CN100346321C - 移动式大容量电子存储器的安全存储控制装置及实现方法 - Google Patents
移动式大容量电子存储器的安全存储控制装置及实现方法 Download PDFInfo
- Publication number
- CN100346321C CN100346321C CNB2005100244488A CN200510024448A CN100346321C CN 100346321 C CN100346321 C CN 100346321C CN B2005100244488 A CNB2005100244488 A CN B2005100244488A CN 200510024448 A CN200510024448 A CN 200510024448A CN 100346321 C CN100346321 C CN 100346321C
- Authority
- CN
- China
- Prior art keywords
- module
- smart card
- flash memory
- controller
- enter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种涉及基于移动存储器的存储控制方法,属于计算机数据存储的安全技术领域,又称“安窠”技术,尤指一种应用于移动式电子存储器进行大容量存储的安全控制的移动式大容量电子存储器的安全存储控制装置及实现方法。该方法通过控制器对闪速存储器和智能卡进行解析,解决一卡多用及安全性提升等问题,包括总体软件模块,执行初始化设备操作模块、执行响应智能卡的请求操作模块及执行响应闪速存储器的请求操作模块等软件。本发明的优点是:实现移动存储器的智能卡扩容,方便用户,实现单个大容量文件的存储和安窠技术,安全性提升,闪速存储器可以由密码来保护,降低成本,节约资源,减少硬件,增强安全保障性。
Description
技术领域
本发明涉及一种基于移动存储器的存储控制方法,属于计算机数据存储的安全技术领域,又称“安窠”技术,尤指一种应用于移动式电子存储器进行大容量存储的安全控制的移动式大容量电子存储器的安全存储控制装置及实现方法。
背景技术
智能卡近几年逐步在PC领域广为应用,是一种装有电脑或微处理器CPU、具有数据信息处理能力的卡片。在国际上,智能卡已经形成相当规模的产业,其应用已经广泛渗透到通信、金融、商业、军事、保险等各种领域。
另一方面,USB——通用串行总线是一种计算机外设连接规范,其速度快,支持多设备同时连接,“即插即用”特性,受到外设厂家的普遍青睐。
再一方面,非易失性存储介质闪速存储器——FLASH,克服了软驱、软盘结构复杂、存储容量小的缺点,具有磁性存储介质无法比拟的稳定性和适应性。
智能卡的典型应用之一是USB闪速智能移动存储器,它包括USB接口、集线器、单片机、闪速存储器和智能卡,其中所述的USB连接器与集线器固设为一体成为存储器本体,闪存与一片单片机为一体构成闪速存储器单元,智能卡与另一片单片机为一体构成智能卡单元,两个单元作为物理上独立的存储部件与本体结合,与集线器电气连接。
USB闪速智能移动存储器涉及应用领域广泛:CA中心、政府电子政务、网上证券业务、网上银行在线交易、工商管理、税务管理、网络登陆/安全认证、安全电子邮件、数字版权保护,主要具有存放网银证书、CA证书,进行数字签名和签名验证的作用,使证书不易被复制、导出、窃取,为证书的安全性提供良好保障。
但是,现有的USB闪速智能移动存储器产品,作为任何一款成品,其智能卡单元的容量是固定的,当需要大容量的存储时,由于其存储容量的局限性,无法实现一卡多用的目的,甚至当用户需要存储一个较大容量的关键数据文件时,智能卡也无法满足需求,必须再购买一个USB闪速智能移动存储器,造成了浪费;此外,存放于闪速存储器中的数据,其信息仍然存在被读取、篡改、攻击等的威胁。这样不仅无法提供高安全性保障,难以满足实际应用中多种的不同安全存储的需求。
发明内容
为了克服上述不足之处,本发明的主要目的旨在提供一种既能对闪速存储器和智能卡进行解析,实现移动式电子存储器的扩容,又能通过用户对智能卡或闪速存储器进行操作,达到提升存储控制安全性的移动式大容量电子存储器的安全存储控制装置及实现方法。
本发明要解决的技术问题是:要解决移动式电子存储器的扩容、存储控制安全性提升的有关硬件装置;要解决移动式大容量电子存储器的安全存储控制方法的系统软件等技术问题。
本发明解决其技术问题所采用的技术方案是:该装置由电脑、微处理器CPU及具有数据信息处理能力的卡片等硬件环境组成,该安全存储控制装置还包括:通用串行总线USB接口、闪速存储器、控制器和智能卡,以及系统总线、I/O串行线和时钟、复位部件、电源、接地管脚等部件,其中:
通用串行总线USB接口模块与控制器模块之间通过双向总线相连接,闪速存储器模块与控制器模块之间通过双向总线相连接,控制器模块与智能卡模块之间通过双向总线相连接;
所述的控制器模块固设为存储器本体,通用串行总线USB接口、闪速存储器和智能卡作为物理上独立的存储部件与本体结合,并分别与控制器的电气对应部分相连接,其中:
控制器芯片的引脚5与通用串行总线USB接口JP1的引脚1相连接,并连接到电源VCC;
控制器芯片的引脚4通过电阻R2与通用串行总线USB接口JP1的引脚3相连接,控制器芯片的引脚3与通用串行总线USB接口JP1的引脚3相连接;
控制器芯片的引脚2与通用串行总线USB接口JP1的引脚2相连接;
控制器芯片的引脚1与通用串行总线USB接口JP1的引脚4相连接,并接地;
控制器芯片的8根数据线引脚11、12、13、14、15、16、17和18分别与U1存储器芯片的8根数据线引脚29、30、31、32、41、42、43和44相互连接;
控制器芯片的引脚27与U5加密电路芯片的引脚18相连接;
控制器芯片的引脚28、29、30为引出烧入芯片的通讯引脚,并与通讯接口相连接;
控制器芯片的引脚39与U5加密电路芯片的引脚19相连接;
控制器芯片的引脚50与电源模块相连接;
控制器芯片的引脚51与复位电路模块相连接;
控制器芯片的引脚63、64分别与一组晶振的引脚3、1相连接;
控制器负责通过通用串行总线USB接口接口接收计算机发来的命令,来管理闪速存储器与智能卡。
