一种安全存储装置、系统及方法与流程

本发明涉及计算机技术领域，更具体地，涉及一种安全存储装置、系统及方法。

背景技术：

随着我国信息化发展进程加快，信息化覆盖面扩大，硬盘作为主要的数据存储装置，需求与日俱增。然而，现有的硬盘中，其大多是不具有数据安全保护功能的，数据的存储过程非常不安全。

目前，市场上陆续推出了各种具有加密功能的存储盘，比如加密存储卡、加密u盘、加密硬盘等，但是这些加密存储盘主要采用的是软加密方式，软件加密方式存在着占用cpu时间和大量的内存，且实时性较差的众多问题。

基于硬件的加密方式因其速度快、密钥保存方式安全可靠等优点，逐渐成为存储数据加密的发展趋势。因此，亟需提供一种基于硬件的加密方式实现数据加密存储，以有效提高数据存储的安全性。

技术实现要素：

本发明为解决现有技术中存储装置难以确保数据安全性的问题，提供一种安全存储装置、系统及方法。

一方面，本发明提供一种安全存储装置，包括：主控单元、存储单元和加密单元，其中：

所述主控单元，用于根据终端请求生成控制指令，将所述控制指令发送给所述存储单元；

所述存储单元，用于根据接收到的控制指令的逻辑地址，确定所述终端对应的用户的第一密钥信息，并将所述第一密钥信息发送给所述加密单元；

所述加密单元，用于接收所述存储单元发送的第一密钥信息和所述终端发送的第二密钥信息，根据所述第一密钥信息和所述第二密钥信息生成数据密钥。

优选地，所述加密单元还用于根据所述数据密钥加密所述终端请求存储至所述存储单元的数据或解密所述终端请求从所述存储单元中读取的数据。

优选地，还包括：接口单元，所述接口单元用于接收所述终端请求，并将所述终端请求发送给所述主控单元。

优选地，所述存储单元还用于预先存储用户信息列表，所述用户信息列表包含所有有权终端的用户身份信息和各自对应的第一密钥信息；

相应的，根据接收到的控制指令的逻辑地址，确定所述终端对应的用户身份信息，基于所述用户身份信息，从所述用户信息列表中确定对应的第一密钥信息，并将所述第一密钥信息发送给所述加密单元。

优选地，所述存储单元还用于根据所述终端请求擦除所述用户身份信息和所述第一密钥信息。

一方面，本发明提供一种包括所述安全存储装置的安全存储系统，还包括：存储所述第二密钥信息的终端，用于在通过所述存储装置的认证后，将所述第二密钥信息发送给所述加密单元。

优选地，所述安全存储装置根据所述终端发送的用户身份信息，利用所述用户信息列表对所述终端进行认证。

优选地，所述终端包括用户身份ukey，所述用户身份ukey用于存储所述终端的用户身份信息和对应的所述第二密钥信息；

所述安全存储装置根据所述用户身份ukey发送的用户身份信息，获取所述用户身份信息对应的所述第二密钥信息。

一方面，本发明提供一种安全存储方法，包括：

s1，利用所述主控单元根据终端请求生成控制指令，将所述控制指令发送给所述存储单元；

s2，利用所述存储单元根据接收到的控制指令的逻辑地址，确定所述终端对应的用户的第一密钥信息，并将所述第一密钥信息发送给所述加密单元；

s3，利用所述加密单元接收所述存储单元发送的第一密钥信息和所述终端发送的第二密钥信息，根据所述第一密钥信息和所述第二密钥信息生成数据密钥，根据所述数据密钥加密所述终端请求存储至所述存储单元的数据或解密所述终端请求从所述存储单元中读取的数据。

优选地，所述s1步骤之前，还包括：

s0，利用所述接口单元接收所述终端请求，并将所述终端请求发送给所述主控单元。

本发明提供的一种安全存储装置、系统及方法，通过在安全存储装置中增设加密单元，使得在存储和读取数据时所有的数据操作均需通过加密单元的安全处理，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据存储的安全性。此外，通过将加密单元的密钥信息进行分开存储，以使得加密单元在对数据进行加解密时均需先进行密钥合成，可以有效防止非法用户获知密钥，保证了密钥的安全，同时通过用户身份认证，保证了用户身份的安全。

