本实用新型专利技术涉及一种硬件密钥装置和移动存储系统。该装置包括:第一数据接口;与第一数据接口相连的密钥生成模块;存储有私钥且用于形成密文密钥并输出的私钥模块。该系统采用本实用新型专利技术的硬件密钥装置,还包括移动存储设备,其中的硬件加密芯片包括:公钥单元;与公钥单元和控制芯片分别相连,用于解密获取随机密钥的密钥获取单元;用于根据随机密钥对文件数据进行加解密操作的加解密单元。本实用新型专利技术在移动存储设备硬加密方案的基础上,采用移动存储设备、硬件密钥装置分离存储数据和密钥的技术手段,并采用了非对称加密技术,消除了集中存放带来的安全隐患,提高了移动存储技术在文件数据加解密过程中的可靠性和安全性。(*该技术在2018年保护过期,可自由使用*)
【技术实现步骤摘要】
本技术涉及一种硬件密钥装置和移动存储系统,尤其涉及一种用于辅助配合移动存储设备对读/写的文件数据进行加解密操作的硬件密钥装置,以及采用该硬件密钥装置的移动存储系统。
技术介绍
随着计算机技术的发展,计算机存储介质已经逐渐代替纸张,成为目前信息存储的主要方式。无纸化办公逐渐成为了政府、企业、军队的主要工作方式。然而,在当前各类计算机系统的构建中,人们往往只关心网络上传输数据的安全性和访问过程中的身份安全性,而忽视了信息存储的安全性,特别是移动存储介质的安全性。实际上,用户保存到移动存储设备中的数据文件有很多是机密文件,出于安全考虑,十分需要对这些文件进行加密处理,并且保存在相应的加密移动存储设备中。对存储的数据进行加密处理,就是采用一定的加密算法,使得文件以密文的形式存储在存储设备中。用户在读取文件之前,首先需要输入口令等验证信息;验证通过后,再通过特定的密钥对数据文件进行解密。在未使用与之匹配的密钥对文件进行解密之前,用户所能看到的文件的数据是乱码,无法读取数据;当密钥与之匹配后,才可以正常地读出数据。目前,我国移动存储设备市场以行业用户为主,例如政府、企业和军队等,而行业用户往往对移动存储设备的安全性要求较高。这种现状决定了加密移动存储逐渐替代普通移动存储的趋势。现有技术中,实现加密移动存储-->的技术方案可以有两种,一种是软加密方案,另一种是硬加密方案。软加密方案的加解密运算过程完全是由计算机(PC)完成的,使用对称加密算法来实现。采用软加密方案的移动存储设备300的硬件结构如图1所示,由USB控制芯片320和移动存储模块(HDD/FLASH)340共同组成,密钥存储在移动存储模块340中。USB控制芯片320通过USB接口310与计算机200相连,用于实现移动存储设备300和计算机200之间的数据交互。在实际应用中,当用户需要读取文件时,通过计算机200上安装的软件输入正确的口令后,计算机200上的软件会从移动存储设备300中获取密钥,并根据该密钥对文件数据进行解密处理。当用户需要保存处理后的文件数据时,在用户输入正确的密码后,计算机200上的软件同样从移动存储设备300中获取密钥,并根据该密钥对待保存的文件数据进行加密处理,而后保存到移动存储设备300中。分析可知,软加密方案存在的问题是:无论在加密过程中还是在解密的过程中,密钥总是会被计算机读取到计算机的内存中,并且通常是以明文方式读取。因此,该移动存储设备加密方案的密钥很容易通过内存监控等方式被读取,密钥数据的安全性较低,使得数据存取过程的安全性也很低。硬加密方案的加解密运算过程是由硬件加密芯片来完成的,和软加密方案相似,都是使用对称加密算法来实现的。如图2所示为采用硬件加密方案的移动存储设备的系统结构示意图。对于硬加密方案来说,移动存储设备300中除了USB控制芯片320、移动存储模块340和USB接口310之外,还设置有用于进行加解密处理的硬件加密芯片330和与其相连的、专门设置用于存储硬件密钥的硬件密钥模块350。在实际应用中,当用户需要读取文件时,在输入了正确的口令后,移动存储设备300中的硬件加密芯片330就可以从硬件密钥模块350中获取密钥,并根据该密钥对文件数据进行解密处理,然后传送给计算机200。当用户需要保存处理后的文件数据时,在输入正确的口令后,硬件加密芯片330同样从硬件密钥模块350中获取密钥,并根据该-->密钥对已传送给USB控制芯片320的待保存文件数据进行加密处理,而后保存到移动存储模块340中。硬加密方案与软加密方案相比,在信息安全方面最本质的区别是:密钥只存在于硬件电路中,在移动存储设备中完成加解密过程,密钥不会被计算机读取,所以安全性有所提高。但是,由于硬加密方案的硬件密钥和移动存储模块采用集中设置的方式,因此有可能被不法分子同时得到,这会给所存储密文数据的安全性造成一定的安全风险。此外,作为识别用户授权信息的口令又具有可复制性,一旦用户口令被非法盗取,整个加密移动存储设备也将无任何保密性可言。一般用户为了记忆方便,通常将口令设置的相对较短,这也为不法分子采用穷举的方法进行攻击提供了可乘之机。故硬加密方案的加密数据存取过程的安全性也有一定的漏洞。从以上分析可以看出,上述的软加密和硬加密移动存储设备设计方案在安全性上都存在一定的问题:采用软加密方案的移动存储设备,所存储密文数据的安全性及数据存取的安全性很低;采用硬加密方案的移动存储设备,由于硬件密钥和移动存储模块采用集中存放的方式,在密文数据的安全性方面仍有漏洞,且其口令具有可复制性及易穷举攻破性,该方案的数据存取过程也存在较大的安全隐患。
