一種加密固態(tài)存儲盤的制作方法
【專利摘要】本發(fā)明提供了一種加密固態(tài)存儲盤����,該盤具有身份認證和數(shù)據(jù)加密的功能,包括通訊接口���、數(shù)據(jù)加解密控制模塊����、身份認證及密鑰管理模塊、身份輸入裝置和固態(tài)存儲介質(zhì)���;所述數(shù)據(jù)加解密控制模塊與所述通訊接口�、身份認證及密鑰管理模塊和固態(tài)存儲介質(zhì)相連接�,數(shù)據(jù)存入時,所述數(shù)據(jù)加解密控制模塊從通訊接口獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊獲取的加解密密鑰對該數(shù)據(jù)進行加密后存入固態(tài)存儲介質(zhì)��;讀取數(shù)據(jù)時�����,所述數(shù)據(jù)加解密控制模塊從固態(tài)存儲介質(zhì)獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊獲取的加解密密鑰對該數(shù)據(jù)進行解密后發(fā)送給通訊接口�。采用本發(fā)明的技術(shù)方案�����,極大提升了加密固態(tài)存儲盤中數(shù)據(jù)加密的安全等級�����。
【專利說明】—種加密固態(tài)存儲盤
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)存儲和數(shù)據(jù)安全領(lǐng)域�,特別涉及一種加密固態(tài)存儲盤。
【背景技術(shù)】
[0002]一直以來,計算機存儲裝置(存儲盤)的數(shù)據(jù)安全備受關(guān)注�����,市場上也陸續(xù)推出了各種具有加密功能的存儲盤����,比如加密存儲卡、加密U盤�、加密硬盤等。
[0003]對于加密系統(tǒng)來說���,密鑰管理是最薄弱也是最關(guān)鍵的一個環(huán)節(jié)���,密鑰的泄露將直接導(dǎo)致數(shù)據(jù)的泄露。密鑰管理包括密鑰的產(chǎn)生����、存儲、傳輸和保護等基本環(huán)節(jié)��,從密鑰管理竊取機密比用破譯的方法要花費的代價要小得多�,所以對密鑰的管理和保護格外重要。
[0004]目前��,市場的加密存儲盤在數(shù)據(jù)加密的密鑰⑷管理方面存在如下技術(shù)問題:
[0005](一)密鑰(K)和加解密模塊一體,使密鑰管理形同虛設(shè)����;
[0006]( 二)將密鑰⑷與加密的數(shù)據(jù)存儲在一起,導(dǎo)致了密鑰的不安全����;
[0007](三)密鑰(K)未加密存儲,使密鑰容易被惡意破解�����;
[0008](四)在密鑰的通訊傳輸方面��,也缺乏有效的保密措施����,從而使得密鑰在傳輸通道上呈現(xiàn)透明狀態(tài),易受到偵測和破獲���。
[0009]總之,由于在密鑰管理和保密方面存在問題���,導(dǎo)致加密存儲盤的安全等級降低����,難以滿足更高安全等級的市場需求。
[0010]故�,針對目前現(xiàn)有技術(shù)中存在的上述缺陷,實有必要進行研究�,以提供一種方案,解決現(xiàn)有技術(shù)中存在的缺陷����,提供一種高安全等級的加密固態(tài)存儲盤。
【發(fā)明內(nèi)容】
[0011]為了克服上述現(xiàn)有技術(shù)的缺陷����,本發(fā)明提供了一種將數(shù)據(jù)加密和密鑰管理分離的加密固態(tài)存儲盤,從而極大極高了加密固態(tài)存儲盤的安全性能��。
[0012]為解決現(xiàn)有技術(shù)存在的問題�����,本發(fā)明的技術(shù)方案為:
[0013]一種加密固態(tài)存儲盤�����,該盤具有身份認證和數(shù)據(jù)加密的功能�,包括通訊接口�、數(shù)據(jù)加解密控制模塊�����、身份認證及密鑰管理模塊�����、身份輸入裝置和固態(tài)存儲介質(zhì)�����;
