基于Ukey和LiveOS的硬盤加密和安全認(rèn)證系統(tǒng).pdf

1、隨著信息化時(shí)代的到來(lái)，計(jì)算機(jī)被廣泛使用，存儲(chǔ)在計(jì)算機(jī)硬盤中的數(shù)據(jù)也呈幾何級(jí)數(shù)般增長(zhǎng)，數(shù)據(jù)的存儲(chǔ)安全性顯得越來(lái)越重要。硬盤加密仍然是目前保護(hù)硬盤數(shù)據(jù)的主要趨勢(shì)和手段。當(dāng)前針對(duì)硬盤的軟件加密方案安全性不高且性能較低；加密卡、FPGA等硬件加密方案性能較高，但缺乏安全可靠的身份認(rèn)證方案和必要的密鑰安全恢復(fù)機(jī)制；基于BIOS的認(rèn)證方案安全性較高，但導(dǎo)致硬盤只能工作在定制的BIOS環(huán)境下，通用性大大降低。在這種背景之下，本文針對(duì)臺(tái)式機(jī)和筆記本電腦

2、等個(gè)人計(jì)算機(jī)系統(tǒng)，提出并實(shí)現(xiàn)了一種新的硬盤加密和安全認(rèn)證系統(tǒng)，該系統(tǒng)基于Ukey和LiveOS，在整體安全性、性能、易用性和通用性上優(yōu)于現(xiàn)有解決方案。
　　硬件方案上，采用集成了硬件加密引擎的固態(tài)硬盤（SSD）主控芯片，實(shí)現(xiàn)對(duì)硬盤數(shù)據(jù)的實(shí)時(shí)加解密，同時(shí)將加解密密鑰存儲(chǔ)在Ukey之中，實(shí)現(xiàn)密鑰和加密引擎的分離。只有唯一與加密SSD配對(duì)的Ukey才能解密硬盤并啟動(dòng)盤內(nèi)系統(tǒng)。軟件方案上，通過(guò)對(duì)Linux內(nèi)核的裁剪和編譯，對(duì)initrd文

3、件系統(tǒng)的定制以及對(duì)引導(dǎo)程序的配置，定制出了一個(gè)基于Linux內(nèi)核的LiveOS系統(tǒng)，該系統(tǒng)隨Ukey啟動(dòng)，為加密SSD與Ukey的安全配對(duì)、認(rèn)證和密鑰傳遞提供了一個(gè)安全且通用的軟件環(huán)境。加密硬盤和Ukey的配對(duì)及認(rèn)證方案是整個(gè)硬盤加密和安全認(rèn)證系統(tǒng)的核心所在，本文通過(guò)交換國(guó)密 SM2算法公鑰實(shí)現(xiàn)加密硬盤和 Ukey的一一配對(duì)，通過(guò)設(shè)置PIN碼保障Ukey使用安全，同時(shí)基于挑戰(zhàn)響應(yīng)式認(rèn)證實(shí)現(xiàn)加密硬盤對(duì)Ukey的認(rèn)證，通過(guò)與硬盤主控固件程序

4、配合消除了重放攻擊的可能。最后提出了一種雙因子認(rèn)證的密鑰安全恢復(fù)方案。根據(jù)整個(gè)安全認(rèn)證方案的需求，設(shè)計(jì)了針對(duì)Ukey和加密SSD主控芯片的API接口，該接口基于Linux SCSI協(xié)議，最后將認(rèn)證程序與LiveOS結(jié)合實(shí)現(xiàn)完整的硬盤加密及安全認(rèn)證。
　　最后，在搭建的PC應(yīng)用環(huán)境上，測(cè)試了整個(gè)硬盤加密和安全認(rèn)證系統(tǒng)的可行性，對(duì)比了硬盤加密和非加密狀態(tài)下的讀寫性能，并從固件、密鑰、LiveOS三個(gè)層面詳細(xì)分析了系統(tǒng)的安全性?？偟膩?lái)說(shuō)