專利名稱：：一種用于移動(dòng)存儲(chǔ)的安全適配器裝置及其操作方法
技術(shù)領(lǐng)域：
：本發(fā)明專利涉及一種用于移動(dòng)存儲(chǔ)的安全適配器裝置及其才喿作方法。
背景技術(shù)：
：隨著電子技術(shù)的發(fā)展，各種便攜式移動(dòng)存儲(chǔ)設(shè)備不斷涌現(xiàn)，移動(dòng)存儲(chǔ)設(shè)備的容量越來越大，其使用也變得越來越廣泛。信息時(shí)代的個(gè)人、企業(yè)、國家和軍隊(duì)等單位都有大量的信息需要進(jìn)行存儲(chǔ)、分發(fā)，人們可以選擇使用u盤、移動(dòng)石更盤、可擦寫光盤等移動(dòng)存儲(chǔ)設(shè)備來存儲(chǔ)、攜帶信息。例如，人們常常將一些不宜泄露的信息，如各種個(gè)人賬號(hào)、密碼以及一些重要的文檔資料等備份在這些存儲(chǔ)設(shè)備中；各種企業(yè)的文檔資料、知識(shí)產(chǎn)權(quán)等商業(yè)機(jī)密也會(huì)通過移動(dòng)存儲(chǔ)設(shè)備來進(jìn)行存儲(chǔ)、分發(fā)；國家、軍隊(duì)等重要單位的秘密文檔、信息資料等也需要專門的移動(dòng)存儲(chǔ)設(shè)備來分發(fā)管理。移動(dòng)存々者設(shè)備給人們帶來便捷的同時(shí)，也存在著嚴(yán)重的信息安全隱患。一旦存儲(chǔ)設(shè)備丟失或被人盜用，可能發(fā)生存儲(chǔ)設(shè)備內(nèi)的信息資料被非法拷貝、非法刪除等情況，這些都會(huì)給人們的財(cái)產(chǎn)安全等帶來威脅。一些商業(yè)機(jī)密如果泄露出去將給企業(yè)造成不可估量的損失，國家或軍隊(duì)秘密如果泄露則會(huì)產(chǎn)生更嚴(yán)重的后果。因此，移動(dòng)存儲(chǔ)設(shè)備的信息安全成為一個(gè)亟待解決的問題。目前，越來越多的用戶已經(jīng)認(rèn)識(shí)到了移動(dòng)存儲(chǔ)產(chǎn)品信息安全的重要性，數(shù)據(jù)保護(hù)的安全意識(shí)已經(jīng)廣泛形成，人們對(duì)移動(dòng)辦公及大容量移動(dòng)存儲(chǔ)設(shè)備的安全需求與日倶增，各種安全移動(dòng)存儲(chǔ)設(shè)備如安全移動(dòng)硬盤，安全U盤等也不斷涌現(xiàn)。愛國者的安全移動(dòng)^Jt采用高速的硬件加密芯片和高強(qiáng)度的數(shù)據(jù)加密算法，支持多種身份認(rèn)證方式，產(chǎn)品實(shí)現(xiàn)了數(shù)據(jù)的安全存儲(chǔ)，解決了移動(dòng)硬盤明文存儲(chǔ)引起的安全問題。它采用USB2.0接口，所有寫入硬盤的數(shù)據(jù)，均直接通過硬件芯片實(shí)時(shí)加密，確保數(shù)據(jù)存儲(chǔ)安全。結(jié)合硬件身份識(shí)別，只有通過身份認(rèn)證的用戶才能對(duì)硬盤內(nèi)的數(shù)據(jù)進(jìn)行讀寫操作，沒有通過身份認(rèn)證的硬盤將無法使用。提高了設(shè)備的安全性，便于設(shè)備管理，降低硬盤遺失后的安全隱患。深圳中興集成電路(ZTEIC)推出的"安全key盤"采用一個(gè)32位安全處理器芯片作為主控芯片，外掛閃存芯片實(shí)現(xiàn)安全移動(dòng)存^f諸功能。該方案采用硬件雙向認(rèn)證的安全機(jī)制，閃存芯片上的數(shù)據(jù)經(jīng)過安全主控芯片純硬件加密，可以充分地保證數(shù)據(jù)的安全。每個(gè)安全Key盤都有唯一的序列號(hào)，安全key盤在USBkey的基礎(chǔ)上，附加了移動(dòng)存儲(chǔ)的功能。通過對(duì)目前市場上的安全移動(dòng)存儲(chǔ)產(chǎn)品進(jìn)行分析，可以看出傳統(tǒng)的移動(dòng)存儲(chǔ)信息安全解決方案主要通過如下技術(shù)途徑實(shí)現(xiàn)每一個(gè)存儲(chǔ)設(shè)備都配備有一個(gè)對(duì)應(yīng)的認(rèn)證key,設(shè)備本身需要進(jìn)行各種加密處理，使用該存儲(chǔ)設(shè)備必須同時(shí)使用對(duì)應(yīng)的key,否則無法正確讀取設(shè)備內(nèi)的信息。為了提高加密處理速度，設(shè)備內(nèi)部需要有專門的硬件進(jìn)行加密運(yùn)算，這樣整個(gè)設(shè)備的造價(jià)就會(huì)比較高。然而隨著信息量的增大和存儲(chǔ)設(shè)備的多樣化，每個(gè)用戶常常使用多個(gè)或多種移動(dòng)存儲(chǔ)設(shè)備來存儲(chǔ)私密信息，這樣對(duì)于每個(gè)用戶來說就會(huì)配備多個(gè)或多種設(shè)備及對(duì)應(yīng)的key。目前的各種安全移動(dòng)存儲(chǔ)設(shè)備的價(jià)格都是比較昂貴的，例如安全移動(dòng)硬盤通常單價(jià)都在2000元人民幣以上，安全移動(dòng)U盤的價(jià)格也是普通U盤價(jià)格的幾倍以上，購置多個(gè)或多種安全移動(dòng)存儲(chǔ)^:備對(duì)于用戶來說是筆4艮大的開銷。另外，由于每個(gè)存儲(chǔ)設(shè)備都有自己的key,較多的key也難于管理，而管理安全是安全方案中的一個(gè)重要方面，因此，較多key情況下的安全性反而會(huì)有所降低。