安全存储装置的制作方法

1.本实用新型涉及计算机信息安全和网络安全领域，尤其涉及一种安全存储装置。


背景技术：

2.随着互联网以及数字经济的发展，数据传输在容量方面的要求越来越高且面临日益增加的安全威胁。企业、政府、军事部门等的内部网络与外部网络之间的交互越来越频繁，为保证数据交互的安全，数据交互通常采用单向传输的方式。目前普遍使用的传输设备有光盘、网闸、光闸、保密优盘等。
3.光盘传输被大量使用，但光盘具有一些缺点，例如：容量有限，信息存储量一般不超过10gb；使用不便捷，容易损坏，使用后需要及时销毁，造成一定程度上的资源浪费。网闸(gap)即网络安全隔离设备，架设在两个不连通的网络(内网和外网)之间，通过控制数据交换区与内外网在任意时刻不能同时连接，在内外网物理隔离的情况下实现数据的安全摆渡。但是，网闸也是有缺陷的，例如：其数据交互速度慢，可靠性差，无法提供可追溯性，不能很好地支持对大文件和海量数据的传输，会影响业务时效性。光闸(fgap)即安全光传输设备，是在网闸基础上发展而成的，其是基于光的单向性物理隔离软硬件系统。光闸一般用于对安全性要求极高的数据交互场景，如涉密网络与非涉密网络之间的数据交互、行业内网与公共网络之间的数据交互等。网闸和光闸是昂贵的，而且不具备数据存储功能，体积较大，不方便携带。保密u盘也被称为安全u盘，仅采用授权管理和口令控制的方式实现u盘数据的加密保护。虽然使用方便，但是保密u盘安全性较低，使用安全u盘引发的信息安全问题也屡屡发生。
4.因此，存在对改进的安全存储装置的需要。


技术实现要素：

5.本实用新型的目的在于提出一种能解决或至少缓解上述问题中的至少一些的安全存储装置。
6.本实用新型提供至少以下技术方案：
7.1.一种安全存储装置，包括：传输接口、主控单元、下行传输链路、下行存储控制器、上行传输链路、上行存储控制器、存储接口切换单元、存储单元，其中所述主控单元连接到所述传输接口、所述下行存储控制器、所述上行存储控制器和所述存储接口切换单元，所述下行传输链路连接在所述传输接口和所述下行存储控制器之间，所述上行传输链路连接在所述传输接口和所述上行存储控制器之间，所述下行存储控制器和所述上行存储控制器中的每个经由所述存储接口切换单元连接至所述存储单元，其中
8.所述下行存储控制器被配置为由所述主控单元选择性地启用或禁用以允许或禁止对所述存储单元的写入访问，
9.所述上行存储控制器被配置为由所述主控单元选择性地启用或禁用以允许或禁止对所述存储单元的读出访问，
10.所述存储接口切换单元被配置为由所述主控单元控制为选择性地与所述下行存储控制器或所述上行存储控制器接通，
11.所述主控单元被配置为选择性地执行至少一种控制中之一，所述至少一种控制包括使所述安全存储装置工作于只写模式的第一控制、使所述安全存储装置工作于只读模式的第二控制和/或使所述安全存储装置工作于读写模式的第三控制，
12.其中所述第一控制包括：启用所述下行存储控制器、禁用所述上行存储控制器，并控制所述存储接口切换单元仅与所述下行存储控制器接通，使得来自经由所述传输接口连接至所述安全存储装置的上位机的数据能够依次经由所述传输接口、所述下行传输链路、所述下行存储控制器、所述存储接口切换单元被传输至并写入所述存储单元；所述第二控制包括：禁用所述下行存储控制器、启用所述上行存储控制器，控制所述存储接口切换单元仅与所述上行存储控制器接通，使得存储在所述存储单元中的数据能够被读取并依次经由所述存储接口切换单元、所述上行存储控制器、所述上行传输链路和所述传输接口被传输至所述上位机；所述第三控制包括：控制所述存储接口切换单元分时地与所述下行存储控制器或所述上行存储控制器接通，在所述存储接口切换单元与所述下行存储控制器接通时启用所述下行存储控制器、禁用所述上行存储控制器，在所述存储接口切换单元与所述上行存储控制器接通时禁用所述下行存储控制器、启用所述上行存储控制器，使得当所述存储接口切换单元与所述下行存储控制器接通时，来自所述上位机的数据能够依次经由所述传输接口、所述下行传输链路、所述下行存储控制器、所述存储接口切换单元被传输至并写入所述存储单元，并且当所述存储接口切换单元与所述上行存储控制器接通时，存储在所述存储单元中的数据能够被读取并依次经由所述存储接口切换单元、所述上行存储控制器、所述上行传输链路和所述传输接口被传输至所述上位机。
13.2.根据方案1所述的安全存储装置，其中，
14.所述下行传输链路包括连接到所述传输接口的第一光发射单元、连接到所述下行存储控制器的第一光接收单元以及位于所述第一光发射单元与所述第一光接收单元之间的第一传输光路；
