[发明专利]一种基于可信计算的加密硬盘密钥保护系统及方法

说明书

本发明涉及可信密码技术领域和硬盘加密技术领域，特别涉及一种基于可信计算的加密硬盘密钥保护系统及方法。其系统结构包括TCM芯片，所述的TCM芯片内设置有非易失性存储区和加密算法模块，所述的加密算法模块用于：A、对密管系统生成的加密硬盘密钥进行再加密，得到加密后密钥；B、对密管系统生成的加密硬盘密钥进行哈希计算，得到加密硬盘密钥哈希值；C、将所述的加密后密钥以及加密硬盘密钥哈希值存储于所述的非易失性存储区。本发明的一种基于可信计算的加密硬盘密钥保护系统及方法，系统结合TCM芯片对加密硬盘密钥进行访问控制，能够对加密硬盘密钥进行加密保护，并进行完整性度量。

技术领域

本发明涉及可信密码技术领域和硬盘加密技术领域，特别涉及一种基于可信计算的加密硬盘密钥保护系统及方法。

背景技术

可信计算技术发展已经日益成熟，国内也有众多厂家落地，基于可信计算的终端安全的防护也已经得到较多应用，但是国内可信计算主要应用于BIOS或操作系统层面的防护，包含主动度量、完整性度量、可信运行控制等。

可信计算采用可信密码模块提供底层的密码密钥服务，可信密码模块与传统的密码硬件模块存在不同，可信密码模块内部的密钥保护基于可信根，采用树形结构，相比较传统密码模块更加可信。

TCM，可信密码模块的英文缩写，全称为“Trusted Cryptography Module”，TCM芯片是可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。

通常加密硬盘密钥存储于内部，通过普通的口令进行合成形成最终的密钥，这种方式不利于密钥的集中管理，不利于密钥的分级保护。

为了发挥可信计算技术的优势，将可信计算技术应用于更多的领域，本发明将可信计算技术与加密硬盘结合，用于保护加密硬盘的密钥，提高加密硬盘内数据访问的安全性。

发明内容

为了解决现有技术的问题，本发明提供了一种基于可信计算的加密硬盘密钥保护系统及方法，系统结合TCM芯片对加密硬盘密钥进行访问控制，能够对加密硬盘密钥进行加密保护，并进行完整性度量。

本发明所采用的技术方案如下：

一种基于可信计算的加密硬盘密钥保护系统，包括TCM芯片，所述的TCM芯片内设置有非易失性存储区和加密算法模块，所述的加密算法模块用于：A、对密管系统生成的加密硬盘密钥进行再加密，得到加密后密钥；B、对密管系统生成的加密硬盘密钥进行哈希计算，得到加密硬盘密钥哈希值；C、将所述的加密后密钥以及加密硬盘密钥哈希值存储于所述的非易失性存储区。

TCM芯片通过TCM存储接口将所述的加密后密钥以及加密硬盘密钥哈希值存储于所述的非易失性存储区。

TCM芯片包括TCM身份认证接口和TCM哈希算法接口，所述的TCM芯片通过TCM身份认证接口进行身份认证，所述的TCM芯片通过TCM哈希算法接口对身份认证口令计算哈希，得到身份认证哈希值。

一种基于可信计算的加密硬盘密钥保护方法，包括密钥注入方法和密钥加载方法：

所述的密钥注入方法步骤如下：

步骤I1：将密管系统生成的加密硬盘密钥K1导入到计算机；

步骤I2：调用TCM身份认证接口进行身份认证，身份认证通过后执行步骤I3，否则结束；

步骤I3：调用TCM哈希算法接口对身份认证口令计算哈希，得到身份认证哈希值H1；

步骤I4：将身份认证哈希值H1作为加密密钥，调用TCM对称加密算法对加密硬盘密钥K1进行加密，得到加密后密钥K2；

步骤I5：调用TCM哈希算法计算加密硬盘密钥K1哈希，得到加密硬盘密钥哈希值H2；