一種具有多層加密保護的存儲裝置的製作方法
2023-05-21 04:21:26 2
專利名稱:一種具有多層加密保護的存儲裝置的製作方法
技術領域:
本發明涉及一種計算機加密系統,特別是涉及到一種在計算機讀寫數據的過程中,對流經計算機數據通道的數據進行加、解密的裝置。
背景技術:
隨著電子技術的發展,計算機的廣泛應用,計算機的信息安全保密越來越受到重視,即使是作為文件的暫時移動,為了確保文件的安全也常常需要一種可靠的裝置來對數據進行安全保管。目前,指紋識別技術已得到了廣泛用,例如中國專利公開號為CN131465
公開日為2001年9月26日發明名稱為「指紋硬碟」的專利,該申請案公開了一種將指紋識別器與硬碟有機結合的存儲裝置,利用指紋進行身份辯識,只有本人才能進入存儲空間進行操作,比起傳統的採用密碼或其它密鑰等方式,使存儲的數據更加安全了,但是,僅靠指紋識別技術仍然必免不了單獨盜取或拆卸存儲硬碟接入到其它存儲控制板上,來竊取數據信息或對數據進行破譯的可能。
發明內容
本發明的目的就是對已有技術存在的不足,提出一種對存儲數據具有多層加密保護的存儲裝置,使其不但具有指紋識別功能,以保證該裝置僅由合法用戶使用,而且對存儲的數據運用動態密鑰實時加密和採用bit級拆分存儲的辦法,使其存儲的數據在多層加密保護下,更加有效地防止了單獨盜取硬碟並接入到其它存儲單元控制板上來盜取內部數據信息或對存儲的數據進行破譯的可能。
該發明的目的主要是通過以下技術方案實現的該發明主要包括控制器1、存儲硬碟3、flash模塊4、指紋感應器5,其特徵是存儲硬碟3通過實時加解密引擎2、IDE接口6與控制器1相連;flash模塊4通過flash模塊接口7與控制器1相連,並flash模塊4通過線路與實時加解密引擎2連接;指紋感應器5通過排線與控制器1相連;其中,flash模塊4由只少一個用來存儲數據的存儲晶片或內存構成,將flash模塊4通過重建文件分配表和自建文件存儲格式的方法,分割成三個空間,即公共區、保密區、隱藏區;公共區主要用來存儲指紋識別等各種應用程式;保密區主要用來存儲需要保護的數據;隱藏區主要用來儲存授權用戶第一次使用登陸時得到的指紋特徵模板、硬體加解密密鑰等;指紋感應器5由控制器1進行控制,抓取實時的指紋數據,計算機將抓取的指紋數據與第一次指紋特徵模板數據進行比對,如比對成功,則出現授權用戶使用的讀寫空間;控制器1通過USB接口8與計算機連接,並對存儲硬碟3、實時加解密引擎2、flash模塊4及指紋感應器5進行管理和協調,並對存儲的數據信息在經過指紋識別程序得到確認後,進行安全有序地加、解密處理;所述的對存儲的數據進行加、解密處理,主要是指,該發明在控制器1的控制下,對存儲數據運用bit級拆分存儲技術;即對每個字節按著bit拆分,並配合用戶信息與地址信息,把每個字節不同部分按照計算好的地址存放,使存放在硬碟3內的數據零散不完整,無法進行破譯;讀取數據時同樣經過該發明板內運算得到地址信息並加以組合恢復明文。
或該發明在控制器1的控制下,對存儲數據採用動態密鑰加密與解密;對數據加密時,加密密鑰根據每次指紋認證特徵點隨機生成,控制器1將隨機生成的加密密鑰寫入到flash模塊4的隱藏區內,當向存儲硬碟3寫入數據時,實時加解密引擎2從flash模塊4的隱藏區內調用加密密鑰將所寫入的數據進行加密,然後存入存儲硬碟3內;當對數據解密時,解密密鑰根據存儲的特徵點代碼與加密文件特徵碼運算隨機生成,控制器1將隨機生成的解密密鑰寫入到flash模塊4的隱藏區內,當從存儲硬碟3讀取數據時,實時加解密引擎2從flash模塊4的隱藏區內調用解密密鑰,對存儲硬碟3內的數據進行解密還原輸出。
或在控制器1的控制下,寫操作時,對存儲的數據運用動態密鑰加密後,採用bit級拆分形成密文存儲;讀操作時讀出密文及地址信息並加以組合後,再經動態密鑰解密,恢復明文。
由於該發明採用了指紋識別技術,使得破解和盜用密碼手段成為不可能。同時對存入存儲硬碟3內的數據採用動態密鑰實時加解密及對存儲的數據採用bit級拆分存儲方法,有效的防止了單獨盜取存儲硬碟3並接入到其它存儲單元控制板上來盜取內部數據或破譯的可能,使存儲硬碟內的數據在多層加密保護下更加安全,為對數據密級要求較高的部門或單位提供了一種更加安全可靠的存儲裝置。
