[发明专利]一种基于可信认证的安全固态盘加密系统及方法

说明书

本发明涉及一种基于可信认证的安全固态盘加密系统及方法，属于信息安全技术领域。本发明中，安全固态盘的加密密钥采用多层次保护机制，存储密钥由可信模块动态生成，用存储密钥加密加密密钥，加密密钥以密文形式保存在存储模块的隐藏区中，用户不可见，提高了安全固态盘加密系统的安全性。安全固态盘加载之前必须首先经过身份认证，且用户身份认证基于可信模块完成，不可旁路和作弊，进一步提高了安全固态盘加密系统的安全性。更新安全固态盘加密系统所有者时，只需更新可信模块内的用户信息和隐藏区的加密密钥密文，数据区的数据不需更新，极大提高了系统所有者更新时的处理效率。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于可信认证的安全固态盘加密系统及方法。

背景技术

现有安全固态盘加密系统大致可分为两类：一类是基于软加密系统实现，一类是硬加密系统实现。在软加密系统中，通常是在硬盘与主机之间放置加密系统，对计算机硬盘和主机之间传输的数据进行加解密，达到硬盘数据加密的目标，但这种方法占用宿主机资源，影响业务系统性能。硬加密系统通常是将加密系统集成在固态盘上，位于固态盘对外接口模块与存储控制器之间，实现对进/出存储模块数据的加解密。对于安全性相对较高的硬加密系统，由于密钥存储在固态盘中，在密钥的保存、管理和传输上存在风险，攻击者可通过攻击固态硬盘中存放密钥的存储介质来非法手段获得密钥，从而实现密文的破解。

随着安全固态盘产品的出现，其针对知识产权保护的专利也相继被提出。如：武汉固捷联讯科技有限公司的专利申请“一种固态硬盘安全加密系统”(公开号：CN101788959A)中，提出了一种基于密钥和身份认证系统的固态硬盘安全加密系统，将密钥存储在固态硬盘以外的密钥存储介质上(如USBKey或其他存储设备或服务器)，使得密钥与主机、固态硬盘分离，提高了固态硬盘安全加密系统的安全性。又如，武汉讯存科技有限公司的专利申请“一种固态盘加密方法和系统”(公开号：CN104090853A)中，提出了一种固态盘加密方法，将固态盘的物理地址空间划分为一个只读的公开区和若干个加密区，公开区中存放认证系统，用来建立用户、密钥和固态盘之间的安全连接，并将密钥导入固态盘。该发明利用固态盘内部固有的映射机制实现加密分区的隐藏和切换以及认证系统的植入，从而实现灵活的密钥导入功能，并支持多用户的分别加密。这些安全盘的加密密钥不管存储在何种介质上，都以明文形式完整保存，存在被窃取的可能。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种基于可信认证的安全固态盘加密系统，加强对加密密钥的保护，提高安全盘的安全性。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于可信认证的安全固态盘加密系统，包括可信模块和安全固态盘两大组件；

其中所述可信模块又包括可信认证模块1、密钥生成模块2、第一算法引擎模块3和安全存储模块4；所述安全固态盘包括密钥合成模块6、密钥管理模块7、第二算法引擎模块8、对外接口模块5、固态盘控制器模块9和存储模块，存储模块分为隐藏区10和数据区11两部分；

基于可信认证的安全固态盘加密系统在可信认证通过之前禁止安全固态盘的加载；安全固态盘的密钥由存储密钥和加密密钥组成，采用存储密钥动态生成、用存储密钥加密加密密钥、加密密钥密文隐藏保存这些多级密钥保护机制；安全固态盘加密系统所有者更新由更新用户身份信息和加密密钥密文实现；

所述可信模块采用支持二次开发的密码芯片实现，可信认证模块1运行在密码芯片内部微处理器上，用于完成用户身份认证、用户身份信息的更新，以及用户身份信息特征值的提取工作；密钥生成模块2也运行在芯片内部的微处理器上，用于根据用户身份信息特征值，调用第一算法引擎模块3中的密钥生成算法动态生成存储密钥分量一；密码芯片内部的第一算法引擎模块3用于对外提供密码服务；从密码芯片内部非易失性存储器中划分出一段空间作为所述安全存储模块4，用于提供合法用户身份信息的非易失性存储；