本发明专利技术公开一种基于硬件物理隔离的数据转储装置,通过将两颗不同的ARM芯片与FPGA芯片相结合的方式,通过硬件上实现明文区和密文区的隔离,可对移动存储设备中的数据加密上传至PC机或者将PC机数据解密存放至移动存储设备中,通过在FPGA芯片中实现对称密码算法,控制对传输的数据进行加密或者解密,保护数据在传输过程中的安全。通过软件自动控制,使得数据加解密传输过程简单可控。本方面对比传统的USB hub,具有更高的安全性,在涉密应用领域具有良好的应用前景。有良好的应用前景。有良好的应用前景。
【技术实现步骤摘要】
一种基于硬件物理隔离的数据转储装置
[0001]本专利技术涉及数据安全传输领域,具体是一种基于硬件物理隔离的数据转储装置。
技术介绍
[0002]在一些特殊的应用场景中,敏感数据资料需要通过互联网进行密文传输,同时不允许以明文的形式出现在PC机中,以防止木马等计算机病毒窃取涉密数据,因此也就无法通过软件加解密工具对数据资料进行加解密。
技术实现思路
[0003]本专利技术要解决的技术问题是提供一种基于硬件物理隔离的数据转储装置,通过本装置将移动存储设备中的数据加密上传至PC机中,也可从PC机中将加密后的数据解密存放至移动存储设备中。本装置采用基于硬件的物理隔离,明文区处理明文数据,密文区处理密文数据,保证数据传输安全。
[0004]为了解决所述技术问题,本专利技术采用的技术方案是:一种基于硬件物理隔离的数据转储装置,包括明文处理区、密文处理区、连接在明文处理区和密文处理区之间用于隔离明文处理区和密文处理区的加解密处理区;明文处理区设置移动存储设备接口和明文传送模块,移动存储设备接口连接移动存储设备,明文传送模块通过GPIO接口与加解密处理区相连;加解密处理区包括加解密模块和密钥管理模块,密文处理区包括密文传送模块和PC数据通讯USB模块,加解密模块通过FSMC挂接密文处理区,密文处理区通过PC数据通讯USB模块与目标PC机进行数据交互;数据加密上传时,运行于明文处理区的伺服程序自动遍历接入到转储装置的移动存储设备中的所有文件,通过明文传送模块将移动存储设备中的文件传送至加解密处理区,加解密处理区将数据加密,加密后的数据通过密文处理区上传并保存至目标PC机;数据解密下载时,运行于目标PC机的服务软件读取密文文件并将密文文件发送至密文处理区,密文处理区接收密文数据并将其发送至加解密处理区,加解密处理区解析密钥ID并从密钥存储介质中读取解密密钥,将数据进行解密后发送至明文处理区,运行于明文处理区的伺服程序获取解密后的明文数据,通过移动存储设备接口发送至移动存储设备。
[0005]进一步的,密文处理区设置身份认证模块,身份认证模块基于数字证书实现安全身份认证。
[0006]进一步的,PC数据通讯USB模块为Type
‑
C接口。
[0007]进一步的,移动存储设备接口包括USB3.0接口和TF卡接口。
[0008]进一步的,加解密处理区基于FPGA实现,明文处理区基于RK3399芯片实现,密文处理区基于STM32系列单片机实现。
[0009]进一步的,本数据转储装置配置密钥销毁按键,特殊情况下,长按销毁按键,运行于明文处理区中的伺服程序收到销毁指令后通知加解密处理区将密钥管理模块中存储的
密钥销毁。
[0010]本专利技术的有益效果:本专利技术提供一种基于硬件物理隔离的数据转储装置,通过将两颗不同的ARM芯片(明文处理区和密文处理区)与FPGA芯片(加解密处理区)相结合的方式,通过硬件上实现明文区和密文区的隔离,可对移动存储设备中的数据加密上传至PC机或者将PC机数据解密存放至移动存储设备中,通过在FPGA芯片中实现对称密码算法,控制对传输的数据进行加密或者解密,保护数据在传输过程中的安全。通过软件自动控制,使得数据加解密传输过程简单可控。本方面对比传统的USB hub,具有更高的安全性,在涉密应用领域具有良好的应用前景。
附图说明
[0011]图1为本装置的原理框图;图2为数据加密上传的流程图;图3为数据解密下载的流程图。
具体实施方式
[0012]下面结合附图和具体实施例对本专利技术作进一步的说明。
[0013]实施例1本实施例公开一种基于硬件物理隔离的数据转储装置,如图1所示,包括明文处理区、密文处理区、连接在明文处理区和密文处理区之间用于隔离明文处理区和密文处理区的加解密处理区。
