專(zhuān)利名稱(chēng):一種固態(tài)硬盤(pán)安全加密系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域��,特別是固態(tài)硬盤(pán)加密系統(tǒng)���。
背景技術(shù):
目前的計(jì)算機(jī)安全系統(tǒng)一般包括以下兩種��,一是通過(guò)軟件進(jìn)行用戶(hù)訪(fǎng)問(wèn)權(quán)限的管控;二是對(duì)固態(tài)硬盤(pán)中的數(shù)據(jù)進(jìn)行加密。 通過(guò)軟件進(jìn)行用戶(hù)訪(fǎng)問(wèn)權(quán)限的管理控制的方法簡(jiǎn)單����,易破解�,保密性差,因此,大多數(shù)計(jì)算機(jī)安全系統(tǒng)采用對(duì)固態(tài)硬盤(pán)中的數(shù)據(jù)進(jìn)行加密�,即固態(tài)硬盤(pán)安全加密系統(tǒng)����。
現(xiàn)有的固態(tài)硬盤(pán)安全加密系統(tǒng)一般包括固態(tài)硬盤(pán)���、密鑰和身份認(rèn)證系統(tǒng)����;固態(tài)硬盤(pán)包括加解密模塊���、固態(tài)硬盤(pán)控制模塊�����、存儲(chǔ)模塊�����;密鑰和身份認(rèn)證系統(tǒng)存儲(chǔ)在存儲(chǔ)模塊中?����,F(xiàn)有固態(tài)硬盤(pán)安全加密系統(tǒng)的方法包括以下步驟 步驟(1)、身份認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證的步驟����,該步驟做出以下選擇
身份認(rèn)證正確���,進(jìn)行步驟(2);
或 身份認(rèn)證不正確�,進(jìn)行步驟(1); 步驟(2)、固態(tài)硬盤(pán)控制模塊將密鑰加載至加解密模塊�; 步驟(3)�����、加解密模塊根據(jù)密鑰為固態(tài)硬盤(pán)輸入/輸出的數(shù)據(jù)加密/解密�。
由于固態(tài)硬盤(pán)中的數(shù)據(jù)均經(jīng)過(guò)加密處理���,安全性好����,因此數(shù)據(jù)不易被破解。但現(xiàn)有的固態(tài)硬盤(pán)安全加密系統(tǒng)也存在一些缺陷一、由于密鑰也存儲(chǔ)在固態(tài)硬盤(pán)中,易在密鑰的保存�����、管理和傳輸上出現(xiàn)問(wèn)題��,如攻擊者可以通過(guò)攻擊固態(tài)硬盤(pán)中存放密鑰的存儲(chǔ)介質(zhì)來(lái)非法手段獲得密鑰���,從而實(shí)現(xiàn)密文的破解。二���、密鑰具有唯一性,不利于多用戶(hù)使用。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種安全性更好的固態(tài)硬盤(pán)安全加密系統(tǒng)�。
本發(fā)明為解決上述提出的問(wèn)題所采用解決方案為 —種固態(tài)硬盤(pán)的安全加密系統(tǒng)�,它包括主機(jī)、設(shè)置在主機(jī)上的固態(tài)硬盤(pán)�、密鑰和身份認(rèn)證系統(tǒng)���;固態(tài)硬盤(pán)包括加解密模塊�、固態(tài)硬盤(pán)控制模塊�����、存儲(chǔ)模塊����;身份認(rèn)證系統(tǒng)存儲(chǔ)在存儲(chǔ)模塊中��;密鑰存儲(chǔ)在固態(tài)硬盤(pán)以外的密鑰存儲(chǔ)介質(zhì)上����。 上述方案中,存儲(chǔ)模塊內(nèi)設(shè)有只讀存儲(chǔ)區(qū)域��,身份認(rèn)證系統(tǒng)存儲(chǔ)在只讀存儲(chǔ)區(qū)域內(nèi)����。 上述方案中���,所述固態(tài)硬盤(pán)在主機(jī)上電后�����,首先啟動(dòng)身份認(rèn)證系統(tǒng)。 上述方案中,所述固態(tài)硬盤(pán)包括一個(gè)或多個(gè)用戶(hù)存儲(chǔ)區(qū)域�,密鑰為一個(gè)或多個(gè)�;一
