專利名稱:數(shù)據(jù)安全讀取方法及其安全存儲裝置的制作方法
技術(shù)領域:
本發(fā)明涉及信息安全領域���,特別是一種數(shù)據(jù)安全讀取方法及其安 全存儲裝置���。
技術(shù)背景安全存儲模塊是一種帶有處理器和存儲器的小型硬件裝置,它可 通過計算機的數(shù)據(jù)通訊接口與計算機連接?,F(xiàn)有技術(shù)中的安全存儲模塊采用PIN碼驗證用戶身份的合法性,在進行身份認證時將安全存儲 模塊與計算機相連�,用戶在計算機上輸入PIN碼,安全存儲模塊會自 動校驗該PIN碼的正確性���,只有當用戶輸入的PIN碼正確時�����,才允 許用戶操作安全存儲模塊�。安全存儲模塊具有密鑰生成功能,并可安 全存儲密鑰和預置加密算法����。安全存儲模塊與密鑰相關(guān)的運算完全在 裝置內(nèi)部運行。由于安全存儲模塊具有高安全的特性�,所以很多要求 安全性較高的領域都采用安全存儲模塊進行身份認證,以保證操作的 安全性�����。例如計算機開機保護系統(tǒng)常利用安全存儲模塊來確認使用者 的身份�。然而,現(xiàn)有的安全存儲模塊在安全性和易用性方面仍存在許多不 足���。首先����,由于許多用戶為了防止忘記PIN碼����,經(jīng)常采用諸如自己或 家人的生日�����、電話號碼等作為密碼�,這些有意義的字符串容易被他人 猜測到�����,或者采用把密碼抄在一個自己認為安全的地方����,這也存在著 安全隱患��,極易造成密碼泄露?�,F(xiàn)有的安全存儲模塊既存有密鑰同時 也存有用戶信息���,若非法分子盜取了該裝置�����,就很有可能通過口令猜
測得到用戶設定的PIN碼���, 一旦這種情況發(fā)生�,非法分子便極易通過 身份認證����,最終達到竊取安全存儲模塊內(nèi)部私密信息的目的。其次�,現(xiàn)有技術(shù)中,除了靜態(tài)密碼認證方式以外����,還有使用用戶 生物特征信息代替密碼進行認證的方式,即在初始化的時候把合法用 戶的生物特征信息存入裝置內(nèi)部��,用戶在使用時���,需要一次或多次輸 入正確的生物特征信息方能通過認證�,這種認證方式安全性強�����,但通 常成本較高���,使用時較為煩瑣��。 發(fā)明內(nèi)容本發(fā)明克服了上述缺點�����,提供了一種應用成本低����、安全性高的數(shù) 據(jù)安全讀取方法。本發(fā)明解決其技術(shù)問題所采取的技術(shù)方案是 一種數(shù)據(jù)安全讀取 方法�����,將密文數(shù)據(jù)和用于解密所述密文數(shù)據(jù)的固定密鑰分別存放在安 全存儲設備和能夠被所述安全存儲模塊讀取的智能密鑰模塊中����;所述安全存儲設備通過認證信息對智能密鑰模塊進行合法性判 斷,利用合法的智能密鑰模塊中存儲的固定密鑰���,對所述密文數(shù)據(jù)進 行解密,發(fā)往主機端��。所述解密可以通過所述安全存儲設備接收合法的智能密鑰模塊 發(fā)來的固定密鑰��,對所述存儲的密文數(shù)據(jù)進行解密�。所述解密可以通過所述安全存儲設備將密文數(shù)據(jù)發(fā)往合法的智 能密鑰模塊中���,由所述智能密鑰模塊中的固定密鑰對密文數(shù)據(jù)進行解 密。所述對智能密鑰模塊的合法性判斷中的認證信息可包括用戶ID�、用戶生物特征信息、智能密鑰模塊硬件標識或自定義密碼�����。所述安全存儲設備可與主機通過密鑰協(xié)商獲得會話密鑰����,通過所 述會話密鑰對解密后的數(shù)據(jù)進行加密,再發(fā)往主機端���。