綜上所述，人們急需一種新的移動(dòng)存儲(chǔ)信息安全解決方案來替代或補(bǔ)充現(xiàn)有安全方案，特別是在移動(dòng)存儲(chǔ)設(shè)備廣泛使用、信息安全面臨更多威脅的今天，對(duì)一種價(jià)格合理、便于管理的安全移動(dòng)存儲(chǔ)解決方案的需求尤其迫切。因此，本發(fā)明將提出一種用于移動(dòng)存儲(chǔ)的安全適配器來解決這一問題，并且給出了該適配器的相應(yīng)操作方法。我們提出的安全適配器通過在適配器內(nèi)自動(dòng)完成加解密功能，實(shí)現(xiàn)了多個(gè)移動(dòng)存儲(chǔ)設(shè)備共享一套加解密設(shè)備，更便于密鑰管理和使用，并且可以在普通的非加密移動(dòng)存儲(chǔ)設(shè)備上實(shí)現(xiàn)加密存儲(chǔ)，有效地降低了移動(dòng)存儲(chǔ)設(shè)備實(shí)現(xiàn)信息存儲(chǔ)安全保密的成本。
發(fā)明內(nèi)容本發(fā)明的目的是為了克服上述現(xiàn)有技術(shù)的不足之處，提出一種用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器裝置(SecurityAdapterforMobileStorage,SAMS),將該安全適配器裝置連接到計(jì)算機(jī)的通用接口，并將普通移動(dòng)存儲(chǔ)設(shè)備連接到適配器的通用接口，計(jì)算機(jī)通過相應(yīng)的操作方法操作該適配器，適配器對(duì)移動(dòng)存儲(chǔ)設(shè)備的讀寫內(nèi)容進(jìn)行自動(dòng)加解密，在普通移動(dòng)存儲(chǔ)設(shè)備上實(shí)現(xiàn)加密存儲(chǔ)，為用戶提供簡單、輕便、易攜帶、易使用、易管理、高安全性、低價(jià)格的安全移動(dòng)存儲(chǔ)實(shí)現(xiàn)方案。本發(fā)明的技術(shù)方案是參見圖1。一種用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器裝置，包括主機(jī)接口、移動(dòng)存儲(chǔ)設(shè)備接口、加解密模塊、橋接模塊以及固件，固件分別與主機(jī)接口、移動(dòng)存儲(chǔ)設(shè)備接口、加解密模塊相連，橋接模塊分別與主機(jī)接口、移動(dòng)存儲(chǔ)設(shè)備接口、加解密模塊相連；也可以將加解密模塊、橋接模塊和固件集成到一個(gè)芯片中，構(gòu)成一個(gè)片上系統(tǒng)(SOC:SystemOnChip),其連接關(guān)系相同，如圖2所示；主機(jī)接口1,用于和主機(jī)通用接口連接，所采用的連接規(guī)范包括但不限于并行接口步見范(如IEEE1284)、串行接口規(guī)范(如RS-232、RS-485、RS-422)、通用串行總線USB(UniversalSerialBus)接口規(guī)范、PATA接口規(guī)范、SATA接口規(guī)范、ATA/ATAPI接口規(guī)范、PCI/CompactPCI接口規(guī)范、PCI-E(PCIExpress)接口規(guī)范、Ethernet接口失見范、PCMCIA接口規(guī)范、IEEE1394接口規(guī)范、HDMI接口規(guī)范、SCSI(SmallComputerSystemInterface)接口規(guī)范、SDIO接口規(guī)范、固C卡接口規(guī)范、DRAM內(nèi)存接口規(guī)范、Flash存儲(chǔ)器接口^見范、SAS(SerialAttachedSCSI)接口規(guī)范、FC-PI(FiberChannel-PhysicalInterfaces)4妻口頭見范，以及與上述身見范兼容的或并未列舉的所有計(jì)算機(jī)接口規(guī)范。移動(dòng)存儲(chǔ)設(shè)備接口2,用于和移動(dòng)存儲(chǔ)設(shè)備連接，所采用的連接規(guī)范包括但不限于USB接口規(guī)范、PATA接口規(guī)范、SATA接口規(guī)范、ATA/ATAPI接口規(guī)范、PCI/COMPACTPCI接口規(guī)范、PCI-E接口規(guī)范、Ethernet接口規(guī)范、SCSI接口規(guī)范、PCMCIA接口規(guī)范、IEEE1394接口規(guī)范、HDMI接口規(guī)范、SDIO接口規(guī)范、畫C卡接口規(guī)范、DRAM內(nèi)存接口規(guī)范、Flash存儲(chǔ)器接口規(guī)范、SAS接口規(guī)范、FC-PI接口規(guī)范，以及與上述規(guī)范兼容的或并未列舉的所有計(jì)算機(jī)接口規(guī)范。加解密模塊3,用于并對(duì)讀寫數(shù)據(jù)進(jìn)行加解密，所采用的加解密算法包括所有能夠?qū)π畔⑦M(jìn)行加解密的各種算法，如對(duì)稱密碼算法(也稱分組密碼算法，如AES、DES、3DES、IDEA、Twofish)、序列密碼加密算法(也稱流密碼算法，如RC2、RC4、RC5、RC6)或公鑰密碼算法(也稱非對(duì)稱密碼算法，如RSA、ECC、DSA)等。加解密模塊的實(shí)現(xiàn)方式有兩種，一種是硬件實(shí)現(xiàn)方式，即利用安全適配器自帶的加解密模塊實(shí)現(xiàn)，另一種是軟硬件協(xié)同的方式，即利用主機(jī)中安全適配器專用設(shè)備驅(qū)動(dòng)程序12的加解密主模塊和安全適配器加解密從模塊6的密鑰管理配合實(shí)現(xiàn)，如圖3所示。橋接模塊4，用于連接主機(jī)接口、移動(dòng)存儲(chǔ)設(shè)備接口和加解密模塊。