专利名称:一种安全存储装置和数据管理方法
技术领域:
本发明涉及消费电子类领域,特别是涉及一种指纹识别技术与其它加密技术结合的安全存储装置和数据管理方法。
背景技术:
随着商业竞争的激烈程度提高,人们对个人信息及重要文档的保密要求越来越高,各种电子产品的安全性也变得日趋重要,因此,产生了各种各样的保护设备安全的信息安全装置,其中一种就是加密装置。
加密就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。
该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
目前加密装置采用的加密方法主要有(1)数字签名又称电子加密,它利用公开密钥加密技术来实现。发送者使用自己的专用密钥和哈希函数对报文摘要进行加密形成发送者的数字签名。接收者首先从接收到的原始报文中计算出报文摘要,接着再用发送者的公开密钥对报文附加的数字签名进行解密。如果两个报文摘要相同,那么接收方就可以确认该数字签名是发送方的。
(2)数字证明又称公开密钥证明、数字ID、数字护照。如果甲和乙需要对彼此的密钥进行认证。甲不能简单地向乙询问其公开密钥,因为在网络上可能存在第三者截获甲的请求,并发送他自己的公开密钥,这样,第三者就可以阅读甲传送给乙的所有消息。因此,需要一个第三方的认证机构(CA),使甲即使是通过不完全的渠道,也能够借助它可靠地获取乙的公开密钥。CA为乙的公开密钥生成一个证书(数字签名)。任何人都可以获取乙的公开密钥,并利用该证书作为验证公开密钥的根据。在网络上,证明的作用就像公民的护照,网上的某些服务仅对持有证明的用户提供。
但是这些加密技术都存在许多局限性。例如,密码容易被忘记或被别人窃取、破解等等。尽管现行系统通过要求用户及时更换口今来防止密码盗用问题,但这种方法不但增加了用户的记忆负担,也不能从根本上解决问题。而最主要的是,如果用户忘记密码,即不能对移动存储产品中的加密数据进行任何操作。只能对其进行初始化工作,导致数据被破坏消失。
(3)指纹技术虽然目前计算机加密技术种类繁多,但指纹加密可以说是其最终方向,因为人的指纹互不相同,极难模仿。口令有失窃、破译的可能,磁卡也可能被盗,而电脑指纹扫描仪却能够区分人的手指与伪造的蜡制或橡胶指纹,因此具有广阔的应用前景。
目前指纹加密存储设备的加密方式是用指纹做口令,指纹登录成功后即可访问硬盘中的文件,在这一方案中的指纹相当于普通的密码。
中国专利申请CN00104622.5公开了一种指纹硬盘,包括指纹识别器和硬盘,指纹识别器具有控制接口,硬盘具有电源接口和信号接口,指纹识别器与硬盘之间通过电控开关相连接。其通过将指纹识别器与硬盘的有机结合,解决了储存在硬盘里的数据信息安全性问题,从而根本上实现了计算机的数据保密。
但是现有的这些指纹加密的存储设备只是以指纹做为口令,数据存储分区是非隐藏的,为安全留下隐患;对数据存储分区中的应用程序,非常容易看到,容易造成被误删除的隐患;另外,加密算法是依赖于所运行的PC性能,容易泄密,而且速度较慢;同时采用的算法和密钥比较单一,破解相对容易,一旦指纹加密受到了破坏,其数据安全就得不到保护。
发明内容
本发明的目的在于克服上述缺陷而提供的一种指纹识别技术与加密技术结合的安全存储装置和数据管理方法。
为实现本发明目的而提供的一种安全存储装置,具有控制器和存储器,所述存储器包括安全分区和至少一个数据分区;所述安全分区包括
指纹识别单元,用于对读写所述安全存储设备中的信息数据的用户利用指纹识别方法进行指纹识别注册、指纹识别登录和指纹数据管理;加解密单元,用于利用加解密方法对数据分区中的信息数据进行加密和解密。
所述控制器包括分区管理单元,用于设置所述存储器中的安全分区和数据分区,并对存储器中的安全分区和数据分区的分区表进行改写。
所述的安全存储设备还包括指纹采集单元(9),用于采集用户指纹信息数据。
