CN102270182B - 基于同步用户和主机认证的加密可移动存储设备 - Google Patents

基于同步用户和主机认证的加密可移动存储设备 Download PDF

Info

Publication number
CN102270182B
CN102270182B CN201110184775.5A CN201110184775A CN102270182B CN 102270182 B CN102270182 B CN 102270182B CN 201110184775 A CN201110184775 A CN 201110184775A CN 102270182 B CN102270182 B CN 102270182B
Authority
CN
China
Prior art keywords
key
user
data
encryption
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110184775.5A
Other languages
English (en)
Other versions
CN102270182A (zh
Inventor
洪小莹
袁迈克
李德俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
JINAN SUPERSPEED SEMICONDUCTORS CO Ltd
Original Assignee
JINAN SUPERSPEED SEMICONDUCTORS CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by JINAN SUPERSPEED SEMICONDUCTORS CO Ltd filed Critical JINAN SUPERSPEED SEMICONDUCTORS CO Ltd
Priority to CN201110184775.5A priority Critical patent/CN102270182B/zh
Publication of CN102270182A publication Critical patent/CN102270182A/zh
Application granted granted Critical
Publication of CN102270182B publication Critical patent/CN102270182B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明通过限制USB移动存储设备被使用于经过授权的电脑,使得它的安全性能不仅仅依赖于使用者的密码,并且算法不可被逆向工程所破解。同时本发明灵活地允许多个使用者和多个经过授权的电脑使用USB移动存储设备。在移动存储设备中的数据由基于一个保密的主密钥的加密过程进行加密,而主密钥是通过用户密钥和系统密钥组合生成的。用户密钥和系统密钥分别经过基于用户密码或者系统签名的加密过程获得保密和保护。在缺少使用者密码或者系统签名的情况下,不可能再现出使用者密钥或者系统密钥。