固件5,用于接受并解析主機(jī)發(fā)送的命令，啟動(dòng)加解密模塊進(jìn)行操作，并向移動(dòng)存儲(chǔ)設(shè)備發(fā)送相關(guān)命令。一種基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法，包括加解密讀寫操作方法100和正常讀寫操:作方法101，參見圖4。加解密讀寫操作方法100,通過專用驅(qū)動(dòng)程序12,對(duì)安全適配器裝置發(fā)出加解密讀寫命令，固件接受并解析該命令，啟動(dòng)加解密模塊對(duì)后續(xù)的讀寫操作進(jìn)行加解密，實(shí)現(xiàn)對(duì)普通移動(dòng)存儲(chǔ)設(shè)備的加密存儲(chǔ)。正常讀寫操:作方法101,通過通用的操:作系統(tǒng)驅(qū)動(dòng)程序13,對(duì)安全適配器裝置發(fā)出正常讀寫命令，固件接受并解析該命令，對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀寫，不啟動(dòng)加解密模塊進(jìn)行加解密操作，實(shí)現(xiàn)非加密存儲(chǔ)。一種基于軟硬件協(xié)同實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法，包括加解密讀寫操作方法102和正常讀寫操作方法103，參見圖5。加解密讀寫纟喿作方法102,通過專用驅(qū)動(dòng)程序12，對(duì)安全適配器裝置發(fā)出獲取加解密密鑰命令，固件接收并解析該命令，啟動(dòng)加解密從模塊返回密鑰，由專用驅(qū)動(dòng)程序12中的加解密主^^莫塊8完成數(shù)據(jù)加解密。正常讀寫操作方法103，與基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的正常讀寫4喿作方法一致。本發(fā)明的特點(diǎn)在于將加解密才莫塊從傳統(tǒng)的安全移動(dòng)存4諸設(shè)備端移至適配器和主機(jī)端，通過一個(gè)安全適配器即可實(shí)現(xiàn)對(duì)多個(gè)普通移動(dòng)存儲(chǔ)設(shè)備的加解密存儲(chǔ)，多個(gè)移動(dòng)存儲(chǔ)設(shè)備共享一個(gè)key，便于管理，并且能有效減少由于購置多個(gè)安全移動(dòng)存儲(chǔ)設(shè)備帶來的成本開銷，即使移動(dòng)存儲(chǔ)設(shè)備丟失，如果沒有該安全適配器，也不能讀出移動(dòng)存儲(chǔ)設(shè)備上的加密信息，具有很高的安全性。圖l是本發(fā)明采用加解密模塊硬件實(shí)現(xiàn)的結(jié)構(gòu)示意圖。圖2是本發(fā)明采用片上系統(tǒng)的發(fā)明的結(jié)構(gòu)示意圖。圖3是本發(fā)明采用加解密模塊軟硬件協(xié)同實(shí)現(xiàn)的結(jié)構(gòu)示意圖。圖4是對(duì)基于硬件實(shí)現(xiàn)加解密模塊的安全適配器的操作流程圖。圖5是對(duì)基于軟硬件協(xié)同實(shí)現(xiàn)加解密模塊的安全適配器的操作流程圖。具體實(shí)施例方式參見圖1。一種用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器裝置，包括主機(jī)接口1、移動(dòng)存儲(chǔ)設(shè)備接口2、加解密模塊3、橋接模塊4，以及固件5,固件5分別與主機(jī)接口1、移動(dòng)存儲(chǔ)設(shè)備接口2、加解密模塊3相連，橋接模塊4分別與主機(jī)接口1、移動(dòng)存儲(chǔ)設(shè)備接口2、加解密模塊3相連；在最佳實(shí)施例中，主機(jī)接口1和移動(dòng)存儲(chǔ)設(shè)備接口2采用了標(biāo)準(zhǔn)的USB接口規(guī)范和協(xié)議，加解密芯片采用了帶AES加密引擎的ARM處理器。也可以將加解密模塊3、橋接模塊4和固件5集成到一個(gè)芯片中，構(gòu)成一個(gè)片上系統(tǒng)(S0C:SystemOnChip),其連接關(guān)系相同，如圖2所示。本發(fā)明并不限于采用上述接口規(guī)范、協(xié)議和加密算法。安全適配器共有三種不同的實(shí)現(xiàn)方式，即采用加解密模塊硬件實(shí)現(xiàn)；釆用片上系統(tǒng)實(shí)現(xiàn)；采用硬件協(xié)同實(shí)現(xiàn)。硬件實(shí)現(xiàn)方式，即利用安全適配器自帶的加解密模塊實(shí)現(xiàn)如圖1、圖2所示，軟硬件協(xié)同的方式如圖3所示，即利用主才幾中安全適配器專用驅(qū)動(dòng)程序12的加解密主才莫塊8和安全適配器加解密從模塊6的密鑰管理配合實(shí)現(xiàn)。在最佳實(shí)施例中，加解密模塊采用硬件實(shí)現(xiàn)。主機(jī)接口1和移動(dòng)存儲(chǔ)設(shè)備接口2采用了標(biāo)準(zhǔn)的USB接口規(guī)范和協(xié)議，加解密芯片采用了帶AES加密引擎的ARM處理器。也可以將加解密模塊3、橋接模塊4和固件5集成到一個(gè)芯片中，構(gòu)成一個(gè)片上系統(tǒng)(S0C:SystemOnChip),其連接關(guān)系如圖2所示。加解密模塊3另一種可能的實(shí)現(xiàn)方式是將加解密的計(jì)算過程由主機(jī)中專用驅(qū)動(dòng)程序12的加解密主模塊8完成，而加解密所涉及的密鑰管理功能則由安全適配器的加解密從模塊6提供，其連接關(guān)系如圖3所示。