[发明专利]一种基于龙芯处理器的可信加密系统

摘要

本发明公开一种基于龙芯处理器的可信加密系统，通过TCM芯片对BIOS及操作系统进行完整性保护，并基于TCM芯片密码算法对密钥进行加密保护，密钥存储在USBkey内部，通过对BIOS改造实现密钥使用认证，密钥从USBKey到硬盘密码芯片的传输，采用可信计算技术保证系统不被破坏，通过加密密钥存储、使用过程的安全性保护，保证加密数据的安全可信。

主权项

一种基于龙芯处理器的可信加密系统，其特征在于系统包含可信完整性验证模块1)、密钥管理模块2)、硬盘加解密模块3),其中：可信完整性验证模块1）首先通过TCM内部COS对BIOS进行完整性度量，预期值保证在TCM芯片NV存储区内部，验证通过后将信任链传递给BIOS，由BIOS完整对操作系统的完整性验证； 可信完整性验证步骤如下：（1）开机加电，TCM可信密码模块COS调用TCM芯片杂凑算法对计算机BIOS进行杂凑计算；（2）将BIOS杂凑值与TCM芯片内部存储的预期值进行对比，如果相同则继续下一步，否则禁止系统启动；（3）BIOS调用TCM芯片杂凑算法对操作系统内核进行杂凑计算，获得杂凑值，将所得杂凑值与TCM内部存储的操作系统内核预期值进行对比，如果相同则继续下一步，否则禁止系统启动；（4）BIOS调用TCM芯片杂凑算法对操作系统关键文件进行杂凑计算，获得杂凑值，将所得杂凑值与TCM内部存储的操作系统关键文件预期值进行对比，如果相同启动操作系统，否则禁止系统启动；密钥管理模块2）基于USBKey存储密钥，并通过TCM芯片对密钥进行加密保护；密钥管理模块包含密钥生成、密钥加密与密钥存储功能，密钥生成通过用户输入结合硬件信息产生加密密钥；通过TCM加密算法对密钥进行加密，加密后存储与USBKey内部，密钥管理步骤如下：（1）将用户USBKey设备与计算机相连，密钥管理模块用于存储密钥；（2）密钥管理模块输入用户基本信息，调用TCM芯片杂凑算法对用户输入基本信息进行杂凑计算得到杂凑值，取杂凑值中的8字节作为密钥K1；（3）密钥管理模块获取计算机硬件信息，调用TCM芯片杂凑算法对硬件信息进行杂凑计算得到杂凑值，将杂凑值作为K2；（4）密钥管理模块将K1与K2连接后得到密钥K，调用TCM芯片对称加密算法对K加密后存储存储于USBKey内部；硬盘加解密模块3）通过改造BIOS实现密钥读取认证与密钥解密传输功能，硬盘加解密模块首先BIOS对密钥使用进行PIN认证，认证通过后对密钥解密，解密后传递给加密密码芯片，通过硬盘密码芯片对数据进行加解密，硬盘加解密步骤如下：（1）将用户USBKey设备与计算机相连，密钥传输模块读取加密密钥；（2）密钥传输模块提示用户输入PIN码，用于验证用户身份合法性；（3）用户身份验证通过后，密钥传输模块从USBKey读取加密密钥，调用TCM对称加密算法对加密的密钥进行解密获得密钥明文，然后将密钥传递给硬盘加密模块，硬盘加密模块对硬盘数据加解密。