附图说明

图1为本发明实施例的安全存储装置的整体结构示意图；

图2为本发明实施例的安全存储方法的整体流程示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1为本发明实施例的安全存储装置的整体结构示意图，如图1所示，本发明提供一种安全存储装置，包括：主控单元1、存储单元2和加密单元3，其中：所述主控单元1，用于根据终端请求生成控制指令，将所述控制指令发送给所述存储单元2；所述存储单元2，用于根据接收到的控制指令的逻辑地址，确定所述终端对应的用户的第一密钥信息，并将所述第一密钥信息发送给所述加密单元3；所述加密单元3，用于接收所述存储单元2发送的第一密钥信息和所述终端发送的第二密钥信息，根据所述第一密钥信息和所述第二密钥信息生成数据密钥。

具体地，为了实现数据的安全存储，本发明实施例是基于传统存储装置，采用硬件加密的方式，通过在传统的存储装置上增设加密单元的方式，由此提供了一种安全存储装置。本发明实施例的安全存储装置，包括：主控单元1、存储单元2和加密单元3。其中，加密单元3对数据进行加解密所需的密钥是预先被分开进行存储的，其中一部分密钥存储在安全存储装置的存储单元2中，另一部分密钥存储在终端。因此，在利用本发明的安全存储装置对数据进行存储或读取时，应先合成密钥，再由加密单元3利用合成的密钥对数据进行加密或解密，实现数据的安全存储或读取，且加密存储装置中存储的所有数据均为经过加密单元3加密的数据，从加密存储装置中读取的所有数据必须经过加密单元3解密后才可被读取。

作为一种实施方式，本发明实施例的安全存储装置的数据操作流程如下。

主控单元1接收终端请求，根据终端请求生成相应的控制指令，将控制指令发送给存储单元2；存储单元2在接收到主控单元1发送的控制指令后，通过识别控制指令的逻辑地址，确定终端对应的用户，查找对应的第一密钥信息并发送给加密单元3；加密单元3接收存储单元2发送的第一密钥信息，同时，加密单元3接收对应终端发送的第二密钥信息，根据第一密钥信息和第二密钥信息生成加密单元3对数据进行加解密所需的数据密钥；加密单元3根据生成的数据密钥对数据进行加密或解密操作，保证了数据的安全存储。

具体地，存储单元2中预先存储了所有有权终端的用户身份信息和第一密钥信息的对应关系，因此存储单元2可通过识别终端请求的逻辑地址，确定终端的用户身份信息，然后根据用户身份信息查找对应的第一密钥信息。需要说明的是，所有有权终端是指，所有已请求注册的允许通过安全存储装置进行数据存储和读取操作的合法终端。

进一步地，在其他实施例中，加密单元3进行加解密所需的密钥也可以全部存储在存储单元2中。在此基础上，当主控单元1接收到终端请求时，根据终端请求生成相应的控制指令，将控制指令发送给存储单元2；存储单元2在接收到主控单元1发送的控制指令后，通过识别控制指令的逻辑地址，确定终端对应的用户身份信息，查找对应的数据密钥并发送给加密单元3；加密单元3接收存储单元2发送的数据密钥，根据接收的数据密钥对数据进行加密或解密操作，保证了数据的安全存储。

进一步地，在上面实施例中，安全存储装置的主控单元1可以为686主控芯片，存储单元2可以为nand存储器，加密单元3可以为fpga加密芯片。其中，主控单元1通过mmc接口与加密单元3连接，存储单元2通过mmc接口协议与加密单元3进行密钥和数据的传输。另外，可以将mmc接口集成在加密单元3中，由此可将加密单元3设计成标准mmc接口的存储卡方式。主控单元1、存储单元2和加密单元3的具体类型和连接方式可以根据实际需求进行设置，此处不做具体限定。

