具体实施方式

以下将参照附图更详细地描述本发明。在各个附图中，相同的元件采用类似的附图标记来表示。为了清楚起见，附图中的各个部分没有按比例绘制。此外，可能未示出某些公知的部分。

以下基于实施例对本发明进行描述，但是本发明并不仅仅限于这些实施例。在下文对本发明的细节描述中，详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。为了避免混淆本发明的实质，公知的方法、过程、流程、元件和电路并没有详细叙述。

除非上下文明确要求，否则整个说明书和权利要求书中的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义；也就是说，是“包括但不限于”的含义。在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

图1示出了传统自加密硬盘的示意性结构框图。

目前，广泛应用的多数硬盘都已具备硬件加密功能，这类自带加密功能的硬盘通常被称为“自加密硬盘”（SED，Self-Encrypting Drive）。硬盘例如是固态硬盘，固态硬盘是用固态电子存储芯片制作的存储硬盘。自加密硬盘中的密码引擎通常都具有足够的能力对数据进行实时或接近实时的加、解密操作。图1为传统SED的示意性结构框图。也适用于由国际可信计算组织Trusted Computing Group（TCG）制定的可信计算设备架构，特别是专为存储设备制定的TCG Opal协议。

如图1所示，加密硬盘100通过主机接口与主机160 进行通讯。加密硬盘100内包括主控单元110和存储介质120，主控单元110负责存储介质120上的数据管理，作为数据的中转，连通主机160和存储介质120。接收并处理主机命令并对主机160与存储介质120之间的数据流进行必要的处理，包括数据纠错、加密、解密等。

进一步地，主机160包括系统固件单元162（例如BIOS/UEFI FW）和处理器164（CPU0）。主控单元110包括：中央处理器112（CPU1）、密码算法引擎114（Crypto Engines）、存储单元116（RAM/ROM）和随机码发生器118（TRNG，true random number generator），用以配合完成硬盘子系统的控制和密码学处理等操作。密码算法引擎114使用密码算法对来往于主机160的用户数据进行高速实时加、解密，密码算法包括但不限于RSA（非对称密码算法）、AES（对称密码算法）、SM2和SM3中的一种或多种；中央处理器112用于控制硬盘内的各个部件的运作，例如与缓存单元116连接，控制其内数据的存储和释放；缓存单元116例如为RAM或ROM；随机码发生器118用来产生密钥，产生的随机码具有符合要求的密码学强度。

存储介质120进一步划分成用户数据区130和系统数据区140。用户数据区130可被操作系统（OS，Operating System）及其所管理的应用程序按LBA（Logical Block Address，逻辑区块地址）寻址访问；操作系统OS及其启动加载引导程序存放在用户数据区130中，在传统的基于BIOS（Basic Input Output System）系统中，该引导程序被存在LBA 0地址中，被称为Master Boot Record（MBR），在较新的基于UEFI标准的系统中，引导程序OS Loader也以标准的约定方式存放在用户数据区130中。系统数据区140受到安全保护，必需借助特殊接口（如Vendor Command）访问，无法借助OS通过标准LBA寻址访问。系统数据区140包括固件代码单元141、引导代码单元142和安全验证单元146。固件代码单元141存储硬盘子系统的可执行固件代码及相关数据；安全验证单元146存放安全代码，用以判断用户身份，确保只有通过身份验证的用户才能执行后续的读写等操作。

加密硬盘100可采用TCG标准提高数据保护能力，而这类协议也要求加密硬盘100在实现数据保护之前需要进行一系列的配置操作，例如存储介质管理、加密密钥管理、用户管理与权限管理等等。这些功能的实现，以及其他相关的操作通常都会被集中在一个运行于主机160中的管理软件中实现。以下结合图2介绍对加密硬盘100的配置操作。