Description

基于同步用户和主机认证的加密可移动存储设备
技术领域
本发明涉及计算机,移动存储设备,数据加密解密领域。
背景技术
USB移动存储器的存储容量以每年50%的速度在增加。随着USB3.0技术的出现,USB移动存储器的数据传输速度超过了300MBps,是原有传输速度的10倍甚至更快。对很多人来说他们乐于将全部的个人或者公司数据存储在一个便于携带的USB移动存储器中。这样方便、环保并且可以提高效率。然而,这个趋势从安全角度来说同样带来了危险,因为每天都有很多人丢失他们的USB移动存储器。存储在丢失或者被盗的USB移动存储器中的秘密信息可能会被任何人获取,包括陌生人,盗用者和竞争者。
一个常用的解决办法是利用基于硬件AES-256或者其它加密算法进行全存储器加密。任何人都无法获取经过加密的信息,除非他知道一个正确的密码。这种方法简单、快速并且貌似安全,因为AES-256本身是非常难以被破解的。不幸的是,计算机黑客非常善于破解用户的密码。虽然加密算法(例如,AES-256)本身可能是安全的,但是很多人为设置的密码却不是。人们经常对于所有不同的应用,重复使用相同或者类似的密码。一些人使用基于字典或者生日的简单密码。
即使强迫要求使用者输入一个强密码(例如,256bit的随机数字),很多人仅仅是将这些密码简单地记录在纸上。这样其实会更糟,有如下两个原因:(1)因为使用者必须将记录密码的纸随身携带(例如,不管是在办公室或者在外面),窃取者可以同时窃取纸和USB移动存储器;(2)当使用者将记录密码的纸张放错地方,USB移动存储器中的所有信息都将永久的丢失。
对于第一种方案的改进是在全盘加密的基础上再使用而外的文件系统级别加密。虽然附加的密码可以改善安全性,但是文件系统级别的加密通常很慢,因为它们是基于软件的。这样将大幅降低效率,并且有悖于使用USB3.0作为高速接口的初衷。
另一个解决办法是在U盘中集成一个生物识别读卡器。使用者除非拥有正确的生物特征(例如,指纹),否则将不可能获取到数据。根据具体实现方法还可能会使用到可选的密码。尽管生物识别架构更加的安全,但是它有三个主要的缺点:(1)显著地提高了USB移动存储器的成本;(2)生物识别读卡器显著地增加了USB移动存储器的体积;(3)它不可以用于寄件人在不知道收件人生物信息的情况下将敏感信息寄给收件人。
发明内容
不同于前述的解决办法,我们的发明满足了所有消费者的需求:安全,方便,灵活,高性能并且低成本。通过限制USB移动存储设备被使用于经过授权的电脑,使得它的安全性能不仅仅依赖于使用者的密码。算法不可被逆向工程所破解:即使一个非法使用者了解完整的设计技术并且能够直接从NAND Flash设备上读取所有的原始数据,USB移动存储设备数据、使用者的密码、计算机授权信息都同样能被保护。本发明灵活地允许多个使用者和多个经过授权的电脑使用USB移动存储设备,并且可以充分利用USB3.0超高传输速度所带来的高性能优势。USB控制器成本可以被很好地控制,不需要使用例如生物识别读卡器、芯片序列号(例如,电子保险丝,非易失性闪存)等额外增加成本的部件。
在移动存储设备中的数据由基于一个保密的主密钥的加密过程进行加密。主密钥通过用户密钥和系统密钥的组合生成的。
用户密钥经过一种基于用户密码的加密过程获得保密和保护。通过使用存储设备的计算机主机的硬件以及软件序列号可以获取该计算机系统的系统签名,系统密钥经过一种基于所述系统签名的加密过程获得保密和保护。
主密钥、用户密钥、使用者密码、系统密钥以及系统签名不能基于在移动存储设备中的加密或者非加密分区的数据而被直接计算出来。因此,在缺少保密的使用者密码或者系统签名的情况下,不能分别再现出使用者密钥或者系统密钥。没有用户密钥或者系统密钥中的任何一个,主密钥不能被得到。这样,存储于移动存储设备上的已加密的数据就不可能被正确地解密。
这种两级的密钥系统允许一个或者多个经过授权的使用者在一个或者多个经过授权的计算机系统中执行移动存储设备中的加密数据的安全存储和获取。进一步来说,如果一个使用者不能拥有一个有效的密码和/或不能直接进入到上述经过授权的计算机系统,该使用者将不能存储或者获取已加密的数据。
一个移动存储设备,其包括一个主机通信端口,一个或者多个加密数据分区,一个或者多个非加密数据分区,一个加密引擎,一个解密引擎,以及一个能够同时认证被授权用户和被授权计算机系统的安全控制器。
进一步,其中,所述主机通信端口使用USB3.0协议。
进一步,其中,所述的同时对被授权用户和被授权计算机系统的认证是基于用户ID和用户密码这样两个用户参数以及系统ID和系统签名这样两个系统参数的,并且用户ID是一个能够识别每一个用户的唯一的字符串,系统ID是识别每一个计算机系统的唯一的字符串。
进一步,其中,所述加密引擎使用一个加密密钥加密在所述加密数据分区中的数据,所述的解密引擎使用解密密钥解密在所述加密数据分区中的数据。
