基于多核处理器安全固态硬盘的加密存储控制系统及方法技术方案

本发明专利技术公开了基于多核处理器安全固态硬盘的加密存储控制系统及方法，系统包括安全SSD算法配用模块、主引导记录读取模块和安全启动控制模块和配置管理模块；所述安全SSD算法配用模块为全盘安全策略调用及数据保护提供加密算法支持；所述安全启动控制模块用于控制并获取安全SSD算法配用模块产生SM2密钥对PK|SK，并产生用户Rnd，MKey保护SK后生成SK'连同用户Rnd一起打包为SK'|PK|Rnd进行存储。本发明专利技术解决了传统软件加密存储方案效率低、安全性弱的缺陷，全盘加密方案与主板BIOS弱耦合，不需要BIOS厂商参与到安全性方案设计中，能够在多种国产化平台中自由适配。在多种国产化平台中自由适配。在多种国产化平台中自由适配。

【技术实现步骤摘要】
基于多核处理器安全固态硬盘的加密存储控制系统及方法


[0001]本专利技术涉及存储
，尤其涉及基于多核处理器安全固态硬盘的加密存储控制系统及方法。

技术介绍

[0002]固态硬盘简称SSD（Solid State Disk），主要由硬盘控制芯片和存储芯片构成，利用传统的NAND Flash特性，以区块写入和擦除的方式进行读写操作来实现数据存储的电子设备。由于基于闪存颗粒的固态硬盘具有功耗低、体积小、性能快、稳定性好等特点，广泛应用于军事、工控、电力、医疗、航空、消费电子等领域。
[0003]随着新一代信息技术的高速发展，数据存储领域存在的各种安全问题隐患也愈演愈烈，因此高性能安全固态存储模块的设计开发和应用，成为了国内固态硬盘相关技术、产品急需解决问题中非常重要的一个核心技术突破点。
[0004]现有的数据加密存储技术存在着一些不足或弊端：1、采用操作系统层面的应用软件实现用户数据的加密存储。软实现的密码算法性能低，操作系统多进程调用时共享主机内存时容易出现数据泄露，存在较大安全隐患；2、存储加密虽然采用硬件实现，但是安全性方案与宿主机BIOS深度绑定，在启动阶段需要在BIOS中植入安全认证固件，不仅很难做到基于非对称算法的高安全等级鉴权登录，同时该方案不利于固态硬盘跨平台移植使用，令产品推广受限；3、很多固态硬盘使用的加解密技术仍然采用TCG Opal方案及AES算法，没有采用我国自主研制的商用密码算法；4、大多数固态硬盘加密技术只能实现对于用户数据分区的加密，无法有效安全地实现包含系统分区在内的全盘加密技术。

