专利名称:一种具有多层加密保护的存储装置的制作方法
技术领域:
本发明涉及一种计算机加密系统,特别是涉及到一种在计算机读写数据的过程中,对流经计算机数据通道的数据进行加、解密的装置。
背景技术:
随着电子技术的发展,计算机的广泛应用,计算机的信息安全保密越来越受到重视,即使是作为文件的暂时移动,为了确保文件的安全也常常需要一种可靠的装置来对数据进行安全保管。目前,指纹识别技术已得到了广泛用,例如中国专利公开号为CN131465
公开日为2001年9月26日发明名称为“指纹硬盘”的专利,该申请案公开了一种将指纹识别器与硬盘有机结合的存储装置,利用指纹进行身份辩识,只有本人才能进入存储空间进行操作,比起传统的采用密码或其它密钥等方式,使存储的数据更加安全了,但是,仅靠指纹识别技术仍然必免不了单独盗取或拆卸存储硬盘接入到其它存储控制板上,来窃取数据信息或对数据进行破译的可能。
发明内容
本发明的目的就是对已有技术存在的不足,提出一种对存储数据具有多层加密保护的存储装置,使其不但具有指纹识别功能,以保证该装置仅由合法用户使用,而且对存储的数据运用动态密钥实时加密和采用bit级拆分存储的办法,使其存储的数据在多层加密保护下,更加有效地防止了单独盗取硬盘并接入到其它存储单元控制板上来盗取内部数据信息或对存储的数据进行破译的可能。
该发明的目的主要是通过以下技术方案实现的该发明主要包括控制器1、存储硬盘3、flash模块4、指纹感应器5,其特征是存储硬盘3通过实时加解密引擎2、IDE接口6与控制器1相连;flash模块4通过flash模块接口7与控制器1相连,并flash模块4通过线路与实时加解密引擎2连接;指纹感应器5通过排线与控制器1相连;其中,flash模块4由只少一个用来存储数据的存储芯片或内存构成,将flash模块4通过重建文件分配表和自建文件存储格式的方法,分割成三个空间,即公共区、保密区、隐藏区;公共区主要用来存储指纹识别等各种应用程序;保密区主要用来存储需要保护的数据;隐藏区主要用来储存授权用户第一次使用登陆时得到的指纹特征模板、硬件加解密密钥等;指纹感应器5由控制器1进行控制,抓取实时的指纹数据,计算机将抓取的指纹数据与第一次指纹特征模板数据进行比对,如比对成功,则出现授权用户使用的读写空间;控制器1通过USB接口8与计算机连接,并对存储硬盘3、实时加解密引擎2、flash模块4及指纹感应器5进行管理和协调,并对存储的数据信息在经过指纹识别程序得到确认后,进行安全有序地加、解密处理;所述的对存储的数据进行加、解密处理,主要是指,该发明在控制器1的控制下,对存储数据运用bit级拆分存储技术;即对每个字节按着bit拆分,并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,使存放在硬盘3内的数据零散不完整,无法进行破译;读取数据时同样经过该发明板内运算得到地址信息并加以组合恢复明文。
或该发明在控制器1的控制下,对存储数据采用动态密钥加密与解密;对数据加密时,加密密钥根据每次指纹认证特征点随机生成,控制器1将随机生成的加密密钥写入到flash模块4的隐藏区内,当向存储硬盘3写入数据时,实时加解密引擎2从flash模块4的隐藏区内调用加密密钥将所写入的数据进行加密,然后存入存储硬盘3内;当对数据解密时,解密密钥根据存储的特征点代码与加密文件特征码运算随机生成,控制器1将随机生成的解密密钥写入到flash模块4的隐藏区内,当从存储硬盘3读取数据时,实时加解密引擎2从flash模块4的隐藏区内调用解密密钥,对存储硬盘3内的数据进行解密还原输出。
或在控制器1的控制下,写操作时,对存储的数据运用动态密钥加密后,采用bit级拆分形成密文存储;读操作时读出密文及地址信息并加以组合后,再经动态密钥解密,恢复明文。
由于该发明采用了指纹识别技术,使得破解和盗用密码手段成为不可能。同时对存入存储硬盘3内的数据采用动态密钥实时加解密及对存储的数据采用bit级拆分存储方法,有效的防止了单独盗取存储硬盘3并接入到其它存储单元控制板上来盗取内部数据或破译的可能,使存储硬盘内的数据在多层加密保护下更加安全,为对数据密级要求较高的部门或单位提供了一种更加安全可靠的存储装置。