所述的移动式大容量电子存储器的安全存储控制装置的闪速存储器设有两个存储区:一类为安全区,另一类为公共区,安全区只有通过智能卡的认证以后才能够被访问,公共区为存储数据文件或在计算机间交换文件,安全区和公共区大小以及安全区的密码由用户设定。
一种移动式大容量电子存储器的安全存储控制实现方法,该方法用户只能通过控制器对闪速存储器和智能卡进行操作,控制器对闪速存储器和智能卡进行解析,实现扩容及一卡多用;闪速存储器和智能卡都直接由控制器控制,控制器根据智能卡来决定是否允许对闪速存储器的访问,实现安全性提升,该方法通过总体软件模块来执行,具体工作步骤主要是:
步骤1.开始
准备开始;
步骤2.上电配置
进行上电配置,系统会自动进行配置;
步骤3.检查相应中断,实现控制器与计算机之间的通讯检测相应的中断,实现控制与计算机之间的通讯;
步骤4.实现用户协议
实现用户协议,完成用户协议功能;
步骤5.判断是否有响应初始化设备的请求
如果有请求,则进入执行初始化设备的操作模块;
如果无请求,则进入判断响应智能卡的请求模块;
步骤6.判断是否有响应智能卡的请求
如果有请求,则进入执行响应智能卡的请求操作后,再进入拔除本设备模块;
如果无请求,则进入判断响应闪速存储器的请求模块;
步骤7.判断是否有响应闪速存储器的请求
如果有请求,则执行响应闪速存储器的请求操作后,再进入拔除本设备模块;
如果无请求:则进入拔除本设备模块;
步骤8.循环
在操作执行拔除本设备模块前,在分别操作执行如下模块后:在执行初始化设备的操作中的执行格式化设备的操作模块后;或在执行响应智能卡的请求操作中的执行智能卡所请求的操作模块后;或在执行响应闪速存储器的请求操作中的执行闪速存储器所请求的操作模块后;均为进入继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯模块;
步骤9.拔除本设备
拔除本设备处理操作,处理完成退出循环,结束程序;
步骤10.结束。
所述的移动式大容量电子存储器的安全存储控制实现方法的总体软件模块包括:执行初始化设备操作模块、执行响应智能卡的请求操作模块及执行响应闪速存储器的请求操作模块。
所述的移动式大容量电子存储器的安全存储控制实现方法的执行初始化设备操作模块的具体工作步骤是:
步骤1.准备开始
控制器解析完毕,其结果为执行初始化设备的操作;
步骤2.判断是否有格式化设备的请求
如果有请求,则进入执行格式化设备的继续执行循环程序的操作;
如果无请求,则进入通过智能卡取随机数模块;
步骤3.存放
将随机数作为密钥存放至闪速存储器配置物理块中和智能卡的二进制文件中;
步骤4.建立安全区
执行建立安全区模块后,进入执行格式化设备的操作模块;
步骤5.执行格式化设备的操作
执行格式化设备的操作模块后,则返回到总体软件模块的循环步骤;
步骤6.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯模块。
所述的移动式大容量电子存储器的安全存储控制实现方法的执行响应智能卡的请求操作模块的具体工作步骤是:
步骤1.准备开始
如果有响应智能卡的请求,则进入执行响应智能卡的请求操作;
步骤2.判断闪速存储器处于忙状态
如果处于忙状态,则进入执行响应智能卡的请求操作模块的步骤1;
如果处于非忙状态,则进入执行智能卡所请求的操作模块;
步骤3.执行智能卡所请求的操作
执行智能卡所请求的操作模块后,则返回到总体软件模块的循环步骤;
步骤4.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯模块。
所述的移动式大容量电子存储器的安全存储控制实现方法的执行响应闪速存储器的请求操作的具体工作步骤是:
步骤1.准备开始
如果有响应闪速存储器的请求,则执行响应闪速智能存储器的请求操作;
步骤2.判断是否访问安全区
如果是访问安全区,则进入已经通过安全认证模块;
如果不访问安全区(2001),则进入访问公共区(2002)模块,执行完访问公共区(2002)模块后,则进入执行闪速存储器所请求的操作(2007)模块;
步骤3.判断是否已经通过安全认证
如果已经通过安全认证,则进入执行闪速存储器所请求的操作模块;
如果未通过安全认证,则进入通过智能卡执行外部认证操作成功判断模块;
步骤4.判断是否通过智能卡执行外部认证操作成功(2004)
如果是执行外部认证操作成功,则进入读取智能卡中二进制文件的内容模块;
如果执行外部认证操作失败,则进入到总体软件模块的循环步骤;
步骤5.读取智能卡中二进制文件的内容
执行读取智能卡中二进制文件内容的操作后,进入判断密钥比对成功模块;
步骤6.判断是否密钥比对成功
如果密钥比对成功,则进入执行闪速存储器所请求的操作模块;
如果密钥比对失败,则进入到总体软件模块的循环步骤;
步骤7.执行闪速存储器所请求的操作
执行闪速存储器所请求的操作后,则进入到总体软件模块的循环步骤;
步骤8.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯模块。
本发明的有益效果是:实现移动存储器的智能卡扩容,方便用户,实现单个大容量文件的存储和安窠技术,安全性提升,可以通过智能卡实现闪速存储器的安全区保护,闪速存储器可以由密码来保护,有力确保信息的安全性、机密性和完整性;以控制器替代目前同类产品的集线器和两个单独的USB设备来实现智能卡扩容,且能够通过智能卡接口实现对闪速存储器访问,降低成本,节约资源;本发明具有支持多应用和应用选择管理,各应用之间相互独立;支持多种算法,支持多种安全保护等功能;减少硬件,增强安全保障性,满足不同的需要,不仅提高了移动存储器扩容等方面的灵活性,还大大减低成本,节约器件资源。
附图说明
下面结合附图说明和实施例对本发明进一步说明。
附图1为本发明总体结构方框图;
附图2为本发明控制器芯片的电路原理图;
附图3为本发明闪速存储器的电路原理图;
附图4为本发明加密电路的电路原理图;
附图5为本发明软件的总体流程图;
附图6为本发明初始化操作软件流程图;
附图7为本发明响应智能卡的请求操作流程图;
附图8为本发明响应闪速存储器的请求操作流程图;
附图标号说明:
1-通用串行总线USB接口;
2-闪速存储器;
3-控制器;
4-智能卡;
7-U1存储器;
8-U5加密电路;
11-开始?