本發(fā)明并不限于采用上述接口規(guī)范、協(xié)議和加密算法。本發(fā)明安全適配器各部分的主要功能為主機(jī)接口1負(fù)責(zé)通過通用接口與主機(jī)連接，接收由USB傳輸規(guī)范定義的各種命令和數(shù)據(jù)，在保證傳輸規(guī)范定義的時(shí)序操作的基礎(chǔ)上，提供主機(jī)對(duì)安全適配器的訪問通道。采用USB標(biāo)準(zhǔn)規(guī)范的主機(jī)接口信號(hào)和定義見表1。表1主機(jī)接口信號(hào)及描述<table>complextableseeoriginaldocumentpage9</column></row><table>移動(dòng)存儲(chǔ)設(shè)備接口2負(fù)責(zé)通過通用接口與移動(dòng)存儲(chǔ)設(shè)備連接，向移動(dòng)存儲(chǔ)設(shè)備發(fā)出由USB傳輸規(guī)范定義的各種命令和數(shù)據(jù)，在保證傳輸規(guī)范定義的時(shí)序操作的基礎(chǔ)上，提供安全適配器對(duì)移動(dòng)存儲(chǔ)設(shè)備的訪問通道。采用USB標(biāo)準(zhǔn)規(guī)范的移動(dòng)存儲(chǔ)設(shè)備接口信號(hào)和定義見表1。加解密模塊3在固件的控制下對(duì)讀寫數(shù)據(jù)進(jìn)行加解密。橋接模塊4負(fù)責(zé)實(shí)現(xiàn)主機(jī)接口和加解密模塊以及加解密模塊和移動(dòng)存儲(chǔ)設(shè)備接口之間的連接，提供相應(yīng)的訪問通道。固件5負(fù)責(zé)接收主機(jī)發(fā)送的符合USB規(guī)范的各種操作命令，并對(duì)其進(jìn)行解析。如果主機(jī)啟動(dòng)加解密模塊進(jìn)行加解密，則轉(zhuǎn)發(fā)主機(jī)和移動(dòng)存儲(chǔ)設(shè)備之間的訪問命令，并啟動(dòng)加解密模塊對(duì)后續(xù)的讀寫數(shù)據(jù)進(jìn)行加解密操作和轉(zhuǎn)發(fā)；如果主機(jī)不啟動(dòng)加解密，則筒單轉(zhuǎn)發(fā)主機(jī)和移動(dòng)存儲(chǔ)設(shè)備間的訪問命令和數(shù)據(jù)。本發(fā)明還涉及對(duì)安全適配器的操作方法，基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法，包括加密讀寫操作方法100和正常讀寫操作方法101，具體操作方法見圖4?；谟布?shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法各操作方法的主要步驟為加密寫的操作方法a上層操作系統(tǒng)11接收應(yīng)用程序10發(fā)送的加密寫命令；b上層才喿作系統(tǒng)ll將加密寫命令發(fā)送給專用驅(qū)動(dòng)程序12;c專用驅(qū)動(dòng)程序12將加密寫命令轉(zhuǎn)換成固件5能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;d底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;e固件5解析該加密寫操作，啟動(dòng)加解密模塊3對(duì)要寫入的數(shù)據(jù)進(jìn)行加密；f固件5將加密后的數(shù)據(jù)打包，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常寫操作，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的加密寫入；g固件5將加密寫操作結(jié)果和狀態(tài)經(jīng)底層操作系統(tǒng)14、專用驅(qū)動(dòng)程序12和上層操作系統(tǒng)11送回給應(yīng)用程序10;解密讀的操作方法a上層操:作系統(tǒng)11接收應(yīng)用程序10發(fā)送的解密讀命令；b上層操作系統(tǒng)ll將解密讀命令發(fā)送給專用驅(qū)動(dòng)程序12;c專用驅(qū)動(dòng)程序12將解密讀命令轉(zhuǎn)換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;d底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;e固件5解析該解密讀操作，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常讀操作，從移動(dòng)存儲(chǔ)設(shè)備中讀出加密數(shù)據(jù)；f加解密模塊3接收從移動(dòng)存儲(chǔ)設(shè)備中讀出的加密數(shù)據(jù)，固件5啟動(dòng)加解密模塊3進(jìn)行解密操作；g固件5將解密后的數(shù)據(jù)按照主機(jī)接口要求的格式打包；h固件5將解密讀操作結(jié)果和解密后的數(shù)據(jù)底層操作系統(tǒng)14、專用驅(qū)動(dòng)程序12和上層操作系統(tǒng)11送回給應(yīng)用程序10，實(shí)現(xiàn)解密讀；正常寫的操作方法a上層操作系統(tǒng)11接收應(yīng)用程序10發(fā)送的正常寫命令；b上層操作系統(tǒng)11將正常寫命令發(fā)送給通用驅(qū)動(dòng)程序13;c通用驅(qū)動(dòng)程序13將正常