專利名稱:面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種數(shù)據(jù)存儲(chǔ)裝置����,尤其涉及一種適用于可信計(jì)算密碼支 撐平臺(tái)的硬盤裝置�����,屬于通信技術(shù)領(lǐng)域���。
背景技術(shù):
在當(dāng)今的時(shí)代,信息技術(shù)的應(yīng)用已經(jīng)廣泛地改變著人們的工作和生活方 式�,信息己經(jīng)成為新興的重要資產(chǎn)類型,保障信息資產(chǎn)和信息體系的安全����,從 小處來說事關(guān)廣大企業(yè)和家庭的商業(yè)利益和私人秘密;從大處來說事關(guān)國家安 全和經(jīng)濟(jì)利益���。
20世紀(jì)90年代, 一些國際級(jí)IT廠商開始提出了可信計(jì)算理念�����,并于 1999年建立了 TCPA組織(可信計(jì)算平臺(tái)聯(lián)盟)并推出可信計(jì)算標(biāo)準(zhǔn)���,2003 年TCPA改組為可信計(jì)算組織(TCG)�����,該組織制定了關(guān)于可信計(jì)算平臺(tái)��、可 信存儲(chǔ)和可信網(wǎng)絡(luò)連接等一系列規(guī)范���。
TPM嵌入式安全芯片是一種安全密鑰生成器和一種支持工業(yè)標(biāo)準(zhǔn)的加密應(yīng) 用編程接口 (API)的密鑰緩存管理器件��。TPM以硬件來生成����、存儲(chǔ)和管理密 鑰��,并利用系統(tǒng)平臺(tái)的余下資源來"加固"以前那些只依靠軟件加密算法并將 密鑰存儲(chǔ)在不安全的存儲(chǔ)器巾的許多應(yīng)用���。TPM可以將密鑰存儲(chǔ)在受TPM控 制器及TPM防竄改電路保護(hù)的非易失性存儲(chǔ)器中���,包括存儲(chǔ)根密鑰、簽名密 鑰及其它敏感數(shù)據(jù)等�。PC端應(yīng)用軟件的關(guān)鍵代碼和數(shù)據(jù)"消失"了,它們被 安全地移植到加密鎖的硬件中保護(hù)起來�。在需要使用時(shí),應(yīng)用軟件可以通過功能調(diào)用引擎來指令加密鎖運(yùn)行硬件中的關(guān)鍵代碼和數(shù)據(jù)并返回結(jié)果���,從而依然 可以完成整個(gè)軟件全部的功能���。由于這些代碼和數(shù)據(jù)在PC端沒有副本存在���, 因此解密者無從猜測算法或竊取數(shù)據(jù),從而極大程度上保證了整個(gè)軟件系統(tǒng)的 安全性?�,F(xiàn)在的安全電腦都已安裝了TPM嵌入式安全芯片����。
然而,信息安全問題的重點(diǎn)其實(shí)是針對(duì)專有數(shù)據(jù)(尤其是用戶自己創(chuàng)建處理 的核心數(shù)據(jù))加以保密控制�����,目前國內(nèi)大量的研究�����、開發(fā)和實(shí)際應(yīng)用都集屮在網(wǎng) 絡(luò)安全和系統(tǒng)安全上�����。存儲(chǔ)安全的研究與技術(shù)開發(fā)處于空白��。硬盤作為當(dāng)前存 儲(chǔ)數(shù)據(jù)的最重要的載體�����,里面的數(shù)據(jù)面臨被非法用戶竊取的最大隱患���,而現(xiàn)有 的硬盤要么是沒有加密��,要么加密技術(shù)就是基于一些軟件廠商通過加密軟件對(duì)
數(shù)據(jù)進(jìn)行加密處理���,如VERITAS NetBacku的加密軟件?���?傊?dāng)前的硬盤加 密技術(shù)都是基于操作系統(tǒng)或軟件上的�����,密鑰存儲(chǔ)在硬盤的某一個(gè)地方�,只要非 法用戶對(duì)操作系統(tǒng)或加密軟件很熟悉的話,就能輕而易舉的找到加密密鑰���,破 解加密硬盤�,很容易的獲取本不能獲取的數(shù)據(jù)���。
發(fā)明內(nèi)容
本實(shí)用新型的目的旨在提供一種面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤����, 以克服上述傳統(tǒng)基于軟件加密、加密密鑰存儲(chǔ)于硬盤某個(gè)地方造成的易被發(fā)現(xiàn) 并破解的缺陷����,即使硬盤本身被竊取,其內(nèi)部存儲(chǔ)的數(shù)據(jù)依然無法得以破解�����, 使可信硬盤內(nèi)的數(shù)據(jù)獲得安全��、可靠的保障�����。
本實(shí)用新型的目的得以實(shí)現(xiàn)的技術(shù)方案是.-