所述智能密鑰模塊可與主機通過密鑰協(xié)商獲得會話密鑰�����,通過所述會話密鑰對解密后的數(shù)據(jù)進行加密����,再發(fā)往主機����。 所述密鑰協(xié)商可以所述認證信息為種子��。在所述合法性判斷后����,可對認證非法的智能密鑰模塊記錄下操作 日志�。所述安全存儲設備與智能密鑰模塊之間可采用非接觸式通信實 現(xiàn)讀寫操作。一種信息安全存儲裝置����,包括安全存儲設備和智能密鑰模塊,所 述智能密鑰模塊包括接口單元��,用于實現(xiàn)與主機間的數(shù)據(jù)通信���; 存儲單元��,用于存儲密文數(shù)據(jù)和認證信息�����;微處理單元�,用于合法性認證控制���、數(shù)據(jù)的讀寫控制��、解析通信 接口協(xié)議��、加解密控制或會話密鑰的生成���、存儲和管理; 通信單元����,用于與所述智能密鑰模塊建立通信; 所述智能密鑰模塊包括數(shù)據(jù)存儲單元���,用于存儲固定密鑰���、讀取信息安全設備的密文數(shù) 據(jù)或會話密鑰的生成、存儲和管理�;加解密單元,用于利用固定密鑰對讀取的密文數(shù)據(jù)進行解密或/ 和利用會話密鑰對明文數(shù)據(jù)進行加密���;通信單元����,用于與所述安全存儲設備建立通信。所述安全存儲設備中的通信單元和智能密鑰模塊中的通信單元都可為非接觸式通信單元�����,各包括用于電磁波信號與數(shù)字信號之間轉(zhuǎn) 換的調(diào)制/解調(diào)模塊和天線;所述接口單元可為USB接口模塊���、eSATA
接口模塊�、SDIO接口模塊或PCMCIA接口模塊���。本發(fā)明要求保護的數(shù)據(jù)安全讀取方法����,通過將固定密鑰和密文數(shù) 據(jù)分別存放在兩個物理設備中�����,并通過所述安全存儲設備進行認證后 再允許固定密鑰對所述密文數(shù)據(jù)進行解密����,他人很難同時獲知合法認 證信息、密文數(shù)據(jù)���、固定密鑰�����,從而獲得對密文數(shù)據(jù)的操作權(quán)限��,在 很大程度上提高了數(shù)據(jù)存儲的安全性��,此外�,通過密鑰協(xié)商后的會話 密鑰,對所述解密后的明文數(shù)據(jù)進行加密���,進一步提高了數(shù)據(jù)傳輸過 程中的可靠性���。本發(fā)明要求保護的數(shù)據(jù)安全存儲裝置�����,將固定密鑰和 密文數(shù)據(jù)分別存放安全存儲模塊和智能密鑰模塊中,在兩個物理設備 中
圖1為本發(fā)明實施例一的控制流程圖�; 圖2為本發(fā)明實施例二的控制流程圖����; 圖3為本發(fā)明實施例三的控制流程圖�����; 圖4為本發(fā)明實施例四的控制流程圖;圖5為本發(fā)明實施例五的原理圖。
具體實施方式
實施例一本實施例是一種數(shù)據(jù)安全讀取方法,首先要將密文數(shù)據(jù)和用于解 密所述密文數(shù)據(jù)的固定密鑰分別存放在安全存儲設備和能夠被所述 安全存儲模塊讀取的智能密鑰模塊中。數(shù)據(jù)的讀取過程如圖1中所 示����,步驟201����、安全存儲設備上電工作,與主機建立連接�; 步驟202、主機向所述安全存儲設備發(fā)送數(shù)據(jù)讀取命令���;
