专利名称:基于口令认证的加密型存储卡读写装置的制作方法
技术领域:
本实用新型涉及的是一种数据存储卡的读卡器,特别涉及的是一种高安全性的存 储卡读写装置。
背景技术:
各种类型的数据存储卡及其读写器是近年来迅速发展起来的新型数据存储设备, 具有容量大、体积小,寿命长、易使用、易携带等优点。但是,这些设备在给使用者带来便捷 性的同时也带来了极大的安全隐患,例如使用者身份无法认 证、数据明文存储易泄漏等这 些安全问题。一旦用户的存储设备丢失或被非法持有人访问,将会造成内部敏感数据的泄 漏,会给使用者造成无法估量的损失。为了解决存储卡的数据安全问题,目前存在的解决方法有其一,将存储卡插入读卡器,与计算机连接,利用计算机的加密软件对存储卡加 密;其一,对于手机中使用的存储卡,利用手机本身的控制软件对存储卡加密。以上方法可以对存储卡中的数据进行加密,但是需要计算机或者手机等等外部辅 助设备,使用不方便。
发明内容本实用新型的目的在于,解决现有的存储卡需要使用计算机或者其他的辅助工具 进行加密的技术问题。为达到上述目的,本实用新型提供一种基于口令认证的加密型存储卡读写装置, 由读卡器和存储卡组成,所述的读卡器包括一中央处理器,用以实现中央管理控制;一第一接口,用于所述读写器与计算机连接,实现数据的输出和输入;一第二接口,用于所述读写器与存储卡连接;一键盘,用以输入操作命令和口令;一数据加密模块,与所述的中央处理器相连接,用于对数据进行加密和解密;一密钥管理模块,与所述的中央处理器相连接,实现片上密钥管理功能,包括密钥 的生成、存储、分发、更新、销毁;一身份认证模块,分别与所述的中央处理器、密钥管理模块和键盘相连接,对用户 身份认证信息进行认证;所述的存储卡,包括一加密分区,所述加密分区用以存储输入数据的密文。较佳地,所述的密钥管理模块具有一真随机数产生器,用来产生工作密钥。较佳地,所述的身份认证模块存储有表明用户身份的口令信息的第一密文。较佳地,所述的身份认证模块将用户使用键盘输入的口令进行加密计算后产生的 第二密文,并将第一密文和第二密文进行比较。[0020]较佳地,所述的密钥管理模块从第一密文中获得保护密钥,利用所述的保护密钥 加密工作密钥,以密文形式存储在密钥管理模块中。较佳地,所述的读写器还包括一盒体,所述的中央处理器、存储模块、数据加密模 块、密钥管理模块和身份认证模块设置在所述盒体内,所述的键盘、以及所述的第一接口和 第二接口设置在所述的盒体表面。较佳地,所述的读写器还包括一 IXD显示屏,设置在所述盒体表面,对存储状态和 执行的操作信息进行显示。较佳地,所述的第一接口为USB接口。较佳地,所述的存储卡为SD、miniSD、microSD、MMC、MMCmini、MMCmicro 其中之一。较佳地,所述的第二接口采用与所述的存储卡匹配的接口标准。本实用新型采用数据加密模块对写入存储卡的数据先进行加密保护,再以密文形 式存储在存储卡上。当数据从存储卡读出时,先经过加密芯片的解密,再以明文形式被用户 读取。该设备还具有口令认证功能来实现用户身份鉴别,确保合法用户才可读取存储卡内 的数据,可有效防止因存储卡丢失或被非法持有人访问而带来的数据泄漏的风险,满足用 户对数据安全存储的要求,有效保护各种敏感、重要信息的安全。该读卡器集成有键盘和 LCD来实现用户输入和状态输出,在该读卡器上即可独立进行口令输入并进行校验,无需通 过计算机,从而避免口令在计算机上被侦听和截获。此外,可将存储卡的存储空间划分为加 密分区和非加密分区,非加密分区能被任何用户所访问,加密分区只能由合法用户所访问, 且各分区大小可由用户自行调整,使用方便。
图1所示为本实用新型基于口令认证的加密型存储卡读写装置的功能结构框图;图2所示为存储卡的分区示意图;图3所示为用户口令校验的流程图;图4所示为更改用户口令的流程图;图5所示为解锁用户口令的流程图;图6所示为重新初始化的流程图;图7所示为重新调整分区的流程图。附图标记说明1-加密型存储卡读写器;11-盒体;12-身份认证模块;13-显示屏;14-键盘; 15-中央处理器;16-数据加密模块;17-存储模块;171-加密分区;172-非加密分区; 173-只读分区;18-密钥管理模块;19-接口。
具体实施方式
