基于多核处理器安全固态硬盘的加密存储控制系统及方法与流程

1.本发明涉及存储技术领域，尤其涉及基于多核处理器安全固态硬盘的加密存储控制系统及方法。


背景技术：

2.固态硬盘简称ssd（solid state disk），主要由硬盘控制芯片和存储芯片构成，利用传统的nand flash特性，以区块写入和擦除的方式进行读写操作来实现数据存储的电子设备。由于基于闪存颗粒的固态硬盘具有功耗低、体积小、性能快、稳定性好等特点，广泛应用于军事、工控、电力、医疗、航空、消费电子等领域。
3.随着新一代信息技术的高速发展，数据存储领域存在的各种安全问题隐患也愈演愈烈，因此高性能安全固态存储模块的设计开发和应用，成为了国内固态硬盘相关技术、产品急需解决问题中非常重要的一个核心技术突破点。
4.现有的数据加密存储技术存在着一些不足或弊端：1、采用操作系统层面的应用软件实现用户数据的加密存储。软实现的密码算法性能低，操作系统多进程调用时共享主机内存时容易出现数据泄露，存在较大安全隐患；2、存储加密虽然采用硬件实现，但是安全性方案与宿主机bios深度绑定，在启动阶段需要在bios中植入安全认证固件，不仅很难做到基于非对称算法的高安全等级鉴权登录，同时该方案不利于固态硬盘跨平台移植使用，令产品推广受限；3、很多固态硬盘使用的加解密技术仍然采用tcg opal方案及aes算法，没有采用我国自主研制的商用密码算法；4、大多数固态硬盘加密技术只能实现对于用户数据分区的加密，无法有效安全地实现包含系统分区在内的全盘加密技术。