15.所述上行传输链路包括连接到所述上行存储控制器的第二光发射单元、连接到所述传输接口的第二光接收单元以及位于所述第二光发射单元与所述第二光接收单元之间的第二传输光路。
16.3.根据方案2所述的安全存储装置，其中，
17.所述第一光发射单元连接到所述主控单元并被配置为由所述主控单元选择性地启用或禁用，其中所述第一控制还包括启用所述第一光发射单元，所述第二控制还包括禁用所述第一光发射单元，所述第三控制还包括：在所述存储接口切换单元与所述下行存储控制器接通时启用所述第一光发射单元，以及在所述存储接口切换单元与所述上行存储控制器接通时禁用所述第一光发射单元；和/或，所述第一光接收单元连接到所述主控单元并被配置为由所述主控单元选择性地启用或禁用，其中所述第一控制还包括启用所述第一光接收单元，所述第二控制还包括禁用所述第一光接收单元，所述第三控制还包括：在所述存储接口切换单元与所述下行存储控制器接通时启用所述第一光接收单元，以及在所述存储接口切换单元与所述上行存储控制器接通时禁用所述第一光接收单元，
18.和/或，
19.所述第二光发射单元连接到所述主控单元并被配置为由所述主控单元选择性地启用或禁用，其中所述第一控制还包括禁用所述第二光发射单元，所述第二控制还包括启用所述第二光发射单元，所述第三控制还包括：在所述存储接口切换单元与所述下行存储控制器接通时禁用所述第二光发射单元，以及在所述存储接口切换单元与所述上行存储控制器接通时启用所述第二光发射单元；和/或，所述第二光接收单元连接到所述主控单元并被配置为由所述主控单元选择性地启用或禁用，其中所述第一控制还包括禁用所述第二光接收单元，所述第二控制还包括启用所述第二光接收单元，所述第三控制还包括：在所述存储接口切换单元与所述下行存储控制器接通时禁用所述第二光接收单元，以及在所述存储接口切换单元与所述上行存储控制器接通时启用所述第二光接收单元。
20.4.根据方案2或3所述的安全存储装置，其中，
21.所述下行传输链路还包括位于所述第一传输光路上的第一光开关，所述第一光开关被配置为被选择性地闭合或断开以接通或断开所述第一传输光路；和/或
22.所述上行传输链路还包括位于所述第二传输光路上的第二光开关，所述第二光开关被配置为被选择性地闭合或断开以接通或断开所述第二传输光路。
23.5.根据方案4所述的安全存储装置，其中，
24.所述第一光开关为第一电控光开关，所述第一电控光开关连接到所述主控单元并被配置为由所述主控单元选择性地闭合或断开以接通或断开所述第一传输光路，其中所述第一控制还包括闭合所述第一电控光开关，所述第二控制还包括断开所述第一电控光开关，所述第三控制还包括：在所述存储接口切换单元与所述下行存储控制器接通时闭合所述第一电控光开关，以及在所述存储接口切换单元与所述上行存储控制器接通时断开所述第一电控光开关；所述第二光开关为第二电控光开关，所述第二电控光开关连接到所述主控单元并被配置为由所述主控单元选择性地闭合或断开以接通或断开所述第二传输光路，其中所述第一控制还包括断开所述第二电控光开关，所述第二控制还包括闭合所述第二电控光开关，所述第三控制还包括：在所述存储接口切换单元与所述下行存储控制器接通时断开所述第二电控光开关，以及在所述存储接口切换单元与所述上行存储控制器接通时闭合所述第二电控光开关，
25.或者，
26.所述第一光开关为适于手动控制的第一机械光开关；所述第二光开关为适于手动控制的第二机械光开关。
27.6.根据方案1所述的安全存储装置，其中，存储在所述存储单元中的数据是使用加密密钥进行加密的，其中
28.所述安全存储装置还包括连接到所述主控单元的随机数发生器，所述随机数发生器用于产生随机数和将所述随机数提供给所述主控单元用于对所述加密密钥的至少一个密钥分量进行更新，或者
29.所述安全存储装置还包括连接到所述主控单元的密钥分量传输接口，所述密钥分量传输接口用于所述主控单元从外部的随机数发生器接收随机数用于对所述加密密钥的至少一个密钥分量进行更新。
30.7.根据方案6所述的安全存储装置，其中，所述随机数发生器为量子随机数发生器。
31.8.根据方案6或7所述的安全存储装置，其中，所述安全存储装置还包括连接到所述主控单元的安全单元，所述至少一个密钥分量包括与所述安全单元相关联的第一密钥分量和与所述安全存储装置的设备id相关联的第二密钥分量，所述安全单元用于存储所述第一密钥分量和所述第二密钥分量。
