加密存储装置和安全存储系统的制作方法

本实用新型涉及数据安全技术领域，尤其是涉及一种加密存储装置和安全存储系统。

背景技术：

近年来，数据安全问题越来越受到人们的关注，尤其是办公数据的安全性。目前，大多采用加密软件对办公电脑上的读写数据进行加密。但是，这种软件加密方式并不符合办公数据或特定行业数据严格保密的要求，例如，破解软件加密的密码，或将存储有数据的硬件存储设备从办公电脑上拆除，都可能会导致数据的损失。

技术实现要素：

针对以上缺陷，本实用新型提供一种加密存储装置和安全存储系统，可以提高数据安全性，避免数据损失。

第一方面，本实用新型提供的加密存储装置包括：数据接口、与所述数据接口连接的控制模块、分别与所述控制模块连接的第一认证模块和加解密模块、及与所述加解密模块连接的存储模块，其中：

所述控制器用于将接收到的所述数据接口发送的用户所输入的身份认证信息发送至所述第一认证模块；

所述第一认证模块用于判断所述身份认证信息与预先存储的身份信息是否匹配，并在匹配时向所述控制模块发送身份认证成功的信息；

所述控制模块还用于在接收到所述身份认证成功的信息后，通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据；

所述加解密模块用于在向所述存储模块中写入数据之前对待写入的数据进行加密和/或在将从所述存储模块中读取的数据发送至所述控制器之前对所读取的数据进行解密。

可选的，所述装置还包括与所述控制模块连接的第二认证模块；对应的，

所述控制模块还用于在通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据之前，获取硬件密钥的密钥信息，并将该密钥信息发送至所述第二认证模块；

所述第二认证模块用于判断接收到的密钥信息与预先存储的密钥信息是否匹配，并在匹配时向所述控制器发送密钥匹配成功的信息；

所述控制模块还用于在接收到所述密钥匹配成功的信息和接收到所述身份认证成功的信息后，执行通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据的步骤。

可选的，所述控制模块具体用于在接收到所述身份认证成功的信息后，且在通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据之前，获取所述硬件密钥的密钥信息，并将该密钥信息发送至所述第二认证模块。

可选的，所述控制器具体用于在接收到所述密钥匹配成功的信息后，且在通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据之前，获取用户所输入的身份认证信息，并将所述身份认证信息发送至所述第一认证模块。

可选的，所述加解密模块具体用于将所述硬件密钥的密钥信息和所述预先存储的密钥信息对所述待写入的数据进行加密和/或所述所读取的数据进行解密。

可选的，所述装置还包括与所述控制模块连接的电源管理模块。

可选的，所述存储模块的尺寸规格为兼容计算机主板的2.5英寸的硬板规格，和/或，所述加密存储装置为兼容计算机主板的3.5英寸的硬盘规格。

可选的，所述装置还包括与所述数据接口连接的接口转换模块。

第二方面，本实用新型提供的安全存储系统包括硬件密钥及上述加密存储装置，其中，所述硬件密钥内存储有与所述加密存储装置中的第二认证模块匹配的密钥信息。

可选的，所述硬件密钥为闪存存储器或加密狗。

本实用新型提供的加密存储装置和安全存储系统，采用数据接口向外发送或接收从外部来的数据，采用第一认证模块对想要进行数据读取或数据写入的用户进行身份认证，采用控制模块在认证成功时告知加解密模块可以执行加解密操作，具体加解密操作为对待写入数据进行加密后存储至存储模块或对从存储模块中读取的数据进行解密后发送出去，至此完成数据的读取或写入操作。由于在采用本实用新型提供的加密存储装置进行数据读取或写入时，需要输入用户的身份认证信息，只有合法用户才能读取或写入数据，从而保证数据的安全性。同时，由于本实用新型提供的加密存储装置为一种硬件加密方式，不会面临软件加密中被破解的风险，而且，即便将该加密存储装置拆卸并转移至其他电子设备上时，也不会造成数据的损失，提高数据安全性。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1示出了本实用新型一实施例中加密存储装置的结构示意图；

