存储存储于USBKey内部； 硬盘加解密模块3)通过改造B1S实现密钥读取认证与密钥解密传输功能，硬盘加解密模块首先B1S对密钥使用进行PIN认证，认证通过后对密钥解密，解密后传递给加密密码芯片，通过硬盘密码芯片对数据进行加解密，硬盘加解密步骤如下: (1)将用户USBKey设备与计算机相连，密钥传输模块读取加密密钥； (2)密钥传输模块提示用户输入PIN码，用于验证用户身份合法性； (3)用户身份验证通过后，密钥传输模块从USBKey读取加密密钥，调用TCM对称加密算法对加密的密钥进行解密获得密钥明文，然后将密钥传递给硬盘加密模块，硬盘加密模块对硬盘数据加解密。
【文档编号】G06F21/64GK104200156SQ201410426271
【公开日】2014年12月10日 申请日期:2014年8月27日 优先权日:2014年8月27日
【发明者】郭猛善, 冯磊 申请人:山东超越数控电子有限公司