技术实现要素：

5.本发明的目的在于克服现有技术的不足，提供基于多核处理器安全固态硬盘的加密存储控制系统及方法。
6.本发明的目的是通过以下技术方案来实现的：基于多核处理器安全固态硬盘的加密存储控制系统，包括安全ssd算法配用模块、主引导记录读取模块和安全启动控制模块和配置管理模块；所述安全ssd算法配用模块用于为全盘安全策略调用及数据保护提供了国密标准的sm2、sm3和sm4算法支持；所述主引导记录读取模块用于安全固态盘上电后，bios启动设备硬件自检，完成后按引导顺序获得相应的主引导记录mbr；所述安全启动控制模块用于控制并获取安全ssd算法配用模块产生sm2密钥对pk|sk，并产生用户rnd，mkey保护sk后生成sk'连同用户rnd一起打包为sk'|pk|rnd进行存储；所述配置管理模块用于在boot os启动后对硬盘进行分区管理、用户配置以及用
户登录。
7.进一步的，所述配置管理模块包括分区管理单元、用户配置单元和用户登录单元，用户配置单元功能在管理员登录后使能，对普通用户进行增加和删除操作，在增加用户时需配置用户权限，指定用户可访问的硬盘空间，用户登录功能支持合法用户登录，获取其相应的空间使用权限。
8.进一步的，所述配置管理模块在用户在boot os上登录成功后直接启动user os，user os启动成功后完成自动加载；在user os下的配置管理模块仅具有用户登录功能，支持用户登录登出操作；用户成功进入user os后可执行的各项正常操作；用户在操作完成后，应在配置管理模块中及时退出登录，清除其相应权限；用户退出后，配置管理模块支持任意合法用户登录，其他用户登录后使能相应的用户权限，展现相应的存储空间。
9.进一步的，所述分区管理单元对磁盘进行分区，并生成各分区所需的工作密钥wk，wk被pk保护后进行存储。
10.进一步的，还包括外挂于控制器安全芯片的norflash；所述norflash用于存储被pk保护后的工作密钥wk以及打包的sk'|pk|rnd。
11.进一步的，所述国密标准的sm2算法用于加密保护根密钥；所述sm3算法用于用于用户口令随机加扰后衍生根密钥；所述sm4用于加密保护私钥、存储数据加解密。
12.进一步的，基于多核处理器安全固态硬盘的加密存储控制系统的加密存储控制方法，包括以下步骤：步骤1：主机端用户在user os阶段键入userid和pwd，此时安全ssd控制器中的安全芯片产生sm2密钥对pk|sk，并产生用户rnd；mkey保护sk后生成sk'连同用户rnd一起打包为sk'|pk|rnd，写入控制器安全芯片外挂的norflash中存储；步骤2：配置管理模块进行磁盘分区，并生成各分区所需的工作密钥wk，wk被pk保护后密存于sec cpu外挂的norflash中；步骤3：通过配置管理模块，管理用户信息以及磁盘编号，对不同的系统用户开放对应磁盘空间的访问权限；将工作密钥wk配置到安全固态存储控制芯片的数据加解密通道所用的密钥空间，sata总线数据经过安全控制芯片的前端协议栈处理后，附带有效数据的帧索引对应的wk进行加密存储；读取时，通过对ftl处理模块的密文进行脱密之后，还原帧及明文流向协议处理模块。
13.本发明的有益效果：基于国产化ssd控制芯片，实现了从硬件、密码算法、安全固件、适配操作系统软件全国产化的自主可控技术路径。解决了传统软件加密存储方案效率低、安全性弱的缺陷，全盘加密方案与主板bios弱耦合，不需要bios厂商参与到安全性方案设计中，能够在多种国产化平台中自由适配。基于boot os+user os的具有身份划分的，由sm2算法安全认证鉴权的登录机制，具有很高的盘级安全管控能力；自主研制的配置管理模块，界面友好，操作简单，便于跨平台移植，可扩展性强。真正的全盘加密策略，并配合紧急状态下硬件级一键快速销毁功能，完美保护数据的安全性。
附图说明
14.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对
范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
15.图1是本发明的系统原理框图。
16.图2是安全固态硬盘状态跳转流程图。
17.图3是安全固态硬盘的总执行流程图。
18.图4是安全固态硬盘启动控制流程图。
具体实施方式
19.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
20.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
21.本实施例中，如图1所示，基于多核处理器安全固态硬盘的加密存储控制系统，包括安全ssd算法配用模块、主引导记录读取模块和安全启动控制模块和配置管理模块；所述安全ssd算法配用模块用于为全盘安全策略调用及数据保护提供了国密标准的sm2、sm3和sm4算法支持；所述主引导记录读取模块用于安全固态盘上电后，bios启动设备硬件自检，完成后按引导顺序获得相应的主引导记录mbr；所述安全启动控制模块用于控制并获取安全ssd算法配用模块产生sm2密钥对pk|sk，并产生用户rnd，mkey保护sk后生成sk'连同用户rnd一起打包为sk'|pk|rnd进行存储；所述配置管理模块用于在boot os启动后对硬盘进行分区管理、用户配置以及用户登录。
22.进一步的，所述配置管理模块包括分区管理单元、用户配置单元和用户登录单元，用户配置单元功能在管理员登录后使能，对普通用户进行增加和删除操作，在增加用户时需配置用户权限，指定用户可访问的硬盘空间，用户登录功能支持合法用户登录，获取其相应的空间使用权限。
