CN103390125A - 用无线终端授权及加解密的安全移动存储控制器设计方法 - Google Patents
用无线终端授权及加解密的安全移动存储控制器设计方法 Download PDFInfo
- Publication number
- CN103390125A CN103390125A CN201310304229XA CN201310304229A CN103390125A CN 103390125 A CN103390125 A CN 103390125A CN 201310304229X A CN201310304229X A CN 201310304229XA CN 201310304229 A CN201310304229 A CN 201310304229A CN 103390125 A CN103390125 A CN 103390125A
- Authority
- CN
- China
- Prior art keywords
- memory controller
- safety moving
- file
- encryption
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及用无线终端授权及加解密的安全移动存储设计方法。它包含安全移动存储控制器(1)、无线授权终端(2)。其中,安全移动存储控制器(1)又包含:无线模块(1.1)、安全模块(1.2)、加解密模块(1.3)、存储控制模块(1.4)、电脑接口(1.5)、存储接口(1.6)、存储载体(4);无线授权终端(2)包含无线终端系统(2.1)和安全软件(2.2)。通过无线授权终端(2)上的安全软件(2.2),实现在电脑访问安全移动存储控制器(1)时的许可状态设定、文件名及目录的查找、显示、加解密、授权以及文件内容加解密,实现利用安全移动存储控制器(1)和无线授权终端(2)之间的数据及文件的备份和/或加密备份,实现安全移动存储控制器(1)反破解的文件自毁保护等9项新功能。
Description
技术领域
本发明涉及信息技术领域,具体涉及安全产品的细分领域,特别是涉及用无线终端认证终端授权及加解密的安全移动存储控制器设计方法。
背景技术
目前,以USB存储、SATA存储和各种存储卡为主流的移动存储设备已经非常普及。从技术层面看,无论是UBS存储还是SATA存储还是那些各种存储卡,它是一种Device端,而不是Host端。根据USB和SATA的标准定义,工作是由Host端主动发起, Device端之能够被动接收,Host端为主,Device端为从。虽然OTG技术支持没有Host时的USB Device之间应用,但是,终究没有改变U盘是被动的Device的现状——Device设备不能自己改变自己。从标准上看,USB3.0标准的传输速度已经达到了5Gbps,存储容量已经超过256G;SATA3.0标准速度已经达到6 Gbps,SATA单盘的容量已经达到3T;从产品层面上看,构成USB和SATA的控制器件已经高度集成化,目前的集成电路的SoC技术,已经实现了高度集成化,全部控制功能采用单芯片解决方案;从市场层面看,仅仅国内,U盘的年销售数量已经数以亿计,SATA移动硬盘的年销售量已经超过千万台数量级;从价格层面看,廉价的U盘价格仅为几十元,;廉价的SATA盘价格仅为几百元,从应用层面看,几乎涉及到了从个人到企事业单位、军队、政府的各个方面。然而,随着移动存储设备应用的普及和技术的发展,对于它的安全性要求,也逐渐越发重要,安全技术已经开始提上议事日程,并且已经有了很大的发展。
通过对现有技术的分析,发明人认为,在综合考虑到移动存储设备丢失、别人借用的情况下,现有技术仍然不够支撑。为了使得U盘更加安全,发明人提出的核心创新是“让Device可以改变自己——CMS:Change myself. ”,CMS技术可以使Device端能够改变自己,使得移动存储更加自主起来。本发明的CMS技术实现的方式是用无线授权终端授权认证及加解密的安全移动存储设计方法,本发明的目的是为了同时解决以下9个问题,产生新的安全功能:
1、无线授权终端(第三方设备)认证授权操控安全移动存储。
如果把移动存储本身称为第一方,所接入的访问电脑称为第二方,当主人把移动存储借给朋友的时候,电脑前坐的不是主人,主人不方便当着朋友的面在这台电脑上直接操作授权,最好是在另外一台设备(例如主人的手机)上进行授权操作,这就是所谓第三方设备——无线授权终端——完成访问授权控制。
无线授权终端能够识别并初始化安全移动存储、设定其安全状态(至少)、查询显示安全移动存储上的全部文件及目录、为安全移动存储进行访问授权、设定文件加密方式等。
2、未授权安全移动存储不可识别。
这种授权方式是安全移动存储接入电脑后,安全移动存储不被电脑识别,此时电脑无法对安全移动存储进行任何操作,此时,即便该安全移动存储丢失,不会造成文件泄露。
3、未授权文件隐藏及不可访问。
这种授权方式是安全移动存储插入电脑后,安全移动存储可以被电脑识别,电脑也可以往安全移动存储写入文件,但是此时安全移动存储中原先存在的文件和目录全部隐藏,电脑是无法查看得到。也就是说该安全移动存储接上电脑后,如果没有主人的授权,将无法看到或者复制安全移动存储中的任何文件,此时,即便该安全移动存储丢失,也不会造成文件泄露。
4、支持文件逐个/批量授权。
无线授权终端查询显示安全移动存储上的全部文件及目录,安全移动存储系统允许主人设置为所存储文件可以逐一或者批量授权访问,例如,哪些文件可以给别人看以及复制,哪些不可以让别人看以及复制。
5、支持文件分配表加密。
设定文件分配表加密是为了防止初级黑客的破解,设定多种加密方式,让黑客难以破解和找到文件分配表。
6、访问授权控制本身具有高强度安全性和保密能力。
访问授权控制本身采用高强度保密,高抗破解,保密可以与无线授权终端的特性相关联,可以设置访问密码,可以设置相关加解密算法。
7、支持文件以加密方式存储。
对于特别需要保密的文件,可以采用加密存储,这样,即便别人攻破了访问认证授权控制这一关,或者拆解下安全移动存储的存储芯片,找到的文件,没有密钥也是无法解密的。采用规范的加解密方式,让文件加密存储,这是为了防止终极黑客的破解,加密算法有多种可供选择。
8、支持文件自毁保护。
当安全移动存储落入到别人手里,当他采用暴力穷举法破解密码时,试探密码达到一定的次数后,系统就启动自毁程序,彻底破坏安全移动存储中的文件。
9、支持安全移动存储与无线授权终端之间文件复制。
当主人需要是,可以将无线授权终端(如手机)中存储的文件及数据通过无线传送,复制到安全移动存储中,同时还可以选择加密,也可以从安全移动存储中将文件及数据复制到无线终端并且解密。
发明内容
本发明的目的在于克服上述不足,提供用无线终端授权认证及加解密的安全移动存储控制器设计方法,实现包含但不限于以下9种主要功能:1、无线授权终端(第三方设备)认证授权操控安全移动存储;2、未授权安全移动存储不可识别;3、未授权文件隐藏及不可访问;4、支持文件逐个/批量授权;5、支持文件分配表加密;6、访问授权控制本身具有高强度安全性和保密能力;7、支持文件以加密方式存储;8、支持文件自毁保护;9、支持安全移动存储与无线授权终端之间文件复制。
本发明的目的是这样实现的:一种用无线终端授权认证及加解密的安全移动存储控制器设计方法,由安全移动存储控制器和无线授权终端构成,其中,安全移动存储控制器中包含无线模块、安全模块、加解密模块、存储控制模块、电脑接口和存储接口,所述无线授权终端中包含无线终端系统和安全软件。存储载体作为本发明安全移动存储控制器的外接部分。
所述电脑接口支持USB标准和/或SATA标准,作为USB标准,它支持USB1.1、USB2.0、USB3.0,对于未来技术发展,它还将支持未来的相关标准,同时,还可以支持OTG标准;作为SATA标准,它支持SATA1.0、SATA2.0、SATA3.0,对于未来技术发展,它还将支持未来的相关标准,同时,还可以支持OTG标准。
