本发明专利技术公开一种基于龙芯处理器的可信加密系统,通过TCM芯片对BIOS及操作系统进行完整性保护,并基于TCM芯片密码算法对密钥进行加密保护,密钥存储在USBkey内部,通过对BIOS改造实现密钥使用认证,密钥从USBKey到硬盘密码芯片的传输,采用可信计算技术保证系统不被破坏,通过加密密钥存储、使用过程的安全性保护,保证加密数据的安全可信。
【技术实现步骤摘要】
【专利摘要】本专利技术公开一种基于龙芯处理器的可信加密系统,通过TCM芯片对BIOS及操作系统进行完整性保护,并基于TCM芯片密码算法对密钥进行加密保护,密钥存储在USBkey内部,通过对BIOS改造实现密钥使用认证,密钥从USBKey到硬盘密码芯片的传输,采用可信计算技术保证系统不被破坏,通过加密密钥存储、使用过程的安全性保护,保证加密数据的安全可信。【专利说明】—种基于龙芯处理器的可信加密系统
本专利技术涉及信息安全领域,具体地说是一种基于龙芯处理器的可信加密系统。
技术介绍
在计算机技术和互联网迅速发展的今天,数据已经成为企业、政府与个人非常重要的资产,随着数据的重要性提升,人们对数据的安全保密也逐渐重视起来。对敏感数据加密加密是保护数据安全的一种有效途径,能够有效防止敏感数据泄密。 数据加密一般采用软件加密与硬件加密两种方式,软件加密多采用文件过滤驱动、硬盘过滤驱动等技术实现,存在软件程序容易被篡改、数据丢失、数据无法解密等问题;硬件加密多采用硬件密码芯片加密,不易被破解,安全性更高,能够在有效保证数据安全的同时保证数据可用。传统硬件加密密钥通常存储于密码芯片内部,通过在B1S中输入ATA密码对加密的密钥解密,然后获取密钥明文对硬盘进行数据解密,这种方式存在两个严重问题:一是基于ATA密码方式,容易被盗取,二是没有保证B1S与操作系统的完整性,一旦B1S或操作系统被破坏,同样可以导致敏感数据泄密。通常密钥存储采用外部USBKey的形式,既保证了密钥安全又保证了用户身份,而完整性基于可信密码芯片TCM实现,通过调用TCM芯片杂凑算法对B1S与操作系统进行完整性验证。 随着各类安全事件的频发,国家对计算机国产化也逐步重视起来,在国产化进程中,国产化处理器是必不可少的组成部分。目前国产处理器在商用领域以龙芯处理器为主,3B龙芯处理器主频已经达到1.1GHZ,配套生态系统也比较成熟,已经能够满足基本日常应用的需求。
技术实现思路
本专利技术的目的是提供一种基于龙芯处理器的可信加密系统。 本专利技术的目的是按以下方式实现的,系统包含可信完整性验证模块I)、密钥管理模块2)、硬盘加解密模块3),其中:可信完整性验证模块I)首先通过TCM内部COS对B1S进行完整性度量,预期值保证在TCM芯片NV存储区内部,验证通过后将信任链传递给B10S,由B1S完整对操作系统的完整性验证;可信完整性验证步骤如下:Cl)开机加电,TCM可信密码模块COS调用TCM芯片杂凑算法对计算机B1S进行杂凑计算;(2)将B1S杂凑值与TCM芯片内部存储的预期值进行对比,如果相同则继续下一步,否则禁止系统启动;(3)B10S调用TCM芯片杂凑算法对操作系统内核进行杂凑计算,获得杂凑值,将所得杂凑值与TCM内部存储的操作系统内核预期值进行对比,如果相同则继续下一步,否则禁止系统启动; (4)B10S调用TCM芯片杂凑算法对操作系统关键文件进行杂凑计算,获得杂凑值,将所得杂凑值与TCM内部存储的操作系统关键文件预期值进行对比,如果相同启动操作系统,否则禁止系统启动;密钥管理模块2)基于USBKey存储密钥,并通过TCM芯片对密钥进行加密保护;密钥管理模块包含密钥生成、密钥加密与密钥存储功能,密钥生成通过用户输入结合硬件信息产生加密密钥;通过TCM加密算法对密钥进行加密,加密后存储与USBKey内部,密钥管理步骤如下:(1)将用户USBKey设备与计算机相连,密钥管理模块用于存储密钥;(2)密钥管理模块输入用户基本信息,调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值,取杂凑值中的8字节作为密钥Kl ;(3)密钥管理模块获取计算机硬件信息,调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值,将杂凑值作为K2 ;(4)密钥管理模块将Kl与K2连接后得到密钥K,调用TCM芯片对称加密算法对K加密后存储存储于USBKey内部;硬盘加解密模块3)通过改造B1S实现密钥读取认证与密钥解密传输功能,硬盘加解密模块首先B1S对密钥使用进行PIN认证,认证通过后对密钥解密,解密后传递给加密密码芯片,通过硬盘密码芯片对数据进行加解密,硬盘加解密步骤如下:(1)将用户USBKey设备与计算机相连,密钥传输模块读取加密密钥;(2)密钥传输模块提示用户输入PIN码,用于验证用户身份合法性;(3)用户身份验证通过后,密钥传输模块从USBKey读取加密密钥,调用TCM对称加密算法对加密的密钥进行解密获得密钥明文,然后将密钥传递给硬盘加密模块,硬盘加密模块对硬盘数据加解密。 本专利技术的目的有益效果是:通过TCM芯片对B1S及操作系统进行完整性保护,并基于TCM芯片密码算法对密钥进行加密保护。密钥存储在USBkey内部,通过对B1S改造实现密钥使用认证,密钥从USBKey到硬盘密码芯片的传输。