一种基于USBKEY鉴权的安全加密移动硬盘及其数据传输方法与流程

本发明涉及加密技术领域，尤其涉及一种基于USBKey鉴权的超高速安全加密移动硬盘及其数据传输方法。

背景技术：

随着信息化、数字化的迅速增长与普及，计算机已经成为协助个人处理工作事物必不可少的工具。由此造成大量的核心技术、专利、重要客户信息、财务数据、军事秘密、政府机密以及个人隐私都以电子文档形式存在，而作为数据交换和数据备份的大容量存储介质，移动硬盘已经得到了广泛应用。人们越来越多地将重要数据和私密信息通过硬盘进行传递、备份。但是随着泄密事件的屡屡发生，对于如何保护好重要数据及电子文档的安全已经提上日程。据全球知名信息管理研究公司波耐蒙研究所统计，77％的机构2010年都曾遭遇数据丢失。每次数据泄露事件使企业失去31％的客户群及相关收入。更值得关注的是相当数量的泄密事件，都是由内部人员所为。所以，如何保护好重要数据的存储安全至关重要。因此，对存储数据的安全性和私密性也提出了一个较高的要求。普通的移动存储设备速度快，但是无安全性可言。而利用软件提供存储数据的安全强度往往以牺牲传输速度作为代价的，因此传统意义上的安全移动存储设备很难做到高安全性和高速度兼备。

技术实现要素：

鉴于上述的分析，本发明旨在提供一种基于USBKEY鉴权的超高速安全加密移动硬盘及其数据传输方法，用以解决现有移动硬盘数据传输速度及安全性不足的问题。

一种基于USBKey鉴权的安全加密移动硬盘，其特征在于，包括：桥接芯片、数据加解密芯片、SATA硬盘，其中，

所述桥接芯片一端连接到所述数据加解密芯片，一端连接到USB接口，用于实现USB/SATA的通讯接口协议转换，即USB/SATA桥功能；

所述数据加解密芯片一端连接到所述桥接芯片，一端连接到SATA硬盘，用于实现SATA到SATA存储通路数据加解密。

所述桥接芯片的SATA Host接口连接到所述数据加解密芯片，桥接芯片的USB device接口与pc主机USB端口连接。

所述数据加解密芯片进一步包括：

数据收发接口、数字证书接口模块、鉴权模块和加解密模块。

所述数据收发接口为SATA Device接口和SATA Host接口两组SATA接口；

SATA Device接口连接桥接芯片的SATA Host功能模块，SATA Host接口连接SATA硬盘。

所述鉴权模块用于，

当有USBKey插入数字证书接口模块时，通过数字证书接口模块向所述USBKey发送数字证书和根证书请求消息；

接收鉴权USBKey上传的根证书和数字证书，实现鉴权USBKey的身份认证。

所述加解密模块位于SATA Device接口和SATA Host接口之间，用于利用所述加解密密钥对SATA Device接口和SATA Host接口之间的收发数据进行加解密。

所述加解密密钥对SATA Device接口和SATA Host接口之间的收发数据进行加解密进一步包括：

计算机到SATA硬盘的数据写入：通过芯片固件编程操作，将桥接芯片发送到SATA Device接口的数据，经加密模块搬移到SATA Host，完成数据加密，之后发送给SATA硬盘；

SATA硬盘到计算机的数据读出：SATA硬盘将数据发到加密芯片的SATA Host口，将数据从SATA Host通过加解密模块搬移到SATA Device接口的相应区域，搬移过程中实现数据解密。

所述数据加解密芯片通过以下方式实现鉴权：用户口令输入、智能卡认证、指纹识别模块、语音识别模块等生物识别技术。

一种基于USBKey鉴权的安全加密硬盘的数据传输方法，其特征在于，包括以下步骤：

步骤S1：当安全加密硬盘的鉴权模块检测到有USB设备插入数字证书接口模块的USB2.0接口时，鉴权模块向所述USB设备发送数字证书和根证书请求消息；

步骤S2：鉴权USBKEY接收到请求信息后才会回复应答信息，将根证书和数字证书上传到鉴权模块，所述数字证书中含有唯一芯片序列号，与存储在数据加解密芯片中的芯片序列号唯一匹配；

步骤S3：鉴权模块进行进行匹配鉴权；

鉴权模块将所获取的唯一芯片序列号与存储在数据加解密芯片中的芯片序列号进行匹配；如果序列号一致，则利用根证书验证证书合法性；如果证书合法，则利用用户公钥验证私钥签名；如果验签通过，从鉴权USBKEY中读取加解密密钥；

