本发明专利技术公开一种基于智能密码钥匙的SSD分区加密存储系统及其实现方法,基于智能密码钥匙的SSD加密方案为数据安全提供了多重防护,通过SSD分区加密机制实现访问权限管理;不同分区采用不同的硬件密钥,实现分区数据独立保护;硬件加密密钥由智能密码钥匙释放,密钥不落地,实现分区与密钥的分离。本发明专利技术不仅实现了SSD分区加密机制、SSD存储数据的硬件加密密钥与SSD分离,还实现了“不同分区不同密钥”,对数据安全提供高可靠和高保密性保障。数据安全提供高可靠和高保密性保障。数据安全提供高可靠和高保密性保障。
【技术实现步骤摘要】
基于智能密码钥匙的SSD分区加密存储系统及其实现方法
[0001]本专利技术涉及存储领域,具体是一种基于智能密码钥匙的SSD分区加密存储系统及其实现方法。
技术介绍
[0002]固态硬盘(SSD)作为一种新兴的大容量存储设备,因具有读写速度快、能耗低与体积小等特点,成为新一代硬盘存储技术的代表。然而固态硬盘数据以明文存储且没有有效的身份认证保护,众多的安全威胁如硬盘数据被非法修改、硬盘数据泄漏,都可能会对保存着重要信息的组织造成无法估计的损失。
技术实现思路
[0003]为加强对涉密数据的防护,避免数据因偶然或恶意的原因而造成的破坏、更改、泄露,本专利技术提出一种基于智能密码钥匙的SSD分区加密存储系统及其实现方法,通过安全认证、硬件密钥释放及分区加密等方法,保证了存储文件的数据安全性。
[0004]为了解决所述技术问题,本专利技术采用的技术方案是:基于智能密码钥匙的SSD分区加密存储系统,包括SSD模块和智能密码钥匙模块,SSD模块包括主控芯片和NAND FLASH,主控芯片和NAND FLASH通过ONFI接口相连,主控芯片通过SATAIII接口与主机相连,主控芯片负责与PC主机通信,完成包括数据读写、加解密的操作,智能密码模块通过USB2.0接口与PC主机连接,提供包括身份认证、数据加解密、密钥释放的功能;本加密存储系统通过SSD分区加密机制实现访问权限管理,不同分区采用不同的硬件密钥,硬件加密密钥由智能密码钥匙释放,在实现分区数据独立保护的同时,密钥不落地,实现分区与密钥的分离。/>[0005]进一步的,加密存储系统将SSD数据硬件加解密密钥以密文的方式存储在智能密码钥匙中;在SSD与智能密码钥匙绑定阶段,将智能密码钥匙的签名证书及公钥导入到SSD主控芯片安全存储区域;在SSD与智能密码钥匙认证阶段,通过SM2签名验签的方式验证智能密码钥匙身份合法性;在SSD硬件密钥配置阶段,智能密码钥匙将硬件密钥经SSD公钥加密得到密文硬件密钥,SSD使用SSD私钥解密此密文信息得到明文硬件密钥,对比密钥哈希值是否一致,一致则进行密钥扩展和分区显示及挂载,分区存储的加密数据可访问;注销或掉电后,SSD分区变为密文状态且不可访问。
[0006]本专利技术还公开了一种上述加密存储系统的实现方法,加密存储系统的功能包括SSD分区管理、SSD硬件加密、SSD分区加密、设备初始化、身份认证、SSD分区创建及登录,本方法用于实现加密存储系统的上述功能。
[0007]进一步的,SSD分区管理的实现过程为:在SSD内设置功能子模块,使其支持MBR、GPT分区格式,分区个数及容量由用户自由划分;在SSD内设置功能子模块,使其可以作为系统盘或从盘使用,作为系统盘使用时,第一分区作为系统分区,用于存放操作系统文件,该分区配置默认硬件密钥,保证操作系统文件数据读写不受加解密限制,其他分区作为加密
分区,用于存放敏感数据;作为从盘使用,所有分区均为加密分区。
[0008]进一步的,SSD硬件加密的实现过程为:不同的分区采用不同的硬件密钥进行数据加解密,硬件加解密密钥由智能密码钥匙释放,SSD内部不存储;硬件加密算法采用国密SM4分组密码算法,数据经SM4加密后存储在NAND FLASH内,在SSD内部完成数据的加解密过程。
[0009]进一步的,SSD分区加密的实现过程为:将分区设置为加密分区后,SSD上电时该分区默认不显示,在分区编辑器中显示为磁盘未分配,分区数据无法通过标准读写和专用软件进行访问;通过主控芯片内部的固件层拒绝对加密分区数据的非法访问;由智能密码钥匙释放128位密钥信息给硬盘分区后,系统挂载并显示该分区内容。
[0010]进一步的,设备初始化的实现过程为:1)、密钥分发,密钥管理中心生成SM2加密密钥对和SSD硬件加密密钥组,并导入到智能密码钥匙,SSD硬件加密密钥以密文的方式存储在智能密码钥匙中;2)、证书分发,智能密码钥匙生成签名密钥对,向证书管理中心申请签名证书,CA签发签名证书并保存至智能密码钥匙中;使用密钥管理中心导入的加密密钥对,向CA申请加密证书,CA签发加密证书并保存至智能密码钥匙中。
[0011]进一步的,身份认证的实现过程为:智能密码钥匙与SSD之间通过签名证书进行绑定,智能密码钥匙与主机通过CPU序列号进行绑定;身份认证时,首先判断智能密码钥匙证书的有效期,判断证书有效性;SSD与智能密码钥匙之间首先验证公钥信息是否匹配,再通过SM2签名验签的方式进行认证,判断智能密码钥匙的合法性。