所述的存储器为硬盘或者闪存颗粒。
本发明还提供一种安全数据管理方法,包括下列步骤步骤A)安全存储设备与计算机相连,并被初始化;步骤B)运行存储器中安全分区的指纹识别单元和加解密单元,指纹识别单元利用指纹识别方法对操作管理安全存储设备的用户进行指纹识别管理;加解密单元通过密钥利用加解密方法读写相应的数据分区中的信息数据;步骤C)分区管理单元按照设置协议识别并设置存储器中数据分区和安全分区的分区表。
所述步骤A)包括下列步骤步骤A1)安全存储设备与计算机相连,计算机识别通过端口与计算机相连的安全存储设备;步骤A2)启动控制器并调用分区管理单元,进行安全存储设备初始化,分区管理单元将安全分区设置为可见分区,将数据分区设置为隐藏分区。
所述步骤B)包括下列步骤步骤B1)当用户对安全存储设备进行管理操作时,首先判断用户指纹数据是否已经注册,如果是,则进入指纹登录界面,输入指纹;否则,用户进行指纹注册;步骤B2)根据用户输入的指纹数据判断识别所输入的指纹是否正确,如果是;则分区管理单元将对应的数据分区设置为可见;否则判断输入的指纹数据次数是否达到限定值,当达到限定值时则退出指纹登录,用户无权对安全存储设备中的信息数据管理操作;如果没有达到限定值则返回重新登录界面,用户重新输入指纹数据;步骤B3)对相应的数据分区通过密钥利用加解密方法进行读写;步骤B4)对数据分区中的信息读写结束,退出安全存储设备,结束操作。
所述步骤B1)还包括下列步骤步骤B11)当用户操作管理安全存储设备中的数据时,计算机启动安全分区中的指纹识别单元和加解密单元;步骤B12)分区管理单元设置安全分区为隐藏分区,将数据分区设置为可见分区。
所述指纹识别方法为VeriFinger指纹识别算法或者Biokey算法。
所述所述的加解密方法为数据加密标准算法,或者RSA算法,或者DSA算法,或者DiffieHellman算法,或者椭圆曲线密码算法。
本发明的有益效果是本发明针对指纹加密存储装置解密后得不到保护的问题,将指纹识别技术和其它加密技术相结合保护数据安全,增加了存储设备的安全性,使得本发明的安全存储设备相对以往的加密方式可以更好的实现的功能,提高其安全性,同时又具有身份识别的功能。
图1为本发明的安全存储装置结构示意图;图2为本发明的安全存储方法流程图。
具体实施例方式
下面结合附图1、2进一步详细说明本发明的安全存储装置和数据管理方法。
如图1所示,本发明的安全存储装置包括控制器2、存储器4和指纹识别单元9。
所述的控制器2包括分区管理单元3,其具有分区管理功能,将存储器4中的分区设置为隐藏或者是否可读。
所述的存储器4包括安全分区6和至少一个数据分区5。这些分区的分区表在出厂时已经被按照特定的算法进行设置,分区管理单元按照设置协议能够识别并能够继续设置存储器中数据分区和安全分区的分区表,目前,生产厂商或者用户在使用安全存储设备过程中,利用公知的分区技术,如Fdisk技术、Partition Magic技术对安全存储设备进行分区并已经格式化(Format)成可以存储数据的格式。较佳地,本发明中的分区,安全分区6的容量较小,其只用于存储与本发明相关的指纹识别加密单元和加解密单元;而数据分区5容量较大,用于存储大量的信息数据,该信息数据可以是文档数据,也可以是软件程序数据,或者图片、流数据等等。
本发明的分区管理单元3存放在控制器2中;指纹识别单元7和加解密单元8存储在存储器4的安全分区6中。
存储器4为硬盘或者闪存颗粒。
指纹识别单元7对所述安全存储设备中的信息数据的用户利用指纹识别方法进行指纹注册管理、指纹登录、指纹采集、指纹比对。
加解密单元8用于利用加解密方法对数据分区中的信息数据进行加密和解密。
存储器4被分为至少两个分区安全分区6和至少一个数据分区5,指纹识别单元7和加解密单元8存储在安全分区6中;信息数据被存储在数据分区5中。