32.9.根据方案8所述的安全存储装置，其中，所述加密密钥是基于所述第一密钥分量、所述第二密钥分量和第三密钥分量生成的，所述第三密钥分量基于写入或读出所述存储在所述存储单元中的数据的用户在将所述数据写入或读出所述安全存储装置期间使用的用户口令。
33.10.根据方案9所述的安全存储装置，其中，所述第三密钥分量由被配置为适于被安装在所述上位机中的上位机软件基于所述用户口令生成。
34.11.根据方案1-7中任一项所述的安全存储装置，其中，所述主控单元被配置为基于与当前访问所述安全存储装置的用户相关联的配置信息执行所述至少一种控制中之一。
35.12.根据方案11所述的安全存储装置，其中，所述主控单元被配置为从所述上位机接收所述配置信息，所述配置信息由被配置为适于被安装在所述上位机中的上位机软件基于所述用户的权限生成。
36.本实用新型的安全存储装置支持只写模式、只读模式和读写模式这三种工作模式，能根据情况灵活地被配置为工作于这三种工作模式中之一，同时实现上行传输通道和下行传输通道之间的物理隔离和逻辑隔离，提供高安全性。另外，本实用新型的方案可支持大容量存储，并有利于实现经由安全存储装置的高速数据传输和提供安全存储装置的可便携性。
附图说明
37.以示例的方式参考以下附图描述本实用新型的非限制性且非穷举性实施例，其中：
38.图1是示出根据本实用新型一实施例的安全存储装置的示意图；
39.图2是示出根据本实用新型另一实施例的安全存储装置的示意图；
40.图3是示出根据本实用新型一实施例的安全存储装置及与其连接的上位机的示意图；
41.图4是例示在图3的情况下进行数据写入的示例过程的流程图；
42.图5是例示在图3的情况下进行数据读取的示例过程的流程图。
具体实施方式
43.为了使本实用新型的上述以及其他特征和优点更加清楚，下面结合附图进一步描述本实用新型，其中，附图构成本技术一部分，并与本实用新型的实施例一起用于阐释本实用新型的原理。应当理解，本文给出的具体实施例是出于向本领域技术人员解释的目的，仅是示例性的，而非限制性的。
44.在本文中描述的特征可以不同的形式体现，并且不应被解释为限于在本文中描述的实施例。而是，提供在本文中描述的实施例仅仅是为了例示实施在本文中描述的结构、方法、过程和/或操作的许多可能方式中的一些。在以下描述中，阐述了许多具体细节，以提供
对本实用新型的透彻理解。然而，对于本领域的普通技术人员来说将明显的是，不必采用所述具体细节来实践本实用新型。为了清楚和简化目的，当其可能使本实用新型的主题模糊不清时，对本文所描述的器件、部件和单元的已知功能和结构的详细具体说明将省略。
45.图1示意性示出了根据本实用新型一实施例的安全存储装置10。如图1所示，安全存储装置10包括：传输接口101、主控单元102、下行传输链路103、下行存储控制器105、上行传输链路104、上行存储控制器106、存储接口切换单元107和存储单元108。主控单元102连接到传输接口101、下行存储控制器105、上行存储控制器106和存储接口切换单元107。下行传输链路103连接在传输接口101和下行存储控制器105之间。上行传输链路104连接在传输接口101和上行存储控制器106之间。下行存储控制器105和上行存储控制器106中的每个经由存储接口切换单元107连接至存储单元108。
46.传输接口101用于将安全存储装置10连接到上位机，并用于在安全存储装置10和其所连接的上位机之间传输数据。传输接口101可以为各种合适的接口设备，如usb接口、网口等。
47.下行传输链路103和上行传输链路104均用于传输数据。具体而言，下行传输链路103被配置为将数据从传输接口101传输至下行存储控制器105，该数据由传输接口101所连接到的上位机传输给传输接口101、也可以被称为“下行数据”。上行传输链路104被配置为将数据从上行存储控制器106传输到传输接口101，该数据由存储单元108经由存储接口切换单元107传输给上行存储控制器106、也可以被称为“上行数据”。下行传输链路103和上行传输链路104中的每个可以采用各种可能的传输介质实现，例如可以被实现为电传输链路、光传输链路等。
48.存储单元108用于存储数据。下行存储控制器105用于管理和控制对存储单元108的写入访问。上行存储控制器106用于管理和控制对存储单元108的读出访问。这样的存储单元和存储控制器本身可以是现有技术中已知的，可以采用各种合适的手段和技术——包括现有技术中已知的用于存储设备和存储设备管理/控制的手段和技术——实现。有利的是，下行存储控制器105和上行存储控制器106是彼此独立的、分开实现的模块。
