专利名称:一种usb加解密桥接芯片的制作方法
技术领域:
本发明涉及加解密芯片,尤其涉及主机与移动存储设备之间利用USB接 口连接的一种USB加解密桥接芯片,属于信息安全加密技术领域。
背景技术:
目前,移动存储设备被广泛使用,对移动存储设备的数据进行加密可以 有效保障数字资产信息的安全,使其不被非法用户获取。因此,数据加密, 特别是移动存储设备上的数据加密是保护数字信息安全的重要手段。将原文 数据加密保存到移动存储设备可广泛应用于各种信息安全领域。
另一方面,目前连接USB接口设备的桥接器或HUB (集线器) 一般只作 为数据传送的通道使用,并没有加密功能,这是因为作为这类桥接设备的核 心部件的桥接芯片没有这样的USB桥路加密结构。因此,如何开发一种具有 USB接口功能加解密桥接芯片是本发明研究的问题。
发明内容
本发明提供一种USB加解密桥接芯片,目的旨在解决目前USB桥接芯片 因没有加密功能给实际应用带来的安全性问题。
为达到上述目的,本发明采用的技术方案是 一种USB加解密桥接芯片, 包括
第一 USB接口 ,该接口为用于连接主机的USB接口 ,实现从主机读出数 据或向主机写入数据;
第二 USB接口 ,该接口为用于连接移动存储设备的USB接口 ,实现从移 动存储设备读出数据或向移动存储设备写入数据;
加密算法模块,用于加密从主机读出的原文数据以及解密从移动存储设 备读出的密文数据;
内部存储器,用于存储所述USB桥接芯片的固件或开机引导程序 (BootLoader);
CPU,用于执行存储于内部存储器上的固件,完成对所述USB加解密桥 接芯片的控制和管理;
通讯I/0才莫块,用于与外部通讯设备的通讯,实现乂人外部通讯i殳备上获耳又
指令或下载数据;
所述CPU分别与加密算法模块、内部存储器、第一USB接口、第二USB 接口和通讯I/O模块通过系统总线连接。上述技术方案中的有关内容解释如下
1、 上述方案中,所述"第一USB接口,,和"第二USB接口"均为USB 接口 。 USB的全称是Universal Serial Bus, USB支持热插拔,即插即用的优 点,所以USB "l妄口已经成为一种标准的接口方式。USB有两个身见范,即 USB1.1和USB2.0。 USB1.1是目前较为普遍的USB规范,USB2.0规范是由 USB1.1 M^范演变而来的。它的传输速率达到了 480Mbps,折算为MB为 60MB/s,足以满足大多数外设的速率要求。在本发明中,第一USB接口用 于连接主机,USB接口为从设,而第二 USB接口用于连接移动存储设备, USB接口为主设,但USB接口选择USB 1.1或USB2.0均可以使用,其中 USB2.0更好。
2、 上述方案中,所述"固件"(Firmware)就是写入ROM或E^ROM(可 编程只读存储器)中的程序,通俗的理解就是"固化的软件"。与普通软件完 全不同,它是固化在集成电路内部的程序代码,负责控制和协调集成电路的 功能。
3、 上述方案中,所述"加密算法模块"是用于加密原文数据或解密密文 数据的模块。加密算法模块采用的算法可包括RSA、 DES、 3DES、 SHA等 或自定义的编解码方式。加密算法还可以用软件实现的方式通过通讯I/O模
块A/v外部来补充。
总之,本发明USB加解密桥接芯片作为主机与移动存储设备之间的连接 设备,当数据从主机写到移动存储设备时,进行实时加密,并将加密后的数 据写入移动存储设备的存储区中;当数据需要被读取或使用的时候,将根据 配置调用相应的解密算法模块对需要读取的数据进行实时解密,然后传送给 主机端使用。
由于上述技术方案运用,本发明与现有技术相比具有下列优点和效果
1、 本发明在主机与移动存储设备之间利用USB接口桥路连接,就可以 对主机与移动存储设备之间传输的数据进行加解密。
2、 由于本发明对移动存储设备的数据进行完全加密,因此可以建立两道 安全屏障,其一由于移动存储设备的操作系统也被加密,得到移动存储设备 者会误认为移动存储设备是空盘,存入信息可以隐藏;其二,即使非法得到 移动存储设备,如果没有密钥也无法读取移动存储设备中的原文。
