[发明专利]一种基于可信认证的安全固态盘加密系统及方法

权利要求书

1.一种基于可信认证的安全固态盘加密系统，其特征在于，包括可信模块和安全固态盘两大组件；

其中所述可信模块又包括可信认证模块（1）、密钥生成模块（2）、第一算法引擎模块（3）和安全存储模块（4）；所述安全固态盘包括密钥合成模块（6）、密钥管理模块（7）、第二算法引擎模块（8）、对外接口模块（5）、固态盘控制器模块（9）和存储模块，存储模块分为隐藏区（10）和数据区（11）两部分；

基于可信认证的安全固态盘加密系统在可信认证通过之前禁止安全固态盘的加载；安全固态盘的密钥由存储密钥和加密密钥组成，采用存储密钥动态生成、用存储密钥加密加密密钥、加密密钥密文隐藏保存这些多级密钥保护机制；安全固态盘加密系统所有者更新由更新用户身份信息和加密密钥密文实现；

所述可信模块采用支持二次开发的密码芯片实现，可信认证模块（1）运行在密码芯片内部微处理器上，用于完成用户身份认证、用户身份信息的更新，以及用户身份信息特征值的提取工作；密钥生成模块（2）也运行在芯片内部的微处理器上，用于根据用户身份信息特征值，调用第一算法引擎模块（3）中的密钥生成算法动态生成存储密钥分量一；密码芯片内部的第一算法引擎模块（3）用于对外提供密码服务；从密码芯片内部非易失性存储器中划分出一段空间作为所述安全存储模块（4），用于提供合法用户身份信息的非易失性存储；

所述密钥合成模块（6）、密钥管理模块（7）和第二算法引擎模块（8）三大安全模块，用于实现对数据的加解密和密钥的安全管理，这三个安全模块采用支持二次开发的密码芯片实现；或采用可编程门阵列实现，其中，密钥合成模块（6）用于通过调用第二算法引擎模块（8）提供密码算法实现存储密钥分量一和存储密钥分量二的有机合成，形成完整的存储密钥明文；密钥管理模块（7）用于调用第二算法引擎模块（8）提供的加密算法实现加密密钥的加解密、密钥数据的提取与更新功能；第二算法引擎模块（8）则提供密码服务，为存储密钥的合成、加密密钥的加解密、用户数据的加解密提供算法支持；对外接口模块（5）用于实现安全固态盘各类对外接口总线上数据包接收与转发，实现读写数据包、控制指令的输入/输出；固态盘控制器模块（9）用于实现Sata报文的转发；存储模块用于实现数据的非易失性存储，并根据用户是否可见划分为隐藏区（10）和数据区（11），其中隐藏区（10）对用户不可见，用于存储加密密钥密文和存储密钥分量二，数据区（11）用于存储用户数据和系统数据，当写数据请求包经对外接口模块（5）进入安全固态盘后，由第二算法引擎模块（8）用加密密钥加密后传递给固态盘控制器模块（9），由其写入相应的存储模块的数据区（11）中；同样地，当数据从数据区（11）读取后，由固态盘控制器模块（9）传至第二算法引擎模块（8），第二算法引擎模块（8）根据密钥进行解密后，通过对外接口模块（5）传送给应用系统或用户。

2.如权利要求1所述的系统，其特征在于，所述可信模块内部集成密码算法引擎、真随机数发生器、微处理器、RAM和非易失性存储器。