步骤S4：安全加密硬盘移动硬盘的加解密模块利用所述加解密密钥对收发数据进行加解密。

本发明有益效果如下：

本发明所提供的基于USBKEY鉴权的超高速全加密移动硬盘及其数据传输方法，实现了USB/SATA桥功能；将移动硬盘安全的密钥存储在鉴权USBKEY中，从而无需在操作系统条件下输入密码，提高了移动硬盘被破解的难度；同时将移动硬盘鉴权过程设置在移动硬盘硬件模块中实现；提供了多重安全保障，提高了数据的安全性。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分的从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为安全加密移动硬盘与计算机连接的示意图；

图2为桥接芯片结构图；

图3位SATA Device接口、SATA Host接口、加解密模块之间的数据交互流程图；

图4为SATA通路的数据访问控制示意图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理。

根据本发明的一个具体实施例，公开了一种基于USBKey鉴权的安全加密移动硬盘，如图1所示，该安全加密移动硬盘与计算机相连接，可以作为计算机硬盘或者移动硬盘使用；计算机为现有技术普通计算机，包括CPU及芯片组、主板、内存以及其他基本部件等，并可安装各种类型的计算机操作系统。

所述安全移动硬盘包括：USB3.0接口、桥接芯片、数据加解密芯片、SATA硬盘，其中，

所述桥接芯片采用英尼硕initio3609,一端连接到所述数据加解密芯片，一端连接到USB3.0接口，用于实现USB3.0/SATA2.0的通讯接口协议转换，即USB3.0/SATA2.0桥功能；

具体地，所述桥接芯片结构如图2所示，其工作流程如下：

桥接芯片的SATA Host接口连接到所述数据加解密芯片，桥接芯片的USB device接口与pc主机USB端口连接；

系统上电，各个模块硬件复位，软件设置USB device接口软断开，以便通信建立后数据传输可以同步，同时将该IP软件复位；

初始化SATA Host接口后，配置USB device接口并清除接口软断开标志，进入正常通信状态；

进入USB枚举阶段，USB device接口接收PC机发来的标准请求，将其放入DataBuffer缓存中，CPU8051将数据从DataBuffer缓存中取出分析是哪一种USB标准请求并将需要返回的描述符等数据放回DataBuffer缓存中；

重复USB枚举直到PC机退出设备枚举。

其中，USB device接口同时兼容BOT和UAS协议，实现向后兼容的同时，实现大数据的高效率的数据传输。

BOT：USB device接口处理CBW流程

UAS:硬件DMA机制发送SATA FIS到SATA Host功能模块。

所述数据加解密芯片采用华虹BHD5-AS5安全芯片，用于实现SATA2.0到SATA2.0存储通路数据加解密。所述数据加解密芯片进一步包括数据收发接口、数字证书接口模块、鉴权模块和加解密模块，其中，

数据收发接口为两组SATA接口，SATA Device接口和SATA Host接口；SATA Device接口连接桥接芯片的SATA Host功能模块，SATA Host接口连接SATA硬盘。

数字证书接口模块为USB2.0接口；

鉴权模块用于，

当有USBKey插入数字证书接口模块时，鉴权模块通过数字证书接口模块向所述USBKey发送数字证书和根证书请求消息；

鉴权USBKey接收到请求信息后回复应答信息，将根证书和数字证书上传到鉴权模块，从而实现鉴权USBKey的身份认证；

所述数字证书中含有唯一芯片序列号，与存储在数据加解密芯片中的芯片序列号唯一匹配，如果序列号一致，则说明USBKey与安全芯片BHD5-AS5存在对应关系，如果证书合法且存在对应关系，鉴权模块从USBKey中读取加解密密钥并发送给加解密模块；

SATA Device接口和SATA Host接口之间是加解密模块，用于利用所述加解密密钥对SATA到SATA存储通路的收发数据进行加解密，如图3所示，

计算机到SATA硬盘的数据写入：通过芯片固件编程操作，将桥接芯片发送到SATA Device接口的数据，经加密模块搬移到SATA Host，完成数据加密，之后发送给硬盘。

SATA硬盘到计算机的数据读出：与上述写数据操作方向相反，操作方式基本相同。硬盘将数据发到加密芯片的SATA Host口，芯片内部CPU在固件程序控制下，将数据从SATA Host通过加解密模块搬移到SATA Device接口的相应区域，搬移过程中实现数据解密。

因此，芯片内部数据搬移操作的时间对系统处理速度具有很重要的影响。

为了尽可能提升操作速度，采用乒乓操作方式，使有限的硬件资源尽可能发挥更高的效率。SATA流水操作，是基于SATA host和SATA device的8k数据包的一个操作方法。

