一種硬加密移動硬碟及其應用方法

2023-07-17 12:05:41

專利名稱：一種硬加密移動硬碟及其應用方法
技術領域：
本發明涉及一種移動硬碟，尤其涉及一種全盤硬加密移動硬碟及其應用管理方法。
背景技術：
隨著信息化的不斷深入，電子存儲設備得到了越來越廣泛的應用，大到國家的重大工程的數據保存，小到個人資料的存儲，人們的日常生產和生活已經離不開各種各樣的電子存儲器。特別是移動硬碟，因其外形小巧、耗電低、存儲量大、攜帶方便，受到人們的青睞，在單位及個人的數據存儲領域中佔有重要的一席之地。但是，在人們平常藉助於移動硬碟保存和使用數據的過程中，移動硬碟的意外丟失及未經許可使用的情形的頻繁出現，使得數據的安全性問題顯得日益突出。為此，出現了多種類型的加密移動硬碟。迄今為止，加密移動硬碟的技術方案常見的有以下幾種
1、單純對使用權限進行控制，而不對硬碟本體及其數據進行處理。每次使用前，對用戶進行身份認證，硬碟本身數據不加密。這種方案有基於硬體和基於軟體兩種技術途徑，常見的具體實現形式有
A、為用戶設置PIN碼，在每次使用前進行PIN碼的驗證，硬碟本身數據不加密；
B、為用戶設置IC卡插槽或讀卡器，每次使用前進行IC卡的讀取，硬碟本身數據不加
密；
C、設置指紋讀取裝置，每次使用前進行指紋的認證，硬碟本身數據不加密。2、通過提前將硬碟的分區表移走並破壞原分區表內容的方式，將硬碟的某些分區設置為加密分區，每次使用移動硬碟的時候，先進行用戶認證，認證通過後再將分區表還原，每次使用完畢以後再將分區表移走。3、與一定的用戶認證手段相結合，對寫入硬碟的數據進行全盤加密。在以上三種常見的加密移動硬碟方案中，優劣十分明顯。第一種加密移動硬碟方案，形象地說只是「給屋子的大門上了一把鎖，屋子裡的東西還是原樣」，換句話說，只要把硬碟取出來，換個硬碟盒就可以照樣讀出數據，因此只是 「偽加密」。第二種方式的問題在於，如果在使用當中突然斷電或用戶在使用完後忘記重新加密，那麼硬碟將處於不加密的狀態，任何人都可以直接讀取其數據，另外，由於硬碟上的分區雖然進行了處理，但是由於數據是不加密的，因此通過一些能直接讀取硬碟全部數據的工具軟體還是可以看到原始數據。第三種方案就不同了，即使移動硬碟盒被破壞，硬碟本體被直接拿走，由於盤上的數據是加密過的，因此只要密鑰不丟失，那麼非法用戶還是無法讀取數據，第三種的安全性更高。就硬碟數據全盤加密的技術手段的不同，全盤加密又可以分為軟加密和硬加密兩種，從安全性來說，這兩種方式比較接近，但是從加解密的速度來說，硬加密要勝出一籌。

發明內容
本發明所要解決的技術問題是將移動硬碟的全盤硬加密與新穎可靠的用戶認證管理方法相結合，提供一種硬加密移動硬碟及其應用方法。本發明為解決上述技術問題採用如下技術方案
一種硬加密移動硬碟，包括硬碟盒、硬碟本體；所述硬碟盒包括上下兩個相互配套的蓋體，硬碟本體設置於硬碟盒內；還包括顯示器、用於輸入的鍵盤、用於採集指紋的指紋傳感器、以及用於對硬碟數據實時加解密及驗證用戶身份的控制器；
其中，所述顯示器、鍵盤和指紋傳感器設置在硬碟盒的上蓋體的表面； 所述控制器分別與顯示器、鍵盤、指紋傳感器、硬碟本體相連接。優選的，本發明的硬加密移動硬碟，控制器採用SSX45安全晶片。優選的，本發明的硬加密移動硬碟，指紋傳感器採用射頻活體指紋識別技術的指紋傳感器。一種硬加密移動硬碟的應用方法，包括以下步驟