一種面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤����,包括同一電路板上集成并信 號(hào)相連的SATA接口芯片(Ul)和主控制器(U2),所述主控制器(U2)通過硬盤控制器接口與大容量存儲(chǔ)單元相連�,其特征在于所述可信硬盤的主控
制器(U2)接設(shè)有一個(gè)加密協(xié)處理器(U3)�,兩者與SATA接口芯片(Ul) 共同構(gòu)成了可信硬盤的加密模塊單元����;可信硬盤通過SATA接口芯片(Ul)接 入符合可信計(jì)算密碼支撐平臺(tái)的電腦進(jìn)行數(shù)據(jù)交換�。
進(jìn)一步地,上述面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤����,其中該加密協(xié)處 理器(U3)與主控制器(U2)為同一電路板上接入,或者通過外接接口接入 主控制器(U2)����。
進(jìn)一步地,上述面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤�����,其中該可信硬盤 的加密協(xié)處理器(U3)與可信計(jì)算密碼支撐平臺(tái)的TPM嵌入式安全芯片通過 明文數(shù)據(jù)信號(hào)相連�;而主控制器(U2)與大容量存儲(chǔ)單元通過硬盤控制器接口 以密文數(shù)據(jù)通信相連。
進(jìn)一步地�,上述面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤,其中大容量存儲(chǔ) 單元為機(jī)械式硬盤或FALSH硬盤����。
本實(shí)用新型設(shè)計(jì)的可信硬盤應(yīng)用后,其有益效果體現(xiàn)在無需將加密密鑰 直接存放在硬盤上�,并將硬盤里的數(shù)據(jù)加密后存放���,當(dāng)可信硬盤離開可信計(jì)算 密碼支撐平臺(tái)的電腦時(shí),非法用戶無法竊取硬盤上的數(shù)據(jù)���,為硬盤里的重要數(shù) 據(jù)提供了強(qiáng)大的安全保障��。
下面結(jié)合本實(shí)用新型一優(yōu)選實(shí)施例及其附圖���,對(duì)該面向可信計(jì)算密碼支撐 平臺(tái)的可信硬盤進(jìn)行詳細(xì)而非限制性地說明。
圖1是木實(shí)用新型一實(shí)施例根據(jù)數(shù)據(jù)信號(hào)流的結(jié)構(gòu)示意圖�;圖2是本實(shí)用新型可信硬盤對(duì)應(yīng)于可信計(jì)算密碼支撐平臺(tái)的驗(yàn)證示意圖。
具體實(shí)施方式
如圖1所示的本實(shí)用新型一實(shí)施例根據(jù)數(shù)據(jù)信號(hào)流連接的結(jié)構(gòu)示意圖可 見該面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤主要包括SATA接口芯片U1�、
主控制器U2、基于可信平臺(tái)的加密協(xié)處理器U3�、大容量存儲(chǔ)單元HD。其中 SATA接口芯片U1����、主控制器U2、基于可信平臺(tái)的加密協(xié)處理器U3可以同硬 盤控制器(未圖示��,用于主控器U2與大容量存儲(chǔ)單元HD相連接)放在同一 塊電路板上����,其中加密協(xié)處理器U3也可以不與其它構(gòu)件放在同一塊電路板 上�,而以外接接口的方式連接到主控制器U2���,進(jìn)而連接大容量存儲(chǔ)單元HD; 大容量存儲(chǔ)單元HD既可以是機(jī)械式硬盤也可以是FALSH硬盤;而加密協(xié)處 理器U3的加密算法必須經(jīng)過國家保密局的加密算法驗(yàn)證��。
該可信硬盤通過SATA接口芯片Ul接入符合可信計(jì)算密碼支撐平臺(tái)的電 腦主板的SATA接口并與該電腦進(jìn)行數(shù)據(jù)交換��。
如圖2所示的該可信硬盤與對(duì)應(yīng)的可信計(jì)算密碼支撐平臺(tái)的驗(yàn)證示意圖可 見當(dāng)電腦上電后���,本可信硬盤加載通過了可信計(jì)算密碼支撐平臺(tái)驗(yàn)證的 BIOS密碼�����,不與操作系統(tǒng)發(fā)生關(guān)聯(lián)�����,具有更高的安全性�����?��?尚庞脖P將該BIOS 密碼作為加密協(xié)處理器U3里加密算法的密鑰��,主控制器U2通過加密協(xié)處理 器U3提供的加密算法對(duì)數(shù)據(jù)進(jìn)行加密或解密存入或讀出大容量存儲(chǔ)單元HD����, 即主控制器U2與大容量存儲(chǔ)單元HD之間為密文數(shù)據(jù)交換���,而通過主控制器 U2和SATA接口芯片Ul向外接電腦輸出的交換數(shù)據(jù)則為明文數(shù)據(jù)��。由此可 見�����,該可信硬盤數(shù)據(jù)得以防盜的保護(hù)核心在于通過加密協(xié)處理器U3讀取電腦 BIOS密碼���、驗(yàn)證,并以特定的加密算法控制主控制器U2對(duì)硬盤數(shù)據(jù)進(jìn)行加密或解密��,從而保障了硬盤里的重要數(shù)據(jù)的安全性�����。