图2示出了传统自加密硬盘和主机之间借助ISV软件工具进行通信的示意图。

参考图2，对于符合TCG存储架构的SED来说，加密/解密相关的管理功能是通过主机160接口上的安全管理通道所定义的标准命令IF-Send/IF-Receive来完成的。在主机160上运行的配置软件通过上述标准命令从SED100中收集其所能支持的功能及参数，并依据这些参数及所需实现的功能计算出相应的配置信息，然后通过上述标准命令下传至SED100，从而完成对SED100的配置。上述配置操作的完成是启用加密硬盘100所必须的，但是目前来说，在基于TCG标准架构的生态环境内，这类软件工具提供商被统称为ISV（IndependentSoftware Vendor，独立软件商）。他们所提供的软件工具通常都是价格相对昂贵的商品软件。

结合图1和图2，ISV软件工具170在主机160中运行，从而使主机160通过标准命令IF-Send/IF-Receive从加密硬盘100中收集其所能支持的功能及参数，计算出相应的配置信息，然后通过上述标准命令将配置信息下传至加密硬盘100，完成对加密硬盘100的配置。之后才通过主控单元110启用加密硬盘100的相应加密、解密功能，配合存储介质120完成对存储介质的安全访问，实现数据保护。

因此，传统的SED由于对ISV提供的软件的依赖，基于TCG Opal或类似标准的存储产品的布署模式更适合于由企业或组织直接管理与分发的带有存储装置的计算设备（例如由企业的IT部门配发的笔记本电脑，或外部存储设备等）。也正是由于对ISV提供的软件的依赖，以及由此而产生的附加成本负担使得消费类加密硬盘的加密功能在个人用户中的广泛应用受到限制。这也是目前多数加密硬盘仅被当作普通硬盘使用的主要原因之一。所以，目前的加密硬盘的配置操作中由于过于依赖第三方软硬件的协助，使得加密硬盘的使用不便，成本高，无法较好地实现数据保护功能。

本发明则是对传统的加密硬盘及其配置方法进行改进，使其可以免除配置过程中对第三方软硬件的依赖，安全方便，降低成本。

图3示出了根据本发明实施例的自配置加密硬盘系统和自配置加密硬盘的示意性结构框图。

如图3所示，本实施例的自配置加密硬盘系统包括主机260和自配置加密硬盘200，自配置加密硬盘200通过主机接口250与主机260连接，自配置加密硬盘200包括主控单元210和存储介质220，主控单元210连接主机260和存储介质220，对主机260与存储介质220之间的数据流进行一定的传输和处理，例如数据纠错、加密和解密等。

主机260包括系统固件单元262（BIOS/UEFI FW）和处理器264（CPU0），系统固件单元262在上电后进行自检，以及协助所述自配置加密硬盘200完成操作特性的配置；处理器264进行数据处理。存储介质220包括至少一个用户数据区230和至少一个系统数据区240，系统数据区240内包括启动前处理模块（PBP，Pre-Boot Processing），该启动前处理模块包括配置模块245（PBP_Conf）和身份认证模块247（PBP_Auth），本发明实施例的自配置加密硬盘200通过这两个模块实现对自配置加密硬盘的配置和安全验证，使得该自配置加密硬盘200的配置过程可以不依赖于第三方软件。

自配置加密硬盘200例如为固态硬盘，其内部的主控单元210连接于主机260与存储介质220之间，接收并处理主机260发来的命令及数据，并向主机260报告命令执行结果，或返回主机260请求的数据。将主机260数据加密后写入存储介质220，或从存储介质220中读取数据，解密后送往主机260。

进一步地，主控单元210包括：中央处理器212（CPU1）、密码算法引擎214（CryptoEngines）、存储单元216（RAM/ROM）和随机码发生器218（TRNG，true random numbergenerator），用以配合完成硬盘子系统的控制和密码学处理等操作。密码算法引擎214用于使用密码算法对来往于主机260的用户数据进行高速实时加、解密，较为适合的密码算法为AES或SM4等对称加、解密算法。执行写入操作时从主机260发来的数据被加密后存入存储介质220中指定的位置（LBA）。执行读出操作时主机260指定的LBA数据块中的数据将被读出，并以授权分区所对应的密钥进行解密，然后送往主机260。