以下结合附图,对本实用新型上述的和另外的技术特征和优点作更详细的说明。请参阅图1所示,其为本实用新型基于口令认证的加密型存储卡读写装置的功能 结构框图。所述读写装置包括读写器1和存储卡2。所述的读写器1包括盒体11、身份认 证模块12、显示屏13、键盘14、中央处理器15、数据加密模块16、接口 17、密钥管理模块18、 以及接口 19。[0038]存储卡2通过接口 17与读写器1连接。根据使用的需求,存储卡2可以为现有的 SD、miniSD、microSD、MMC, MMCmini, MMCmicro 等,相应地,接口 17 采用与存储卡 2 匹配的 接口标准。存储卡2和接口 17的类型并不能限定本实用新型的保护范围。本实用新型采用口令来实现身份认证。采用两种口令,包括用户口令和超级口令。 用户口令提供的权限为读写存储卡2内的加密数据,以及更改用户口令;超级口令提供的 权限为解锁口令,以及初始化读写器1。下面详细介绍各个模块的功能显示屏13,可以为IXD,用以对存储状态和执行的操作信息进行显示,可以显示汉 字,提示用户进行各种操作。键盘14,用以输入口令,用户使用键盘14进行口令校验、口令解锁、更改用户口 令、更改超级口令操作等等。中央处理器15,为本实用新型的数据处理和控制命令调度的中心,用以实现中央
管理控制。数据加密模块16,与所述的中央处理器15相连接,用以对数据进行加密和解密。存储卡2是本实用新型的存储中心,用于存储加密数据。请参阅图2所示,存储卡2包括加密分区21、非加密分区22和只读分区23。输入数据经数据加密模块16加密后,以密文形式存储在加密分区21中,对其访问 须认证用户口令;非加密分区22对任何人均可访问,进行数据读取和存储;只读分区23内 存储有一工具软件,用户通过口令认证后,在计算机上运行该工具软件,可重新调整加密分 区21和非加密分区22的大小。身份认证模块12,分别与所述的密钥管理模块18、中央处理器15、显示屏13和键 盘14相连接,其存储有表明用户身份的口令信息的第一密文。在使用时对用户输入的口令 进行校验,确认用户身份,并执行口令修改、口令锁死、口令解锁等操作。所述的第一密文为身份认证模块12将系统设置的口令进行摘要算法SHA-I计算 后产生的第一消息摘要,其长度为160比特位。所述的系统设置的口令可以为系统默认的 用户口令、超级口令,也可以是使用者自己设定的用户口令、超级口令。身份认证模块12还产生一第二密文,所述的第二密文为身份认证模块12将用户 使用键盘14输入的口令进行摘要算法SHA-I计算后产生的第二消息摘要,其长度为160比 特位。身份认证模块12将第一密文和第二密文进行比较,若二者一致,则用户口令认证通 过,否则,用户口令认证不通过。通过第一密文或第二密文,不能反向逆推获得用户口令,此 种方式可有效保护口令的安全。密钥管理模块18,与所述的中央处理器15和身份认证模块12相连接,其存储有 密钥信息。密钥管理模块18实现片上密钥管理功能,包括密钥的生成、存储、分发、更新、销 毁。为了充分保证密钥的安全性,本实用新型采用两级密钥管理机制工作密钥和保护密 钥,所述工作密钥为所述的数据加密模块16进行加解密运算时使用的密钥。密钥管理模块 18包括一真随机数产生器(图中未示),所述真随机数产生器用以产生所述工作密钥。密 钥管理模块18由身份认证模块12获取保护密钥,所述的保护密钥为从所述的第一消息摘 要(其长度为160比特位)中任意提取的128位数据。提取的方式有多种,并不用以限定 本实用新型的保护范围。密钥管理模块18采用所述保护密钥对工作密钥进行加密,加密后工作密钥仅以密文形式存储在密钥管理模块18内。在使用时,当用户通过口令认证,密钥管理模块18采用所述保护密钥对其内部存 储的工作密钥密文进行解密,从而获得工作密钥的明文,再将工作密钥明文发送给中央处 理器15,由中央处理器15转发给数据加密模块16以执行加解密。接口 19,用以实现读卡器1与用户主机进行数据通信,实现数据的输入和输出,其 可以是现有的数据接口,如USB接口 ;使用时读卡器1通过USB电缆连接到用户计算机的 USB接口即可,无需安装任何驱动。所述的中央处理器15、数据加密模块16、密钥管理模块18和身份认证模块12设 置在盒体11内,所述的显示屏13、键盘14、接口 17以及接口 19设置在盒体11表面。本实用新型集成有显示屏13和键盘14,在本实用新型的移动存储器上可以进行 口令输入、解锁、更改口令等操作,用户在显示屏13的提示下,在该键盘14上输入口令,无 需通过计算机,从而避免口令在计算上被侦听和截获。