步驟A，系統上電，進入用戶認證狀態採用指紋傳感器與控制器進行握手，握手通過後，進入下一步驟；否則持續進行握手，直至斷電退出；
步驟B，進行用戶指紋識別，當指紋識別成功後，進行USB枚舉、連接、硬碟的識別；當指紋識別不成功，則持續進行指紋識別，直至斷電退出；
步驟C，控制器根據上位機發來的指令的類型判斷電腦進行的操作，自動區分指令和數據部分
C-1，當上位機發來的指令是「寫」指令時，控制器將接收到的數據進行實時加密並寫入硬碟中；
C-2，當上位機發來的指令是「讀」指令時，控制器依據指令中信息提取出硬碟中對應的數據，再實時解密後發送到上位機；
C-3，當不屬於C-1、C-2的類型時，判斷是否進入管理員工作狀態，當結果為否，則進入待機狀態；當結果為是，則進行管理員身份驗證；
C-3-1，當管理員身份驗證成功，則進入管理員子程序；
C-3-2，當管理員身份驗證不成功，則重新進行驗證，直至超過規定的驗證次數、失敗鎖死。進一步，本發明的硬加密移動硬碟的應用方法，步驟C-I中控制器對接收到的數據進行實時加密、步驟C-2中提取出硬碟中一定的數據進行實時解密是遵循USB2. 0協議及 SCSI指令集的方法來實現。進一步，本發明的硬加密移動硬碟的應用方法，各步驟中所述控制器採用SSX45 安全晶片。進一步，本發明的硬加密移動硬碟的應用方法，步驟A所述指紋傳感器採用射頻活體指紋識別技術的指紋傳感器。本發明採用上述技術方案具有如下有益效果
本發明的指紋管理部分採用了不依賴於電腦軟體並結合管理員口令的硬體實現方式， 這是其最主要的獨特之處，這種組合方式帶來如下好處1、沒有軟體管理帶來的佔用專用電腦的額外花費，只需供電即可完成管理工作；2、排除了指紋的軟體管理過程中，可能帶來的指紋存儲容易洩露的問題，安全性更好。本發明將硬碟數據全盤硬加密、指紋識別及用戶管理能力集於一身，特別是將用戶管理的功能以硬體的方式集成到了硬碟上。對普通用戶而言，使用方法與一般的指紋識別全盤加密移動硬碟無異，但同時，就指紋信息的管理方法而言，與目前存在的指紋識別全盤加密移動硬碟所採用的基於軟體的用戶管理方式相比，集成度更高、可靠性更好、不存在用戶指紋信息經軟體洩露的可能性、並且不依賴於電腦即可獨立實現管理，大大提高了安全性。與現有技術相比，其最大的優點就在於實現了基於硬體的用戶認證資料的管理。


圖1是本發明的功能結構圖。圖2是本發明的工作流程圖。
具體實施方案下面結合附圖對技術方案的實施作進一步的詳細描述。本發明所涉及的移動硬碟，從結構上來說包含以下幾個部分 硬碟盒、控制器、顯示器、鍵盤、指紋傳感器、硬碟本體。其中，硬碟盒包括上下兩個相互配套的蓋體，所述顯示器、鍵盤和指紋傳感器設置在硬碟盒的上蓋體的表面；控制器分別與顯示器、鍵盤、指紋傳感器、硬碟本體相連接，用於密鑰的生成和存儲、數據加解密、驗證輸入密碼及指紋信息。顯示器用於顯示工作狀態、用戶認證信息、提示信息等。鍵盤用於輸入管理員密碼、管理員進行管理功能菜單的選擇、新密碼的輸入等。指紋傳感器用來採集用戶指紋信息，以用於初始指紋採集或用戶身份認證。本發明的指紋傳感器專指採用射頻活體指紋識別技術的指紋傳感器，具有防偽性能好的優點。顯示器、鍵盤以及指紋傳感器通過軟線與控制器連接，提高了抗震能力。