[0014]所述通訊接口與外部計算機相連接�����,用于與外部計算機進行數(shù)據(jù)通訊�;
[0015]所述身份輸入裝置用于采集用戶輸入的身份信息;
[0016]所述身份認證及密鑰管理模塊用于接收所述身份輸入裝置所采集的身份信息�,與預(yù)先存儲在其內(nèi)的用戶身份信息進行身份認證,并在身份認證通過后將存儲在其內(nèi)的加解密密鑰發(fā)送給所述數(shù)據(jù)加解密控制模塊�;
[0017]所述固態(tài)存儲介質(zhì)用于存儲經(jīng)加密后的數(shù)據(jù);
[0018]所述數(shù)據(jù)加解密控制模塊與所述通訊接口����、身份認證及密鑰管理模塊和固態(tài)存儲介質(zhì)相連接,數(shù)據(jù)存入時����,所述數(shù)據(jù)加解密控制模塊從通訊接口獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊獲取的加解密密鑰對該數(shù)據(jù)進行加密后存入固態(tài)存儲介質(zhì);
[0019]讀取數(shù)據(jù)時�����,所述數(shù)據(jù)加解密控制模塊從固態(tài)存儲介質(zhì)獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊獲取的加解密密鑰對該數(shù)據(jù)進行解密后發(fā)送給通訊接口����。
[0020]優(yōu)選地,所述數(shù)據(jù)加解密控制模塊包括控制模塊���、數(shù)據(jù)緩沖器�����、通訊接口�����、加解密硬件模塊和密鑰緩沖器���,其中���,
[0021]所述通訊接口用于與身份認證及密鑰管理模塊進行數(shù)據(jù)通訊,接收所述密鑰管理模塊發(fā)送的加解密密鑰��;
[0022]所述控制模塊與所述數(shù)據(jù)緩沖器�����、通訊接口���、加解密硬件模塊和密鑰緩沖器相連接���,用于控制數(shù)據(jù)加解密控制模塊內(nèi)各個模塊之間的操作;
[0023]所述加解密硬件模塊用于對數(shù)據(jù)進行加解密操作���;
[0024]所述數(shù)據(jù)緩沖器用于緩存數(shù)據(jù)信息���;
[0025]所述密鑰緩沖器為易失存儲器,用于存儲加解密密鑰�。
[0026]優(yōu)選地,所述身份認證及密鑰管理模塊包括通訊接口�、數(shù)據(jù)緩沖器、處理器、隨機數(shù)產(chǎn)生器����、身份認證模塊和非易失存儲介質(zhì)��,其中��,
[0027]所述通訊接口用于與數(shù)據(jù)加解密控制模塊進行數(shù)據(jù)通訊����,將加解密密鑰發(fā)送給所述數(shù)據(jù)加解密控制模塊;
[0028]所述數(shù)據(jù)緩沖器用于緩存數(shù)據(jù)信息��;
[0029]所述非易失存儲介質(zhì)包括密鑰存儲區(qū)和身份信息存儲區(qū)�����,所述密鑰存儲區(qū)用于存儲加解密密鑰��;所述身份信息存儲區(qū)用于存儲用戶身份信息�����;
[0030]所述身份認證模塊用于接收身份輸入裝置所采集的身份信息�,與存儲在所述非易失存儲介質(zhì)內(nèi)的身份信息進行身份認證;
[0031]所述處理器與所述數(shù)據(jù)緩沖器��、非易失存儲介質(zhì)、隨機數(shù)產(chǎn)生器和身份認證模塊相連接�,用于根據(jù)所述身份認證模塊的結(jié)果控制所述加解密密鑰的發(fā)送;
[0032]所述隨機數(shù)產(chǎn)生器用于隨機產(chǎn)生一串字符��;
[0033]所述加解密密鑰為初次使用時由所述隨機數(shù)產(chǎn)生器隨機產(chǎn)生并存儲在所述密鑰存儲區(qū)���。
[0034]優(yōu)選地�����,所述身份認證及密鑰管理模塊還包括加密模塊�,所述加密模塊與處理器相連接���,用于將加解密密鑰和用戶身份信息進行加密后再存儲在所述非易失存儲介質(zhì)中����。
