专利名称:一种预防破解密码的数据存取方法
一种预防破解密码的数据存取方法
技术领域:
本发明涉及一种数据存取方法,尤其是指一种应用于数据储存装置的安全数据 存取方法。背景技术:
通讯工具的革命性变更,带来了网路的快速成长和信息的加速数字化,并 对个人安全和隐私造成前所未有的威胁。持续增加的敏感信息正以电子种类方式循 环,其包含电子邮件、传真信息、电话通话内容、基金汇兑、贸易秘密和其他个人 纪录。相同的技术进步已为人类带来巨大的益处,但同时也造成人们受到更多难以 防守的和潜在危险的窥探。现己出现一些新应用在电脑储存设备,且其中许多是为 了加强储存于电脑储存设备的数据的整体安全性的需求。图1到图3是根据Cheng等人的美国专利第6, 880, 054号的安全储存设备 及其操作的简要图。如图1所示,快闪存储器4是被分割成数个不同的区段或地带。 简而言之,快闪存储器是被分割成2个区段区段l是用以设定软件序号,而区段 2则是用以储存使用者的数据。此外,每个区段有其独特的密码。请参考图2,其 为一流程图显示最终使用者对于快闪存储器4区段2密码的初始化设定。为了设定 区段2的密码,使用者将设备10插入20至电脑上的USB连接埠,且在电脑和设备 10之间建立通讯21。使用者之后执行驱动程序软件,且该驱动程序软件对于区段 2输入一密码安装设定模式23。之后使用者输入密码28,该密码是他们期待用以 防止对快闪存储器4的区段2做未经授权的存取。输入的密码之后被加密29并储 存30于快闪存储器4。如图2所示及同上所述,在最终使用者进行初始化密码设定程序后,当使 用者选取区段2以存取储存于快闪存储器4的数据时(见图3),则微控制器3将传 送一命令给电脑要求46使用者输入使用于区段2的密码。当使用者输入密码,则4电脑会将密码传至微控制器3。微控制器3从快闪存储器4取得区段2的密码、解 密47密码并将密码与使用者输入的密码做比较。如果使用者输入的密码不正确的 话,则操作回到步骤46且电脑要求46使用者重新输入密码。如果使用者输入的密 码正确的话,则使用者可存取快闪存储器4的区段2,以读取来自快闪存储器4的 数据和写入数据至快闪存储器4。然而,只有在手动切换7是在允许数据被写入至 快闪存储器4的位置,数据才能被写入至快闪存储器4。为了读取来自快闪存储器 4的数据或写入数据至快闪存储器4,则须通过USB格式的电脑将48读取或写入命 令传至微控制器3。为回应于读取或写入命令,微控制器3会从快闪存储器4取得 49数据并将其传至驱动程序2以符合转成50个人电脑格式,并再输出至电脑或从 驱动程序取得数据以写入该数据至快闪存储器4。微控制器3之后再判断51是否 完成读取或写入操作。如果没完成操作,则回到步骤49。如果完成操作,则操作 终止于52。虽然美国专利第6, 880, 054号揭露了将使用者提供的密码和储存的密码与 限制存取快闪存储器数据做比较的方法,但坏处是密码破解者最终透过多次的反复 尝试来破解密码。此外, 一旦存有密码的快闪存储器4被破解或被去除,则恶意的 密码破解者将可轻易地存取数据。因此,已知技术不能保证储存设备中数据的机密 性。所以,需要有一种安全数据存取方法,以避免私人数据外泄。跟一般不同的是, 例如美国专利第6,880,054号的数据存取方法,本发明胜于透过基于密码所产生 的加密金钥来加强数字数据的机密性,并进一步以加密金钥来加密数据,以排除入 侵者有机会在经过多次的反复尝试后破解加密数据。