步驟203 �、安全存儲設備向智能密鑰模塊發(fā)送密鑰讀取命令�����;步驟204����、安全存儲設備讀取智能密鑰模塊中的用戶身份認證信 息,并將該信息與其內(nèi)部存儲的合法用戶信息進行比較�����,通過判斷二 者是否一致來驗證智能密鑰模塊是否有效,在本實施例中����,所述認證 信息為預先存儲在智能密鑰模塊中的用戶ID號。在驗證所述智能密 鑰模塊中的ID號合法有效后執(zhí)行步驟206;否則�����,執(zhí)行步驟205;步驟205���、安全存儲設備內(nèi)部在判斷智能密鑰模塊無效后,記錄 下操作日志�����,并向用戶提示錯誤信息�����;步驟206�、安全存儲設備內(nèi)部判斷智能密鑰模塊有效,讀取智能 密鑰模塊中存儲的固定密鑰��;步驟207、安全存儲設備利用固定密鑰對其內(nèi)部以密文形式存儲 的主機欲讀取的密文數(shù)據(jù)進行解密�,并將解密后的數(shù)據(jù)發(fā)送到主機內(nèi) 部,完成主機對數(shù)據(jù)的讀?����?;步驟208、主機內(nèi)部響應用戶的操作指令���,使用所述解密后的數(shù) 據(jù)執(zhí)行改寫等操作后����,并將操作后的需要保存的結(jié)果返回到安全存儲 設備中�����;步驟209�、安全存儲設備內(nèi)部利用所述固定密鑰對接收到的主機 返回的數(shù)據(jù)加密并存儲。 實施例二本實施例是一種數(shù)據(jù)安全讀取方法�,首先要將密文數(shù)據(jù)和用于解 密所述密文數(shù)據(jù)的固定密鑰分別存放在安全存儲設備和能夠被所述 安全存儲模塊讀取的智能密鑰模塊中,數(shù)據(jù)的讀取過程如圖2中所不�����,步驟301、安全存儲設備上電工作����,與主機建立連接; 步驟302���、主機向所述安全存儲設備發(fā)送數(shù)據(jù)讀取命令����;步驟303�����、安全存儲設備向智能密鑰模塊發(fā)送密鑰讀取命令�����;步驟304���、安全存儲設備內(nèi)部讀取智能密鑰模塊中的用戶身份認 證信息,并將該信息與其內(nèi)部存儲的合法用戶信息進行比較�,通過判 斷二者是否一致來驗證所述智能密鑰模塊是否有效,在本實施例中, 所述身份認證信息為用戶自定義密碼����,在驗證所述智能密鑰模塊中存 儲的密碼合法有效后執(zhí)行步驟306,否則執(zhí)行步驟305;步驟305�����、安全存儲設備內(nèi)部在判斷智能密鑰模塊無效后���,記錄 下操作日志�,并向用戶提示錯誤信息���;步驟306���、安全存儲設備內(nèi)部判斷智能密鑰模塊有效后,正常讀 取智能密鑰模塊中存儲的固定密鑰����;步驟307、安全存儲設備利用固定密鑰對其內(nèi)部以密文形式存儲 的主機欲讀取的數(shù)據(jù)進行解密�����;步驟308、安全存儲設備以通過合法性認證的所述身份認證信息 為種子����,與主機進行密鑰協(xié)商生成會話密鑰;步驟309��、安全存儲設備利用會話密鑰對解密后的數(shù)據(jù)進行加密���, 并發(fā)送到主機內(nèi)部��;步驟310����、主機內(nèi)部再利用密鑰協(xié)商生成的會話密鑰對接收到的 密文數(shù)據(jù)進行解密�,并利用解密后的實現(xiàn)數(shù)據(jù)顯示輸出或其他應用操 作。本實施例是一種數(shù)據(jù)安全讀取方法���,首先要將密文數(shù)據(jù)和用于解 密所述密文數(shù)據(jù)的固定密鑰分別存放在安全存儲設備和能夠被所述 安全存儲模塊讀取的智能密鑰模塊中�����,數(shù)據(jù)的讀取過程如圖3中所