12-上电配置;
13-检查相应中断,实现控制与计算机之间的通讯;
14-实现用户协议;
15-响应初始化设备的请求;
16-执行初始化设备的操作;
1601-有格式化设备的请求;
1602-通过智能卡取随机数;
1603-将随机数作为密钥存放至闪速存储器配置物理块中和智能卡的二进制文件中;
1604-建立安全区;
1605-执行格式化设备的操作;
17-响应智能卡的请求;
18-执行响应智能卡的请求操作;
1801-闪速存储器处于忙状态;
1802-执行智能卡所请求的操作;
19-响应闪速存储器的请求;
20-执行响应闪速智能存储器的请求操作;
2001-访问安全区;
2002-访问公共区;
2003-已经通过安全认证;
2004-通过智能卡执行外部认证操作成功;
2005-读取智能卡中二进制文件的内容;
2006-密钥比对成功;
2007-执行闪速存储器所请求的操作;
21-拔除本设备;
22-结束。
具体实施方式:
请参阅附图1所示,本发明由电脑、微处理器CPU及具有数据信息处理能力的卡片等硬件环境组成,本发明为一种复合设备,其功能优于两种独立设备简单的叠加,所述装置还包括:通用串行总线USB接口(1)、闪速存储器(2)、控制器(3)和智能卡(4),以及系统总线、I/O串行线和时钟、复位部件、电源、接地管脚等部件,其中所述的控制器固设为存储器本体,USB接口、闪速存储器和智能卡作为物理上独立的存储部件与本体结合,与控制器电气连接;其中:
通用串行总线USB接口(1)模块与控制器(3)模块之间通过双向总线相连接,闪速存储器(2)模块与控制器(3)模块之间通过双向总线相连接,控制器(3)模块与智能卡(4)模块之间通过双向总线相连接;就是说用户只能通过USB接口与控制器(3)通信,而由控制器(3)去管理闪速存储器(2)与智能卡(4);
请参阅附图2、3、4所示,所述的移动式大容量电子存储器的安全存储控制装置的控制器(3)模块固设为存储器本体,通用串行总线USB接口(1)、闪速存储器(2)和智能卡(4)作为物理上独立的存储部件与本体结合,并分别与控制器(3)的电气对应部分相连接,其中:
控制器(3)芯片的引脚5与通用串行总线USB接口(1)JP1的引脚1相连接,并连接到电源VCC;
控制器(3)芯片的引脚4通过电阻R2与通用串行总线USB接口(1)JP1的引脚3相连接,控制器(3)芯片的引脚3与通用串行总线USB接口(1)JP1的引脚3相连接;
控制器(3)芯片的引脚2与通用串行总线USB接口(1)JP1的引脚2相连接;
控制器(3)芯片的引脚1与通用串行总线USB接口(1)JP1的引脚4相连接,并接地;
控制器(3)芯片的8根数据线引脚11、12、13、14、15、16、17和18分别与U1存储器(7)芯片的8根数据线引脚29、30、31、32、41、42、43和44相互连接;
控制器(3)芯片的引脚27与U5加密电路(8)芯片的引脚18相连接;
控制器(3)芯片的引脚28、29、30为引出烧入芯片的通讯引脚,并与通讯接口相连接;
控制器(3)芯片的引脚39与U5加密电路(8)芯片的引脚19相连接;
控制器(3)芯片的引脚50与电源模块相连接;
控制器(3)芯片的引脚51与复位电路模块相连接;
控制器(3)芯片的引脚63、64分别与一组晶振的引脚3、1相连接;
控制器(3)负责通过通用串行总线USB接口(1)接收计算机发来的命令,来管理闪速存储器(2)与智能卡(4)。
本电路工作时使用步骤是:
1)、将有优盘功能的通用串行总线USB接口(1)的智能钥匙插入计算机,上电;
2)、晶振起振,产生时钟,输出脉冲到单片机;
3)、复位电路(复位芯片)产生复位信号;
4)、单片机接收到复位信号后初始化,然后开始工作;
5)、单片机分频后产生6兆时钟脉冲通过SCLK引脚送到SIM卡中;
6)、根据用户指令,对闪存进行存取操作和对安全模块执行读写操作,其中安全模块的SIO引脚执行数据通讯操作,SRST引脚对安全模块执行复位操作,SCLK产生时钟脉冲为安全模块提供了工作频率。
所述的移动式大容量电子存储器的安全存储控制装置的闪速存储器(2)设有两个存储区:一类为安全区,另一类为公共区,安全区只有通过智能卡的认证以后才能够被访问,公共区为存储数据文件或在计算机间交换文件,安全区和公共区大小以及安全区的密码由用户设定;安全区只能被已经验证的外部设备访问,公共区可以被确认或未确认的外部设备访问。
其中闪速存储器分为两个存储区:一类安全区用于存放证书和电子印章图片等数据文件、智能卡无法存储需要安全保护的大容量数据文件或执行文件等等;另一个则作为公共区,用于存储任何数据文件或在计算机间方便地交换文件。安全区和公共区大小以及安全区的密码由用户在格式化的时候决定。
该移动存储器的管脚定义和布局应符合ISO 7816标准中的电气特性。
请参阅附图5所示,一种移动式大容量电子存储器的安全存储控制实现方法的户只能通过控制器(3)对闪速存储器(2)和智能卡(4)进行操作,控制器(3)对闪速存储器(2)和智能卡(4)进行解析,实现扩容及一卡多用;闪速存储器(2)和智能卡(4)都直接由控制器(3)控制,控制器(3)根据智能卡(4)来决定是否允许对闪速存储器(2)的访问,实现安全性提升,该方法通过总体软件模块来执行,具体工作步骤主要是:
步骤1.开始(11)
准备开始;
步骤2.上电配置(12)
进行上电配置,系统会自动进行配置;
步骤3.检查相应中断,实现控制器与计算机之间的通讯(13)检测相应的中断,实现控制与计算机之间的通讯;
步骤4.实现用户协议(14)
实现用户协议,完成用户协议功能;
步骤5.判断是否有响应初始化设备的请求(15)
如果有请求,则进入执行初始化设备的操作(16)模块;