[0035]優(yōu)選地�,所述身份認證及密鑰管理模塊還包括隨機化處理模塊,所述隨機化處理模塊與處理器��、隨機數(shù)產(chǎn)生器和數(shù)據(jù)緩沖器相連接����,用于根據(jù)所述隨機數(shù)產(chǎn)生器所產(chǎn)生的隨機字符將加解密密鑰進行隨機化算法處理后再發(fā)送給數(shù)據(jù)加解密控制模塊�。
[0036]優(yōu)選地����,所述數(shù)據(jù)加解密控制模塊還包括反隨機化處理模塊,所述反隨機化處理模塊與控制模塊相連接�,用于將從所述身份認證及密鑰管理模塊接收到的數(shù)據(jù)進行反隨機化算法處理后獲取加解密密鑰。
[0037]優(yōu)選地�,所述通訊接口采用如下常用的接口之一:USB����、PATA/SATA、SAS�����、PCIE�、SD或者MMC。
[0038]優(yōu)選地�,所述身份輸入裝置為按鍵模塊或生物特征傳感器;所述生物特征傳感器為指紋傳感器或虹膜傳感器���。
[0039]優(yōu)選地����,所述固態(tài)存儲介質(zhì)為半導(dǎo)體為基本材料的非揮發(fā)性存儲器,為閃存(FLASH)�、相變存儲器(PRAM)、SD或eMMC存儲模塊中的任一種����。
[0040]優(yōu)選地,所述加解密硬件模塊由硬件電路實現(xiàn)的����,其內(nèi)置的加解密算法采用國內(nèi)外普遍使用的如下加密算法之一:AES、RSA�����、ECC�����、DES/3/DES�、SHA, GOST、國密算法或其他用戶自定義的加解密算法�。
[0041]與現(xiàn)有技術(shù)相比,本發(fā)明的一種加密固態(tài)存儲盤��,在密鑰的生產(chǎn)、存儲���、傳輸和使用等關(guān)鍵環(huán)節(jié)實施了保護措施:通過隨機數(shù)產(chǎn)生器生成的真隨機數(shù)作為密鑰��,任何人無法獲知具體密鑰信息�����;在密鑰(K)的存儲方面����,通過內(nèi)置高強度的加密算法的加密模塊對密鑰進行加密后再保存�����,即使芯片被惡意破解(例如芯片物理去蓋�、腐蝕����、染色拍照等)也只能得到加密后的密鑰數(shù)據(jù),無法獲得真實的密鑰����;在密鑰的傳輸環(huán)節(jié)����,通過隨機化處理模塊將密鑰進行隨機數(shù)混合或CBC模式加密處理后再進行傳輸���,使得傳輸通道的密鑰數(shù)據(jù)為隨機數(shù)�����,無法進行窮舉等惡意破解���,有效地保證了傳輸通道上的密鑰安全性;在密鑰的使用環(huán)節(jié)�,密鑰(K)暫存在數(shù)據(jù)緩存器中,掉電即失����。總之����,采用本發(fā)明的技術(shù)方案,極大提升了加密固態(tài)存儲盤中數(shù)據(jù)加密的安全等級��。
【專利附圖】
【附圖說明】
[0042]圖1是本發(fā)明加密固態(tài)存儲盤的原理框圖�����;
[0043]圖2是圖1中數(shù)據(jù)加解密控制模塊的原理框圖;
[0044]圖3是圖1中身份認證及密鑰管理模塊的原理框圖����;
[0045]圖4是圖1中身份認證及密鑰管理模塊另一種實施方式的原理框圖;
[0046]圖5是圖1中數(shù)據(jù)加解密控制模塊另一種實施方式的原理框圖�。
【具體實施方式】
[0047]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白����,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明�����。應(yīng)當理解�,此處所描述的具體實施例僅僅用以解釋本發(fā)明�����,并不用于限定本發(fā)明���。
[0048]相反�,本發(fā)明涵蓋任何由權(quán)利要求定義的在本發(fā)明的精髓和范圍上做的替代、修改����、等效方法以及方案。進一步����,為了使公眾對本發(fā)明有更好的了解,在下文對本發(fā)明的細節(jié)描述中�,詳盡描述了一些特定的細節(jié)部分。對本領(lǐng)域技術(shù)人員來說沒有這些細節(jié)部分的描述也可以完全理解本發(fā)明�。