存储介质220包括用户数据区230及系统数据区240，用户数据区230可以被OS以LBA方式寻址；而系统数据区240受到特别保护，并且不可通过用户态的LBA寻址方式访问。操作系统 OS 及其启动加载引导程序存放在用户数据区130中。在基于 BIOS（Basic InputOutput System）系统中，该引导程序被存在 LBA0 地址中，被称为 Master Boot Record（MBR，主引导记录）。即用户数据区230包括主引导代码单元243（MBR），该主引导代码单元243内存储主引导记录MBR的指令。

系统数据区240中包含固件代码单元241和特殊代码单元242（sMBR），固件代码单元241存储硬盘子系统的可执行固件代码及相关数据，简称硬盘固件。硬盘固件为可执行代码及数据，由主控单元210中的中央处理器212运行。特殊代码单元shadow MBR（sMBR） 242中的代码用于截获系统在启动过程中读取主引导代码单元243中主引导记录MBR的指令，并将符合本发明的特殊引导程序（即特殊引导代码）返回给主机运行。

系统数据区240中还包括两个在主机上运行的模块：配置模块245（PBP_Conf）及身份认证模块247（PBP_Auth）。当自配置加密硬盘200在待配置状态下启动时，配置模块245的可执行代码被导入到主机260中，以协助用户进行自配置加密硬盘及系统的操作特性的配置；身份认证模块247在配置模块245完成操作特性的配置后启动时，对用户身份及运行环境进行安全认证，为通过认证的用户开启访问权限。身份认证模块247中植入用户身份认证软件，配置模块245中植入加密盘配置软件。配置模块245和身份认证模块的可执行代码在特殊引导代码的引导下导入主机260中。

配置模块245的功能是协助用户进行硬盘及系统的操作特性的配置，包括但不限于用户的建立、存储介质分区的划分、分区密钥的建立与管理、系统安全状态的记录与管理、加密算法的选择、用户登录信息的录入及用户对存储分区的权限分配、记录用户身份认证信息、分配用户权限中的一种或多种操作。该模块是本发明为解决前述传统方案的弊端所增加的特有模块。其功能是完成布署加密盘所必需的各项配置，使得用户可以启用加密盘的各项功能而不必依赖任何外部软件。当需要该模块启动时该模块须为系统启动链中的第一个可加载运行的模块。

身份认证模块247的功能是对用户身份及运行环境进行认证，其作用是在自配置加密硬盘200完成对操作特性的配置后，在因每次上电或复位而导致自配置加密硬盘200进入保护状态时，根据用户提供的身份认证信息完成自配置加密硬盘200的解锁，使其进入依权限可操作状态。配置模块245完成各项配置后，身份认证模块247为系统启动链中的第一个可加载运行的模块。

具体地，在自配置加密硬盘200未被配置时，或需要重新配置时，配置模块245通过MBR Shadowing技术将配置模块245中的可执行代码导入到主机260中，配置模块245中的可执行代码被强制置成从自配置加密硬盘200中导入主机260的第一个可执行程序代码；而当自配置加密硬盘200完成配置时，上电后，身份认证模块247中的安全保护代码被导入到主机260中优先制行。所以在系统上电后，通过特殊代码单元242会根据自配置加密硬盘200是否被配置过而选择将配置模块245或身份认证模块247对应的代码加载到主机260，并完成其对应的功能。

上述MBR Shadowing技术的具体实现范例步骤可以简述如下：

系统上电；主机260向自配置加密硬盘200发出读取引导程序的命令（如基于BIOS的系统中的MBR，MBR243访问请求在系统配置阶段已被映射到系统数据区240中的shadowMBR（sMBR） 242）；响应系统的引导程序读取命令时，硬盘子系统将预先置入到特殊代码单元242（sMBR）中的特殊引导代码导入到主机260；主机260运行上述特殊引导代码并将配置模块245中的可执行代码从系统数据区240导入到主机260中运行。此时，在系统上电后，配置模块245的可执行代码优先于其他模块的代码被导入主机260中执行，因此，在上电后，配置模块245首先进入工作状态，使得自配置加密硬盘200进入配置状态。之后，特殊引导代码又将身份认证单元247中的安全保护代码导入主机260，完成系统可信性验证及用户身份认证；之后，将真正的MBR243或OS Loader中的代码导出到主机260，并执行系统启动链中的后续正常步骤，完成系统启动。

