专利名称:基于通用串行总线接口的安全加密和存储装置的制作方法
技术领域:
本发明涉及安全加密装置,尤其是基于通用串行总线接口的加密装置,用于智能卡进行在线和本机身份认证和对文件加/解密并存储以及对文件安全网络传输。
背景技术:
随着计算机应用技术的日益发展,计算机越来越成为人们生产生活中一种必不可缺的信息媒介。网络技术的迅速发展使信息快速高效的共享问题已经得到很好的解决,但如何控制关键信息不被内部泄密?如何保证企事业重要的信息资源安全高效的协同使用而不用内忧外患?如何保证分布世界各地的分支机构与总部安全共享和交换重要信息?如何与自己的合作伙伴分享重要的商务信息而又不担心泄密?如何在保证企事业信息安全的同时而又不必因安全承担过重的成本?这些问题已经成为关系广大企事业机构发展的一系列非常重要的问题。
由于智能卡采用了可以防止各种化学、光学、微探针、测试模式、粒子射线、微分功率分析法等硬件攻击方法的安全芯片,并且芯片内置RSA、3DES、SHA-1等高强度的安全加密算法,密钥通过硬件随机产生,整个加密运算过程在安全芯片中完成,且所有加密密钥不被暴露,因而,使用采用当今最先进的半导体制造技术和信息安全技术的智能卡实施数据加密和密钥保护是国际公认的保证信息安全的最好的方案之一。智能卡的可靠性和安全性使得智能卡越来越普及,应用成本已达到非常低的程度。但是由于制造成本和制造技术能力的限制,要通过加大智能卡本身有限的存储能力以满足当前大容量数据的安全加密和移动存储的要求很难或者说几乎无法实现。
发明内容
本实用新型的一目的在于提供基于通用串行总线接口的安全加密和存储装置,尤其涉及基于通用串行总线接口和智能卡进行在线和本机身份认证和对文件加/解密并存储以及对文件安全网络传输的加密装置。把智能卡和大容量存储芯片安全集成起来,利用智能卡提供高强度的身份认证和严格安全的密钥管理机制,可以通过公钥加密体系实现文件加密、PC安全启动、网络或本机安全登录、远程安全访问、邮件安全传输、文件网络安全传输和服务器资源访问控制以及其他安全应用。可以很好地满足目前广大企事业机构对核心商业机密、商务合同、财务报表、设计方案、客户档案、软件源代码等关键性数据和文件等进行有效管理和安全保护的重要需求。
本实用新型的另一目的在于提供基于通用串行总线接口和智能卡进行在线和本机身份认证和对文件加/解密并存储以及对文件安全网络传输的加密和存储装置。其采用具有数据加密和可扩充存储能力的智能卡,通过通用串行总线接口与计算机通讯,利用智能卡的加密能力和访问控制机制实施数据保护,通过USB口的即插即用功能,快速有效的保证信息安全的要求。
本实用新型的再一目的在于提供基于通用串行总线接口和智能卡进行在线和本机身份认证和对文件加/解密并存储以及对文件安全网络传输的加密和存储装置。通过一个USB控制芯片同时与智能卡和大容量存储介质如硬盘或非易失性FLASH存储器直接相联,通过智能卡安全管理从几十兆字节到几万兆字节的大容量存储空间,使得原来需要安全移动存储但因受智能卡存储容量限制而无法存储于智能卡的数据,例如与智能卡安全应用相关的许多生物特征文件和数字证书以及加密后的安全文件,也可以得到轻松安全便捷的移动存储服务,克服当前智能卡最高只有64K字节的存储容量限制,因而具有极其广泛的应用前景。
为实现上述目的,本实用新型通过如下技术方案实现基于通用串行总线接口的安全加密和存储装置,其特征在于包括一壳体,所述的壳体内部容纳一电路板;电路板的一端设有一突出壳体外的接口,电路板上还设有一控制加/解密和数据读写的USB控制芯片,一实施身份认证和加/解密操作的智能卡模块和一存储数据的大容量存储模块;其中,大容量存储模块和智能卡模块分别与USB控制芯片相联,USB控制芯片可通过接口与计算机USB接口相联。
所述USB控制芯片与所述大容量存储模块和所述智能卡模块集成在一块电路板上,或所述智能卡模块单独以外挂的方式与集成后的电路板相接。
所述的接口是USB接口,也可以是串口和IEEE 1394计算机外设通讯接口。
所述USB控制芯片为全速或高速USB控制芯片。
所述大容量存储模块为硬盘。
所述大容量存储模块为非易失性FLASH存储器。
所述智能卡模块为内置安全加密算法并带有微处理器的CPU智能卡。
所述文件加密/解密采用公钥机制。
根据上述技术方案的分析可知,本实用新型具有如下优点1、本实用新型安全可靠地把智能卡的安全数据存储空间扩展到外接的大容量存储设备上(如硬盘或非易失性FLASH存储器),存储容量从几十兆字节到几万兆字节随意选择,既充分利用了智能卡的高加密能力和数据访问控制能力,同时又解决了智能卡安全数据存储空间受厂商出厂限制和空间最高只有64K字节而不能满足现实需求的问题。
2、本实用新型采用独特设计极大地精简了电路,结构灵巧,性能可靠,同时采用USB标准接口,无须外接电源,即插即用,非常适合安全数据保护的移动存储要求。
3、大容量存储模块内存放的安全数据采用智能卡上的算法和密钥加密,具有极高的安全性。
4、通过公钥机制实施独特的共享加密方案,利用数字证书进行密钥的管理,在保证安全性的基础上简化了密钥管理系统的管理成本,同时利用智能卡的安全机制限制对数字证书的使用。
5、本实用新型各接口通讯全部符合相应标准,配置灵活,可以单独应用,也可与其他应用配合使用,便于普及和推广。