发明内容鉴于已知技术受限于上述问题,因此本发明的目标是提供一种使用于数据 读取/写入设备的安全数据存取方法。依照本发明的观点,一种使用于数据读取/写入设备具有至少一 NAND快闪 存储器的数据储存装置的数据存取方法,该方法包括以下步骤a)建立预设密码; b)产生第一加密金钥;c)以第一加密金钥来加密数据;d)收到存取要求后提示输入 密码;e)以使用者输入的密码解码储存于NAND快闪存储器的标头;f)检查标头以判断使用者输入密码和第一加密金钥是否可以对应;及g)当使用者输入密码和第 一加密金钥正确对应后,通过解密金钥来解密和输出数据。根据本案构想,解码步骤包括把使用者输入密码转译成第二加密金钥的步 骤,以解码标头。根据本案构想,数据存取方法进一步包括,当使用者输入密码和第一加密 金钥之间无法正确对应时,提示输入密码的步骤。根据本案构想,自密码转译的第一和第二加密金钥可通过软件或硬件达成。 根据本案构想,标头位于第一逻辑区。根据本案构想,第一加密金钥和第二加密金钥可通过数据读取/写入设备做修改。根据本案构想,解密金钥可通过数据读取/写入设备做修改。 根据本案构想,第一加密金钥和第二加密金钥个别具有64位元、128位元、 192位元、或256位元的长度。根据本案构想,解密金钥具有64位元、128位元、192位元、或256位元的长度。根据本案构想,根据先进加密标准(Advanced Encryption Standard, AES)、 数据加密标准(Data Encryption Standard, DES)、三重数据加密标准 (Triple-DES)、和RSA加密法做数据加密。根据本案构想,数据储存装置包括USB随身盘(Universal Serial Bus, USB)、 SD卡(Smart Digital, SD)、醒C卡(Multi Media Card, MMC) 、 CF卡(Compact Flash, CF)、和USB快闪盘。依照本发明的另一观点, 一种使用于数据读取/写入设备具有至少一 NAND 快闪存储器的数据储存装置的数据存取方法,该方法包括以下步骤收到数据存取 要求后提示输入密码;将使用者输入密码转译成加密金钥;以加密金钥解码储存于 NAND快闪存储器的标头;检査标头以判断使用者输入密码和预设加密金钥是否正 确对应;及当使用者输入密码和预设密码正确对应后,通过解密金钥来解密和输出 数据。根据本案构想,预设加密金钥是依照预设密码作转译。6根据本案构想,数据存取方法进一步包括,当使用者输入密码和预设加密 金钥无法正确对应时,提示输入密码的步骤。根据本案构想,自密码转译的加密金钥和预设加密金钥可通过软件或硬件达成。根据本案构想,标头位于第一逻辑区。根据本案构想,加密金钥和预设加密金钥可通过数据读取/写入设备做修改。根据本案构想,其中解密金钥可通过数据读取/写入设备做修改。根据本案构想,加密金钥和预设加密金钥个别具有64位元、128位元、192 位元、或256位元的长度。根据本案构想,根据先进加密标准(Advanced Encryption Standard, AES)、 数据加密标准(Data Encryption Standard, DES)、三重数据加密标准 (Triple-DES)、和RSA加密法做数据加密。根据本案构想,数据储存装置包括USB随身盘、SD卡、MMC卡、CF卡、和 USB快闪盘。
图1是根据已知技术说明数据储存设备的简要框图;图2是根据己知技术说明最终使用者使用数据储存设备的流程图;图3是说明已知操作数据储存设备的流程图;图4是根据本发明说明数据储存装置的简要图;及图5是根据本发明说明控制数据存取的流程图。