3、 由于本发明USB桥接芯片增加了通讯I/O模块可以与外部设备进行通 讯,进而为移动存储设备的安全处理方式增加了更多的可能,增强了数据信息的保密性。
附图1为本发明USB加解密桥接芯片的系统原理方框图; 附图2为本发明USB加解密桥接芯片的工作流程示意图; 以上附图中10、 USB加解密桥接芯片;20、主机;30、移动存储设备; 40、外部通讯设备;101、加密算法模块;102、第一USB接口; 103、第二 USB接口; 104、 CPU; 105、通讯I/O模块;106、内部存储器;107、系统 总线。
0_ Air卡一 A'
下面结合附图及实施例对本发明作进一步描述 实施例
本发明可作为独立的设备应用于要求信息安全的存储设备中。当本发明 USB加解密桥接芯片连接在主机20与移动存储设备30之间后,主机20向 移动存储设备30写入数据是加密过程,从移动存储设备30读出数据是解密 过程。具体的加解密过程完全可以根据实际应用的要求,由保存在内部存储 器107中的固件或由外部通讯设备40进行控制。
图1为本发明USB加解密桥接芯片的系统原理方框图。从图1可以看出, 发明USB加解密桥接芯片由第一USB接口 102、第二USB接口 103、加密 算法模块101、内部存储器106、CPU 104和通讯1/0模块105组成,CPU 104 分别与加密算法模块101、内部存储器106、第一USB接口 102、第二USB 接口 103和通讯I/0才莫块105通过系统总线107连接。其中
第一 USB接口 102用于连接主机20 ,实现从主机20读出数据或向主机 20写入数据。第一USB接口 102相对主机20为从设,可选择USB1.1接口 或USB2.0接口,但为了适应高速加解密采用USB2.0接口更好。
第二 USB接口 103用于连接移动存储设备30,实现从移动存储设备30 读出数据或向移动存储设备30写入数据。第二USB接口 103相对移动存储 设备30为主设,可选择USB1.1接口或USB2.0接口,但为了适应高速加解 密采用USB2.0接口更好。
加密算法模块101用于加密从主机20读出的原文数据以及解密从移动存 储设备30读出的密文数据。这部分内容可以采用现有技术,而本实施例中, 加密算法模块101包括
l)算法模块组。该算法模块组由至少一种算法模块组成,各算法模块用
5于对数据进行不同算法的加解密运算,其中算法可包括RSA、 DES、 3DES、 SHA等或自定义的编解码方式。
2) 控制/状态寄存器组。该控制/状态寄存器组由控制寄存器和状态寄存 器组成,状态寄存器用于反映加密算法模块101的状态信息;控制寄存器用 于定义以下内容
A、 定义选择何种算法模块来进行加解密运算;
B、 定义加解密数据量;
C、 设置中断配置;
FA 々、V 6 -A贫、't 4坊+"k ;it ^;4n念*2 ,'^"银AA 乂* 6!i J_y、&^^乂口 开/ > l穴z入A4L'i j /VP切/tJT"^开I、 FJ匕°
3) 算法模块控制器。该算法模块控制器用于控制被选择算法模块的加解 密过程以及控制数据读写操作,在完成数据加解密之后,将中断信号传送给 中断控制器。所述算法;溪块控制器分别与算法;溪块组和控制/状态寄存器组双 向连接,控制/状态寄存器组与系统总线或外围总线双向连接。
内部存储器106用于存储所述USB加解密桥接芯片10的固件或开机引 导程序(BootLoader )。
CPU 104作为嵌入式中央处理器用于执行存储于内部存储器106上的固 件或执行从通讯I/O模块105输入的指令,完成对所述USB加解密桥接芯片 10的控制和管理。
通讯I/O模块105用于与外部通讯设备40的通讯,实现从外部通讯设备 40上获取指令或下载数据。
图2为本发明工作流程示意图,从图2中看出本实施例高速加解密USB 桥接芯片的工作流程分为以下步骤