示����,步驟401���、安全存儲設備上電工作�,與主機建立連接��; 步驟402��、主機向安全存儲設備發(fā)送數(shù)據(jù)讀取命令���; 步驟403�����、安全存儲設備向智能密鑰模塊發(fā)送數(shù)據(jù)操作命令�����; 步驟404��、安全存儲設備內(nèi)部讀取智能密鑰模塊中的用戶身份認證信息��,并將該信息與其內(nèi)部存儲的合法用戶信息進行比較�,通過判斷二者是否一致來驗證智能密鑰模塊是否有效�,在本實施例中����,用戶身份認證信息為用戶指紋圖像信息����。在驗證所述智能密鑰模塊中存儲的指紋圖像信息合法有效后執(zhí)行步驟406,否則執(zhí)行步驟405;步驟405��、安全存儲設備判斷智能密鑰模塊無效��,記錄操作日志���,系統(tǒng)提示錯誤信息����;步驟406���、安全存儲設備判斷智能密鑰模塊有效���,將其內(nèi)部以密文形式存儲的主機欲讀取的數(shù)據(jù)發(fā)送到智能密鑰模塊中;步驟407����、智能密鑰模塊利用其內(nèi)部存儲的固定密鑰對接收到的密文數(shù)據(jù)進行解密���,所述安全存儲設備從智能密鑰模塊中讀取解密后的數(shù)據(jù)�,并發(fā)送到主機,完成數(shù)據(jù)的安全讀?��?���;步驟40S�、主機響應用戶的操作指令,使用接收到的密后數(shù)據(jù)執(zhí)行改寫��、顯示���、運算等操作��,并將操作后的需要保存的結(jié)果返回到安全存儲設備中�����;步驟409�、安全存儲設備將主機改寫后的數(shù)據(jù)轉(zhuǎn)發(fā)到智能密鑰模 塊中����,所述智能密鑰模塊利用對其內(nèi)部存儲的固定密鑰對改寫后的數(shù) 據(jù)進行加密�����,再發(fā)送到安全存儲設備中存儲�����。實施例四本實施例是一種數(shù)據(jù)安全讀取方法����,首先要將密文數(shù)據(jù)和用于解
密所述密文數(shù)據(jù)的固定密鑰分別存放在安全存儲設備和能夠被所述 安全存儲模塊讀取的智能密鑰模塊中�,數(shù)據(jù)的讀取過程如圖4中所不,步驟501�����、安全存儲設備上電工作��,與主機建立連接����; 步驟502、主機向安全存儲設備發(fā)送數(shù)據(jù)讀取命令�; 步驟503���、安全存儲設備向智能密鑰模塊發(fā)送數(shù)據(jù)操作命令; 步驟504�����、安全存儲設備內(nèi)部讀取智能密鑰模塊中的用戶身份認 證信息��,并將該信息與其內(nèi)部存儲的合法用戶信息進行比較���,通過判 斷二者是否一致來驗證智能密鑰模塊是否有效,在本實施例中����,用戶 身份認證信息為所述智能密鑰模塊的硬件標識,如序列號等���。在驗證 所述智能密鑰模塊中存儲的硬件標識合法有效后執(zhí)行步驟506���,否則 執(zhí)行步驟505;步驟505、安全存儲設備內(nèi)部判斷智能密鑰模塊無效�����,記錄操作 日志,系統(tǒng)提示錯誤信息�����;步驟506����、安全存儲設備內(nèi)部判斷智能密鑰模塊有效,將其內(nèi)部 以密文形式存儲的主機欲讀取的數(shù)據(jù)發(fā)送到所述智能密鑰模塊中�����;步驟507��、智能密鑰模塊利用其內(nèi)部存儲的固定密鑰對主機欲讀 取的密文數(shù)據(jù)進行解密����;步驟508、智能密鑰模塊以通過合法性認證的所述身份認證信息 為種子�����,與主機進行密鑰協(xié)商生成會話密鑰�����;步驟509、智能密鑰模塊利用所述會話密鑰對解密后的數(shù)據(jù)進行 加密�,安全存儲設備從智能密鑰模塊中讀取加密后的數(shù)據(jù),并發(fā)送到 主機內(nèi)部�����;步驟510��、主機利用密鑰協(xié)商生成的會話密鑰對接收到的密文數(shù)
