一种脱机既毁密钥的加密安全存储装置及系统的制作方法

本公开涉及加密存储技术领域，具体涉及一种脱机既毁密钥的加密安全存储装置及系统。

背景技术：

随着存储设备在很多现场应用中带来的数据安全问题，如何防止收集数据信息者主观泄密成为一个巨大的难题。例如，保险公司收集大量用户数据，涉及到跨系统的用户信息，如保险公司要收集医院用户的信息。因为医院内部网络处于安全保密的需求，往往采用内部独立网络。保险公司为了获取这些医疗用户的信息往往和医院签署保密协议进行用户信息收集。由于数据量极大，不适宜远程传输，因而，现有技术中一般采用的模式是派信息收集者直接进入各大医院机房信息中心用大容量移动存储介质拷贝。

一家大型医院每次拷贝的信息往往是一次几百兆甚是上千兆用户信息资料，涉及到十万甚至百万人的信息安全资料。一些信息收集者往往因为利益驱动等因素可能将信息泄露，这样的无法有效实现用户信息的管理。

数据离线后往往存储在存储介质上，在数据存储到存储介质后数据的可管控权直接涉及到数据的安全问题，目前主要的管控是采用加密技术。但是加密技术仅仅解决了数据的保密，不能解决加密存储介质携带者或者使用者本身主动造成的泄密或者因为密钥与加密存储存储体一起丢失而造成的被动数据泄密。

这种主动泄密方式往往是最难防止的，目前没有任何有效的管理手段。通常采用双人的管理模式，实现拷贝完后密钥与存储体的分离模式。但是，这种方式的成本高，同时，同样有进行工作的两个人合作盗取数据的可能，对此一样没有有效的保护措施。

因而，针对现有加密数据方式的种种缺陷，亟需要一种新的密钥安全加墨存储方案。

技术实现要素：

鉴于上述问题，提出了本公开以便提供一种克服上述问题或者至少部分地解决上述问题的脱机既毁密钥的加密安全存储装置及系统。

根据本公开的一个方面，提供了一种脱机既毁密钥的加密安全存储装置，其包括：

用于生成或者存储即毁密钥的授权密钥发生器、用于接收并鉴权所述既毁密钥的授权控制及加密寄存器、用于保存密钥白名单的白名单寄存器及用于数据读写操作及存储的存储器；

所述授权控制及加密寄存器分别与所述授权密钥发生器、白名单寄存器及存储器连接；

与计算机连接后，所述授权控制及加密寄存器获取所述授权密钥发生器发送的即毁密钥，在所述白名单寄存器中匹配到所述即毁密钥后控制存储器进行读写操作及存储数据；在与计算机断开连接后，所述授权控制及加密寄存器控制所述白名单寄存器删除本次操作对应的即毁密钥。

所述装置还包括：

用于与计算机连接的接口端口，与所述授权控制及加密寄存器连接。

所述装置还包括：

用于连接授权控制及加密寄存器与存储器的接口转换器。

所述装置还包括：

用于保存密钥黑名单的黑名单寄存器，与所述授权控制及加密寄存器连接；

在与计算机断开连接后，所述授权控制及加密寄存器将所述本次操作对应的即毁密钥加入所述黑名单寄存器。

所述装置还包括：

用于保存管理员密钥白名单的管理员密钥白名单寄存器，与所述授权控制及加密寄存器连接。

根据本公开的另一方面，提供一种脱机既毁密钥的加密安全存储系统，所述系统包括：

用于生成或者存储即毁密钥的授权密钥发生器；

用于接收并鉴权所述既毁密钥，根据所述既毁密钥鉴权结果接收数据读写操作及存储的安全存储器；

当所述安全存储器连接计算机时，获取所述授权密钥发生器发送的即毁密钥，匹配授权密钥白名单之后，根据所述授权密钥对应权限进行读写操作及存储数据；当所述安全存储器断开连接计算机时，从所述授权密钥白名单中删除本次操作对应的即毁密钥。

所述安全存储器，还包括：

用于保存密钥黑名单的黑名单寄存器；

在所述安全存储器与计算机断开连接后，所述本次操作对应的即毁密钥加入所述黑名单寄存器。

所述安全存储器，还包括：

用于保存管理员密钥白名单的管理员密钥白名单寄存器；

所述安全存储器将接收到的授权密钥与管理员密钥白名单匹配，匹配成功后，根据所述管理员密钥的权限，接收数据读写操作及存储。

所述安全存储器，还包括：

所述安全存储器将接收到的授权密钥与管理员密钥白名单匹配，匹配成功后，根据所述管理员密钥的权限，对授权密钥白名单进行修改。

所述安全存储器，还包括：

所述安全存储器将接收到的授权密钥与管理员密钥白名单匹配，匹配成功后，根据所述管理员密钥的权限，对授权密钥黑名单进行修改。

根据本公开上述的一个或多个技术方案，其提供了一种脱机既毁密钥的加密安全存储的方案，通过物理加密钥匙实对安全存储器加解密操作授权，离线脱机后密钥自动销毁失效，避免使用安全存储器收集拷贝敏感数据者本人或者携带者本人可能造成的数据泄密。