具体实施方式本发明揭露一种应用于数据储存装置及其数据存取方法。本领域技术人员 将在阅读接下来实施方式和附图后,更了解本发明的上述目标和优点。本发明不需 被接下来的实施例所限制。请参考图4,根据本发明说明一种数据储存装置的安全机制。如图4所示,数据储存装置1包含连接至数据读取/写入设备(未显示)的接口 20,该接口 是用以数据之间的缓冲和传送;非挥发性存储器21;用以储存数据的快闪存储器 22;加密单元23;及解密单元24,并于下文中加以详述以上元件。非挥发性存储器21中同时存有加密金钥和解密金钥。每个金钥都是在本领域中使用已知技术去加密和解密数据的位元栏位。透过密码演算法,上述金钥以使 用者提供的密码为基础而产生,且该金钥通常是一串数字的组合。通过应用金钥的 位元值至数据的位元值及引导结合选取加密演算法的逻辑操作,涵盖先进加密标准(Advanced Encryption Standard, AES)、数据力口密标准(Data Encryption Standard DES)、三重数据加密标准(Triple-DES)、和RSA加密法(Rivest-Shamir-Adleman), 加密单元23和解密单元24可依照加密金钥和解密金钥来进行数据的加密和解密。 当然,两种金钥皆可通过读取/写入设备做修改。在此实施例中,两种金钥是「对 称的」(加密和解密都使用相同金钥),但在其他实施例中,两种金钥可以是「非对 称的」(加密和解密金钥不相同)。虽然64位元、196位元、或256位元金钥可用 以实施在本发明,然而在此实施例中,将以每个金钥皆在128位元准位做加密和解 密来作为例子。此外,快闪存储器22包含含有基本输入/输出系统参数块(BIOS Parameter Block, BPB)的标头部分221。BPB是用以描述磁盘容量的档案系统格式。 具有BPB的典型档案系统包含档案配置表(File Allocation Table, FAT) 16,和 FAT32。 BPB保有重要的档案系统参数,使得BIOS (Basic Input Output System) 可通过使用这些参数而存取储存于磁碟的数据。在BPB中有一 8位元组的栏位是用 以辨别档案系统类别;及一字串是用以在该栏位的前3位元组,而该栏位必须是在 此实施例中的FAT;以上两者是用以核对档案系统为正确的FAT档案系统。在其他 实施例中,使用于BPB栏位的特定字串可以类似方式找出NTFS或其他非FAT档案 系统。根据本发明,内建于快闪存储器22中的储存装置1具有在加密和解密数据 的操作中,分别具有与加密单元23和解密单元24的单向通讯。当解密操作早于传 送加密数据至解密单元24时,在加密操作后,快闪存储器22是专用以接收来自加 密单元23的加密数据。加密单元23利用非挥发性存储器21的加密金钥作为数据 加密。同理,解密单元24利用非挥发性存储器21的解密金钥作为数据解密。在图5中,其根据本发明说明一种使用于数据储存装置的数据存取方法的 较佳实施例。在此实施例中,本发明的数据储存装置和读取/写入设备是同时具备 的。其它实施例可能使用额外的或不同的工具来进行操作。
数据储存装置l,如USB快闪盘,是透过接口 20连接至读取/写入设备用 以传送数据。如图5的步骤S30所示,输入密码后,透过读取/写入设备传送数据 以启动本数据存取方法的后续执行步骤。在此实施例中,已知的演算法一AES,是 作为执行数据加密之用,因此在加密和解密时仅使用单一金钥。也就是说,加密金 钥和解密金钥是「对称的」(加密和解密时皆使用同一金钥)。在其他实施例中,两 种金钥可以是「非对称的」(加密金钥和解密金钥是不同的)。因此,如图5的步骤 S31所示,依照特定的运算规则可将使用者键入的密码转换成金钥,例如将6个字 元(48位元)的密码,通过增加额外80位元的金钥长度进一步转译成128位元的第 一加密金钥并储存于非挥发性存储器21。虽然64位元金钥、196位元金钥、或256 位元金钥可用以执行数据存取方法,然而在此实施例中,每种金钥以128位元为标 准产生。如图5的步骤S32所示,在透过接口 20从数据读取/写入设备传送加密 数据至快闪存储器22之前,加密单元23采用一已知加密演算法,例如128位元 AES,连同非挥发性存储器21的第一加密金钥,然后将纯文字档数据转换成乱码, 即,已加密的数据。除AES之外,还可透过RSA加密法(Rivest-Shamir-Adleman, RSA)、数据加密标准(Data Encryption Standard, DES)、三重数据加密标准 (Tr iple-DES)等方法加密数据。
