[发明专利]基于智能密码钥匙的SSD分区加密存储系统及其实现方法

权利要求书

1.基于智能密码钥匙的SSD分区加密存储系统，其特征在于：包括SSD模块和智能密码钥匙模块，SSD模块包括主控芯片和NAND FLASH，主控芯片和NAND FLASH通过ONFI接口相连，主控芯片通过SATAIII接口与主机相连，主控芯片负责与PC主机通信，完成包括数据读写、加解密的操作，智能密码模块通过USB2.0接口与PC主机连接，提供包括身份认证、数据加解密、密钥释放的功能；

本加密存储系统通过SSD分区加密机制实现访问权限管理，不同分区采用不同的硬件密钥，硬件加密密钥由智能密码钥匙释放；

本加密存储系统的功能包括SSD分区管理、SSD硬件加密、SSD分区加密、设备初始化、身份认证、SSD分区创建及登录；

SSD分区管理的实现过程为：在SSD内设置使其支持MBR、GPT分区格式的功能子模块，分区个数及容量由用户自由划分；在SSD内设置使其可以作为系统盘或从盘使用的功能子模块，作为系统盘使用时，第一分区作为系统分区，用于存放操作系统文件，该分区配置默认硬件密钥，其他分区作为加密分区；作为从盘使用时，所有分区均为加密分区；

SSD硬件加密的实现过程为：不同的分区采用不同的硬件密钥进行数据加解密，硬件加解密密钥由智能密码钥匙释放，SSD内部不存储；硬件加密算法采用国密SM4分组密码算法，数据经SM4加密后存储在NAND FLASH内，在SSD内部完成数据的加解密过程；SSD分区创建及登录的实现过程为：SSD上电生成一组非对称加密密钥对，主机程序从SSD读取SSD公钥，SSD私钥保存在SSD内，根据分区号获取智能密码钥匙中记录的硬件密钥进行密钥扩展；密钥扩展的流程为：在智能密码钥匙内部，将分区对应的密钥密文SK经智能密码钥匙加密私钥解密后得到明文MK，使用SSD公钥加密明文MK为另一密文SK1，SSD收到密文SK1后，通过SSD私钥解密得到明文MK，使用此密钥MK进行SSD密钥扩展，完成硬盘分区创建及登录。

2.根据权利要求1所述的基于智能密码钥匙的SSD分区加密存储系统，其特征在于：加密存储系统将SSD数据硬件加解密密钥以密文的方式存储在智能密码钥匙中；在SSD与智能密码钥匙绑定阶段，将智能密码钥匙的签名证书及公钥导入到SSD主控芯片安全存储区域；在SSD与智能密码钥匙认证阶段，通过SM2签名验签的方式验证智能密码钥匙身份合法性；在SSD硬件密钥配置阶段，智能密码钥匙将硬件密钥经SSD公钥加密得到密文硬件密钥，SSD使用SSD私钥解密此密文信息得到明文硬件密钥，对比密钥哈希值是否一致，一致则进行密钥扩展和分区显示及挂载，分区存储的加密数据可访问；注销或掉电后，SSD分区变为密文状态且不可访问。

3.根据权利要求1所述的基于智能密码钥匙的SSD分区加密存储系统，其特征在于：SSD分区加密的实现过程为：将分区设置为加密分区后，SSD上电时该分区默认不显示，在分区编辑器中显示为磁盘未分配，分区数据无法通过标准读写和专用软件进行访问；通过主控芯片内部的固件层拒绝对加密分区数据的非法访问；由智能密码钥匙释放128位密钥信息给硬盘分区后，系统挂载并显示该分区内容。

4.根据权利要求1所述的基于智能密码钥匙的SSD分区加密存储系统，其特征在于：设备初始化的实现过程为：1）、密钥分发，密钥管理中心生成SM2加密密钥对和SSD硬件加密密钥组，并导入到智能密码钥匙，SSD硬件加密密钥以密文的方式存储在智能密码钥匙中；2）、证书分发，智能密码钥匙生成签名密钥对，向证书管理中心申请签名证书，CA签发签名证书并保存至智能密码钥匙中；使用密钥管理中心导入的加密密钥对，向CA申请加密证书，CA签发加密证书并保存至智能密码钥匙中。

5.根据权利要求1所述的基于智能密码钥匙的SSD分区加密存储系统，其特征在于：身份认证的实现过程为：智能密码钥匙与SSD之间通过签名证书进行绑定，智能密码钥匙与主机通过CPU序列号进行绑定；身份认证时，首先判断智能密码钥匙证书的有效期，判断证书有效性；SSD与智能密码钥匙之间首先验证公钥信息是否匹配，再通过SM2签名验签的方式进行认证，判断智能密码钥匙的合法性。

6.根据权利要求1所述的基于智能密码钥匙的SSD分区加密存储系统，其特征在于：硬盘分区创建时，需加密的分区由智能密钥钥匙认证通过硬件密钥扩展后，再进行分区创建及格式化；硬盘分区登录时，SSD获得密文MK1后，对密文MK1进行哈希运行生成MK1-HASH，与创建分区时预先存储的MK-HASH值比对是否一致，一致则进行密钥扩展及显示分区，不一致则分区登录失败。