如圖1所示，「10接口」用於上位機與控制器之間的連接，指紋傳感器用於採集指紋。如果是首次使用，則在上電時，控制器會生成一個真隨機數並存儲在其中，作為加密及解密時的密鑰，然後，自動進入初始用戶指紋錄入階段，初始用戶指紋錄入結束後即可以進入下面的正常工作流程。如圖2所示，本發明的正常工作流程先將USB線與硬碟以及電腦連接，此時，系統上電，並首先進入用戶認證狀態，該加密移動硬碟的「用戶指紋認證部分」會首先與控制器進行握手，握手通過後，即進入用戶指紋採集階段，用戶需要將採集過指紋的手指划過指紋傳感器，以便進行身份認證，當用戶身份認證通過後即進行正常的USB枚舉、連接、硬碟的識別等工作，此後，系統進入「普通用戶」工作狀態。在「普通用戶」工作狀態，根據上位機的指令的不同，可以分為「讀」和「寫」兩種狀態，控制器會根據上位機發來的指令的類型判斷電腦想要進行的操作，並能自動區分指令和數據部分，這是遵循USB2. 0協議及SCSI指令集的方法來實現。當發來的指令是「寫」指令的時候，「控制器」會放過控制指令，而將發送來的數據進行實時加密並寫入硬碟中，此時寫入硬碟的數據是已經加密過的密文；當上位機發來的指令是「讀」指令的時候，控制器會依據指令中指示的磁頭、柱面、扇區等信息提取出硬碟中對應的數據，再將早先生成的密鑰參與實時解密後經由「 IO接口」發送到上位機。當在使用過程中按下了鍵盤上的「切換」鍵，即進入管理員認證密碼輸入狀態，如果密碼輸入正確，則系統進入「管理員狀態」並顯示管理員菜單項，管理員執行完有關功能後，再次按下「切換」鍵，系統將重新回到「普通用戶」工作狀態。如果管理員密碼連續輸入錯誤，並且輸入次數超過規定次數，則硬碟進入鎖死狀態，用戶將無法自行啟動硬碟。當然本發明的管理員認證方式不限於密碼認證方式，其他的安全認證方式也同樣適用，比如IC卡插卡方式認證、射頻卡認證等等。本發明的控制器目前有兩種常見的類型可以採用，一種是專用的安全晶片，此種安全晶片需要有安全產品研發資質的單位才能購買，同時銷售也需要相應的資質，另外一種是藉助於通用晶片如FPGA、加密DSP等實現的，此種方案不受有關資質的限制。從可靠性上來說，專用安全晶片是更好的選擇。專用安全晶片的內部結構緊湊、運行穩定、且極難破解，是製作安全及密碼產品的首選，本發明中的控制器就採用了專用安全晶片。專用安全晶片依其應用的不同擁有不同的對外接口和內部結構及加密算法，安全晶片通常可以用硬體實現RSA、SHA-1、DES、AES等加密算法，部分安全晶片更針對大數據流量的應用場合優化了結構，此類晶片如SSX45等。作為一個指紋認證的加密移動存儲器，其安全性由以下幾方面得到了保證
1、指紋認證部分在工作前要首先與「控制器」進行密碼握手，握手通過後方可進行下一步的指紋採集工作，這就排除了人為更換用戶指紋認證部分帶來的非法讀取的風險。2、寫入硬碟的數據是全部加密過的，並且密鑰保存在「控制器」裡，而讀取密鑰的前提是用戶認證獲得通過，因此即使在使用過程中斷電或硬碟被人為拆走也不必擔心硬碟上數據的安全性問題。3、指紋的添加、刪除等操作是在隨盤的硬體上完成的，並且在進行管理操作時，管理員需要通過硬碟上的鍵盤輸入密碼，密碼通過後，方可對該硬碟進行指紋的管理，並且如果管理員錯誤輸入密碼的次數超過5次硬碟將鎖死，即使重新上電，用戶也將無法自行啟動該硬碟，這避免了被非法用戶惡意試探管理密碼的可能性。通過以上三個方面密切的協同工作，本發明的硬碟就具有了很高的安全性。