個(gè)用戶(hù)存儲(chǔ)區(qū)域?qū)?yīng)一個(gè)或多個(gè)密鑰����,或���, 一個(gè)密鑰對(duì)應(yīng)一個(gè)或多個(gè)用戶(hù)存儲(chǔ)區(qū)域。 上述方案中,所述身份認(rèn)證系統(tǒng)在用戶(hù)密鑰存儲(chǔ)介質(zhì)連接在主機(jī)上并輸入認(rèn)證指
令后進(jìn)行以下步驟 步驟(1)�、認(rèn)證輸入認(rèn)證指令的步驟,該步驟作出以下選擇
認(rèn)證指令正確��,進(jìn)行步驟(2);
或 認(rèn)證指令不正確��,進(jìn)行步驟(1); 步驟(2)�、認(rèn)證密鑰與用戶(hù)存儲(chǔ)區(qū)域的步驟����,該步驟作出以下選擇
認(rèn)證正確,進(jìn)行步驟(3);
或 認(rèn)證不正確��,進(jìn)行步驟(2); 步驟(3)��、切換存儲(chǔ)區(qū)域至密鑰對(duì)應(yīng)存儲(chǔ)區(qū)域并通過(guò)固態(tài)硬盤(pán)控制模塊將密鑰加 載至加解密模塊。 上述方案中���,密鑰存儲(chǔ)介質(zhì)為可信存儲(chǔ)介質(zhì)�����,密鑰存儲(chǔ)介質(zhì)為USB KEY或其它存儲(chǔ) 設(shè)備或服務(wù)器��。 與現(xiàn)有技術(shù)相比����,本發(fā)明具有以下優(yōu)點(diǎn) 1、密鑰存儲(chǔ)在固態(tài)硬盤(pán)以外的密鑰存儲(chǔ)介質(zhì)(如USB KEY或其它存儲(chǔ)設(shè)備或服務(wù) 器等)上��,使得密鑰與主機(jī)�����、固態(tài)硬盤(pán)分離,存儲(chǔ)密鑰的介質(zhì)可另處保存�,提高了固態(tài)硬盤(pán) 安全加密系統(tǒng)的安全性�����。 2、身份認(rèn)證系統(tǒng)存儲(chǔ)在只讀存儲(chǔ)區(qū)域內(nèi)���,不會(huì)遭到修改和破壞����,進(jìn)一步提高了固 態(tài)硬盤(pán)安全加密系統(tǒng)的安全性����。 3�、所述固態(tài)硬盤(pán)在主機(jī)上電后�����,首先啟動(dòng)身份認(rèn)證系統(tǒng)���,為提高整個(gè)固態(tài)硬盤(pán)安 全性和多用戶(hù)使用創(chuàng)造條件����。 4���、固態(tài)硬盤(pán)還可以包括兩個(gè)或兩個(gè)以上的用戶(hù)存儲(chǔ)區(qū)域�����,密鑰可以為兩個(gè)或兩個(gè) 以上�,保證多用戶(hù)情況下各用戶(hù)數(shù)據(jù)的安全性。 5、身份認(rèn)證系統(tǒng)在認(rèn)證確認(rèn)后才能切換存儲(chǔ)區(qū)域至密鑰對(duì)應(yīng)存儲(chǔ)區(qū)域并進(jìn)行數(shù) 據(jù)的加解密����,非法使用者無(wú)法訪(fǎng)問(wèn)他人的用戶(hù)存儲(chǔ)區(qū)域����。 6、密鑰存儲(chǔ)介質(zhì)為可信存儲(chǔ)介質(zhì)(TPM, Trusted Platform Module)����,安全性好。