SATA硬盘到计算机的数据读出：

通过SATA device向硬盘发一个64k包读请求，firmware将这个命令分解成8个8k小包的命令向硬盘发出，然后分包做流水，向主机返回数据。具体步骤：

1、SATA device收到64k读命令，分析地址，分解成连续地址的8个8k读命令；

2、向SATA host填充第一个8k读命令，然后使能，等待SATA host中断；

3、收到第一个8k包完成的中断后，将第一个存储的8k包通过内部AES传输到SATA device侧的缓存中，填充第二个命令，然后使能，等待SATA host的中断；

4、内部AES操作很快，能够在第二包数据传输到SATA host之前完成，收到AES完成中断后，可以启动SATA device上传一个8k包操作，等待SATA device中断；

5、在SATA device传输完第一包之前，SATA host应该已经完成第二包的接收，在启动AES的同时启动下一包传输，缓存地址是第一包的位置；

6、在第二包的AES完成操作，并且第一包的SATA device操作也已经完成的情况下，可以启动第二包SATA device的操作；

7、如此反复，可以以流水的方式传输64k包，损失的时间仅是一个8k包接收加一个AES的时间。

计算机到SATA硬盘的数据写入也是如此：

1、主机发一个写64k包的命令，SATA device收到命令后，转化成8个8k连续写的命令；

2、主机完成第一个8k包的时候，启动AES，将数据传递到SATA host侧，同时接收第二个8k包；

3、AES完成后，启动SATA host发送第一个8k；

4、主机完成第二个8k包后，启动AES，将第二包传输到SATA host，同时启动下一包接收，如果SATA host第一个8k包已经完成，则发送第二包；

5、如此反复，可以讲一个64k大包以流水的方式传输到硬盘。

所述USBKey包括：私钥存储模块、数字证书存储模块和签名模块和发送模块，

数字证书存储模块用于存储根证书和数字证书；

私钥存储模块用于存储私钥；

签名模块用于对数字证书采用SM3算法进行HASH得到摘要信息，然后使用私钥对摘要信息进行签名；

发送模块用于将根证书、数字证书及私钥签名信息作为应答信息发送给安全移动硬盘的数据加解密芯片。

其中，每次数字证书的导出都需要进行动态签名。

在本发明的一个实施例中，数据加解密芯片还可以通过以下方式实现鉴权，包括但不限制于：用户口令输入、智能卡认证、指纹识别模块、语音识别模块等生物识别技术。

为了解决现有技术的缺陷，本发明还公开了一种基于USBKey鉴权的安全加密硬盘的数据传输方法，参见图4所示，包括以下步骤：

步骤S1：当安全加密硬盘的鉴权模块检测到有USB设备插入数字证书接口模块的USB2.0接口时，鉴权模块向所述USB设备发送数字证书和根证书请求消息；

步骤S2：普通USB设备接收到该消息自动忽略该请求消息，只有鉴权USBKEY接收到请求信息后才会回复应答信息，将根证书和数字证书上传到鉴权模块，所述数字证书中含有唯一芯片序列号，与存储在数据加解密芯片中的芯片序列号唯一匹配；

步骤S3：鉴权模块进行进行匹配鉴权；

鉴权模块将所获取的唯一芯片序列号与存储在数据加解密芯片中的芯片序列号进行匹配；如果序列号一致，则利用根证书验证证书合法性；如果证书合法，则利用用户公钥验证私钥签名；如果验签通过，从鉴权USBKEY中读取加解密密钥；

步骤S4：安全加密硬盘移动硬盘的加解密模块利用所述加解密密钥对收发数据进行加解密。

其中，所述步骤S4进一步包括：

计算机到SATA硬盘的数据写入、SATA硬盘到计算机的数据读出；

所述数据写入具体如下：

计算机通过USB3.0接口连接到安全移动硬盘的桥接芯片，所述桥接芯片采用英尼硕initio3609,用于实现USB3.0/SATA2.0的通讯接口协议转换，即USB3.0/SATA3.0桥功能；转换后的SATA数据经过安全移动硬盘的加解密模块写入到SATA硬盘；

所述数据读出具体如下：

从SATA硬盘读出数据，经过安全移动硬盘的加解密模块发送到桥接模块，所述桥接芯片采用英尼硕initio3609,用于实现USB3.0/SATA2.0的通讯接口协议转换，即USB3.0/SATA2.0桥功能；将转换后的USB数据通过USB3.0接口发送到计算机。

与现有技术相比较，本发明所提供的基于USBKEY鉴权的安全加密移动硬盘及其数据传输方法，实现了USB/SATA桥功能；将移动硬盘安全的密钥存储在鉴权USBKEY中，从而无需在操作系统条件下输入密码，提高了移动硬盘被破解的难度；同时将移动硬盘鉴权过程设置在移动硬盘硬件模块中实现；提供了多重安全保障，提高了数据的安全性。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。