专利名称:一种固态存储装置的数据安全保护方法和固态存储装置的制作方法
技术领域:
本发明涉及数据存储和数据安全领域,特别涉及一种固态存储装置的数据安全保护方法和固态存储装置。
背景技术:
固态存储装置俗称固态硬盘,主要应用在个人计算机,嵌入式计算机设备中,用于 存储程序、数据以及运行参数的装置,移动硬盘等则是用于数据的交换。由于但传统的磁介 质硬盘在速度和抗震方面表现比较差,而固态硬盘则在上述两个方面表现突出,所以固态 硬盘的应用越来越广泛。但是两者在数据安全方面都依赖于载体的安全,自身的安全机制 非常不健全,保护能力有限,在作重要数据存储使用时,易于为非法第三方窃取。目前,解决固态硬盘数据存储安全性的方法大致有两种。第一种,登陆方式安全设计方案。其具体方案是输入自设口令、或录入使用者指纹 后,即可访问存储体中的数据。其不足之处在于,数据安全只依赖于访问控制,如口令、指纹 等措施。如果发生口令丢失、或者一旦认证通过后,进入系统后数据便处于非安全状态。第二种,存储数据基于载具加解密方式的设计方案。其具体方案是利用安装在载 具端的加密软件对存入存储体的数据进行加密。合法地读出存储体的数据需要相应的解密 软件才能得到正确的数据,数据安全依赖于加密算法。其不足之处在于,存储的密文易于在 存储介质的位置被窃取,如果窃取密文者有足够的时间,获得明文只是时间的问题。所以这 种方法也不能给存储的数据以足够的保护。
发明内容
本发明提供了一种固态存储装置的数据安全保护方法和固态存储装置,以提高固 态存储装置数据的安全性。本发明提供的一种固态存储装置的数据安全保护方法,包括固态存储装置各参数初始设定和固化,安全认证装置各参数设定和固化;固态存储装置被访问时的首次认证;固态存储装置被访问过程中的实时认证;本发明还提出一种固态存储装置,包括固态存储单元(101),固态存储控制器 (102),设备外部接口(107),电源管理单元(108)。还包括无线数据收发单元(103),用于 和外界的数据交换;控制管理单元(104),用于管理和控制其他所有模块。客户身份识别单 元(105),用于认证信息的存储和认证运算。可信密码模块(106),用于存储和识别用户名 及密码。本发明的技术方案中,还涉及到一个载具(一般为计算机、手持个人数字助理、移 动互联网设备、平板电脑以及智能手提电话等,本申请以计算机为例,但不排除在其他设备 中的应用)以及一个安全认证装置。将固态硬盘应用于载具时,同时安全认证装置通过USB 接口连接该载具。本发明中,通过对访问者身份的识别,固态存储装置和安全认证装置之间的首次认证及数据访问过程中固态存储装置和安全认证装置之间的实时认证来保证数据 的安全性。固态存储装置的合法使用者持有安全认证装置,当其暂时离开载具或结束操作 时,可以很方便地将安全认证装置从载具上移除。这样,由于实时认证无法通过,固态存储 装置中的数据可以依照设定的参数受到相应的保护,不被非法第三方获取,达到对存储数 据的最大限度的保护,从而提高了固态存储装置中数据的安全性。
下面结合附图及具体实施方式
对本发明做进一步详细说明。为了更清楚地说明本发明实施例或现有技术方案中的技术方案,下面对实施例或 现有技术描述中所需使用的附图做简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可 以根据这些附图获得其他的附图。图1为本发明实施例中的固态存储装置100的结构图。图2为本发明实施例中的安全认证装置200的结构3为本实施例中安全固态存储装置100,安全认证装置200以及载具300构成的 一个数据访问和保护的系统。图4为本实施例中对固态存储装置100,安全认证装置200参数的设置和固化的流 程图。图5为本实施例中固态存储装置100和安全认证装置200首次认证和实时认证的 流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本 发明中的实施例,本领域中的普通技术人员在没有做出创造性劳动前提下所获得的所有其 他实施例,都属于本发明保护的范围。如图1所示,为本发明实施例中的固态存储装置100,另外,独立权利要求一所保 护的数据就存储在图1所示的安全固态存储装置中。图1所示的固态安全存储装置的构成及功能如下101为固态存储单元,是本装置存储用户数据的单元,本发明旨在保护其中存储的 数据不被非法第三方获取。102为固态存储控制器,其职能与普通固态存储控制器一样,控制数据的读写。103为无线收发单元,其职能为负责实时认证数据的交换。104为控制管理单元,主要负责用户身 份认证和实时认证的控制和管理。105为用户身份识别单元,用于认证信息的存储和认证运算。106为可信密码单元,用于存储和识别用户名及密码。107为设备外部接口,是固态存储装置与载具连接的接口,同时也是固态存储装置 与载具交换数据的通道。108为电源管理单元,负责整个装置电源的管理。