图2示出了本实用新型一实施例中安全存储系统与计算机的连接示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本实用新型一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

第一方面，本实用新型提供一种加密存储装置，如图1所示，该加密存储装置包括：数据接口、与数据接口连接的控制模块、分别与控制模块连接的第一认证模块和加解密模块、及与加解密模块连接的存储模块，其中：

控制器用于将接收到的数据接口发送的用户所输入的身份认证信息发送至第一认证模块；

第一认证模块用于判断接收到的身份认证信息与预先存储的身份信息是否匹配，并在匹配时向控制模块发送身份认证成功的信息；

控制模块还用于在接收到身份认证成功的信息后，通过加解密模块向存储模块中写入数据和/或读取存储模块中存储的数据；

加解密模块用于在向存储模块中写入数据之前对待写入的数据进行加密和/或在将从存储模块中读取的数据发送至控制器之前对所读取的数据进行解密。

本实用新型提供的加密存储装置，采用数据接口向外发送或接收从外部来的数据，采用第一认证模块对想要进行数据读取或数据写入的用户进行身份认证，采用控制模块在认证成功时告知加解密模块可以执行加解密操作，具体加解密操作为对待写入数据进行加密后存储至存储模块或对从存储模块中读取的数据进行解密后发送出去，至此完成数据的读取或写入操作。由于在采用本实用新型提供的加密存储装置进行数据读取或写入时，需要输入用户的身份认证信息，只有合法用户才能读取或写入数据，从而保证数据的安全性。同时，由于本实用新型提供的加密存储装置为一种硬件加密方式，不会面临软件加密中被破解的风险，而且，即便将该加密存储装置拆卸并转移至其他电子设备上时，也不会造成数据的损失，提高数据安全性。

举例来说，假设本实用新型提供的加密存储装置安装在某一计算机上，若用户想要将一些数据写入加密存储装置中进行存储，当用户在执行存储操作时，计算机的显示界面上会出现进行身份认证的弹窗，用户输入有关身份认证的信息之后，用户输入的身份认证信息会通过数据接口到达控制模块，控制模块将接收到的身份认证信息发送至第一认证模块，第一认证模块根据接收到的身份认证信息对用户进行身份认证，具体认证过程为将接收到的身份认证信息与预先存储的身份信息进行匹配，若匹配，则说明用户为合法用户，然后向控制器发送一个认证成功的信息。当控制器接收到认证成功的信息后，告知加解密模块，同时将从数据接口发送来的待写入数据发送至加解密模块中，这样的话，加解密模块便可对待写入的数据进行加密，最后存储在存储模块中，至此完成数据的写入。

同样的，若用户想要读取存储在加密存储装置中的数据，当用户执行读取操作时，计算机的显示界面上会出现进行身份认证的弹窗，用户输入有关身份认证的信息之后，用户输入的身份认证信息会通过数据接口到达控制模块，控制模块将接收到的身份认证信息发送至第一认证模块，第一认证模块根据接收到的身份认证信息对用户进行身份认证，若经认证得知用户为合法用户，则向控制器发送一个认证成功的信息。当控制器接收到认证成功的信息后，告知加解密模块，同时将从数据接口发送来的读取指令发送至加解密模块中，这样的话，加解密模块便会从存储模块中读取数据并进行解密，并将解密后的数据通过控制器、数据接口发送出去，显示在计算机的显示界面上。

需要注意的是，尽管本实用新型中的多个模块涉及到数据的处理流程，例如控制模块、认证模块、加解密模块等，但是本实用新型的改进之处并不在于软件的改进，因为各个模块均可以采用现有技术中具有相应功能的硬件模块实现，故本实用新型提供的加密存储装置并不涉及软件的改进。