这些数据分区5和安全分区6可以是实际的物理分区,即厂商按照存储设备的物理结构,利用分区技术将数据存储区域划分为可以存储数据的格式;也可以是利用虚拟分区技术,将物理分区中的文件夹虚拟为分区,而将原物理分区隐藏起来。
虚拟分区技术是一种现有计算机存储设备数据管理技术,其可以将存储设备中的文件夹虚拟为分区并可以通过图标显示在计算机显示器上。
当上述数据分区为虚拟分区时,分区管理单元3显示出虚拟分区并隐藏所述的存储设备对应的物理分区。
在这种情况下,分区管理单元3还包括虚拟单元,用于查找到虚拟分区的数据结构中的分区名称,并映射出具有该名称的数据分区图标,并将对应的物理分区表数据并将该物理分区设置为隐藏。
例如,将移动存储硬盘中的物理分区H中的文件夹1、文件夹2和文件3,分别虚拟为虚拟分区J、K和L,而将原来的物理分区H隐藏,用户在查看存储设备时,只能看到分区J、K和L的盘符及相应的信息数据,而看不到物理分区H的盘符。
创建分区时,用户向计算机输入包含分区数据结构的创建命令,该数据结构通常为分区的大小、分区名称、分区在存储设备中的路径等。
分区管理单元3收到创建命令后,判断输入的所述分区大小是否超过了存储设备的可用空间,如果超过,分区管理单元3则以对话框或警告音等方式向用户发出错误警告,进一步还可以弹出提示框,要求用户重新输入要创建的分区的数据结构;如果没超过,分区管理单元3则根据接收到的所述数据结构以文件等形式在所述移动存储设备中创建分区,之后以对话框等方式向用户发出创建成功提示。
分区管理单元3还对分区列表中存储的分区数据结构进行更新,在接收到的更新的分区数据结构之间更新并保存于该分区列表中。并且,由所述分区管理单元映射出新创建的分区的盘符并显示在计算机屏幕上。
如果数据分区5的个数为一个以上,那么不同数据分区5所对应的加密算法和密钥可以不同。
当存储设备接入到计算机时,开始初始化过程控制器2中的分区管理单元3将安全分区6设置为可见分区;而将数据分区5设置为隐藏分区。
初始化过程完成后,控制器2启动指纹识别单元7和加解密单元8,同时分区管理单元3将安全分区6隐藏,这样可以防止用户对安全分区6中的数据误操作,例如格式化或者删除等。
在出厂前,先利用公知的分区技术,如Fdisk技术、Partition Magic技术对安全存储设备进行分区,然后采用特定的算法将分区表中的部分内容或全部进行改写,此算法可以为“逐位取反”或“利用数据位地址对数据位进行运算”,例如“奇数地址数据位取反,偶数地址数据位不变”,“每隔n个数据位取反”等。分区管理单元3按照此算法可以识别并能够继续设置存储器4分区表,这样,当存储器4与控制器2分开时,即使与其它的控制器相连,用户也将无法看到存储器4中的数据,因为分区表只能被本发明的控制器2所识别,只有按照本发明的算法才能读取该存储器4中的数据。
控制器2分别对安全分区6和数据分区5进行管理,从数据分区5经过控制器2才能利用安全分区6进行指纹识别和数据加解密;数据分区5和安全分区6之间不能直接进行数据读写。
指纹识别单元7运行时,用户进行指纹注册;注册成功后,用户便可以输入指纹识别,如果输入指纹正确,则控制器2调用分区管理单元3,将数据分区5设置为可见分区。
本实施例所述的指纹识别单元7采用的指纹识别算法可以是VeriFinger指纹识别算法,Biokey算法等。
通过指纹识别单元7中的一个指纹密码识别后,可以同时调用分区管理单元3设置对应多个不同的数据分区5;或者通过指纹识别单元7中的多个指纹密码识别,其中每个指纹密码识别都能调用同一个数据分区5;或者通过指纹识别单元7中的多个指纹密码识别后,才能调用对应同一个数据分区5,而其它的数据分区5仍然隐藏,用户不可见。
用户通过与计算机相连的控制器2调用加解密单元8,用户根据自己的权限而访问不同的数据分区5。