49.下行传输链路103、下行存储控制器105和存储接口切换单元107构成下行数据通道。上行传输链路104、上行存储控制器106和存储接口切换单元107构成上行数据通道。下行数据通道和上行数据通道中的每个位于传输接口101与存储单元108之间。
50.根据本实用新型，下行存储控制器105被配置为由主控单元102选择性地启用或禁用以允许或禁止对存储单元108的写入访问；上行存储控制器106被配置为由主控单元102选择性地启用或禁用以允许或禁止对存储单元108的读出访问；存储接口切换单元107被配置为由主控单元102控制为选择性地与下行存储控制器105或上行存储控制器106接通；主控单元102被配置为选择性地执行至少一种控制中之一，所述至少一种控制包括使所述安全存储装置工作于只写模式的第一控制、使所述安全存储装置工作于只读模式的第二控制和/或使所述安全存储装置工作于读写模式的第三控制。
51.所述第一控制可以包括：启用下行存储控制器105、禁用上行存储控制器106，并控制存储接口切换单元107仅与下行存储控制器105接通。作为主控单元102执行第一控制的结果，安全存储装置10工作于只写模式。在只写模式下，安全存储装置仅支持数据写入，来自经由传输接口101连接至所述安全存储装置的上位机的数据能够依次经由传输接口101、
下行传输链路103、下行存储控制器105、存储接口切换单元107被传输至并写入存储单元108。所述第二控制可以包括：禁用下行存储控制器105、启用上行存储控制器106，控制存储接口切换单元107仅与上行存储控制器106接通。作为主控单元102执行第二控制的结果，安全存储装置10工作于只读模式。在只读模式下，安全存储装置仅支持数据读出，存储在存储单元108中的数据能够被读取并依次经由存储接口切换单元107、上行存储控制器106、上行传输链路104和传输接口101被传输至所述上位机。所述第三控制可以包括：控制存储接口切换单元107分时地与下行存储控制器105或上行存储控制器106接通，在存储接口切换单元107与下行存储控制器105接通时启用下行存储控制器105、禁用上行存储控制器106，在存储接口切换单元107与上行存储控制器106接通时禁用下行存储控制器105、启用上行存储控制器106。作为主控单元102执行第三控制的结果，安全存储装置10工作于读写模式。在读写模式下，安全存储装置支持数据写入和读出，当存储接口切换单元107与下行存储控制器105接通时，来自所述上位机的数据能够依次经由传输接口101、下行传输链路103、下行存储控制器105、存储接口切换单元107被传输至并写入存储单元108；并且，当存储接口切换单元107与上行存储控制器106接通时，存储在存储单元108中的数据能够被读取并依次经由存储接口切换单元107、上行存储控制器106、上行传输链路104和传输接口101被传输至所述上位机。如此，通过对存储接口切换单元107的控制，实现下行数据通道与上行数据通道之间的物理隔离，同时通过下行存储控制器105仅支持对存储单元108的写入操作和通过上行存储控制器106仅支持对存储单元108的读出操作，实现下行数据通道与上行数据通道之间的逻辑隔离。
52.主控单元102执行的控制可以基于其接收的配置信息，该配置信息由主控单元经由传输接口101接收自安全存储装置10所连接的上位机(未示出)，如下文将描述的。
53.图2示意性示出了根据本实用新型另一实施例的安全存储装置20。如图2所示，安全存储装置20包括：传输接口201、主控单元202、第一光发射单元2031、第一光开关2032、第一光接收单元2033、第二光发射单元2041、第二光开关2042、第二光接收单元2043、下行存储控制器205、上行存储控制器206、存储接口切换单元207、存储单元208、安全单元209和随机数发生器210。第一光发射单元2031、第一光开关2032和第一光接收单元2033的组合构成为光链路的下行传输链路——该下行传输链路亦被称为“下行光传输链路”。第二光发射单元2041、第二光开关2042和第二光接收单元2043的组合构成为光链路的上行传输链路——该上行传输链路亦被称为“上行光传输链路”。
54.所述下行光传输链路、下行存储控制器205和存储接口切换单元207构成下行数据通道。所述上行光传输链路、上行存储控制器206和存储接口切换单元207构成上行数据通道。下行数据通道和上行数据通道中的每个位于传输接口201与存储单元208之间。