[0014]明文处理区设置移动存储设备接口和明文传送模块,移动存储设备接口连接移动存储设备,明文传送模块通过GPIO接口与加解密处理区相连;加解密处理区包括加解密模块和密钥管理模块,密文处理区包括密文传送模块和PC数据通讯USB模块,加解密模块通过FSMC挂接密文处理区,密文处理区通过PC数据通讯USB模块与目标PC机进行数据交互。FPGA加密算法和密钥分别存放在密钥管理模块。
[0015]本实施例中,移动存储设备接口包括USB3.0接口和TF卡接口,可以连接U盘或者TF卡。具体的,明文处理区基于RK3399芯片实现,RK3399芯片支持USB3.0高速接口,通过USB3.0Hub引出两个USB3.0超高速接口,作为U盘接口;通过SDIO接口连接TF卡控制器。
[0016]本实施例中,PC数据通讯USB模块为Type
‑
C接口。该Type
‑
C接口不仅负责数据传输,而且负责给整个装置进行供电,不需要额外接入外接电源。
[0017]加解密处理区基于FPGA实现,密文处理区基于STM32系列单片机实现。
[0018]在RK3399芯片中,运行嵌入式linux操作系统,通过设计伺服程序,控制明文处理区对移动存储设备的数据读写。伺服程序开机自动运行,时刻监控USB模块和TF卡模块是否有外设插入。当有外设插入时,伺服程序将存储设备挂载,等待PC机端的服务软件发起指令。如图2所示,当位于PC机端的服务软件发起加密上传指令时,伺服程序启动加密上传线程,从存储设备中遍历文件,读取明文数据发送至FPGA模块,FPGA模块将数据加密后,发送至STM32模块,服务软件从STM32模块读取加密后的密文数据。如图3所示,当服务软件发起解密下载指令时,伺服程序启动解密下载线程,先解析当前解密需要的密钥,将密钥配给FPGA模块,服务软件将密文数据发送给STM32模块,STM32将数据发送至FPGA解密,伺服程序
读取解密后的明文数据并保存至移动存储设备。
[0019]在PC机端,运行服务软件,用于控制加密上传或者解密下载。服务软件通过SCSI协议与STM32模块通讯,STM32模块支持USB大容量存储协议。
[0020]在安全设计上,密文处理区设置身份认证模块,身份认证模块基于数字证书实现安全身份认证。在设备初装时,将用于身份认证的数字证书存放至STM32模块中的Flash存储模块,并通过口令进行保护。用户在使用该设备时,需要通过上位机管理软件进行设备口令认证。口令认证通过后,运行于STM32中的程序从数字证书中获取私钥,并用私钥对认证信息进行签名,上位机管理软件用证书对应的公钥对签名信息进行验签,验签通过后,表示该设备是可信任的。身份认证通过后,管理软件可以进行数据加密上传或者解密下载。
[0021]本数据转储装置配置密钥销毁按键,特殊情况下,用户需要将密钥销毁,只需要长按销毁按键3秒,运行于明文处理区中的伺服程序收到销毁指令后通知加解密处理区将密钥管理模块中存储的密钥销毁。
[0022]本装置支持数据双向传递,即从终端移动存储设备中获取数据资料的明文数据,经过FPGA加密后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于硬件物理隔离的数据转储装置,其特征在于:包括明文处理区、密文处理区、连接在明文处理区和密文处理区之间用于隔离明文处理区和密文处理区的加解密处理区;明文处理区设置移动存储设备接口和明文传送模块,移动存储设备接口连接移动存储设备,明文传送模块通过GPIO接口与加解密处理区相连;加解密处理区包括加解密模块和密钥管理模块,密文处理区包括密文传送模块和PC数据通讯USB模块,加解密模块通过FSMC挂接密文处理区,密文处理区通过PC数据通讯USB模块与目标PC机进行数据交互;数据加密上传时,运行于明文处理区的伺服程序自动遍历接入到转储装置的移动存储设备中的所有文件,通过明文传送模块将移动存储设备中的文件传送至加解密处理区,加解密处理区将数据加密,加密后的数据通过密文处理区上传并保存至目标PC机;数据解密下载时,运行于目标PC机的服务软件读取密文文件并将密文文件发送至密文处理区,密文处理区接收密文数据并将其发送至加解密处理区,加解密处理区解析密钥ID并从密钥存储介质中读取解密密钥,将数据进行解密...
【专利技术属性】
技术研发人员:姜向阳,孙玉玺,秦法林,宗成强,张忠国,尹相彦,
申请(专利权)人:山东华芯半导体有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。