所述存储接口支持SD、miniSD、microSD、T-Flash、SDHC、SDXC、MMC、记忆棒、MS PRO、MS Duo、MS PRO Duo、MS Micro(M2)、Compact Vault、PCIe闪存、CF、XD、SM标准的存储卡,还支持U盘和移动硬盘。
所述安全软件包含安全软件总控模块、无线通信模块、系统初始化模块、文件名及目录模块、文件加解密模块、文件数据上下载模块、系统维护模块和文件自毁及其它模块,通过安全软件的操作管理,使得无线终端系统与无线模块通信,产生安全控制信息流,管理和控制安全模块驱动控制存储控制模块,实现对于安全移动存储控制器所连接的存储载体中文件的安全控制功能。
所述安全控制功能,包含但不限于对于存储载体中文件的内容、文件名及目录实现查询、显示、修改、加解密,还包含对文件的授权,也就是说在访问电脑透过安全移动存储控制器访问存储载体时,安全软件能够对于文件的文件名和目录进行允许访问和禁止访问;允许访问时,可以在访问电脑上看见并复制出来该文件,也可以从访问电脑复制文件进入存储载体;禁止访问时,该文件在访问电脑上无法看见,更无法复制。
所述安全控制功能,包含但不限于对于存储载体中的文件、文件名及目录的加密解密,当文件从访问电脑复制进入安全移动存储控制器时,在无线授权终端上设置加密,所述安全软件就向安全模块发出加密指令,由安全模块向存储控制模块取得复制进来的文件内容、文件名和目录,送入加解密模块,完成加密工作,再送入存储控制模块,存储到存储载体中,完成加密工作;当存储载体中的某个已经加密的文件经过认证,可以向访问电脑开放时,安全模块向存储控制模块取得该文件内容、文件名和目录,经由加解密模块解密后在经过存储控制模块及电脑接口送出,进入访问电脑,完成解密工作;也包含对于已经存储在存储载体中的文件内容进行加密和解密,加解密之后,文件仍然存储在存储载体中;
所述加解密模块,在实现方式上,它既可以是一种软件,也可以是一种硬件电路,也可以是集成电路的IP核;在结构上,它可以作为一种功能模块,组合到安全模块之中,也可以独立于安全模块之外;在加解密算法上,它包含但不限于DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3、SM4在内的加解密算法;在功能上,它包含对于存入或者取出存储载体中文件内容、文件名及目录的加解密,也包含对于已经存在存储载体中的文件内容进行加解密。
对于存储载体中的文件允许访问授权时,可以是逐个授权,也可以是某几个同时授权,也可以是全部授权。
所述安全移动存储控制器可以由安全软件对其设定为默认禁止访问,在安全移动存储控制器接入访问电脑以后,在未经所述无线授权终端授权的情况下,安全移动存储控制器不被访问电脑识别。
所述安全移动存储控制器可以由安全软件对其设定为默认空盘,在安全移动存储控制器接入访问电脑以后,在未经所述无线授权终端授权的情况下,安全移动存储控制器被访问电脑识别为空盘,原先存储在其中的文件均无法被访问电脑发现。
所述安全移动存储控制器可以由安全软件对其设定为默认完全开放,在安全移动存储控制器接入访问电脑以后,访问电脑可以访问安全移动存储控制器所连接的存储载体中全部文件。
在未经无线授权终端授权的情况下,安全移动存储将以默认状态一直保持下去,直到无线授权终端有授权时,才改变安全移动存储访问状态。
所述安全移动存储控制器和无线授权终端之间,在安全软件的控制下,可以进行文件相互复制。
所述安全移动存储控制器具有反破解文件自毁功能,所述反破解文件自毁功能,是在非授权状态下,无论是访问电脑还是安全软件,当试探访问密码的次数超过设定值时,安全模块将驱动存储控制模块销毁储在存储载体中文件的文件名、目录及内容。
所述安全移动存储控制器具有定时文件自毁功能,所述定时文件自毁功能,是指安全软件设定安全移动存储控制器在一定时间内文件可以访问,超过时间限制,安全模块将驱动存储控制模块销毁储在存储载体中文件的文件名、目录及内容。
