专利名称:一种具有多层加密保护的存储装置的制作方法
技术领域:
本实用新型涉及一种计算机加密系统,特别是涉及到一种在计算机读写数据 的过程中,对流经计算机数据通道的数据进行加、解密的装置。
背景技术:
随着电子技术的发展,计算机的广泛应用,计算机的信息安全保密越来越 受到重视,即使是作为文件的暂时移动,为了确保文件的安全也常常需要一种 可靠的装置来对数据进行安全保管。目前,指纹识别技术已得到了广泛用,例
如中国专利公开号为CN 131465
公开日为2001年9月26日发明名称为 "指纹硬盘"的专利,该申请案公开了一种将指纹识别器与硬盘有机结合的存 储装置,利用指纹进行身份辩识,只有本人才能进入存储空间进行操作,比起 传统的采用密码或其它密钥等方式,使存储的数据更加安全了,但是,仅靠指 纹识别技术仍然必免不了单独盗取或拆卸存储硬盘接入到其它存储控制板上, 来窃取数据信息或对数据进行破译的可能。
实用新型内容
本实用新型的目的就是对已有技术存在的不足,提出一种对存储数据具有 多层加密保护的存储装置,使其不但具有指纹识别功能,以保证该装置仅由合 法用户使用,而且对存储的数据运用动态密钥实时加密和采用bit级拆分存储的 办法,使其存储的数据在多层加密保护下,更加有效地防止了单独盗取硬盘并接 入到其它存储单元控制板上来盗取内部数据信息或对存储的数据进行破译的可 能。
该实用新型的目的主要是通过以下技术方案实现的
该实用新型主要包括控制器l、存储硬盘3、 flash模块4、指纹感应器5, 其特征是存储硬盘3通过实时加解密引擎2、IDE接口 6与控制器1相连;flash 模块4通过flash模块接口 7与控制器1相连,并flash模块4通过线路与实时加 解密引擎2连接;指纹感应器5通过排线与控制器1相连;
其中,flash模块4:由至少一个用来存储数据的存储芯片或内存构成,将flash 模块4通过重建文件分配表和自建文件存储格式的方法,分割成三个空间,即 公共区、保密区、隐藏区;公共区主要用来存储指纹识别等各种应用程序; 保密区主要用来存储需要保护的数据;隐藏区主要用来储存授权用户第一 次使用登陆时得到的指纹特征模板、硬件加解密密钥等;
指纹感应器5:由控制器1进行控制,抓取实时的指纹数据,计算机将抓
取的指纹数据与第一次指纹特征模板数据进行比对,如比对成功,则出现授权
用户使用的读写空间;
控制器1:通过USB接口 8与计算机连接,并对存储硬盘3、实时加解密引 擎2、 flash模块4及指纹感应器5进行管理和协调,并对存储的数据信息在经 过指纹识别程序得到确认后,进行安全有序地加、解密处理;
所述的对存储的数据进行加、解密处理,主要是指,该实用新型在控制器1 的控制下,对存储数据运用bit级拆分存储技术;即对每个字节按着bit拆分, 并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,使 存放在硬盘3内的数据零散不完整,无法进行破译;读取数据时同样经过该实 用新型板内运算得到地址信息并加以组合恢复明文。
或该实用新型在控制器l的控制下,对存储数据采用动态密钥加密与解密; 对数据加密时,加密密钥根据每次指纹认证特征点随机生成,控制器1将随机 生成的加密密钥写入到flash模块4的隐藏区内,当向存储硬盘3写入数据时,实 时加解密引擎2从flash模块4的隐藏区内调用加密密钥将所写入的数据进行加 密,然后存入存储硬盘3内;当对数据解密时,解密密钥根据存储的特征点代码 与加密文件特征码运算随机生成,控制器1将随机生成的解密密钥写入到flash 模块4的隐藏区内,当从存储硬盘3读取数据时,实时加解密引擎2从flash模 块4的隐藏区内调用解密密钥,对存储硬盘3内的数据进行解密还原输出。
或在控制器1的控制下,写操作时,对存储的数据运用动态密钥加密后,采用 bit级拆分形成密文存储;读操作时读出密文及地址信息并加以组合后,再经动态 密钥解密,恢复明文。
由于该实用新型采用了指纹识别技术,使得破解和盗用密码手段成为不可 倉巨。同时对存入存储硬盘3内的数据采用动态密钥实时加解密及对存储的数据 采用bit级拆分存储方法,有效的防止了单独盗取存储硬盘3并接入到其它存 储单元控制板上来盗取内部数据或破译的可能,使存储硬盘内的数据在多层加 密保护下更加安全,为对数据密级要求较高的部门或单位提供了一种更加安 全可靠的存储装置。