本发明实施例提供的安全存储装置，通过增设加密单元，使得在对数据进行存储和读取时均需先通过加密单元对数据进行加解密操作，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据安全。此外，通过将密钥信息进行分开存储，以使得加密单元在对数据进行加解密时均需先进行密钥合成，可以有效防止非法用户获知密钥，保证了密钥的安全，同时通过用户身份认证，保证了用户身份的安全。

基于上述任一实施例，提供一种安全存储装置，所述加密单元还用于根据所述数据密钥加密所述终端请求存储至所述存储单元的数据或解密所述终端请求从所述存储单元中读取的数据。

作为一种实施方式，在加密单元3已获取加解密操作所需的数据密钥的基础上，本发明实施例的安全存储装置的数据操作流程如下。

终端发起数据存储请求，主控单元1接收到终端的数据存储请求后，生成相应的数据存储指令，并将数据存储指令发送给存储单元2；存储单元2在接收到主控单元1发送的数据存储指令后，获取终端请求存储的目标数据，再将目标数据发送给加密单元3；加密单元3接收存储单元2发送的目标数据，利用数据密钥对目标数据进行加密，并将加密后的目标数据发送给存储单元2，由存储单元2对加密后的目标数据进行存储。

终端发起数据读取请求，主控单元1接收到用户的数据读取请求后，生成相应的数据读取指令，并将数据读取指令发送给存储单元2；存储单元2在接收到主控单元1发送的数据存储指令后，获取终端请求读取的目标数据，再将目标数据发送给加密单元3；加密单元3接收存储单元2发送的目标数据，再利用数据密钥对目标数据进行解密，并将解密后的目标数据发送给终端。

本发明提供的一种安全存储装置，通过增设加密单元，使得在对数据进行存储和读取时均需先通过加密单元对数据进行加解密操作，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据安全。此外，通过将密钥信息进行分开存储，以使得加密单元在对数据进行加解密时均需先进行密钥合成，可以有效防止非法用户获知密钥，保证了密钥的安全，同时通过用户身份认证，保证了用户身份的安全。

基于上述任一实施例，提供一种安全存储装置，如图1所示，所述安全存储装置还包括：接口单元4，所述接口单元4用于接收终端请求，并将所述终端请求发送给所述主控单元1。

具体地，在实际应用中，本实施例中的安全存储装置还包括接口单元4，接口单元4作为安全存储装置与外设连接的接口，当终端发起数据存储或读取的请求时，安全存储装置通过接口单元4接收终端请求，再将终端请求发送给主控单元1进行处理。

进一步地，本实施例中，安全存储装置是在传统的硬盘上增设加密芯片实现的，传统的硬盘包括固态硬盘、机械硬盘和usb移动硬盘等。安全存储装置所采用的硬盘类型不同，则对应的接口单元4也不同。其中，接口单元4可以包括sata接口、sata-sata和usb-sata等，接口单元4的具体类型可以根据实际需要进行设置，此处不做具体限定。通过设置不同类型的接口单元4与不同类型的硬盘配合，以实现安全存储功能。

本发明提供的一种安全存储装置，通过设置不同的接口单元，以配合不同类型的硬盘实现安全存储功能，使得在对数据进行存储或读取时需先通过加密单元对数据进行加解密，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据安全。

基于上述任一实施例，提供一种安全存储装置，存储单元2还用于预先存储用户信息列表，用户信息列表包含所有有权终端的用户身份信息和各自对应的第一密钥信息；

相应的，根据接收到的控制指令的逻辑地址，确定终端对应的用户身份信息，基于所述用户身份信息，从用户信息列表中确定对应的第一密钥信息，并将第一密钥信息发送给加密单元3。

具体地，在终端注册时，首先根据输入的用户身份信息生成数据密钥，生成的数据密钥被分解为第一密钥信息和第二密钥信息，将第一密钥信息和第二密钥信息分别分发至存储单元2和终端。将用户身份信息和第一密钥信息对应更新到用户信息列表中并存储在存储单元2中，从而存储单元2可通过根据接收到的控制指令的逻辑地址，判断该控制指令对应终端的用户身份信息，查找用户信息列表即可获取用户的第一密钥信息。

