[发明专利]一种支持加密卡功能的可信存储硬盘

说明书

本发明涉及一种支持加密卡功能的可信存储硬盘，属于计算机领域。本发明通过在一个PCIe接口上实现两个物理功能，分别为NVMe存储功能和PCIe密码卡功能，同时在可信存储硬盘内部实现内部可信，在上电时PF_0通道先工作，主动度量PF_1通道的NVMe主控固件，符合可信3.0思想中的主动度量要求，同时与宿主机进行可信认证，从而实现主机和硬盘之间可信链的传递确认。本发明实现了硬盘内部的可信，达到可信存储的目标，符合可信3.0的思想，并且，在一个硬盘中实现了PCIe密码卡功能和NVMe存储功能，不仅仅节约了一个设备，降低构建可信计算机的成本，同时所要保护的数据与高安全的可信密码模块处于同一个设备内，大大提高安全程度。

技术领域

本发明属于计算机领域，具体涉及一种支持加密卡功能的可信存储硬盘。

背景技术

本发明所述的“一种支持加密卡功能的可信存储硬盘”主要是将可信计算机的思想延申到硬盘中，实现了一种具有存储数据加解密、盘内固件可信启动、并能够为宿主机提供可信密码服务的高安全可信存储固态硬盘。

传统的可信计算技术以TCG组织(Truesed Computing Group)所定义的可信赖平台模块(Trusted Platform Module，TPM)为核心。对于可信计算机，最主要的一个特点在于其启动过程中，当BIOS最初阶段启动后，会调用TPM芯片对剩余BIOS和操作系统进行基于杂凑算法的完整性度量，当度量通过时，计算机才会启动，这一过程称之为可信启动。

我国也提出了自己的可信技术，主要包括TCM(Trusted Cryptography Module)和TPCM(Trusted PlatformControl Module)技术。TCM技术体制和TPM基本一致，主要是将其中的算法替换为我国自主密码算法。TPCM核心是沈昌祥院士所提出的可信计算3.0思想，TPCM在TCM的基础上改进了可信软件栈架构。基于TPCM的可信计算机的可信启动过程主要不同在于：TPCM是计算机中首先上电的部件，是最终可信根，可以实现主动度量和主动控制。

TPM/TCM或TPCM本身就是一块标准密码运算部件，如果基于PCIe接口实现，可称为PCIe密码卡或PCIe可信卡，实现丰富的密码功能，包括密码算法、密钥管理、证书管理、密码协议等内容，可以被宿主机按照符合相关标准的软件接口进行调用，从而实现各种密码服务。

传统计算机固态硬盘方案主要是由主控芯片和NandFlash闪存阵列组成，目前最先进的固态存储协议标准是NVMe协议，传输接口为PCIe。在计算机上电时，BIOS会扫描枚举PCIe设备，从而找到NVMe硬盘，并从中启动操作系统。对NVMe固态硬盘实现数据安全增强的方法主要是在NVMe主控中增加数据加密算法，从而实现数据加解密。

目前的可信计算机技术体制中，无论TPM/TCM技术还是TPCM技术中，都主要关注BIOS、操作系统和上层应用软件的可信。而实际上，硬盘中也包含有固件，存在被篡改或入侵的风险。硬盘作为直接存储操作系统和数据的载体，尚未被实现自身的可信启动，不能充分保证自身安全。同时，标准的NVMe硬盘中，其PCIe接口只支持一个物理功能，只能单独作为一个存储设备使用，无法同时实现作为一个PCIe密码卡设备使用。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是如何提供一种支持加密卡功能的可信存储硬盘，以解决硬盘中也包含有固件，存在被篡改或入侵的风险的问题。

(二)技术方案

为了解决上述技术问题，本发明提出一种支持加密卡功能的可信存储硬盘，该硬盘包括PCIe接口模块、密码模块、NVMe主控模块、内部可信控制模块、NandFlash阵列和非易失存储，

所述PCIe接口模块负责与宿主机进行通信，所述PCIe接口模块实现了两个物理功能PF(Physical Function)，每个PF通道PF_0和PF_1都支持全功能的PCIe；