技术领域
[0001] 本
发明涉及数据存储和数据安全领域,特别涉及一种加密固态存储盘。
背景技术
[0002] 一直以来,计算机存储装置(存储盘)的数据安全备受关注,市场上也陆续推出了各种具有加密功能的存储盘,比如加密存储卡、加密U盘、加密
硬盘等。
[0003] 对于加密系统来说,密钥管理是最薄弱也是最关键的一个环节,密钥的泄露将直接导致数据的泄露。密钥管理包括密钥的产生、存储、传输和保护等基本环节,从密钥管理窃取机密比用破译的方法要花费的代价要小得多,所以对密钥的管理和保护格外重要。
[0004] 目前,市场的加密存储盘在数据加密的密钥(K)管理方面存在如下技术问题:
[0005] (一)密钥(K)和加解密模
块一体,使密钥管理形同虚设;
[0006] (二)将密钥(K)与加密的数据存储在一起,导致了密钥的不安全;
[0007] (三)密钥(K)未加密存储,使密钥容易被恶意破解;
[0008] (四)在密钥的通讯传输方面,也缺乏有效的保密措施,从而使得密钥在传输通道上呈现透明状态,易受到侦测和破获。
[0009] 总之,由于在密钥管理和保密方面存在问题,导致加密存储盘的安全等级降低,难以满足更高安全等级的市场需求。
[0010] 故,针对目前
现有技术中存在的上述
缺陷,实有必要进行研究,以提供一种方案,解决现有技术中存在的缺陷,提供一种高安全等级的加密固态存储盘。
发明内容
[0011] 为了克服上述现有技术的缺陷,本发明提供了一种将数据加密和密钥管理分离的加密固态存储盘,从而极大极高了加密固态存储盘的安全性能。
[0012] 为解决现有技术存在的问题,本发明的技术方案为:
[0013] 一种加密固态存储盘,该盘具有身份认证和数据加密的功能,包括通讯
接口、数据加解密控
制模块、身份认证及密钥管理模块、身份输入装置和固态存储介质;
[0014] 所述通讯接口与外部计算机相连接,用于与外部计算机进行数据通讯;
[0015] 所述身份输入装置用于采集用户输入的身份信息;
[0016] 所述身份认证及密钥管理模块用于接收所述身份输入装置所采集的身份信息,与预先存储在其内的用户身份信息进行身份认证,并在身份认证通过后将存储在其内的加解密密钥发送给所述数据加解密
控制模块;
[0017] 所述固态存储介质用于存储经加密后的数据;
[0018] 所述数据加解密控制模块与所述通讯接口、身份认证及密钥管理模块和固态存储介质相连接,数据存入时,所述数据加解密控制模块从通讯接口获取数据并根据从身份认证及密钥管理模块获取的加解密密钥对该数据进行加密后存入固态存储介质;
[0019] 读取数据时,所述数据加解密控制模块从固态存储介质获取数据并根据从身份认证及密钥管理模块获取的加解密密钥对该数据进行解密后发送给通讯接口。
[0020] 优选地,所述数据加解密控制模块包括控制模块、数据
缓冲器、通讯接口、加解密
硬件模块和密钥缓冲器,其中,
[0021] 所述通讯接口用于与身份认证及密钥管理模块进行数据通讯,接收所述密钥管理模块发送的加解密密钥;
[0022] 所述控制模块与所述数据缓冲器、通讯接口、加解密硬件模块和密钥缓冲器相连接,用于控制数据加解密控制模块内各个模块之间的操作;
[0023] 所述加解密硬件模块用于对数据进行加解密操作;
[0024] 所述数据缓冲器用于缓存数据信息;
[0025] 所述密钥缓冲器为易失
存储器,用于存储加解密密钥。
[0026] 优选地,所述身份认证及密钥管理模块包括通讯接口、数据缓冲器、处理器、随机数产生器、身份认证模块和非易失存储介质,其中,
[0027] 所述通讯接口用于与数据加解密控制模块进行数据通讯,将加解密密钥发送给所述数据加解密控制模块;
[0028] 所述数据缓冲器用于缓存数据信息;
[0029] 所述非易失存储介质包括密钥存储区和身份信息存储区,所述密钥存储区用于存储加解密密钥;所述身份信息存储区用于存储用户身份信息;
[0030] 所述身份认证模块用于接收身份输入装置所采集的身份信息,与存储在所述非易失存储介质内的身份信息进行身份认证;
[0031] 所述处理器与所述数据缓冲器、非易失存储介质、随机数产生器和身份认证模块相连接,用于根据所述身份认证模块的结果控制所述加解密密钥的发送;
