专利名称:信息安全存储方法及其信息安全设备的制作方法
技术领域:
本发明涉及信息安全领域,具体来说是一种信息安全存储方法及其信息安全设备。
背景技术:
随着科技的进步,信息化时代的到来,人们对移动办公以及移动存储的需求和应用与日俱增。同时移动存储设备中存储的数据的安全性也备受关注。由于移动存储设备中存储的数据都是以明文的形式实现存储,因此移动存储设备的丢失或者废弃都会造成一些信息安全隐患。
此外,应用于各行各业各个领域的软件保护产品不断涌现,从方方面面解决软件保护领域的各个难题或疏漏。当然,盗版手段也在不断的发展着,我们不能保证今天认为安全的技术会在多久以后就成为盗版者的囊中物。软件保护技术中硬加密技术从理论上来说是一种较安全的技术。但是,软件的关键信息存储在加密锁中的时候通常是以明文的形式存储在加密锁中,通过一些其他的手段来控制对这部分代码的访问,仍然难以确定盗版者是否会通过获得保存在加密锁内部的这些关键信息来达到盗版的目的。特别的如果用来存储关键信息的元件是信息安全设备中的外置的存储器,则盗版者可以容易的使用别的芯片或者别的读取工具读到关键信息,从而造成关键信息的泄漏。
在信息安全领域的身份认证产品也面临类似的危机,虽然能够保证用作信息安全的代码或算法不被读出,但这些代码仍旧是以明文保存在信息安全设备中,因此虽然存储在信息安全硬件保护产品中的信息不能读出,但却不能肯定信息就是安全的。很多具有正面意义的读芯片技术都给非法窃取别人的私密信息创造了方便。
发明内容
本发明克服了上述缺点,提供一种简单、实用、安全性高的信息安全存储方法及其信息安全设备。
本发明解决其技术问题所采取的技术方案是一种信息安全存储方法,包括如下步骤1)信息安全设备接收命令请求,并对所述命令请求进行解析;2)如果所述命令请求是要发送数据给信息安全设备,则对发送的明文数据进行加密后存储在所述信息安全设备中;如果所述请求是要从信息安全设备中读出数据,则将所述信息安全设备中存储的密文数据解密为明文数据后返回。
所述步骤1)、2)之间还可包括步骤3)对接收到的请求进行身份或/和权限的鉴别,对合法身份或/和权限的请求允许正常的读写操作,对非法身份或/和权限的请求则终止操作并退出。
所述数据的加密和解密过程可在所述信息安全设备中进行。
所述加密和解密过程采用的算法可包括RSA、DES、3DES、AES、ECC、TEA或自定义的编解码方式。
每一个信息安全设备的算法的密钥可以是不同的。
一种采用上述安全存储方法的信息安全设备,包括主控单元以及分别与所述主控单元相连的用于对通信协议进行解析的通信单元和用于存储数据和加解密算法的存储单元。
所述主控单元可为包括单片机、MCU、CPU、智能卡的微处理器芯片,所述主控单元包括了一个加解密模块,所述通信单元集成于所述微处理器芯片中或与所述微处理器芯片分立,所述存储单元集成于所述微处理器芯片中或与所述微处理器芯片分立。
所述存储单元可为包括RAM、ROM、EPROM、EEPROM或FLASH的存储器。
所述通信单元可包括USB接口芯片或并行接口芯片。
本发明通过在收到主机读写命令的时候,对写入数据进行实时加密,数据被重新编码,然后存入设备的存储区中;当数据需要被读取或使用的时候,设备固件程序调用相应的解密算法对需要读取的数据进行解码解密,然后返回给主机端使用。本发明使得存储在硬件中的信息即使被未授权的人员读取,也不能正常的使用,进一步保障了信息的安全。
图1为本发明方法的工作流程图;图2实施例1硬件结构框图;图3实施例2硬件结构框图;图4实施例3硬件结构框图。
具体实施例方式
本发明可应用于移动存储设备、信息安全设备以及软件保护设备等要求信息存储安全性的设备中,其硬件具有如下三种实施例实施例1如图2中所示,其中202为硬件设备本身,其中仅包含有MCU203,用于运行固件程序,所述MCU203通过内部集成的接口单元与所述主机端201实现通信,所述MCU203内同时提供了足够的数据存储空间,用于存储需要保护的信息数据。其中MCU内部包含一个加解密模块,完成算法相关的操作。
实施例2如图3中所示,其中302为硬件设备本身,303为USB接口芯片,并连接所述主机端301,MCU304与所述USB接口芯片303相连,用于运行固件程序,并通过内部集成的存储单元提供足够的数据存储空间。其中MCU内部包含一个加解密模块,完成算法相关的操作。
实施例3如图4中所示,其中,402为硬件设备本身,包含有接口芯片403负责解释接口协议,MCU404用于运行固件程序,存储芯片405用于存储密文数据等待使用,所述存储器405、MCU404、接口芯片403顺次连接,并通过与所述接口芯片403与主机端401建立通信。其中MCU内部包含一个加解密模块,完成算法相关的操作。
上述三种硬件结构组成,虽然硬件内部的芯片不同,但是可以实现同样的功能,完成一样的任务,同样适用于本发明中提供的数据安全存储方法。