进一步地，用户信息列表中存储了所有有权终端的用户身份信息和各自对应的第一密钥信息。由此，当终端发起数据存储或读取的请求时，存储单元2根据主控单元1发送的控制指令的逻辑地址即可获得终端的用户身份信息，再根据用户身份信息在用户信息列表中的所有有权终端的用户身份信息中查找该用户身份信息和对应的第一密钥信息，并最终将第一密钥信息发送给加密单元3。

本发明提供的一种安全存储装置，通过在存储单元中预先存储用户信息列表，并在用户信息列表中存储所有有权用户的身份信息和各自对应的第一密钥信息，以使得存储单元能够根据用户身份信息查找到相应的第一密钥信息，实现了对用户密钥的有效保护，使得存储单元能够安全有效地存储或读取数据，进而确保了数据的安全性。

基于上述任一实施例，提供一种安全存储装置，所述存储单元还用于根据终端请求擦除所述用户身份信息和所述第一密钥信息。

具体地，在用户注册时，存储单元2将用户身份信息和第一密钥信息对应存储在用户信息列表中，以使得存储单元根据终端请求，利用用户信息列表存储或读取数据。在用户完成了数据的存储或读取后，用户可以请求存储单元将用户信息列表中对应的用户身份信息和第一密钥信息进行相应地擦除。在实际应用中，当终端请求注销时，用户输入用户身份信息，并通过api接口把用户身份信息传递给存储单元2，存储单元2根据用户身份信息擦除对应的用户身份信息和第一密钥信息，同时存储单元2发送擦除指令给加密单元3，加密单元3根据擦除指令擦除该用户身份信息对应的数据密钥。

此外，存储单元2还可以实现一个由用户直接管理加密单元加解密所需密钥的逻辑通道，提供api函数，直接由用户进行设置密钥和修改密钥等操作，这些操作转化为特殊的sata指令传送给存储单元，存储单元将其转化为mmc指令传送给加密单元，以实现对用户密钥的设置和修改等。

本发明提供的一种安全存储装置，在终端请求注销时，存储单元能够根据终端请求擦除用户身份信息和第一密钥信息，实现了对终端密钥的有效管理保护，进而确保了数据的安全性。

基于上述任一实施例，提供一种包括所述安全存储装置的安全存储系统，还包括：存储所述第二密钥信息的终端，用于在通过所述存储装置的认证后，将所述第二密钥信息发送给所述加密单元。

具体地，在用户注册时，生成的数据密钥分别分发给安全存储装置的存储单元和终端进行存储的。当终端请求存储或读取数据时，需先将存储在终端的第二密钥信息发送给安全存储装置的加密单元，同时安全存储装置的存储单元将存储的第一密钥信息发送给加密单元，从而由加密单元根据第一密钥信息和第二密钥信息生成数据密钥。

进一步地，在终端向加密单元发送第二密钥信息之前，终端需先向存储装置发送认证请求，以认证终端的用户身份信息与存储装置的用户身份信息是否一致，若一致，则通过认证。认证通过后，终端中存储的第二密钥信息变为可读，从而终端将第二密钥信息发送给加密单元，进而由加密单元合成数据密钥。

本发明提供的一种安全存储系统，通过终端存储数据加解密所需的部分密钥，使得用户在对数据进行存储或读取时，均需将存储在终端上的部分密钥发送给加密单元以合成数据密钥，再通过合成的数据密钥实现数据的存储或读取，可以有效防止非法用户获知密钥，保证了密钥的安全。同时，终端在发送部分密钥给加密单元之前需进行用户身份认证，保证了用户身份的安全，进一步确保了数据的安全性。