进一步,其中,所述的加密引擎和所述的解密引擎使用同样的主密钥MK作为密钥。
进一步,所述的安全控制器包括一个加密模块EM,一个解密模块DM,一个随机数字产生器RNG,一个密钥衍生函数KDF,一个用户密钥数据表管理器UKDTM,一个用户密钥数据表UKDT,一个系统密钥数据表管理器SKDTM,以及一个系统密钥数据表格SKDT。
进一步,其中,利用所述的加密模块EM来增加/修改用户或者增加/修改计算机系统,利用所述解密模块DM来获取主密钥MK,该主密钥MK将被用于加密向加密分区中写入的数据以及解密从加密分区中读出的数据。
进一步,其中,所述的随机数字产生器RNG在存储设备进行低级格式化时产生一个新的用户密钥UK以及一个新的系统密钥SK,并且通过利用新的用户密钥UK和新的系统密钥SK来产生一个新的主密钥MK。
进一步,其中,所述密钥衍生函数KDF将每一个用户密码转变为一个确定的固定长度的用户密钥加密密钥UKEK,所述密钥衍生函数KDF将每一个系统签名转变为一个确定的固定长度的系统密钥加密密钥SKEK。
进一步,其中,在初始化时,所述加密模块EM使用新的用户密钥加密密钥UKEK作为加密密钥来加密用户密钥UK进而得到新的加密用户密钥EUK。
进一步,其中,在初始化时,所述加密模块EM使用新的系统密钥加密密钥SKEK作为加密密钥来加密系统密钥SK进而得到新的加密系统密钥ESK。
进一步,其中,在初始化时,所述用户密钥数据表格管理器UKDTM在用户密钥数据表格UKDT中存储新的用户ID UID和新的加密用户密钥EUK。
进一步,其中,在初始化时,所述系统密钥数据表格管理器SKDTM在系统密钥数据表格SKDT中存储新的系统ID SID和新的加密系统密钥ESK。
进一步,其中,在用户操作过程中所述用户密钥数据表格管理器UKDTM基于用户ID UID获取加密用户密钥EUK。
进一步,其中,在用户操作过程中所述系统密钥数据表格管理器SKDTM基于系统ID SID获取加密系统密钥ESK。
进一步,其中,在用户操作过程中所述解密模块DM使用用户密钥加密密钥UKEK作为密钥来解密所述加密用户密钥EUK,进而形成用户密钥UK。
进一步,其中,在用户操作过程中所述解密模块DM使用系统密钥加密密钥SKEK作为密钥来解密所述加密系统密钥ESK,进而形成系统密钥SK。
进一步,其中在用户操作过程中安全控制器基于用户密钥UK和系统密钥SK来计算主密钥MK,并基于主密钥MK来实现数据的加密/解密。
附图说明
图1 利用管理员的用户密钥初始化用户密钥数据表格的示例系统;
图2 利用管理员系统密钥初始化系统密钥数据表格的示例系统;
图3 在用户密钥数据表格中为新用户增加用户密钥的示例系统;
图4 在系统密钥数据表格中为新计算机系统增加系统密钥的示例系统;
图5 改变原有的已授权用户密码的示例系统;
图6 改变原有的已授权计算机系统签名的示例系统;
图7 获取某一指定用户的用户密钥的示例系统;
图8 获取某一指定计算机系统的系统密钥的示例系统;
图9对加密数据分区中用户数据加密/解密的示例系统。
具体实施方式
下面的部分描述了发明的一个具体实施例。为了更加的清楚,这里列出了本部分中所写的列表:
AES:    先进的加密标准
AU:     管理员级用户
EE:      加密引擎
DE:      解密引擎
DM:    解密模块
EM:     加密模块
ESK0:   加密管理员级系统密钥
ESKi:    第i个计算机系统的加密系统密钥
EUK0:  加密管理员级密钥
EUKj:   第i个用户的加密用户密钥
MK:     主密钥
PBKDF2:基于密码的密钥求导函数2
SID0:   管理员级系统ID
SIDi:    第i个计算机系统的系统ID
SK:      系统密钥
SKEK0:管理员级系统密钥加密密钥
SKEKi: 第i个计算机系统的系统密钥加密密钥
SSi:      第i个计算机系统的系统签名
UID0:   管理员ID
UIDj:    第j个用户的用户ID
UPj:     第j个用户的用户密码
UK:      用户密钥
UKEK0:管理员级用户密钥加密密钥
UKEKj:第j个用户的用户密钥加密密钥
明码用户数据(未经加密的明码文本)利用一个主密钥(MK)通过加密引擎(EE)加密,来形成加密的用户数据(密码文本)。加密的用户数据被存储在移动存储设备的加密分区。明码用户数据通过相反的过程被恢复:从加密分区中读取被加密的用户数据,利用解密引擎(DE)通过同样的用来加密用的主密钥(MK)解密。
MK是一个用户密钥(UK)和系统密钥(SK)的函数。例如,MK可以通过UK和SK按位异或来形成。
MK = UK ⊕ SK
UK和SK是当对加密分区进行低级格式化时产生的随机数字。UK和SK被加密和存储在移动存储中加密分区之外的部分中。UK和SK保持不变直到加密分区的下一次低级格式化。在MK的位数依赖于用户数据EM的具体实施。UK和SK的长度都与MK的长度相同。例如,MK,UK和SK可以是在一些应用中足够安全128bit长。