可理解的是，身份认证信息，例如用户名、密码等信息，当然还以选择其他信息作为身份认证信息。

在具体实施时，加密存储装置中存储模块的规格可以为兼容计算机主板的2.5英寸的硬板规格。存储模块可以采用磁存储介质、SSD存储介质或Flash存储介质。

在具体实施时，加密存储装置的大小和形状可以根据需要自行设置，例如，加密存储装置的规格可以为兼容计算机主板的3.5英寸的硬盘规格，这样可以直接兼容于台式计算机的主板和空间接口，并不需要改变现有计算机的结构，当然还可以采用符合其他电子设备的安装要求的接口，对于加密存储装置的具体大小和形状本实用新型不做限定。

在具体实施时，数据接口可以为IDE接口、SATA接口、SCSI接口和PCI-E接口中的一个或者多个，当然还可以采用其他形式的数据接口，在实际应用时可以根据需要自行设置，对此本实用新型不做限定。

在安装加密存储装置时，将其数据接口与电子设备(例如，计算机)的主板接口连接，由于不同类型的电子设备的主板接口的类型可能不同，因此为了使加密存储装置的数据接口能够连接至不同类型的接口上，还可以在加密存储装置中设置接口转换模块，并将该接口转换模块与数据接口连接，利用该接口转换模块来连接电子设备上的接口，便于使数据接口适用不同的接口需要。例如，没有设置接口转换模块的加密存储装置一般只能安装在计算机上，若在加密存储装置内设置接口转换模块，则加密存储装置不仅可以安装在计算机，还可以与平板电脑等电子设备连接，满足不同应用场景的需要。

其中，接口转换模块可以为USB接口和IDE接口之间的转换模块、USB接口和SATA接口之间的转换模块、USB接口和SCSI接口之间的模块、USB接口和PCI-E接口之间的转换模块和SATA接口和PCI-E接口之间的转换模块中的一种或多种，当然还可以采用其他形式的接口转换模块，在实际应用时可以根据需要自行设置，对此本实用新型不做限定。

在具体实施时，可以采用外部电源为加密存储装置的正常运行进行供电，当然也可以在加密存储装置中内置一个与控制模块连接的电源管理模块，为加密存储装置进行供电，具体用何种方式来保证加密存储装置的正常工作，在实际应用时可以根据需要自行选择，对此本实用新型不做限定。

在具体实施时，为了进一步提高数据的安全性，还可以参照图1在加密存储装置中设置第二认证模块，并将该第二认证模块与控制模块连接。这样，控制模块可以在通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据之前，获取硬件密钥的密钥信息，并将该密钥信息发送至所述第二认证模块；第二认证模块对接收到的密钥信息与预先存储的密钥信息是否匹配进行判断，若经过判断得知两者匹配，则向控制器发送密钥匹配成功的信息；当控所述控制模块在接收到所述密钥匹配成功的信息和接收到所述身份认证成功的信息后，便可以执行通过所述加解密模块向所述存储模块中写入数据和/或读取所述存储模块中存储的数据的步骤。

可以理解的是，第二认证模块对接收到的密钥信息与预先存储的密钥信息是否匹配进行判断，实际上是对用户所使用的硬件密钥是否为与加密存储装置相匹配的硬件密钥进行判断。

这里，增加了第二认证模块的加密存储装置，不仅可以通过第一认证模块对用户的身份进行认证，还可以对所使用的硬件密钥进行认证，只有在两种认证过程都通过的情况下，才允许进行数据读取或写入。因此，即便因计算机遭到病毒或黑客攻击导致身份信息被截获，由于还需要硬件密钥共同配合才能进行数据写入或读取，因此进一步增加了数据的安全性。可见，本实用新型提供的加密存储装置可以广泛的应用于商务办公等涉密场合等安全性要求较高的场所，而且即便加密存储装置与合法使用者分离，也能保证信息的安全，防止信息的泄露。

在具体实施时，硬件密钥的唯一识别标识符作为密钥信息，其中识别标识符包括硬件的PID(Process Identifier)、VID(VendorID)、序列号、MAC地址等作为密钥信息。

