当前位置:首页专利查询中孚信息股份有限公司专利正文
本发明专利技术属于数据安全存储设备领域,提供了一种基于安全芯片实现的数据安全存储设备及存储方法,其技术方案为:包括安全芯片和存储模块,所述安全芯片内置存储至flash的密钥;所述存储模块包括以CDROM形式存在的普通分区和由唯一密码保护的安全分区;所述安全芯片MCU用于根据登录软件校验密码的状态,展示对应的分区类型;如果未校验密码,展示普通分区,等待SCSI命令,当接收到检验密码指令,将检验密码与flash里的密钥进行对比,若一致下发切换命令,切换至安全分区;如果校验通过密码,则展示安全分区,将读写地址自动转换为存储模块中安全分区的实际地址,实现客户端访问安全分区。
本专利技术属于数据安全存储设备领域,尤其涉及一种基于安全芯片实现的数据安全存储设备及存储方法。
2、为防范数据存储设备而意外丢失引起存储资料的泄密,出现了带有加密功能的存储设备,例如u盘。
5、现有安全存储设备的安全区一般需要存储设备主控芯片厂商的特殊驱动才能存取,因此使用安全区一般都需要安装指定存储设备厂商的驱动程序。而存储设备主控芯片各类繁多,即使相同品牌的存储设备不同型号和批次的存储设备采用的主控芯片也可能不相同,驱动程序也无法通用。这在多平台之间进行数据摆渡时十分不便。
7、现有安全存储设备只通过登录口令去切换分区,仅用切换分区的方式,达到数据保护目的,但是设备内的实际存储的数据仍然为明文形式存在,存在数据安全隐患。
中存在的至少一项技术问题,本专利技术第一专利技术面提供一种基于安全芯片实现的数据安全存储设备,其普通分区内部内置驱动软件,因此安全u盘不需要额外安装驱动软件,安全u盘可以像普通u盘一样即插即用。大大提好了使用的便捷度;通过使用安全芯片内部随机密钥,对文件进行加密处理,安全区里的文件密文形式存在,当登录软件密码校验失败且达到最大重试次数后,将销毁内部密钥,确保数据无法恢复,大大提高了数据的安全性。
3、一种基于安全芯片实现的数据安全存储设备,包括安全芯片和存储模块,所述安全芯片内置存储至flash的密钥;所述存储模块包括以cdrom形式存在的普通分区和由唯一密码保护的安全分区;所述普通分区内置通过私有scsi指令写入的驱动软件;
4、所述安全芯片mcu用于根据登录软件校验密码的状态,展示对应的分区类型;
5、如果未校验密码,展示普通分区,等待scsi命令,当接收到检验密码指令,将检验密码与flash里的密钥进行对比,若一致下发切换命令,切换至安全分区;
6、如果校验通过密码,则展示安全分区,将读写地址自动转换为存储模块中安全分区的实际地址,实现客户端访问安全分区。
7、进一步地,所述安全芯片内部随机数发生器生成随机数,作为国密算法sm4对称加解密的密钥,存储在flash里。
8、进一步地,将检验密码与flash里的密钥进行对比时,将检验密码进行hash运算后与存在设备flash中密钥的hash值进行对比。
9、进一步地,若检验密码与flash里的密钥不一致,所述安全芯片mcu用于返回错误,判断并记录失败次数继续等待命令;当收到修改密码或修改重试次数指令时,首先判断密码是否已验证成功,如果密码未验证成功过,返回错误,继续等待命令;如果已验证成功,将新密码和新的重试次数写入芯片内部flash,修改完成,返回继续等待命令。
10、进一步地,安全区挂载完成后,所述安全芯片mcu用于接收文件传输指令,将之前生成在flash里的密钥,通过安全芯片集成的加解密接口进行加密,数据读取时再由该密钥通过安全芯片集成的解密算法解密。
11、进一步地,在切换安全分区时,所述安全芯片mcu用于判断口令错误的次数是否超过设定阈值,若超过,则重新生成新的随机数,覆盖之前存在flash里的密钥。
12、本专利技术的第二方面提供一种基于第一方面的安全芯片实现的数据安全存储设备的存储方法,其普通分区内部内置驱动软件,因此安全u盘不需要额外安装驱动软件,安全u盘可以像普通u盘一样即插即用。大大提好了使用的便捷度;通过使用安全芯片内部随机密钥,对文件进行加密处理,安全区里的文件密文形式存在,当登录软件密码校验失败且达到最大重试次数后,将销毁内部密钥,确保数据无法恢复,大大提高了数据的安全性。
16、如果未校验密码,展示普通分区,等待scsi命令,当接收到检验密码指令,将检验密码与flash里的密钥进行对比,若一致下发切换命令,切换至安全分区;
17、如果校验通过密码,则展示安全分区,将读写地址自动转换为存储模块中安全分区的实际地址,实现客户端访问安全分区。
18、进一步地,若检验密码与flash里的密钥不一致,返回错误,判断并记录失败次数继续等待命令;当收到修改密码或修改重试次数指令时,首先判断密码是否已验证成功,如果密码未验证成功过,返回错误,继续等待命令;如果已验证成功,将新密码和新的重试次数写入芯片内部flash,修改完成,返回继续等待命令。
19、进一步地,安全区挂载完成后,接收文件传输指令,将之前生成在flash里的密钥,通过安全芯片集成的加解密接口进行加密,数据读取时再由该密钥通过安全芯片集成的解密算法解密。
20、进一步地,在切换安全分区时,判断口令错误的次数是否超过设定阈值,若超过,则重新生成新的随机数,覆盖之前存在flash里的密钥。
22、1、本专利技术的普通分区以cdrom的形式展示,当设备连接pc时可直接双击打开内置的软件,即可完成安全区登录,大大提高使用便捷度,并且以cdrom模式可有效防止普通区数据被恶意改写或删除。