多个用户可以被授权访问存储在移动存储设备加密分区中的数据。这些数据被不同的用户所共享,尽管如此,在同一个时间只有一个用户可以进入加密分区。类似的,一个或者多个计算机系统可以被授权能够访问加密分区中存储的数据。
在本发明的实施例中,对于所有授权用户,UK是一样的,对于所有授权的计算机,SK是一样的。在本实施例中,每一个被授权用户可以使用任何的被授权计算机。如下1到8阐述了本发明的一个实施例。
1用户密钥数据表格的初始化
创建用户密钥(UK)的示例系统如图1所示。包括一个随机数字产生器100,一个具有可以将大量可变长度的数据转换到一个单一的确定长度的整数的确定算法的密钥衍生函数101;一个加密模块102,一个用户密钥数据表格管理器 104,所述管理器被用来为一个确定的用户ID从用户密钥数据表格105中存储和重新获取加密用户密钥。
PBKDF2是密钥衍生函数的一个示例函数。加密模块102和解密模块103可以使用一个被普遍接受的流密码或者块密码。表格管理器104可以使用一个阵列或者一个链表来存储和重新获取加密的用户密钥。
用户密钥数据表105在加密分区低级格式化开始的时候被清空。对加密分区执行低级格式化的个人被指定为管理员级用户(AU)。随机数字产生器100产生一个随机数值(例如,基于当前时间或者计算处理状态)来作为UK。可变长度的管理员级用户密码由管理员级用户AU自行设置,并且保密。可变长度的管理员级用户密码通入密钥衍生函数101来产生一个确定的、长度固定的管理员级用户密钥加密密钥UKEK0
UKEK0的bit位数是依赖于加密模块102的具体实施。例如,假设UK是128bits长,并且102使用AES块加密算法,则UKEK0的尺寸可以是128bits。
加密模块102使用UKEK0作为加密密钥来加密UK进而形成加密管理员级用户密钥EUK0。用户密钥数据表管理器104在用户密钥数据表格105的第0个用户条目中将EUK0和管理员级用户ID UID0 112(唯一的、公共识别字符串112)一同存储起来。SK是在低级格式化加密分区时UK被创建的同时被创建的。
2系统密钥数据表格的初始化
创建系统密钥(SK)的示例系统如图2所示。
系统密钥数据表格109在低级格式化加密分区的开始就被清空。随机数字产生器产生一个随机数字被用作为SK。可变长度的管理级系统密码通过管理员级用户AU被产生并保密,并且由密钥衍生函数来产生确定的、固定长度的管理系统密钥加密密钥SKEK0
SKEK0的bit位数依赖于的加密模块102的具体实施。例如,假设SK是128 bit 长,并且102使用AES块加密算法,则SKEK0的长度可以是128 bits。
SKEK0被加密模块102作为加密密钥来加密SK进而生成加密的管理员级用户系统密钥ESK0。系统密钥数据表管理器108在系统密钥数据表109的第0个用户条目中将ESK0和管理员系统ID SID0 113(一个唯一、公共识别字符串113)一同存储起来。UK是在低级格式化加密分区时SK被创建的同时被创建的。
3授权新的用户
在UK被初始化并且第0个(AU)用户条目被输入进用户密钥数据表格之后,就可以授权另外的用户是他们能够访问到存储在加密分区中的数据。这是通过为新的被授权用户增加新条目到用户密钥数据表格105中来实现的。
附图3描述了一个增加授权用户的示例系统。在本实施例中只有管理员级用户AU被允许来授权增加一个新的用户。
首先,用户密钥UK需要被恢复。使用管理员级用户ID UID0 112,加密的管理员级用户密钥EUK0被用户密钥表管理器104从用户密钥数据表格105中找回。管理员级用户密码114被输入到密钥衍生函数101中来形成管理员级用户密钥加密密钥UKEK0。解密模块使用UKEK0作为解密密钥来解密EUK0形成UK。
然后,被恢复的UK需要通过使用一个从新用户密码得到的用户密钥加密密钥来进行加密。新的用户密码UPi被输入进入密钥衍生函数101进而来形成一个用户密钥加密密钥UKEKi。加密模块使用UKEKi作为加密密钥来加密UK,进而形成加密用户密钥EUKi。用户密钥数据表格管理器104在更新的用户密钥数据表格107中的第i个用户条目中将EUKi和用户ID UIDi116(一个唯一的用户识别字符串116)一同存储起来。
4 授权新的计算机系统
增加的计算机系统可能同样被授权来获取访问在加密分区中的数据权限。这是通过为每个新授权的计算机系统增加系统密钥数据表格中的入口来实现的。
附图4描述了一个增加一个新的被授权计算机系统的示例系统。只有管理员级用户AU被允许授权新的计算机系统。
首先,需要获取系统密钥SK。使用管理系统ID SID0 113,通过系统密钥数据表格管理器108从系统密钥数据表格109中获得加密的管理系统密钥ESK0。将管理员级系统密码输入到密钥衍生函数101进而来形成管理员级系统密钥加密密钥SKEK0。解密模块103使用SKEK0作为解密密钥来解密ESK0进而来形成SK。