如果无请求,则进入判断响应智能卡的请求(17)模块;
步骤6.判断是否有响应智能卡的请求(17)
如果有请求,则进入执行响应智能卡的请求操作(18)后,再进入拔除本设备(21)模块;
如果无请求,则进入判断响应闪速存储器的请求(19)模块;
步骤7.判断是否有响应闪速存储器的请求(19)
如果有请求,则执行响应闪速存储器的请求操作(20)后,再进入拔除本设备(21)模块;
如果无请求:则进入拔除本设备(21)模块;
步骤8.循环
在操作执行拔除本设备(21)模块前,在分别操作执行如下模块后:在执行初始化设备的操作(16)中的执行格式化设备的操作(1605)模块后;或在执行响应智能卡的请求操作(18)中的执行智能卡所请求的操作(1802)模块后;或在执行响应闪速存储器的请求操作(20)中的执行闪速存储器所请求的操作(2007)模块后;均为进入继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块;
步骤9.拔除本设备(21)
拔除本设备(21)处理操作,处理完成退出循环,结束程序;
步骤10.结束(22)。
所述的移动式大容量电子存储器的安全存储控制实现方法的总体软件模块包括:执行初始化设备操作模块、执行响应智能卡的请求操作模块及执行响应闪速存储器的请求操作模块等。
请参阅附图6所示,所述的移动式大容量电子存储器的安全存储控制实现方法的执行初始化设备操作模块的具体工作步骤是:
步骤1.准备开始
控制器(3)解析完毕,其结果为执行初始化设备的操作(16);
步骤2.判断是否有格式化设备的请求(1601)
如果有请求,则进入执行格式化设备的继续执行循环程序的操作;
如果无请求,则进入通过智能卡取随机数(1602)模块;
步骤3.存放
将随机数作为密钥存放至闪速存储器配置物理块中和智能卡的二进制文件中(1603);
步骤4.建立安全区(1604)
执行建立安全区(1604)模块后,进入执行格式化设备的操作(1605)模块;
步骤5.执行格式化设备的操作(1605)
执行格式化设备的操作(1605)模块后,则返回到总体软件模块的循环步骤;
步骤6.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块。
请参阅附图7所示,所述的移动式大容量电子存储器的安全存储控制实现方法的执行响应智能卡的请求操作模块的具体工作步骤是:
步骤1.准备开始
如果有响应智能卡的请求(17),则进入执行响应智能卡的请求操作(18);
步骤2.判断闪速存储器处于忙状态(1801)
如果处于忙状态,则进入执行响应智能卡的请求操作模块的步骤1;
如果处于非忙状态,则进入执行智能卡所请求的操作(1802)模块;
步骤3.执行智能卡所请求的操作(1802)
执行智能卡所请求的操作(1802)模块后,则返回到总体软件模块的循环步骤;
步骤4.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块。
请参阅附图8所示,所述的移动式大容量电子存储器的安全存储控制实现方法的执行响应闪速存储器的请求操作的具体工作步骤是:
步骤1.准备开始
如果有响应闪速存储器的请求(19),则执行响应闪速智能存储器的请求操作(20);
步骤2.判断是否访问安全区(2001)
如果是访问安全区(2001),则进入已经通过安全认证(2003)模块;
如果不访问安全区(2001),则进入访问公共区(2002)模块,执行完访问公共区(2002)模块后,则进入执行闪速存储器所请求的操作(2007)模块;
步骤3.判断是否已经通过安全认证(2003)
如果已经通过安全认证(2003),则进入执行闪速存储器所请求的操作(2007)模块;
如果未通过安全认证(2003),则进入通过智能卡执行外部认证操作成功(2004)判断模块;
步骤4.判断是否通过智能卡执行外部认证操作成功(2004)
如果是执行外部认证操作成功,则进入读取智能卡中二进制文件的内容(2005)模块;
如果执行外部认证操作失败,则进入到总体软件模块的循环步骤;
步骤5.读取智能卡中二进制文件的内容(2005)
执行读取智能卡中二进制文件内容(2005)的操作后,进入判断密钥比对成功(2006)模块;
步骤6.判断是否密钥比对成功(2006)
如果密钥比对成功(2006),则进入执行闪速存储器所请求的操作(2007)模块;
如果密钥比对失败,则进入到总体软件模块的循环步骤;
步骤7.执行闪速存储器所请求的操作(2007)
执行闪速存储器所请求的操作(2007)后,则进入到总体软件模块的循环步骤;
步骤8.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块。
本发明软件的操作系统:
1)、完成USB给予接送、发送;
2)、RSA算法实现;
3)、用户存储区控制(文件控制);
4)、安全策略控制。
USB驱动软件:
采用WINDOWS98/2000/XP,WDM方式生成驱动,可以在PC上实现与移动存储器的通讯。
本发明的主要特征:
符合IS07816标准中的电气特性;
智能卡芯片型号:CIU92S32F;
芯片工作温度:-25℃-+70℃;
CPU处理位数:8位;
闪速存储器容量:128M;
传输协议:ISO7816-3/T=0;
支持多种速率(从9600bps~93Kbps)选择,符合PPS协议;
硬件DES协处理器;
硬件RSA协处理器;
硬件SSF33协处理器;
内置随机数协处理器;
数据重复擦写次数≥10年;
支持多种容量选择,可选择8K、16K、32K字节数据存储空间。
本发明应用空间结构说明:
1)支持多密钥容器的结构;