[0049]參見圖1,所示為本發(fā)明加密固態(tài)存儲盤的原理框圖����,該盤具有身份認證和數(shù)據(jù)加密的功能,包括通訊接口(11)���、數(shù)據(jù)加解密控制模塊(12)�、身份認證及密鑰管理模塊(13)�����、身份輸入裝置(14)和固態(tài)存儲介質(zhì)(15)�����;
[0050]通訊接口(11)與外部計算機相連接,用于與外部計算機進行數(shù)據(jù)通訊���;接收外部計算機的數(shù)據(jù)信息并發(fā)送給數(shù)據(jù)加解密控制模塊(12)�����,或?qū)⒔?jīng)數(shù)據(jù)加解密控制模塊(12)處理后的數(shù)據(jù)信息發(fā)送給外部計算機�����。通訊接口(11)選用現(xiàn)有技術(shù)中標準的接口模塊����,可以采用如下常用的接口之一:USB�����、PATA/SATA��、SAS�����、PCIE����、SD或者MMC。
[0051]身份輸入裝置(14)用于采集用戶輸入的身份信息���,其與身份認證及密鑰管理模塊(13)相連接����,并將采集的身份信息發(fā)送給身份認證及密鑰管理模塊(13)����。身份輸入裝置
(14)為生物特征傳感器或按鍵模塊。按鍵模塊可以接收來自按鍵密碼的身份輸入��;生物特征傳感器為來自生物特征傳感器的指紋��、聲紋等傳感器����。
[0052]身份認證及密鑰管理模塊(13)用于接收所述身份輸入裝置(14)所采集的身份信息;在其內(nèi)預(yù)先存儲用戶的身份信息����,該身份信息可以由用戶在初次配置加密固態(tài)存儲盤
(I)時輸入��;身份認證及密鑰管理模塊(13)在獲取輸入的身份信息后����,與預(yù)先存儲在其內(nèi)的用戶身份信息進行身份認證�����,身份認證的過程即為比較預(yù)先存儲的身份信息與用戶輸入的身份信息是否完全匹配�,若身份信息匹配,則身份認證通過�,否則身份認證失敗。在身份認證通過后���,身份認證及密鑰管理模塊(13)將存儲在其內(nèi)的加解密密鑰發(fā)送給數(shù)據(jù)加解密控制模塊(12)����。
[0053]身份認證及密鑰管理模塊(13)中存儲數(shù)據(jù)加解密控制模塊(12)的加解密密鑰���,因此���,在未獲取加解密密鑰的情況下,數(shù)據(jù)加解密控制模塊(12)無法正常進行加解密操作,而身份認證及密鑰管理模塊(13)只有在身份認證通過�����,才將加解密密鑰發(fā)送給數(shù)據(jù)加解密控制模塊(12)�����。通過該技術(shù)手段��,使數(shù)據(jù)加密和密鑰管理分離�,大大提升了加密固態(tài)存儲盤中數(shù)據(jù)加密的安全等級���。
[0054]固態(tài)存儲介質(zhì)(15)用于存儲經(jīng)加密后的數(shù)據(jù)�����,固態(tài)存儲介質(zhì)(15)為半導(dǎo)體為基本材料的非揮發(fā)性存儲器����,為閃存(FLASH)��、相變存儲器(PRAM)��、SD或eMMC存儲模塊中的任一種。
[0055]數(shù)據(jù)加解密控制模塊(12)與所述通訊接口(11)����、身份認證及密鑰管理模塊(13)和固態(tài)存儲介質(zhì)(15)相連接,數(shù)據(jù)存入時���,所述數(shù)據(jù)加解密控制模塊(12)從通訊接口(11)獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊(13)獲取的加解密密鑰對該數(shù)據(jù)進行加密后存入固態(tài)存儲介質(zhì)(15)��;
[0056]讀取數(shù)據(jù)時�,所述數(shù)據(jù)加解密控制模塊(12)從固態(tài)存儲介質(zhì)(15)獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊(13)獲取的加解密密鑰對該數(shù)據(jù)進行解密后發(fā)送給通訊接口(11)���。