圖1為本發(fā)明系統(tǒng)實(shí)施例的結(jié)構(gòu)框圖
圖2為本發(fā)明實(shí)施例的固態(tài)硬盤(pán)的結(jié)構(gòu)示意圖
圖3為本發(fā)明實(shí)施例數(shù)據(jù)加解密的原理框圖
圖4為本發(fā)明實(shí)施例數(shù)據(jù)加解密的方法流程圖
圖5為本發(fā)明實(shí)施例的數(shù)據(jù)讀寫(xiě)流程圖 圖6為本發(fā)明實(shí)施例認(rèn)證存儲(chǔ)區(qū)域切換和用戶(hù)數(shù)據(jù)存儲(chǔ)區(qū)域切換方法的流程圖
具體實(shí)施例方式
下面將結(jié)合本發(fā)明實(shí)施例和附圖���,對(duì)本發(fā)明的技術(shù)方案進(jìn)行清楚���、完整的描述��,顯 然,所描述的實(shí)施例是本發(fā)明的一部分實(shí)例�����,而不是全部的實(shí)施例?����;诒景l(fā)明的實(shí)施例��, 本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā) 明保護(hù)的范圍。 如圖1所示的本發(fā)明實(shí)施例�����,它為固態(tài)硬盤(pán)的安全加密系統(tǒng)����,它包括主機(jī)��、設(shè)置在
4主機(jī)上的固態(tài)硬盤(pán)�、密鑰和身份認(rèn)證系統(tǒng);固態(tài)硬盤(pán)包括加解密模塊、固態(tài)硬盤(pán)控制模塊�����、 存儲(chǔ)模塊�;身份(用戶(hù))認(rèn)證系統(tǒng)存儲(chǔ)在存儲(chǔ)模塊中�����,密鑰存儲(chǔ)在固態(tài)硬盤(pán)以外的密鑰存儲(chǔ) 介質(zhì)上�����,本實(shí)施例的密鑰存儲(chǔ)介質(zhì)為USB-KEY�����。 如圖2所示,所述固態(tài)硬盤(pán)包括接口模塊、加解密模塊、固態(tài)硬盤(pán)控制器模塊��、存 儲(chǔ)模塊(閃存陣列模塊),其中存儲(chǔ)模塊內(nèi)設(shè)有只讀存儲(chǔ)區(qū)域(分區(qū))�����,身份認(rèn)證系統(tǒng)存儲(chǔ) 在只讀存儲(chǔ)區(qū)域內(nèi)。 接口模塊通過(guò)標(biāo)準(zhǔn)協(xié)議使固態(tài)硬盤(pán)和主機(jī)端進(jìn)行通信,這個(gè)模塊根據(jù)采用的標(biāo)準(zhǔn) 協(xié)議不同�����,可以為PATA�、 SATA�、 PCI-E等接口����,其中密鑰和用戶(hù)數(shù)據(jù)都通過(guò)接口模塊與固態(tài) 硬盤(pán)進(jìn)行交互����。加解密模塊����,通過(guò)硬件,或使用可編程門(mén)陣列(FPGA)做加解密邏輯,或使用 專(zhuān)用芯片(ASIC)進(jìn)行加解密運(yùn)算��,用戶(hù)數(shù)據(jù)經(jīng)接口模塊傳輸?shù)焦虘B(tài)硬盤(pán)之后,經(jīng)由加密模 塊根據(jù)密鑰進(jìn)行加密運(yùn)算����,同樣的����,用戶(hù)數(shù)據(jù)從固態(tài)硬盤(pán)中讀出時(shí)需要根據(jù)密鑰進(jìn)行解密 運(yùn)算�,之后才能通過(guò)接口模塊傳給主機(jī)端����,其中加解密模塊也可以包含在固態(tài)硬盤(pán)控制器 模塊中�����,作為它的子模塊來(lái)實(shí)現(xiàn)加解密功能�����。