固态硬盘的数据加密密钥获取、恢复方法和数据读写方法技术

本申请实施例公开了一种固态硬盘的数据加密密钥获取、恢复方法和数据读写方法，该数据加密密钥获取方法包括：获取固态硬盘的主控芯片管理密钥和创建的用户口令；根据主控芯片管理密钥、用户口令和第一密码学方法获取密钥加密密钥KEK的保护密钥ENK；根据保护密钥ENK以及第二密码学方法对生成的密钥加密密钥KEK进行加密，获取加密后的密钥加密密钥CIPHER_KEK；根据密钥加密密钥KEK以及第三密码学方法对生成的数据加密密钥DEK进行加密，获取加密后的数据加密密钥CIPHER_DEK。该实施例方案在固态硬盘的主控芯片损坏或固件有故障时为用户数据恢复提供技术基础，并提高了固件硬盘加密密钥的安全性。密密钥的安全性。密密钥的安全性。

【技术实现步骤摘要】
固态硬盘的数据加密密钥获取、恢复方法和数据读写方法


[0001]本文涉及信息安全技术，尤指一种固态硬盘的数据加密密钥获取、恢复方法和数据读写方法。

技术介绍

[0002]固态硬盘主要由主控芯片与NADN FLASH组成。数据加密密钥DEK用于加密用户数据，密钥加密密钥KEK用于加密数据加密密钥DEK。
[0003]目前数据加密密钥的生成及保存方法如下：
[0004]1、DEK和KEK由内部随机数产生，DKE由KEK保护，DEK密文保存在芯片内部或NAND中，KEK存放在芯片内部，KEK和DEK无其他保密方法参与保护或派生。
[0005]使用该方案时，一旦固态硬盘主控芯片损坏或固件有故障，就会导致数据加密密钥无法恢复，造成用户数据无法恢复；
[0006]2、DEK和KEK由内部随机数产生，KEK由用户口令保护，DEK由KEK保护，密钥存放在芯片内部或NAND中。
[0007]该方案虽然有用户口令参与保护或派生的方式，然而如果KEK存放至芯片内部，则主控芯片损坏或固件出现故障后，用户数据无法恢复；如果KEK存放至NAND中，仅由用户口令保护，安全性太低，容易遭到攻击破解。