2)每一个密钥容器,均支持双证书结构(加密证书和签名证书)。
每一个密钥容器占用的空间大约为11Kbyte,包括加密密钥对、加密证书、签名密钥对、签名证书和系统信息;
3)32K的智能卡最多可以包含2个密钥容器,剩余用户扩展空间大约为10Kbyte;
4)16K的智能卡最多可以包含1个密钥容器,剩余用户扩展空间大约为5Kbyte。
本发明的性能指标:
符合《中国金融集成电路(智能)卡规范》;
支持建立三级或以上DF和多级目录管理;
支持多应用和应用选择管理,各应用之间相互独立(多应用、防火墙)。
本发明支持多种文件类型,包括:
透明文件;
线性定长记录文件;
线性变长记录文件;
循环定长记录文件;
安全文件;
电子钱包文件;
电子存折文件。
本发明支持多种算法,包括:
MD5算法;
SHA-1数据散列算法;
Single DES、Triple DES算法;
512位、1024位RSA以及ECC的公私钥算法及其密钥对生成;
本发明支持多种安全保护功能,包括:
数据镜像及支付交易保护功能;
数字证书功能,提供数字签名及签名认证;
数字信封功能,保证密钥的安全性,提高数据加解密速度;
多种安全访问方式和权限功能(认证功能和口令保护);
身份认证功能,保证信息传输的完整性、机密性以及操作的不可否认性;
安全数据传输,提供明文、加密、校验和加密校验四种传输模式;
使用公开密钥技术;
支持X509数字证书存储功能;
支持电子钱包和电子存折功能。
本发明的特色:
1)可以利用闪速存储器来扩充智能卡的容量,使智能卡的容量极大提升。扩充的容量主要用于放证书和电子印章图片等不需要严格保护的数据文件,用户的密钥、个人信息等安全文件仍存放在智能卡中;
2)闪速存储器的安全区可以设计为多个小安全区,每一个安全区设计为蜂窝状鸟巢结构,又称“安窠”结构;
3)闪速存储器的安全区可以通过密码保护,也可以通过智能卡的安全认证来实现闪速存储器的安全区保护,闪速存储器的安全区只有通过智能卡的认证以后才能够被访问,其认证方式有多种,如:口令认证和智能卡外部认证等传统方式,以及指纹认证等生物特征识别方式。认证过程中智能卡和闪速存储器的相互操作直接由控制器完成,避免经过PC而产生的安全隐患;
4)闪速存储器的安全区可以存放明文数据和加密数据;如果存放加密数据,则由控制器完成数据的加解密操作,由于闪速存储器的安全区内存放的是加密数据,所以数据安全性得到了最高级别的保障;
5)插入本发明才能登陆操作系统或网络;
6)拔掉本发明系统立即被锁住,防止他人窃取用户的工作档案;
7)同时存放多个系统的登陆账号和口令;
8)结合网络通讯安全协议,加密交易信息,实现安全的网络交易和网上银行;
9)通过本发明在网上准确验证用户身份帐号;
10)使用经过微软验证的CSP(加密服务提供商)以及符合RSA公司的PKCS#11的标准的PKI中间件,嵌入微软系统,实现数字签名和电子邮件加密以及符合SSL协议的安全网站建设;
11)通过本发明内置RSA算法,解决对重要文件的加密保护;
12)可在Windows 98/2000/2003/xp/me上使用;
13)兼有USB移动存储器功能。
本发明的安全策略:
1)帐号策略
多个用户时,而且每个用户通过口令控制本身相应的区域,既可防止非法用户的进入,也限制了本卡非此应用区用户的使用,建立了权限控制。
2)公钥策略
使用1024位的RSA非对称算法,可支持内部产生公钥、私钥,同时用户私钥无法从本发明中导出,可以采用私钥签名、加解密,并且在本发明中可以存放PKI数字证书。
3)终端访问策略
可以在本发明中设置中端访问密钥,这样只有在授权终端(微机)上,可以有用户通过口令对本发明进行访问。
4)通讯接口策略
通过USB的数据传输支持明文、加密,MAC以及加密+MAC四种方式,可以有效地保证传输信息的安全性和完整性。
本发明的应用:
1)本发明的安全性应用
电子邮件的加密发送和接收
用户在电子邮件发送前将邮件内容加密,只有收件人能够正确解开。如果发送途中被解开,电子邮件内容为加密数据,无法解开得到原文。
文档(目录)的加密和解密
可以通过本发明将电脑中的文档(目录)加密和解密,本发明A加密的内容只有用它才能解密,
本发明B不能正确解密,用户通过本发明能保证数据的安全性。
适用于一切需要安全身份认证的地方,承载CA认证中心的数字证书网上交易的公正性通常由第三方可信任机构-CA认证中心发布数字证书来保证。用户的数字证书中含有公钥和私钥信息,并将用户的公钥和用户的其他标识信息捆绑在一起,在INTERNET网上验证用户的身份。用户都拥有自己的一对公钥和私钥,利用私钥签发发出信息或者私钥解密接受信息,而其他用户利用对应公钥和私钥发送或接收信息。利用本发明承载数字证书能确保在网上交易时的公正性。
2)本发明的功能外部接口软件应用
提供动态连接库,用户可用此接口软件,二次开发相应的应用软件。
本发明的保护要点:
一种移动式大容量电子存储设备的安全存储控制方法,属于计算机数据存储领域,又称“安窠”技术,其安全区可以设计为多个小安全区,每一个安全区设计为蜂窝状鸟巢结构;主要涵盖以下三个方面:第一,扩容,实现一卡多用,支持多应用和应用选择管理,各应用之间相互独立;支持多种算法,支持多种安全保护等功能;此外,还可以存储一个大容量的关键数据文件。第二,安全性提升,安全区可以通过密码保护,也可以通过智能卡的安全认证来实现闪速存储器的安全区保护,闪速存储器的安全区只有通过智能卡的认证以后才能够被访问,其认证方式有多种,如:口令认证和智能卡外部认证等传统方式,以及指纹认证等生物特征识别方式;认证过程中智能卡和闪速存储器的相互操作直接由控制器完成,避免经过PC而产生的安全隐患,有力确保信息的安全性、机密性和完整性。第三,安全区可以存放明文数据和加密数据;如果存放加密数据,则由控制器完成数据的加解密操作,由于闪速存储器的安全区内存放的是加密数据,所以数据安全性得到了最高级别的保障。