然后,被恢复的SK需要被新计算机系统系统签名所产生的加密密钥加密。系统签名SSi是从目前被授权的计算机系统的硬件和软件序列号中得到的。例如,系统签名120可以从操作系统的序列号和网络适配器MAC的地址中获得。
SSi被输入到密钥衍生函数进而形成系统密钥加密密钥SKEKi。加密模块102使用SKEKi作为加密密钥来加密SK,进而形成加密的系统密钥ESKi。系统密钥数据表格管理器108在更新的系统密钥数据表111中的第i个入口将ESKi和系统ID SIDi 119(一个唯一的识别计算机系统的字符串119)一同存储起来。
5 更改用户密码
附图5描述了改变目前已授权用户的密码的示例系统。只有目前已被授权的用户被允许改变用户密码。
首先,通过已授权用户的旧密码获得用户密钥UK。假设用户密钥数据表格105的第j个入口是需要改变密码的用户,利用用户密钥数据表格管理器104从用户密钥数据表格105中获得加密的用户密钥EUKj。输入用户密码UPj到密钥衍生函数101中来形成用户密钥加密密钥UKEKj。解密模块103使用UKEKj作为解密密钥来解密EUKj,进而产生UK。
然后,利用从新用户密码UPj中获得的加密密钥来加密恢复的UK。输入新的UP j到密钥衍生函数101中来形成一个新的UKEK j。加密模块102使用新的UKEK j作为加密密钥来加密UK,产生新的EUK j。用户密钥数据表格管理器104在更新的用户密钥数据表格107的第j个入口中将新的EUK j和用户ID UIDj一同存储起来。
6更改系统签名
附图6描述了改变之前已被授权计算机系统的系统签名的示例系统。只有管理员级用户AU拥有管理员级系统密码,因此只有管理员级用户AU可以更新之前已被授权计算机系统的系统签名。
首先,需要获得系统密钥SK。假设管理员系统ID (SID0)对应于系统密钥数据表格109中的第0个入口,系统密钥数据表格管理器108从系统密钥数据表格109获得加密的管理员级系统密钥ESK0。输入管理员系统密码115到密钥衍生函数101中来形成管理员级系统密钥加密密钥SKEK0。解密模块103使用SKEK0作为解密密钥来解密ESK0进而形成SK。
然后,通过使用从新的计算机系统系统签名中获得的加密密钥来加密恢复的SK。输入新系统签名SS j 120到密钥衍生函数101中来形成新的SKEK j,其中j表示系统将更新它的签名到对应的系统密钥数据表格109中的第j个入口。加密模块102使用新SKEK j作为加密密钥来加密SK,形成新的加密系统密钥ESK j。系统密钥数据表格管理器108在更新的系统密钥数据表111的第j个入口中将新ESK j和系统ID SIDj 119一同存储起来。
7 获得用户密钥和系统密钥
从或向加密分区读取和写入有效数据的需要具有主密钥MK。为了得到MK的信息,必需要首先获得UK和SK。UK只能通过之前已被授权的用户使用相应的用户密码得到。类似的,SK只能通过已授权的计算机系统使用相应的系统签名得到。
附图7描述了一个获得UK的示例系统。使用用户ID UIDj 116,通过用户密钥数据管理器104从用户密钥数据表格105中得到加密的用户密钥EUKj。输入用户密码UPj117到密钥衍生函数101中来形成用户密钥加密密钥UKEKj。解密模块103使用UKEKj作为解密密钥来解密EUKj进而形成用户密钥UK。
附图8描述了一个获得SK的示例系统。使用系统ID SIDj 119,通过系统密钥数据表格管理器108从系统密钥数据表格109中获得加密的系统密钥ESKj。输入系统签名SSj120到密钥衍生函数101中进而获得系统密钥加密密钥SKEKj。解密模块103使用SKEKj作为解密密钥来解密ESKj来形成系统密钥SK。
8 加密和解密用户数据
安全控制器123由上述加密模块EM 102,上述解密模块DM 103,上述随机数字产生器RNG 100,上述密钥衍生函数KDF 101,上述用户密钥数据表管理器UKDTM 104,上述用户密钥数据表格UKDT 105,上述系统密钥数据表管理器SKDTM 108,以及上述系统密钥数据表格SKDT 109组成。根据上述描述的过程,安全控制器可以生成并存储用户密钥UK和系统密钥SK,并进而生成MK(如上述知道MK是UK和SK的函数)。
附图9描述了一个使用MK对用户数据进行加密和解密的示例系统。用户输入到移动存储设备加密分区的明码用户数据通过主机通讯端口121送给加密引擎122。加密引擎122使用安全控制器123提供的MK作为加密密钥对明码用户数据进行加密,并将加密的用户数据写入到移动存储器加密分区126。
如果用户读取加密分区126中已存储的加密数据,则经过相反的过程:加密分区126将已加密的用户数据输入给解密引擎124,解密引擎124使用安全控制器123提供的MK作为解密密钥对已加密的用户数据进行解密,并将恢复的明码用户数据输入到主机通讯端口121进而传输到使用该移动存储设备的主机系统。