图2所示的安全认证装置的构成及功能如下201为控制管理单元,主要负责用户身份认证和实施认证的控制和管理。202为固态存储单元,因本安全认证装置具备固态存储装置所需的基本单元,所以 其也可以单独作为存储装置使用,而本单元就是本安全认证装置存储用户数据的单元。203为无线收发单元,其职能为负责实时认证数据的交换。
204为用户身份识别单元,用来存储和识别装置识别号、用户信息。205为设备外部接口,是安全认证装置与载具连接的接口,同时也是安全认证装置 与载具交换数据的通道。出于方便使用的目的,本实施例中该外部接口为USB接口,这并不 排除为其他接口的可能性。图3所示的系统的构成及功能如下图3为载具300、固态存储装置100、安全认证装置200组成的系统,载具300的接 口 301和固态存储装置100的设备外部接口 108相连,安全认证装置200通过载具的USB 接口 302与载具300相连。在启动载具300并装入固态存储装置100与安全认证装置200 后,固态存储装置100与安全认证装置200通过载具300传递首次认证数据,首次认证通过 后,固态存储装置100与安全认证装置通200过无线连接进行实时认证。本方法发明包括两个主要的部分,第一步如图4所示,为固态存储装置100和安全 认证装置200的初始化以及参数的设定和固化,在这个步骤当中对固态存储装置100和安 全认证装置200参数的设置要想匹配。第二步入图5所示,图5中所描述的流程包括初次 认证和实时认证过程,也是对数据保护的具体实现过程。图4包括以下步骤步骤401,将未经初始化的固态存储装置100和安全认证装置200装入同一合法的 载具300,并将载具300置于开启状态。步骤402,载具300自动地对固态存储装置100和安全认证装置200进行初始化处理。步骤403,用户信息和参数设置。需要设置的用户信息包括用户名称、用户密码、用 户权限等,用户可以是多个,也可以是唯一的。需要设置的其他参数包括,装置识别号,可以 是设备唯一的EUI64备案号,也可以是其他形式的识别号,在此,固态存储装置100和安全 认证装置200的识别号是相同的。需要设置的其他参数还包括,实时认证的时间参数,这个 参数决定每次实时认证之间间隔多长时间。需要设置的其他参数还包括,认证失败后的数 据处理参数,这里包括首次认证失败对数据的处理,也包括实时认证失败后对数据的处理, 对数据的处理包括使用者对数据安全的要求,包括但不限于拒绝读写、将数据毁灭等。步骤404,固化设置的参数,步骤405,将固态存储装置100和安全认证装置200从载具300移除,之后固态存 储装置100和安全认证装置200可在任何合法的载具上,由合法的使用者对固态存储装置 进行处理。图5包括以下步骤步骤501,将经过初始化的固态存储装置100装入合法的载具300。步骤502,将经过初始化的安全认证装置200装入步骤501所述的载具300,输入 合法的用户名称和密码,用户名和密码与106的设定相同则进入下一步骤503,不同则要求重新输入密码。
步骤503,固态存储装置100和安全认证装置200之间会自动进行首次认证,为了 清楚地说明本发明,下面分步骤叙述一种认证机制1、固态存储装置的控制管理单元104从客户身份识别单元105获取装置识别号。2、固态存储装置的控制管理单元104将获取的装置识别号经由载具300送往安全 认证装置200的控制管理单元201,再送往安全认证装置的客户身份识别单元204。3、安全认证装置200的客户身份识别单元204收到装置识别号后生成一个随机数 并送往固态存储装置的客户身份识别单元105。4、安全认证装置200的客户身份识别单元204与固态存储装置100的客户身份识 别单元105利用已固化在装置中的加解密机制对装置识别号和随机数进行计算,分别得到 一个数值,两数值在安全认证装置200的客户身份识别单元204进行比较。如果该数值不 相等,进入步骤5042根据认证失败数据处理参数对固态存储设备中100的数据进行保护处 理。如果该数值相等,进入步骤5042则由安全认证装置200的客户身份识别单元204向固 态存储装置100的控制管理单元104送出加解密密钥,再由固态存储装置100的控制管理 单元104送往固态存储装置100的固态存储控制单元102,作为数据加解密运算的密钥,此 时载具300可以正常对固态存储装100中的数据进行读写。步骤504,实时认证。在载300具对固态存储装置100进行正常的读写过程当中, 固态存储装置100和安全认证装置200会通过无线通信的方式进行实时认证,以确保固态 存储装置中的数据不被非法使用者操作。以下是实时认证的步骤1、固态存储装置100将系统时间和装置识别号进行加密运算,通过无线数据收发 单元103发送给安全认证装置200。2、安全认证装置200将接收到的数据进行解密,得到时间数据和装置识别号,将 所得时间和系统时间经行比较,将解密所得装置识别号和其存储的装置识别号进行比较。 如过相同,继续进行正常读写。如果不同,进行步骤33、安全认证装置200将系统时间和装置识别号进行加密运算,通过无线数据收发 单元203发送给固态存储装置100。