權利要求
1.一種硬加密移動硬碟，包括硬碟盒、硬碟本體；所述硬碟盒包括上下兩個相互配套的蓋體，硬碟本體設置於硬碟盒內；其特徵在於還包括顯示器、用於輸入的鍵盤、用於採集指紋的指紋傳感器、以及用於對硬碟數據實時加解密及驗證用戶身份的控制器；其中，所述顯示器、鍵盤和指紋傳感器設置在硬碟盒的上蓋體的表面； 所述控制器分別與顯示器、鍵盤、指紋傳感器、硬碟本體相連接。
2.根據權利要求1所述的硬加密移動硬碟，其特徵在於所述控制器採用SSX45安全晶片。
3.根據權利要求1所述的硬加密移動硬碟，其特徵在於所述指紋傳感器採用射頻活體指紋識別技術的指紋傳感器。
4.一種硬加密移動硬碟的應用方法，其特徵在於，包括以下步驟步驟A，系統上電，進入用戶認證狀態採用指紋傳感器與控制器進行握手，握手通過後，進入下一步驟；否則持續進行握手，直至斷電退出；步驟B，進行用戶指紋識別，當指紋識別成功後，進行USB枚舉、連接、硬碟的識別；當指紋識別不成功，則持續進行指紋識別，直至斷電退出；步驟C，控制器根據上位機發來的指令的類型判斷電腦進行的操作，自動區分指令和數據部分C-1，當上位機發來的指令是「寫」指令時，控制器將接收到的數據進行實時加密並寫入硬碟中；C-2，當上位機發來的指令是「讀」指令時，控制器依據指令中信息提取出硬碟中對應的數據，再實時解密後發送到上位機；C-3，當不屬於C-1、C-2的類型時，判斷是否進入管理員工作狀態，當結果為否，則進入待機狀態；當結果為是，則進行管理員身份驗證；C-3-1，當管理員身份驗證成功，則進入管理員子程序；C-3-2，當管理員身份驗證不成功，則重新進行驗證，直至超過規定的驗證次數、失敗鎖死。
5.根據權利要求4所述的硬加密移動硬碟的應用方法，其特徵在於，步驟C-I中控制器對接收到的數據進行實時加密、步驟C-2中提取出硬碟中一定的數據進行實時解密是遵循 USB2. 0協議及SCSI指令集的方法來實現。
6.根據權利要求4所述的硬加密移動硬碟的應用方法，其特徵在於，各步驟中所述控制器採用SSX45安全晶片。
7.根據權利要求4所述的硬加密移動硬碟的應用方法，其特徵在於步驟A所述指紋傳感器採用射頻活體指紋識別技術的指紋傳感器。
全文摘要
本發明提供一種硬加密移動硬碟，包括硬碟盒、硬碟本體，還包括控制器、顯示器、鍵盤、指紋傳感器；其中顯示器、鍵盤和指紋傳感器設置在硬碟盒的上蓋體的表面；控制器分別與顯示器、鍵盤、指紋傳感器、硬碟本體相連接，用於密鑰的生成和存儲、硬碟數據的加解密、驗證輸入密碼及指紋信息。本發明還提供一種硬加密移動硬碟的應用方法，首先指紋傳感器與控制器進行密碼握手，然後進行指紋識別操作，在數據讀取和存儲時進行實時的加解密；本發明將硬碟數據全盤硬加密、指紋識別及用戶管理能力相結合，實現了基於硬體的用戶認證資料的管理。
文檔編號G06F3/06GK102184144SQ201110106580
公開日2011年9月14日 申請日期2011年4月27日 優先權日2011年4月27日
發明者劉怡昕, 李連順, 梁剛, 章 寧, 魏運發 申請人:中國人民解放軍炮兵學院南京分院