本发明专利技术公开了一种数据安全存储系统和装置及方法,包括操作平台,存储设备,还包括可信计算单元,用于保护对操作平台和存储设备间读写的数据进行加解密的密钥;加解密单元,用于从可信计算单元读取密钥,利用相应的设定的加解密算法,对操作平台与存储设备之间读写的数据进行加解密;控制单元,用于对可信计算单元和加解密单元进行初始化,并控制加解密单元利用密钥加解密在操作平台和存储设备间读写的数据。其对用户操作要求低,使用过程简单,适应用户的要求。
【技术实现步骤摘要】
本专利技术涉及数据安全领域,特别是涉及一种可信的数据的加解密安全存储的系统和装置及方法。
技术介绍
随着现代通讯技术的快速发展,在通讯设备中对数据的处理量也越来越大,通讯设备中的很多数据也需要在运行过程中,或者在运行结束后存储到不同的存储设备中,如随机读取存储器(RAM),硬盘,或者闪存(Flash)等。这样的通讯设备既有微型计算机(PC),也有小、中、大型服务器,以及笔记本电脑,还有手机、PDA、U盘,MP3、MP4等各种新型的移动通讯设备。通讯设备中存储的数据,如计算机中的数据,常常存储在硬盘上,而如果用硬盘来存储一些安全性较高的数据,如商业秘密,国家安全秘密,国防安全数据等等,如果该硬盘丢失或者失窃将会带来很大的危险,尤其是对于便携式设备和移动设备,它们通常会更方便携带,也就更危险,安全保护方面的要求更高,安全威胁会更大。一般地,为了数据在存储中的安全,通讯设备的用户可能会利用一些加解密方法对数据进行加密,然后才存储到相应的存储设备中。对临时或永久存储在存储设备中的数据,以及通讯传输数据的加密和解密的方法,在本领域普通技术人员中都已经有实现的产品。大多数技术人员采用加解密方法是用一个密钥来加密数据,同时,通常要求接收加密传输的数据或者从存储在存储设备读取加密数据的一方拥有跟加密一方相同或者配对的密钥才能解密。因此,任何一方未经授权的人员都不应当知道或者获得密钥,不得加解密数据,不能获得相关的数据,从而达到对存储数据的安全保护。中国专利申请号200610000047.3公开了一种移动存储设备的数据安全存储和处理方法,它涉及移动存储设备的数据保护技术,特别涉及独立于智能密码钥匙而独立使用的专用移动存储设备的数据存储、处理方法。它用移动保险柜系统工具为移动存储设备中需要加密保护的数据创建专属于合法用户的虚拟加密文件目录。合法用户可以在其中创建、修改和删除文件,可以把移动存储设备中未加密保护的数据拖放到移动保险柜中实施加密,也可以把移动保险柜中被加密保护的数据拖放到移动存储设备中未加密保护的公共区域,以实施解密。对于非法用户,移动保险柜永远是一个加密的磁盘文件,不能打开,也不能获取其中的内容。中国专利申请号200510124652.7也公开了一种用于存储数据的透明端到端安全的设备、系统和方法。该专利技术包括与服务器进行通信的一个或多个客户机。客户机期望将存储结构发送到存储服务器。客户机与服务器关于传输密钥进行协商。客户机产生专门与存储结构相关联的存储密钥。客户机使用存储密钥将存储结构加密,使用传输密钥将存储密钥加密。将加密的存储结构和加密的存储密钥发送到服务器。服务器使用传输密钥将存储密钥解密。服务器在与用于存储密钥的存储设备不同的存储设备上存储结构。最好是,跟踪关于存储结构位置、存储密钥位置,或存储结构名的任何变化,并对关于存储结构的位置和对应存储密钥的位置的关联进行适当修改。但是,现有的加解密被存储数据的安全保护方法,对用户要求过高,使用过程较为复杂,不能适应用户的要求。
技术实现思路
本专利技术的目的在于提供,其对用户操作要求低,使用过程简单,适应用户的要求。为实现本专利技术目的而提供的一种数据安全存储系统,包括操作平台,存储设备,还包括可信计算单元,加解密单元,其中所述可信计算单元,用于保护对操作平台和存储设备间读写的数据进行加解密的密钥;所述加解密单元,用于从可信计算单元读取密钥,利用相应的设定的加解密算法,对操作平台与存储设备之间读写的数据进行加解密。所述的数据安全存储系统,还可以包括控制单元,用于对可信计算单元和加解密单元进行初始化,并控制加解密单元利用密钥加解密在操作平台和存储设备间读写的数据。所述可信计算单元的保护,为通过唯一性标识匹配判断并控制操作平台对存储设备的数据安全存储读写。所述密钥存储于可信计算单元。所述可信计算单元还存储用于匹配判断的操作平台的第一唯一性标识。所述控制单元可以包括密钥判断子单元,读写控制子单元,其中密钥判断子单元,用于判断可信计算单元中是否有密钥,是否需要对操作平台与存储设备间的读写数据进行加解密,并根据判断结果读取操作平台的第二唯一性标识;读写控制子单元,用于在操作平台读取存储设备中的数据时,控制加解密单元对操作平台和存储设备之间的读写数据进行加解密。所述控制单元还可以包括初始化子单元,用于操作平台硬件加电,对初始化软件进行初始化时,加载可信计算环境,并初始化可信计算环境。所述加解密单元可以包括读取数据解密子单元和写入数据加密子单元,其中读取数据解密子单元,用于在操作平台向存储设备读取数据时,将该数据截获并解析,得到原始的加密数据,将该数据解密,得到未加密数据,然后按原传输格式将未加密数据打包,传输给操作平台;写入数据加密子单元,用于在操作平台对存储设备写入数据时,将该数据截获并解析,得到原始的未加密数据,将该数据加密,得到加密数据,然后按原传输格式将加密数据打包,写入到存储设备中去。所述可信计算单元可以包括匹配控制子单元,用于读取第一唯一性标识,并将该第一唯一性标识与密钥判断子单元读取的第二唯一性标识匹配检查。所述可信计算单元还可以包括密钥存储子单元,用于存储加解密密钥和第一唯一性标识。所述可信计算单元还可以更进一步包括密钥生成子单元,用于根据操作平台第一唯一性标识,生成相应的加解密密钥。所述操作平台的计算机系统平台,或者单片机系统平台,或者手机、PDA、U盘、MP3、MP4和操作所述手机、PDA、U盘、MP3、MP4的网络共同组成的主从架构的网络平台。所述存储设备是RAM,或者硬盘,或者闪存中的一种或者一种以上的组合。所述唯一性标识,对计算机系统而言,包括计算机主板的系列号;或者中央处理器序列号;或者设备序列号;或者操作系统序列号;或者应用软件序列号中的一种或者一种以上的组合。所述唯一性标识,对通信网络系统而言,包括手机的SIM卡号;或者手机的国际移动电话识别码中的一种或者两者组合。所述唯一性标识为对操作平台中表示软件平台、硬件平台的特征数据进行哈希运算,所得计算结果的完整性度量值。所述密钥生成子单元可以是通过哈希函数生成加解密密钥。所述加解密算法为DES算法,或者IDEA算法,或者AES算法,或者RSA算法,或者Diffie-Hellman算法,ECC算法中的一种或者一种以上的组合。为实现本专利技术目的还提供一种数据安全存储装置,与操作平台和存储设备电连接,包括可信计算单元,加解密单元,其中所述可信计算单元,用于保护对操作平台和存储设备间读写的数据进行加解密的密钥;所述加解密单元,用于从可信计算单元读取密钥,利用相应的设定的加解密算法,对操作平台与存储设备之间读写的数据进行加解密。所述的数据安全存储系统,还可以包括控制单元,用于对可信计算单元和加解密单元进行初始化,并控制加解密单元利用密钥加解密在操作平台和存储设备间读写的数据。所述可信计算单元的保护,为通过唯一性标识匹配判断并控制操作平台对存储设备的数据安全存储读写。所述密钥存储于可信计算单元。所述可信计算单元还存储用于匹配判断的操作平台的第一唯一性标识。所述控制单元可以包括密钥判断子单元,读写控制子单元,其中密钥判断子单元,用于判断可信计算单元中是否有密钥,是否需要对操作平台与存储设备间的读写数据进行加本文档来自技高网...
【技术保护点】
一种数据安全存储系统,包括操作平台,存储设备,其特征在于,还包括可信计算单元,加解密单元,其中:所述可信计算单元,用于保护对操作平台和存储设备间读写的数据进行加解密的密钥;所述加解密单元,用于从可信计算单元读取密钥,利用相应 的设定的加解密算法,对操作平台与存储设备之间读写的数据进行加解密。
【技术特征摘要】
【专利技术属性】
技术研发人员:乔椿,刘长生,王梓,王庆军,张璐,
申请(专利权)人:深圳兆日技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。