本发明电路中的芯片型号可以是公知的多种型号,不一定为指定的某一种。
最后所应说明的是,以上实施例仅用以说明本发明而非限制,尽管参照实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改该或者同等替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1、一种移动式大容量电子存储器的安全存储控制装置,该装置有电脑、微处理器CPU及具有数据信息处理能力的卡片硬件环境,其特征在于:该安全存储控制装置还包括:通用串行总线USB接口(1)、闪速存储器(2)、控制器(3)和智能卡(4),以及系统总线、I/O串行总线和时钟、复位部件、电源、接地管脚,其中:
通用串行总线USB接口(1)模块与控制器(3)模块之间通过双向总线相连接,闪速存储器(2)模块与控制器(3)模块之间通过双向总线相连接,控制器(3)模块与智能卡(4)模块之间通过双向总线相连接;
所述的控制器(3)模块固设为存储器本体,通用串行总线USB接口(1)、闪速存储器(2)和智能卡(4)作为物理上独立的存储部件与本体结合,并分别与控制器(3)的电气对应部分相连接,其中:
控制器(3)芯片的引脚5与通用串行总线USB接口(1)JP1的引脚1相连接,并连接到电源VCC;
控制器(3)芯片的引脚4通过电阻R2与通用串行总线USB接口(1)JP1的引脚3相连接,控制器(3)芯片的引脚3与通用串行总线USB接口(1)JP1的引脚3相连接;
控制器(3)芯片的引脚2与通用串行总线USB接口(1)JP1的引脚2相连接;
控制器(3)芯片的引脚1与通用串行总线USB接口(1)JP1的引脚4相连接,并接地;
控制器(3)芯片的8根数据线引脚11、12、13、14、15、16、17和18分别与U1存储器(7)芯片的8根数据线引脚29、30、31、32、41、42、43和44相互连接;
控制器(3)芯片的引脚27与U5加密电路(8)芯片的引脚18相连接;
控制器(3)芯片的引脚28、29、30为引出烧入芯片的通讯引脚,并与通讯接口相连接;
控制器(3)芯片的引脚39与U5加密电路(8)芯片的引脚19相连接;
控制器(3)芯片的引脚50与电源模块相连接;
控制器(3)芯片的引脚51与复位电路模块相连接;
控制器(3)芯片的引脚63、64分别与一组晶振的引脚3、1相连接;
控制器(3)负责通过通用串行总线USB接口(1)接收计算机发来的命令,来管理闪速存储器(2)与智能卡(4)。
2、根据权利要求1所述的移动式大容量电子存储器的安全存储控制装置,其特征在于:所述的闪速存储器(2)设有两个存储区:一类为安全区,另一类为公共区,安全区只有通过智能卡的认证以后才能够被访问,公共区为存储数据文件或在计算机间交换文件,安全区和公共区大小以及安全区的密码由用户设定。
3、一种移动式大容量电子存储器的安全存储控制实现方法,其特征在于:该方法用户只能通过控制器(3)对闪速存储器(2)和智能卡(4)进行操作,控制器(3)对闪速存储器(2)和智能卡(4)进行解析,实现扩容及一卡多用;闪速存储器(2)和智能卡(4)都直接由控制器(3)控制,控制器(3)根据智能卡(4)来决定是否允许对闪速存储器(2)的访问,实现安全性提升,该方法通过总体软件模块来执行,具体工作步骤主要是:
步骤1.开始(11)
准备开始;
步骤2.上电配置(12)
进行上电配置,系统会自动进行配置;
步骤3.检查相应中断,实现控制器与计算机之间的通讯(13)检测相应的中断,实现控制与计算机之间的通讯;
步骤4.实现用户协议(14)
实现用户协议,完成用户协议功能;
步骤5.判断是否有响应初始化设备的请求(15)
如果有请求,则进入执行初始化设备的操作(16)模块;
如果无请求,则进入判断响应智能卡的请求(17)模块;
步骤6.判断是否有响应智能卡的请求(17)
如果有请求,则进入执行响应智能卡的请求操作(18)后,再进入拔除本设备(21)模块;
如果无请求,则进入判断响应闪速存储器的请求(19)模块;
步骤7.判断是否有响应闪速存储器的请求(19)
如果有请求,则执行响应闪速存储器的请求操作(20)后,再进入拔除本设备(21)模块;
如果无请求:则进入拔除本设备(21)模块;
步骤8.循环
在操作执行拔除本设备(21)模块前,在分别操作执行如下模块后:在执行初始化设备的操作(16)中的执行格式化设备的操作(1605)模块后;或在执行响应智能卡的请求操作(18)中的执行智能卡所请求的操作(1802)模块后;或在执行响应闪速存储器的请求操作(20)中的执行闪速存储器所请求的操作(2007)模块后;均为进入继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块;
步骤9.拔除本设备(21)
拔除本设备(21)处理操作,处理完成退出循环,结束程序;
步骤10.结束(22)。
4、根据权利要求3所述的移动式大容量电子存储器的安全存储控制实现方法,其特征在于:所述的总体软件模块包括:执行初始化设备操作模块、执行响应智能卡的请求操作模块及执行响应闪速存储器的请求操作模块。
5、根据权利要求4所述的移动式大容量电子存储器的安全存储控制实现方法,其特征在于:所述的执行初始化设备操作模块的具体工作步骤是:
步骤1.准备开始
控制器(3)解析完毕,其结果为执行初始化设备的操作(16);
步骤2.判断是否有格式化设备的请求(1601)
