加密移動存儲設備及其數據存取方法

專利名稱：加密移動存儲設備及其數據存取方法
技術領域：
本發明涉及數據加密技術，特別涉及一種加密移動存儲設備及其數據存取方法。
技術背景當前Internet網絡和移動存儲技術的迅速發展，計算機存儲介質逐漸有代替紙張成為信 息存儲的主要方式。移動存儲設備，包括移動硬盤(U盤)、各種數據存儲卡等，被廣泛應 用于政府、企業、軍隊等各部門。大容量移動存儲設備的隨意使用也成為了影響數據安全的 巨大威脅。近年來，因為移動存儲設備丟失、被盜、非授權使用等造成的重要文件丟失、重 要信息泄密事件屢見不鮮。在某些具備計算機網絡監控能力的部門，如政府、企業、國防等 單位，移動存儲設備甚至成為了泄密的主要途徑。現有移動存儲設備在數據安全方面存在的 主要問題是1) 絕大多數移動數據存儲設備無任何安全措施，持有者可以隨意訪問數據。2) 某些采用指紋、密碼等進行身份認證的產品加密強度較低，存儲器可以被取出進行 破解。3) 移動存儲設備沒有可靠的審計功能，在設備失控或者外借時無法監督設備內文件使 用情況。4) 廢棄的移動存儲設備存有大量信息，可以被恢復利用。 發明內容本發明所要解決的技術問題，就是提供一種采用硬件加密的移動存儲設備及其數據存取 方法，以加強存移動存儲設備數據的安全性。本發明解決所述技術問題，采用的技術方案是，加密移動存儲設備包括USB接口、驅 動電路、控制器、存儲器和加密芯片；所述USB接口、驅動電路、所述控制器及存儲器順序 連接，所述加密芯片與控制器連接，所述加密芯片用于存儲數據的加密及讀出數據的解密。加密移動存儲設備數據存取方法，包括以下步驟初始化a. 完成加密移動存儲設備與主機的加載后，輸入用戶密碼；b. 控制器驗證密碼的正確性，若密碼正確，則進入下面程序；若密碼不正確，則終止 程序；
c. 控制器以該密碼為密鑰，對移動硬盤存儲器上的密鑰數據區進行解密，獲取主密鑰 ，將主密鑰傳入加解密芯片，完成對加密芯片的初始化；數據加密d. 控制器接受主機的數據寫入請求，將數據拆包后分組發送到加密芯片；e. 加密芯片對數據進行加密處理后，將加密數據傳送給控制器；f. 控制器獲取加密數據放入自身緩存，當緩存中加密數據達到扇區大小后， 一次傳入 存儲器；數據解密g. 控制器接受主機的解密數據讀取請求，將數據從存儲器中讀出；h. 讀出完成后，將數據拆包后分組發送到加密芯片，加密芯片對數據進行解密處理；i. 控制器收到解密數據放入自身緩存，達到扇區大小后， 一次傳入主機。 本發明的有益效果是，采用專用芯片硬件加密，加密算法具有權威性和可靠性，加密強度高，保密性強。非經加密芯片解密，即便拆開移動存儲設備取出存儲器，也不可能得到解 密數據。


圖l是加密移動存儲設備的結構示意圖；圖2是初始化流程；圖3是數據加密流程圖；圖4是數據解密流程圖。
具體實施方式
以下結合附圖及實施例，詳細描述本發明的技術方案。
本發明的加密移動存儲設備，采用硬件加密技術，對存入數據進行加密，使存入存儲器 的數據是經過加密處理的數據，而非明碼數據，即使破壞存儲設備，取出存儲器，也不可能獲得數據。