據(jù)進行解密���,完成對安全存儲設備中數(shù)據(jù)的安全讀取�����;步驟5U�����、主機利用接收到的數(shù)據(jù)執(zhí)行用戶的操作指令�,例如對解密后的數(shù)據(jù)執(zhí)行改寫操作;步驟512�、主機將改寫后的需要存儲的數(shù)據(jù)在返回到所述安全存儲設備中;步驟513、安全存儲設備將主機改寫后的數(shù)據(jù)發(fā)送到智能密鑰模 塊中����,智能密鑰模塊利用對其內(nèi)部存儲的固定密鑰對改寫后的數(shù)據(jù)進 行加密,安全存儲設備從智能密鑰模塊中讀取加密后的數(shù)據(jù)并存儲����。實施例五本實施例是一種數(shù)據(jù)安全存儲裝置,能夠采用本發(fā)明中的數(shù)據(jù)安 全讀取方法�����,實現(xiàn)數(shù)據(jù)的安全讀取�����,如圖5中所示��,包括安全存儲設 備2和智能密鑰模塊3兩部分構(gòu)成�。所述安全存儲模塊為帶有USB接口的便攜式安全存儲設備,包 括微處理單元21�、存儲單元22、射頻單元23����、天線單元24���、 USB 接口單元25。所述微處理單元21用于合法性認證控制����、數(shù)據(jù)的讀寫控制、解 析通信接口協(xié)議���、加解密控制或會話密鑰的生成���、存儲和管理,并控 制所述USB接口單元與總機之間的通信�����;所述存儲單元22可以采用 大容量存儲器��,作移動硬盤使用���,又進一步包括數(shù)據(jù)存儲區(qū)221和程 序存儲區(qū)222,數(shù)據(jù)存儲區(qū)221又進一步包括普通數(shù)據(jù)存儲區(qū)和私有 數(shù)據(jù)存儲區(qū)�,普通數(shù)據(jù)存儲區(qū)用于存儲明文數(shù)據(jù),私有數(shù)據(jù)存儲區(qū)用 于存儲被保護的密文數(shù)據(jù)���、加/解密密鑰���、數(shù)字證書�����、用戶自定義密 碼��、硬件信息等合法用戶的身份認證信息以及從智能密鑰模塊中讀取 的信息���。所述程序存儲區(qū)222用于存放固件程序、加/解密程序��,實
現(xiàn)安全存儲設備與主機間的通信����、對主機發(fā)送的信息進行解析、處理���、 對用戶進行身份認證���、實現(xiàn)用戶權(quán)限管理、完成對存儲區(qū)的輸入/輸 出管理����、對數(shù)據(jù)進行加/解密處理�����。射頻單元23用于實現(xiàn)電磁波信號與數(shù)字信號之間調(diào)制/解調(diào)功能��,可將從天線24接收到的電磁波信號 轉(zhuǎn)換為微處理單元21能夠識別的數(shù)字信號�����,以及將處理后的數(shù)字信 號轉(zhuǎn)換為電磁波信號通過天線25發(fā)送給智能密鑰模塊3;所述天線 24為耦合線圈�����,用于感應并接收智能密鑰模塊3發(fā)送的信息����,以及 向所述智能密鑰模塊3發(fā)送信息��。所述智能密鑰模塊3包括加/接密單元31�、數(shù)據(jù)存儲單元32���、射 頻單元33��、天線34�。所述射頻單元33和天線34用于向所述安全存 儲設備2發(fā)送信息,數(shù)據(jù)存儲單元32用于存儲固定密鑰��、讀取信息 安全設備的密文數(shù)據(jù)以及會話密鑰的生成����、存儲和管理;所述加/解 密單元31�����,用于利用固定密鑰對讀取的密文數(shù)據(jù)進行解密或/和利用 會話密鑰對明文數(shù)據(jù)進行加密�����。所述安全存儲模塊2通過接口單元11與所述主機1建立通信�����, 接收主機1發(fā)來的數(shù)據(jù)讀取命令��,并將被讀取的數(shù)據(jù)通過接口單元 11發(fā)送到數(shù)據(jù)處理單元12���,共主機執(zhí)行相應的改寫�、顯示、計算等 操作�����。