[0057]參見圖2�����,所示為圖1中數(shù)據(jù)加解密控制模塊的原理框圖��,數(shù)據(jù)加解密控制模塊
(12)進一步包括控制模塊(121)����、數(shù)據(jù)緩沖器(122)�、通訊接口(123)、加解密硬件模塊(124)和密鑰緩沖器(125)��,其中,
[0058]通訊接口(123)用于與身份認證及密鑰管理模塊(13)進行數(shù)據(jù)通訊�,主要用于接收所述密鑰管理模塊(13)發(fā)送的加解密密鑰;通訊接口(11)選用現(xiàn)有技術(shù)中標準的接口模塊�����,可以采用如下常用的接口之一:USB�����、PATA/SATA�、SAS����、PCIE、SD或者MMC�。
[0059]控制模塊(121)與所述數(shù)據(jù)緩沖器(122)、通訊接口(123)����、加解密硬件模塊(124)和密鑰緩沖器(125)相連接,控制模塊(121)為數(shù)據(jù)信息處理的中心�����,控制數(shù)據(jù)加解密控制模塊(12)內(nèi)各個模塊之間的操作;
[0060]加解密硬件模塊(124)用于在控制模塊(121)的控制下對數(shù)據(jù)進行加解密操作��,加解密硬件模塊(124)由硬件電路實現(xiàn)的�����,其內(nèi)置的加解密算法采用國內(nèi)外普遍使用的如下加密算法之一:AES��、RSA���、ECC�����、DES/3/DES�����、SHA��、G0ST���、國密算法或其他用戶自定義的加解密算法。
[0061]數(shù)據(jù)緩沖器(122)用于緩存數(shù)據(jù)信息�;
[0062]密鑰緩沖器(125)用于存儲加解密密鑰�,為掉電易失存儲器����,因此,數(shù)據(jù)加解密算法模塊(11)中只是臨時保存密鑰����,一旦掉電,密鑰緩沖器(125)中的密鑰將消失��。
[0063]參見圖3��,所示為圖1中身份認證及密鑰管理模塊的原理框圖�����,身份認證及密鑰管理模塊(13)進一步包括通訊接口(131)��、數(shù)據(jù)緩沖器(132)���、處理器(133)、隨機數(shù)產(chǎn)生器(134)�、身份認證模塊(135)和非易失存儲介質(zhì)(136),其中��,
[0064]通訊接口(131)用于與數(shù)據(jù)加解密控制模塊(12)進行數(shù)據(jù)通訊,主要用于將加解密密鑰發(fā)送給所述數(shù)據(jù)加解密控制模塊(12);通訊接口(131)選用現(xiàn)有技術(shù)中標準的接口模塊�,可以采用如下常用的接口之一:USB、PATA/SATA���、SAS�、PCIE�、SD或者MMC。
[0065]數(shù)據(jù)緩沖器(132)用于緩存數(shù)據(jù)信息��;
[0066]非易失存儲介質(zhì)(136)包括密鑰存儲區(qū)(137)和身份信息存儲區(qū)(138)����,密鑰存儲區(qū)(137)用于存儲加解密密鑰;身份信息存儲區(qū)(138)用于存儲用戶身份信息��;非易失存儲介質(zhì)(136)內(nèi)置于身份認證及密鑰管理模塊(13)���,從而將加解密密鑰和用戶身份信息等私密信息和固態(tài)存儲介質(zhì)(15)內(nèi)數(shù)據(jù)信息分離�,使加解密密鑰和用戶身份信息等私密信息的存儲更為安全����。
[0067]身份認證模塊(135)用于接收身份輸入裝置(14)所采集的身份信息,與存儲在所述非易失存儲介質(zhì)(136)內(nèi)的身份信息進行身份認證�;在處理器(133)的控制下�,身份認證模塊(135)獲取用戶輸入的身份信息和存儲在非易失存儲介質(zhì)(136)內(nèi)的身份信息���,并將兩者進行信息匹配����,如匹配完全一致�,則身份認證通過,向處理器(133)發(fā)送身份認證成功的信號�。