圖1本發明的內部結構示意2本發明對數據進行加、解密的流程圖其中1-控制器2-實時加解密引擎3-存儲硬碟4-flash模塊5-指紋感應器6-IDE接口7-flash模塊接口8-USB接口具體實施方式
下面結合附圖對本發明加以詳細說明如圖1所示該發明主要包括控制器1、存儲硬碟3、flash模塊4、指紋感應器5,其特徵是存儲硬碟3與實時加解密引擎2相連、實時加解密引擎2通過IDE接口6與控制器1相連;flash模塊4通過flash模塊接口7與控制器1相連,並flash模塊4通過線路與實時加解密引擎2相連、;指紋感應器5通過排線與控制器1相連;其中,flash模塊4由只少一個用來存儲數據的存儲晶片或內存構成,將flash模塊4通過重建文件分配表和自建文件存儲格式的方法,分割成三個空間,即公共區、保密區、隱藏區;公共區主要用來存儲指紋識別等各種應用程式;保密區主要用來存儲需要保護的數據;隱藏區主要用來儲存授權用戶第一次使用登陸時得到的指紋特徵模板、硬體加解密密鑰等;指紋感應器5由控制器1進行控制,抓取實時的指紋數據,計算機將抓取的指紋數據與第一次指紋特徵模板數據進行比對,如比對成功,則出現授權用戶使用的讀寫空間;控制器1通過USB接口8與計算機連接,並對存儲硬碟3、實時加解密引擎2、flash模塊4及指紋感應器5進行管理和協調,及對存儲的數據在經過指紋識別程序得到確認後,進行安全有序地加、解密處理;在進行寫操作時首先運用動態加密密鑰對存儲的數據進行加密,加密密鑰是根據每次指紋認證特徵點隨機生成的,控制器1將隨機生成的加密密鑰寫入到flash模塊4的隱藏區內,當向存儲硬碟3寫入數據時,實時加解密引擎2從flash模塊4的隱藏區內調用加密密鑰將所寫入的數據進行加密;然後在控制器1的控制下,對存儲數據再運用bit級拆分存儲技術;即對存儲數據的每個字節完全按著bit級進行拆分,並配合用戶信息與地址信息,把每個字節不同部分按照計算好的地址存放,使存放在存儲硬碟3內的數據零散不完整,無法破譯;當對存儲的數據進行讀操作時對經bit級拆分存儲的數據,在控制器1的控制下根據用戶指紋信息及存儲的地址信息加以組合,然後在控制器1的控制下,再根據存儲的特徵點代碼與加密文件特徵碼運算生成的解密密鑰,對存儲硬碟3內的數據進行解密還原輸出。
為便於對拆分技術的理解,現以硬碟為例作進一步的說明硬碟上的數據按照其不同的特點和作用大致可分為5部分MBR區、DBR區、FAT區、DIR區和DATA區。
MBR區即為主引導記錄區,位於整個硬碟的0磁軌0柱面1扇區。不過,在總共512位元組的主引導扇區中,MBR只佔用了其中的446個字節,另外的64個字節交給了DPT硬碟分區表,最後兩個字節是分區的結束標誌。這個整體構成了硬碟的主引導扇區。
主引導記錄中包含了硬碟的一系列參數和一段引導程序。其中的硬碟引導程序的主要作用是檢查分區表是否正確並且在系統硬體完成自檢以後引導具有激活標誌的分區上的作業系統,並將控制權交給啟動程序。MBR是由分區程序如Fdisk.com所產生的,它不依賴任何作業系統,而且硬碟引導程序也是可以改變的,從而實現多系統共存。
DBR區是作業系統引導記錄區。它通常位於硬碟的0磁軌1柱面1扇區,是作業系統可以直接訪問的第一個扇區,它包括一個引導程序和一個被稱為BPB的本分區參數記錄表。引導程序的主要任務是當MBR將系統控制權交給它時,判斷本分區根目錄前兩個文件是不是作業系統的引導文件。如果確定存在,就把其讀入內存,並把控制權交給該文件。BPB參數塊記錄著本分區的起始扇區、結束扇區、文件存儲格式、硬碟介質描述符、根目錄大小、FAT個數,分配單元的大小等重要參數。
FAT區是文件分配表區,文件佔用磁碟空間時,基本單位不是字節而是簇。簇的大小與磁碟的規格有關,一般情況下,軟盤每簇是1個扇區,硬碟每簇的扇區數與硬碟的總容量大小有關,可能是4、8、16、32、64......