对不同的数据分区5,可以采用相同的加解密方法,也可以采用不同的加解密法。当采用同一种方法时,加解密单元8相对简单,运行时占用的资源较少;而采用不同的加解密方法,运行时占用的资源会更多,但其安全性得到进一步提高,被破解的难度加倍了。
加解密方法可以是对称加解密方法,如数据加密标准(DataEncryptionStandard,DES)算法;或者是非对称加解密方法,如RSA(Ron Rivest,Adi Shamir,Len Adleman)算法、DSA(Digital SignatureAlgorithm)算法、DiffieHellman算法、椭圆曲线密码(Elliptic CurvesCryptography,ECC)算法。
下面详细说明本发明的安全数据管理方法。
如图2所示本实施例的安全数据管理方法包括下列步骤(一)安全存储设备与计算机相连,并被初始化。
步骤101用户将安全存储设备与计算机相连,通常是个人计算机(PC),而该计算机已经启动运行或者在安全存储设备与计算机相连后,由用户按公知的常识启动,并在计算机上运行公知的操作系统,如Windows、Unix系统,该操作系统能够利用驱动程序识别通过端口与计算机相连的安全存储设备,这种端口通常是USB端口或者1394端口。
步骤102当安全存储设备与计算机相连并被识别后,启动控制器2并调用分区管理单元3,进行安全存储设备初始化,分区管理单元3将安全分区6设置为可见分区,将数据分区5设置为隐藏分区。
进一步,当上述数据分区5为虚拟分区时,分区管理单元3中的虚拟单元首先查找到虚拟分区的数据结构中的分区名称,映射出具有该名称的数据分区图标。
分区管理单元3中的虚拟单元查找存储设备对应的物理分区表数据并将该物理分区设置为隐藏。
(二)运行存储器4中安全分区6的指纹识别单元7和加解密单元8,指纹识别单元7对操作管理安全存储设备的用户进行指纹识别管理;加解密单元8通过密钥读写相应的数据分区5中的信息数据。
初始化完成以后,在计算机上显示安全存储设备中的安全分区6通常的图标和盘符,如盘符I。
步骤201当用户查看、调用、读写安全存储设备中的数据时,计算机启动安全分区6中的指纹识别单元7和加解密单元8。
指纹识别单元7显示指纹识别界面,通过指纹采集单元9采集指纹,对所述安全存储设备中的信息数据的用户进行指纹识别注册;指纹识别登录;指纹数据管理。
所述的指纹识别单元7采用的指纹识别算法可以是VeriFinger指纹识别算法,Biokey算法等。
指纹识别单元7可以只许可一个用户注册指纹数据,也可以许可多个用户注册指纹数据;一个注册的指纹数据可以管理多个数据分区5,也可以多个注册的指纹数据只管理一个数据分区5。
当用户利用注册过的指纹数据通过指纹识别单元7登录到安全存储设备时,只能对相应的数据分区5进行操作管理。
加解密单元8用于利用加解密方法对数据分区中的信息数据进行加密和解密。
加解密的方法可以是对称加解密方法,如数据加密标准(DataEncryptionStandard,DES)算法;或者是非对称加解密方法,如RSA(Ron Rivest,Adi Shamir,Len Adleman)算法、DSA(Digital SignatureAlgorithm)算法、DiffieHellman算法、椭圆曲线密码(Elliptic CurvesCryptography,ECC)算法。
步骤202同时,分区管理单元3设置安全分区6为隐藏分区,将数据分区5设置为可见分区,使用户既可以对数据分区5中的信息数据进行操作管理,又保证安全分区6中数据的安全,防止用户对安全分区6数据进行误操作,如格式化、删除等。
步骤203当用户对安全存储设备进行管理操作时,首先判断用户指纹数据是否已经注册,如果是,则进行指纹登录界面,输入指纹;否则,用户进行指纹注册。