所述安全模块驱动存储控制模块使得存储载体中的文件分配表采用加密隐藏方式。
在这里,需要特别说明的是,由于集成电路SoC技术的发展,安全模块、存储控制模块和加解密模块通常可以设计在一个芯片上,成为一个物理上的电路及逻辑模块,也可以任意组合及分开,这种方法同样都包含在本发明之中。
所述无线终端系统包含但不限于智能手机、带有无线通信功能的平板电脑PDA、iPad、智能终端,也包含其它带有无线功能和微处理器的无线设备。所述安全移动存储包含但不限于U盘、U盾、USB-Key、读卡器、移动硬盘。
如上所述,与现有技术相比,本发明实现了发明目的,具有一下改进效果:
1、无线授权终端(第三方设备)认证授权操控安全移动存储。
如果把安全移动存储本身称为第一方,所接入的访问电脑称为第二方,当主人把安全移动存储借给朋友的时候,电脑前坐的不是主人,主人不方便当着朋友的面在这台电脑上直接操作授权,最好是在另外一台设备(例如主人的手机)上进行授权操作,这就是所谓第三方设备——无线授权终端——完成访问授权控制。
无线授权终端能够识别并初始化安全移动存储、设定其安全状态(至少)、查询显示安全移动存储上的全部文件及目录、为安全移动存储进行访问授权、设定文件加密方式等。
2、未授权移动存储不可识别。
这种授权方式是U盘插入电脑后,安全移动存储不被电脑识别,此时电脑无法对安全移动存储进行任何操作,此时,即便该安全移动存储丢失,不会造成文件泄露。
3、未授权文件隐藏及不可访问。
这种授权方式是安全移动存储插入电脑后,安全移动存储可以被电脑识别,电脑也可以往安全移动存储写入文件,但是此时安全移动存储中原先存在的文件和目录全部隐藏,电脑是无法查看得到。也就是说该安全移动存储接上电脑后,如果没有主人的授权,将无法看到或者复制安全移动存储中的任何文件,此时,即便该U盘丢失,也不会造成文件泄露。
4、支持文件逐个/批量授权。
无线授权终端查询显示安全移动存储上的全部文件及目录,安全移动存储系统允许主人设置为所存储文件可以逐一或者批量授权访问,例如,哪些文件可以给别人看以及复制,哪些不可以让别人看以及复制。
5、支持文件分配表加密。
设定文件分配表加密是为了防止初级黑客的破解,设定多种加密方式,让黑客难以破解和找到文件分配表。
6、访问授权控制本身具有高强度安全性和保密能力。
访问授权控制本身采用高强度保密,高抗破解,保密可以与无线授权终端的特性相关联,可以设置访问密码,可以设置相关加解密算法。
7、支持文件以加密方式存储。
对于特别需要保密的文件,可以采用加密存储,这样,即便别人攻破了访问认证授权控制这一关,或者拆解下安全移动存储的存储芯片,找到的文件,没有密钥也是无法解密的。采用规范的加解密方式,让文件加密存储,这是为了防止终极黑客的破解,加密算法有多种可供选择。
8、支持文件自毁保护。
当安全移动存储落入到别人手里,当他采用暴力穷举法破解密码时,试探密码达到一定的次数后,系统就启动自毁程序,彻底破坏安全移动存储中的文件。
9、支持U盘与无线授权终端之间文件复制。
当主人需要是,可以将无线授权终端(如手机)中存储的文件及数据通过无线传送,复制到安全移动存储中,同时还可以选择加密,也可以从安全移动存储中将文件及数据复制到无线终端并且解密。
附图说明
图1是本发明的系统模块图。
图2是本发明中安全移动存储控制器中的软件流程图。
图3是本发明中安全软件的模块结构图。
图4是本发明中安全软件的软件流程图。
其中:
安全移动存储控制器1
无线模块1.1
安全模块1.2
加解密模块1.3
存储控制模块1.4
电脑接口1.5
存储接口1.6
无线授权终端2
无线终端系统2.1
安全软件2.2
安全软件总控模块2.2.1
无线通信模块2.2.2
系统初始化模块2.2.3
文件名及目录模块2.2.4
文件加解密模块2.2.5
文件数据上下载模块2.2.6
系统维护模块2.2.7
文件自毁其它模块2.2.8
访问电脑3
存储载体4
安全控制信息流5。
具体实施方式