同一個文件的數據並不一定完整地存放在磁碟的一個連續的區域內,而往往會分成若干段,像一條鏈子一樣存放,這種存儲方式稱為文件的鏈式存儲。硬碟上的文件常常要進行創建、刪除、增長、縮短等操作。這樣操作做的越多,盤上的文件就可能被分得越零碎。但是,由於硬碟上保存著段與段之間的連接信息即FAT,作業系統在讀取文件時,總是能夠準確地找到各段的位置並正確讀出。不過,這種以簇為單位的存儲法也是有其缺陷的,這主要表現在對空間的利用上,每個文件的最後一簇都有可能有未被完全利用的空間稱為尾簇空間,一般來說,當文件個數比較多時,平均每個文件要浪費半個簇的空間。
為了實現文件的鏈式存儲,硬碟上必須準確地記錄哪些簇已經被文件佔用,還必須為每個已經佔用的簇指明存儲後繼內容的下一個簇的簇號,對一個文件的最後一簇,則要指明本簇無後繼簇。這些都是由FAT表來保存的,表中有很多表項,每項記錄一個簇的信息。
DIR區是根目錄區,緊接著第二FAT表(即備份的FAT表)之後,記錄著根目錄下每個文件的起始單元,文件的屬性等。定位文件位置時,作業系統根據DIR中的起始單元,結合FAT表就可以知道文件在硬碟中的具體位置和大小了。
DATA區是數據區,是真正意義上的數據存儲的地方,位於DIR區之後,佔據硬碟上的大部分數據空間。
通過對以上硬碟數據結構的了解,實現對數據流bit級控制,拆分實現起來比較容易,關鍵在於拆散與組合。不同於網絡上流行的文件分割算法,本發明所述的數據拆分技術,是完全按照bit級進行拆分,即將主機寫入硬碟的每組16bit數據不組合,直接存入硬碟中,並配合用戶信息與地址信息,把每個字節不同部分按照計算好的地址存放,主機不用記住地址信息;讀取時同樣經過板內運算得到地址信息並加以組合恢復明文。板內實現虛擬分區表和FAT表,完全替代硬碟分區表和FAT表。硬碟上的FAT表和分區表已經經過處理變得面目全非。當SysInt_1讀分區表時,它必須通過板內虛擬分區表。在普通硬碟上以簇為存儲單位的文件,同樣在硬碟上也以不同的簇的方式存在。為了保證運算速度,所有拆分算法、地址算法全是通過硬體實現,實時計算無反饋。
本發明是基於Windows系列作業系統來設計應用軟體,使其實現指紋圖象的處理、數據的存儲、硬碟初始化等。
本發明的工作流程,如圖2所示當將該發明的USB接口8與計算機的相應接口連接後自動彈出Run.exe,執行Run.exe,計算機通過控制器1啟動指紋認證程序,進入指紋認證界面,同時控制器1將指紋感應器5提取的指紋信息,通過USB接口8送入計算機處理;如果是第一次登入該發明,那麼經計算機處理的指紋信息將以特徵點的方式,經控制器1存入flash模塊4的隱藏區內;如再次登入仍需經指紋驗證,指紋感應器5獲取的指紋信息,經控制器1、USB接口8送入計算機處理,並同存入到flash模塊4的隱藏區內的指紋特徵進行比對,然後將比對結果信息經USB接口8返回控制器1;如比對失敗,則返回到指紋認證界面,從新驗證;如比對成功,則通過控制器1打開flash模塊4的保密區用戶使用空間,進入操作界面供用戶使用;在進行寫操作時首先運用動態加密密鑰對數據進行加密,加密密鑰是根據每次指紋認證特徵點隨機生成的,控制器1將隨機生成的加密密鑰寫入到flash模塊4的隱藏區內,當向存儲硬碟3寫入數據時,實時加解密引擎2從flash模塊4的隱藏區內調用加密密鑰,將所寫入的數據進行加密,然後在控制器1的控制下,對存儲數據再運用bit級拆分存儲技術;即對每個字節按著bit拆分,並配合用戶信息與地址信息,把每個字節不同部分按照計算好的地址存放,使保存在存儲硬碟3內的數據零散不完整,行成密文。
在進行讀操作時首先對經bit級拆分存儲的數據,在控制器1的控制下根據用戶指紋信息及存儲的地址信息加以組合,然後在控制器1的控制下,再根據存儲的特徵點代碼與加密文件特徵碼運算生成的解密密鑰,對存儲硬碟3內的數據進行解密還原成明文輸出。