固態(tài)硬盤(pán)控制器模塊����,用于處理接口模塊的標(biāo) 準(zhǔn)協(xié)議所發(fā)出的命令���,然后解析命令�����,轉(zhuǎn)化為存儲(chǔ)模塊能識(shí)別的操作等等。存儲(chǔ)模塊用來(lái)存 儲(chǔ)用戶(hù)數(shù)據(jù),其中只讀存儲(chǔ)區(qū)域是固化在存儲(chǔ)模塊中的一個(gè)容量較小的存儲(chǔ)區(qū)域,容量大 約為64MB 256MB�����,該存儲(chǔ)區(qū)域用來(lái)存儲(chǔ)身份認(rèn)證系統(tǒng)�。
所述固態(tài)硬盤(pán)在主機(jī)上電后����,首先啟動(dòng)身份認(rèn)證系統(tǒng)。 所述固態(tài)硬盤(pán)還可以包括一個(gè)或多個(gè)用戶(hù)存儲(chǔ)區(qū)域(分區(qū))���,密鑰可以為一個(gè)或 多個(gè);一個(gè)用戶(hù)存儲(chǔ)區(qū)域可以對(duì)應(yīng)一個(gè)或多個(gè)密鑰��,或,一個(gè)密鑰可以對(duì)應(yīng)一個(gè)或多個(gè)用戶(hù) 存儲(chǔ)區(qū)域�。 所述身份認(rèn)證系統(tǒng)在用戶(hù)密鑰存儲(chǔ)介質(zhì)連接在主機(jī)上并輸入認(rèn)證指令后進(jìn)行以 下步驟 步驟(1)、認(rèn)證輸入認(rèn)證指令的步驟����,該步驟做出以下選擇
認(rèn)證指令正確�,進(jìn)行步驟(2);
或 認(rèn)證指令不正確�,進(jìn)行步驟(1); 步驟(2)���、認(rèn)證密鑰與用戶(hù)存儲(chǔ)區(qū)域的步驟�����,該步驟做出以下選擇
認(rèn)證正確�,進(jìn)行步驟(3);
或 認(rèn)證不正確�����,進(jìn)行步驟(2); 步驟(3)���、切換存儲(chǔ)區(qū)域至密鑰對(duì)應(yīng)存儲(chǔ)區(qū)域并通過(guò)固態(tài)硬盤(pán)控制模塊將密鑰加
載至加解密模塊�。 本實(shí)施例的工作原理為 如圖3所示,密鑰存儲(chǔ)介質(zhì)用于對(duì)密鑰進(jìn)行管控,密鑰存儲(chǔ)介質(zhì)應(yīng)為可信介質(zhì) (TPM)。身份認(rèn)證系統(tǒng)與用戶(hù)進(jìn)行交互�,從而獲得用戶(hù)權(quán)限,可以采用多種認(rèn)證方式��,如用戶(hù) 密碼、射頻識(shí)別、指紋等生物特征的認(rèn)證方式���,該身份認(rèn)證系統(tǒng)固化在固態(tài)硬盤(pán)的只讀存儲(chǔ) 區(qū)域中�����,其平臺(tái)操作系統(tǒng)可能是Windows���、Dos�����、Li皿x或其他類(lèi)Unix系統(tǒng)等���。身份認(rèn)證主要 包括3種密鑰存儲(chǔ)介質(zhì)和用戶(hù)之間的認(rèn)證,用于認(rèn)證用戶(hù)對(duì)這個(gè)密鑰管理的權(quán)限;密鑰存 儲(chǔ)介質(zhì)和加解密模塊之間的認(rèn)證�����,用戶(hù)獲得密鑰存儲(chǔ)介質(zhì)的權(quán)限之后,需要驗(yàn)證密鑰存儲(chǔ)介質(zhì)和加解密模塊之間的一一對(duì)應(yīng)關(guān)系;當(dāng)密鑰存儲(chǔ)介質(zhì)和加解密模塊之間的一一對(duì)應(yīng)關(guān) 系確定之后�,還需要有密鑰存儲(chǔ)介質(zhì)和加解密模塊之間的密鑰傳輸?shù)陌踩珔f(xié)議�。