[发明专利]一种基于安全芯片的可信移动存储方法

说明书

技术领域

本发明是一种基于安全芯片的可信移动存储方法，以可信计算技术和安全芯片技术为基础，提供一种安全的移动存储方法，属于信息安全领域。

背景技术

随着计算机技术的不断发展及相关应用需求的不断变化，计算机安全以及信息安全方面的问题越来越突出。可信计算技术和安全芯片技术的不断进步为解决信息安全问题提出了新思路。本发明提出的基于安全芯片的可信移动存储方法用于机密信息的存储和移动，在保证安全性与可靠性的前提下，提升了机密信息传输和存储的灵活性和可移动性。

安全芯片采用可信计算技术、SOC技术，内部结构主要包括微处理器、易失性存储器、非易失性存储器、硬件密码算法引擎等；安全芯片内部存储出厂发行时下发的EK证书和相关身份证书；EK密钥、存储根密钥等核心密钥永不出芯片，保证了密钥与机密数据的安全存储；密钥生成、加密解密、数字签名与验证等核心操作在芯片内部安全高效地完成。安全存储是采用可信技术对密钥和敏感数据进行保护存储；通过报告机制完成平台和用户身份证明，建立可信的身份体系；安全芯片的密钥管理功能包括密钥的生成、存储、更新、销毁等。此外，安全芯片的功能还包括可信度量、随机数生成、数据加解密等。

发明内容

本发明目的是提供一种基于安全芯片的可信移动存储方法。

一种基于安全芯片的可信移动存储方法，其特征在于：其功能实体包括可信第三方、可信移动存储设备、可信用户主机；所述各功能实体均内置安全芯片；所述可信第三方由内置安全芯片的第三方服务器，或内嵌安全芯片的安全计算机担任；所述的可信移动存储设备是内嵌安全芯片且能够存储数据，并能够与可信用户主机交互数据的可移动装置；所述的可信用户主机，是内嵌安全芯片的计算机，是可信移动存储设备的访问主体；

所述的安全芯片内部结构至少包括控制与执行部件、易失性存储部件、非易失性存储部件、非对称密码算法引擎部件、对称密码算法引擎部件、哈希算法引擎部件、随机数生成部件、I/O接口部件；安全芯片内部包含表征芯片唯一性的EK密钥对，所述EK密钥对为非对称密钥，包括EK公钥和EK私钥；所述EK公钥是EK证书的一部分，在安全芯片出厂发行时随EK证书下发至安全芯片，所述EK私钥在安全芯片出厂发行时注入安全芯片内部，所述EK私钥受到安全芯片保护；与所述EK证书在出厂发行时一同下发至安全芯片的还有发行证书，所述发行证书内容至少包括安全芯片的设备唯一序列号；

所述的基于安全芯片的可信移动存储方法，其特征在于：至少包括可信域建立、可信域成员的认证与添加、可信域成员之间的双向身份认证、可信域成员之间的数据交互；所述的可信域是一个逻辑集合，可信域成员是经过可信第三方认证与授权的可信用户主机、可信移动存储设备，只有属于同一可信域的可信域成员之间允许交互数据；

1)可信域建立的步骤如下，其中的安全芯片均是指可信第三方的安全芯片：

a1)可信第三方的安全芯片的设备唯一序列号，与安全芯片的随机数生成部件产生的随机数一同，经过安全芯片的哈希算法引擎部件处理，生成可信第三方唯一标识信息，由安全芯片的非对称密码算法引擎部件加密保护；

a2)可信第三方的安全芯片的非对称密码算法引擎部件生成非对称密钥对，作为可信第三方根密钥；所述可信第三方根密钥包括公钥和私钥，所述可信第三方根密钥作为可信第三方认证授权信息，由安全芯片的非对称密码算法引擎部件加密保护；

a3)可信第三方由安全芯片的随机数生成部件产生用于生成可信域唯一标识信息的随机数，所述用于生成可信域唯一标识信息的随机数经过安全芯片的哈希算法引擎部件处理，生成可信域唯一标识信息，所述可信域唯一标识信息由安全芯片的对称密码算法引擎部件加密保护；