[0032] 所述随机数产生器用于随机产生一串字符;
[0033] 所述加解密密钥为初次使用时由所述随机数产生器随机产生并存储在所述密钥存储区。
[0034] 优选地,所述身份认证及密钥管理模块还包括加密模块,所述加密模块与处理器相连接,用于将加解密密钥和用户身份信息进行加密后再存储在所述非易失存储介质中。
[0035] 优选地,所述身份认证及密钥管理模块还包括随机化处理模块,所述随机化处理模块与处理器、随机数产生器和数据缓冲器相连接,用于根据所述随机数产生器所产生的随机字符将加解密密钥进行随机化
算法处理后再发送给数据加解密控制模块。
[0036] 优选地,所述数据加解密控制模块还包括反随机化处理模块,所述反随机化处理模块与控制模块相连接,用于将从所述身份认证及密钥管理模块接收到的数据进行反随机化算法处理后获取加解密密钥。
[0037] 优选地,所述通讯接口采用如下常用的接口之一:USB、PATA/SATA、SAS、PCIE、SD或者MMC。
[0038] 优选地,所述身份输入装置为按键模块或
生物特征
传感器;所述生物特征传感器为指纹传感器或虹膜传感器。
[0039] 优选地,所述固态存储介质为
半导体为基本材料的非挥发性存储器,为闪存(FLASH)、
相变存储器(PRAM)、SD或eMMC存储模块中的任一种。
[0040] 优选地,所述加解密硬件模块由硬件
电路实现的,其内置的加解密算法采用国内外普遍使用的如下加密算法之一:AES、RSA、ECC、DES/3/DES、SHA、GOST、国密算法或其他用户自定义的加解密算法。
[0041] 与现有技术相比,本发明的一种加密固态存储盘,在密钥的生产、存储、传输和使用等关键环节实施了保护措施:通过随机数产生器生成的真随机数作为密钥,任何人无法获知具体密钥信息;在密钥(K)的存储方面,通过内置高强度的加密算法的加密模块对密钥进行加密后再保存,即使芯片被恶意破解(例如芯片物理去盖、
腐蚀、
染色拍照等)也只能得到加密后的密钥数据,无法获得真实的密钥;在密钥的传输环节,通过随机化处理模块将密钥进行随机数混合或CBC模式加密处理后再进行传输,使得传输通道的密钥数据为随机数,无法进行穷举等恶意破解,有效地保证了传输通道上的密钥安全性;在密钥的使用环节,密钥(K)暂存在数据缓存器中,掉电即失。总之,采用本发明的技术方案,极大提升了加密固态存储盘中数据加密的安全等级。
附图说明
[0042] 图1是本发明加密固态存储盘的原理
框图;
[0043] 图2是图1中数据加解密控制模块的原理框图;
[0044] 图3是图1中身份认证及密钥管理模块的原理框图;
[0045] 图4是图1中身份认证及密钥管理模块另一种实施方式的原理框图;
[0046] 图5是图1中数据加解密控制模块另一种实施方式的原理框图。
具体实施方式
[0047] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及
实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0048] 相反,本发明涵盖任何由
权利要求定义的在本发明的精髓和范围上做的替代、
修改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
[0049] 参见图1,所示为本发明加密固态存储盘的原理框图,该盘具有身份认证和数据加密的功能,包括通讯接口(11)、数据加解密控制模块(12)、身份认证及密钥管理模块(13)、身份输入装置(14)和固态存储介质(15);
[0050] 通讯接口(11)与外部计算机相连接,用于与外部计算机进行数据通讯;接收外部计算机的数据信息并发送给数据加解密控制模块(12),或将经数据加解密控制模块(12)处理后的数据信息发送给外部计算机。通讯接口(11)选用现有技术中标准的接口模块,可以采用如下常用的接口之一:USB、PATA/SATA、SAS、PCIE、SD或者MMC。
[0051] 身份输入装置(14)用于采集用户输入的身份信息,其与身份认证及密钥管理模块(13)相连接,并将采集的身份信息发送给身份认证及密钥管理模块(13)。身份输入装置(14)为生物特征传感器或按键模块。按键模块可以接收来自按键密码的身份输入;生物特征传感器为来自生物特征传感器的指纹、声纹等传感器。
