[实用新型]一种基于安全芯片的可信移动存储系统

说明书

技术领域

本实用新型是一种基于安全芯片的可信移动存储系统，以可信计算技术和安全芯片技术为基础，提供一种安全的移动存储解决方案，属于信息安全技术领域。

背景技术

随着计算机技术的不断发展及相关应用需求的不断变化，计算机安全以及信息安全方面的问题越来越突出。可信计算技术和安全芯片技术的不断进步为解决信息安全问题提出了新思路。本实用新型提出的基于安全芯片的可信移动存储方法用于机密信息的存储和移动，在保证安全性与可靠性的前提下，提升了机密信息传输和存储的灵活性和可移动性。

安全芯片采用可信计算技术、SOC技术，内部结构主要包括微处理器、易失性存储器、非易失性存储器、硬件密码算法引擎等；安全芯片内部存储出厂发行时下发的EK证书和相关身份证书；EK密钥、存储根密钥等核心密钥永不出芯片，保证了密钥与机密数据的安全存储；密钥生成、加密解密、数字签名与验证等核心操作在芯片内部安全高效地完成。安全存储是采用可信技术对密钥和敏感数据进行保护存储；通过报告机制完成平台和用户身份证明，建立可信的身份体系；安全芯片的密钥管理功能包括密钥的生成、存储、更新、销毁等。此外，安全芯片的功能还包括可信度量、随机数生成、数据加解密等。

实用新型内容

本实用新型的目的是提供一种基于安全芯片的可信移动存储系统。

一种基于安全芯片的可信移动存储系统，由可信第三方、可信移动存储设备、可信用户主机三部分组成，可信移动存储系统组成框图如图1所示。所述的可信第三方、可信移动存储设备、可信用户主机均内置安全芯片。所述可信第三方由内置安全芯片的第三方服务器，或内嵌安全芯片的安全计算机担任；所述的可信移动存储设备是内嵌安全芯片且能够存储数据，并能够与可信用户主机交互数据的可移动装置；所述的可信用户主机，是内嵌安全芯片的计算机，是可信移动存储设备的访问主体。

所述的安全芯片采用可信计算技术和SOC技术，内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件。安全芯片内部包含表征芯片唯一性的EK密钥对，所述EK密钥对为非对称密钥，包括EK公钥和EK私钥；所述EK公钥是EK证书的一部分，在安全芯片出厂发行时随EK证书下发至安全芯片，所述EK私钥在安全芯片出厂发行时注入安全芯片内部，所述EK私钥受到安全芯片保护，永远不出安全芯片。与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书，其内容至少包括安全芯片的设备唯一序列号。

可信第三方和可信移动存储设备以USB方式通信，可信第三方和可信用户主机通过以太网进行通信，可信用户主机与可信移动存储设备以USB方式通信。

本实用新型的目的是提供一种基于安全芯片的可信移动存储系统。

附图说明

图1可信移动存储系统组成框图。

图2可信移动存储系统各部分接口框图。

具体实施方式

1.可信移动存储系统组成：

可信第三方主机内置可信密码模块TCM安全芯片，所述的可信密码模块TCM安全芯片以直接嵌入主板或标准接口板卡连接的形式接入到主板，挂接在主板芯片组的标准总线上，构成可信第三方主机的安全子系统。

可信移动存储设备内置安全芯片，以集成于SOC芯片的安全功能模块或嵌入可信密码模块TCM安全芯片的形式嵌入到移动存储设备中，构成可信移动存储设备内的安全子系统。

可信用户主机内置可信密码模块TCM安全芯片，所述的可信密码模块TCM安全芯片以直接嵌入主板或标准接口板卡连接的形式接入到主板，挂接在主板芯片组的标准总线上，构成可信用户主机的安全子系统。

2.可信移动存储系统各部分通信方式

可信第三方和可信移动存储设备以USB方式通信，可信第三方和可信用户主机通过以太网进行通信，可信用户主机与可信移动存储设备以USB方式通信。可信移动存储系统各部分接口框图如图2所示。

3.典型实例

3.1可信第三方：

a)设备及器件选用：

主板支持LPC总线及接口的服务器

安全芯片：中兴SSX44

b)接口及其控制器：

LPC接口，LPC接口控制器由服务器主板芯片组内置

USB接口，USB接口控制器由服务器主板芯片组内置

以太网接口，以太网控制器由服务器主板芯片组内置

3.2可信移动存储设备：

a)器件选用：