专利名称:移动加密存储设备及密文存储区数据加解密处理方法
技术领域:
本发明涉及一种存储设备及加密处理方法,尤其是一种移动加密存储 设备及密文存储区数据加解密处理方法。
背景技术:
随着网络化和信息技术的飞速发展,信息安全越来越受到人们的重 视,数据存储的加解密技术也随着时代不断发展着。目前移动存储设备已
经成为用户存储数据的常用设备。常见的移动存储设备包括移动硬盘、u 盘等存储设备。
目前市面上比较流行的几种存储加密方法1、文件级加密;2、数据 库级加密;3、介质级加密;4、嵌入式加密设备;5、应用加密。在介质 级加密方案中,用户出于安全考虑,需要对机密数据及文件进行加密处理, 并保存在移动存储设备的加密分区中。数据加解密过程就是通过一定的加 解密算法、正确相应的密钥来实现对机密数据文件的读写、删除、保护等 操作。加解密处理一般有两种方案 一种是软件加解密方案,另一种是硬 件加解密方案。
带来了很多不便;同时由于软 件加解密完全是在计算机端完成的,因此可靠性不高,但加解密速度较快, 硬件加解密需要在硬件芯片中完成,因此可靠性很高,但加解密速度较慢。
发明内容
本发明目的是提供一种移动加密存储设备及密文存储区数据加解密
处理方法,在与计算机进行数据传输时,减少占用计算机USB接口的数量 同时能够提高工作速度和存储数据的安全性,并降低硬件成本。
为达到上述目的,本发明提供了一种移动加密存储设备,它包括移动 存储区、加密钥匙设备和连接移动存储区与加密钥匙设备的通用串行总线 集线器,所述通用串行总线集线器和移动存储区封装在主机体内;所述主 机体上有至少两个与所述通用串行总线集线器连接的通用串行总线接口, 其中一个为用于与计算机连接的通用串行总线接口 , 一个为用于与加密钥 匙设备连接的通用串行总线接口 。
为达到上述目的,本发明还提供了一种密文存储区数据加解密处理方 法,包括以下步骤
101、 计算机端检测到与所述加密钥匙设备相连的移动存储区后,启 动计算机端的加密管理软件;
102、 加密管理软件触发计算机端的操作系统载入密文存储区的数据, 加密管理软件从密文存储区的头文件中获取对称密钥的密文并发送给所 述加密钥匙设备;
103、 所述加密钥匙设备通过私钥对所述对称密钥的密文进行解密, 得到对称密钥,并发送给计算机端;
104、 所述计算机端的加密管理软件通过对称密钥对欲写入密文存储 区的数据进行加密或对从所述密文存储区中读取的数据进行解密。
本发明通过引入的通用串行总线集线器(USB HUB),使得移动硬盘 装置自身就可以连接加密钥匙设备,从而为计算机端节约了一个接口,方 便了用户的应用;通过软硬件结合的密文存储区数据加解密处理方法,提 高了工作速度,降低了硬件成本,并使存储数据具有较高安全性。
图1为本发明移动加密存储设备的实施例的结构示意图2为本发明密文存储区数据加解密处理方法的实施例一的流程图3为本发明密文存储区数据加解密处理方法的实施例二的流程图。
具体实施例方式
下面结合附图和实施例,对本发明作进一步的详细介绍。 本发明移动加密存储设备的实施例一
如图l所示,本发明实施例的移动加密存储设备,包括移动存储区3、 加密钥匙设备2和连接移动存储区3与加密钥匙设备2的通用串行总线集 线器6,所述通用串行总线集线器6和移动存储区3封装在主机体7内; 所述主机体7上有至少两个与所述通用串行总线集线器6连接的通用串行 总线接口,其中一个为用于与计算机l连接的通用串行总线接口, 一个为 用于与加密钥匙设备2连接的通用串行总线接口 。
在实际的使用过程中,计算机l端需装有加密管理软件,通过串存 接— 口与移动存储区3和加密钥匙设备2进行信息交互,在数据写入和读取的 过程中完成加密解密。
上述的移动存储区3可以为硬盘或闪存。