技术实现思路

[0005]本专利技术的目的在于克服现有技术的不足，提供基于多核处理器安全固态硬盘的加密存储控制系统及方法。
[0006]本专利技术的目的是通过以下技术方案来实现的：基于多核处理器安全固态硬盘的加密存储控制系统，包括安全SSD算法配用模块、主引导记录读取模块和安全启动控制模块和配置管理模块；所述安全SSD算法配用模块用于为全盘安全策略调用及数据保护提供了国密标准的SM2、SM3和SM4算法支持；所述主引导记录读取模块用于安全固态盘上电后，BIOS启动设备硬件自检，完成后按引导顺序获得相应的主引导记录MBR；所述安全启动控制模块用于控制并获取安全SSD算法配用模块产生SM2密钥对PK|SK，并产生用户Rnd，MKey保护SK后生成SK'连同用户Rnd一起打包为SK'|PK|Rnd进行存储；所述配置管理模块用于在Boot OS启动后对硬盘进行分区管理、用户配置以及用
户登录。
[0007]进一步的，所述配置管理模块包括分区管理单元、用户配置单元和用户登录单元，用户配置单元功能在管理员登录后使能，对普通用户进行增加和删除操作，在增加用户时需配置用户权限，指定用户可访问的硬盘空间，用户登录功能支持合法用户登录，获取其相应的空间使用权限。
[0008]进一步的，所述配置管理模块在用户在Boot OS上登录成功后直接启动User OS，User OS启动成功后完成自动加载；在User OS下的配置管理模块仅具有用户登录功能，支持用户登录登出操作；用户成功进入User OS后可执行的各项正常操作；用户在操作完成后，应在配置管理模块中及时退出登录，清除其相应权限；用户退出后，配置管理模块支持任意合法用户登录，其他用户登录后使能相应的用户权限，展现相应的存储空间。
[0009]进一步的，所述分区管理单元对磁盘进行分区，并生成各分区所需的工作密钥WK，WK被PK保护后进行存储。
[0010]进一步的，还包括外挂于控制器安全芯片的NorFlash；所述NorFlash用于存储被PK保护后的工作密钥WK以及打包的SK'|PK|Rnd。
[0011]进一步的，所述国密标准的SM2算法用于加密保护根密钥；所述SM3算法用于用于用户口令随机加扰后衍生根密钥；所述SM4用于加密保护私钥、存储数据加解密。
[0012]进一步的，基于多核处理器安全固态硬盘的加密存储控制系统的加密存储控制方法，包括以下步骤：步骤1：主机端用户在User OS阶段键入UserID和PWD，此时安全SSD控制器中的安全芯片产生SM2密钥对PK|SK，并产生用户Rnd；MKey保护SK后生成SK'连同用户Rnd一起打包为SK'|PK|Rnd，写入控制器安全芯片外挂的NorFlash中存储；步骤2：配置管理模块进行磁盘分区，并生成各分区所需的工作密钥WK，WK被PK保护后密存于Sec CPU外挂的NorFlash中；步骤3：通过配置管理模块，管理用户信息以及磁盘编号，对不同的系统用户开放对应磁盘空间的访问权限；将工作密钥WK配置到安全固态存储控制芯片的数据加解密通道所用的密钥空间，SATA总线数据经过安全控制芯片的前端协议栈处理后，附带有效数据的帧索引对应的WK进行加密存储；读取时，通过对FTL处理模块的密文进行脱密之后，还原帧及明文流向协议处理模块。
[0013]本专利技术的有益效果：基于国产化SSD控制芯片，实现了从硬件、密码算法、安全固件、适配操作系统软件全国产化的自主可控技术路径。解决了传统软件加密存储方案效率低、安全性弱的缺陷，全盘加密方案与主板BIOS弱耦合，不需要BIOS厂商参与到安全性方案设计中，能够在多种国产化平台中自由适配。基于Boot OS+User OS的具有身份划分的，由SM2算法安全认证鉴权的登录机制，具有很高的盘级安全管控能力；自主研制的配置管理模块，界面友好，操作简单，便于跨平台移植，可扩展性强。真正的全盘加密策略，并配合紧急状态下硬件级一键快速销毁功能，完美保护数据的安全性。
附图说明
[0014]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本专利技术的某些实施例，因此不应被看作是对
范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0015]图1是本专利技术的系统原理框图。
[0016]图2是安全固态硬盘状态跳转流程图。
[0017]图3是安全固态硬盘的总执行流程图。
[0018]图4是安全固态硬盘启动控制流程图。
具体实施方式
[0019]应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。
[0020]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0021]本实施例中，如图1所示，基于多核处理器安全固态硬盘的加密存储控制系统，包括安全SSD算法配用模块、主引导记录读取模块和安全启动控制模块和配置管理模块；所述安全SSD算法配用模块用于为全盘安全策略调用及数据保护提供了国密标准的SM2、SM3和SM4算法支持；所述主引导本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于多核处理器安全固态硬盘的加密存储控制系统，其特征在于，包括安全SSD算法配用模块、主引导记录读取模块和安全启动控制模块和配置管理模块；所述安全SSD算法配用模块用于为全盘安全策略调用及数据保护提供了国密标准的SM2、SM3和SM4算法支持；所述主引导记录读取模块用于安全固态盘上电后，BIOS启动设备硬件自检，完成后按引导顺序获得相应的主引导记录MBR；所述安全启动控制模块用于控制并获取安全SSD算法配用模块产生SM2密钥对PK|SK，并产生用户Rnd，MKey保护SK后生成SK'连同用户Rnd一起打包为SK'|PK|Rnd进行存储；所述配置管理模块用于在Boot OS启动后对硬盘进行分区管理、用户配置以及用户登录。2.根据权利要求1所述的基于多核处理器安全固态硬盘的加密存储控制系统，其特征在于，所述配置管理模块包括分区管理单元、用户配置单元和用户登录单元，用户配置单元功能在管理员登录后使能，对普通用户进行增加和删除操作，在增加用户时需配置用户权限，指定用户可访问的硬盘空间，用户登录功能支持合法用户登录，获取其相应的空间使用权限。3. 根据权利要求2所述的基于多核处理器安全固态硬盘的加密存储控制系统，其特征在于，所述配置管理模块在用户在Boot OS上登录成功后直接启动User OS，User OS启动成功后完成自动加载；在User OS下的配置管理模块仅具有用户登录功能，支持用户登录登出操作；用户成功进入User OS后可执行的各项正常操作；用户在操作完成后，应在配置管理模块中及时退出登录，清除其相应权限；用户退出后，配置管理模块支持任意合法用户登录，其他用户登录后使能相应的用户权限，展现相应的存储空间。4.根据权利要求2所述的基于...

【专利技术属性】
技术研发人员：秦放，张福健，
申请(专利权)人：成都三零嘉微电子有限公司，
类型：发明
国别省市：