由于上述机制中，配置模块245的可执行代码被强制成为首先被运行的代码，系统在上电之后首先会运行配置模块245，完成对自配置加密硬盘200的配置。由于该配置模块245位于系统数据区240内部，因此无需依赖第三方软件，且配置功能首先被执行，可以保证自配置加密硬盘200的安全性能。另外，上述状态中所说的自配置加密硬盘200为刚出厂的新盘，或者初始化后的硬盘，其处于未配置状态，所以上电后要首先执行配置功能。但如果该自配置加密硬盘200已被配置过，那么上电后，身份认证单元247首先被主机260运行。而当自配置加密硬盘200需要重新配置时，上电后首先也要执行配置功能。

综上所述，本发明公开了一种适合于用在专用集成电路上（如硬盘主控）的自配置加密硬盘布署系统的实现方案。存储于配置模块245中的可执行代码在开机上电时通过MBRShadowing或类似机制在任何其它可执行代码被调入主机260前执行。该代码的执行先于任何数据访问，因而可以按照安全策略的要求完成对新盘格式、认证信息及其它必需信息的配置，无需依赖第三方软件，可以单机独立布署，亦适合于多机集中布署，安全方便，成本也低。

另外，本发明还提供一种自配置加密硬盘的配置方法，具体结合图4-图6进行说明。

图4示出了根据本发明实施例的自配置加密硬盘的生命周期状态转换图。

如图4，给出了自配置加密硬盘200在生命周期的多个不同状态，具体包含：

第一阶段：初始化。

将新出厂的自配置加密硬盘200初始化成“待配置”状态（Manufactured &Uninitialized）。该状态为新盘离开产线的默认状态或重新初始化过后的硬盘所具有的状态，亦可由用户指定Revert操作进入。Revert操作可以被用来将自配置加密硬盘200恢复成出厂时的初始状态，以便将其重新部署。

第二阶段：配置。

自配置加密硬盘200在用户手中初次上电时，由“待配置状态”进入“配置（Configuration）”状态，在该状态下当主机260向自配置加密硬盘200发出读取启动模块（MBR in BIOS或OS Loader in UEFI environments）的命令时，自配置加密硬盘200会依恰当的方式将配置模块245导入主机260，配置模块245被启动。在该状态下运行的配置模块245将会协助用户完成对加密硬盘的操作行为的配置，使其具备所需的操作特性。配置模块245建立用户、协助用户完成分区、记录用户身份认证信息、分配用户权限等操作，并将各项操作的配置信息记录到自配置加密硬盘200内的系统数据区240中。

第三阶段：已配置。

该状态在完成配置后进入，完成配置操作的硬盘进入“已配置”（Configured）状态。在该状态下，所有配置参数都已记录进非挥发的系统数据区240中。此时下电将不会影响配置状态，即，配置参数在下电后会被保留。在该状态下，用户数据将得到预定的保护。只有授权用户才能按照配置时获得的权限进行访问，非授权用户或授权用户的非授权操作（读、写或擦除）将被拒绝。

第四阶段：身份验证。

当自配置加密硬盘200在“已配置”状态下重新加电或复位时，将会进入“用户身份认证”（Authentication）状态。该状态亦可为一隐含状态，即作为某些操作中的一个环节。此状态下，已配置的硬盘在上电时启动身份认证模块247，该模块将会被导入主机260并运行。该模块用以验证用户身份，开放用户身份所对应的访问权限。完成配置后，硬盘上的数据将处于受保护状态。只有通过用户身份认证，数据操作（读、写或擦除）才能按所分配的权限执行。具体地，进入身份认证状态后，身份认证模块247从主机接口250接收用户身份认证信息，并按预定的算法将其与在配置阶段记录在硬盘内的用户身份认证信息进行比对，确定访问者享有所需的权限。只有证实了合法身份认证信息后，方可进入后续操作模式，安全性高。