55.图2中的传输接口201、主控单元202、下行光传输链路、下行存储控制器205、上行光传输链路、上行存储控制器206、存储接口切换单元207和存储单元208可分别与图1中的传输接口101、主控单元102、下行传输链路103、下行存储控制器105、上行传输链路104、上行存储控制器106、存储接口切换单元107和存储单元108相同或类似地连接和起作用，只是主控单元202还连接到安全单元209、随机数发生器210、第一光发射单元2031、第一光开关2032、第一光接收单元2033、第二光发射单元2041、第二光开关2042和第二光接收单元2043，并且还可以附加地被配置为执行与这些部件相关联的操作——包括执行上述第一控
制、第二控制和第三控制时涉及的与这些部件相关联的控制，如下面将描述的。
56.第一光发射单元2031和第一光接收单元2033用于相互协作以进行数据传输。例如，第一光发射单元2031可将接收到的数据转化为光信号后发送给第一光接收单元2033，第一光接收单元2033在接收到该光信号后将其转化为数据供进一步传输。类似地，第二光发射单元2041和第二光接收单元2043用于相互协作以进行数据传输。例如，第二光发射单元2041可将接收到的数据转化为光信号后发送给第二光接收单元2043，第二光接收单元2043在接收到该光信号后将其转化为数据供进一步传输。
57.第一光开关2032设置在位于第一光发射单元2031和第一光接收单元2033之间的第一传输光路上，可以被配置为被选择性地闭合或断开以接通或断开所述第一传输光路。第二光开关2042设置在位于第二光发射单元2041和第二光接收单元2043之间的第二传输光路上，可以被配置为被选择性地闭合或断开以接通或断开所述第二传输光路。
58.在图2的情况下，第一光开关2032可以是第一电控光开关，被配置为由主控单元202选择性地闭合或断开以接通或断开所述第一传输光路，从而接通或断开所述下行光传输链路。第二光开关2042可以是第二电控光开关，被配置为由主控单元202选择性地闭合或断开以接通或断开所述第二传输光路，从而接通或断开所述上行光传输链路。在此情况下，主控单元202执行上述第一控制还可以附加地包括执行以下操作：闭合所述第一电控光开关、断开所述第二电控光开关；主控单元202执行上述第二控制还可以附加地包括执行以下操作：断开所述第一电控光开关、闭合所述第二电控光开关；主控单元202执行上述第三控制还可以附加地包括执行以下操作：在存储接口切换单元207与下行存储控制器205接通时闭合所述第一电控光开关、断开所述第二电控光开关，以及在存储接口切换单元207与上行存储控制器206接通时断开所述第一电控光开关、闭合所述第二电控光开关。
59.根据另一可能的实现，第一光开关2032可以是适于手动控制的第一机械光开关，第二光开关2042可以是适于手动控制的第二机械光开关。这样的机械光开关可由用户操作以闭合或断开，无需连接至主控单元202。
60.第一光发射单元2031、第一光接收单元2033、第二光发射单元2041和第二光接收单元2043中的每个可以被配置为由主控单元202选择性地启用或禁用。在图2的情况下，主控单元202执行上述第一控制还可以附加地包括执行以下操作：启用第一光发射单元2031和第一光接收单元2033、禁用第二光发射单元2041和/或第二光接收单元2043；主控单元202执行上述第二控制还可以附加地包括执行以下操作：禁用第一光发射单元2031和/或第一光接收单元2033、启用第二光发射单元2041和第二光接收单元2043；主控单元202执行上述第三控制还可以附加地包括执行以下操作：在存储接口切换单元207与下行存储控制器205接通时启用第一光发射单元2031和第一光接收单元2033、禁用第二光发射单元2041和/或第二光接收单元2043，以及在存储接口切换单元207与上行存储控制器206接通时禁用第一光发射单元2031和/或第一光接收单元2033、启用第二光发射单元2041和第二光接收单元2043。
61.图2中将上行传输链路和下行传输链路设置为光链路是有利的，例如有利于进一步确保数据在期望的上行或下行方向上的单向传输、提高传输安全性，实现上、下行传输链路的隔离，避免经其传输的数据受电磁干扰的影响。
62.另外，在图2的情况下，除了通过存储接口切换单元207实现物理隔离以及通过下
行存储控制器205和上行存储控制器206实现逻辑隔离之外，还可以通过对第一光发射单元2031、第一光开关2032、第一光接收单元2033、第二光发射单元2041、第二光开关2042和第二光接收单元2043中全部或部分的控制实现附加的物理隔离。