寫命令轉(zhuǎn)換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;d底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;e固件5解析正常寫操作，不啟動(dòng)加解密模塊3對(duì)要寫入的數(shù)據(jù)進(jìn)行加密；f固件5將未加密的數(shù)據(jù)打包，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常寫操作，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的正常寫入；g固件5將寫操作結(jié)果和狀態(tài)經(jīng)底層操作系統(tǒng)14、通用驅(qū)動(dòng)程序13和上層操作系統(tǒng)11送回給應(yīng)用程序10;正常讀的操作方法a上層操作系統(tǒng)11接收應(yīng)用程序10發(fā)送的正常讀命令；b上層操作系統(tǒng)11將正常讀命令發(fā)送給通用驅(qū)動(dòng)程序13;c通用驅(qū)動(dòng)程序13將正常讀命令轉(zhuǎn)換成固件5能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;d底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;e固件5解析該正常讀操作，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常讀操作，從移動(dòng)存儲(chǔ)設(shè)備中讀出未加密的數(shù)據(jù)；f固件5不啟動(dòng)加解密模塊3進(jìn)行解密操作；g固件5將移動(dòng)存儲(chǔ)設(shè)備中讀出的正常數(shù)據(jù)按照主機(jī)接口要求的格式打包；h固件5將正常讀操作結(jié)果和數(shù)據(jù)經(jīng)底層操作系統(tǒng)14、通用驅(qū)動(dòng)程序13和上層揚(yáng):作系統(tǒng)11送回給應(yīng)用程序10。一種基于軟硬件協(xié)同實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法，包括加密讀寫操作方法和正常讀寫操作方法；正常讀寫操作方法，與基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的正常讀寫操作方法一致,加密讀寫操作方法的主要步驟為加密寫的操作方法a上層操作系統(tǒng)11接收應(yīng)用程序10發(fā)送的加密寫命令；b上層操作系統(tǒng)11將加密寫命令發(fā)送給專用驅(qū)動(dòng)程序12;c專用驅(qū)動(dòng)程序12啟動(dòng)獲取密鑰命令并轉(zhuǎn)換成固件5能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;d底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;e固件5解析該操作，啟動(dòng)加解密從模塊6獲取加密密鑰；f固件5將加密密鑰按照主機(jī)接口要求格式打包，并通過底層操作系統(tǒng)14送回給專用驅(qū)動(dòng)程序12;g專用驅(qū)動(dòng)程序12啟動(dòng)加解密主模塊8對(duì)將要寫入數(shù)據(jù)進(jìn)行加密操作，并將寫加密后的數(shù)據(jù)進(jìn)行按照正常寫命令換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;h底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;i固件5解析正常寫操作，將已經(jīng)加密的數(shù)據(jù)打包，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常寫操作，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的正常寫入；j固件5將寫操作結(jié)果和狀態(tài)經(jīng)底層操作系統(tǒng)14、通用驅(qū)動(dòng)程序13和上層操:作系統(tǒng)11送回給應(yīng)用程序10;解密讀的操作方法a上層操作系統(tǒng)11接收應(yīng)用程序10發(fā)送的解密讀命令；b上層操作系統(tǒng)11將解密讀命令發(fā)送給專用驅(qū)動(dòng)程序12;c專用驅(qū)動(dòng)程序12將解密讀命令轉(zhuǎn)換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)14;d底層操作系統(tǒng)14將固件5能夠解析的操作通過電路通道傳送給固件5;e固件5解析該解密讀操作，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常讀操作，從移動(dòng)存儲(chǔ)設(shè)備中讀出加密數(shù)據(jù)；同時(shí)啟動(dòng)加解密從模塊6獲取解密密鑰；f固件5將加密數(shù)據(jù)和解密密鑰按照主機(jī)接口要求的格式打包；g固件5將解密讀操作結(jié)果和加密數(shù)據(jù)和解密密鑰的數(shù)據(jù)通過底層操作系統(tǒng)14送回給專用驅(qū)動(dòng)程序12;h專用驅(qū)動(dòng)程序12接收加密數(shù)據(jù)和解密密鑰，并啟動(dòng)加解密主模塊8進(jìn)行解密操作；i專用驅(qū)動(dòng)程序12將解密讀操作結(jié)果和解密后的數(shù)據(jù)經(jīng)上層操作系統(tǒng)11送回給應(yīng)用程序10，實(shí)現(xiàn)解密讀?