[0068]處理器(133)與所述數(shù)據(jù)緩沖器(132)、非易失存儲介質(zhì)(136)��、隨機數(shù)產(chǎn)生器(134)和身份認證模塊(135)相連接�����,是數(shù)據(jù)處理和控制的中心���,控制身份認證及密鑰管理模塊(13)內(nèi)各個模塊之間的操作,根據(jù)所述身份認證模塊(135)的結(jié)果控制所述加解密密鑰的發(fā)送�,即接收到身份認證模塊(135)發(fā)送的身份認證成功的信號后,將存儲在非易失存儲介質(zhì)(136)中的加解密密鑰發(fā)送給數(shù)據(jù)加解密控制模塊(12)��。
[0069]隨機數(shù)產(chǎn)生器(134)用于隨機產(chǎn)生一串字符����;
[0070]所述加解密密鑰為初次使用時由所述隨機數(shù)產(chǎn)生器(134)隨機產(chǎn)生并存儲在所述密鑰存儲區(qū)(137)���。通過隨機數(shù)產(chǎn)生器(134)產(chǎn)生真隨機數(shù)的方式生成密鑰(K),任何人包括用戶本人都無法獲取具體密鑰(K)信息�,從而進一步保證了密鑰的安全性。
[0071]在上述技術(shù)方案中����,密鑰(K)未加密存儲,即直接存儲在非易失存儲介質(zhì)(136)中��,如果對芯片進行惡意破解(例如芯片物理去蓋�、腐蝕、染色拍照等)��,密鑰(K)將被盜取�。為解決上述技術(shù)問題,本發(fā)明提出一種優(yōu)選實施方式�。參見圖4,所示為圖1中身份認證及密鑰管理模塊另一種實施方式的原理框圖�����,身份認證及密鑰管理模塊(13)還包括加密模塊(137),加密模塊(137)與處理器(133)相連接�,用于將加解密密鑰和用戶身份信息進行加密后再存儲在所述非易失存儲介質(zhì)(136)中。也即存儲在非易失存儲介質(zhì)(136)中的加解密密鑰(K)和用戶身份信息都是經(jīng)過加密模塊(137)加密后再存儲����,這樣,即使芯片被惡意破解(例如芯片物理去蓋��、腐蝕����、染色拍照等)也只能得到加密后的密鑰數(shù)據(jù),無法獲得真實的密鑰��,進一步提升了密鑰存儲的安全性�。
[0072]相應(yīng)的,處理器(133)將存儲在非易失存儲介質(zhì)(136)中的加解密密鑰先進行解密后再發(fā)送給數(shù)據(jù)加解密控制模塊(12)���。
[0073]在一種優(yōu)選實施方式中,加密模塊(137)采用SM4加密算法����。
[0074]在上述技術(shù)方案中,在密鑰的通訊傳輸方面缺乏有效的保密措施����,密鑰在傳輸通道上呈現(xiàn)透明狀態(tài)���,若采用偵測傳輸通道上數(shù)據(jù)信號的方式,還是破獲密鑰���。為了解決上述技術(shù)問題����,本發(fā)明提出了一種優(yōu)選實施方式�����,身份認證及密鑰管理模塊(13)還包括隨機化處理模塊(138)���,隨機化處理模塊(138)與處理器(133)����、隨機數(shù)產(chǎn)生器(134)和數(shù)據(jù)緩沖器(132)相連接���,用于根據(jù)所述隨機數(shù)產(chǎn)生器(134)所產(chǎn)生的隨機字符將加解密密鑰進行隨機化算法處理后再發(fā)送給數(shù)據(jù)加解密控制模塊(12)��。隨機數(shù)產(chǎn)生器(134)每次密鑰傳輸都產(chǎn)生不同的隨機字符(RN)���,隨機化處理模塊(138)內(nèi)置特定的算法���,在處理器(133)的控制下,將隨機字符(RN)和密鑰(K)按特定的算法混合在一起形成保密密鑰(SK)后再發(fā)送給數(shù)據(jù)加解密算法模塊����。因此,在傳輸通道上傳輸?shù)谋C苊荑€(SK)在每次傳輸中都是不一樣的�,即便偵測到傳輸通道上的數(shù)據(jù)信息,也無法破獲密鑰�����。