进一步的，该安全存储器配备两种加密钥匙，一种是用后既毁密钥，一种是管理员密钥。使用即毁密钥时，安全存储器仅获得授权一次联机操作，离线后密钥自毁失效；使用管理员密钥既可以实现对安全存储器的所有操作又可以实现对即毁密钥的有效授权激活，实现即毁密钥的重复使用。

进一步的，在管理上即毁密钥和管理员密钥分离管理，外出收集数据者仅仅持有即毁密钥，收集拷贝数据后密钥自动失效，杜绝收集数据者本身可能造成的主动或者被动泄密。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本公开的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本公开一个实施例的脱机既毁密钥的加密安全存储装置结构示意图；

图2示出了根据本公开一个实施例的脱机既毁密钥的加密安全存储系统结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

实施例一

图1示出了本实施例的脱机既毁密钥的加密安全存储装置结构示意图，其中包括，

用于生成或者存储即毁密钥的授权密钥发生器10、用于接收并鉴权所述既毁密钥的授权控制及加密寄存器20、用于保存密钥白名单的白名单寄存器30及用于数据读写操作及存储的存储器40；

所述授权控制及加密寄存器20分别与所述授权密钥发生器10、白名单寄存器30及存储器40连接；

与计算机连接后，所述授权控制及加密寄存器20获取所述授权密钥发生器10发送的即毁密钥，在所述白名单寄存器30中匹配到所述即毁密钥后控制存储器40进行读写操作及存储数据；在与计算机断开连接后，所述授权控制及加密寄存器20控制所述白名单寄存器30删除本次操作对应的即毁密钥。

进一步的，该装置还包括用于与计算机连接的接口端口50，与所述授权控制及加密寄存器20连接。

进一步的，该装置还包括用于连接授权控制及加密寄存器与存储器的接口转换器60。

进一步的，该装置还包括用于保存密钥黑名单的黑名单寄存器70，与所述授权控制及加密寄存器20连接；

在与计算机断开连接后，所述授权控制及加密寄存器20将所述本次操作对应的即毁密钥加入所述黑名单寄存器70。

进一步的，该装置还包括用于保存管理员密钥白名单的管理员密钥白名单寄存器80，与所述授权控制及加密寄存器20连接。

本实施例中，授权密钥发生器10是单独设置的，需要一个单独的硬件。其余各个结构都可以设置在安全存储器中。

在一个实施例中，即毁密钥白名单是预先设置好的，并存储在安全存储器中。管理员可以对该即毁密钥白名单进行操作和修改，只要该管理员具有相应权限。

即毁密钥白名单中包含所有具备对本安全存储器操作权限的即毁密钥，以及其相应的操作权限。基于网络的管理下，可以对数据进行有效的权限管理，如对数据的可读写授权控制、只读访问控制、禁止读写访问控制等。

该即毁密钥白名单时内置于所述安全存储器中的，除非具有相关权限，否则不能对其进行修改，甚至对于没有权限的人员来说，该既毁莫要白名单时不可见的。

在实现方法上，采用即毁密钥白名单的授权管理模式，白名单的管理基于安全存储器的主控单片机实现管理并记录。每次上电时，安全存储器主控CPU首先进行密钥类型即白名单的标记、管理等工作，并存入主控CPU内部RAM区。基于安全存储器的授权模式的安全存储器，在结构上采用插入不同授权功能钥匙的形式实现对安全存储器的授权管控。该结构形态的授权管控存储器使用极其简单，只需要根据使用环境要求插入不同授权的加密密钥钥匙即可实现对安全存储器的操作授权

当所述安全存储器与需要进行数据读写的计算机连接后，安全存储器或者计算机会提示需要密钥授权，才能对该安全存储器进行操作。此时，需要将加密密钥生成器10连接到安全存储器，通常时直接通过接口插入。

当二者连接后，安全存储器需要获取加密密钥发生器10发送过来的密钥。这个密钥唯一对应该加密密钥发生器10，可以是加密密钥发生器10根据预定的算法随机生成，也可以是预先写入的。