[0052] 身份认证及密钥管理模块(13)用于接收所述身份输入装置(14)所采集的身份信息;在其内预先存储用户的身份信息,该身份信息可以由用户在初次配置加密固态存储盘(1)时输入;身份认证及密钥管理模块(13)在获取输入的身份信息后,与预先存储在其内的用户身份信息进行身份认证,身份认证的过程即为比较预先存储的身份信息与用户输入的身份信息是否完全匹配,若身份信息匹配,则身份认证通过,否则身份认证失败。在身份认证通过后,身份认证及密钥管理模块(13)将存储在其内的加解密密钥发送给数据加解密控制模块(12)。
[0053] 身份认证及密钥管理模块(13)中存储数据加解密控制模块(12)的加解密密钥,因此,在未获取加解密密钥的情况下,数据加解密控制模块(12)无法正常进行加解密操作,而身份认证及密钥管理模块(13)只有在身份认证通过,才将加解密密钥发送给数据加解密控制模块(12)。通过该技术手段,使数据加密和密钥管理分离,大大提升了加密固态存储盘中数据加密的安全等级。
[0054] 固态存储介质(15)用于存储经加密后的数据,固态存储介质(15)为半导体为基本材料的非挥发性存储器,为闪存(FLASH)、相变存储器(PRAM)、SD或eMMC存储模块中的任一种。
[0055] 数据加解密控制模块(12)与所述通讯接口(11)、身份认证及密钥管理模块(13)和固态存储介质(15)相连接,数据存入时,所述数据加解密控制模块(12)从通讯接口(11)获取数据并根据从身份认证及密钥管理模块(13)获取的加解密密钥对该数据进行加密后存入固态存储介质(15);
[0056] 读取数据时,所述数据加解密控制模块(12)从固态存储介质(15)获取数据并根据从身份认证及密钥管理模块(13)获取的加解密密钥对该数据进行解密后发送给通讯接口(11)。
[0057] 参见图2,所示为图1中数据加解密控制模块的原理框图,数据加解密控制模块(12)进一步包括控制模块(121)、数据缓冲器(122)、通讯接口(123)、加解密硬件模块(124)和密钥缓冲器(125),其中,
[0058] 通讯接口(123)用于与身份认证及密钥管理模块(13)进行数据通讯,主要用于接收所述密钥管理模块(13)发送的加解密密钥;通讯接口(11)选用现有技术中标准的接口模块,可以采用如下常用的接口之一:USB、PATA/SATA、SAS、PCIE、SD或者MMC。
[0059] 控制模块(121)与所述数据缓冲器(122)、通讯接口(123)、加解密硬件模块(124)和密钥缓冲器(125)相连接,控制模块(121)为数据信息处理的中心,控制数据加解密控制模块(12)内各个模块之间的操作;
[0060] 加解密硬件模块(124)用于在控制模块(121)的控制下对数据进行加解密操作,加解密硬件模块(124)由硬件电路实现的,其内置的加解密算法采用国内外普遍使用的如下加密算法之一:AES、RSA、ECC、DES/3/DES、SHA、GOST、国密算法或其他用户自定义的加解密算法。
[0061] 数据缓冲器(122)用于缓存数据信息;
[0062] 密钥缓冲器(125)用于存储加解密密钥,为掉电易失存储器,因此,数据加解密算法模块(11)中只是临时保存密钥,一旦掉电,密钥缓冲器(125)中的密钥将消失。
[0063] 参见图3,所示为图1中身份认证及密钥管理模块的原理框图,身份认证及密钥管理模块(13)进一步包括通讯接口(131)、数据缓冲器(132)、处理器(133)、随机数产生器(134)、身份认证模块(135)和非易失存储介质(136),其中,
[0064] 通讯接口(131)用于与数据加解密控制模块(12)进行数据通讯,主要用于将加解密密钥发送给所述数据加解密控制模块(12);通讯接口(131)选用现有技术中标准的接口模块,可以采用如下常用的接口之一:USB、PATA/SATA、SAS、PCIE、SD或者MMC。
[0065] 数据缓冲器(132)用于缓存数据信息;