技术实现思路

[0008]本申请实施例提供了一种固态硬盘的数据加密密钥获取、恢复方法和数据读写方法，能够在固态硬盘的主控芯片损坏或固件有故障时，为用户数据恢复提供技术基础，并能提高固件硬盘加密密钥的安全性。
[0009]本申请实施例提供了一种固态硬盘的数据加密密钥获取方法，所述方法可以包括：
[0010]获取固态硬盘的主控芯片管理密钥和创建的用户口令；
[0011]根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK；
[0012]根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密，获取加密后的密钥加密密钥CIPHER_KEK；
[0013]根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密，获取加密后的数据加密密钥CIPHER_DEK。
[0014]在本申请的示例性实施例中，获取固态硬盘的主控芯片管理密钥可以包括：
[0015]基于所述固态硬盘的管理主密钥和唯一序列号，通过预设的第四密码学方法生成所述主控芯片管理密钥。
[0016]在本申请的示例性实施例中，所述方法还可以包括：将生成的所述主控芯片管理密钥存放至所述固态硬盘的主控芯片内部的非易失存储器内。
[0017]在本申请的示例性实施例中，所述非易失存储器可以包括：一次性可编程OTP存储器，和/或，带电可擦可编程只读存储器EEPROM。
[0018]在本申请的示例性实施例中，所述第一密码学方法和所述第四密码学方法可以包括：SM3密码杂凑算法；
[0019]所述第二密码学方法和所述第二密码学方法可以包括：SM4密码杂凑算法。
[0020]在本申请的示例性实施例中，所述方法还可以包括：
[0021]在所述固态硬盘出厂之前，对所述固态硬盘执行预设的开卡流程，并在所述开卡流程中生成所述主控芯片管理密钥。
[0022]在本申请的示例性实施例中，所述方法还可以包括：
[0023]将所述加密后的密钥加密密钥CIPHER_KEK和所述加密后的数据加密密钥CIPHER_DEK存储到非易失闪存NAND中。
[0024]在本申请的示例性实施例中，所述方法还可以包括：
[0025]通过所述固态硬盘的主控芯片产生第一随机数作为密钥加密密钥KEK，并产生第二随机数作为数据加密密钥DEK。
[0026]本申请实施例还提供了一种固态硬盘的数据读写方法，所述方法可以包括：
[0027]调取存储的主控芯片管理密钥，并读取输入的用户口令；
[0028]根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK；
[0029]从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK；
[0030]根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密，获取所述密钥加密密钥KEK；
[0031]根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密，获取数据加密密钥DEK；
[0032]根据获取的所述数据加密密钥DEK对写入的数据进行加密，或者，对读取的加密数据进行解密。
[0033]本申请实施例还提供了一种固态硬盘的数据加密密钥恢复方法，所述方法可以包括：
[0034]在确定所述固态硬盘内放入主控芯片后，重新生成固态硬盘的主控芯片管理密钥；
[0035]读取输入的用户口令，根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK；
[0036]从非易失闪存NAND中读取加密后的密钥加密密钥CIPHER_KEK和加密后的数据加密密钥CIPHER_DEK；
[0037]根据所述保护密钥ENK对所述加密后的密钥加密密钥CIPHER_KEK进行解密，获取所述密钥加密密钥KEK；
[0038]根据获取的所述密钥加密密钥KEK对所述加密后的数据加密密钥CIPHER_DEK进行解密，获取数据加密密钥DEK。
[0039]与相关技术相比，本申请实施例包括：获取固态硬盘的主控芯片管理密钥和创建
的用户口令；根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK；根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密，获取加密后的密钥加密密钥CIPHER_KEK；根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密，获取加密后的数据加密密钥CIPHER_DEK。通过该实施例方案，实现了在固态硬盘的主控芯片损坏或固件有故障时，为用户数据恢复提供技术基础，解决了固态硬盘的主控芯片损坏或固件有故障时，导致数据加密密钥无法恢复，从而造成用户数据无法恢复的问题；并解决了固件硬盘加密密钥仅由用户口令参与保护或派生，安全性低的问题，并提高了固件硬盘加密密钥的安全性。
[0040]本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
[0041]附图用来提供对本申请技术方案的理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。
[0042]图1为本申请实施例的固态硬盘的数据加密密钥获取方法流程图；
[0043]图2为本申请实施例的固态硬盘的数据读写方法流程图；
[0044]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种固态硬盘的数据加密密钥获取方法，其特征在于，所述方法包括：获取固态硬盘的主控芯片管理密钥和创建的用户口令；根据所述主控芯片管理密钥、所述用户口令和预设的第一密码学方法获取密钥加密密钥KEK的保护密钥ENK；根据所述保护密钥ENK以及预设的第二密码学方法对生成的密钥加密密钥KEK进行加密，获取加密后的密钥加密密钥CIPHER_KEK；根据所述密钥加密密钥KEK以及预设的第三密码学方法对生成的数据加密密钥DEK进行加密，获取加密后的数据加密密钥CIPHER_DEK。2.根据权利要求1所述的固态硬盘的数据加密密钥获取方法，其特征在于，获取固态硬盘的主控芯片管理密钥包括：基于所述固态硬盘的管理主密钥和唯一序列号，通过预设的第四密码学方法生成所述主控芯片管理密钥。3.根据权利要求2所述的固态硬盘的数据加密密钥获取方法，其特征在于，所述方法还包括：将生成的所述主控芯片管理密钥存放至所述固态硬盘的主控芯片内部的非易失存储器内。4.根据权利要求3所述的固态硬盘的数据加密密钥获取方法，其特征在于，所述非易失存储器包括：一次性可编程OTP存储器，和/或，带电可擦可编程只读存储器EEPROM。5.根据权利要求2所述的固态硬盘的数据加密密钥获取方法，其特征在于，所述第一密码学方法和所述第四密码学方法包括：SM3密码杂凑算法；所述第二密码学方法和所述第二密码学方法包括：SM4密码杂凑算法。6.根据权利要求2所述的固态硬盘的数据加密密钥获取方法，其特征在于，所述方法还包括：在所述固态硬盘出厂之前，对所述固态硬盘执行预设的开卡流程，并在所述开卡流程中生成所述主控芯片管理密钥。7.根据权利要求1-6任意一项所述的固态硬盘的数据加密密钥获取方法，其特征在于，所述方法还包括：将所述加密后的密钥加密密钥CIPHER_K...

【专利技术属性】
技术研发人员：吴海成，
申请(专利权)人：合肥大唐存储科技有限公司，
类型：发明
国别省市：