[发明专利]一种固态盘加密方法和系统

说明书

技术领域

本发明属于计算机数据存储和安全领域，更具体地，涉及一种固态盘加密方法和系统。

背景技术

随着技术的发展，基于闪存的设备已经有了很大的技术进步，这巩固了固态硬盘(Solid State Drive，简称SSD)代替传统机械硬盘作为首选存储媒体的领导地位，并且将固态硬盘部署在企业级存储系统的研究方向上也打开了新的视野。近年来由于固态硬盘存在数据窃取的问题，且在某些特殊领域如军事领域对数据安全的要求很高，因此对固态硬盘的加密处理显得尤为重要。

传统硬盘加密系统如图1所示，包括BIOS101和一块固态硬盘102。该固态硬盘上包含一个控制器103用于控制存储介质和支持接口协议，和若干存储介质104用于存储用户数据。其中，控制器上有加解密模块105和其他控制模块106；存储介质中存放了安全密钥107。用户通过输入口令来获得安全密钥的访问权，再通过安全密钥对数据进行加密/解密。

传统硬盘加密方法如图2所示，包括以下步骤：

(1)用户通过BIOS输入口令来获得密钥的访问权；

(2)控制模块将存放在固态盘内的密钥加载至加解密模块；

(3)加解密模块为固态盘输入/输出的数据加密/解密。

然而，传统的硬盘加密方法都是基于BIOS实现的，因此具有如下缺陷：

1、整块固态硬盘使用同一个安全密钥，因此，不支持多用户数据区的分别加密，从而大大降低了安全性，也局限了系统的适用范围。

2、密钥存放在固态硬盘上，即和用户数据放在一起，通过窃取固态硬盘可同时得到密钥和密文，因此大大降低了安全性；

3、传统固态硬盘加密方法的密钥存放在存储介质上，即由生产硬盘的厂商负责保管方法的实施，因此有可能造成密钥泄漏，降低了系统安全性。

4、传统固态硬盘加密方法中的只能通过BIOS口令认证的方式获取密钥使用权，且该口令遵循ATA协议，导致复杂性不高，容易被破解。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种固态盘加密方法和系统，其目的在于，解决现有方法中存在的安全性差、实现方式单一的技术问题，并结合固态盘本身的特性，利用固态盘内在固有的映射机制，来实现加密分区的隐藏和切换以及认证系统的植入，从而实现灵活的固态盘加密。

为实现上述目的，按照本发明的一个方面，提供了一种固态盘加密方法，其应用在包括固态盘的用户终端中，该方法包括以下步骤：

(1)在用户终端上电时隐藏固态盘的加密区，并对用户显示固态盘的公开区，并将公开区设置为只读状态；其中，公开区是在固态盘初始化阶段设定的，其大小等于初始化阶段写入其中的用户身份认证程序的大小，固态盘还包括在系统初始化阶段设置的至少一个加密区，其具体数量等于使用固态盘的用户数量；

(2)将公开区中的用户身份认证程序加载到内存中，并运行该用户身份认证程序，以建立该用户身份认证程序与密钥存储设备之间的连接；

(3)接收用户的身份认证和鉴权请求，并根据该身份认证和鉴权请求确定该用户是否具有使用密钥存储设备中对应密钥的权限，如果有则进入步骤(4)，否则过程结束；

(4)通过用户身份认证程序并采用AES加密方法建立密钥存储设备与固态盘之间的安全链接；

(5)使用AES中的公钥将密钥存储设备中的对应密钥进行加密，并将加密后的密钥传送到固态盘；

(6)使用AES中的私钥将加密后的密钥解密，以得到密钥明文；

(7)隐藏固态盘的公开区，并根据密钥明文前缀与前缀对应数据块的起始逻辑地址、以及数据块大小的映射关系对用户显示与该用户对应的固态盘的加密区；

(8)重启用户终端，并使用密钥明文对用户存取固态盘的数据进行加/解密操作，其中在用户终端掉电时，密钥明文会自动丢失。

优选地，用户终端是个人电脑、笔记本、或服务器。

优选地，密钥存储设备是USB Key、智能卡、或密钥服务器。

优选地，身份认证和鉴权请求中携带有用户的指纹、口令、视网膜信息、用户ID信息。

按照本发明的另一方面，提供了一种固态盘加密系统，其应用在包括固态盘的用户终端中，并包括：