63.尽管图2中示出第一光发射单元2031、第一光接收单元2033、第二光发射单元2041和第二光接收单元2043均连接到主控单元202，但这不是必需的。对于第一光发射单元2031、第一光接收单元2033、第二光发射单元2041和第二光接收单元2043中的每个，其可以不连接到主控单元202、不由主控单元202控制，而是通过其他方式被控制——例如被手动控制，或者在安全存储装置20工作期间始终处于被启用的状态。
64.安全单元209可用于存储安全相关的信息，例如密钥分量、身份认证相关的信息、日志等，如下面将描述的。安全单元209可以各种可能的方式实现，例如可以软件、硬件、固件或其组合实现。安全单元209被实现为单个芯片即安全芯片是有利的。
65.随机数发生器210用于产生随机数并将产生的随机数提供给主控单元202用于至少一个密钥分量的生成和/或更新，如下面将描述的。随机数发生器210可以为量子随机数发生器或其他合适的随机数发生器。
66.根据另一可能的实现，代替随机数发生器210，安全存储装置20可以包括一个连接到主控单元202的密钥分量传输接口，所述密钥分量传输接口被配置为适于连接到外部的随机数发生器，用于主控单元202从该外部的随机数发生器接收其产生的随机数用于对至少一个密钥分量进行更新。
67.本文中，“密钥分量”应被广义地理解为生成加密或解密密钥所基于、依赖或使用的任何安全相关的信息部分。例如，生成用于数据加密(例如，下行数据加密)或数据解密(例如，上行数据解密)的密钥所基于、依赖或使用的一个或多个安全相关的信息部分中任一可以被称为一个密钥分量。
68.除了控制安全存储装置的工作模式之外，主控单元，如主控单元102和202，还可以具有附加的功能，例如用于监控所述安全存储装置及其部件的状态、生成日志、进行身份认证等。
69.参照图3-5，以示例的方式结合图2的安全存储装置20描述本实用新型的安全存储装置的运行。
70.图3示出安全存储装置20连接到上位机。上位机可以是例如计算机或其他可能的上位机。上位机中安装有为安全存储装置20配备的、适于与安全存储装置20协作的上位机软件。上位机软件被配置为适于与用户交互，可以配置有适于由用户操作的特征和/或用户界面。
71.图4例示的进行数据写入的过程包括步骤401、步骤402、步骤403、步骤404、步骤405、步骤406、步骤407、步骤408、步骤409和步骤410。
72.在步骤401，给安全存储装置20上电。
73.在步骤402，安装在上位机中的上位机软件通过传输接口201与安全存储装置20的主控单元202建立连接，形成认证连接通道。
74.在步骤403，主控单元202进行身份认证。具体而言，响应于用户输入登录信息，上位机软件基于所述登录信息中包含的用户口令生成用户的身份认证数据，并经由传输接口201将该身份认证数据发送给主控单元202。主控单元202基于接收到的身份认证数据对用
户进行身份认证，例如，对照存储在安全单元209中的口令密钥分量对接收到的身份认证数据进行鉴别。鉴别可按各种合适的方式或流程进行，可遵循国家密码相关标准例如gb/t158043.2-2017的规定。这里，口令密钥分量即为身份认证相关的信息。用户口令密钥分量可以在创建用户时、变更用户的用户口令时或其他合适的时机由上位机软件生成或更新。例如，上位机软件可以基于设置的用户口令通过调用伪随机算法或随机数发生器生成口令密钥分量，然后将该口令密钥分量经由传输接口201和主控单元202存储到安全单元209的存储区域中。
75.在步骤404，主控单元202判断用户是否通过身份认证。若判断结果为否定，该过程返回步骤402，并且主控单元202返回身份认证失败的信息给上位机，并继续等待用户登录。若判断结果为肯定，该过程进行到步骤405，并且主控单元从上位机接收与登录用户相关联的配置信息，并根据接收的配置信息开启相应的数据通道并初始化开启的数据通道。该配置信息可由上位机软件基于登录用户的权限生成并发送给主控单元202。用户访问命令可由用户经由上位机软件进行的输入或操作产生。开启数据通道可以包括执行根据登录用户的权限所允许的工作模式所对应的一种授权控制。例如，根据情况，所述授权控制可以包括上述的第一控制、第二控制和第三控制中的一个。例如，若登录用户仅具有将数据写入安全存储装置的只写权限，相应的授权控制仅包括所述第一控制；若登录用户仅具有从安全存储装置读取数据的只读权限，相应的授权控制仅包括所述第二控制；若登录用户既具有将数据写入安全存储装置的写入权限又具有从安全存储装置读取数据的读取权限，相应的授权控制可以包括所述第三控制。