本实施例的移动存储区3中,不仅可以有用于加密的密文存储区5, 为方便用户的实际使用要求,同时还可以设有普通存储设备的明文存储区 4 。这样既能满足用户使用此移动加密存储设备对需要保密的数据进行高 安全性的加解密操作,同时还能满足用户使用此移动加密存储设备作为普 通移动存储设备应用。
本实施例的加密钥匙设备2内部可以包含一信息安全芯片,信息安全 芯片可设有存储区,用来存放公私钥对和认证证书,认证证书中存有公钥 并且还可存有个人身份识别信息,计算机1端是不能读取公私钥对存储部
分的,它只能通过认证证书获得公钥,个人身份识别信息用来在用户登陆 过程中进行身份鉴权。
本实施例中所述公私钥对可由所述信息安全芯片采用非对称密钥算 法产生,并且私钥仅存在于信息安全芯片内,并被设置为不可输出状态, 所述不可输出状态即私钥不能被外部任何设备读出,仅存在于信息安全芯 片内。
本实施例可以采用三因子保密机制。三因子即个人身份识别信息、钥匙、移动存储设备。个人身份识别信息可以是用户个人识别码(PIN码)、 用户生物信息如虹膜和指紋等;钥匙可以是通用串行总线钥匙(USBKey) 等加密钥匙设备;移动存储设备可以是移动硬盘、U盘等。用户要对存储 数据进行加解密就必须确保这三因子同时存在,缺一不可。因此这种三因 子保密机制也极大地保证了加密存储数据的高安全性。
本发明密文存储区数据加解密处理方法的实施例一
如图2所示,本发明实施例包括以下步骤
101、 计算机端检测到与所述加密钥匙设备相连的移动存储区后,启 动计算机端的加密管理软件;
102、 加密管理软件触发计算机端的操作系统载入密文存储区的数据, 加密管理软件从密文存储区的头文件中获取对称密钥的密文并发送给所 述加密钥匙设备;所述对称密钥密文是密文存储区在创建时,即产品出厂 时,用加密钥匙设备中的数字证书公钥,对128位的对称密钥可采用1024 位RSA (—种非对称密钥算法名称)算法加密,形成的对称密钥的密文, 此对称密钥的密文保存在密文存储区的头文件中,此128位的对称密钥是 为调用加密钥匙设备而生成的,以保证其安全强度;
103、 所述加密钥匙设备通过私钥对所述密文进行解密,得到对称密 钥,并发送给计算机端;解密算法可采用1024位RSA算法;
104、 所述计算机端的加密管理软件通过对称密钥对欲写入密文存储
区的数据进行加密或对从所述密文存储区中读取的数据进行解密。
因为软件加密技术是通过计算机端,处理速度较快但安全性不高;而
纯硬件加密技术虽安全性较高,但处理速度较慢且因所需算法数位数较长 会导致信息安全芯片成本增加,本实施例的加密钥匙设备通过信息安全芯 片采用公私钥加解密算法仅对对称密钥进行加解密,而通过加密钥匙设备 解密后的对称密钥在计算机端通过加密管理软件完成存储数据的加解密。 这样既解决了完全采用硬件加密的高成本低速问题,又提高了完全采用软 件加解密的安全性问题。由于公私钥加解密过程是在信息安全芯片内部完 成,而私钥仅保存在信息安全芯片中,任何人不能读出私钥,因此本实施 例提高了工作速度,降低了硬件成本,并使存储数据具有较高安全性。
本实施例所述对称密钥可在所述密文存储区创建时为保证其安全强 度而调用所述信息安全芯片生成,所述对称密钥的密文可由加密钥匙设备 对所述对称密钥采用非对称密钥算法生成。
本发明密文存储区数据加解密处理方法的实施例二
如图3所示,本实施例一和实施例二的区别在于在实施例一的步骤 701和步骤702间加入了步骤1011和1012。
1011、 所述加密管理软件弹出个人身份识别信息登陆界面;
1012、 加密管理软件对输入的个人身份识别信息进行判断,如果正确, 则执行步骤102,否则弹出个人身份识别信息错误对话框。