加解密模 塊通過(guò)硬件運(yùn)算,對(duì)用戶(hù)數(shù)據(jù)進(jìn)行實(shí)時(shí)的加解密操作�����。這種方法使得密鑰管理和固態(tài)硬盤(pán) 分離�����,因此丟失密鑰存儲(chǔ)介質(zhì)或是固態(tài)硬盤(pán)都能使得數(shù)據(jù)依然能夠得到保護(hù);身份認(rèn)證系 統(tǒng)本身固化在固態(tài)硬盤(pán)本身����,使得用戶(hù)認(rèn)證不依賴(lài)與具體的主機(jī)平臺(tái)。
如圖4所示�����,本實(shí)施例的認(rèn)證系統(tǒng)運(yùn)行的具體步驟為 1、主機(jī)上電之后��,首先啟動(dòng)固態(tài)硬盤(pán)中的只讀存儲(chǔ)區(qū)域�����。該存儲(chǔ)區(qū)域上固化有操 作系統(tǒng)����,如Linux����、 Dos��、 Windows或其它類(lèi)型的系統(tǒng),身份認(rèn)證系統(tǒng)的程序就是基于該操作 系統(tǒng)上運(yùn)行的。這個(gè)只讀的系統(tǒng)會(huì)初始化主機(jī)的硬件���,特別會(huì)加載與認(rèn)證系統(tǒng)相關(guān)的硬件 驅(qū)動(dòng)并初始化���,如USB驅(qū)動(dòng)��、SATA或IDE驅(qū)動(dòng)�����、VGA或VESA顯卡驅(qū)動(dòng)等�����。待初始化完畢��,系 統(tǒng)進(jìn)入用戶(hù)認(rèn)證程序����。 2�、根據(jù)密鑰存儲(chǔ)介質(zhì)接口的不同類(lèi)型����,進(jìn)行初始化��。 3�、用戶(hù)身份認(rèn)證系統(tǒng)之后�,根據(jù)認(rèn)證程序及實(shí)施例而采用的不同認(rèn)證方式�,和身 份認(rèn)證系統(tǒng)進(jìn)行交互�,從而獲得合法的用戶(hù)權(quán)限��。比如����,采用鍵入密碼�����、錄入指紋等生物性 征的方式����。而這是認(rèn)證的第一步,通過(guò)該步驟確認(rèn)用戶(hù)對(duì)密鑰存儲(chǔ)模塊的權(quán)限�。如果用戶(hù) 沒(méi)有獲得該權(quán)限���,則無(wú)法進(jìn)行后面的認(rèn)證步驟。 4、在通過(guò)第一步的認(rèn)證后�,即用戶(hù)取得密鑰存儲(chǔ)介質(zhì)的權(quán)限之后��,進(jìn)行下一步的 認(rèn)證。由于密鑰存儲(chǔ)介質(zhì)應(yīng)和固態(tài)硬盤(pán)存在著對(duì)應(yīng)關(guān)系,如一對(duì)一關(guān)系��,或一對(duì)多關(guān)系等 等,所以密鑰存儲(chǔ)介質(zhì)和固態(tài)硬盤(pán)也應(yīng)進(jìn)行認(rèn)證����,若果不匹配�����,則無(wú)法進(jìn)行下面的操作����。這 一部分的認(rèn)證��,也是基于身份認(rèn)證系統(tǒng)完成的。 5�、在完成上述認(rèn)證步驟之后,密鑰通過(guò)安全的鏈路將密鑰從密鑰存儲(chǔ)介質(zhì)傳輸?shù)?固態(tài)硬盤(pán)加密模塊中�。這個(gè)鏈路應(yīng)是安全的,即需要將密鑰進(jìn)行封裝����,轉(zhuǎn)化為密文進(jìn)行傳 輸�,且在傳輸過(guò)程應(yīng)利用非公有標(biāo)準(zhǔn)進(jìn)行傳輸�,以防止被監(jiān)聽(tīng)��。 