图1为本实用新型的一实施例结构示意图;图2为本实用新型的一实施例构成框图;图3为本实用新型的实现流程图;图4为本实用新型的一实施例电路原理图。
具体实施方式
如图1和图2所示,是本实用新型加密装置的一实施例结构示意图和构成框图,本实用新型的加密装置包括一壳体5,所述的壳体5内部容纳一电路板(图中未示);电路板的一端设有一突出壳体5外的接口1,电路板上有一全速或高速USB控制芯片2,一非易失性FLASH存储芯片3和一智能卡4。其中,FLASH存储芯片3和智能卡4均与USB控制芯片2相联并集成在一块电路板上。智能卡采用内置RSA、3DES、SHA-1等高强度的安全加密算法和带微处理器的CPU智能卡。本实用新型的电源取自主机USB接口,USB D+有上拉电阻,以便主机对该装置的识别,此工作原理完全按照、符合USB标准。
如图3所示,主机的应用程序向该装置的设备驱动发出指令,该装置的设备驱动将把主机应用程序的指令转化后传给USB控制芯片,USB控制芯片通过内置的控制程序作出相应的响应,判断当前工作状态是否为数据加解密状态,如果是,则通过调用应用程序指定的智能卡内相应算法和密钥实施认证和加解密操作,此次操作过程结束后再通过USB控制芯片把结果写入大容量存储模块;如果当前工作状态无需数据加解密操作,则USB控制芯片直接把数据送到大容量存储模块。整个过程结束后USB控制芯片将把操作结果或状态返送至设备驱动,并通过其把结果返回给应用程序。
在实施数据加密的过程中,所有密钥(包括对称密钥和非对称密钥)都通过智能卡内的硬件随机数发生器产生,加解密采用的算法通过智能卡内的COS(芯片操作系统)提供,并可根据需要选择下载需要的其他自主算法。对大量加密的数据采用对称算法,对数据加密密钥的传递采用非对称算法,使用包含在数字证书中的公钥加密对数据加密的密钥,通过保存在智能卡的私钥先解密出数据加密的密钥,再通过此密钥对加密后的数据解密。整个数据传输共享的过程中,加密后的数据和公钥加密后的数据加密的密钥以新的文件格式存储。这样最大程度的保证了数据加密密钥的安全性,也简化了密钥管理的过程,节约了安全实施的成本。采用PKI机制,利用数字证书传输密钥,既保证了信息的隐秘性要求,同时保证了信息的完整性和不可否认性,真正保证了信息高效的流动。对存储在智能卡的数字证书和私钥的使用可以利用智能卡内COS(芯片操作系统)提供的安全机制保护,有效防止该装置丢失后可能进行的字典攻击。
本实用新型可根据需要改变大容量存储模块的存储容量。
本实用新型目前已经成功设计制作样品若干,很好的验证了本实用新型的目的。
最后所应说明的是,以上实施例仅用以说明本实用新型而非限制,尽管参照较佳实施例对本实用新型进行了详细说明,本领域的普通技术人员应当理解,可以对本实用新型进行修改或者等同替换,而不脱离本新型的精神和范围,均应涵盖在本实用新型的权利要求范围中。
权利要求1.基于通用串行总线接口的安全加密和存储装置,其特征在于包括一壳体,所述的壳体内部容纳一电路板;电路板的一端设有一突出壳体外的接口,电路板上还设有一控制加/解密和数据读写的USB控制芯片,一实施身份认证和加/解密操作的智能卡模块和一存储数据的大容量存储模块;其中,大容量存储模块和智能卡模块分别与USB控制芯片相联,USB控制芯片可通过接口与计算机USB接口相联。
2.根据权利要求1所述的基于通用串行总线接口的安全加密和存储装置,其特征在于所述USB控制芯片与所述大容量存储模块和所述智能卡模块集成在一块电路板上,或所述智能卡模块单独以外挂的方式通过IC卡座与集成后的电路板相接。
3.根据权利要求1或2所述的基于通用串行总线接口的安全加密和存储装置,其特征在于所述的接口是USB接口,也可以是串口和IEEE1394计算机外设通讯接口。
4.根据权利要求1或2所述的基于通用串行总线接口的安全加密和存储装置,其特征在于所述USB控制芯片为全速或高速USB控制芯片。
5.根据权利要求1或2所述的基于通用串行总线接口的安全加密和存储装置,其特征在于所述大容量存储模块为硬盘。
6.根据权利要求1或2所述的基于通用串行总线接口的安全加密和存储装置,其特征在于所述大容量存储模块为非易失性FLASH存储器。
7.根据权利要求1或2所述的基于通用串行总线接口的安全加密和存储装置,其特征在于所述智能卡模块为内置安全加密算法并带有微处理器的CPU智能卡。
专利摘要基于通用串行总线接口的安全加密和存储装置,尤其涉及基于通用串行总线接口和智能卡进行在线和本机身份认证和对文件加/解密并存储以及对文件安全网络传输的加密装置。该装置包括一壳体,所述的壳体内部容纳一电路板;电路板的一端设有一突出壳体外的接口,电路板上还设有一控制加/解密和数据读写的USB控制芯片,一实施身份认证和加/解密操作的智能卡模块和一存储数据的大容量存储模块;其中,大容量存储模块和智能卡模块分别与USB控制芯片相联,USB控制芯片可通过接口与计算机USB接口相联。对计算机要求加/解密的数据进行加密,并存储加/解密后的结果。
文档编号G06F12/14GK2636326SQ03263579
公开日2004年8月25日 申请日期2003年6月13日 优先权日2003年6月13日
发明者彭君 申请人:北京时代卓易科技发展有限公司