；谲浻布f(xié)同實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的正常讀寫操作方法103，與基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的正常讀寫操作方法一致。權(quán)利要求1、一種用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，一種用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，包括主機(jī)接口(1)、移動(dòng)存儲(chǔ)設(shè)備接口(2)、加解密模塊(3)、橋接模塊(4)和固件(5)，其特征在于固件(5)分別與主機(jī)接口(1)、移動(dòng)存儲(chǔ)設(shè)備接口(2)、加解密模塊(3)相連，橋接模塊(4)分別與主機(jī)接口(1)、移動(dòng)存儲(chǔ)設(shè)備接口(2)、加解密模塊(3)相連；主機(jī)接口(1)，負(fù)責(zé)通過通用接口與主機(jī)連接，接收由標(biāo)準(zhǔn)傳輸規(guī)范定義的各種命令和數(shù)據(jù)，在保證傳輸規(guī)范定義的時(shí)序操作的基礎(chǔ)上，提供主機(jī)對(duì)安全適配器的訪問通道；移動(dòng)存儲(chǔ)設(shè)備接口(2)，負(fù)責(zé)通過通用接口與移動(dòng)存儲(chǔ)設(shè)備連接，向移動(dòng)存儲(chǔ)設(shè)備發(fā)出由標(biāo)準(zhǔn)傳輸規(guī)范定義的各種命令和數(shù)據(jù)，在保證傳輸規(guī)范定義的時(shí)序操作的基礎(chǔ)上，提供安全適配器對(duì)移動(dòng)存儲(chǔ)設(shè)備的訪問通道；加解密模塊(3)，在固件的控制下對(duì)寫入數(shù)據(jù)進(jìn)行加密，對(duì)讀出數(shù)據(jù)進(jìn)行解密；橋接模塊(4)，負(fù)責(zé)實(shí)現(xiàn)主機(jī)接口和加解密模塊以及加解密模塊和移動(dòng)存儲(chǔ)設(shè)備接口之間的連接，提供相應(yīng)的訪問通道；固件(5)，負(fù)責(zé)接收主機(jī)發(fā)送的符合標(biāo)準(zhǔn)規(guī)范的各種操作命令，并對(duì)其進(jìn)行解析，依照主機(jī)命令啟動(dòng)或不啟動(dòng)加解密模塊對(duì)后續(xù)讀寫數(shù)據(jù)進(jìn)行加解密，并生成符合移動(dòng)存儲(chǔ)設(shè)備標(biāo)準(zhǔn)規(guī)范的各種操作命令，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的實(shí)際讀寫。2、根據(jù)權(quán)利要求l所述的用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，其特征在于所述主機(jī)接口規(guī)范采用并行接口規(guī)范、串行"l妄口規(guī)范、通用串行總線USB接口規(guī)范、PATA接口規(guī)范、SATA接口規(guī)范、ATA/ATAPI接口規(guī)范、PCI/COMPACTPCI接口規(guī)范、PCI-E,接口規(guī)范、Ethernet接口規(guī)范、PCMCIA接口規(guī)范、IEEE1394接口規(guī)范、HDMI接口規(guī)范、SCSI接口規(guī)范、SDI0接口規(guī)范、固C卡接口規(guī)范、DRAM內(nèi)存接口規(guī)范、Flash存儲(chǔ)器接口規(guī)范、SAS接口規(guī)范或FC-PI接口規(guī)范。3、根據(jù)權(quán)利要求l所述的用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，其特征在于所述移動(dòng)存儲(chǔ)設(shè)備接口所采用的連接規(guī)范為USB接口規(guī)范、PATA接口規(guī)范、SATA接口規(guī)范、ATA/ATAPI接口規(guī)范、PCI/C0MPACTPCI接口規(guī)范、PCI-E接口規(guī)范、Ethernet接口規(guī)范、SCSI接口規(guī)范、PCMCIA接口規(guī)范、IEEE1394接口規(guī)范、HDMI接口規(guī)范、SDI0接口規(guī)范、,C卡接口規(guī)范、DRAM內(nèi)存接口規(guī)范、Flash存儲(chǔ)器接口規(guī)范、SAS接口規(guī)范或FC-PI接口規(guī)范。4、根據(jù)權(quán)利要求1所述的用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，其特征在于加解密模塊(3)、橋接模塊(4)和固件(5)采用分離的芯片或?qū)⒓咏饷苣K(3)、橋接模塊(4)和固件(5)集成到一塊芯片中，構(gòu)成一個(gè)片上系統(tǒng)(SoC)。5、根據(jù)權(quán)利要求l所述的用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，其特征在于所述加解密模塊(3)的軟硬件協(xié)同實(shí)現(xiàn)時(shí)，采用主機(jī)中安全適配器專用驅(qū)動(dòng)程序(12)的加解密主模塊和安全適配器加解密從模塊(6)的密鑰管理配合實(shí)現(xiàn)。