76.根据情况，开启数据通道可以包括执行所述第一控制、第二控制或第三控制，这可以涉及：桥接相关的光学器件(例如，第一光发射单元2031、第一光开关2032、第一光接收单元2033，或第二光发射单元2041、第二光开关2042和第二光接收单元2043)，对相关的电气部件(如，下行存储控制器205和安全单元209，或上行存储控制器206和安全单元209)上电，对已桥接的光学器件和已上电的电气部件进行相应的控制等。数据通道开启并初始化成功后，数据通道中的存储控制器与上位机之间建立起用户数据通道，并进入等待模式，等待数据访问指令。在传输接口201为usb 3.0接口的情况下，建立的用户数据通道为usb 3.0高速用户数据通道。为方便描述，在图4的情况下，假设登录用户仅具有只写权限，用户访问命令为数据写入指令，并且相应地，开启的数据通道为下行数据通道，该数据通道中的存储控制器即下行存储控制器205。
77.在步骤405，下行存储控制器205等待来自上位机的下行数据。响应于来自用户的数据写入指令，上位机可将相应的数据加密后经由传输接口201和下行光传输链路传递给下行存储控制器205。例如，加密密钥可由上位机软件基于登录用户的用户口令、安全存储装置20的设备id密钥分量和安全单元密钥分量生成。设备id密钥分量可在安全存储装置20出厂时被设置并写入安全单元209的存储区域中，并且可以可选地在安全存储装置20出厂后被更新，例如在创建用户时、变更用户口令时或其他合适的时机借助于随机数发生器210产生的随机数进行更新；或者，设备id密钥分量可在安全存储装置20出厂时、创建用户时、修改用户口令时或其他合适的时机借助于随机数发生器210产生的随机数来生成。例如，对于安全存储装置20，主控单元202可以在创建用户时、变更用户口令时或其他合适的时机指示随机数发生器210产生随机数，并利用产生的随机数生成或更新安全存储装置20的设备
id密钥分量；生成或更新的设备id密钥分量可以存储在安全单元209的存储区域中。安全单元密钥分量可在安全存储装置20出厂时被设置并写入安全单元209的存储区域中，并且可以可选地在安全存储装置20出厂后被更新，例如在创建用户时、变更用户口令时或其他合适的时机借助于随机数发生器210产生的随机数进行更新；或者，安全单元密钥分量可在安全存储装置20出厂时、创建用户时、变更用户口令时或其他合适的时机借助于随机数发生器210产生的随机数来生成。例如，对于安全存储装置20，主控单元202可以在创建用户时、变更用户口令时或其他合适的时机指示随机数发生器210产生随机数，并利用产生的随机数生成或更新安全存储装置20的安全单元密钥分量，然后将生成或更新的安全单元密钥分量发送给安全单元209供存储在其中。主控单元202可以在需要时从安全单元209获取存储在其中的设备id密钥分量、安全单元密钥分量。上位机在下发数据之前，经由传输接口201和主控单元202从安全单元209中获取所述设备id密钥分量和安全单元密钥分量，并基于登录用户的用户口令、设备id密钥分量以及安全单元密钥分量通过各种可能的手段或算法生成数据加密所使用的加密密钥。例如，上位机可将所述用户口令、设备id密钥分量以及安全单元密钥分量输入到hash函数(sm3、sha等hash算法)以生成加密密钥。对数据的加密可以采用各种合适的加密算法，包括例如但不限于各种标准加密算法以及国家密码局认定的加密算法，例如aes加密算法或sm4加密算法。
78.在步骤406，下行存储控制器205判断来自上位机的下行数据是否已到达。若判断结果为否定，该过程返回到步骤405。若判断结果为肯定，该过程进行到步骤407。
79.在步骤407，下行存储控制器205经由存储接口切换单元207将接收到的下行数据写入存储单元208的目标地址。该目标地址可由下行存储控制器205自动分配。
80.在步骤408，下行存储控制器205判断接收到的下行数据是否被成功写入存储单元208。若判断结果为肯定，该过程进行到步骤409。若判断结果为否定，该过程进行到步骤410。下行存储控制器205可以将判断结果反馈给主控单元202。
81.在步骤409，主控单元202根据来自下行存储控制器205的反馈返回数据写入成功的状态信息给上位机。
82.在步骤410，主控单元202根据来自下行存储控制器205的反馈返回数据写入失败的状态信息给上位机。
83.返回的状态信息可以由上位机呈现给登录用户。
84.图5例示的进行数据读取的过程包括步骤501、步骤502、步骤503、步骤504、步骤505、步骤506、步骤507、步骤508、步骤509和步骤510。
