专利名称:于两装置间保护数据存取的方法及系统的制作方法
技术领域:
本发明是关于一种于两装置间保护数据存取的方法及系统,尤指一种用以保护密码产生的方法及系统。
背景技术:
数据安全在目前是一个相当重要的课题,其用以保护数据以防止未经授权的存取,进而确保个人或敏感数据的隐私。一种简单保护数据的方法是利用密码将数据上锁。举例来说,使用者可操作移动装置以执行一应用程序,进而将敏感文件压缩,并利用使用者决定的密码将文件上锁,如此,上锁的文件可以安全地被存储及保护于存储卡中。然而,密码有时容易被破解,或者当密码太复杂时,使用者容易忘记密码。因此,提供可安全且有效率地保护密码的保护机制,对使用者而言非常有帮助。
发明内容
本发明的一实施例提供一种于两装置间保护数据存取的方法。该方法包含:撷取第一电子装置及存储装置的独特信息;根据独特信息产生加密钥匙;产生用以保护数据文件的密码串;根据加密钥匙将密码串加密;及将数据文件上锁并和加密的密码串一起存储于存储装置。本发明的另一实施例提供一种数据安全系统。该数据安全系统包含一处理单元,用以处理数据文件,该处理单元包含钥匙产生器,用以根据对应于存储装置及处理单元的独特信息产生加密钥匙;及一密码产生器,用以根据加密钥匙产生加密的密码串;及一存储单元,用以存储数据文件及加密的密码串。本发明的另 一实施例提供一种保护数据存取的方法,包含由处理单元接收一请求以存取存储于一存储单元的被保护的数据文件;分别撷取对应于处理单元及存储单元的独特信息;根据独特信息产生一解密钥匙;根据解密钥匙解锁被保护的数据文件;及根据解锁结果允许存取被保护的数据文件。
图1为本发明实施例于电子装置产生安全密码的不意图。图2为说明本发明实施例产生安全密码的示意图。图3为说明本发明产生安全密码的实施例的示意图。图4说明本发明实施例保护数据存取的方法的示意图。图5说明本发明另一实施例保护数据存取的方法的示意图。图6为说明本发明实施例从加密的密码串撷取密码的示意图。图7说明本发明另一实施例保护数据存取的方法的示意图。[主要元件标号说明]100电子装置110处理单元
112钥匙产生器 113密码产生器114第一识别数据 120存储单元124第二识别数据 130数据文件140加密的密码串 142钥匙144密码146数据串148密码串240加密的密码串242钥匙244密码248 密码串S410-S460, S510-S560, S710-S750 步骤
具体实施例方式本发明揭露一种利用独特信息于两装置间保护数据存取的方法及系统。为了保护数据文件,可经由随机方式产生 密码,并根据一钥匙进行加密。该钥匙是从两装置的独特信息推导而来,且可以避免密码被未经认证的装置解密。数据文件可以被密码上锁并和加密的密码存储在一起。为了存取上锁的数据文件,加密的密码必须先被解密以提供保护机制。请参考图1,图1为本发明一实施例的于一电子装置产生安全密码的示意图。在本实施例中,除了其它元件,电子装置100包含处理单元110及存储单元120。处理单元110用以处理数据文件130,且至少包含一钥匙产生器112及一密码产生器113。处理单元110用以在传送及/或存储数据文件130于存储单元120或其它存储装置之前,利用安全密码保护数据文件130来处理数据文件130。处理单元110的钥匙产生器112用以根据处理单元110及/或存储单元120的某些独特信息来产生用以加密一密码的钥匙,该存储单元为数据文件所要存储之处(例如在本实施例中存储于存储单元120)。密码产生器113可接收钥匙产生器112产生的钥匙,并用以根据钥匙产生与数据文件130相关的安全密码140。安全密码140及被密码锁住的数据文件130之后被传送并存储于存储单元120。在本发明的一实施例中,数据文件130可被进一步压缩后再存储。处理单元110可还包含一数据存取接口单元(未图式)用以接收存取数据文件的请求。处理单元110可以是中央处理单元、应用处理器、专用处理器及/或其它相似装置。存储单元120可以是内部存储单元,例如嵌入式多媒体卡(embedded multimediacard, eMMC) ,SATA硬盘、PCIE硬盘、闪存及/或其它存储器。