Claims (1)

1.一个移动存储设备,其包括一个主机通信端口,一个或者多个加密数据分区,一个或者多个非加密数据分区,一个加密引擎,一个解密引擎,以及一个能够同时认证被授权用户和被授权计算机系统的安全控制器,其中,所述主机通信端口使用USB3.0协议,所述的同时对被授权用户和被授权计算机系统的认证是基于用户ID和用户密码这样两个用户参数以及系统ID和系统签名这样两个系统参数的,并且用户ID是一个能够识别每一个用户的唯一的字符串,系统ID是识别每一个计算机系统的唯一的字符串,所述加密引擎使用一个加密密钥加密在所述加密数据分区中的数据,所述的解密引擎使用解密密钥解密在所述加密数据分区中的数据,所述的加密引擎和所述的解密引擎使用同样的主密钥MK作为密钥,所述的安全控制器包括一个加密模块EM,一个解密模块DM,一个随机数字产生器RNG,一个密钥衍生函数模块,一个用户密钥数据表模块管理器,一个用户密钥数据表模块,一个系统密钥数据表模块管理器,以及一个系统密钥数据表模块,利用所述的加密模块EM来增加/修改用户或者增加/修改计算机系统,利用所述解密模块DM来获取主密钥MK,该主密钥MK将被用于加密向加密分区中写入的数据以及解密从加密分区中读出的数据,所述的随机数字产生器RNG在存储设备进行低级格式化时产生一个新的用户密钥UK以及一个新的系统密钥SK,并且通过利用新的用户密钥UK和新的系统密钥SK来产生一个新的主密钥MK,所述密钥衍生函数模块将每一个用户密码转变为一个确定的固定长度的用户密钥加密密钥UKEK,所述密钥衍生函数模块将每一个系统签名转变为一个确定的固定长度的系统密钥加密密钥SKEK,在初始化时,所述加密模块EM使用新的用户密钥加密密钥UKEK作为加密密钥来加密用户密钥UK进而得到新的加密用户密钥EUK,所述加密模块EM使用新的系统密钥加密密钥SKEK作为加密密钥来加密系统密钥SK进而得到新的加密系统密钥ESK,所述用户密钥数据表模块管理器在用户密钥数据表模块中存储新的用户ID和新的加密用户密钥EUK,所述系统密钥数据表模块管理器在系统密钥数据表模块中存储新的系统ID和新的加密系统密钥ESK;在用户操作过程中所述用户密钥数据表模块管理器基于用户ID获取加密用户密钥EUK,在用户操作过程中所述系统密钥数据表模块管理器基于系统ID获取加密系统密钥ESK,在用户操作过程中所述解密模块DM使用用户密钥加密密钥UKEK作为密钥来解密所述加密用户密钥EUK,进而形成用户密钥UK,在用户操作过程中所述解密模块DM使用系统密钥加密密钥SKEK作为密钥来解密所述加密系统密钥ESK,进而形成系统密钥SK,其中在用户操作过程中安全控制器基于用户密钥UK和系统密钥SK来计算主密钥MK,并基于主密钥MK来实现数据的加密/解密。
CN201110184775.5A 2011-07-04 2011-07-04 基于同步用户和主机认证的加密可移动存储设备 Active CN102270182B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110184775.5A CN102270182B (zh) 2011-07-04 2011-07-04 基于同步用户和主机认证的加密可移动存储设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110184775.5A CN102270182B (zh) 2011-07-04 2011-07-04 基于同步用户和主机认证的加密可移动存储设备