可以理解的是，第一认证模块对身份信息的认证过程和第二认证模块对硬件密钥的认证过程之间没有先后顺序，可以先利用第一认证模块对身份信息进行认证，当控制器接收到身份认证成功的信息后，获取硬件密钥的密钥信息，将获得的密钥信息发送至第二认证模块，以进行硬件密钥的认证。当然，也可以先利用第二认证模块对硬件密钥进行认证，当控制器接收到密钥认证成功的信息后，获取用户输入的身份认证信息，将该身份认证信息发送给第一认证模块，以进行身份信息的认证。

下面以先进行身份认证后进行密钥认证的方式为例进行说明：

用户将加密存储装置安装在某一计算机上，并且在计算机的接口上插入一硬件密钥。当用户在执行存储操作时，若此时硬件密钥为正常连接，则计算机的显示界面上会出现进行身份认证的弹窗，用户输入有关身份认证的信息之后，用户输入的身份认证信息会通过数据接口到达控制模块，控制模块将接收到的身份认证信息发送至第一认证模块，第一认证模块根据接收到的身份认证信息对用户进行身份认证，若认证成功，则向控制器发送一个身份认证成功的信息。当控制器接收到身份认证成功的信息后，获取该计算机上所连接的硬件密钥中存储的密钥信息，并将该密钥信息发送至第二认证模块。第二认证模块对接收到的密钥信息与预先存储的密钥信息是否匹配进行判断，若经过判断得知两者匹配，则向控制器发送密钥匹配成功的信息。当控制模块接收到密钥匹配成功的信息时，告知加解密模块，同时将从数据接口发送来的待写入数据发送至加解密模块中，这样的话，加解密模块便可对待写入的数据进行加密，最后存储在存储模块中，至此完成数据的写入。

下面以先进行密钥认证后进行身份认证的方式为例进行说明：

若用户想要读取存储在加密存储装置中的数据，当用户执行读取操作时，假设此时硬件密钥为正常连接。用户在进行读取操作时，获取该计算机上所连接的硬件密钥中存储的密钥信息，并将该密钥信息发送至第二认证模块。第二认证模块对接收到的密钥信息与预先存储的密钥信息是否匹配进行判断，若经过判断得知两者匹配，则向控制器发送密钥匹配成功的信息。当控制器接收到密钥匹配成功的信息后，向数据接口获取用户输入的身份认证信息，并将接收到的身份认证信息发送至第一认证模块，第一认证模块根据接收到的身份认证信息对用户进行身份认证，若经认证得知用户为合法用户，则向控制器发送一个身份认证成功的信息。当控制器接收到身份认证成功的信息后，告知加解密模块，同时将从数据接口发送来的读取指令发送至加解密模块中，这样的话，加解密模块便会从存储模块中读取数据并进行解密，并将解密后的数据通过控制器、数据接口发送至该计算机的处理器上，然后显示在计算机的显示器上。

进一步地，加解密模块在对数据进行加密或解密操作时，不仅可以单独采用预先存储的密钥信息对数据进行加解密，还可以将硬件密钥的密钥信息和上述预先存储的密钥信息共同作为密钥对数据进行加解密。对于后者，即便直接从存储模块中获取到数据，而由于所读取的数据是经过加密操作的，因此在脱离加密存储装置和硬件密钥的情况下，所获取的数据均为密文，因此无法正确获知其有效信息，进一步提高数据安全性。

第二方面，本实用新型还提供一种安全存储系统，如图2所示，该安全存储系统包括硬件密钥和第一方面提供的包括第二认证模块的加密存储装置，其中硬件密钥内存储有与加密存储装置内预先存储的密钥信息相匹配的密钥信息。

可理解的是，硬件密钥和加密存储装置之间的配合工作过程、解释、举例、有益效果等内容已在上文中说明，这里不再赘述。

在具体实施时，硬件密钥可以采用闪存存储器，也可以采用加密狗，当然还可以采用其他硬件密钥，在实际应用时可根据需要自行设置硬件密钥。

本实用新型的说明书中，说明了大量具体细节。然而，能够理解，本实用新型的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

以上实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解；其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的精神和范围。