参见图1,本发明用无线终端授权认证及加解密的安全移动存储控制器设计方法由两个部分构成,第一是安全移动存储控制器1,第二是无线授权终端2。如果把安全移动存储控制器当成第一方,访问电脑3当成第二方,那么,无线授权终端作为第三方设备,本发明的基本思路是,引入第三方设备——无线授权终端——来认证授权电脑对于安全移动存储控制器的访问,以及安全移动存储控制器在读出文件时文件的加解密功能和其它安全功能。此时,对于安全移动存储控制器的主人而言,既免去跟借用安全移动存储控制器的朋友直接面对同一台电脑操作的尴尬和不便,又不担心由于丢失安全移动存储控制器所造成的文件泄密,还可以全部满足上述9项发明目的,充分提高安全移动存储控制器的安全性能。
所述安全移动存储控制器1包含无线模块1.1、安全模块1.2、加解密模块1.3、存储控制模块1.4,电脑接口 1.5和存储接口1.6。在无线授权终端2上,设计有无线终端系统2.1和安全软件2.2,安全软件2.2运行在无线终端系统2.1上。通过无线授权终端2与安全移动存储1的无线通信,全部安全认证授权和加解密工作,都在安全软件2.2上操作运行。
具体各个模块的定义及工作原理如下:
1、无线模块1.1是用于和无线授权终端2通信的硬件电路和系统,它必须与无线授权终端2上的无线通信部分的技术相匹配,既可以是无线电方式,如WiFi、Bluetooth、UWB、ZigBee,以及未来发展的其它技术标准,也可以是光传输方式,如红外、IrDA等,还可以是声传输方式等。
2、安全模块1.2是设置在安全移动存储1中用于完成安全管理和控制的功能模块,它既可以是一种独立的硬件电路,也可以是一种软件。它至少包含文件的文件分配表管理、加密解密管理控制,包含文件名和文件目录加密解密管理控制,包含文件名和文件目录的定位管理,包含无线授权终端2和安全移动存储1之间文件和数据复制和加解密管理等功能;
3、加解密模块1.3是设置在安全移动存储1中用于完成对于文件、数据加密和解密的功能模块,也可以对文件名和目录进行加解密。它既可以是一种独立的硬件电路(例如专用算法的加解密芯片及电路组合),也可以是一种软件。加密算法包含但不限于DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3、SM4等算法,也可以是未来发展的新算法。加解密模块1.3接受安全模块1.2控制和管理,它从存储控制模块1.4取得数据,进行加解密,再送回存储控制模块1.4,或送出电脑接口 1.5,或送进存储载体4;
4、安全模块1.2和存储控制模块1.4具备文件名及目录认证授权功能,用于对于存储在存储载体4上文件名及目录进行认证授权管理操作的模块,它根据文件管理标准执行,这些标准包含但不限于FAT12、FAT16、FAT32、NTFS、Linux native、Linux swap以及以后技术发展的新标准等。本发明定义文件及目录非授权,就是在访问电脑3访问安全移动存储控制器1时,找不到文件名和目录,而授权,就是在访问电脑3上可以看见该文件及目录,并且可以访问该文件及目录。实现的方法是针对存储载体4上文件分配表进行操作,为了以下叙述方便,我们定义如下:
F1:根据计算机文件管理(如FAT12、FAT16、FAT32、NTFS、Linux native、Linux swap以及以后技术发展的新标准等)标准,存储载体4中的系统定义的文件分配表,定义它为T1;
T1:根据计算机文件管理标准,定义存储该文件分配表的区域为T1;
F2:将F1复制、和/或者加密复制成另外一份文件分配表,定义为F2;
T2:存储F2的区域,定义为T2。
当安全移动存储控制器1接入访问电脑3时,安全移动存储控制器1开始初始化工作,至少包含对于文件分配表的处理,为了实现安全移动存储控制器1在未经授权的情况下隐藏全部文件,这里是采用以下方法及流程:
A、复制F1到存储载体4的某一特定的区域T2,成为F2,在此过程中,根据需要,可以选择加密存储;
B、对于T1中的F1,进行置空处理,清空全部文件名和目录;