如果有请求,则进入执行格式化设备的继续执行循环程序的操作;
如果无请求,则进入通过智能卡取随机数(1602)模块;
步骤3.存放
将随机数作为密钥存放至闪速存储器配置物理块中和智能卡的二进制文件中(1603);
步骤4.建立安全区(1604)
执行建立安全区(1604)模块后,进入执行格式化设备的操作(1605)模块;
步骤5.执行格式化设备的操作(1605)
执行格式化设备的操作(1605)模块后,则返回到总体软件模块的循环步骤;
步骤6.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块。
6、根据权利要求4所述的移动式大容量电子存储器的安全存储控制实现方法,其特征在于:所述的执行响应智能卡的请求操作模块的具体工作步骤是:
步骤1.准备开始
如果有响应智能卡的请求(17),则进入执行响应智能卡的请求操作(18);
步骤2.判断闪速存储器处于忙状态(1801)
如果处于忙状态,则进入执行响应智能卡的请求操作模块的步骤1;
如果处于非忙状态,则进入执行智能卡所请求的操作(1802)模块;
步骤3.执行智能卡所请求的操作(1802)
执行智能卡所请求的操作(1802)模块后,则返回到总体软件模块的循环步骤;
步骤4.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块。
7、根据权利要求4所述的移动式大容量电子存储器的安全存储控制实现方法,其特征在于:所述的执行响应闪速存储器的请求操作的具体工作步骤是:
步骤1.准备开始
如果有响应闪速存储器的请求(19),则执行响应闪速智能存储器的请求操作(20);
步骤2.判断是否访问安全区(2001)
如果是访问安全区(2001),则进入已经通过安全认证(2003)模块;
如果不访问安全区(2001),则进入访问公共区(2002)模块,执行完访问公共区(2002)模块后,则进入执行闪速存储器所请求的操作(2007)模块;
步骤3.判断是否已经通过安全认证(2003)
如果已经通过安全认证(2003),则进入执行闪速存储器所请求的操作(2007)模块;
如果未通过安全认证(2003),则进入通过智能卡执行外部认证操作成功(2004)判断模块;
步骤4.判断是否通过智能卡执行外部认证操作成功(2004)
如果是执行外部认证操作成功,则进入读取智能卡中二进制文件的内容(2005)模块;
如果执行外部认证操作失败,则进入到总体软件模块的循环步骤;
步骤5.读取智能卡中二进制文件的内容(2005)
执行读取智能卡中二进制文件内容(2005)的操作后,进入判断密钥比对成功(2006)模块;
步骤6.判断是否密钥比对成功(2006)
如果密钥比对成功(2006),则进入执行闪速存储器所请求的操作(2007)模块;
如果密钥比对失败,则进入到总体软件模块的循环步骤;
步骤7.执行闪速存储器所请求的操作(2007)
执行闪速存储器所请求的操作(2007)后,则进入到总体软件模块的循环步骤;
步骤8.继续执行循环程序
继续执行循环程序,返回到检查相应中断,实现控制与计算机之间的通讯(13)模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100244488A CN100346321C (zh) | 2005-03-17 | 2005-03-17 | 移动式大容量电子存储器的安全存储控制装置及实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100244488A CN100346321C (zh) | 2005-03-17 | 2005-03-17 | 移动式大容量电子存储器的安全存储控制装置及实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1664796A CN1664796A (zh) | 2005-09-07 |
| CN100346321C true CN100346321C (zh) | 2007-10-31 |
Family
ID=35035898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100244488A Active CN100346321C (zh) | 2005-03-17 | 2005-03-17 | 移动式大容量电子存储器的安全存储控制装置及实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100346321C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015078141A1 (zh) * | 2013-11-27 | 2015-06-04 | 华为技术有限公司 | 非易失存储器及电子设备 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101520854B (zh) * | 2008-02-29 | 2012-12-05 | 锐迪科微电子(上海)有限公司 | 一种智能存储卡及其数据安全控制系统和方法 |
| CN101667995B (zh) * | 2008-09-03 | 2013-01-16 | 联想(北京)有限公司 | 数字版权管理方法、系统、硬件安全单元及计算机 |
| CN101789070B (zh) * | 2010-01-28 | 2012-11-21 | 华为终端有限公司 | 一种智能卡初始化方法和终端设备 |