Publications (2)

Publication Number Publication Date
CN102270182A CN102270182A (zh) 2011-12-07
CN102270182B true CN102270182B (zh) 2014-04-23

Family

ID=45052490

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110184775.5A Active CN102270182B (zh) 2011-07-04 2011-07-04 基于同步用户和主机认证的加密可移动存储设备

Country Status (1)

Country Link
CN (1) CN102270182B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391187B (zh) * 2012-05-09 2016-12-14 天津书生云科技有限公司 一种云存储安全控制的方法
CN107967432B (zh) * 2017-11-23 2020-10-16 爱国者安全科技(北京)有限公司 一种安全存储装置、系统及方法
CN111541550A (zh) * 2020-05-11 2020-08-14 卡瓦科尔牙科医疗器械(苏州)有限公司 一种牙科医疗信息系统的密钥生成方法
CN112486500B (zh) * 2020-11-03 2022-10-21 杭州云嘉云计算有限公司 一种系统授权部署方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1377497A (zh) * 1999-08-10 2002-10-30 富士通株式会社 存储插件
CN101103404A (zh) * 2005-01-13 2008-01-09 三星电子株式会社 在非安全区域中分配安全区域的方法和便携式存储装置
CN201698408U (zh) * 2010-06-23 2011-01-05 沈刚 通过rf射频感应方式隐藏或显示部分存储空间存储机构

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100487715C (zh) * 2007-01-12 2009-05-13 深圳兆日技术有限公司 一种数据安全存储系统和装置及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1377497A (zh) * 1999-08-10 2002-10-30 富士通株式会社 存储插件
CN101103404A (zh) * 2005-01-13 2008-01-09 三星电子株式会社 在非安全区域中分配安全区域的方法和便携式存储装置
CN201698408U (zh) * 2010-06-23 2011-01-05 沈刚 通过rf射频感应方式隐藏或显示部分存储空间存储机构

Also Published As

Publication number Publication date
CN102270182A (zh) 2011-12-07

Similar Documents

Publication Publication Date Title
CN101196855B (zh) 移动加密存储设备及密文存储区数据加解密处理方法
US8683232B2 (en) Secure user/host authentication
CN201181472Y (zh) 硬件密钥装置和移动存储系统
CN204595860U (zh) 一种存储设备加密桥接器
CN101350724B (zh) 一种基于生物特征信息的加密方法
CN101447870B (zh) 一种基于分布式口令技术的私钥安全存储方法
CN103580855B (zh) 一种基于共享技术的UsbKey密钥管理方法
CN103067170B (zh) 一种基于ext2文件系统的加密方法
CN106980794A (zh) 基于TrustZone的文件加解密方法、装置及终端设备
CN102567688B (zh) 一种安卓操作系统上的文件保密系统及其保密方法
CN101685425A (zh) 移动存储设备及实现移动存储设备加密的方法
CN105656621A (zh) 一种密码设备安全管理方法
CN102207999A (zh) 一种基于可信计算密码支撑平台的数据保护方法
CN102752109A (zh) 应用于数据库列加密的密钥管理方法和装置
CN102236756A (zh) 一种基于TCM可信密码模块和USBKey的文件加密方法
CN103378971A (zh) 一种数据加密系统及方法
CN102236607B (zh) 一种数据安全保护方法和数据安全保护装置
CN103544453A (zh) 一种基于usb key的虚拟桌面文件保护方法及装置
CN104333452A (zh) 一种对文件数据多账户加密的方法
TWI476629B (zh) Data security and security systems and methods
CN102270182B (zh) 基于同步用户和主机认证的加密可移动存储设备
CN107911221A (zh) 固态盘数据安全存储的密钥管理方法
CN102752112A (zh) 基于sm1/sm2算法的权限控制方法及装置
CN112787996B (zh) 一种密码设备管理方法及系统
CN103164661A (zh) 用于对终端中的数据进行管理的装置及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP02 Change in the address of a patent holder

Address after: Qilu Software Building No. 1768 Xinluo Avenue high tech Zone of Ji'nan City, Shandong province 250000 B A506

Patentee after: Jinan SuperSpeed Semiconductors Co., Ltd.

Address before: Ying Sau Road Ji'nan 250000 Shandong province high tech Zone No. 1237 ksun two digital room 607.608

Patentee before: Jinan SuperSpeed Semiconductors Co., Ltd.