图1本发明的内部结构示意2本发明对数据进行加、解密的流程图其中1-控制器2-实时加解密引擎3-存储硬盘4-flash模块5-指纹感应器6-IDE接口7-flash模块接口8-USB接口具体实施方式
下面结合附图对本发明加以详细说明如图1所示该发明主要包括控制器1、存储硬盘3、flash模块4、指纹感应器5,其特征是存储硬盘3与实时加解密引擎2相连、实时加解密引擎2通过IDE接口6与控制器1相连;flash模块4通过flash模块接口7与控制器1相连,并flash模块4通过线路与实时加解密引擎2相连、;指纹感应器5通过排线与控制器1相连;其中,flash模块4由只少一个用来存储数据的存储芯片或内存构成,将flash模块4通过重建文件分配表和自建文件存储格式的方法,分割成三个空间,即公共区、保密区、隐藏区;公共区主要用来存储指纹识别等各种应用程序;保密区主要用来存储需要保护的数据;隐藏区主要用来储存授权用户第一次使用登陆时得到的指纹特征模板、硬件加解密密钥等;指纹感应器5由控制器1进行控制,抓取实时的指纹数据,计算机将抓取的指纹数据与第一次指纹特征模板数据进行比对,如比对成功,则出现授权用户使用的读写空间;控制器1通过USB接口8与计算机连接,并对存储硬盘3、实时加解密引擎2、flash模块4及指纹感应器5进行管理和协调,及对存储的数据在经过指纹识别程序得到确认后,进行安全有序地加、解密处理;在进行写操作时首先运用动态加密密钥对存储的数据进行加密,加密密钥是根据每次指纹认证特征点随机生成的,控制器1将随机生成的加密密钥写入到flash模块4的隐藏区内,当向存储硬盘3写入数据时,实时加解密引擎2从flash模块4的隐藏区内调用加密密钥将所写入的数据进行加密;然后在控制器1的控制下,对存储数据再运用bit级拆分存储技术;即对存储数据的每个字节完全按着bit级进行拆分,并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,使存放在存储硬盘3内的数据零散不完整,无法破译;当对存储的数据进行读操作时对经bit级拆分存储的数据,在控制器1的控制下根据用户指纹信息及存储的地址信息加以组合,然后在控制器1的控制下,再根据存储的特征点代码与加密文件特征码运算生成的解密密钥,对存储硬盘3内的数据进行解密还原输出。
为便于对拆分技术的理解,现以硬盘为例作进一步的说明硬盘上的数据按照其不同的特点和作用大致可分为5部分MBR区、DBR区、FAT区、DIR区和DATA区。
MBR区即为主引导记录区,位于整个硬盘的0磁道0柱面1扇区。不过,在总共512字节的主引导扇区中,MBR只占用了其中的446个字节,另外的64个字节交给了DPT硬盘分区表,最后两个字节是分区的结束标志。这个整体构成了硬盘的主引导扇区。
主引导记录中包含了硬盘的一系列参数和一段引导程序。其中的硬盘引导程序的主要作用是检查分区表是否正确并且在系统硬件完成自检以后引导具有激活标志的分区上的操作系统,并将控制权交给启动程序。MBR是由分区程序如Fdisk.com所产生的,它不依赖任何操作系统,而且硬盘引导程序也是可以改变的,从而实现多系统共存。
DBR区是操作系统引导记录区。它通常位于硬盘的0磁道1柱面1扇区,是操作系统可以直接访问的第一个扇区,它包括一个引导程序和一个被称为BPB的本分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给它时,判断本分区根目录前两个文件是不是操作系统的引导文件。如果确定存在,就把其读入内存,并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数,分配单元的大小等重要参数。
FAT区是文件分配表区,文件占用磁盘空间时,基本单位不是字节而是簇。簇的大小与磁盘的规格有关,一般情况下,软盘每簇是1个扇区,硬盘每簇的扇区数与硬盘的总容量大小有关,可能是4、8、16、32、64......