如果第一次使用此移动设备,需要先注册指纹,用户根据安全存储设备的管理程序图标,如图标H,双击图标H,调用指纹识别单元7,显示指纹注册界面,进行指纹注册,注册指纹成功后,用户便可以输入指纹,对相应的数据分区5进行访问。
步骤204根据用户输入的指纹数据判断识别所输入的指纹是否正确,如果是;则分区管理单元3将对应的数据分区5设置为可见;否则判断输入的指纹数据次数是否达到限定值,当达到限定值时则退出指纹登录,用户无权对安全存储设备中的信息数据管理操作;如果没有达到限定值则返回重新登录界面,用户重新输入指纹数据。
较佳地,所述的限定值为3。
步骤205用户对相应的数据分区5通过密钥利用加解密方法进行读写。
用户通过指纹识别,使对应的数据分区5可见后,控制器2调用加解密单元8,提示用户通过密钥读写相应的数据分区5中的信息数据。
用户输入密钥后,首先判断密钥是否是否正确,如果是,则根据密钥权限,或者调用相应的加解密方法将数据分区5中的数据解密读出;或者调用相应的加解密方法对信息数据进行加密并写入数据分区5;或者调用相应的加解密方法对数据分区5中的数据解密读出后,对信息数据进行修改,并将修改后中数据加密并写入数据分区5。
同一个指纹数据可以对应几个不同的数据分区5,或者几个指纹数据对应同一个数据分区5。
访问不同的数据分区5,加密算法、密钥可以相同,也可以不同。当采用同一种加解密算法时,相对简单,运行时占用的资源会较少;当采用不同的加解密算法时,相对复杂,运行时占用的资源很大,但被破解的机率会大大减少。
步骤206对数据分区5中的信息读写结束,退出安全存储设备,结束操作。
(三)分区管理单元3对存储器4中数据分区5和安全分区6的分区表进行改写,使得当存储器4和控制器2分拆以后,即使与其它的控制器相连,用户无法看到分区中的数据。
控制器2中的分区管理单元3对存储器4中的数据分区5和安全分区6的分区表进行改写,使控制器2对存储器4中的数据分区5中的信息数据访问中采用新的通信协议,这样,因为这些分区表是由控制器2中的分区管理单元3设置的,控制器2与存储器4之间的通信协议为非标准通信协议,当存储器4和控制器2分拆以后,即使与其它的控制器相连,用户无法看到分区中的数据。
本发明针对指纹加密存储装置解密后得不到保护的问题,将指纹识别技术和其它加密技术相结合保护数据安全,增加了存储设备的安全性,使得本发明的安全存储设备相对以往的加密方式可以更好的实现的功能,提高其安全性,同时又具有身份识别的功能。
本实施例是使本领域普通技术人员理解本发明,而对本发明所进行的详细描述,但可以想到,在不脱离本发明的权利要求所涵盖的范围内还可以做出其它的变化和修改,这些变化和修改均在本发明的保护范围内。
权利要求
1.一种安全存储装置,具有控制器(2)和存储器(4),其特征在于,所述存储器(4)包括安全分区(6)和至少一个数据分区(5);所述安全分区(6)包括指纹识别单元(7),用于对读写所述安全存储设备中的信息数据的用户利用指纹识别方法进行指纹识别注册、指纹识别登录和指纹数据管理;加解密单元(8),用于利用加解密方法对数据分区(5)中的信息数据进行加密和解密。
2.根据权利要求1所述的安全存储装置,其特征在于,所述控制器(2)包括分区管理单元(3),用于设置所述存储器(4)中的安全分区(6)和数据分区(5),并对存储器(4)中的安全分区(6)和数据分区(5)的分区表进行改写。
3.根据权利要求1或2所述的安全存储装置,其特征在于,还包括指纹采集单元(9),用于采集用户指纹信息数据。
4.根据权利要求1或2所述的安全存储装置,其特征在于,所述的存储器(4)为硬盘或者闪存颗粒。
5.根据权利要求2所述的安全存储装置,其特征在于,所述的数据分区(5)为虚拟分区。
6.根据权利要求5所述的安全存储装置,其特征在于,所述分区管理单元(3)还包括虚拟单元,用于查找到虚拟分区的数据结构中的分区名称,并映射出具有该名称的数据分区图标,并将对应的物理分区表数据并将该物理分区设置为隐藏。