85.步骤501、步骤502、步骤503、步骤504可以分别与步骤401、步骤402、步骤403、步骤404相同或类似，只是：为方便描述，在图5的情况下，假设登录用户仅具有只读权限，用户访问命令为数据读取指令，并且相应地，开启的数据通道为上行数据通道，该数据通道中的存储控制器即上行存储控制器206。
86.在步骤505，上行存储控制器206等待来自上位机的数据读取指令。
87.在步骤506，上行存储控制器206判断来自上位机的数据读取指令是否已到达。若判断结果为否定，该过程返回到步骤505。若判断结果为肯定，该过程进行到步骤507。响应于接收到来自用户的数据读取指令，上位机可经由传输接口201和主控单元202将数据读取指令传递给上行存储控制器206。
88.在步骤507，上行存储控制器206经由存储接口切换单元207从存储单元208获取待读取的数据，并经由上行光传输链路和传输接口201将所述待读取的数据传输到上位机。所述待读取的数据可由来自用户的数据读取指令指示。传输到上位机的所述数据是加密的，在到达上位机后可由上位机软件利用解密密钥进行解密。例如，解密密钥可由上位机软件基于登录用户的用户口令、安全存储装置20的设备id密钥分量和安全单元密钥分量生成。上位机在接收到来自存储单元208的上行数据之后，可以经由传输接口201和主控单元202从安全单元209中获取所述设备id密钥分量和安全单元密钥分量，并基于登录用户的用户口令、设备id密钥分量以及安全单元密钥分量通过各种可能的手段或算法生成数据解密所使用的解密密钥。例如，上位机可将所述用户口令、设备id密钥分量以及安全单元密钥分量输入到hash函数(sm3、sha等hash算法)以生成解密密钥。
89.在步骤508，上行存储控制器206判断是否成功从存储单元208读取数据。若判断结果为肯定，该过程进行到步骤509。若判断结果为否定，该过程进行到步骤510。上行存储控制器206可以将判断结果反馈给主控单元202。
90.在步骤509，主控单元202根据来自上行存储控制器206的反馈返回数据读取成功的状态信息给上位机。
91.在步骤510，主控单元202根据来自上行存储控制器206的反馈返回数据读取失败的状态信息给上位机。
92.返回的状态信息可以由上位机呈现给登录用户。
93.本实用新型的安全存储装置可以被配置为支持管理员角色和普通用户角色。当以管理员角色访问所述安全存储装置时，可实现对普通用户的添加、删除，用户权限、用户口令的设置和变更，设备日志的查看和导出和其他可能期望的功能，例如数据读出、数据写入等。当以普通用户角色访问所述安全存储装置时，上位机软件可以根据用户的权限生成与用户相关联的配置信息，以用于经由所述安全存储装置的主控单元配置所述安全存储装置的工作模式，并相应地执行数据加密并写入和/或执行数据读出并解密。
94.另外，本实用新型的安全存储装置可以被配置为支持多个普通用户，使得对于每个普通用户，仅自己写入安全存储装置的数据是可见的，而其他用户存储的数据是不可见的。对于管理员，所有用户存储的数据都可以是可见的、可读取的和可删除的。对于普通用户，当安全存储装置工作在只读模式下时，普通用户不可删除安全存储装置中存储的任何数据；当安全存储装置工作在只写或读写模式下时，普通用户能够删除自己存储在安全存储装置中的数据。
95.上位机软件还可以可选地被配置为在进行数据加密或解密时执行完整性校验，以判断文件是否有损坏或被篡改。具体而言，在进行数据写入时，上位机软件可以计算待写入数据的md5值，将加密后的该待写入数据和计算的md5值一并写入安全存储装置的存储单元；在进行数据读出时，上位机软件将读出的数据进行解密，然后对解密的数据计算md5值，将该md5值和之前写入所述存储单元的md5值进行比较，由此判断数据是否有损坏或被篡改。
96.应理解，本实用新型的装置的一些模块/单元可全部或部分地通过软件、硬件、固件或其组合来实现。所述各模块/单元各自可以实现为独立的部件或模块，或者两个或更多个模块/单元可实现为单个部件或模块。
97.以上描述的各技术特征可以任意地组合。尽管未对这些技术特征的所有可能组合进行描述，但这些技术特征的任何组合都应当被认为由本说明书涵盖，只要这样的组合不存在矛盾。
98.通过具体实施方式的说明，应当可对本实用新型为达成预定目的所采取的技术手段及功效有更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本实用新型加以限制。