同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内,而往往会分成若干段,像一条链子一样存放,这种存储方式称为文件的链式存储。硬盘上的文件常常要进行创建、删除、增长、缩短等操作。这样操作做的越多,盘上的文件就可能被分得越零碎。但是,由于硬盘上保存着段与段之间的连接信息即FAT,操作系统在读取文件时,总是能够准确地找到各段的位置并正确读出。不过,这种以簇为单位的存储法也是有其缺陷的,这主要表现在对空间的利用上,每个文件的最后一簇都有可能有未被完全利用的空间称为尾簇空间,一般来说,当文件个数比较多时,平均每个文件要浪费半个簇的空间。
为了实现文件的链式存储,硬盘上必须准确地记录哪些簇已经被文件占用,还必须为每个已经占用的簇指明存储后继内容的下一个簇的簇号,对一个文件的最后一簇,则要指明本簇无后继簇。这些都是由FAT表来保存的,表中有很多表项,每项记录一个簇的信息。
DIR区是根目录区,紧接着第二FAT表(即备份的FAT表)之后,记录着根目录下每个文件的起始单元,文件的属性等。定位文件位置时,操作系统根据DIR中的起始单元,结合FAT表就可以知道文件在硬盘中的具体位置和大小了。
DATA区是数据区,是真正意义上的数据存储的地方,位于DIR区之后,占据硬盘上的大部分数据空间。
通过对以上硬盘数据结构的了解,实现对数据流bit级控制,拆分实现起来比较容易,关键在于拆散与组合。不同于网络上流行的文件分割算法,本发明所述的数据拆分技术,是完全按照bit级进行拆分,即将主机写入硬盘的每组16bit数据不组合,直接存入硬盘中,并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,主机不用记住地址信息;读取时同样经过板内运算得到地址信息并加以组合恢复明文。板内实现虚拟分区表和FAT表,完全替代硬盘分区表和FAT表。硬盘上的FAT表和分区表已经经过处理变得面目全非。当SysInt_1读分区表时,它必须通过板内虚拟分区表。在普通硬盘上以簇为存储单位的文件,同样在硬盘上也以不同的簇的方式存在。为了保证运算速度,所有拆分算法、地址算法全是通过硬件实现,实时计算无反馈。
本发明是基于Windows系列操作系统来设计应用软件,使其实现指纹图象的处理、数据的存储、硬盘初始化等。
本发明的工作流程,如图2所示当将该发明的USB接口8与计算机的相应接口连接后自动弹出Run.exe,执行Run.exe,计算机通过控制器1启动指纹认证程序,进入指纹认证界面,同时控制器1将指纹感应器5提取的指纹信息,通过USB接口8送入计算机处理;如果是第一次登入该发明,那麽经计算机处理的指纹信息将以特征点的方式,经控制器1存入flash模块4的隐藏区内;如再次登入仍需经指纹验证,指纹感应器5获取的指纹信息,经控制器1、USB接口8送入计算机处理,并同存入到flash模块4的隐藏区内的指纹特征进行比对,然后将比对结果信息经USB接口8返回控制器1;如比对失败,则返回到指纹认证界面,从新验证;如比对成功,则通过控制器1打开flash模块4的保密区用户使用空间,进入操作界面供用户使用;在进行写操作时首先运用动态加密密钥对数据进行加密,加密密钥是根据每次指纹认证特征点随机生成的,控制器1将随机生成的加密密钥写入到flash模块4的隐藏区内,当向存储硬盘3写入数据时,实时加解密引擎2从flash模块4的隐藏区内调用加密密钥,将所写入的数据进行加密,然后在控制器1的控制下,对存储数据再运用bit级拆分存储技术;即对每个字节按着bit拆分,并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,使保存在存储硬盘3内的数据零散不完整,行成密文。
在进行读操作时首先对经bit级拆分存储的数据,在控制器1的控制下根据用户指纹信息及存储的地址信息加以组合,然后在控制器1的控制下,再根据存储的特征点代码与加密文件特征码运算生成的解密密钥,对存储硬盘3内的数据进行解密还原成明文输出。