23.进一步的，所述配置管理模块在用户在boot os上登录成功后直接启动user os，user os启动成功后完成自动加载；在user os下的配置管理模块仅具有用户登录功能，支持用户登录登出操作；用户成功进入user os后可执行的各项正常操作；用户在操作完成后，应在配置管理模块中及时退出登录，清除其相应权限；用户退出后，配置管理模块支持任意合法用户登录，其他用户登录后使能相应的用户权限，展现相应的存储空间。
24.进一步的，所述分区管理单元对磁盘进行分区，并生成各分区所需的工作密钥wk，wk被pk保护后进行存储。
25.进一步的，还包括外挂于控制器安全芯片的norflash；所述norflash用于存储被pk保护后的工作密钥wk以及打包的sk'|pk|rnd。
26.进一步的，所述国密标准的sm2算法用于加密保护根密钥；所述sm3算法用于用于用户口令随机加扰后衍生根密钥；所述sm4用于加密保护私钥、存储数据加解密。
27.在本实施例中，如图2所示，本方案中安全固态硬盘ssd状态跳转过程如下。
28.出厂准备：安全固态硬盘出厂时会先安装好bootos，并在该前置系统中安装配置管理工具；安装好sec固件，初始化管理员并配置厂家默认口令；用户配置：用户拿到安全固态盘后，通过默认管理员口令登录，通过bootos中的配置管理工具进行硬盘分区、安装用户操作系统、创建普通用户。磁盘分区、用户创建绑定及分区加密过程中，seccpu按照图4所示的安全策略，对各磁盘分区采用对应的wk进行对称加密。完成用户系统安装及用户创建后，安全固态硬盘进入图2中左1的“关机/整盘密态”；用户使用：用户再次上电后，安全固态盘进入图2左2的“bootos/整盘密态”，在bootos的配置管理工具界面输入正确的用户名、密码之后，用户登录操作系统成功，seccpu获取到该用户权限内的wk脱密对应磁盘分区，此时用户能够访问自己权限内的磁盘分区，其他分区不可见。安全固态硬盘进入图2右2所示“useros/用户区明态”；当用户登出时，配置管理工具接管用户界面，seccpu清除该用户wk，所有磁盘分区均是密文状态，如图2右1所示“useros/整盘密态”；在useros的登录、登出两个状态时，安全固态硬盘下电，此时均进入图2左1所示“关机/整盘密态”。
29.在本实施例中，如图3所示，控制系统的执行流程如下：1、上电；2、bios启动设备硬件自检；3、读取mbr；若是上电后首次进入os，则进入bootos进行用于认证，并返回上一步；若bootos已认证，则进入useros；4、进入配置管理模块进行管控；5、配置管理模块用户退出；退出后用户可以在配置管理模块再进行用户认证，然后进入配置管理模块进行管控；6、下电。
30.在本实施例中，如图4所示（虚线所示authkey为策略可选项，如果有需要可以灵活地在bootos阶段配置驱动usb外设实现），基于多核处理器安全固态硬盘的加密存储控制系统的加密存储控制方法，包括以下步骤：步骤1：主机端用户在useros阶段键入userid和pwd，此时安全ssd控制器中的安全芯片产生sm2密钥对pk|sk，并产生用户rnd；mkey保护sk后生成sk'连同用户rnd一起打包为sk'|pk|rnd，写入控制器安全芯片外挂的norflash中存储；步骤2：配置管理模块进行磁盘分区，并生成各分区所需的工作密钥wk，wk被pk保护后密存于seccpu外挂的norflash中；步骤3：通过配置管理模块，管理用户信息以及磁盘编号，对不同的系统用户开放对应磁盘空间的访问权限；将工作密钥wk配置到安全固态存储控制芯片的数据加解密通道所用的密钥空间，sata总线数据经过安全控制芯片的前端协议栈处理后，附带有效数据的帧索引对应的wk进行加密存储；读取时，也是通过对ftl处理模块的密文进行脱密之后，还原帧及明文流向协议处理模块。
31.本发明在自主研制的高性能盘控处理器基础上，采用了多核嵌入式cpu技术，在实
现了前端主机sata接口控制、 后端ftl管理控制、盘控级健康管控的基础上创新性地实现了安全加密固态存储控制功能。
32.本发明基于国产化ssd控制芯片，实现了从硬件、密码算法、安全固件、适配操作系统软件全国产化的自主可控技术路径。解决了传统软件加密存储方案效率低、安全性弱的缺陷，全盘加密方案与主板bios弱耦合，不需要bios厂商参与到安全性方案设计中，能够在多种国产化平台中自由适配。基于boot os+user os的具有身份划分的，由sm2算法安全认证鉴权的登录机制，具有很高的盘级安全管控能力；自主研制的配置管理模块，界面友好，操作简单，便于跨平台移植，可扩展性强。真正的全盘加密策略，并配合紧急状态下硬件级一键快速销毁功能，完美保护数据的安全性。
33.需要说明的是，对于前述的各个方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某一些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和单元并不一定是本技术所必须的。
34.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。
35.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、rom、ram等。
36.以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。