6、根據(jù)權(quán)利要求1所述的用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器，其特征在于所述加解密模塊(3)采用對(duì)稱密碼算法、序列密碼加密算法或公鑰密碼算法。7、一種基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法，包括加密讀寫操作方法和正常讀寫操作方法；各操作方法的主要步驟為加密寫的操作方法a上層操作系統(tǒng)(11)接收應(yīng)用程序(10)發(fā)送的加密寫命令；b上層操作系統(tǒng)(ll)將加密寫命令發(fā)送給專用驅(qū)動(dòng)程序(12);c專用驅(qū)動(dòng)程序(12)將加密寫命令轉(zhuǎn)換成固件(5)能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);d底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);e固件(5)解析該加密寫操作，啟動(dòng)加解密模塊(3)對(duì)要寫入的數(shù)據(jù)進(jìn)行加密；f固件(5)將加密后的數(shù)據(jù)打包，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常寫操作，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的加密寫入；g固件(5)將加密寫操作結(jié)果和狀態(tài)經(jīng)底層操作系統(tǒng)(14)、專用驅(qū)動(dòng)程序(12)和上層才喿作系統(tǒng)(11)送回給應(yīng)用程序(10);解密讀的操作方法a上層操作系統(tǒng)(11)接收應(yīng)用程序(10)發(fā)送的解密讀命令；b上層操作系統(tǒng)(ll)將解密讀命令發(fā)送給專用驅(qū)動(dòng)程序(12);c專用驅(qū)動(dòng)程序(12)將解密讀命令轉(zhuǎn)換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);d底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);e固件(5)解析該解密讀操作，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常讀操作，從移動(dòng)存儲(chǔ)設(shè)備中讀出加密數(shù)據(jù)；f加解密模塊(3)接收從移動(dòng)存儲(chǔ)設(shè)備中讀出的加密數(shù)據(jù)，固件(5)啟動(dòng)加解密模塊(3)進(jìn)行解密操作；g固件(5)將解密后的數(shù)據(jù)按照主機(jī)接口要求的格式打包；h固件(5)將解密讀操作結(jié)果和解密后的數(shù)據(jù)經(jīng)底層才喿作系統(tǒng)(14)、專用驅(qū)動(dòng)程序(12)和上層操作系統(tǒng)(11)送回給應(yīng)用程序(10),實(shí)現(xiàn)解密讀；正常寫的操作方法a上層操作系統(tǒng)(ll)接收應(yīng)用程序(IO)發(fā)送的正常寫命令；b上層操作系統(tǒng)(11)將正常寫命令發(fā)送給通用驅(qū)動(dòng)程序(13);c通用驅(qū)動(dòng)程序(13)將正常寫命令轉(zhuǎn)換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);d底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);e固件(5)解析正常寫操作，不啟動(dòng)加解密沖莫塊(3)對(duì)要寫入的數(shù)據(jù)進(jìn)行加密；f固件(5)將未加密的數(shù)據(jù)打包，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常寫操作，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的正常寫入；g固件(5)將寫操作結(jié)果和狀態(tài)經(jīng)底層操作系統(tǒng)(14)、通用驅(qū)動(dòng)程序(13)和上層操作系統(tǒng)(11)送回給應(yīng)用程序(10);正常讀的操作方法a上層操作系統(tǒng)(11)接收應(yīng)用程序(10)發(fā)送的正常讀命令；b上層操作系統(tǒng)(ll)將正常讀命令發(fā)送給通用驅(qū)動(dòng)程序(13);c通用驅(qū)動(dòng)程序(13)將正常讀命令轉(zhuǎn)換成固件(5)能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);d底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);e固件(5)解析該正常讀操作，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常讀操作，從移動(dòng)存儲(chǔ)設(shè)備中讀出未加密的數(shù)據(jù)；f固件(5)不啟動(dòng)加解密模塊(3)進(jìn)行解密操作；g固件(5)將移動(dòng)存儲(chǔ)設(shè)備中讀出的正常數(shù)據(jù)按照主機(jī)接口要求的格式打包；h固件(5)將正常讀操作結(jié)果和數(shù)據(jù)經(jīng)底層操作系統(tǒng)(14)、通用驅(qū)動(dòng)程序(13)和上層操作系統(tǒng)(11)送回給應(yīng)用程序(IO)。