C、保留F1中全部文件所占用的存储空间,将它标记为不可访问。
授权时,通过安全软件2.2的操作,假定对于一个或者多个文件授予访问许可时,其方法及流程如下:
A、在T2区域,在F2中,找出授权文件的文件分配表;
B、如果F2被加密,则将其解密;
C、将该文件分配表F2恢复到T1中的相应位置。
为了防止安全移动存储控制器1在做上述操作时,访问电脑3的对于安全移动存储控制器1的访问冲突,安全移动存储控制器1此时将禁止电脑端口1.5通信,上述操作完成后,再开放电脑端口1.5通信;
根据安全模块1.2、加解密模块1.3的工作原理,从模块划分上,既可以分成这两个模块,也可以组合成一个模块;
5、电脑端口1.5是用于连接存储控制模块1.4和访问电脑3的物理层模块,它可以是USB接口,从USB技术标准上,它支持USB1.1、USB2.0、USB3.0,对于未来技术发展,它还将支持未来的相关标准,同时,还可以支持OTG标准;它也可以是SATA接口,从SATA技术标准上,它支持SATA1.0、SATA2.0、SATA3.0,对于未来技术发展,它还将支持未来的相关标准,同时,还可以支持OTG标准;从结构上,它既可以与本系统其它模块设计到一起的SoC芯片,也可以是独立的接口芯片;
6、存储控制模块1.4是安全移动存储控制器1中用于控制、管理的模块,它既可以是目前市场上所用的U盘/SATA盘控制模块芯片,也可以是特殊设计的专用电路和/或芯片,它的特征是除了做常规管理控制工作之外,还必须包含以下功能:
A、能够引出从访问电脑3传输到存储载体4中的数据到安全模块1.2和加解密模块1.3,并接受他们的管理;
B、能够引出从存储载体4传输到访问电脑3的数据到安全模块1.2和加解密模块1.3,并接受他们的管理;
7、存储载体4支持存储卡包含并不限于SD、miniSD、microSD、T-Flash、SDHC、SDXC、MMC、记忆棒、MS PRO、MS Duo、MS PRO Duo、MS Micro(M2)、Compact Vault、PCIe闪存、CF、XD、SM,还支持U盘和移动硬盘;
8、无线终端系统2.1是用于作为第三方管理认证的设备,它可以是通用的智能手机、带有无线通信功能的PDA、iPad、平板电脑,可以是其它带有无线功能和微处理器的无线设备,也可以是专用的无线智能终端设备;
9、安全软件2.2是运行在无线终端系统2.1上的一种专门为本系统开发的软件,如图3所示,它包含但不限于安全软件总控模块2.2.1、无线通信模块2.2.2、系统初始化模块2.2.3、文件名及目录模块2.2.4、文件加解密模块2.2.5、文件数据上下载模块2.2.6、系统维护模块2.2.7、文件自毁其它模块2.2.8。各模块功能描述如下:
9.1、安全软件总控模块2.2.1主要是负责整个安全软件2.2的总的管理和控制;
9.2、无线通信模块2.2.2主要负责与安全移动存储控制器1进行无线通信,具体是与安全移动存储控制器1中无线模块1.1进行通信,它需要与无线模块1.1的技术标准相匹配,既可以是无线电方式,如WiFi、Bluetooth、UWB、ZigBee,以及未来发展的其它技术标准,也可以是光传输方式,如红外、IrDA等,还可以是声传输方式等;
9.3、系统初始化模块2.2.3主要负责对于无线终端系统2.1和/或安全移动存储控制器1进行初始化工作,其中,还包含对于安全移动存储控制器1的安全性进行设置,例如,安全移动存储控制器1的初始默认状态设置为禁止访问状态、空盘状态、全开放状态等,是否对于文件名、目录名进行加密,是否对于存储文件进行加密,存储载体格式化、存储载体分区等工作;