在本發(fā)明通過將固定密鑰和密文數(shù)據(jù)分別存放在兩個物理設備 中�����,并通過所述安全存儲設備進行認證后再允許固定密鑰對所述密文 數(shù)據(jù)進行解密�����,他人很難同時獲知合法認證信息�、密文數(shù)據(jù)、固定密 鑰�,從而獲得對密文數(shù)據(jù)的操作權(quán)限,在很大程度上提高了數(shù)據(jù)存儲 的安全性��,此外����,通過密鑰協(xié)商后的會話密鑰,對所述解密后的明文 數(shù)據(jù)進行加密����,進一步提高了數(shù)據(jù)傳輸過程中的可靠性。同時���,本發(fā)
明增加了設備與主機間的密文通信方法�,在此情況下�,即使木馬程序 截獲了傳輸過程中的數(shù)據(jù),由于沒有密鑰�,因此無法對其進行解密, 最終不能獲得明文信息�,這在一定程度上提高了數(shù)據(jù)傳輸過程中的可 靠性;本發(fā)明由于采用非接觸式的射頻通信技術(shù)�����,具有不易磨損�,方 便易用等特點,從而給使用者帶來了極大的方便���。此外����,通過對合法 性認證中����,對未通過認證的智能密鑰模塊�,即非法的智能密鑰模塊��, 將訪問日期���、時間等信息以訪問日志的形式記錄下來�,方便用戶查詢 以往的使用歷史記錄��。以上對本發(fā)明所提供的數(shù)據(jù)安全讀取方法及其安全存儲裝置進 行了詳細介紹����,本文中應用了具體個例對本發(fā)明的原理及實施方式進 行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核 心思想�����;同時����,對于本領域的一般技術(shù)人員,依據(jù)本發(fā)明的思想�,在具體實施方式
及應用范圍上均會有改變之處,綜上所述��,本說明書內(nèi) 容不應理解為對本發(fā)明的限制。
權(quán)利要求
1. 一種數(shù)據(jù)安全讀取方法�����,其特征在于將密文數(shù)據(jù)和用于解密 所述密文數(shù)據(jù)的固定密鑰分別存放在安全存儲設備和能夠被所述安 全存儲模塊讀取的智能密鑰模塊中�����;所述安全存儲設備通過認證信息對智能密鑰模塊進行合法性判 斷�����,利用合法的智能密鑰模塊中存儲的固定密鑰����,對所述密文數(shù)據(jù)進 行解密����,發(fā)往主機端。
2. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全讀取方法�����,其特征在于所述解密是通過所述安全存儲設備接收合法的智能密鑰模塊發(fā)來的固定 密鑰�,對所述存儲的密文數(shù)據(jù)進行解密。
3. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全讀取方法,其特征在于所述 解密是通過所述安全存儲設備將密文數(shù)據(jù)發(fā)往合法的智能密鑰模塊 中�����,由所述智能密鑰模塊中的固定密鑰對密文數(shù)據(jù)進行解密��。
4. 根據(jù)權(quán)利要求2所述的數(shù)據(jù)安全讀取方法���,其特征在于所述 安全存儲設備與主機端通過密鑰協(xié)商獲得會話密鑰��,通過所述會話密 鑰對解密后的數(shù)據(jù)進行加密�����,再發(fā)往主機端��。
5. 根據(jù)權(quán)利要求3所述的數(shù)據(jù)安全讀取方法�,其特征在于所述 智能密鑰模塊與主機端通過密鑰協(xié)商獲得會話密鑰�����,通過所述會話密 鑰對解密后的數(shù)據(jù)進行加密�����,再發(fā)往主機端。