8、一種基于軟硬件協(xié)同實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的操作方法，包括加密讀寫操作方法和正常讀寫操作方法；正常讀寫操作方法，與基于硬件實(shí)現(xiàn)加解密模塊的移動(dòng)存儲(chǔ)設(shè)備安全適配器裝置的正常讀寫操作方法一致，加密讀寫操作方法的主要步驟為加密寫的操作方法a上層操作系統(tǒng)(11)接收應(yīng)用程序(10)發(fā)送的加密寫命令；b上層操作系統(tǒng)(ll)將加密寫命令發(fā)送給專用驅(qū)動(dòng)程序(12);c專用驅(qū)動(dòng)程序(12)啟動(dòng)獲取密鑰命令并轉(zhuǎn)換成固件(5)能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);d底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);e固件(5)解析該才喿作，啟動(dòng)加解密從模塊(6)獲取加密密鑰；f固件(5)將加密密鑰按照主機(jī)接口要求格式打包，并通過底層操作系統(tǒng)(14)送回給專用驅(qū)動(dòng)程序(12);g專用驅(qū)動(dòng)程序(12)啟動(dòng)加解密主模塊(8)對(duì)將要寫入數(shù)據(jù)進(jìn)行加密操作，并將寫加密后的數(shù)據(jù)進(jìn)行按照正常寫命令換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);h底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);i固件(5)解析正常寫操作，將已經(jīng)加密的數(shù)據(jù)打包，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常寫操作，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的正常寫入；j固件(5)將寫操作結(jié)果和狀態(tài)經(jīng)底層才喿作系統(tǒng)(14)、通用驅(qū)動(dòng)程序(13)和上層操作系統(tǒng)(11)送回給應(yīng)用程序(10);解密讀的操作方法a上層操作系統(tǒng)(ll)接收應(yīng)用程序(10)發(fā)送的解密讀命令；b上層操作系統(tǒng)(ll)將解密讀命令發(fā)送給專用驅(qū)動(dòng)程序(12);c專用驅(qū)動(dòng)程序(12)將解密讀命令轉(zhuǎn)換成固件能夠解析的操作，并發(fā)送給底層操作系統(tǒng)(14);d底層操作系統(tǒng)(14)將固件(5)能夠解析的操作通過電路通道傳送給固件(5);e固件(5)解析該解密讀操作，生成移動(dòng)存儲(chǔ)設(shè)備固件能夠解析的正常讀操作，從移動(dòng)存儲(chǔ)設(shè)備中讀出加密數(shù)據(jù)；同時(shí)啟動(dòng)加解密從模塊(6)獲取解密密鑰；f固件(5)將加密數(shù)據(jù)和解密密鑰按照主機(jī)接口要求的格式打包；g固件(5)將解密讀操作結(jié)果和加密數(shù)據(jù)和解密密鑰的數(shù)據(jù)通過底層操作系統(tǒng)(14)送回給專用驅(qū)動(dòng)程序(12);h專用驅(qū)動(dòng)程序(12)接收加密數(shù)據(jù)和解密密鑰，并啟動(dòng)加解密主模塊(8)進(jìn)行解密操作；i專用驅(qū)動(dòng)程序(12)將解密讀操作結(jié)果和解密后的數(shù)據(jù)經(jīng)上層操作系統(tǒng)(11)送回癥會(huì)應(yīng)用程序(IO),實(shí)現(xiàn)解密讀。全文摘要本發(fā)明涉及一種用于移動(dòng)存儲(chǔ)設(shè)備的安全適配器及其操作方法，該安全適配器包括主機(jī)接口、移動(dòng)設(shè)備接口、加解密模塊、橋接模塊和固件，固件分別與主機(jī)接口、移動(dòng)存儲(chǔ)設(shè)備接口、加解密模塊相連，橋接模塊分別與主機(jī)接口、移動(dòng)存儲(chǔ)設(shè)備接口、加解密模塊相連；基于該安全適配器的操作方法包括加解密讀寫操作和正常讀寫操作，加解密讀寫操作通過專用的驅(qū)動(dòng)程序向安全適配器發(fā)出讀寫命令，由固件解析讀寫命令，啟動(dòng)加解密模塊對(duì)讀寫的數(shù)據(jù)進(jìn)行加解密，否則不啟動(dòng)加解密模塊，實(shí)現(xiàn)對(duì)普通移動(dòng)存儲(chǔ)設(shè)備的正常非加解密讀寫。本發(fā)明將加解密模塊從安全移動(dòng)存儲(chǔ)設(shè)備端移至適配器和主機(jī)端，通過一個(gè)安全適配器即可實(shí)現(xiàn)對(duì)多個(gè)普通移動(dòng)存儲(chǔ)設(shè)備的加解密存儲(chǔ)，便于管理。文檔編號(hào)G06F12/14GK101349999SQ200810196938公開日2009年1月21日申請(qǐng)日期2008年9月12日優(yōu)先權(quán)日2008年9月12日發(fā)明者葵戴申請(qǐng)人:葵戴