加密密钥生成器10采用硬件电路实现，将加密钥匙与授权钥匙功能组合实现授权管理的密钥功能。

至此，当安全存储器联机后，加密密钥生成器10也插入了安全存储器，并将密钥发送给了安全存储器。

在一个实施例中，对于密钥与即毁密钥白名单的匹配，可以采取多种方法，例如，可以遍历即毁密钥白名单看是否存在可以匹配的密钥记录，也可以根据密钥在即毁密钥白名单中检索。

在一个实施例中，对于不能匹配即毁密钥白名单的密钥，禁止对安全存储器进行任何操作。

对于能够匹配即毁密钥白名单的密钥，具备操作权项，可以根据即毁密钥白名单中的权限设置，允许对安全存储器进行相应的操作，例如，读操作、写操作等。

在完成相关操作后，安全存储器脱机，断开与计算机的连接。此时，即毁密钥白名单中需要删除本次使用的密钥，也即该密钥用后即毁，不能再次使用。

进一步的，设置即毁密钥黑名单，即黑名单寄存器70，当所述即毁密钥白名单中删除所述密钥后，将所述密钥加入即毁密钥黑名单；

当所述安全存储器联机后，获取加密钥匙发生器10发送的密钥；

将所述密钥与所述即毁密钥黑名单匹配；

当所述密钥与所述即毁密钥黑名单匹配时，禁止对所述移动存储及进行任何操作。

进一步的，当所述加密密钥发生器10与所述安全存储器断开连接时，所述即毁密钥白名单中删除所述密钥，以此避免在安全存储器操作过程中，加密密钥发生器被拔出。

进一步的，本实施例中可以设置管理员密钥，保存在管理员密钥白名单寄存器80中。通过管理员密钥，可以获取对安全存储器的所有操作权限。进一步的，管理员密钥还具备对即毁密钥的操作权项，可以修改、删除、增加即毁密钥，可以增加、删除、修改所述的即毁密钥白名单和机会新个密钥黑名单。

本实施例中，通过物理加密钥匙实对安全存储器加解密操作授权，离线脱机后密钥自动销毁失效，避免使用安全存储器收集拷贝敏感数据者本人或者携带者本人可能造成的数据泄密。该安全存储器配备两种加密钥匙，一种是用后既毁型密钥，一种是管理员密钥。使用即毁密钥时加密安全存储器仅获得授权一次联机操作，离线后密钥自毁失效；使用管理员密钥既可以实现对安全存储器的所有操作又可以实现对即毁密钥的有效授权激活，实现即毁密钥的重复使用。

在管理上即毁密钥和管理员密钥分离管理，外出收集数据者仅仅持有即毁密钥，收集拷贝数据后密钥自动失效，杜绝收集数据者本身可能造成的主动或者被动泄密。

本实施例的模式采用授权钥匙的方式实现，就是在外置存储上插入不同授权的钥匙的模式实现对存储器的访问控制，使用简单、直观方便。没有授权钥匙的插入，该存储器就是禁止任何操作，不能做任何读写浏览操作实现数据的安全保密等；使用既毁加密钥匙此时安全存储器可以实现一次联机操作，如数据收集、复制数据等操作，完成这次工作离线脱机后即毁密钥自动销毁失效，此时即使是安全存储器的使用者或者持有携带者均无法再使用安全存储器；使用管理员密钥既可以实现对安全存储器的所有操作又可以实现对即毁密钥的有效授权激活，实现即毁密钥的重复使用。在管理上即毁密钥和管理员密钥分离管理，外出收集数据者仅仅持有即毁密钥，收集拷贝数据后密钥自动失效，杜绝收集数据者本身可能造成的主动或者被动泄密。

本实施例的核心保护点就是安全存储器使用既毁型密钥联机，完成数据操作离线后立即销毁密钥使得既毁型密钥失效，实现安全存储器数据安全的自我保护；使用管理员密钥可以实现对安全存储器的所有操作并对既毁型密钥的激活的管理模式。

基于该技术下的安全存储器不仅可以针对USB接口，也可以针对E-SATA接口，SATA接口，PCI等各类接口的存储设备实现移动应用环境下的数据安全保护。

安全存储器的存储介质可以是磁存储介质，也可以是闪存芯片为存储体的存储介质。

实施例二

图2示出了本实施例的脱机既毁密钥的加密安全存储系统的结构示意图。参照图2，所述系统可以包括：

用于生成或者存储即毁密钥的授权密钥发生器100；

用于接收并鉴权所述既毁密钥，根据所述既毁密钥鉴权结果接收数据读写操作及存储的安全存储器200；

当所述安全存储器200连接计算机时，获取所述授权密钥发生器100发送的即毁密钥，匹配授权密钥白名单之后，根据所述授权密钥对应权限进行读写操作及存储数据；当所述安全存储器200断开连接计算机时，从所述授权密钥白名单中删除本次操作对应的即毁密钥。