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对 其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通 技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修 改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不 使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种移动加密存储设备,包括移动存储区、加密钥匙设备,其特征在于还包括连接所述移动存储区与加密钥匙设备的通用串行总线集线器,所述通用串行总线集线器和移动存储区封装在主机体内;所述主机体上有至少两个与所述通用串行总线集线器连接的通用串行总线接口,其中一个为用于与计算机连接的通用串行总线接口,一个为用于与加密钥匙设备连接的通用串行总线接口。
2、 根据权利要求1所述的移动加密存储设备,其特征在于所述的 移动存储区为硬盘或闪存。
3、 根据权利要求1或2所述的移动加密存储设备,其特征在于所 述的移动存储区包括明文存储区和密文存储区。
4、 根据权利要求1或2所述的移动加密存储设备,其特征在于所 述加密钥匙设备设有一个信息安全芯片。
5、 根据权利要求4所述的移动加密存储设备,其特征在于所述信 息安全芯片设有用于存放公私钥对和认证证书的存储区。
6、 根据权利要求5所述的移动加密存储设备,其特征在于所述公 私钥对是由所述信息安全芯片采用非对称密钥算法产生,并且私钥仅存在 于信息安全芯片内,并被设置为不可输出状态。
7、 根据权利要求5.所述的移动加密存储设备,其特征在于所述信 息安全芯片还设有用于存储个人身份识别信息的存储区。
8、 根据权利要求7所述的移动加密存储设备,其特征在于所述个 人身份识别信息为个人识别号码或虹膜或指紋。
9、 一种密文存储区数据加解密处理方法,其特征在于,包括以下步骤 101计算机端检测到与加密钥匙设备相连的移动存储区后,启动计 算机端的加密管理软件; 102 所述加密管理软件触发所述计算机端的操作系统载入密文存储 区的数据,所述加密管理软件从所述密文存储区的头文件中获取对称密钥的密文并发送给所述加密钥匙设备; 103 所述加密钥匙设备通过私钥对所述对称密钥的密文进4于解密, 得到所述对称密钥,并发送给计算机端; 104 所述加密管理软件通过所述对称密钥对欲写入所述密文存储区 的数据进行加密或对从所述密文存储区中读取的数据进行解密。
10、 根据权利要求9所述的密文存储区数据加解密处理方法,其特征 在于所述对称密钥是在所述密文存储区创建时调用所述信息安全芯片生 成的,所述对称密钥的密文是由所述加密钥匙设备对所述对称密钥采用非 对称密钥算法生成的。
11、 根据权利要求9所述的密文存储区数据加解密处理方法,其特征 在于,在所述步骤101和102之间还包括 1011所述加密管理软件弹出个人身份识别信息登陆界面;1012所述加密管理软件对输入的个人身份识别信息进行判断,如果 正确,则执行步骤102,否则弹出个人身份识别信息错误对话框。
全文摘要
本发明涉及一种移动加密存储设备,包括移动存储区、加密钥匙设备和连接移动存储区与加密钥匙设备的通用串行总线集线器,其中通用串行总线集线器和移动存储区封装在主机体内;主机体上有至少两个与通用串行总线集线器连接的通用串行总线接口。本发明还涉及一种密文存储区数据加解密处理方法,主要步骤为加密管理软件将对称密钥的密文送入加密钥匙设备,加密钥匙设备对密文进行解密,得到对称密钥,用对称密钥对文件进行加密或解密。本发明通过引入的通用串行总线集线器,从而为计算机节约了一个通用串行总线接口,方便了用户的应用;通过软硬件结合的密文存储区数据加解密处理方法提高了工作速度,降低了硬件成本,并使存储数据具有较高安全性。
文档编号G06F12/14GK101196855SQ200710308449
公开日2008年6月11日 申请日期2007年12月29日 优先权日2007年12月29日
发明者鑫 付 申请人:北京华大恒泰科技有限责任公司