[发明专利]一种基于PUF的加密固态盘密钥管理方法

说明书

本发明涉及一种基于PUF的加密固态盘密钥管理方法，其中，包括：主机上电，bios自检；安全UKey验证加密固态盘身份，用户验证口令，验证通过则发送口令hash值和门限密钥分量至加密固态盘，加密固态盘验证安全UKey身份。本发明在密钥的分级管理以及密钥的交互认证中均引入PUF的使用。在密钥管理过程中引入门限加密算法，将数据密钥密文分解之后分别存储于安全UKey和固态盘之中，任意一方失窃均无法恢复出完整数据密钥。密钥交互认证采用加密固态盘内置PUF模块上电生成的PUF值作为认证核心信任根，认证的安全性和可靠性更强。

技术领域

本发明涉及信息安全技术领域，特别涉及一种基于PUF的加密固态盘密钥管理方法。

背景技术

加密固态盘作为企业和个人用户常用的保护敏感信息的方式，其密钥管理方案是整个安全体系的核心部分，密钥的失窃将导致整个安全体系的崩塌。

现有针对加密固态盘的密钥存储方案，主要是采用多级密钥的管理方式，通过多级管控的方式对密钥进行保护。但是密钥无论存储在UKey、固态盘或者是其他单一存储介质上，一旦存储密钥的设备失窃，密钥被读取，都面临数据失窃的风险。门限加密方案(t，n)的思想是将秘密分成n份影子，分发给n个参与者，其中任意大于等于t个参与者协同即可恢复密钥。将门限方案应用到加密固态盘的密钥管理上，能够分散安全风险，保证数据安全性。

现有密钥管理方案，其认证方式主要有以下两种：公私钥对的认证方式，通过向认证双方分发公私钥对，认证握手的时候通过验证公私钥对是否匹配从而验证是否合法，其存在问题是消耗资源过大，且需要引入第三方密钥分管中心；对称算法的认证方式，通过双方共有的对称密码算法和相同的密钥，认证握手的时候通过验证双方密钥和算法是否相同从而验证是否合法，其存在问题是双方都面临密钥存储的问题，一旦认证密钥失窃则安全体系告破。

发明内容

本发明的目的在于提供一种基于PUF的加密固态盘密钥管理方法，用于解决上述现有技术的问题。

本发明一种基于PUF的加密固态盘密钥管理方法，其中，包括：主机上电，bios自检；安全UKey验证加密固态盘身份，用户验证口令，验证通过则发送口令hash值和门限密钥分量至加密固态盘，加密固态盘验证安全UKey身份，包括：安全UKey生成随机数a，将hash值K和a发送至加密固态盘；加密固态盘接收hash值K和a，生成随机数b；异或K和PUF值P生成n，加密固态盘使用hash算法计算n生成N，加密固态盘使用对称密码算法X，以N为密钥加密a生成A，将A和b发送至安全Ukey；安全UKey接收A，使用存储的N作为密钥解密A生成a＇；检验解密结果与生成的a是否相符，相符则安全UKey认为加密固态盘可信；使用N为密钥，对称密码算法X加密b生成B，将B和门限密钥分量E2发送至加密固态盘；用户输入口令k＇，计算口令k＇的hash值K＇，检验计算结果与存储在安全UKey中的口令hash值K是否相符，相符则认为用户身份合法；将K＇发送至加密固态盘；加密固态盘接收B和K＇，异或K＇和PUF值P生成n＇，加密固态盘使用hash算法计算n＇生成N＇，加密固态盘使用对称密码算法X，以N＇为密钥解密B生成b＇，检验解密结果与b是否相符，相符则加密固态盘认为安全UKey可信；加密固态盘恢复数据密钥，解密盘中数据，启动系统。

根据本发明的加密固态盘密钥管理方法的一实施例，其中，还包括：初次使用安全环境下对安全Ukey和加密固态盘进行一一绑定，由用户设置口令k，计算口令k的hash值K，计算口令值K和加密固态盘PUF值P的组合值n，加密固态盘使用hash算法计算出组合值n的hash值N，安全UKey存储该hash值N和用户口令hash值K。

根据本发明的加密固态盘密钥管理方法的一实施例，其中，采用加密固态盘PUF值P作为根密钥，使用对称加密算法Y，以PUF值P加密数据密钥e，生成数据密钥密文E，将数据密钥密文E使用门限算法分解，部分门限数据密钥密文E1存储于固态盘，部分门限数据密钥密文E2存储于安全UKey。