6. 根據(jù)權(quán)利要求1 5中任一項所述的數(shù)據(jù)安全讀取方法����,其特征 在于所述對智能密鑰模塊的合法性判斷中的認證信息包括用戶ID、 用戶生物特征信息����、智能密鑰模塊硬件標識或自定義密碼。
7. 根據(jù)權(quán)利要求4或5所述的數(shù)據(jù)安全讀取方法�,其特征在于 所述密鑰協(xié)商是以所述認證信息為種子���。
8. 根據(jù)權(quán)利要求1 5中任一項所述的數(shù)據(jù)安全讀取方法����,其特征在于在所述合法性判斷后����,對非法的智能密鑰模塊記錄下操作日志。
9. 根據(jù)權(quán)利要求1 5中任一項所述的數(shù)據(jù)安全讀取方法�,其特征在于所述安全存儲設備與智能密鑰模塊之間采用非接觸式通信實現(xiàn) 讀寫操作。
10. —種數(shù)據(jù)安全存儲裝置�����,包括安全存儲設備和智能密鑰模塊,所述安全存儲模塊包括接口單元��,用于實現(xiàn)與主機間的數(shù)據(jù)通信�����; 存儲單元��,用于存儲密文數(shù)據(jù)和認證信息����;微處理單元,用于合法性認證控制��、數(shù)據(jù)的讀寫控制���、解析通信 接口協(xié)議����、加解密控制或/和會話密鑰的生成�����、存儲與管理�; 通信單元�����,用于與所述智能密鑰模塊建立通信���; 所述智能密鑰模塊包括數(shù)據(jù)存儲單元,用于存儲固定密鑰��、讀取安全存儲模塊的密文數(shù) 據(jù)或/和會話密鑰的生成�、存儲與管理;加解密單元����,用于利用固定密鑰對讀取的密文數(shù)據(jù)進行解密或/ 和利用會話密鑰對明文數(shù)據(jù)進行加密����;通信單元,用于與所述安全存儲設備建立通信����。
11. 根據(jù)權(quán)利要求IO所述的數(shù)據(jù)安全存儲裝置,其特征在于所述安全存儲設備中的通信單元和智能密鑰模塊中的通信單元都為非 接觸式通信單元����,各包括用于電磁波信號與數(shù)字信號之間轉(zhuǎn)換的調(diào)制 /解調(diào)模塊和天線�����;所述接口單元為USB接口模塊�、eSATA接口模塊�����、 SDIO接口模塊或PCMCIA接口模塊�����。
全文摘要
本發(fā)明涉及信息安全領域��,要求保護一種數(shù)據(jù)安全讀取方法����,將密文數(shù)據(jù)和用于解密所述密文數(shù)據(jù)的固定密鑰分別存放在安全存儲設備和智能密鑰模塊中;所述安全存儲設備通過認證信息對智能密鑰模塊進行合法性判斷�����,利用合法的智能密鑰模塊中存儲的固定密鑰���,對所述密文數(shù)據(jù)進行解密���,發(fā)往主機端�����。本發(fā)明還要求保護一種數(shù)據(jù)安全存儲裝置��,包括分別存儲密文數(shù)據(jù)和固定密鑰的安全存儲設備和智能密鑰模塊��,本發(fā)明將固定密鑰和密文數(shù)據(jù)分別存放在兩個物理設備中�,通過所述安全存儲設備進行認證后允許固定密鑰對所述密文數(shù)據(jù)進行解密����,他人很難同時獲知合法認證信息、密文數(shù)據(jù)����、固定密鑰����,并獲得對密文數(shù)據(jù)的操作權(quán)限,極大地提高了數(shù)據(jù)存儲的安全性��。
文檔編號G06K7/00GK101122942SQ20071012220
公開日2008年2月13日 申請日期2007年9月21日 優(yōu)先權(quán)日2007年9月21日
發(fā)明者于華章, 舟 陸 申請人:北京飛天誠信科技有限公司