在经过了身份验证之后，系统可能会返回第二阶段，重新进入配置模式，对已完成的配置信息进行修改，或将硬盘重新初始化。或者继续进入第五阶段。

第五阶段：验证通过，正常操作。

一旦用户身份得以验证，相应的访问权限将会开放，使得用户得以按照拥有的权限对数据进行访问。在身份验证通过后，进入“正常操作”（Authenticated & Operational）状态。在此模式下，用户通过了用户身份认证，用户态数据按用户对应的权限开放。且用户享有足够的访问权限（读、写或擦除）。之后，用户在此状态下可以对拥有权限的分区和数据进行读、写或擦除操作。

图5a示出了根据本发明第一实施例的自配置加密硬盘的配置方法的流程图。

本流程图与图4的各个状态相对应，如图5a所示，

在步骤S101中，在系统启动后，接收主机发出的读取引导程序的命令，判断自配置加密硬盘是否已被配置过。

本步骤中，自配置加密硬盘200接收主机260的读取引导程序的命令，然后判断此时的自配置加密硬盘200是否被配置过。若未被配置过，执行步骤S102，否则，执行步骤S104。

在步骤S102中，响应主机发出的读取引导程序的命令，将配置模块的可执行代码导入主机中运行，进入配置状态。

本步骤中，自配置加密硬盘200未被配置过，此时响应主机260的读取命令，将配置模块245的可执行代码强制为第一个可执行程序代码导入到主机260中，进入配置状态，参照图4执行相应步骤。

在步骤S103中，在配置状态下协助用户对自配置加密硬盘进行配置，将配置参数记录进系统数据区。

本步骤中，对自配置加密硬盘200进行一系列配置，使其处于已配置状态，并将得到的配置参数记录在系统数据区240，该区域内数据不会挥发，具有较强的存储性能，即使下电后，该配置参数依旧保留。

在执行步骤S103之后，再次返回步骤S101，重新判断自配置加密硬盘是否已被配置过，若仍未被配置过，代表上次配置没有成功，此次继续执行步骤S102和步骤S103，重新对自配置加密硬盘进行配置；若已被配置过，那么执行步骤S104。

在步骤S104中，在正常运行模式下启动时，将主机提供的用户身份信息导入身份认证模块中进行身份认证。

本步骤中，响应主机260的读取命令，身份认证模块247在正常运行模式下启动时，将身份认证模块247中的安全验证代码导入主机260中，将来自主机260的用户身份信息与硬盘内的信息相互对比。如果身份认证完成，用户身份得到认证，可以为通过验证的用户开放相应的访问权限。

进一步地，该步骤还包括对系统进行可信性度量，对可信性达到可信度标准的系统开启用户访问权限。如果身份认证完成，此时，身份认证模块247继续对系统进行可信性度量，对可信性达到可信度标准的系统，且用户通过身份认证的用户开启访问权限，认为其身份得到认可，这样可以进一步提高安全性。

在步骤S105中，对通过身份认证的用户开放访问权限，执行对数据的读写和擦除操作。

本步骤中，用户身份认证成功，获得访问权限，进行相应读写和擦除操作。

另外，在进行身份认证的步骤（S104）之后还包括：进入配置修改状态，修改配置参数。本步骤中，用户身份验证完成，可以重新进入配置状态，对已完成的配置参数进行修改，或将硬盘重新初始化，配置修改灵活，适应场景广。

由此完成本实施例的自配置加密硬盘的配置方法。该自配置加密硬盘的配置方法通过对主机运行的代码的先后顺序进行控制，能首先对初始化的自配置加密硬盘进行操作特性的配置，在配置完成之后才启动用户的身份认证功能，为通过验证的用户开放访问权限。从而可以自行完成操作特性的配置，无需依赖自配置加密硬盘以外的任何其它硬件或软件，简化了操作流程，且整个执行过程安全性较高。

