一种加密盘密钥管理方法与流程

1.本发明涉及加密硬盘领域，具体是一种加密盘密钥管理方法。


背景技术：

2.公开该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不必然被视为承认或以任何形式暗示该信息构成已经成为本领域一般技术人员所公知的现有技术。
3.目前市面上的加密硬盘大都没有接口支持用户对密钥的创建和删除，密钥通常是已经存储在硬盘内，不能更改，并且存储的区域也有安全风险，攻击者可以采用直接硬盘读取或者是采用冷启动攻击内存等手段获得加解密密钥。


技术实现要素：

4.为了解决上述现有技术中存在的技术问题，本发明提供一种加密盘密钥管理方法，使用nvme协议，使用真随机数发生器产生密钥，通过创建和删除namespace（命名空间）管理密钥，将密钥存放在主控内非易失区。
5.为了解决所述技术问题，本发明采用的技术方案是：一种加密盘密钥管理方法，本方法包括密钥存储、密钥创建、密钥删除三部分，密钥存储是指将密钥保存在加密盘主控芯片的非易失空间；密钥创建是指加密盘主控芯片在收到创建密钥的命令后先创建命令空间以存储密钥，然后调用对称加密算法产生密钥，并且加密算法在生成密钥的过程中使用真随机数发生器产生的随机数，然后将生成的密钥存放在专门创建的命名空间中；密钥删除包括直接删除命名空间和删除命名空间并且把被密钥加密的数据擦除两种方式。
6.进一步的，用户使用u.2接口，通过pci-e通道利用nvme协议对加密硬盘的主控芯片发送创建密钥的命令，在主控芯片的非易失区中创建专门用于存储密钥的命名空间。
7.进一步的，用户向加密硬盘的主控芯片发送创建密钥的命令前先输入密码，以获得对主控芯片发送命令的权限。
8.进一步的，所述命名空间创建在非易失空间，并且命名空间有多组，用于存储多组密钥。
9.进一步的，密钥创建时，调用sm1或sm4加密算法产生密钥。
10.本发明的有益效果：本方法在密钥生成的过程中使用真随机数产生的随机数，增加生成密钥的安全性，更加不容易被破解。
11.存放在主控芯片的非易失区可以提高密钥存储的安全性，而且还为用户提供了生成、销毁密钥的功能，使用户更方便地管理密钥。
附图说明
12.图1为命令发送的流程图；图2为创建密钥的流程图；
图3为删除密钥的流程图。
具体实施方式
13.下面结合附图和具体实施例对本发明做进一步的说明。
14.实施例1加密移动硬盘中的每个文件都需要通过硬件加密，即使硬盘丢失也不会泄露文件的内容。
15.目前加密算法主要分为三类，对称加密算法、非对称加密算法以及杂凑（hash）算法。加密盘的密钥一般由对称加密算法生成。
16.主控芯片内的非易失区断电后依然能够存储数据，密钥存储在此处更为安全。
17.nvme ssd主要由ssd控制器、闪存空间和pcie接口组成，如果把闪存空间划分成若干个独立的逻辑空间，每个空间逻辑块的地址范围为0到n-1（n是逻辑空间大小），这样划分的每个逻辑空间叫做命名空间（namespace）。划分多个命名空间是为了存储多组密钥，使用命名空间可以方便用户对密钥的创建和删除，也可以实现使用多组密钥的功能。
18.本实施例公开一种加密盘密钥管理方法，本方法包括密钥存储、密钥创建、密钥删除三部分，密钥存储是指将密钥保存在加密盘主控芯片的非易失空间。
19.如图1所示，用户使用u.2接口，通过pci-e通道利用nvme协议对加密硬盘的主控芯片发送创建密钥的命令，在主控芯片的非易失区中创建专门用于存储密钥的命名空间。在此过程中，需要先输入密码，以获得对主控芯片发送命令的权限。
20.如图2所示，密钥创建是指加密盘主控芯片在收到创建密钥的命令后先创建命令空间以存储密钥，然后调用sm1或sm4或其他的对称加密算法产生密钥，并且加密算法在生成密钥的过程中使用真随机数发生器产生的随机数，然后将生成的密钥存放在专门创建的命名空间中。本实施例中，所述命名空间创建在非易失空间，并且命名空间有多组，用于存储多组密钥。
21.如图3所示，销毁密钥时有两种选择，一是直接执行删除命令，删除namespace，删除namespace后，密钥也就被删除了。没有密钥，被加密存储在硬盘中的数据便无法被读取后解密成原文。此方法用在需要紧急销毁密钥保障数据不被泄密的情况。
22.二是删除namespace以销毁密钥，并且把被密钥加密的数据擦除，这是是正常情况下销毁密钥时执行的操作。
23.本方法在密钥生成的过程中使用真随机数产生的随机数，增加生成密钥的安全性，更加不容易被破解。
24.存放在主控芯片的非易失区可以提高密钥存储的安全性，而且还为用户提供了生成、销毁密钥的功能，使用户更方便地管理密钥。
25.上述虽然结合附图对本发明的具体实施方式进行了描述，但并非对发明保护范围的限制，所属领域技术人员应该明白，在本发明的技术方案的基础上，本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围内。


技术特征：
1.一种加密盘密钥管理方法，其特征在于：本方法包括密钥存储、密钥创建、密钥删除三部分，密钥存储是指将密钥保存在加密盘主控芯片的非易失空间；密钥创建是指加密盘主控芯片在收到创建密钥的命令后先创建命令空间以存储密钥，然后调用对称加密算法产生密钥，并且加密算法在生成密钥的过程中使用真随机数发生器产生的随机数，然后将生成的密钥存放在专门创建的命名空间中；密钥删除包括直接删除命名空间和删除命名空间并且把被密钥加密的数据擦除两种方式。2.根据权利要求1所述的加密盘密钥管理方法，其特征在于：用户使用u.2接口，通过pci-e通道利用nvme协议对加密硬盘的主控芯片发送创建密钥的命令，在主控芯片的非易失区中创建专门用于存储密钥的命名空间。3.根据权利要求2所述的加密盘密钥管理方法，其特征在于：用户向加密硬盘的主控芯片发送创建密钥的命令前先输入密码，以获得对主控芯片发送命令的权限。4.根据权利要求1所述的加密盘密钥管理方法，其特在于：所述命名空间创建在非易失空间，并且命名空间有多组，用于存储多组密钥。5.根据权利要求1所述的加密盘密钥管理方法，其特征在于：密钥创建时，调用sm1或sm4加密算法产生密钥。

技术总结
本发明公开一种加密盘密钥管理方法，本方法包括密钥存储、密钥创建、密钥删除三部分，密钥存储是指将密钥保存在加密盘主控芯片的非易失空间；密钥创建是指加密盘主控芯片在收到创建密钥的命令后先创建命令空间以存储密钥，然后调用对称加密算法产生密钥，并且加密算法在生成密钥的过程中使用真随机数发生器产生的随机数，然后将生成的密钥存放在专门创建的命名空间中；密钥删除包括直接删除命名空间和删除命名空间并且把被密钥加密的数据擦除两种方式。本发明在密钥生成的过程中使用真随机数产生的随机数，增加生成密钥的安全性。存放在主控芯片的非易失区提高密钥存储的安全性，而且还为用户提供了生成、销毁密钥的功能，方便管理。便管理。便管理。


技术研发人员：黄瑞庆 王璞 李瑞东
受保护的技术使用者：山东华芯半导体有限公司
技术研发日：2022.12.07
技术公布日：2023/2/23