基于上述任一实施例，提供一种安全存储系统，所述安全存储装置根据所述终端发送的用户身份信息，利用所述用户信息列表对所述终端进行认证。

具体地，在终端发送第一密钥信息给加密单元之前，终端首先需通过用户身份认证。终端中预先存储了用户身份信息，终端在向安全存储装置发送认证请求时，将存储的用户身份信息一并发送给安全存储装置，安全存储装置的控制单元通过接口单元接收到终端发送的包含用户身份信息的认证请求后，从存储单元中获取预先存储的用户信息列表，在预先存储的用户信息列表中查找终端发送的用户身份信息，若存在该用户身份信息，则控制单元判定该终端为合法有权终端，终端则通过安全存储装置的认证。

此外，终端还可以包括唯一标记符，安全存储装置的存储单元存储的用户信息列表中也可以预先存储各终端的唯一标记符，由此，安全存储装置的控制单元可以通过在用户信息列表中查找终端的唯一标记符以实现对终端用户身份的认证。

此外，在实际应用中，终端在接受安全存储装置的认证之前，还可以验证用户是否为终端的合法用户，从而可以避免非法用户获取终端后，通过终端获取安全存储装置中存储的数据或将数据存储至安全存储装置中。终端对用户的验证方式可以通过获取用户生物特征信息进行验证或通过用户输入身份信息进行验证等，具体验证方式可以根据实际需要进行设置，此处不做具体限定。

本发明提供的一种安全存储系统，终端通过预先存储用户身份信息，以使得安全存储装置根据用户身份信息对终端进行认证，从而终端在发送部分密钥给加密单元之前需进行用户身份认证，保证了用户身份的安全，进一步确保了数据的安全性。

基于上述任一实施例，提供一种安全存储系统，终端还包括用户身份ukey，用户身份ukey用于存储终端的用户身份信息和对应的第二密钥信息；安全存储装置根据用户身份ukey发送的用户身份信息，获取用户身份信息对应的第二密钥信息。

具体地，本实施例中，终端为预先分发的用户身份ukey。ukey是集智能卡与读卡器于一体的usb设备，支持热插热拔和即插即用，体积小、重量轻且便于携带。ukey本身作为密钥存储器，自身硬件结构决定了用户只能通过厂商编程接口访问数据，这就保证了保存在ukey中的数字证书无法被复制，并且每一个ukey都带有pin码保护，这样ukey的硬件与pin码就构成了使用ukey进行身份认证的双因子。如果用户ukey丢失，获得者由于不知道该硬件的pin码，就无法冒充合法用户身份；如果用户pin码泄露，只要保存好ukey硬件就可以保证自己的身份不被冒充。

进一步地，用户身份ukey存储了用户身份信息和对应的第二密钥信息，当终端需要存储或读取数据时，通过用户身份ukey向安全存储装置发送认证请求，将存储的用户身份信息一并发送给安全存储装置，安全存储装置的主控单元通过接口单元接收到用户身份ukey发送的包含用户身份信息的认证请求后，从存储单元中获取预先存储的用户信息列表，在预先存储的用户信息列表中查找用户身份ukey发送的用户身份信息，若存在该用户身份信息，则主控单元判定该用户身份ukey为合法终端，即该用户身份ukey则可通过安全存储装置的认证。

进一步地，在用户身份ukey通过安全存储装置的认证之后，安全存储装置的主控单元再通过接口单元向用户身份ukey请求获取用户身份信息对应的第二密钥信息，用户身份ukey接收到安全存储装置的请求后，再将用户身份信息对应的第二密钥信息发送给安全存储装置，安全存储装置的控制单元通过接口单元接收用户身份ukey发送的第二密钥信息，并将第二密钥信息发送给加密单元，进而由加密单元合成数据加解密所需的数据密钥。

本发明提供的一种安全存储系统，用户通过用户身份ukey预先存储用户身份信息和对应的第二密钥信息，以使得安全存储装置根据用户身份信息对用户身份ukey进行认证，从而用户身份ukey在发送第二密钥信息给安全存储装置之前需进行用户身份认证，保证了用户身份的安全，进一步确保了数据的安全性。