图5b示出了根据本发明第二实施例的自配置加密硬盘的配置方法的流程图。

如图5b所示，与图5a的实施例类似，其包括步骤S201-S206。

在步骤S201中，在系统启动后，接收主机发出的读取引导程序的命令，判断自配置加密硬盘是否已被配置过。

在步骤S202中，响应主机发出的读取引导程序的命令，将配置模块的可执行代码导入主机中运行，进入配置状态。

在步骤S203中，在配置状态下协助用户对自配置加密硬盘进行配置，将配置参数记录进系统数据区。

这几个步骤与第一实施例的步骤S101-S103相同，相同处不再赘述。不同之处在于，在步骤S203之后，直接执行步骤S204，即执行完配置自配置加密硬盘的步骤之后，直接进入身份认证的步骤。

在步骤S204中，将主机提供的用户身份信息导入身份认证模块中进行身份认证。

在步骤S205中，对系统进行可信性度量，对可信性达到可信度标准的系统开启用户访问权限。如果身份认证完成，用户身份得到认证，此时，身份认证模块247继续对系统进行可信性度量，对可信性达到可信度标准的系统，且用户通过身份认证的用户开启访问权限。

本实施例与第一实施例的不同之处在于，将对系统进行可信性度量单独作为一个执行步骤，并且在身份认证的步骤之后，只有在已经完成身份认证的情况下才能继续进行可信性度量，否则立即认为认证失败，而不是同时执行身份认证和可信性度量。

在步骤S206中，对通过身份认证的用户开放访问权限，执行对数据的读写和擦除操作。

该步骤也与第一实施例相同，不再赘述。通过这两个实施例，都可以使自配置加密硬盘自行完成操作特性的配置，无需依赖外部的任何其它硬件或软件，简化了操作流程，且整个执行过程安全性较高。

图6示出了根据本发明实施例的自配置加密硬盘对应的系统启动链的示意图。

在系统启动，执行图4和图5a（或图5b）的一系列步骤时，上面各功能模块将会按照一定顺序导入主机260并运行。这些功能模块构成系统的“启动链”。图 6为一范例系统启动链，也是应用于图3自加密系统的启动方法。图中所示为基于 BIOS 的系统在启动过程中各功能模块的启动顺序。基于 UEFI 固件的系统的启动链亦有类似的行为。下面以图6为例简述基于本发明的系统启动链。

如图6，S1：运行System FW。系统上电后首先开始运行的是系统固件（BIOS，或UEFIFW）。主机260的系统固件进行系统硬件配置及自检。

S2：运行sMBR。系统固件完成配置和自检后，主机260向自配置加密硬盘200发出读取引导程序的命令，载入并执行sMBR。

S3：判断是否配置过（Configured）。若自配置加密硬盘200尚未完成功能配置，sMBR将会载入并执行PBP_Conf功能模块完成功能配置（S4）。否则sMBR将会载入并执行PBP_Auth模块对用户身份进行认证，以完成用户的登录（S5）。

S4：运行PBP_Conf。自配置加密硬盘200开始进入配置状态。

S5：运行PBP_Auth。配置完成后，进入身份验证的步骤，开始验证用户身份。

S6-S8：在用户身份认证完成，登录完成后，MBR（主引导记录），OS Loader（启动加载引导程序）进而OS（操作系统）的相关代码将会被依次导入主机260并运行，完成系统启动的过程。由此完成系统的启动链。该启动链与图4-图5a（或图5b）示出的各个步骤相匹配。

综上，本发明提供的自配置加密硬盘及其配置方法，在自配置加密硬盘内部设置了配置模块，该模块对初始化的硬盘进行操作特性的配置，在自配置加密硬盘配置完成之后才启动用户的身份认证功能，为通过验证的用户开放访问权限。该自配置加密硬盘由于在内部设置了配置模块，从而可以自行完成操作特性的配置，无需依赖自配置加密硬盘以外的任何其它硬件或软件；既可以单机独立布署，亦适合于多机集中布署；无自配置加密硬盘以外的附加成本；上述优点也使其非常适合应用于加密硬盘主控SOC（System On aChip，系统集成芯片）的设计中。

依照本发明的实施例如上文所述，这些实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施例。显然，根据以上描述，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地利用本发明以及在本发明基础上的修改使用。本发明仅受权利要求书及其全部范围和等效物的限制。