權利要求
1.一種具有多層加密保護的存儲裝置,主要包括控制器[1]、存儲硬碟[3]、flash模塊[4]、指紋感應器[5],其特徵是存儲硬碟[3]與實時加解密引擎[2]相連、實時加解密引擎[2]通過IDE接口[6]與控制器[1]相連;flash模塊[4]通過flash模塊接口[7]與控制器[1]相連,並flash模塊[4]通過線路與實時加解密引擎[2]相連、;指紋感應器[5]通過排線與控制器[1]相連;其中,flash模塊[4]由只少一個用來存儲數據的存儲晶片或內存構成,將flash模塊[4]通過重建文件分配表和自建文件存儲格式的方法,分割成三個空間,即公共區、保密區、隱藏區;公共區主要用來存儲指紋識別等各種應用程式;保密區主要用來存儲需要保護的數據;隱藏區主要用來儲存授權用戶第一次使用登陸時得到的指紋特徵模板、硬體加解密密鑰等;指紋感應器[5]由控制器[1]進行控制,抓取實時的指紋數據,計算機將抓取的指紋數據與第一次指紋特徵模板數據進行比對,如比對成功,則出現授權用戶使用的讀寫空間;控制器[1]通過USB接口[8]與計算機連接,並對存儲硬碟[3]、實時加解密引擎[2]、flash模塊[4]及指紋感應器[5]進行安全有序地管理和協調,並對存儲的數據在經過指紋識別程序得到確認後,進行加、解密處理。
2.根據權利要求1所述的一種具有多層加密保護的存儲裝置,其特徵是所述的對存儲的數據進行加解密處理,主要是指,在控制器[1]的控制下,對存儲數據運用拆分存儲技術;即對每個字節按著bit拆分,並配合用戶信息與地址信息,把每個字節不同部分按照計算好的地址存放,主機不用記住地址信息;讀取數據時同樣經過該發明板內運算得到地址信息並加以組合恢復明文。
3.根據權利要求1所述的一種具有多層加密保護的存儲裝置,其特徵是所述的對存儲的數據進行加解密處理,主要是該發明在控制器[1]的控制下,對存儲數據採用動態密鑰加密與解密;對數據加密時,加密密鑰根據每次指紋認證特徵點隨機生成,控制器[1]將隨機生成的加密密鑰寫入到flash模塊[4]的隱藏區內,當向存儲硬碟[3]寫入數據時,實時加解密引擎[2]從flash模塊[4]的隱藏區內調用加密密鑰將所寫入的數據進行加密,然後存入存儲硬碟[3]內;當對數據解密時,解密密鑰根據存儲的特徵點代碼與加密文件特徵碼運算隨機生成,控制器[1]將隨機生成的解密密鑰寫入到flash模塊[4]的隱藏區內,當從存儲硬碟[3]讀取數據時,實時加解密引擎[2]從flash模塊[4]的隱藏區內調用解密密鑰,對存儲硬碟[3]內的數據進行解密還原輸出。
4.如權利要求1所述的一種具有多層加密保護的存儲裝置,其特徵是所述的對存儲的數據進行加解密處理,主要是在控制器[1]的控制下,寫操作時,對存儲的數據運用動態密鑰加密後,採用bit級拆分形成密文存儲;讀操作時讀出密文及地址信息並加以組合後,再經動態密鑰解密,恢復明文。
全文摘要
一種具有多層加密保護的存儲裝置,控制器1分別通過IDE接口6、flash接口7、排線與實時加密引擎2、存儲硬碟3、flash模塊4、指紋感應器5相連;控制器1通過USB接口8與計算機連接,對該存儲裝置進行安全有序地協調、管理及對存儲的數據信息進行加、解密處理,即在採用指紋識別技術的同時,對存入的數據採用動態密鑰實時加、解密和bit級拆分存儲;因此有效的防止了單獨盜取存儲硬碟並接入到其它存儲單元控制板上來竊取內部數據的可能。使存儲硬碟內的數據在多層加密保護下更加安全,本發明可廣泛應用在對保密層次要求較高的公安、國防、金融、科研等行業和部門。
文檔編號G06K9/00GK101082883SQ20061001689
公開日2007年12月5日 申請日期2006年5月31日 優先權日2006年5月31日
發明者樸顯澤, 崔軍 申請人:樸顯澤, 崔軍