进一步的，所述安全存储器200，还包括：

用于保存密钥黑名单的黑名单寄存器；

在所述安全存储器与计算机断开连接后，所述本次操作对应的即毁密钥加入所述黑名单寄存器。

进一步的，所述安全存储器，还包括：

用于保存管理员密钥白名单的管理员密钥白名单寄存器；

所述安全存储器将接收到的授权密钥与管理员密钥白名单匹配，匹配成功后，根据所述管理员密钥的权限，接收数据读写操作及存储。

进一步的，所述安全存储器，还包括：

所述安全存储器将接收到的授权密钥与管理员密钥白名单匹配，匹配成功后，根据所述管理员密钥的权限，对授权密钥白名单进行修改。

进一步的，所述安全存储器，还包括：

所述安全存储器将接收到的授权密钥与管理员密钥白名单匹配，匹配成功后，根据所述管理员密钥的权限，对授权密钥黑名单进行修改。

本实施例中，提供了一种离线既毁密钥的加密安全存储器200，该安全存储器200通过加密钥匙生成器100对加密安全存储器200解密操作授权，离线脱机后密钥自动销毁失效，避免使用安全存储器200收集拷贝敏感数据者本人或者携带者本人可能造成的数据泄密。

该安全存储器200使用即毁密钥时加密移动存储器仅获得授权一次联机操作，离线后密钥自毁失效；插入授权管理员密钥既可以实现对安全存储器200的所有操作又可以实现对即毁密钥的有效授权激活，实现即毁密钥的重复使用。在管理上即毁密钥和管理员密钥分离管理，外出收集数据者仅仅持有即毁密钥，收集拷贝数据后密钥自动失效，杜绝收集数据者本身可能造成的主动或者被动泄密。

在实现方法上，采用黑白名单钥匙的授权管理模式，黑白名单的管理基于存储器的主控单片机实现管理并记录，每次上电时存储器主控CPU首先进行密钥类型即黑白名单的标记、管理等工作并存入主控CPU内部RAM区。基于移动存储设备的授权模式的安全存储器，在结构上采用插入不同授权功能钥匙的形式实现对存储器的授权管控。该结构形态的授权管控存储器使用极其简单只需要根据使用环境要求插入不同授权的钥匙即可实现对安全存储器的操作授权。

授权钥匙采用硬件电路实现，将加密钥匙与授权钥匙功能组合实现授权管理的功能。

具体的，系统上电后，首先检测是否有授权钥匙，如果没有授权钥匙即是没有获得授权，禁止任何操作。

如果检测到既毁密钥，则实现对存储器的一次授权，实现联机后数据操作，脱机后密钥失效。

如果检测到管理员密钥，则实现对存储器的所有数据操作，同时实现在即毁密钥的激活。

对钥匙的黑白名单管理算法如下：上电后检测到授权范围的密钥序列号，确认是自毁型密钥且是在白名单内既是激活许可的密钥交换，进行密钥交易后立即将该钥匙加入黑名单，然后即可实现读写操作授权。一旦脱机断电后重新联机识别既是黑名单的范围禁止联机。

联机插入管理员密钥后解除既毁密钥黑名单，管理员密钥具有加解密、读写等所有操作权限，及对既毁密钥黑名单的激活权利。

本公开各个实施例中，通过物理加密钥匙实对安全存储器加解密操作授权，离线脱机后密钥自动销毁失效，避免使用安全存储器收集拷贝敏感数据者本人或者携带者本人可能造成的数据泄密。

进一步的，该安全存储器配备两种加密钥匙，一种是用后既毁型密钥，一种是管理员密钥。使用即毁密钥时，安全存储器仅获得授权一次联机操作，离线后密钥自毁失效；使用管理员密钥既可以实现对安全存储器的所有操作又可以实现对即毁密钥的有效授权激活，实现即毁密钥的重复使用。

进一步的，在管理上即毁密钥和管理员密钥分离管理，外出收集数据者仅仅持有即毁密钥，收集拷贝数据后密钥自动失效，杜绝收集数据者本身可能造成的主动或者被动泄密。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本公开的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个实用新型方面中的一个或多个，在上面对本公开的示例性实施例的描述中，本公开的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本公开要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，实用新型方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本公开的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本公开的范围之内并且形成不同的实施例。例如，在权利要求书中所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本公开的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本公开还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本公开的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本公开进行说明而不是对本公开进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本公开可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。

以上所述仅是本公开的具体实施方式，应当指出的是，对于本领域的普通技术人员来说，在不脱离本公开精神的前提下，可以作出若干改进、修改、和变形，这些改进、修改、和变形都应视为落在本申请的保护范围内。