23、2、本专利技术的普通分区为cdrom只读存储介质的属性,内置驱动程序,相比较普通安全u盘,本方案的普通区不会被改写或删除,且登录安全区所使用的驱动程序无需安装,大大提高了使用的便捷性。
24、3、本专利技术的安全区存储数据是由安全芯片使用集成的硬件sm4算法加密后存储的密文,受唯一密钥保护,即使拆出存储芯片,也无法通过探针攻击、功率攻击等手段来破解存储的密文数据。
25、4、本专利技术基于安全芯片方案实现的安全存储设备,可在文件传输的过程中将文件流通过安全芯片自带国密算法进行加密操作,保证扇区内部数据为密文数据,并受到唯一密钥保护,当密钥被销毁,设备内部数据也不可能被强制恢复,大大提高了数据存储的安全性。且使用安全芯片集成的加密算法可大大提高数据加解密的速度,从而提高数据传输速率。
26、本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
1.一种基于安全芯片实现的数据安全存储设备,其特征在于,包括安全芯片和存储模块,所述安全芯片内置存储至flash的密钥;所述存储模块包括以CDROM形式存在的普通分区和由唯一密码保护的安全分区;所述普通分区内置通过私有SCSI指令写入的驱动软件;
2.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,所述安全芯片内部随机数发生器生成随机数,作为国密算法SM4对称加解密的密钥,存储在flash里。
3.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,将检验密码与flash里的密钥进行对比时,将检验密码进行hash运算后与存在设备flash中密钥的hash值进行对比。
4.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,若检验密码与flash里的密钥不一致,所述安全芯片MCU用于返回错误,判断并记录失败次数继续等待命令;当收到修改密码或修改重试次数指令时,首先判断密码是否已验证成功,如果密码未验证成功过,返回错误,继续等待命令;如果已验证成功,将新密码和新的重试次数写入芯片内部flash,修改完成,返回继续等待命令。
5.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,安全区挂载完成后,所述安全芯片MCU用于接收文件传输指令,将之前生成在flash里的密钥,通过安全芯片集成的加解密接口进行加密,数据读取时再由该密钥通过安全芯片集成的解密算法解密。
6.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,在切换安全分区时,所述安全芯片MCU用于判断口令错误的次数是否超过设定阈值,若超过,则重新生成新的随机数,覆盖之前存在flash里的密钥。
7.一种根据权利要求1-6任一项所述的基于安全芯片实现的数据安全存储设备的存储方法,其特征在于,包括如下步骤:
8.如权利要求7所述的一种基于安全芯片实现的数据安全存储方法,其特征在于,若检验密码与flash里的密钥不一致,返回错误,判断并记录失败次数继续等待命令;当收到修改密码或修改重试次数指令时,首先判断密码是否已验证成功,如果密码未验证成功过,返回错误,继续等待命令;如果已验证成功,将新密码和新的重试次数写入芯片内部flash,修改完成,返回继续等待命令。
9.如权利要求8所述的一种基于安全芯片实现的数据安全存储方法,其特征在于,安全区挂载完成后,接收文件传输指令,将之前生成在flash里的密钥,通过安全芯片集成的加解密接口进行加密,数据读取时再由该密钥通过安全芯片集成的解密算法解密。
10.如权利要求8所述的一种基于安全芯片实现的数据安全存储方法,其特征在于,在切换安全分区时,判断口令错误的次数是否超过设定阈值,若超过,则重新生成新的随机数,覆盖之前存在flash里的密钥。
1.一种基于安全芯片实现的数据安全存储设备,其特征在于,包括安全芯片和存储模块,所述安全芯片内置存储至flash的密钥;所述存储模块包括以cdrom形式存在的普通分区和由唯一密码保护的安全分区;所述普通分区内置通过私有scsi指令写入的驱动软件;
2.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,所述安全芯片内部随机数发生器生成随机数,作为国密算法sm4对称加解密的密钥,存储在flash里。
3.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,将检验密码与flash里的密钥进行对比时,将检验密码进行hash运算后与存在设备flash中密钥的hash值进行对比。
4.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,若检验密码与flash里的密钥不一致,所述安全芯片mcu用于返回错误,判断并记录失败次数继续等待命令;当收到修改密码或修改重试次数指令时,首先判断密码是否已验证成功,如果密码未验证成功过,返回错误,继续等待命令;如果已验证成功,将新密码和新的重试次数写入芯片内部flash,修改完成,返回继续等待命令。
5.如权利要求1所述的一种基于安全芯片实现的数据安全存储设备,其特征在于,安全区挂载完成后,所述安全芯片mcu用于接收文件传输指令,将之前生成在flash里的密钥,通过安全芯片集成的加解密接口...
