随着信息化时代的到来,计算机被广泛使用,存储在计算机硬盘中的数据也呈几何级数般增长,数据的存储安全性显得越来越重要。硬盘加密仍然是目前保护硬盘数据的主要趋势和手段。当前针对硬盘的软件加密方案安全性不高且性能较低;加密卡、FPGA等硬件加密方案性能较高,但缺乏安全可靠的身份认证方案和必要的密钥安全恢复机制;基于BIOS的认证方案安全性较高,但导致硬盘只能工作在定制的BIOS环境下,通用性大大降低。在这种背景之下,本文针对台式机和笔记本电脑等个人计算机系统,提出并实现了一种新的硬盘加密和安全认证系统,该系统基于Ukey和LiveOS,在整体安全性、性能、易用性和通用性上优于现有解决方案。硬件方案上,采用集成了硬件加密引擎的固态硬盘(SSD)主控芯片,实现对硬盘数据的实时加解密,同时将加解密密钥存储在Ukey之中,实现密钥和加密引擎的分离。只有唯一与加密SSD配对的Ukey才能解密硬盘并启动盘内系统。软件方案上,通过对Linux内核的裁剪和编译,对initrd文件系统的定制以及对引导程序的配置,定制出了一个基于Linux内核的LiveOS系统,该系统随Ukey启动,为加密SSD与Ukey的安全配对、认证和密钥传递提供了一个安全且通用的软件环境。加密硬盘和Ukey的配对及认证方案是整个硬盘加密和安全认证系统的核心所在,本文通过交换国密SM2算法公钥实现加密硬盘和Ukey的一一配对,通过设置PIN码保障Ukey使用安全,同时基于挑战响应式认证实现加密硬盘对Ukey的认证,通过与硬盘主控固件程序配合消除了重放攻击的可能。最后提出了一种双因子认证的密钥安全恢复方案。根据整个安全认证方案的需求,设计了针对Ukey和加密SSD主控芯片的API接口,该接口基于Linux SCSI协议,最后将认证程序与LiveOS结合实现完整的硬盘加密及安全认证。最后,在搭建的PC应用环境上,测试了整个硬盘加密和安全认证系统的可行性,对比了硬盘加密和非加密状态下的读写性能,并从固件、密钥、LiveOS三个层面详细分析了系统的安全性。总的来说,本文提出的基于Ukey和LiveOS的硬盘加密和安全认证系统达到了预期效果,具有很高的实用价值。