图l本实用新型的内部结构示意图
图2本实用新型对数据进行加、解密的流程图
其中l-控制器2-实时加解密引擎3-存储硬盘4-flash模块5-指纹感 应器6-IDE接口 7-flash模块接口 8-USB接口
具体实施方式
以下结合附图对本实用新型加以详细说明 如图l所示该实用新型主要包括控制器l、存储硬盘3、 flash模块4、 指纹感应器5,其特征是存储硬盘3与实时加解密引擎2相连、实时加解密 引擎2通过IDE接口 6与控制器1相连;flash模块4通过flash模块接口 7与 控制器1相连,并flash模块4通过线路与实时加解密引擎2相连、;指纹感应器 5通过排线与控制器1相连;
其中,flash模块4:由至少一个用来存储数据的存储芯片或内存构成,将flash 模块4通过重建文件分配表和自建文件存储格式的方法,分割成三个空间,即 公共区、保密区、隐藏区;公共区主要用来存储指纹识别等各种应用程序; 保密区主要用来存储需要保护的数据;隐藏区主要用来储存授权用户第一 次使用登陆时得到的指纹特征模板、硬件加解密密钥等;
指纹感应器5:由控制器1进行控制,抓取实时的指纹数据,计算机将抓 取的指纹数据与第一次指纹特征模板数据进行比对,如比对成功,则出现授权 用户使用的读写空间;
控制器1:通过USB接口 8与计算机连接,并对存储硬盘3、实时加解密引 擎2、 flash模块4及指纹感应器5进行管理和协调,及对存储的数据在经过指 纹识别程序得到确认后,进行安全有序地加、解密处理;
在进行写操作时首先运用动态加密密钥对存储的数据进行加密,加密密 钥是根据每次指纹认证特征点随机生成的,控制器1将随机生成的加密密钥写 入到flash模块4的隐藏区内,当向存储硬盘3写入数据时,实时加解密引擎2从 flash模块4的隐藏区内调用加密密钥将所写入的数据进行加密;然后在控制器1 的控制下,对存储数据再运用bit级拆分存储技术;即对存储数据的每个字节完 全按着bit级进行拆分,并配合用户信息与地址信息,把每个字节不同部分按照 计算好的地址存放,使存放在存储硬盘3内的数据零散不完整,无法破译;
当对存储的数据进行读操作时对经bit级拆分存储的数据,在控制器l的 控制下根据用户指纹信息及存储的地址信息加以组合,然后在控制器1的控制 下,再根据存储的特征点代码与加密文件特征码运算生成的解密密钥,对存储 硬盘3内的数据进行解密还原输出。
为便于对拆分技术的理解,现以硬盘为例作进一步的说明
硬盘上的数据按照其不同的特点和作用大致可分为5部分MBR区、DBR 区、FAT区、DIR区和DATA区。
MBR区:即为主引导记录区,位于整个硬盘的0磁道0柱面1扇区。不过, 在总共512字节的主引导扇区中,MBR只占用了其中的446个字节,另外的 64个字节交给了 DPT硬盘分区表,最后两个字节是分区的结束标志。这个整体 构成了硬盘的主引导扇区。
主引导记录中包含了硬盘的一系列参数和一段引导程序。其中的硬盘引导
程序的主要作用是检查分区表是否正确并且在系统硬件完成自检以后引导具有 激活标志的分区上的操作系统,并将控制权交给启动程序。MBR是由分区程序 如Fdisk.com所产生的,它不依赖任何操作系统,而且硬盘引导程序也是可以改 变的,从而实现多系统共存。
DBR区:是操作系统引导记录区。它通常位于硬盘的0磁道1柱面1扇区, 是操作系统可以直接访问的第一个扇区,它包括一个引导程序和一个被称为 BPB的本分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给 它时,判断本分区根目录前两个文件是不是操作系统的引导文件。如果确定存 在,就把其读入内存,并把控制权交给该文件。BPB参数块记录着本分区的起 始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数, 分配单元的大小等重要参数。
FAT区是文件分配表区,文件占用磁盘空间时,基本单位不是字节而是 簇。簇的大小与磁盘的规格有关, 一般情况下,软盘每簇是1个扇区,硬盘每 簇的扇区数与硬盘的总容量大小有关,可能是4、 8、 16、 32、 64......