步骤A1: USB加解密桥接芯片IO进行初始化。
步骤A2:判断是否有移动存储设备30存在。如果没有发现移动存储设 备30,则不会通知主机20完成枚举过程,如果发现移动存储设备30,执行 步骤A3。
步骤A3:主机20完成身份验证以及枚举过程。该过程中,除身份验证 步骤之外,USB加解密桥接芯片10负责将主机20与移动存储设备30的信 息进行透明传送。
步骤A4: USB加解密桥接芯片IO进行命令解析,对非数据操作命令进 行主机20与移动存储设备30的信息通讯。
步骤A5:判断是否有对数据的读写命令,如果没有发现数据读写命令,则不会启动加/解密流程;如果发现数据读写命令,执行步骤A6。
步骤A6:当进行数据流写操作时,第一USB接口 102接收来自主机20 的原文数据;当进行数据流读操作时,第二 USB接口 103接收来自外部存储 设备30的密文数据。
步骤A7:当进行数据流写操作时,当第一USB接口 102完成原文数据接 收后,由加密算法模块101进行加密操作;当进行数据流读操作时,当第二 USB接口 103完成密文数据接收后,由加密算法模101进行解密操作。
步骤A8:当进行数据流写操作时,第二USB接口 103将加密算法模块 101加密后的数据传输给外部存储设备30;当进行数据流读操作时,第一 USB接口 102将加密算法模块101解密后的数据传输给主机20。
步骤A9:判断是否完成数据传送操作,如果完成,执行步骤A10;如果 没有完成,则执行步骤A4。
步骤A10:结束本次任务。
上述实施例只为说明本发明的技术构思及特点,其目的在于让熟悉此项 技术的人士能够了解本发明的内容并据以实施,并不能以此限制本发明的保 护范围。凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明 的保护范围之内。
权利要求
1、一种USB加解密桥接芯片,其特征在于包括第一USB接口(102),该接口为用于连接主机(20)的USB接口,实现从主机(20)读出数据或向主机(20)写入数据;第二USB接口(103),该接口为用于连接移动存储设备(30)的USB接口,实现从移动存储设备(30)读出数据或向移动存储设备(30)写入数据;加密算法模块(101),用于加密从主机(20)读出的原文数据以及解密从移动存储设备(30)读出的密文数据;内部存储器(106),用于存储所述USB加解密桥接芯片(10)的固件或开机引导程序;CPU(104),用于执行存储于内部存储器(106)上的固件,完成对所述USB加解密桥接芯片(10)的控制和管理;所述CPU(104)分别与加密算法模块(101)、内部存储器(106)、第一USB接口(102)和第二USB接口(103)通过系统总线(107)连接。
2、 根据权利要求1所述的高速加解密USB桥接芯片,其特征在于包括 通讯I/O模块(105 ),通讯I/O模块(105 )通过系统总线(107 )与所述CPU(104)连接。
全文摘要
一种USB加解密桥接芯片,包括第一USB接口(102)、第二USB接口(103)、加密算法模块(101)、内部存储器(106)、CPU(104)以及通讯I/O模块(105)。本发明作为主机(20)与移动存储设备(30)之间的数据加解密桥接装置,除了对移动存储设备(30)数据加解密而外,还使得存储在移动存储设备(30)的信息有两道安全屏障,其一,由于存储设备上的操作系统也被加密,破解者会认为得到的存储设备是一块没有被格式化的空盘;其二,即使非法得到存储设备,如果没有密钥,也无法得到存储设备中的明文数据。本发明使得信息隐藏级别高,增强计算机的保密性,可以将移动存储设备改造成为加密存储设备,可广泛应用于信息安全领域。
文档编号G06F3/06GK101561751SQ200910031390
公开日2009年10月21日 申请日期2009年4月30日 优先权日2009年4月30日
发明者林雄鑫, 王忠海, 肖佐楠, 茳 郑 申请人:苏州国芯科技有限公司