采用可信计算技术保证系统不被破坏,通过加密密钥存储、使用过程的安全性保护,保证加密数据的安全可信。 【专利附图】【附图说明】 图1是可信完整性验证流程图;图2是密钥管理流程图;图3是硬盘加解密流程图。 【具体实施方式】 参照说明书附图对本专利技术的作以下详细地说明。 本专利技术的一种基于龙芯处理器的可信加密系统,为了使本专利技术的技术方法、优点更加清楚,以下结合附图和实施例对本专利技术系统和方法进行进一步详细说明。 (一)传统计算机没有对B1S及操作系统文件进行完整性验证,如果B1S或操作系统遭到破坏,执行恶意代码,非常容易造成数据泄密。本专利技术通过TCM芯片COS对B1S进行完整性度量,由B1S对操作系统度量,通过信任链的传递保证计算机自身可信安全。 为实现B1S对操作系统完整性度量,B1S需要进行改造。参见图1改造后完整性度量过程如下:(1)通过配置界面配置要度量的操作系统文件路径及预期值,配置信息存储于TCM芯片NV存储区中,B1S通过PCIE驱动与TCM芯片通信,通过发送TCM命令操作TCM相关功倉泛;(2)B10S打开需操作系统文件,通过TCM_HASH_INIT_ORD命令初始化杂凑算法,然后通过TCM_HASH_UPDATE_ORD命令将操作系统文件发送到TCM芯片内部,最后调用TCM_HASH_FINI_0RD命令结束杂凑算法,获取杂凑值;(3)从TCM芯片NV存储区读取操作系统文件预期值,对比计算得到的杂凑值与预期值,判断是否相同,如果相同则继续启动操作系统,否则停止启动操作系统。 (二)传统硬件加密方式密钥存储于密码芯片内部,无法保证密钥使用安全,本专利技术将密钥存储与USBKey设备中,采用TCM芯片密码算法加密,如果要使用USBKey中存储密钥必须通过认证。图2为本专利技术的密钥管理流程图,详细步骤如下:(O密钥管理模块输入用户基本信息,调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值,取杂凑值中的8字节作为密钥Kl ;(2)密钥管理模块获取计算机硬件唯一标识,调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值,将杂凑值作为K2 ;(3)密钥管理模块将Kl与K2连接后得到密钥K,调用TCM芯片对称加密算法对K加密;(4)密钥管理模块调用USBKey驱动接口将加密后密钥存储与USBKey内部,并设本文档来自技高网...
【技术保护点】
一种基于龙芯处理器的可信加密系统,其特征在于系统包含可信完整性验证模块1)、密钥管理模块2)、硬盘加解密模块3),其中:可信完整性验证模块1)首先通过TCM内部COS对BIOS进行完整性度量,预期值保证在TCM芯片NV存储区内部,验证通过后将信任链传递给BIOS,由BIOS完整对操作系统的完整性验证; 可信完整性验证步骤如下:(1)开机加电,TCM可信密码模块COS调用TCM芯片杂凑算法对计算机BIOS进行杂凑计算;(2)将BIOS杂凑值与TCM芯片内部存储的预期值进行对比,如果相同则继续下一步,否则禁止系统启动;(3)BIOS调用TCM芯片杂凑算法对操作系统内核进行杂凑计算,获得杂凑值,将所得杂凑值与TCM内部存储的操作系统内核预期值进行对比,如果相同则继续下一步,否则禁止系统启动;(4)BIOS调用TCM芯片杂凑算法对操作系统关键文件进行杂凑计算,获得杂凑值,将所得杂凑值与TCM内部存储的操作系统关键文件预期值进行对比,如果相同启动操作系统,否则禁止系统启动;密钥管理模块2)基于USBKey存储密钥,并通过TCM芯片对密钥进行加密保护;密钥管理模块包含密钥生成、密钥加密与密钥存储功能,密钥生成通过用户输入结合硬件信息产生加密密钥;通过TCM加密算法对密钥进行加密,加密后存储与USBKey内部,密钥管理步骤如下:(1)将用户USBKey设备与计算机相连,密钥管理模块用于存储密钥;(2)密钥管理模块输入用户基本信息,调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值,取杂凑值中的8字节作为密钥K1;(3)密钥管理模块获取计算机硬件信息,调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值,将杂凑值作为K2;(4)密钥管理模块将K1与K2连接后得到密钥K,调用TCM芯片对称加密算法对K加密后存储存储于USBKey内部;硬盘加解密模块3)通过改造BIOS实现密钥读取认证与密钥解密传输功能,硬盘加解密模块首先BIOS对密钥使用进行PIN认证,认证通过后对密钥解密,解密后传递给加密密码芯片,通过硬盘密码芯片对数据进行加解密,硬盘加解密步骤如下:(1)将用户USBKey设备与计算机相连,密钥传输模块读取加密密钥;(2)密钥传输模块提示用户输入PIN码,用于验证用户身份合法性;(3)用户身份验证通过后,密钥传输模块从USBKey读取加密密钥,调用TCM对称加密算法对加密的密钥进行解密获得密钥明文,然后将密钥传递给硬盘加密模块,硬盘加密模块对硬盘数据加解密。...
【技术特征摘要】
【专利技术属性】
技术研发人员:郭猛善,冯磊,
申请(专利权)人:山东超越数控电子有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。