存储单元120亦可以是电子装置100的外部存储单元,例如安全数字(secure digital, SD)存储卡、微型安全数字(microSD)存储卡、通用串行端口(universal serial bus,USB)存储器、只读存储器或任何合适的外部存储器。再者,存储单元120可支持电子装置100的热插拔功能。若欲从存储单元120存取数据文件130,安全密码140必须先被验证。接下来请参考图2及图3,其为说明本发明一实施例产生安全密码的示意图。在传送上锁的数据文件130至存储单元120之前,处理单元110根据对应于处理单元110及存储单元120的独特信息产生一安全密码。如图2的实施例所示,独特信息可以是处理单元110及存储单元120的识别数据114、124。识别数据可以是,举例来说,装置序列码、国际移动设备识别(international mobile equipment identity, I ME I)码、媒体存取控制地址(MAC address)及/或其它类似信息。处理单元110可撷取及/或存储对应于存储单元120的第二识别数据124。之后处理单元110的第一识别数据114和第二识别数据124 —起被处理,以根据一预定算法产生钥匙142。钥匙142可以藉由字串组合及/或杂凑(hash)计算来产生。在本发明的实施例中,此预定算法可以是一逻辑运算,例如XOR运算。逻辑运算的结果可进一步藉由杂凑计算(例如SHA256算法)以产生钥匙142。图2的流程可由图1的钥匙产生器112执行。当产生钥匙142之后,钥匙142可进一步用以产生安全密码,例如一加密的密码串。请再参考图3,密码144可以由一硬件或软件产生器随机地产生。密码144再和一数据串146—起经过处理,以根据一第一算法产生密码串148。数据串146亦可以由硬件或软件产生器随机地产生。为了提供较佳的保护,密码144可被分散于数据串146中,以将密码144隐藏起来。在本发明的一实施例中,数据串146的长度(位数目)是较密码144长,例如密码144是32字节,而数据串146是1024字节。在本发明的一实施例中,密码串148可以由混合密码144及数据串146来产生。举例来说,密码144的每一位或字节可以分散至数据串146的每一预定位/字节的间隔,例如密码144的第一字节可以插入数据串146的第32及33字节之间,密码144的第二字节可以插入数据串146的第64及65字节之间,以此类推。在本发明另一实施例中,密码串148可以是将密码144的每一位/字节依照某一预定顺序分别取代数据串146的特定位/字节而产生。举例来说,数据串146的第一字节被密码144的第一字节取代,数据串146的第33字节被密码144的第二字节取代,以此类推。密码串148之后根据一第二算法被钥匙142加密以产生加密的密码串140。第二算法可以是任何合适的算法,例如SHA265算法。依据上述实施例,图4绘示本发明一实施例的保护数据存取的方法的示意图。为了保护即将存储或已存储于存储装置的数据文件,可根据某些安全信息来产生安全密码,此安全信息只能由特定的装置所取得,而数据文件可以利用密码来上锁。独特信息可以是识别信息,例如装置序列码、国际移动设备识别码及/或媒体存取控制地址等。在本方法中,对应于用以处理数据文件的电子装置及用以存储数据文件的存储装置的独特信息是在步骤S410中被撷取。在步骤S420中,加密钥匙是根据独特信息产生,同时用以保护数据文件的密码串是于步骤S430产生。密码串可以是随机产生及/或进一步经由一预定算法处理。在步骤S440中,密码串根据另一预定算法被加密钥匙加密。之后,在步骤S450中,数据文件被上锁并和加密的密码串一起存储于存储装置中。存储装置中可以是电子装置的内部或外部存储装置。之后,在步骤S460中,为了响应请求装置用来存取文件的请求,加密的密码串被解密以解锁数据文件。若加密的密码串被成功解密,请求装置可存取或解锁数据文件。若加密的密码串无法被解密,则请求装置无法存取或解锁数据文件。在本发明另一实施例中,若数据文件已于存储时事先被压缩,数据文件可进一步被解压缩。图5说明本发明另一实施例保护数据存取的方法的示意图。