所述数据安全存储的实现过程如图1中所示,以实施例3为例,将所述设备402连接到主机端401后,主机对设备进行必要的初始化,如步骤101,当主机端有数据请求的时候,发送请求数据给设备,如步骤102,如果所述数据请求为读取或使用存储在设备内的加密数据,如步骤103,则通过所述MCU404对存储在存储器405或MCU404内集成的存储单元中的密文数据进行必要的解密,并将解密后的数据发送到主机,,如步骤105,如果请求为存储数据,如步骤104,则将主机端发给设备的要进行加密的明文数据,使用MCU404中存储的算法对数据进行实时加密,数据被重新编码成为密文数据,然后将加密后的密文数据保存在存储器405中,如步骤106。当一次数据处理完毕后,设备等待新的调用命令,如步骤107。上述加解密操作由位于MCU内部的加解密单元实现。
所述MCU的固件程序中包含加解密算法,在需要对数据进行加解密的时候调用算法。所述算法可以包括RSA、DES、3DES、AES、ECC、TEA,或者自定义的编解码方式,而且,每一个安全设备的算法的密钥都是不同的,即使获得一个设备的加解密算法的密钥,也无法获知同类型或同型号的设备产品的密钥信息,进一步保证了信息的安全性。
所述存储芯片或存储单元,用来存放需要存储的数据,当然存于其中的是密文数据。这些数据可以是数字证书,可以是软件保护的关键信息或者代码,或者是用户的私有数据。
采用如上方法带来的有益效果在于数据以密文形式存储,防止非法的读取明文数据,当设备失窃或有人蓄意破译的时候不用担心数据被轻易获得带来的威胁。数据以密文方式存储以后,要保密的信息对主机端应用程序来说不发生任何变化,不影响设备的使用和旧版本软件的使用。
此外,对于存储其中的数据的读写访问需要受到一定的身份鉴别限制,防止非法的未授权的读写,身份鉴别可以有很多种方法来实现,比如简单的密码验证,或者身份认证需要的各种认证手段等等。这样,就算是非法的破译者使用手段将设备内的被保护数据读出,也无法使用,增加了破译的难度,进一步的保护了数据。
以上对本发明所提供的信息安全存储方法及其信息安全设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种信息安全存储方法,其特征在于包括如下步骤1)信息安全设备接收命令请求,并对所述命令请求进行解析;2)如果所述命令请求是要发送数据给信息安全设备,则对发送的明文数据进行加密后存储在所述信息安全设备中;如果所述请求是要从信息安全设备中读出数据,则将所述信息安全设备中存储的密文数据解密为明文数据后返回。
2.根据权利要求1所述的信息安全存储方法,其特征在于所述步骤1)、2)之间还包括步骤3)对接收到的请求进行身份或/和权限的鉴别,对合法身份或/和权限的请求允许正常的读写操作,对非法身份或/和权限的请求则终止操作并退出。
3.根据权利要求1或2所述的信息安全存储方法,其特征在于所述数据的加密和解密过程在所述信息安全设备中进行。
4.根据权利要求1或2所述的信息安全存储方法,其特征在于所述加密和解密过程采用的算法包括RSA、DES、3DES、AES、ECC、TEA或自定义的编解码方式。
5.根据权利要求4所述的信息安全设备的安全存储方法,其特征在于每一个信息安全设备的算法的密钥是不相同的。
6.一种采用上述安全存储方法的信息安全设备,其特征在于包括主控单元以及分别与所述主控单元相连的用于对通信协议进行解析的通信单元和用于存储数据和加解密算法的存储单元。
7.根据权利要求6所述的信息安全设备,其特征在于所述主控单元为包括单片机、MCU、CPU、智能卡的微处理器芯片,所述主控单元包括了一个加解密模块,所述通信单元集成于所述微处理器芯片中或与所述微处理器芯片分立,所述存储单元集成于所述微处理器芯片中或与所述微处理器芯片分立。
8.根据权利要求6或7所述的信息安全设备,其特征在于所述存储单元为包括RAM、ROM、EPROM、EEPROM或FLASH的存储器。
9.根据权利要求6或7所述的信息安全设备,其特征在于所述通信单元包括USB接口芯片或并行接口芯片。
全文摘要
本发明涉及信息安全领域,具体来说是一种信息安全存储方法及其信息安全设备。本发明通过在收到主机读写命令的时候,对写入数据进行实时加密,数据被重新编码,然后存入设备的存储区中;当数据需要被读取或使用的时候,设备固件程序调用相应的解密算法对需要读取的数据进行解码解密,然后返回给主机端使用。本发明使得存储在硬件中的信息即使通过非法的手段读取,也不能正常的使用,从而进一步保障了信息的安全。
文档编号G06F21/00GK1885298SQ20061008967
公开日2006年12月27日 申请日期2006年7月11日 优先权日2006年7月11日
发明者陆舟, 于华章 申请人:北京飞天诚信科技有限公司