[0012]进一步的,SSD分区创建及登录的实现过程为:SSD上电生成一组非对称加密密钥对,主机程序从SSD读取SSD公钥,SSD私钥保存在SSD内,根据分区号获取智能密码钥匙中记录的硬件密钥进行密钥扩展;密钥扩展的流程为:在智能密码钥匙内部,将分区对应的密钥密文SK经智能密码钥匙加密私钥解密后得到明文MK,使用SSD公钥加密明文MK为另一密文SK1,SSD收到密文SK1后,通过SSD私钥解密得到明文MK,使用此密钥MK进行SSD密钥扩展,完成硬盘分区创建及登录。
[0013]进一步的,硬盘分区创建时,需加密的分区由智能密钥钥匙认证通过硬件密钥扩展后,在进行分区创建及格式化,以保证分区内部的文件系统在完成解密操作后能正常使用;硬盘分区登录时,SSD获得密文MK1后,对密文MK1进行哈希运行生成MK1
‑
HASH,与创建分区时预先存储的MK
‑
HASH值比对是否一致,一致则进行密钥扩展及显示分区,不一致则分区登录失败。
[0014]本专利技术的有益效果:本专利技术基于智能密码钥匙的SSD加密方案为数据安全提供了多重防护,即通过SSD分区加密机制实现访问权限管理;不同分区采用不同的硬件密钥,实现分区数据独立保护;硬件加密密钥由智能密码钥匙释放,密钥不落地,实现分区与密钥的分离。本专利技术不仅实现了SSD分区加密机制、SSD存储数据的硬件加密密钥与SSD分离,还实现了“不同分区不同密钥”,对数据安全提供高可靠和高保密性保障。在政府机关、科研院所、企事业单位等信息安全领域有着广泛的应用前景。
附图说明
[0015]图1为实施例1所述存储系统的结构框图;图2为设备绑定的流程图;图3为身份认证的流程图;
图4为加密分区创建流程图;图5为加密分区登录流程图。
具体实施方式
[0016]下面结合附图和具体实施例对本专利技术作进一步的说明。
[0017]实施例1本实施例公开一种基于智能密码钥匙的SSD分区加密存储系统,本系统采用自主可控SSD主控器SSX1526(HX8800),结合智能密码钥匙访问控制,提高存储安全性。如图1所示,本系统包括SSD模块和智能密码钥匙模块,SSD模块包括主控芯片和NAND FLASH,主控芯片和NAND FLASH通过ONFI接口相连,主控芯片通过SATAIII接口与主机相连,主控芯片负责与PC主机通信,完成包括数据读写、加解密的操作,智能密码模块通过USB2.0接口与PC主机连接,提供本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于智能密码钥匙的SSD分区加密存储系统,其特征在于:包括SSD模块和智能密码钥匙模块,SSD模块包括主控芯片和NAND FLASH,主控芯片和NAND FLASH通过ONFI接口相连,主控芯片通过SATAIII接口与主机相连,主控芯片负责与PC主机通信,完成包括数据读写、加解密的操作,智能密码模块通过USB2.0接口与PC主机连接,提供包括身份认证、数据加解密、密钥释放的功能;本加密存储系统通过SSD分区加密机制实现访问权限管理,不同分区采用不同的硬件密钥,硬件加密密钥由智能密码钥匙释放,在实现分区数据独立保护的同时,密钥不落地,实现分区与密钥的分离。2.根据权利要求1所述的基于智能密码钥匙的SSD分区加密存储系统,其特征在于:加密存储系统将SSD数据硬件加解密密钥以密文的方式存储在智能密码钥匙中;在SSD与智能密码钥匙绑定阶段,将智能密码钥匙的签名证书及公钥导入到SSD主控芯片安全存储区域;在SSD与智能密码钥匙认证阶段,通过SM2签名验签的方式验证智能密码钥匙身份合法性;在SSD硬件密钥配置阶段,智能密码钥匙将硬件密钥经SSD公钥加密得到密文硬件密钥,SSD使用SSD私钥解密此密文信息得到明文硬件密钥,对比密钥哈希值是否一致,一致则进行密钥扩展和分区显示及挂载,分区存储的加密数据可访问;注销或掉电后,SSD分区变为密文状态且不可访问。3.权利要求1所述加密存储系统的实现方法,其特征在于:权利要求1所述加密存储系统的功能包括SSD分区管理、SSD硬件加密、SSD分区加密、设备初始化、身份认证、SSD分区创建及登录,本方法用于实现加密存储系统的上述功能。4.根据权利要求3所述的加密存储系统的实现方法,其特征在于:SSD分区管理的实现过程为:在SSD内设置功能子模块,使其支持MBR、GPT分区格式,分区个数及容量由用户自由划分;在SSD内设置功能子模块,使其可以作为系统盘或从盘使用,作为系统盘使用时,第一分区作为系统分区,用于存放操作系统文件,该分区配置默认硬件密钥,保证操作系统文件数据读写不受加解密限制,其他分区作为加密分区,用于存放敏感数据;作为从盘使用时,所有分区均为加密分区。5.根据权利要求3所述的加密存储系统的实现方法,其特征在于:SSD硬件加密的实现过程为:不同的分区采用不同的硬件密钥进行数据加解密,硬件加解密密钥由智能密码钥匙释放,SSD内部不存储;硬件加密算法采用国密SM4分组密码算法,数据经SM4加密后存储在NAND FLASH内,在SSD内部完成数据的加解密...
【专利技术属性】
技术研发人员:张忠国,孙玉玺,姜向阳,秦法林,
申请(专利权)人:山东华芯半导体有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。