本方法可以应用于一电子装置,例如图1中的电子装置100。电子装置除了其它元件外,包含一处理单元,且电性连接于一存储单元。存储单元可以是电子装置的内部或外部存储装置。处理单元用以存取存储单元的数据。在步骤S510中,对应于处理单元及存储单元的识别信息被处理单元撷取出来。识别信息是用来于步骤S520中产生加密钥匙。加密钥匙可经由预定算法产生,例如SHA算法。之后,处理单元分别于步骤S530及步骤S540中产生密码及数据串。密码及数据串可以由硬件或软件产生器产生。再者,数据串的长度可以大于密码的长度。在本发明的一实施例中,数据串长度可以比密码长度长N倍,N是整数。在步骤S550中,密码被分散于数据串中以产生密码串。密码的位/字节可依据预定顺序取代数据串146的特定位/字节。举例来说,数据串的第M/N位(组)被密码的第N位(组)取代,其中M是数据串的长度,而N是密码的长度。密码串于步骤S560中被加密钥匙加密,以产生一加密的钥匙串用以于处理单元存取数据文件及存储单元存储数据文件时保护数据文件。密码串可以根据已知的预定算法被加密。请参考图6,并一并参考图1,数据文件130及加密的密码串140 —起存储于存储单元120中。为了响应要求存取数据文件130的请求,加密的密码串140需要被解密以解锁数据文件130,否则数据文件130无法被存取。图6示意本发明一实施例的解密加密的密码串示意图。加密的密码串240根据一第三算法被钥匙242解密。如上所述,加密的密码串240是根据对应于处理数据文件130的处理单元及存储单元的独特信息所产生。在图1的实施例中,加密的密码串是根据处理单元110及存储单元120的识别数据所产生。因此,用以解密加密的密码串的钥匙必须和用以加密此加密的密码串240的钥匙匹配。也就是说只有具有识别信息114及124的处理单元能产生钥匙242。相似地,用以解密加密的密码串的第三算法是和用以加密此加密的密码串的第二算法匹配,且是由经过认证的处理单元所拥有。为了推导出密码244,加密的密码串240利用钥匙242经由第三算法处理以产生一密码串248。密码串248进一步经由第四算法处理以产生最终的密码244。相似地,第四算法是和第一算法匹配。在本发明的一实施例中,识别信息及加解密算法只被用以处理数据文件130的处理单元所拥有。在这种情况下,没有其它处理单元或装置可以解锁数据文件130,因为其它处理单元或装置的识别信息无法和处理单元的第一识别数据吻合。若解密的密码244和图3的密码144吻合,数据文件130可以成功地被解锁。若无法吻合,代表尝试要存取数据文件的装置不是电子装置100,因此数据文件130仍然被锁住。举例来说,电子装置100是一话机,处理单元110是一应用处理器,且存储单元是一安全数字存储卡。数据文件130是被应用处理器产生的密码144上锁,并存储于其它装置无法存取的安全数字存储卡。因此,即使安全数字存储卡遗失了,话机的主人无须担心数据文件被其它人存取,因为数据文件只能被原本话机解锁。图7说明本发明另一实施例的保护数据存取的方法的示意图。在步骤S710中,处理单元接收一请求以存取存储于存储单元的被保护的数据文件。被保护的数据文件是由一加密的密码所保护。为了解锁被保护的数据文件,步骤S720分别撷取对应于处理单元及存储单元的独特信息。独特信息可以是识别数据,例如装置序列码、国际移动设备识别码、媒体存取控制地址及/或其它适合信息。之后一解密钥匙于步骤S730中根据独特信息产生。解密钥匙可以利用预定算法处理识别信息所产生。在本发明的一实施例中,解密钥匙可如图2的流程所产生。在步骤S740中,被保护的数据文件根据解密钥匙被解锁。在本发明的一实施例中,加密的密码串可如图6的流程被解密,且解密的密码244可用以解锁被保护的数据文件。之后在步骤S750中,可根据解锁结果判断是否允许存取被保护的数据文件。当解锁失败时,被保护的数据文件维持上锁以防止被存取。相较于先前技术,本发明提供一种保护密码的方法。密码可以由随机方式产生,并进一步隐藏于加密的随机数据串中,因此密码不容易被破解。再者,当存储单元连接至原本的电子装置时,密码可以自动地得到,而被保护的数据文件,例如上锁的数据文件,在存储单元连接至其它的电子装置时无法被存取。以上所述仅为本发明的较佳实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
