基于Ukey和LiveOS的硬盘加密和安全认证系统

摘要

随着信息化时代的到来，计算机被广泛使用，存储在计算机硬盘中的数据也呈几何级数般增长，数据的存储安全性显得越来越重要。硬盘加密仍然是目前保护硬盘数据的主要趋势和手段。当前针对硬盘的软件加密方案安全性不高且性能较低；加密卡、FPGA等硬件加密方案性能较高，但缺乏安全可靠的身份认证方案和必要的密钥安全恢复机制；基于BIOS的认证方案安全性较高，但导致硬盘只能工作在定制的BIOS环境下，通用性大大降低。在这种背景之下，本文针对台式机和笔记本电脑等个人计算机系统，提出并实现了一种新的硬盘加密和安全认证系统，该系统基于Ukey和LiveOS，在整体安全性、性能、易用性和通用性上优于现有解决方案。
　　硬件方案上，采用集成了硬件加密引擎的固态硬盘（SSD）主控芯片，实现对硬盘数据的实时加解密，同时将加解密密钥存储在Ukey之中，实现密钥和加密引擎的分离。只有唯一与加密SSD配对的Ukey才能解密硬盘并启动盘内系统。软件方案上，通过对Linux内核的裁剪和编译，对initrd文件系统的定制以及对引导程序的配置，定制出了一个基于Linux内核的LiveOS系统，该系统随Ukey启动，为加密SSD与Ukey的安全配对、认证和密钥传递提供了一个安全且通用的软件环境。加密硬盘和Ukey的配对及认证方案是整个硬盘加密和安全认证系统的核心所在，本文通过交换国密 SM2算法公钥实现加密硬盘和 Ukey的一一配对，通过设置PIN码保障Ukey使用安全，同时基于挑战响应式认证实现加密硬盘对Ukey的认证，通过与硬盘主控固件程序配合消除了重放攻击的可能。最后提出了一种双因子认证的密钥安全恢复方案。根据整个安全认证方案的需求，设计了针对Ukey和加密SSD主控芯片的API接口，该接口基于Linux SCSI协议，最后将认证程序与LiveOS结合实现完整的硬盘加密及安全认证。
　　最后，在搭建的PC应用环境上，测试了整个硬盘加密和安全认证系统的可行性，对比了硬盘加密和非加密状态下的读写性能，并从固件、密钥、LiveOS三个层面详细分析了系统的安全性。总的来说，本文提出的基于Ukey和LiveOS的硬盘加密和安全认证系统达到了预期效果，具有很高的实用价值。

目录

声明

1 绪论

1.1课题研究背景与意义

1.2国内外研究现状

1.3主要研究内容

1.4论文的组织结构

2 系统整体框架和相关技术

2.1系统整体框架

2.2 Ukey技术

2.3自加密SSD技术

2.4密码学算法

3 LiveOS定制

3.1 Linux内核裁剪与编译

3.2初始化文件系统initrd

3.3 LiveOS引导程序

3.4 LiveOS启动过程

4 硬盘安全认证系统方案设计

4.1 身份认证的方式

4.2 Ukey和加密硬盘的初始化配对

4.3 LiveOS安全认证

4.4密钥安全恢复

5 基于芯片固件的API设计

5.1 SCSI协议

5.2 Ukey主控应用层API设计

5.3 SSD主控应用层API设计

5.4 SM2算法原理

6 实验与分析

6.1 安全认证系统IDAuthen

6.2 认证系统开机启动

6.3 认证过程演示

6.4 加密和性能分析

6.5 安全性分析

7 总结与展望

致谢

参考文献

附录作者在读期间发表的学术论文