[发明专利]一种支持加密卡功能的可信存储硬盘

权利要求书

1.一种支持加密卡功能的可信存储硬盘，其特征在于，该硬盘包括PCIe接口模块、密码模块、NVMe主控模块、内部可信控制模块、NandFlash阵列和非易失存储，

所述PCIe接口模块负责与宿主机进行通信，所述PCIe接口模块实现了两个物理功能PF(Physical Function)，每个PF通道PF_0和PF_1都支持全功能的PCIe；

密码模块：在PF_0通道上，实现一个TCM密码模块；

NVMe主控模块：在PF_1通道上，实现一个NVMe主控模块；

内部可信控制模块：在可信存储硬盘内部，将PF_0通道和PF_1通道连接起来；电路上，连通密码模块与NVMe主控模块，功能上，将密码模块的可信服务功能应用于内部的NVMe主控固件的安全保障；

NandFlash阵列：NandFlash阵列由多颗NandFlash芯片组成，是数据存储介质，连接到NVMe主控模块的NandFlash接口控制模块；NVMe主控固件存储于NandFlash阵列的一段逻辑地址空间中；

非易失存储：存储PF_0通道密码模块固件程序。

2.如权利要求1所述的支持加密卡功能的可信存储硬盘，其特征在于，所述密码模块在电路模块上包括对称加密算法、公钥算法、杂凑算法、随机数引擎和执行引擎；在控制上，密码固件程序控制PF_0通道所有密码工作过程，存储于专门的非易失性存储器中，上电时首先由执行引擎加载密码固件启动；在应用上，PF_0通道可以被宿主机识别为一个PCIe接口的TCM密码卡设备，直接接受宿主机符合要求的密码调用，提供可信密码服务。

3.如权利要求2所述的支持加密卡功能的可信存储硬盘，其特征在于，所述NVMe主控模块在电路模块上包括NVMe协议解析逻辑、NandFlash接口控制、对称加密算法和存储主控引擎，该NVMe主控模块的对称密码算法用于实现对PF_1通道存储数据的门卫式加解密；在控制上，NVMe主控固件控制存储命令执行，完成NandFlash阵列物理地址到硬盘逻辑地址的映射管理，上电时，PF_1通道主控引擎自动读取固件程序；在应用上，PF_1通道完成启动后，被宿主机识别为一个PCIe接口的NVMe固态硬盘。

4.如权利要求3所述的支持加密卡功能的可信存储硬盘，其特征在于，所述NandFlash接口控制支持符合ONFI接口标准和Toggle接口标准的NandFlash颗粒，包括各类SLC、MLC、TLC及QLC闪存颗粒。

5.如权利要求3所述的支持加密卡功能的可信存储硬盘，其特征在于，所述NVMe主控固件以全部密文或部分密文形式存储。

6.如权利要求3所述的支持加密卡功能的可信存储硬盘，其特征在于，所述内部可信控制模块用于确认宿主机可信：获取PF_0通道与宿主机相互可信认证的结果，确认宿主机可信；用于控制NVMe主控固件可信度量与解密：可信存储硬盘上电时，内部可信控制模块会通过PF_1通道读取NVMe主控固件的密文，并调用PF_0通道中的杂凑算法进行度量，检查NVMe固件是否安全，然后，调用PF_0通道中的对称加密算法对主控固件进行解密；用于存储数据加解密密钥释放：将PF_0通道中运算后的存储数据加解密密钥释放给NVMe主控模块中的对称加密算法，从而使得PF_1通道可以开始正式启动工作。

7.如权利要求6所述的支持加密卡功能的可信存储硬盘，其特征在于，所述宿主机通过PCIe3.0 x4通道连接PCIe接口模块，宿主机的BIOS包含用于了可信认证启动的交互命令、NVMe驱动功能和PCIe密码卡驱动功能，NVMe驱动功能完成宿主机文件系统的读写操作，PCIe密码卡驱动功能完成用户应用的密码调用。