7.一种安全数据管理方法,其特征在于,包括下列步骤步骤A)安全存储设备与计算机相连,并被初始化;步骤B)运行存储器(4)中安全分区(6)的指纹识别单元(7)和加解密单元(8),指纹识别单元(7)利用指纹识别方法对操作管理安全存储设备的用户进行指纹识别管理;加解密单元(8)通过密钥利用加解密方法读写相应的数据分区(5)中的信息数据。
8.根据权利要求7所述的安全数据管理方法,其特征在于,还包括下列步骤步骤C)分区管理单元(3)按照设置协议识别并设置存储器中数据分区(5)和安全分区(6)的分区表。
9.根据权利要求8所述的安全数据管理方法,其特征在于,所述步骤A)包括下列步骤步骤A1)安全存储设备与计算机相连,计算机识别通过端口与计算机相连的安全存储设备;步骤A2)启动控制器并调用分区管理单元(3),进行安全存储设备初始化,分区管理单元(3)将安全分区(6)设置为可见分区,将数据分区(5)设置为隐藏分区。
10.根据权利要求9所述的安全数据管理方法,其特征在于,所述步骤A2)还包括下列步骤步骤A21)当所述数据分区(5)为虚拟分区时,分区管理单元(3)中的虚拟单元首先查找到虚拟分区的数据结构中的分区名称,映射出具有该名称的数据分区图标。步骤A22)分区管理单元(3)中的虚拟单元查找存储设备对应的物理分区表数据并将该物理分区设置为隐藏。
11.根据权利要求8所述的安全数据管理方法,其特征在于,所述步骤B)包括下列步骤步骤B1)当用户对安全存储设备进行管理操作时,首先判断用户指纹数据是否已经注册,如果是,则进入指纹登录界面,输入指纹;否则,用户进行指纹注册;步骤B2)根据用户输入的指纹数据判断识别所输入的指纹是否正确,如果是;则分区管理单元(3)将对应的数据分区(5)设置为可见;否则判断输入指纹数据次数是否达到限定值,当达到限定值时则退出指纹登录,用户无权对安全存储设备中的信息数据管理操作;如果没有达到限定值则返回重新登录界面,用户重新输入指纹数据;步骤B3)对相应的数据分区(5)通过密钥利用加解密方法进行读写;步骤B4)对数据分区(5)中的信息读写结束,退出安全存储设备,结束操作。
12.根据权利要求11所述的安全数据管理方法,其特征在于,所述步骤B1)还包括下列步骤步骤B11)当用户操作管理安全存储设备中的数据时,计算机启动安全分区(6)中的指纹识别单元(7)和加解密单元(8);步骤B12)分区管理单元(3)设置安全分区(6)为隐藏分区,将数据分区(5)设置为可见分区。
13.根据权利要求7或8所述的安全数据管理方法,其特征在于,所述指纹识别方法为VeriFinger指纹识别算法或者Biokey算法。
14.根据权利要求7或8所述的安全数据管理方法,其特征在于,所述所述的加解密方法为数据加密标准算法,或者RSA算法,或者DSA算法,或者DiffieHellman算法,或者椭圆曲线密码算法。
全文摘要
一种安全存储装置和数据管理方法。其存储装置具有控制器(2)和存储器(4),所述存储器(4)包括安全分区(6)和至少一个数据分区(5)。所述安全分区(6)包括指纹识别单元(7),用于对读写所述安全存储设备中的信息数据的用户利用指纹识别方法进行指纹识别注册、指纹识别登录和指纹数据管理;以及加解密单元(8),用于利用加解密方法对数据分区中的信息数据进行加密和解密。所述控制器(2)包括分区管理单元(3),用于设置所述存储器(4)中的安全分区(6)和数据分区(5),并对存储器(4)中的安全分区(6)和数据分区(5)的分区表进行改写。本发明还提供一种安全数据管理方法。其增加存储设备的安全性。
文档编号G06K9/00GK1991799SQ200510132998
公开日2007年7月4日 申请日期2005年12月31日 优先权日2005年12月31日
发明者王元成 申请人:联想(北京)有限公司