安全认证装置200将接收到的数据进行解密,得到时间 数据和装置识别号,将所得时间和系统时间经行比较,将解密所得装置识别号和其存储的 装置识别号进行比较。如过相同,继续进行正常读写。如果不同则按照认证失败参数对固 态存储装置中的数据进行保护处理。4、间隔时间达到设定的时间,重复以上步骤。实时认证可以由固态存储装置发起,也可由安全认证装置发起。认证的机制有很 多种,算法也有不同,本发明所述的只是优选的认证机制和算法,本领域普通技术人员可以 不经创造性劳动将其他认证机制和算法应用于本发明。以上所述仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来 讲,在不脱离本发明原理的前提下,可以做出若干改进,这些改进也应视为本发明的保护范围。
权利要求
1.一种固态存储装置的数据安全保护方法,其特征在于,包括固态存储装置(100)各参数初始设定和固化,安全认证装置(200)各参数设定和固化;固态存储装置(100)被访问时的首次认证;固态存储装置(100)被访问过程中的实时认证。
2.根据权利要求1所述的固态存储装置的数据安全保护方法,其特征在于将固态存 储装置(100)和安全认证装置(200)连接合法的载具(300),对固态存储装置(100)和安全 认证装置(200)进行参数的配对设置。
3.根据权利要求2所述的固态存储装置的数据安全保护方法,其特征在于对固态存 储装置(100)的参数设定包括装置识别号、用户信息及用户权限的参数设定,对安全认证 装置(200)参数的设定包括装置识别号、鉴权密钥、用户信息及用户权限的参数设定,且固 态存储装置(100)中用户信息设定与安全认证装置(200)参数设定相匹配。
4.根据权利要求3所述的固态存储装置的数据安全保护方法,其特征在于对固态存 储装置(100)和安全认证装置(200)的参数设定包括实时认证时间参数和认证失败后数据 处理参数设定。
5.根据权利要求4所述的固态存储装置的数据安全保护方法,其特征在于用户访问 固态存储设备(100)时,需将固态存储装置(100)和安全认证装置(200)同时连接合法的 载具,输入使用者名称及密码,若输入使用者名称及密码与固态存储装置(100)用户信息 一致,固态存储装置(100)和安全认证装置(200)会自动进行首次认证,首次认证通过后用 户即可对固态存储装置(100)中的数据进行操作,首次认证失败固态存储装置(100)将根 据认证失败后数据处理参数对数据进行保护处理。
6.根据权利要求5所述的固态存储装置的数据安全保护方法,其特征在于在用户访 问固态存储装置(100)过程中,固态存储装置(100)和安全认证装置(200)会按照预设的 认证机制进行实时认证。
7.根据权利要求6所述的固态存储装置的数据安全保护方法,其特征在于实时认 证错误次数由用户设定,认证错误次数未达到设定次数,用户可以继续访问固态存储装置 (100),当认证错误次数达到设定值时,固态存储装置(100)将根据认证失败后数据处理参 数对数据进行保护处理。
8.根据权利要求7项所述的固态存储装置的数据安全保护方法,其特征在于固态存 储装置(100)和安全认证装置(200)进行实时认证时通过无线通信方式交换数据。
9.一种固态存储装置,包括固态存储单元(101),连接于该固态存储单元的固态存储 控制器(102),连接于固态存储控制器的设备外部接口(107)和电源管理单元(108),其特 征在于,还包括连接于固态存储单元(101)的控制管理单元(104),控制管理单元(104) 还分别通过数据线连接有无线数据收发单元(103),客户身份识别单元(105)和可信密码 模块(106)。
10.根据权利要求9所述的固态存储装置,其特征在于所述的无线数据收发单元 (103)用于和安全认证装置之间的实时认证数据的交换。
全文摘要
一种固态存储装置的数据安全保护方法,包括步骤1、固态存储装置(100)各参数初始设定和固化,安全认证装置各参数设定和固化;2、固态存储装置(100)被访问时的首次认证;3、固态存储装置(100)被访问过程中的实时认证。一种固态存储装置,包括固态存储单元(101),固态存储控制器(102),设备外部接口(107),电源管理单元(108),无线数据收发单元(103),控制管理单元(104),客户身份识别单元(105),可信密码木模块(106)。固态存储装置与一个安全认证装置配对使用,每次固态存储装置与一个安全认证装置配装入载具时,两者会进行首次认证。在对固态存储装置的读写过程当中,固态存储装置与一个安全认证装置会进行实时认证。通过两种认证的结合应用,增加了固态存储装置中数据的安全性。
文档编号G06F12/14GK102004704SQ20101052658
公开日2011年4月6日 申请日期2010年11月1日 优先权日2010年11月1日
发明者钟卫 申请人:常州南基天盛电子科技有限公司, 苏州亮智科技有限公司