本發明的加密移動存儲設備由USB接口、驅動電路、控制器、存儲器和加密芯片構成。 USB接口為移動存儲設備與主機(外部設備)連接的橋梁，移動存儲設備通過它與主機 進行數據交互。驅動電路與USB接口及控制器連接，配合控制器一起完成與主機端的數據交 互和系統配置等操作請求，完成特殊命令和專用數據讀寫命令的響應。遵從標準USB枚舉及 配置協議，并遵守USB塊存儲(mass storage)通訊命令。存儲器與控制器連接，在控制器 控制下存儲數據。加密芯片與控制器連接，通過控制器完成輸入數據的加密和輸出數據的解密。實施例如圖1所示，本發明的加密移動存儲設備由USB接口101、驅動電路102、控制器103、加 密芯片104、 EEPROM (電可擦除只讀存儲器)105及Nand Flashl06構成。Nand Flash是一種 特殊結構存儲器，能提供極高的單元密度，并且寫入和擦除的速度也很快。具有高密度，低 成本，長壽命的特點。USB接口101與驅動電路102連接，驅動電路102與控制器103連接， EEPR0M105及Nand Flashl06分別與控制器103連接，加密芯片104與控制器102連接。加密芯 片104為國家保密辦公室專用加密芯片SSX30-C，采用ECB (Electronic Code Book電子密碼 本)加密模式和單總線方式工作，數據經過拆包后與加密芯片順序交互。EEPR0M105用于存 儲運行程序及參數，Nand Fllashl06則用于存儲加密數據。本例移動存儲設備數據存取流程如下初始化流程見圖2:加密移動存儲設備與主機加載完成后進入步驟200開始；步驟201用戶輸入密碼；步驟202控制器利用Hash函數驗證密碼的正確性； 如果密碼不正確，進入步驟203終止程序；如果密碼通過Hash函數驗證，進入步驟204，控制器以驗證后的正確密碼解密EEPROM的 密鑰數據區獲取主密鑰；步驟205控制器將主密鑰傳送到SS30-C;步驟206結束初始化程序。數據加密流程如圖3所示步驟300主機向控制器發出數據寫入指令和數據包；步驟301控制器將接收的數據包拆包后分成128bit (16B)大小的組并發送到SS30-C; 步驟302 SS30-C對數據進行加密處理后傳送給控制器；步驟303控制器收到加密數據放入自身緩存，數據達到512B (32組或4096bit)后一次存 入Nand Flash的一個扇區；直至所有待加密數據處理完成，進入步驟304結束數據加密程序。數據解密流程如圖4所示步驟400主機向控制器發出數據讀取指令；步驟401控制器從Nand Flash讀取數據后分成128bit大小的組并發送到SS30-C;
步驟402 SS30-C對數據進行解密處理后傳送給控制器；
步驟403控制器收到解密數據放入自身緩存，數據達到512B后一次傳入主機；
步驟404解密操作完成。
權利要求
1.加密移動存儲設備，其特征在于，包括USB接口、驅動電路、控制器、存儲器和加密芯片；所述USB接口、驅動電路、所述控制器及存儲器順序連接，所述加密芯片與控制器連接，所述加密芯片用于存儲數據的加密及讀出數據的解密。
全文摘要
本發明涉及數據加密技術，特別涉及一種加密移動存儲設備及其數據存取方法。本發明公開了一種采用硬件加密的移動存儲設備及其數據存取方法，以加強存移動存儲設備數據的安全性。本發明的技術方案是，加密移動存儲設備包括USB接口、驅動電路、控制器、存儲器和加密芯片；所述USB接口、驅動電路、所述控制器及存儲器順序連接，所述加密芯片與控制器連接，所述加密芯片用于存儲數據的加密及讀出數據的解密。本發明還公開了該設備的數據存取方法。本發明的有益效果是，采用專用芯片硬件加密，加密算法具有權威性和可靠性，加密強度高，保密性強。非經加密芯片解密，即便拆開移動存儲設備取出存儲器，也不可能得到解密數據。
文檔編號G06F21/24GK101127013SQ20071020161
公開日2008年2月20日 申請日期2007年9月7日 優先權日2007年9月7日
發明者馮少川, 曾廷宣 申請人:成都三泰電子實業股份有限公司