技术实现思路
本技术的目的是提供一种硬件密钥装置和移动存储系统,以提高加密移动存储技术在文件数据加解密过程中的可靠性和安全性。为实现上述目的,本技术提供了一种硬件密钥装置,包括:用于传输数据的第一数据接口;与第一数据接口相连,用于根据从第一数据接口接收到的文件标识产生随机密钥的密钥生成模块;存储有私钥,且用于根据私钥对随机密钥进行加密形成密文密钥,并从-->第一数据接口输出密文密钥的私钥模块,该私钥模块与密钥生成模块和第一数据接口分别相连。为实现上述目的,本技术还提供了一种移动存储系统,采用本实用新型的硬件密钥装置,还包括移动存储设备,该移动存储设备包括顺序连接的第二数据接口、控制芯片、硬件加密芯片和移动存储模块,其中:第一数据接口用于与处理文件数据的数据处理设备相连,交互文件标识和密文密钥;第二数据接口用于与数据处理设备相连,交互密文密钥和文件标识对应的文件数据;且该硬件加密芯片包括:用于存储公钥的公钥单元;与公钥单元和控制芯片分别相连,用于从控制芯片获取经第二数据接口采集到的密文密钥,并根据公钥对密文密钥进行解密后获取随机密钥的密钥获取单元;连接在控制芯片和移动存储模块之间,并与密钥获取单元相连,用于根据随机密钥对文件数据进行加解密操作的加解密单元。由以上技术方案可知,本技术在移动存储设备硬加密方案的基础上,采用移动存储设备、硬件密钥装置分离存储加密文件数据和密钥的技术手段,并采用了非对称加密技术,消除了加密文件数据和密钥集中存放带来的安全隐患,提高了移动存储技术中文件数据加解密存储的可靠性和安全性。下面通过具体实施例并结合附图对本技术做进一步的详细本文档来自技高网...
【技术保护点】
一种硬件密钥装置,其特征在于,包括: 用于传输数据的第一数据接口; 与所述第一数据接口相连,用于根据从第一数据接口接收到的文件标识产生随机密钥的密钥生成模块; 存储有私钥,且用于根据所述私钥对所述随机密钥进行加密形成密文密钥,并从所述第一数据接口输出所述密文密钥的私钥模块,所述私钥模块与所述密钥生成模块和所述第一数据接口分别相连。
【技术特征摘要】
1、一种硬件密钥装置,其特征在于,包括:
用于传输数据的第一数据接口;
与所述第一数据接口相连,用于根据从第一数据接口接收到的文件标识
产生随机密钥的密钥生成模块;
存储有私钥,且用于根据所述私钥对所述随机密钥进行加密形成密文密
钥,并从所述第一数据接口输出所述密文密钥的私钥模块,所述私钥模块与
所述密钥生成模块和所述第一数据接口分别相连。
2、根据权利要求1所述的硬件密钥装置,其特征在于:还包括与所述第
一数据接口和所述私钥模块分别连接的非对称密钥生成模块,用于生成对应
的私钥和公钥,并将所述私钥存储在所述私钥模块中,将所述公钥从所述第
一数据接口输出。
3、根据权利要求2所述的硬件密钥装置,其特征在于,所述密钥生成模
块包括:
与所述第一数据接口相连,用于识别包含在所述文件标识中的访问类型
的识别单元;
用于当识别单元识别到所述访问类型为写访问时,根据所述文件标识生
成随机密钥的生成单元,所述生成单元与所述识别单元和私钥模块分别相连。
4、根据权利要求3所述的硬件密钥装置,其特征在于还包括:与所述生
成单元相连,用于存储所述文件标识,并对应存储所述随机密钥的存储模块。
5、根据权利要求4所述的硬件密钥装置,其特征在于,所述密钥生成模
块还包括:
用于当识别单元识别到所述访问类型为读访问时,从所述存储模块中查
询获取所述文件标识对应的随机密码的查询单元,所述查询单元与所述识别
单元、存储模块和私钥模块分别相连。
6、根据权利要求1所述的硬件密钥装置,其特征在于,还包括:连接在
所述第一数据接口与所述密钥生成模块和所述私钥模块之间的生物特征验证
模块,用于采集用户的生物特征,并当所述生物特征验证不通过时禁止所述
...
【专利技术属性】
技术研发人员:艾方,唐斌,
申请(专利权)人:北京华大恒泰科技有限责任公司,
类型:实用新型
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。