图2为本发明实施例的安全存储方法的整体流程示意图，如图2所示，基于上述任一实施例，提供一种安全存储方法，包括：

s1，利用所述主控单元根据终端请求生成控制指令，将所述控制指令发送给所述存储单元；

s2，利用所述存储单元根据接收到的控制指令的逻辑地址，确定所述终端对应的用户的第一密钥信息，并将所述第一密钥信息发送给所述加密单元；

s3，利用所述加密单元接收所述存储单元发送的第一密钥信息和终端发送的第二密钥信息，根据所述第一密钥信息和所述第二密钥信息生成数据密钥，根据所述数据密钥加密所述终端请求存储至所述存储单元的数据或解密所述终端请求从所述存储单元中读取的数据。

具体地，本实施例的方法是应用于上述任一实施例中的安全存储装置中的，所述安全存储装置，包括：主控单元、存储单元和加密单元。其中，加密单元对数据进行加解密所需的密钥是预先分开进行存储的，其中一半密钥存储在安全存储装置的存储单元中，另一半密钥存储在终端。因此，在利用本发明的安全存储装置对数据进行存储或读取时，应先合成密钥，再由加密单元利用合成的密钥对数据进行加密或解密，最终才能实现数据的存储或读取。

在上述基础上，本实施例的安全存储方法的具体实现如下：

主控单元接收终端请求，根据终端请求生成相应的控制指令，将控制指令发送给存储单元；存储单元在接收到主控单元发送的控制指令后，通过识别控制指令的逻辑地址，确定终端对应的用户，查找对应的第一密钥信息并发送给加密单元；加密单元接收存储单元发送的第一密钥信息，同时，加密单元接收对应终端发送的第二密钥信息，根据第一密钥信息和第二密钥信息生成加密单元对数据进行加解密所需的数据密钥；加密单元根据生成的数据密钥对数据进行加密或解密操作，保证了数据的安全存储。

进一步地，在其他实施例中，加密单元进行加解密所需的密钥也可以全部存储在存储单元中。在此基础上，当主控单元接收到终端请求时，根据终端请求生成相应的控制指令，将控制指令发送给存储单元；存储单元在接收到主控单元发送的控制指令后，通过识别控制指令的逻辑地址，确定终端对应的用户身份信息，查找对应的数据密钥并发送给加密单元；加密单元接收存储单元发送的数据密钥，根据接收的数据密钥对数据进行加密或解密操作，保证了数据的安全存储。

本发明提供的一种安全存储方法，通过增设加密单元，使得在对数据进行存储和读取时均需先通过加密单元对数据进行加解密操作，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据安全。此外，通过将密钥信息进行分开存储，以使得加密单元在对数据进行加解密时均需先进行密钥合成，可以有效防止非法用户获知密钥，保证了密钥的安全，同时通过用户身份认证，保证了用户身份的安全。

基于上述任一实施例，提供一种安全存储方法，如图2所示，所述s1步骤之前，还包括：s0，利用所述接口单元接收所述终端请求，并将所述终端请求发送给所述主控单元。

具体地，本实施例中，当终端需要存储或读取数据时，终端需先向安全存储装置发送数据存储或读取的请求，安全存储装置首先利用接口单元接收终端请求，并将终端请求发送给主控单元，主控单元再根据终端请求生成控制指令，最终将控制指令发送给存储单元，进而存储单元根据控制指令将第一密钥信息发送给加密单元，最终由加密单元合成用户存储或读取数据所需的数据密钥。

本发明提供的一种安全存储方法，利用接口单元接收终端请求，并将终端请求发送给主控单元，进而由主控单元根据终端请求生成控制指令，以对数据的存储或读取进行有效控制，使得在对数据进行存储或读取时需先通过加密单元对数据进行加解密，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据安全。

综上所述，本发明提供的一种安全存储装置、系统及方法，通过增设加密单元，使得在对数据进行存储和读取时均需先通过加密单元对数据进行加解密，实现了对数据的硬件加密保护，增加了数据的可靠性，保证了数据安全。此外，通过将密钥信息进行分开存储，以使得加密单元在对数据进行加解密时均需先进行密钥合成，可以有效防止非法用户获知密钥，保证了密钥的安全，同时通过用户身份认证，保证了用户身份的安全。

最后，本申请的方法仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。