权利要求
1.一种于两装置间保护数据存取的方法,包含: 撷取对应于一第一电子装置与一存储装置的独特信息; 根据该独特信息产生一加密钥匙; 产生一密码串用以保护一数据文件; 根据该加密钥匙将该密码串加密;及 将该数据文件上锁并和该加密的密码串一起存储于该存储装置。
2.根据权利要求1所述的方法,还包含于该第一电子装置中执行该撷取、产生及加密的步骤。
3.根据权利要求1所述的方法,还包含: 相应于一请求装置对于存取该数据文件的一请求,解锁被该密码串保护的该数据文件。
4.根据权利要求3所述的方法,其中该解锁的步骤还包含: 根据对应于该请求装置及该存储装置的独特信息产生一解密钥匙; 根据该解密钥匙解密该加密的密码串以得到一解密密码;及 验证该解密密码以解锁该数据文件。
5.根据权利要求1所述的方法,其中该加密该密码串的步骤还包含:` 随机产生一数据串 '及 根据一预定算法将一密码分散于该数据串以形成该密码串。
6.根据权利要求1所述的方法,还包含: 根据该密码串的至少部分位压缩该数据文件。
7.一种数据安全系统,包含: 一处理单元,用以处理一数据文件,该处理单元包含: 一钥匙产生器,用以根据对应于该存储装置及该处理单元的独特信息产生一加密钥匙;及 一密码产生器,用以根据该加密钥匙产生一加密的密码串;及 一存储单元,用以存储该数据文件及该加密的密码串。
8.根据权利要求7所述的数据安全系统,其中该密码产生器还进一步用来产生一密码串,及根据该加密钥匙加密该密码串以产生该加密的密码串。
9.根据权利要求8所述的数据安全系统,其中该密码串是根据一预定算法从一密码及一数据串产生。
10.根据权利要求9所述的数据安全系统,其中该密码及该数据串是随机产生,且该预定算法是一分散算法。
11.根据权利要求7所述的数据安全系统,其中该处理单元是一移动装置,且该存储单元是下列其中之一:该移动装置的内部存储装置、连接于该移动装置的外部存储装置、安全数字存储卡、微型安全数字存储卡;及其中该独特信息是从下列其中之一选取:识别码、序列码、国际移动设备识别码、媒体存取控制地址。
12.根据权利要求7所述的数据安全系统,其中该处理单元还进一步用来在存储该数据文件于该存储单元之前压缩该数据文件。
13.根据权利要求7所述的数据安全系统,其中该处理单元还包含一数据存取接口单元,用来接收一请求以存取该数据文件。
14.根据权利要求13所述的数据安全系统,其中该处理单元还进一步用来根据对应于该存储装置及该处理单元的独特信息解密该加密的密码串。
15.一种保护数据存取的方法,包含: 一处理单元接收请求以存取存储于一存储单元的一被保护的数据文件; 分别撷取对应于该处理单元及该存储单元的独特信息; 根据该独特信息产生一解密钥匙; 根据该解密钥匙解锁该被保护的数据文件;及 根据该解锁结果允许存取该被保护的数据文件。
16.根据权利要求15所述的方法,其中该解锁该被保护的数据文件的步骤还包含解压缩该被保护的数据文件。
17.根据权利要求15所述的方法,其中该解锁该被保护的数据文件的步骤还包含: 根据该解密钥匙解锁和该被保护的数据文件存储在一起的一密码串; 根据一预定算法从该解密的密码串产生一密码;及 验证该密码以存取该被保护的数据文件。
18.根据权利要求17所述的方法,其中该密码验证成功时,允许该处理单元存取该被保护的数据文件。
19.根据权利要求17所述的方法 ,其中该密码验证失败时,上锁该被保护的数据文件以防止被存取。
全文摘要
本发明提供一种于两装置间保护数据存取的方法。该方法包含撷取第一电子装置及存储装置的独特信息;根据独特信息产生加密钥匙;产生用以保护一数据文件的密码串;根据加密钥匙将密码串加密;及将数据文件上锁并和加密的密码串一起存储于存储装置。
文档编号G06F21/62GK103177223SQ201210511130
公开日2013年6月26日 申请日期2012年12月3日 优先权日2011年12月1日
发明者冼召中 申请人:宏达国际电子股份有限公司