[0075]相應(yīng)的�����,參見圖5��,所示為圖1中數(shù)據(jù)加解密控制模塊另一種實施方式的原理框圖��,數(shù)據(jù)加解密控制模塊(12)還包括反隨機化處理模塊(126)����,反隨機化處理模塊(126)與控制模塊(121)相連接,用于將從所述身份認證及密鑰管理模塊(13)接收到的數(shù)據(jù)進行反隨機化算法處理后獲取加解密密鑰����。反隨機化處理模塊(126)與隨機化處理模塊(138)是相對應(yīng)的,按約定的算法對接收到的保密密鑰(SK)進行處理�,去除RN,獲得密鑰(K)�。
[0076]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進等�����,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)��。
【權(quán)利要求】
1.一種加密固態(tài)存儲盤����,其特征在于,該盤具有身份認證和數(shù)據(jù)加密的功能�����,包括通訊接口(11)、數(shù)據(jù)加解密控制模塊(12)���、身份認證及密鑰管理模塊(13)���、身份輸入裝置(14)和固態(tài)存儲介質(zhì)(15); 所述通訊接口(11)與外部計算機相連接,用于與外部計算機進行數(shù)據(jù)通訊�; 所述身份輸入裝置(14)用于采集用戶輸入的身份信息; 所述身份認證及密鑰管理模塊(13)用于接收所述身份輸入裝置(14)所采集的身份信息���,與預(yù)先存儲在其內(nèi)的用戶身份信息進行身份認證���,并在身份認證通過后將存儲在其內(nèi)的加解密密鑰發(fā)送給所述數(shù)據(jù)加解密控制模塊(12); 所述固態(tài)存儲介質(zhì)(15)用于存儲經(jīng)加密后的數(shù)據(jù)�; 所述數(shù)據(jù)加解密控制模塊(12)與所述通訊接口(11)、身份認證及密鑰管理模塊(13)和固態(tài)存儲介質(zhì)(15)相連接�,數(shù)據(jù)存入時,所述數(shù)據(jù)加解密控制模塊(12)從通訊接口(11)獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊(13)獲取的加解密密鑰對該數(shù)據(jù)進行加密后存入固態(tài)存儲介質(zhì)(15)��; 讀取數(shù)據(jù)時�,所述數(shù)據(jù)加解密控制模塊(12)從固態(tài)存儲介質(zhì)(15)獲取數(shù)據(jù)并根據(jù)從身份認證及密鑰管理模塊(13)獲取的加解密密鑰對該數(shù)據(jù)進行解密后發(fā)送給通訊接口(11)。
2.根據(jù)權(quán)利要求1所述的加密固態(tài)存儲盤�,其特征在于�,所述數(shù)據(jù)加解密控制模塊(12)包括控制模塊(121)�����、數(shù)據(jù)緩沖器(122)��、通訊接口(123)���、加解密硬件模塊(124)和密鑰緩沖器(125),其中���, 所述通訊接口(123)用于與身份認證及密鑰管理模塊(13)進行數(shù)據(jù)通訊�,接收所述密鑰管理模塊(13)發(fā)送的加解密密鑰��; 所述控制模塊(121)與所述數(shù)據(jù)緩沖器(122)��、通訊接口(123)�����、加解密硬件模塊(124)和密鑰緩沖器(125)相連接��,用于控制數(shù)據(jù)加解密控制模塊(12)內(nèi)各個模塊之間的操作����;所述加解密硬件模塊(124)用于對數(shù)據(jù)進行加解密操作��; 所述數(shù)據(jù)緩沖器(122)用于緩存數(shù)據(jù)信息�; 所述密鑰緩沖器(125)為易失存儲器��,用于存儲加解密密鑰�。