同上所述,从图5的步骤S33开始是解密时的操作,而步骤S30到S32是 加密时的操作步骤。为了管理数据存取,重新输入密码是为了要解密储存于快闪存 储器22的加密数据。如图5的步骤S34所示,在步骤S33中要求存取数据之后, 在读取/写入设备上会出现复选框提示密码的重新输入。未经授权的入侵者将无法 读取受加密保护的数据。为了解密加密数据和透过接口 20读出并输出至数据读取 /写入设备,解密金钥需要相对应于第一加密金钥。步骤S35到步骤S36是说明将 重新输入的密码转译成第二加密金钥并用以解码标头221的过程。在标头221中有 一8位元组栏位在第一逻辑区(LBA0)的BPB,以辨别其档案系统类别,g卩,在此实 施例中的FAT字串。在步骤S37和步骤S38,在解码后,以标头221来检査判断可否找出在前3位元组中的"FAT"字串。在步骤S38,如果第一加密金钥和重新输 入密码所转译的金钥确认相同时(即正确对应),代表在第一逻辑区的BPB的8位元 组栏位会以正确的金钥成功地完成加密数据乱码转明码的的解密动作,故能在该栏 位的前3位元组找出正确解码的"FAT"字串。
否则,当使用者键入的密码所转译金钥与加密金钥不同时,数据仍会以错 误的金钥完成解密动作,但其因金钥不正确,加密数据错误解码后的数据仍为无法 识别的乱码,故无法由错误解码所产生的数据中找出"FAT"的字串,此时步骤S38 会回到步骤S34,且如果金钥比对不正确,则在读取/写入设备上会再出现复选框 提示输入密码。当"FAT"的字串在标头221的BPB栏位被找出,则代表达到安全 许可的特定标准。因此,步骤S33的数据存取要求是允许的,且取得解密金钥后解 密在解密单元24的加密数据。如图5的步骤S39所示,最后,数据复原至其原始 未加密状态,并透过接口 20呈现在读取/写入设备上。即使快闪存储器22被破解、 或从储存装置1去除后再结合另一储存装置,在缺少正确的解密金钥下,加密数据 依然是加密的状态。
当然,上述加密和解密操作可通过软件或硬件任一完成。在其他实施例中, 密码可在制造商端被预先建立,之后使用者可在读取/写入设备上修改密码。本发 明的特性是特别适用于USB随身盘、SD卡、丽C卡、CF卡、及USB快闪盘的应用。 此外,载有数据如何处理信息的快闪存储器的标头是通过FAT格式做分割。
总而言之,本发明揭露一种应用于数据储存装置的数据存取方法,以避免 机密信息落入不适当的人手里,尤其是在高度商业竞争中的产业间谍。不同于已知 技术,即使已输入不正确的密码,在密码被证实前,受加密保护的数据是释放在第 一位置。本发明进一步利用记录在标头的档案从属信息,意即第一逻辑区,以加强 数据的保护和完整性。此外,密码可进一步被转译成具有64位元、128位元、196 位元、或256位元长度的加密金钥。如果密码被证实是不正确或无效,那代表比对 不正确。因此,即使在长时间的破解计算和反复尝试中找出可能的金钥后,数据还 是在加密状态,且未经授权的人是无法读取的,以防止加密金钥被破解而造成数据 外泄。只有在输入的密码符合以标头的信息为基础的加密金钥后,加密数据始可被 成功解密为未加密数据。本发明保证储存于存储器的暂存数据维持是机密的,且防止恶意金钥输入者破解金钥,进而排除已知技术潜在的安全漏洞,并藉此提高数字 内容的整体安全性。
纵使本发明已由上述实施例详细叙述而可由本领域技术人员任施匠思而为 诸般修饰,然皆不脱如附权利要求书所欲保护者。
权利要求