本可信硬盤與可信計(jì)算密碼支撐平臺(tái)的TPM芯片配合�,不將密鑰直接存 放在硬盤上�����,當(dāng)可信硬盤離開可信計(jì)算密碼支撐平臺(tái)的電腦時(shí)���,非法用戶無法 得知密鑰,不能竊取硬盤上的數(shù)據(jù)��。就算是非法用戶暴力破解硬盤���,因硬盤里 的數(shù)據(jù)全為加密后的數(shù)據(jù),非法用戶也不可能讀懂硬盤里的數(shù)據(jù)�,為電腦用戶 的重要數(shù)據(jù)不非法泄露提供可靠的保障。
除上述實(shí)施例中提及的加密協(xié)處理器連接方式多樣性外��,本實(shí)用新型還可 以有其他實(shí)施方式�����。在不背離本實(shí)用新型精神及其實(shí)質(zhì)的情況下采用的等同替 換或等效變換形成的技術(shù)方案��,均應(yīng)屬于本實(shí)用新型所要求的保護(hù)范圍��。
權(quán)利要求1.面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤�����,包括同一電路板上集成并信號(hào)相連的SATA接口芯片(U1)和主控制器(U2),所述主控制器(U2)通過硬盤控制器接口與大容量存儲(chǔ)單元相連���,其特征在于所述可信硬盤的主控制器(U2)接設(shè)有一個(gè)加密協(xié)處理器(U3)�����,兩者與SATA接口芯片(U1)共同構(gòu)成了可信硬盤的加密模塊單元���;可信硬盤通過SATA接口芯片(U1)接入具有可信計(jì)算密碼支撐平臺(tái)的電腦進(jìn)行數(shù)據(jù)交換。
2. 根據(jù)權(quán)利要求1所述的面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤其特征在于所述加密協(xié)處理器(U3)與主控制器(U2)為同一電路板上接入�����,或者通過外接接口接入主控制器(U2)�����。
3. 根據(jù)權(quán)利要求1所述的面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤其特征在于所述具有可信計(jì)算密碼支撐平臺(tái)的電腦包含TPM嵌入式安全芯片����,并通過明文數(shù)據(jù)信號(hào)與可信硬盤的加密協(xié)處理器(U3)相連。
4. 根據(jù)權(quán)利要求1所述的面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤其特征在于所述主控制器(U2)與大容量存儲(chǔ)單元通過硬盤控制器接口以密文數(shù)據(jù)通信相連�����。
5. 根據(jù)權(quán)利要求1或4所述的面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤,其特征在于所述大容量存儲(chǔ)單元為機(jī)械式硬盤或FALSH硬盤�。
專利摘要本實(shí)用新型公開了一種面向可信計(jì)算密碼支撐平臺(tái)的可信硬盤,屬于通信技術(shù)領(lǐng)域關(guān)于數(shù)據(jù)安全的研究�����。該可信硬盤包括同一電路板上集成并信號(hào)相連的SATA接口芯片(U1)和主控制器(U2)��,所述主控制器(U2)通過硬盤控制器接口與大容量存儲(chǔ)單元相連�,其特征在于該可信硬盤的主控制器(U2)接設(shè)有一個(gè)加密協(xié)處理器(U3)���,兩者與SATA接口芯片(U1)共同構(gòu)成了可信硬盤的加密模塊單元���;可信硬盤通過SATA接口芯片(U1)接入符合可信計(jì)算密碼支撐平臺(tái)的電腦進(jìn)行數(shù)據(jù)交換。當(dāng)可信硬盤離開可信計(jì)算密碼支撐平臺(tái)的電腦時(shí)�����,非法用戶無法竊取硬盤上的數(shù)據(jù)�����,為硬盤里的重要數(shù)據(jù)提供了強(qiáng)大的安全保障。
文檔編號(hào)G11C11/00GK201408535SQ20092003885
公開日2010年2月17日 申請(qǐng)日期2009年5月11日 優(yōu)先權(quán)日2009年5月11日
發(fā)明者甘金拓, 相海華, 高續(xù)赟 申請(qǐng)人:方正科技集團(tuán)蘇州制造有限公司