权利要求
1.一种具有多层加密保护的存储装置,主要包括控制器[1]、存储硬盘[3]、flash模块[4]、指纹感应器[5],其特征是存储硬盘[3]与实时加解密引擎[2]相连、实时加解密引擎[2]通过IDE接口[6]与控制器[1]相连;flash模块[4]通过flash模块接口[7]与控制器[1]相连,并flash模块[4]通过线路与实时加解密引擎[2]相连、;指纹感应器[5]通过排线与控制器[1]相连;其中,flash模块[4]由只少一个用来存储数据的存储芯片或内存构成,将flash模块[4]通过重建文件分配表和自建文件存储格式的方法,分割成三个空间,即公共区、保密区、隐藏区;公共区主要用来存储指纹识别等各种应用程序;保密区主要用来存储需要保护的数据;隐藏区主要用来储存授权用户第一次使用登陆时得到的指纹特征模板、硬件加解密密钥等;指纹感应器[5]由控制器[1]进行控制,抓取实时的指纹数据,计算机将抓取的指纹数据与第一次指纹特征模板数据进行比对,如比对成功,则出现授权用户使用的读写空间;控制器[1]通过USB接口[8]与计算机连接,并对存储硬盘[3]、实时加解密引擎[2]、flash模块[4]及指纹感应器[5]进行安全有序地管理和协调,并对存储的数据在经过指纹识别程序得到确认后,进行加、解密处理。
2.根据权利要求1所述的一种具有多层加密保护的存储装置,其特征是所述的对存储的数据进行加解密处理,主要是指,在控制器[1]的控制下,对存储数据运用拆分存储技术;即对每个字节按着bit拆分,并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,主机不用记住地址信息;读取数据时同样经过该发明板内运算得到地址信息并加以组合恢复明文。
3.根据权利要求1所述的一种具有多层加密保护的存储装置,其特征是所述的对存储的数据进行加解密处理,主要是该发明在控制器[1]的控制下,对存储数据采用动态密钥加密与解密;对数据加密时,加密密钥根据每次指纹认证特征点随机生成,控制器[1]将随机生成的加密密钥写入到flash模块[4]的隐藏区内,当向存储硬盘[3]写入数据时,实时加解密引擎[2]从flash模块[4]的隐藏区内调用加密密钥将所写入的数据进行加密,然后存入存储硬盘[3]内;当对数据解密时,解密密钥根据存储的特征点代码与加密文件特征码运算随机生成,控制器[1]将随机生成的解密密钥写入到flash模块[4]的隐藏区内,当从存储硬盘[3]读取数据时,实时加解密引擎[2]从flash模块[4]的隐藏区内调用解密密钥,对存储硬盘[3]内的数据进行解密还原输出。
4.如权利要求1所述的一种具有多层加密保护的存储装置,其特征是所述的对存储的数据进行加解密处理,主要是在控制器[1]的控制下,写操作时,对存储的数据运用动态密钥加密后,采用bit级拆分形成密文存储;读操作时读出密文及地址信息并加以组合后,再经动态密钥解密,恢复明文。
全文摘要
一种具有多层加密保护的存储装置,控制器1分别通过IDE接口6、flash接口7、排线与实时加密引擎2、存储硬盘3、flash模块4、指纹感应器5相连;控制器1通过USB接口8与计算机连接,对该存储装置进行安全有序地协调、管理及对存储的数据信息进行加、解密处理,即在采用指纹识别技术的同时,对存入的数据采用动态密钥实时加、解密和bit级拆分存储;因此有效的防止了单独盗取存储硬盘并接入到其它存储单元控制板上来窃取内部数据的可能。使存储硬盘内的数据在多层加密保护下更加安全,本发明可广泛应用在对保密层次要求较高的公安、国防、金融、科研等行业和部门。
文档编号G06K9/00GK101082883SQ20061001689
公开日2007年12月5日 申请日期2006年5月31日 优先权日2006年5月31日
发明者朴显泽, 崔军 申请人:朴显泽, 崔军