| CN102306170A (zh) * | 2011-08-23 | 2012-01-04 | 北京握奇数据系统有限公司 | 一种存储及处理智能卡公共信息的方法及装置 |
| US9424442B2 (en) | 2013-11-27 | 2016-08-23 | Huawei Technologies Co., Ltd. | Nonvolatile memory and electronic device |
| CN104361290B (zh) * | 2014-11-28 | 2017-08-25 | 山东鲁能智能技术有限公司 | 一种程序加密下载器及其工作方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1316087A (zh) * | 1999-04-27 | 2001-10-03 | 松下电器产业株式会社 | 半导体存储卡和数据读取装置 |
| CN2487032Y (zh) * | 2000-11-13 | 2002-04-17 | 深圳市桑夏皖能高科技有限公司 | 数字图书阅读装置 |
| US6832281B2 (en) * | 2000-07-06 | 2004-12-14 | Onspec Electronic Inc. | Flashtoaster for reading several types of flash memory cards with or without a PC |
-
2005
- 2005-03-17 CN CNB2005100244488A patent/CN100346321C/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1316087A (zh) * | 1999-04-27 | 2001-10-03 | 松下电器产业株式会社 | 半导体存储卡和数据读取装置 |
| US6832281B2 (en) * | 2000-07-06 | 2004-12-14 | Onspec Electronic Inc. | Flashtoaster for reading several types of flash memory cards with or without a PC |
| CN2487032Y (zh) * | 2000-11-13 | 2002-04-17 | 深圳市桑夏皖能高科技有限公司 | 数字图书阅读装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015078141A1 (zh) * | 2013-11-27 | 2015-06-04 | 华为技术有限公司 | 非易失存储器及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1664796A (zh) | 2005-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100346321C (zh) | 移动式大容量电子存储器的安全存储控制装置及实现方法 | |
| CN1396568A (zh) | 数字作品保护系统、记录媒体装置、发送装置和重放装置 | |
| CN1278245C (zh) | 信息存储器件、存储器存取控制系统及方法 | |
| CN1292357C (zh) | 信息存储设备、存储器存取控制方法 | |
| CN101051292A (zh) | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 | |
| CN101076807A (zh) | 一次性密码 | |
| CN1839581A (zh) | 装置认证信息安装系统 | |
| CN1794256A (zh) | 数据处理设备、电信终端设备和借助数据处理设备处理数据的方法 | |
| CN1460225A (zh) | 数据处理系统、存储设备、数据处理装置、及数据处理方法、以及程序 | |
| CN1736082A (zh) | 分组许可系统以及其服务器及客户端 | |
| CN1282071C (zh) | 数据处理装置、数据处理方法和程序 | |
| CN1476580A (zh) | 内容使用权管理系统和管理方法 | |
| CN1327566A (zh) | 电子信息备份系统 | |
| CN1276364C (zh) | 数据管理设备,数据管理方法以及计算机程序 | |
| CN1947372A (zh) | 个人信息管理装置、分散密钥存储装置、个人信息管理系统 | |
| CN1049946A (zh) | 数据、电子文件等的传递方法和系统以及根据该方法使用的卡片 | |
| CN1855805A (zh) | Sip消息的加密方法和加密通信系统 | |
| CN1241144C (zh) | 自主型集成电路卡 | |
| CN1942886A (zh) | 安全装置以及集成电路卡发行系统 | |
| CN101034988A (zh) | 一种网络登录认证保护装置及其使用方法 | |
| CN1993684A (zh) | 存储卡、数据交换系统和数据交换方法 | |
| CN1886713A (zh) | 机密信息处理系统以及lsi | |
| CN1452076A (zh) | 无效化系统 | |
| CN1822016A (zh) | 基于对称密钥加密保存和检索数据 | |
| CN1695340A (zh) | 数据处理方法、程序及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |