本发明专利技术涉及一种USB接口的ATA类存储设备中数据的加密方法及装置,在常规ATA类存储设备的基础上,通过用户卡和硬件加密板卡组成的数据加密装置,对存储设备和USB主机之间传输的数据进行加密,从而达到对存储设备中数据硬加密的目的。装置由用户密钥卡和硬件加密板卡组成;所述的硬件加密板卡由USB收发器、USB设备控制器、控制端点缓冲区、批量端点缓冲区、主控制器、加解密模块、ATA控制器、密钥获取模块和安全访问模块组成。有益效果:密钥直接由加密装置读取,不经过存储设备所连接的计算机,安全性高。而且加解密速度快,独立于操作系统,并且密钥保存于专门的硬件密钥存储卡,密钥与被保护数据独立存放,确保数据的安全。
【技术实现步骤摘要】
本专利技术涉及一种USB接口的ATA类存储设备中数据的加密方法及装置,用于保护 存储设备中数据的机密性,并且能够禁止对存储设备未经许可的访问,属于信息安全 领域。
技术介绍
目前,基于USB接口的移动存储设备由于能够为用户提供较大的存储空间,且具有 携带方便,速度快以及即插即用的特点,获得了众多用户的青睐,已经成为用户交换 数据的常用设备。其中,基于USB接口的ATA类存储设备是最常用的一类。但是,由于移动存储设备上的数据若以明文形式存储,极易被非法用户获取。因 此,必须限制非法用户的访问,并防止移动存储设备丢失、被盗和废弃而引发的泄密 问题。用户认证和数据加密是解决该问题的重要技术手段。常用的加密方式分为两种 软件加密和硬件加密。然而,软件加密存在着加解密速度慢、需要相关的操作系统和 应用程序支持、对用户不透明、占用系统资源,而且加密软件自身也会存在安全漏洞 (如加密程序可能被中止、加密密钥驻留内存等),攻击者利用这些安全漏洞将会对移 动存储中敏感数据的安全性造成威胁。采用硬件加密机制则完全避免了这些问题加解密速度快、不依赖于特定操作系 统或其他应用程序、对用户完全透明、对系统性能没有显著的影响,而且加密密钥独 立于操作系统和应用程序加载,防止了来自存储设备上恶意代码的攻击。即使移动存 储设备被盗,只要保证密钥的安全性,盗窃者也无法获得移动存储设备中的机密数据 信息。我们经过检索国内专利、非专利文献及互联网资源,共检索出以下与USB接口ATA类存储设备加密方法和装置密切相关的资料"语音、图像数字移动硬盘"专利中提出了一种语音、图像数字移动硬盘。它在主机IDE接口和硬盘之间引入特定型号的加密IC,用来对交互的数据进行加解密操作。此 加密IC遵从智能卡串行通信协议,加密速度慢,并且加密是以文件为粒度的,依赖于 操作系统,对用户不透明。"具有安全加密功能的USB移动存储设备"专利中提出了一种具有安全加密功能的 USB移动存储设备,通过驱动程序与相关软件的配合实现加密,存在前面所述软件加密 的缺点和安全漏洞,安全性不高。"基于通用串行总线接口的安全加密盒存储装置"专利中提出了一种基于通用串 行总线接口和智能卡进行在线和本机身份认证和对文件加/解密并存储以对文件安全 网络传输的加密装置。它采用智能卡对数据进行加密,加解密速度慢,并且需要相应 的读卡设备。"百事灵"超级加密型移动硬盘采用的是3DES加密算法来进行加密。旅之星的"黑金刚"移动硬盘声称采用的是硬件加密技术,但是并没有对所采用的加密算法进行说 明。深圳亚略特公司又推出了釆用硬加密技术的指纹移动硬盘ARATEK-FMD,也没有对 所采用的加密算法进行说明。而本专利技术中的加密系统可以支持NIST认证的加密算法或 者我国自主开发的强加密算法,并且采用硬件加密技术和用户身份认证技术相结合的 方法,速度快、安全性高。联想公司的"一种移动存储装置及存取移动存储装置中加密数据的方法"专利中 提出了一种对移动存储设备进行加解密的装置及数据加密方法。但是此种加密是通过 与移动存储设备相连的计算机进行软件加密的,存在安全隐患安全,而且直接由计算不高。联想公司的"可独立于计算机的移动外存内容加密方法"专利中提出了一种对移 动外存的内容进行加密的方法。但是它仍依赖于所使用计算机的操作系统,并且移动 外存中保存有密码,密钥未与被加密数据独立存放,存在致命的安全隐患,且所采用 的加密方式仍然是软件加密。综上,检索的结论是国内在安全移动存储设备方面的研究己经取得了一定的成 果,也已经有相应的产品面世。但是,到目前为止还没有采用纯硬件加密、将数据加 密和身份认证相结合、不依赖操作系统和软件、支持所有USB接口和强分组密码算法 或其它变换操作的ATA类存储设备的高速加密方法和装置。
技术实现思路
要解决的技术问题为了避免现有技术的不足之处,本专利技术提出一种USB接口的ATA类存储设备中数 据的加密方法及装置,该方法只依赖于此加密装置,在加密装置正确连接存储设备和 USB主机后,即启动本专利技术所描述的加密方法,实现对存储设备中数据的保护。技术方案本专利技术的思想在于在常规ATA类存储设备的基础上,通过用户卡和硬件加密板 卡组成的数据加密装置,对存储设备和USB主机之间传输的数据进行加密,从而达到 对存储设备中数据硬加密的目的。所述用户卡中存储代表用户身份的认证密钥Kua、 鉴别用户卡读取者身份的认证密钥Kea、工作密钥素材Dk,由用户保管并在需要时插入硬件加密板卡相应的接口中;用于鉴别硬件加密板卡的合法性、表明自己的身份、 向身份合法的硬件加密板卡提供密钥素材;所述硬件加密板卡中存储代表自己身份的认证密钥Kea、鉴别用户身份的认证密钥Kua;用于表明自己的身份、鉴别用户卡的合法性、获取密钥素材Dk、计算工作密钥Kw,完成与USB主机的通信、MASS STORAGE 协议处理、数据加解密,实现对ATA类存储设备的数据读写。由于此加密方法对存储 设备中的所有数据进行加密,这样即使非法得到存储设备,如果没有密钥,也无法从 存储设备中的密文得到原始明文数据,信息隐藏级别高。本专利技术可广泛应用于国防、 党政机关、企业与公司、财务管理部门等涉密单位的移动存储系统中去。一种USB接口的ATA类存储设备中数据的加密方法,其特征在于包括以下步骤(1) USB协议处理步骤按照USB协议标准接收并解析计算机发来的数据包,当前事 务为控制传输时,对请求设备信息的命令则按照要求返回数据,对配置设备的 命令则按要求配置设备,并返回状态信息;当前事务为批量传输时,如果是输 出事务则将USB包中的有效数据放入批量端点输出缓冲区,如果是输入事务则从 批量端点输入缓冲区中读取有效数据并返回给计算机;(2) MASS STORAGE协议处理步骤解析批量端点输出缓冲区中的包类型,将命令 包转换成相应的ATA命令块并传给ATA协议处理步骤,将数据包交由加解密步骤 进行加密;对用于读取设备型号、固件版本、存储容量、设备状态等信息的命 令,将ATA协议处理步骤返回的参数和状态信息封装成MASS STORAGE数据包写入批量端点输入缓冲区;对于向存储设备中写数据的命令,控制加解密步骤对随 后批量端点输出缓冲区中的MASS STORAGE数据包进行加密;对于从存储设备中 读数据的命令,控制加解密步骤解密来自ATA协议处理步骤的数据,并将解密后 的明文数据封装成MASS STORAGE数据包写入批量端点输入缓冲区;(3) 加解密步骤使用密钥获取步骤生成的工作密钥Kw,当MASS STORAGE协议处理步骤解析的命令包是向存储设备中写数据的命令时,调用密码算法加密批量 端点输出缓冲区中的MASS STORAGE数据包,将加密结果传给ATA协议处理步骤;当MASS STORAGE协议处理步骤解析的命令包是从存储设备中读数据的命令时, 则调用密码算法解密ATA协议处理步骤传来的数据,将解密结果传给MASS STORAGE协议处理步骤;所述的密钥获取步骤是使用认证密钥Kua、 Kea和随机 生成数进行内部认证和外部认证,在内部认证和外部认证失败次数超过设定值 后,中止本方法所有步骤的处理;否则,对读取的密钥素材Dk进行加密计算生 成工作密钥Kw后,本文档来自技高网...
【技术保护点】
一种USB接口的ATA类存储设备中数据的加密方法,其特征在于包括以下步骤: (1)USB协议处理步骤:按照USB协议标准接收并解析计算机发来的数据包,当前事务为控制传输时,对请求设备信息的命令则按照要求返回数据,对配置设备的命令则按要 求配置设备,并返回状态信息;当前事务为批量传输时,如果是输出事务则将USB包中的有效数据放入批量端点输出缓冲区,如果是输入事务则从批量端点输入缓冲区中读取有效数据并返回给计算机; (2)MASS STORAGE协议处理步骤:解析批量端 点输出缓冲区中的包类型,将命令包转换成相应的ATA命令块并传给ATA协议处理步骤,将数据包交由加解密步骤进行加密;对用于读取设备型号、固件版本、存储容量、设备状态等信息的命令,将ATA协议处理步骤返回的参数和状态信息封装成MASS STORAGE数据包写入批量端点输入缓冲区;对于向存储设备中写数据的命令,控制加解密步骤对随后批量端点输出缓冲区中的MASS STORAGE数据包进行加密;对于从存储设备中读数据的命令,控制加解密步骤解密来自ATA协议处理步骤的数据,并将解密后的明文数据封装成MASS STORAGE数据包写入批量端点输入缓冲区; (3)加解密步骤:使用密钥获取步骤生成的工作密钥Kw,当MASS STORAGE协议处理步骤解析的命令包是向存储设备中写数据的命令时,调用密码算法加密批量端点输出缓冲 区中的MASS STORAGE数据包,将加密结果传给ATA协议处理步骤;当MASS STORAGE协议处理步骤解析的命令包是从存储设备中读数据的命令时,则调用密码算法解密ATA协议处理步骤传来的数据,将解密结果传给MASSSTORAGE协议处理步骤;所述的密钥获取步骤是:使用认证密钥Kua、Kea和随机生成数进行内部认证和外部认证,在内部认证和外部认证失败次数超过设定值后,中止本方法所有步骤的处理;否则,对读取的密钥素材Dk进行加密计算生成工作密钥Kw后,将Kw提供给加解密步骤; (4)ATA协议处理步骤:接收MASS STORAGE协议处理步骤生成的ATA命令块,当接收到获取存储设备参数的命令块时,将从存储设备中读取的数据直接交由MASSSTORAGE协议处理步骤使用;当接收到向存储设备中写数据的命令块 时,将加解密步骤加密好的密文数据写入存储设备;当接收到从存储设备中读数据的命令块时,将从存储设备中读出的数据交给加解密步骤进行...
【技术特征摘要】
【专利技术属性】
技术研发人员:戴冠中,刘航,李美峰,胡伟,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:87[中国|西安]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。