[0066] 非易失存储介质(136)包括密钥存储区(137)和身份信息存储区(138),密钥存储区(137)用于存储加解密密钥;身份信息存储区(138)用于存储用户身份信息;非易失存储介质(136)内置于身份认证及密钥管理模块(13),从而将加解密密钥和用户身份信息等私密信息和固态存储介质(15)内数据信息分离,使加解密密钥和用户身份信息等私密信息的存储更为安全。
[0067] 身份认证模块(135)用于接收身份输入装置(14)所采集的身份信息,与存储在所述非易失存储介质(136)内的身份信息进行身份认证;在处理器(133)的控制下,身份认证模块(135)获取用户输入的身份信息和存储在非易失存储介质(136)内的身份信息,并将两者进行信息匹配,如匹配完全一致,则身份认证通过,向处理器(133)发送身份认证成功的
信号。
[0068] 处理器(133)与所述数据缓冲器(132)、非易失存储介质(136)、随机数产生器(134)和身份认证模块(135)相连接,是
数据处理和控制的中心,控制身份认证及密钥管理模块(13)内各个模块之间的操作,根据所述身份认证模块(135)的结果控制所述加解密密钥的发送,即接收到身份认证模块(135)发送的身份认证成功的信号后,将存储在非易失存储介质(136)中的加解密密钥发送给数据加解密控制模块(12)。
[0069] 随机数产生器(134)用于随机产生一串字符;
[0070] 所述加解密密钥为初次使用时由所述随机数产生器(134)随机产生并存储在所述密钥存储区(137)。通过随机数产生器(134)产生真随机数的方式生成密钥(K),任何人包括用户本人都无法获取具体密钥(K)信息,从而进一步保证了密钥的安全性。
[0071] 在上述技术方案中,密钥(K)未加密存储,即直接存储在非易失存储介质(136)中,如果对芯片进行恶意破解(例如芯片物理去盖、腐蚀、染色拍照等),密钥(K)将被盗取。为解决上述技术问题,本发明提出一种优选实施方式。参见图4,所示为图1中身份认证及密钥管理模块另一种实施方式的原理框图,身份认证及密钥管理模块(13)还包括加密模块(137),加密模块(137)与处理器(133)相连接,用于将加解密密钥和用户身份信息进行加密后再存储在所述非易失存储介质(136)中。也即存储在非易失存储介质(136)中的加解密密钥(K)和用户身份信息都是经过加密模块(137)加密后再存储,这样,即使芯片被恶意破解(例如芯片物理去盖、腐蚀、染色拍照等)也只能得到加密后的密钥数据,无法获得真实的密钥,进一步提升了密钥存储的安全性。
[0072] 相应的,处理器(133)将存储在非易失存储介质(136)中的加解密密钥先进行解密后再发送给数据加解密控制模块(12)。
[0073] 在一种优选实施方式中,加密模块(137)采用SM4加密算法。
[0074] 在上述技术方案中,在密钥的通讯传输方面缺乏有效的保密措施,密钥在传输通道上呈现透明状态,若采用侦测传输通道上数据信号的方式,还是破获密钥。为了解决上述技术问题,本发明提出了一种优选实施方式,身份认证及密钥管理模块(13)还包括随机化处理模块(138),随机化处理模块(138)与处理器(133)、随机数产生器(134)和数据缓冲器(132)相连接,用于根据所述随机数产生器(134)所产生的随机字符将加解密密钥进行随机化算法处理后再发送给数据加解密控制模块(12)。随机数产生器(134)每次密钥传输都产生不同的随机字符(RN),随机化处理模块(138)内置特定的算法,在处理器(133)的控制下,将随机字符(RN)和密钥(K)按特定的算法混合在一起形成保密密钥(SK)后再发送给数据加解密算法模块。因此,在传输通道上传输的保密密钥(SK)在每次传输中都是不一样的,即便侦测到传输通道上的数据信息,也无法破获密钥。
[0075] 相应的,参见图5,所示为图1中数据加解密控制模块另一种实施方式的原理框图,数据加解密控制模块(12)还包括反随机化处理模块(126),反随机化处理模块(126)与控制模块(121)相连接,用于将从所述身份认证及密钥管理模块(13)接收到的数据进行反随机化算法处理后获取加解密密钥。反随机化处理模块(126)与随机化处理模块(138)是相对应的,按约定的算法对接收到的保密密钥(SK)进行处理,去除RN,获得密钥(K)。
[0076] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