1.一种使用于数据读取/写入设备具有至少一NAND快闪存储器的数据储存装置的数据存取方法,该方法包括以下步骤建立预设密码;产生第一加密金钥;以第一加密金钥来加密数据;收到存取要求后提示输入密码;以使用者输入的密码解码储存于NAND快闪存储器的标头;检查标头以判断使用者输入密码和第一加密金钥是否正确对应;及当使用者输入密码和第一加密金钥正确对应后,通过解密金钥来解密和输出数据。
2. 如权利要求1所述的数据存取方法,其特征在于,解码步骤包括把使用者输 入密码转译成第二加密金钥的步骤,以解码标头。
3. 如权利要求1所述的数据存取方法,其特征在于,进一步包括当使用者输入 密码和第一加密金钥无法正确对应时,提示输入密码的步骤。
4. 如权利要求2所述的数据存取方法,其特征在于,自密码转译的第一和第二 加密金钥可通过软件或硬件达成。
5. 如权利要求1所述的数据存取方法,其特征在于,该标头位于第一逻辑区。
6. 如权利要求2所述的数据存取方法,其特征在于,第一加密金钥、第二加密 金钥、和解密金钥可通过数据读取/写入设备做修改。
7. 如权利要求1所述的数据存取方法,其特征在于,解密金钥等同第一加密金钥。
8. 如权利要求2所述的数据存取方法,其特征在于,第一加密金钥、第二加密 金钥、和解密金钥个别具有64位元、128位元、192位元、或256位元的长度。
9. 如权利要求1所述的数据存取方法,其特征在于,根据先进加密标准、数据 加密标准、三重数据加密标准、和RSA加密法做数据加密。
10. 如权利要求1所述的数据存取方法,其特征在于,数据储存装置包括USB随身盘、SD卡、MMC卡、CF卡、和USB快闪盘。
11. 一种使用于数据读取/写入设备具有至少一NAND快闪存储器的数据储存装 置的数据存取方法,该方法包括以下步骤收到数据存取要求后提示输入密码; 将使用者输入密码转译成加密金钥; 以加密金钥解码储存于NAND快闪存储器的标头; 检查标头以判断使用者输入密码和预设加密金钥是否正确对应;及 当使用者输入密码和预设加密金钥正确对应后,通过该金钥来解密和输出数 据。
12. 如权利要求ll所述的数据存取方法,其特征在于,预设加密金钥是依照预 设密码作转译。
13. 如权利要求ll所述的数据存取方法,其特征在于,进一步包括当使用者输 入密码和预设加密金钥无法正确对应时,提示输入密码的步骤。
14. 如权利要求12所述的数据存取方法,其特征在于,自密码转译的加密金钥 和预设加密金钥可通过软件或硬件达成。
15. 如权利要求11所述的数据存取方法,其特征在于,该标头位于第一逻辑区。
16. 如权利要求ll所述的数据存取方法,其特征在于,加密金钥、预设加密金 钥可通过数据读取/写入设备做修改。
17. 如权利要求ll所述的数据存取方法,其特征在于,加密金钥、预设加密金 钥个别具有64位元、128位元、192位元、或256位元的长度。
18. 如权利要求ll所述的数据存取方法,其特征在于,根据先进加密标准、数 据加密标准、三重数据加密标准、和RSA加密法做数据加密。
19. 如权利要求ll所述的数据存取方法,其特征在于,数据储存装置包括USB 随身盘、SD卡、醒C卡、CF卡、和USB快闪盘。
全文摘要
本发明揭露一种使用于数据读取/写入设备具有至少一NAND快闪存储器的数据储存装置的数据存取方法,该方法包括以下步骤建立预设密码;产生第一加密金钥;以第一加密金钥来加密数据;收到存取要求后提示输入密码;以使用者输入的密码解码储存于NAND快闪存储器的标头;检查标头以判断使用者输入密码和第一加密金钥之间的是否正确对应;及当使用者输入密码和第一加密金钥正确对应后,通过解密金钥来解密和输出数据。
文档编号G11C16/06GK101324866SQ20071012646
公开日2008年12月17日 申请日期2007年6月12日 优先权日2007年6月12日
发明者伍汉维, 王智麟, 王淑华, 马中迅 申请人:群联电子股份有限公司