3.根據(jù)權(quán)利要求1所述的加密固態(tài)存儲盤,其特征在于�,所述身份認證及密鑰管理模塊(13)包括通訊接口(131)、數(shù)據(jù)緩沖器(132)��、處理器(133)��、隨機數(shù)產(chǎn)生器(134)�、身份認證模塊(135)和非易失存儲介質(zhì)(136),其中��, 所述通訊接口(131)用于與數(shù)據(jù)加解密控制模塊(12)進行數(shù)據(jù)通訊����,將加解密密鑰發(fā)送給所述數(shù)據(jù)加解密控制模塊(12); 所述數(shù)據(jù)緩沖器(132)用于緩存數(shù)據(jù)信息�����; 所述非易失存儲介質(zhì)(136)包括密鑰存儲區(qū)(137)和身份信息存儲區(qū)(138),所述密鑰存儲區(qū)(137)用于存儲加解密密鑰�����;所述身份信息存儲區(qū)(138)用于存儲用戶身份信息��;所述身份認證模塊(135)用于接收身份輸入裝置(14)所采集的身份信息�,與存儲在所述非易失存儲介質(zhì)(136)內(nèi)的身份信息進行身份認證���; 所述處理器(133)與所述數(shù)據(jù)緩沖器(132)���、非易失存儲介質(zhì)(136)、隨機數(shù)產(chǎn)生器(134)和身份認證模塊(135)相連接�����,用于根據(jù)所述身份認證模塊(135)的結(jié)果控制所述加解密密鑰的發(fā)送�����; 所述隨機數(shù)產(chǎn)生器(134)用于隨機產(chǎn)生一串字符�; 所述加解密密鑰為初次使用時由所述隨機數(shù)產(chǎn)生器(134)隨機產(chǎn)生并存儲在所述密鑰存儲區(qū)(137)。
4.根據(jù)權(quán)利要求3所述的加密固態(tài)存儲盤����,其特征在于�����,所述身份認證及密鑰管理模塊(13)還包括加密模塊(137)�,所述加密模塊(137)與處理器(133)相連接�,用于將加解密密鑰和用戶身份信息進行加密后再存儲在所述非易失存儲介質(zhì)(136)中。
5.根據(jù)權(quán)利要求3或4所述的加密固態(tài)存儲盤�����,其特征在于�����,所述身份認證及密鑰管理模塊(13)還包括隨機化處理模塊(138)����,所述隨機化處理模塊(138)與處理器(133)、隨機數(shù)產(chǎn)生器(134)和數(shù)據(jù)緩沖器(132)相連接�,用于根據(jù)所述隨機數(shù)產(chǎn)生器(134)所產(chǎn)生的隨機字符將加解密密鑰進行隨機化算法處理后再發(fā)送給數(shù)據(jù)加解密控制模塊(12)。
6.根據(jù)權(quán)利要求1所述的加密固態(tài)存儲盤�,其特征在于,所述數(shù)據(jù)加解密控制模塊(12)還包括反隨機化處理模塊(126),所述反隨機化處理模塊(126)與控制模塊(121)相連接����,用于將從所述身份認證及密鑰管理模塊(13)接收到的數(shù)據(jù)進行反隨機化算法處理后獲取加解密密鑰。
7.根據(jù)權(quán)利要求1所述的加密固態(tài)存儲盤�����,其特征在于�����,所述通訊接口(11)采用如下常用的接 口之一:USB���、PATA/SATA、SAS���、PCIE��、SD 或者 MMC�。
8.根據(jù)權(quán)利要求1所述的加密固態(tài)存儲盤�,其特征在于,所述身份輸入裝置(14)為按鍵模塊或生物特征傳感器���;所述生物特征傳感器為指紋傳感器或虹膜傳感器�����。
9.根據(jù)權(quán)利要求1所述的加密固態(tài)存儲盤�����,其特征在于��,所述固態(tài)存儲介質(zhì)(15)為半導(dǎo)體為基本材料的非揮發(fā)性存儲器�,為閃存(FLASH)、相變存儲器(PRAM)����、SD或eMMC存儲模塊中的任一種。
10.根據(jù)權(quán)利要求2所述的加密固態(tài)存儲盤���,其特征在于���,所述加解密硬件模塊(124)由硬件電路實現(xiàn)的,其內(nèi)置的加解密算法采用國內(nèi)外普遍使用的如下加密算法之一:AES��、RSA�����、ECC、DES/3/DES��、SHA, GOST�、國密算法或其他用戶自定義的加解密算法。
【文檔編號】G06F21/79GK104239821SQ201410488492
【公開日】2014年12月24日 申請日期:2014年9月22日 優(yōu)先權(quán)日:2014年9月22日
【發(fā)明者】劉海鑾 申請人:杭州華瀾微科技有限公司