6���、至此�,用戶(hù)認(rèn)證系統(tǒng)的任務(wù)已經(jīng)全部完成,需要退出認(rèn)證存儲(chǔ)區(qū)域����,進(jìn)入用戶(hù)數(shù) 據(jù)存儲(chǔ)區(qū)域。在認(rèn)證系統(tǒng)完成認(rèn)證任務(wù)后向固態(tài)硬盤(pán)發(fā)送切換存儲(chǔ)區(qū)域的命令,于此同時(shí), 退出身份認(rèn)證系統(tǒng)并對(duì)固態(tài)硬盤(pán)進(jìn)行硬復(fù)位操作。這樣對(duì)用戶(hù)而言��,其所見(jiàn)的就是用戶(hù)的 數(shù)據(jù)存儲(chǔ)區(qū)域了��,此時(shí)��,用戶(hù)對(duì)于認(rèn)證存儲(chǔ)區(qū)域是不可見(jiàn)的�,同理�����,當(dāng)進(jìn)行用戶(hù)認(rèn)證操作時(shí)��, 用戶(hù)也只可見(jiàn)認(rèn)證存儲(chǔ)區(qū)域����,對(duì)于用戶(hù)的數(shù)據(jù)存儲(chǔ)區(qū)域是不可見(jiàn)的����。 7�、此時(shí),固態(tài)硬盤(pán)的加解密模塊已經(jīng)獲得密鑰����。加解密模塊通過(guò)硬件加解密運(yùn)行�����, 對(duì)用戶(hù)的數(shù)據(jù)進(jìn)行實(shí)時(shí)的加解密操作�����,用戶(hù)就能透明地訪(fǎng)問(wèn)固態(tài)硬盤(pán)中的加密數(shù)據(jù)。
下面介紹該實(shí)施例中的具體模塊和實(shí)施步驟 1���、如圖1中USB-KEY密鑰存儲(chǔ)介質(zhì)和主機(jī)之間通過(guò)USB接口和標(biāo)準(zhǔn)協(xié)議進(jìn)行互聯(lián) 通信�。主機(jī)和固態(tài)硬盤(pán)側(cè)通過(guò)SATA接口進(jìn)行連接。在包含加解密模塊的固態(tài)硬盤(pán)控制器 模塊中集成了主控CPU�����、認(rèn)證/密鑰管理、XTS-AES加解密模塊、閃存陣列控制器。存儲(chǔ)模塊 中包括固化在一個(gè)較小容量(64M 256M)的只讀存儲(chǔ)區(qū)域����,其中裝載著只讀的認(rèn)證系統(tǒng)��。
2、具體對(duì)包含加解密模塊的固態(tài)硬盤(pán)控制器模塊中的各部分進(jìn)行說(shuō)明其中主 控CPU用于控制整個(gè)固態(tài)硬盤(pán)固件程序的運(yùn)行���,并且控制加解密硬件模塊的運(yùn)行���。認(rèn)證/ 密鑰管理的功能是記錄認(rèn)證狀態(tài)�,并且用寄存器保存主密鑰,其密鑰在固態(tài)硬盤(pán)掉電之后 會(huì)丟失�����,因此�����,當(dāng)固態(tài)硬盤(pán)掉電之后即需從新認(rèn)證�����,重新獲取密鑰���。XTS-AES加解密,其中XTS-AES模式的實(shí)現(xiàn)見(jiàn)標(biāo)準(zhǔn)IEEE Standard for Cryptographic Protection of Data on Block-OrientedStorage Devices��。閃存陣列控制器用于控制閃存陣列的讀寫(xiě)操作���。