用户通过设备上的键盘14来输入用户口令,在身份认证模块12内完成口令校验, 校验结束后,通过设备上的LCD显示屏13显示出相应的状态信息。在口令认证的整个过程 中,口令不会出现在设备外部,有效保护口令的安全;且口令在身份认证模块内以密文的形 式来实现口令的存储和校验。请参阅图3所示,为本实用新型用户口令校验的流程图,用户口令校验的步骤30 包括步骤301,使用者通过键盘14输入用户口令;步骤302,身份认证模块12将用户输入的口令进行摘要算法SHA-I计算后产生第 二消息摘要;步骤303,身份认证模块12将第二消息摘要和存储的第一消息摘要比较,判断是 否一致,若二者一致,则执行步骤304 ;否则,执行步骤305 ;步骤304,用户口令认证通过;步骤305,用户口令认证不通过,身份认证模块12对用户口令校验错误次数进行 累加;步骤306,身份认证模块12判断累加的次数是否达到预设的nl次,若达到,执行步 骤307 ;若未达到,执行步骤301 ;步骤307,用户口令锁死,显示屏13提示用户口令锁死,需要执行解锁操作。上述步骤304完成后,身份认证模块12允许用户对加密分区171中的数据进行访 问,用户可以通过接口 19读写加密分区171中的数据。上述步骤304完成后,用户还可以 更改用户口令。本实用新型超级口令校验的流程与用户口令的校验流程类似。请参阅图4所示,为用户更改用户口令的流程图,其包括的步骤为步骤401,用户使用键盘14输入更改用户口令的命令;步骤402,执行用户口令校验的步骤30,并通过口令认证;步骤403,用户使用键盘14第一次输入新的用户口令,身份认证模块12将第一次 输入的用户口令进行摘要算法SHA-I计算,产生第三消息摘要;步骤404,用户使用键盘14第二次输入新的用户口令,身份认证模块12将第二次输入的用户口令进行摘要算法SHA-I计算,产生第四消息摘要;步骤405,身份认证模块12比较第三消息摘要和第四消息摘要是否一致,若二者 一致,则执行步骤406 ;否则,执行步骤407 ;步骤406,中央处理器15执行更改用户口令的操作密钥管理模块18采用原保护密钥对其内部存储的工作密钥密文进行解密,从而 获得工作密钥的明文;密钥管理模块18从第三消息摘要值中获得新的保护密钥;密钥管理模块18采用所述新的保护密钥对工作密钥的明文进行加密,加密后工 作密钥以密文形式存储在密钥管理模块18内,同时将第三消息摘要存储到身份认证模块 12,原存储的第一消息摘要随即丢失,通过显示屏13提示用户口令修改 成功;步骤407,提示用户再次输入新用户口令,执行步骤401。本实用新型更改超级口令的流程与更改用户口令的流程类似。请参阅图5所示,为解锁用户口令的流程图,其包括的步骤为步骤501,用户使用键盘14输入解锁用户口令的命令;步骤502,执行超级口令校验,并通过认证;步骤503,中央处理器15通过显示屏13提示解锁用户口令成功;步骤504,身份认证模块12执行恢复用户口令为默认值的操作密钥管理模块18采用原保护密钥对其内部存储的工作密钥密文进行解密,从而 获得工作密钥的明文;身份认证模块12根据用户口令的默认值进行摘要算法SHA-I计算,产生第五消息 摘要;密钥管理模块18从第五消息摘要值中获得默认的保护密钥;密钥管理模块18采用所述默认的保护密钥对工作密钥的明文进行加密,加密后 工作密钥以密文形式存储在密钥管理模块18内,同时将第五消息摘要存储到身份认证模 块12,身份认证模块12原来存储的第一消息摘要随即丢失;步骤505,提示使用者解锁用户口令完成。请参阅图6所示,为重新初始化的流程图,其包括的步骤为步骤601,用户使用键盘14输入初始化的命令;步骤602,执行超级口令校验,并通过认证;步骤603,密钥管理模块18中的真随机数产生器产生新的工作密钥;步骤604,身份认证模块12将用户口令和超级口令恢复为默认值;步骤605,身份认证模块12根据用户口令和超级口令的默认值分别进行摘要算法 SHA-I计算,产生第六消息摘要(用户口令消息摘要)和第七消息摘要(超级口令消息摘 要),并将第六消息摘要和第七消息摘要存储到身份认证模块12内,原先存储的用户口令 消息摘要和超级口令消息摘要随即丢失;步骤606,密钥管理模块18从第六摘要值中获得默认的保护密钥;步骤607,密钥管理模块18采用所述默认的保护密钥对新产生的工作密钥的明文 进行加密,加密后工作密钥以密文形式存储在密钥管理模块18内,原先存储的工作密钥密 文随即丢失;[0097]步骤608,提示使用者初始化完成。