同一个文件的数据并不一定完整地存放在磁盘的一个连续的区域内,而往 往会分成若干段,像一条链子一样存放,这种存储方式称为文件的链式存储。硬 盘上的文件常常要进行创建、删除、增长、縮短等操作。这样操作做的越多, 盘上的文件就可能被分得越零碎。但是,由于硬盘上保存着段与段之间的连接 信息即FAT,操作系统在读取文件时,总是能够准确地找到各段的位置并正确 读出。不过,这种以簇为单位的存储法也是有其缺陷的,这主要表现在对空间 的利用上,每个文件的最后一簇都有可能有未被完全利用的空间称为尾簇空间, 一般来说,当文件个数比较多时,平均每个文件要浪费半个簇的空间。
为了实现文件的链式存储,硬盘上必须准确地记录哪些簇已经被文件占用, 还必须为每个已经占用的簇指明存储后继内容的下一个簇的簇号,对一个文件 的最后一簇,则要指明本簇无后继簇。这些都是由FAT表来保存的,表中有很 多表项,每项记录一个簇的信息。
DIR区是根目录区,紧接着第二FAT表(即备份的FAT表)之后,记录 着根目录下每个文件的起始单元,文件的属性等。定位文件位置时,操作系统 根据DIR中的起始单元,结合FAT表就可以知道文件在硬盘中的具体位置和大 小了。
DATA区是数据区,是真正意义上的数据存储的地方,位于DIR区之后, 占据硬盘上的大部分数据空间。
通过对以上硬盘数据结构的了解,实现对数据流bit级控制,拆分实现起来 比较容易,关键在于拆散与组合。不同于网络上流行的文件分割算法,本实用 新型所述的数据拆分技术,是完全按照bit级进行拆分,即将主机写入硬盘的每 组16 bit数据不组合,直接存入硬盘中,并配合用户信息与地址信息,把每个字 节不同部分按照计算好的地址存放,主机不用记住地址信息;读取时同样经过
6
板内运算得到地址信息并加以组合恢复明文。「板内实现逮拟分区表和FAT表, 完全替代硬盘分区表和FAT表。硬盘上的FAT表和分区表己经经过处理变得 面目全非。当Syslnt一l读分区表时,它必须通过板内虚拟分区表。在普通硬盘 上以簇为存储单位的—文件,同样在硬盘上也以不同的簇的方式存在。为了保证 运算速度,所有拆分算法、地址算法全是通过硬件实现,实时计算无反馈。
本实用新型是基于Windows系列操作系统来设计应用软件,使其实现指纹
图象的处理、数据的存储、硬盘初始化等。
本实用新型的工作流程,如图2所示:当将该实用新型的USB接口 8与计算 机的相应接口连接后自动弹出Run.exe ,执行Run.exe,计算机通过控制器1启动 指纹认证程序,进入指纹认证界面,同时控制器l将指纹感应器5提取的指纹信 息,通过USB接口 8送入计算机处理;如果是第一次登入该实用新型,那麽经计 算机处理的指纹信息将以特征点的方式,经控制器1存入flash模块4的隐藏区内; 如再次登入仍需经指纹验证,指纹感应器5获取的指纹信息,经控制器1、 USB 接口 8送入计算机处理,并同存入到flash模块4的隐藏区内的指纹特征进行比 对,然后将比对结果信息经USB接口 8返回控制器l;如比对失败,则返回到指 纹认证界面,从新验证;如比对成功,则通过控制器l打开flash模块4的保密区 用户使用空间,进入操作界面供用户使用;
在进行写操作时首先运用动态加密密钥对数据进行加密,加密密钥是根 据每次指纹认证特征点随机生成的,控制器1将随机生成的加密密钥写入到 flash模块4的隐藏区内,当向存储硬盘3写入数据时,实时加解密引擎2从flash 模块4的隐藏区内调用加密密钥,将所写入的数据进行加密,然后在控制器l的 控制下,对存储数据再运用bit级拆分存储技术;即对每个字节按着bit拆分, 并配合用户信息与地址信息,把每个字节不同部分按照计算好的地址存放,使 保存在存储硬盘3内的数据零散不完整,行成密文。
在进行读操作时首先对经bit级拆分存储的数据,在控制器l的控制下根 据用户指纹信息及存储的地址信息加以组合,然后在控制器1的控制下,再根 据存储的特征点代码与加密文件特征码运算生成的解密密钥,对存储硬盘3内 的数据进行解密还原成明文输出。
权利要求1、一种具有多层加密保护的存储装置,主要包括控制器[1]、存储硬盘[3]、flash模块[4]、指纹感应器[5],其特征是存储硬盘[3]与实时加解密引擎[2]相连、实时加解密引擎[2]通过IDE接口[6]与控制器[1]相连;flash模块[4]通过flash模块接口[7]与控制器[1]相连,并flash模块[4]通过线路与实时加解密引擎[2]相连;指纹感应器[5]通过排线与控制器[1]相连;控制器[1],通过USB接口[8]与计算机连接。
2、 根据权利要求1所述的一种具有多层加密保护的存储装置, 其特征是所说的flash模块[4]由至少一个用来存储数据的存储芯片 构成。
3、 根据权利要求1所述的一种具有多层加密保护的存储装置, 其特征是:所说的flash模块[4]由至少一个用来存储数据的内存构成。
专利摘要一种具有多层加密保护的存储装置,控制器[1]分别通过IDE接口[6]、flash接口[7]、排线与实时加密引擎[2]、存储硬盘[3]、flash模块[4]、指纹感应器[5]相连;控制器[1]通过USB接口[8]与计算机连接,对该存储装置进行安全有序地协调、管理及对存储的数据信息进行加、解密处理,即在采用指纹识别技术的同时,对存入的数据采用动态密钥实时加、解密和bit级拆分存储;因此有效的防止了单独盗取存储硬盘并接入到其它存储单元控制板上来窃取内部数据的可能。使存储硬盘内的数据在多层加密保护下更加安全,本实用新型可广泛应用在对保密层次要求较高的公安、国防、金融、科研等行业和部门。
文档编号G11B20/00GK201054250SQ20062002884
公开日2008年4月30日 申请日期2006年5月31日 优先权日2006年5月31日
发明者军 崔, 朴显泽 申请人:吉林省圣伦计算机信息安全有限公司