3�����、只讀存儲(chǔ)區(qū)域中裝載的Li皿x操作系統(tǒng)在加電后在主機(jī)上運(yùn)行�,用戶(hù)即進(jìn)入身 份認(rèn)證系統(tǒng),后面的步驟����。 數(shù)據(jù)進(jìn)行加解密的操作過(guò)程如圖5所示�,當(dāng)主機(jī)發(fā)出ATA命令后,運(yùn)行在固態(tài)硬 盤(pán)控制器上的固件程序判斷并解析該命令���。如果是讀命令,那么在固態(tài)硬盤(pán)控制器在從閃 存陣列中讀取數(shù)據(jù)之后����,經(jīng)過(guò)固態(tài)硬盤(pán)控制器中的錯(cuò)誤檢測(cè)及糾錯(cuò)(ECC)操作,然后根據(jù) XTS-AES算法���,在硬件電路上對(duì)數(shù)據(jù)進(jìn)行多項(xiàng)式運(yùn)算,從而得到明文�����,之后傳輸?shù)街鳈C(jī)����。同樣 的��,如果是寫(xiě)操作,那么在寫(xiě)入數(shù)據(jù)之后����,經(jīng)過(guò)XTS-AES算法的多項(xiàng)式運(yùn)算之后���,得到密文��, 然后由控制器將數(shù)據(jù)寫(xiě)入到固態(tài)硬盤(pán)中的閃存陣列中�����。 只讀存儲(chǔ)區(qū)域和用戶(hù)存儲(chǔ)區(qū)域的切換過(guò)程如圖6所示����,其步驟在下面進(jìn)行說(shuō)明。
在固態(tài)硬盤(pán)的固件程序中�����,對(duì)邏輯地址(以下簡(jiǎn)稱(chēng)LBA)的解析的范圍首先設(shè)定為 0 LBA1 (LBA1某邏輯地址����,其大小為只讀認(rèn)證系統(tǒng)的大小),并將該存儲(chǔ)區(qū)域的寫(xiě)保護(hù)進(jìn) 行標(biāo)記(Write Protect,參見(jiàn)標(biāo)準(zhǔn)ATA協(xié)議)���。當(dāng)固態(tài)硬盤(pán)加點(diǎn)后��,進(jìn)入0 LBA1范圍的 存儲(chǔ)區(qū)域�,即只讀的Li皿x認(rèn)證存儲(chǔ)區(qū)域�����。當(dāng)認(rèn)證完畢�����,固態(tài)硬盤(pán)的固件程序收到切換存儲(chǔ) 區(qū)域的命令后,固件程序����,將LBA解析范圍偏移LBA1的大小�,這樣主機(jī)就能訪(fǎng)問(wèn)用戶(hù)數(shù)據(jù)存 儲(chǔ)區(qū)域��。在固態(tài)硬盤(pán)硬復(fù)位之前��,將該存儲(chǔ)區(qū)域的寫(xiě)保護(hù)關(guān)掉�,這樣存儲(chǔ)區(qū)域切換完成。
本發(fā)明的密鑰存儲(chǔ)介質(zhì)還可為其他接口��、其它存儲(chǔ)設(shè)備或服務(wù)器等其他形式的可 信密鑰載體���。 本實(shí)施例是根據(jù)本發(fā)明提供的一種固態(tài)硬盤(pán)的安全加密系統(tǒng)��,其它依據(jù)本發(fā)明進(jìn) 行的實(shí)施方案均應(yīng)屬于在該方法下的實(shí)施�����。
權(quán)利要求
一種固態(tài)硬盤(pán)安全加密系統(tǒng),它包括主機(jī)�、設(shè)置在主機(jī)上的固態(tài)硬盤(pán)�����、密鑰和身份認(rèn)證系統(tǒng);固態(tài)硬盤(pán)包括加解密模塊����、固態(tài)硬盤(pán)控制模塊、存儲(chǔ)模塊����;身份認(rèn)證系統(tǒng)存儲(chǔ)在存儲(chǔ)模塊中;其特征在于密鑰存儲(chǔ)在固態(tài)硬盤(pán)以外的密鑰存儲(chǔ)介質(zhì)上�����。
2. 如權(quán)利要求1所述的固態(tài)硬盤(pán)安全加密系統(tǒng)��,其特征在于存儲(chǔ)模塊內(nèi)設(shè)有只讀存 儲(chǔ)區(qū)域��,身份認(rèn)證系統(tǒng)存儲(chǔ)在只讀存儲(chǔ)區(qū)域內(nèi)��。