在初始化的过程中,密钥管理模块18产生新的工作密钥,原来存储卡2中加密分 区21中保存的密文不能用新的工作密钥解密,因此,如果用户希望保留原来存储的数据, 则需要在初始化操作之前将原存储数据导出,再初始化。请参阅图7所示,为重新调整分区的流程图,其包括的步骤为步骤701,将存储器2与接口 17连接,将读写器1与计算机连接;步骤702,使用者通过键盘14输入用户口令,并通过认证;步骤703,在计算机上运行只读分区23中的工具软件,用户在该软件界面中调节 加密分区21和非加密分区22的容量,然后执行分区功能;步骤704,提示用户手动格式化重新划分的加密分区21和非加密分区22。本实用新型同时具有身份认证、数据加密以及片上密钥管理的功能,可以彻底解 决普通读卡器所面临的使用者身份无法认证、数据明文存储易泄漏这两大安全问题,最终 能有效防止存储卡丢失或被非法持有人访问而带来数据泄漏风险。此外,可将存储卡的存 储空间划分为加密分区和非加密分区,非加密分区能被任何用户所访问,加密分区只能由 合法用户所访问,且各分区大小可由用户自行调整,使用方便。另外,经该读卡器写过的存储卡,只能由该类型的读卡器来读出数据,而且用户还 必须输入正确的用户口令,其他类型的读卡器无法读出存储卡的数据。同时还保持普通存 储卡读卡器所具有的无需安装任何驱动等优点。以上对本实用新型的描述是说明性的,而非限制性的,本专业技术人员理解,在权 利要求限定的精神与范围之内可对其进行许多修改、变化或等效,但是它们都将落入本实 用新型的保护范围内。
权利要求一种基于口令认证的加密型存储卡读写装置,由读写器和存储卡组成,其特征在于,所述的读写器包括一中央处理器,用以实现中央管理控制;一第一接口,用于所述读写器与计算机连接,实现数据的输出和输入;一第二接口,用于所述读写器与存储卡连接;一键盘,用以输入操作命令和口令;一数据加密模块,与所述的中央处理器相连接,用于对数据进行加密和解密;一密钥管理模块,与所述的中央处理器相连接;一身份认证模块,分别与所述的中央处理器、密钥管理模块和键盘相连接,对用户身份认证信息进行认证;所述的存储卡,包括一加密分区,所述加密分区用以存储输入数据的密文。
2.如权利要求1所述的基于口令认证的加密型存储卡读写装置,其特征在于,所述的 密钥管理模块具有一真随机数产生器,用来产生工作密钥。
3.如权利要求1所述的基于口令认证的加密型存储卡读写装置,其特征在于,所述的 读写器还包括一盒体,所述的中央处理器、存储模块、数据加密模块、密钥管理模块和身份 认证模块设置在所述盒体内,所述的键盘、以及所述的第一接口和第二接口设置在所述的 盒体表面。
4.如权利要求1所述的基于口令认证的加密型存储卡读写装置,其特征在于,所述的 读写器还包括一 LCD显示屏,设置在所述盒体表面,对存储状态和执行的操作信息进行显示。
5.如权利要求1所述的基于口令认证的加密型存储卡读写装置,其特征在于,所述的 第一接口为USB接口。
6.如权利要求1所述的基于口令认证的加密型存储卡读写装置,其特征在于,所述的 存储卡为 SD、miniSD、microSD、MMC、MMCmini、MMCmicro 其中之一。
7.如权利要求6所述的基于口令认证的加密型存储卡读写装置,其特征在于,所述的 第二接口采用与所述的存储卡匹配的接口标准。
专利摘要一种基于口令认证的加密型存储卡读写装置,由读写器和存储卡组成,所述的读卡器包括一中央处理器,用以实现中央管理控制;一第一接口,用于读写器与计算机连接;一第二接口,用于所述读写器与存储卡连接;一键盘,用以输入操作命令和口令;一数据加密模块,与所述的中央处理器相连接,用于对数据进行加密和解密;一密钥管理模块,与所述的中央处理器相连接,实现片上密钥管理功能,包括密钥的生成、存储、分发、更新、销毁;一身份认证模块,与所述的中央处理器、密钥管理模块和键盘相连接,对用户身份认证信息进行认证。所述的存储卡,包括一加密分区,用以存储输入数据的密文。经该读写器写过的存储卡,只能由该类型的读写器来读出数据。
文档编号G06K17/00GK201590091SQ200920246378
公开日2010年9月22日 申请日期2009年10月13日 优先权日2009年10月13日
发明者刘冬娜, 孟凡涛, 张卉, 李蓓, 柳鹏, 赵伟, 高志刚 申请人:航天信息股份有限公司