當(dāng)前位置:
  1. 首頁(yè)
  2. 加密應(yīng)用

國(guó)密算法在固件安全和數(shù)據(jù)安全中的應(yīng)用

cc 加密應(yīng)用

說(shuō)到數(shù)據(jù)存儲(chǔ),就一定離不開硬件設(shè)備,即使是云盤儲(chǔ)存,也需要龐大的硬盤固件來(lái)提供服務(wù)。而硬件設(shè)備想要安全的儲(chǔ)存數(shù)據(jù),就一定離不開加密算法。下面我們就一起來(lái)了解一下國(guó)密算法在固件安全和數(shù)據(jù)安全中都有哪些應(yīng)用。

國(guó)密算法在固件安全中的應(yīng)用

固件控制著整個(gè)存儲(chǔ)系統(tǒng)的正常運(yùn)行,倘若非法人員可以隨意導(dǎo)入固件、修改固件,那么數(shù)據(jù)也將完全暴露,因此保護(hù)數(shù)據(jù)存儲(chǔ)安全的首要一點(diǎn)就是要確保固件在導(dǎo)入、保存和執(zhí)行過(guò)程中的安全。

在固件導(dǎo)入過(guò)程中使用SM2算法進(jìn)行驗(yàn)簽,其中用到的公鑰保存在主控芯片內(nèi)部,私鑰由受信用的固件廠商保存。對(duì)于要導(dǎo)入的固件,需要使用私鑰對(duì)其進(jìn)行簽名,將簽名和固件一起導(dǎo)入到盤片,帶有簽名的固件下載到緩存RAM后,再用公鑰進(jìn)行SM2驗(yàn)簽。

只有使用合法私鑰簽名的固件才能通過(guò)驗(yàn)簽,成功導(dǎo)入,沒(méi)有簽名或者使用非法私鑰簽名的固件無(wú)法通過(guò)驗(yàn)簽而被丟棄。如此,擁有合法私鑰的用戶才擁有固件的導(dǎo)入權(quán)限,從源頭上確保了盤片內(nèi)部固件的合法性。

國(guó)密算法在固件安全中的應(yīng)用

國(guó)密算法在數(shù)據(jù)安全中的應(yīng)用

以固態(tài)硬盤為例,用戶數(shù)據(jù)由主機(jī)寫入到硬盤的流程如下圖所示:

國(guó)密算法在固件安全中的應(yīng)用

其中,虛線部分為國(guó)密算法在數(shù)據(jù)安全中的應(yīng)用。若用戶數(shù)據(jù)的明文直接保存在存儲(chǔ)介質(zhì)上,那么只要拿到存儲(chǔ)數(shù)據(jù)的存儲(chǔ)介質(zhì),就能以相關(guān)的途徑獲取到其中存儲(chǔ)的用戶數(shù)據(jù),比如換上其它的主控芯片、對(duì)存儲(chǔ)介質(zhì)上的電平進(jìn)行分析等。

所以,可以在數(shù)據(jù)讀寫路徑上加上一道門鎖——SM4加解密:

  1. 數(shù)據(jù)由主機(jī)傳輸?shù)骄彺鍾AM的過(guò)程中,使用SM4 算法加密,寫入到緩存上的就是密文,并最終以密文的形式保存在存儲(chǔ)介質(zhì)Flash上;
  2. 讀取數(shù)據(jù)時(shí)再解密出明文返回給主機(jī)。

上述的加密過(guò)程對(duì)用戶是完全透明的,用戶完全感知不到加解密過(guò)程的存在。為確保明文數(shù)據(jù)只對(duì)授權(quán)用戶可見(jiàn),需要對(duì)加解密數(shù)據(jù)的密鑰——介質(zhì)密鑰(MKey)進(jìn)行保護(hù),將其與授權(quán)用戶關(guān)聯(lián)起來(lái)。

  1. 使用SM3算法對(duì)用戶口令進(jìn)行雜湊生成口令摘要,保存口令摘要用于身份鑒權(quán);
  2. 對(duì)用戶口令進(jìn)行派生構(gòu)造加密密鑰(EKey),對(duì)介質(zhì)密鑰進(jìn)行加密保存。

國(guó)密算法在固件安全中的應(yīng)用

這個(gè)過(guò)程主要有以下三個(gè)方面:

  • 創(chuàng)建:用戶創(chuàng)建自己口令的同時(shí),會(huì)生成取自口令摘要的加密密鑰EKey和取自真隨機(jī)數(shù)的介質(zhì)密鑰MKey;通過(guò)SM4算法將MKey用EKey加密;最終將口令摘要和MKey密文保存在Flash上。
  • 鑒權(quán):創(chuàng)建用戶口令后再次上電,鑒權(quán)之前,由于無(wú)法獲取MKey而使盤片處于鎖定狀態(tài)。鑒權(quán)的過(guò)程即時(shí)將輸入的用戶口令使用SM3算法進(jìn)行雜湊得到一份摘要,再?gòu)腇lash上加載出保存的口令摘要,兩份摘要相同則認(rèn)為用戶身份合法,反之不同則不合法。
  • 解鎖:輸入正確的用戶口令,通過(guò)身份鑒權(quán)之后,才能構(gòu)造出正確的EKey,解密出MKey明文,進(jìn)而對(duì)讀寫的數(shù)據(jù)進(jìn)行正常的加解密,實(shí)現(xiàn)盤片的解鎖。

SM2、SM3、SM4算法,從固件安全和數(shù)據(jù)安全兩個(gè)維度,為數(shù)據(jù)存儲(chǔ)安全建立了一道堅(jiān)實(shí)的保護(hù)墻。將自主研發(fā)的國(guó)家商用密碼算法應(yīng)用到數(shù)據(jù)存儲(chǔ)安全,既順應(yīng)了加密國(guó)產(chǎn)化的需求,也實(shí)現(xiàn)了數(shù)據(jù)安全自主可控的目的。

免責(zé)聲明:素材源于網(wǎng)絡(luò),如有侵權(quán),請(qǐng)聯(lián)系刪稿。