3. 如權(quán)利要求1或2所述的固態(tài)硬盤(pán)安全加密系統(tǒng)��,其特征在于所述固態(tài)硬盤(pán)在主 機(jī)上電后����,首先啟動(dòng)身份認(rèn)證系統(tǒng)���。
4. 如權(quán)利要求3所述的固態(tài)硬盤(pán)安全加密系統(tǒng)��,其特征在于所述固態(tài)硬盤(pán)包括一個(gè) 或多個(gè)用戶(hù)存儲(chǔ)區(qū)域���,密鑰為一個(gè)或多個(gè)����;一個(gè)用戶(hù)存儲(chǔ)區(qū)域?qū)?yīng)一個(gè)或多個(gè)密鑰�,或���,一 個(gè)密鑰對(duì)應(yīng)一個(gè)或多個(gè)用戶(hù)存儲(chǔ)區(qū)域��。
5. 如權(quán)利要求4所述的固態(tài)硬盤(pán)安全加密系統(tǒng),其特征在于所述身份認(rèn)證系統(tǒng)在用 戶(hù)密鑰存儲(chǔ)介質(zhì)連接在主機(jī)上并輸入認(rèn)證指令后進(jìn)行以下步驟步驟(1)、認(rèn)證輸入認(rèn)證指令的步驟��,該步驟作出以下選擇認(rèn)證指令正確����,進(jìn)行步驟(2);或認(rèn)證指令不正確�����,進(jìn)行步驟(1);步驟(2)��、認(rèn)證密鑰與用戶(hù)存儲(chǔ)區(qū)域的步驟��,該步驟作出以下選擇認(rèn)證正確��,進(jìn)行步驟(3);或認(rèn)證不正確�����,進(jìn)行步驟(2);步驟(3)、切換存儲(chǔ)區(qū)域至密鑰對(duì)應(yīng)存儲(chǔ)區(qū)域并通過(guò)固態(tài)硬盤(pán)控制模塊將密鑰加載至 加解密模塊����。
6. 如權(quán)利要求1或2所述的固態(tài)硬盤(pán)安全加密系統(tǒng)���,其特征在于密鑰存儲(chǔ)介質(zhì)為可信存儲(chǔ)介質(zhì)��,密鑰存儲(chǔ)介質(zhì)為USB KEY或其它存儲(chǔ)設(shè)備或服務(wù)器�����。
全文摘要
本發(fā)明涉及一種固態(tài)硬盤(pán)安全加密系統(tǒng),它包括主機(jī)���、設(shè)置在主機(jī)上的固態(tài)硬盤(pán)��、密鑰和身份認(rèn)證系統(tǒng)��;固態(tài)硬盤(pán)包括加解密模塊����、固態(tài)硬盤(pán)控制模塊����、存儲(chǔ)模塊���;身份認(rèn)證系統(tǒng)存儲(chǔ)在存儲(chǔ)模塊中;密鑰存儲(chǔ)在固態(tài)硬盤(pán)以外的密鑰存儲(chǔ)介質(zhì)上。與現(xiàn)有技術(shù)相比��,本發(fā)明密鑰存儲(chǔ)在固態(tài)硬盤(pán)以外的密鑰存儲(chǔ)介質(zhì)(如USB KEY或其它存儲(chǔ)設(shè)備或服務(wù)器等)上����,使得密鑰與主機(jī)����、固態(tài)硬盤(pán)分離���,存儲(chǔ)密鑰的介質(zhì)可另處保存,提高了固態(tài)硬盤(pán)安全加密系統(tǒng)的安全性。
文檔編號(hào)G06F12/14GK101788959SQ20101909100
公開(kāi)日2010年7月28日 申請(qǐng)日期2010年2月3日 優(yōu)先權(quán)日2010年2月3日
發(fā)明者吳非, 王亞軒, 王亮, 陳祥 申請(qǐng)人:武漢固捷聯(lián)訊科技有限公司