9.4、文件名及目录模块2.2.4主要负责对于安全移动存储控制器1中所存储的文件的文件名和目录名进行认证授权的工作,包含但不限于对于安全移动存储控制器1中所存储的文件的文件名和目录名的探测、查找、隐藏、显示、加密、解密、授权,以及在无线终端系统2.1上进行显示等工作。系统在默认的情况下,安全移动存储控制器1中的全部文件均为非授权状态,此时的访问电脑3将无法访问到安全移动存储控制器1上的任何文件和目录,根据需要,安全移动存储控制器1的主人,还可以选择对安全移动存储控制器1上的全部文件名和目录名进行加密和解密,加密方法包含但不限于DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3算法;
9.5、文件加解密模块2.2.5主要负责对于安全移动存储控制器1中所存储的文件的加密和解密,该加密包含但不限于在文件从外界复制进入安全移动存储控制器1时的加密、文件及数据从无线认证终端2复制进入安全移动存储控制器1时加密、已经存储在安全移动存储控制器1中的文件的加密等;解密包含但不限于从安全移动存储控制器1复制出文件到访问电脑3时的解密、文件及数据从安全移动存储控制器1复制到无线认证终端时的解密、已经存储在安全移动存储控制器1中的文件的解密等;
9.6、文件数据上下载模块2.2.6主要负责安全移动存储控制器1与无线认证终端2之间的文件复制与传送;
9.7、系统维护模块2.2.7主要负责安全软件2.2本身的维护、安全移动存储控制器1的维护,还包括误操作后文件及数据的恢复工作;
9.8、文件自毁及其它模块2.2.8主要负责其它功能的工作。
本发明的安全移动存储控制器1的工作原理和流程如图2所示:
1、安全移动存储控制器1插入电脑后,系统上电,进入安全移动存储控制器1初始化工作;
2、关闭电脑接口通信,切断安全移动存储控制器1与访问电脑3的逻辑通信,使得访问电脑3访问不到安全移动存储控制器1——这就是所述禁止访问状态;
3、进入意外中断处理。在意外中断处理过程中,主要是解决在上一次安全移动存储控制器1接入访问电脑3时,当安全移动存储控制器1正在进行处理事务的过程中,用户从访问电脑3上拔下安全移动存储控制器1,从而造成事务处理尚未完成而造成的混乱。
4、执行文件保护,该步流程主要是检查安全移动存储控制器1的文件分配表是否置空?如果没有置空,则进行置空处理,如果已经置空,则进入下一步。
5、开放电脑接口通信,使得安全移动存储控制器1作为电脑接口的设备端,连接上访问电脑3——这就是所述默认空盘状态。
6、寻找并配对无线认证终端,该步流程主要是实现安全移动存储控制器1与无线认证终端2的连接并且完成认证工作,如果认证不成功,则继续查找并且认证,如果认证通过,则将安全移动存储控制器1中存储的文件及其目录发送到无线认证终端2上,并且准备接收授权、加解密等指令。
7、无线认证终端2上,用户使用安全软件2.2,通过无线终端系统2.1,向安全移动存储控制器1发出授权访问的文件清单,安全移动存储控制器1接收这个清单。
8、关闭电脑接口通信、恢复授权文件及目录文件分配表,该步流程主要是关闭安全移动存储控制器1中电脑接口1.5与访问电脑3的通信,再在根据T2中F2中找出授权文件及其目录的数据,如果该数据被加密,则完成解密,如果没有加密,则直接将其复制到T1中的F1所在的位置。
9、判断授权文件是否被加密,如果被加密,则解密该文件,如果没有加密,则进入下一步。
10、开放电脑接口通信,允许访问电脑3访问该被授权的文件。
11、继续查找无线认证终端2是否有新的指令,如果没有,则继续循环查找,如果有新指令,则跳转到下一个循环体的起始端。
本发明的安全软件2.2的工作流程如图4所示:
1、在无线认证终端2上,启动安全软件2.2。
2、系统初始化。
3、找到安全移动存储控制器1,这里所谓“找到”就是安全软件2.2能够识别的安全移动存储控制器1,包含无线通信的标准、机制配对。
4、物理层认证,所谓物理层认证就是无线认证终端2与安全移动存储控制器1实现ID码的认证识别,如果无线认证终端是手机,那么包含手机号和/或手机ID码与安全移动存储控制器1的配对和认证。
5、输入授权认证密码,通过,则进入下一步,否则循环输入,根据系统设置,循环试探密码达到设定的次数,系统将通知安全移动存储控制器1销毁全部文件。
6、这一步包含:
6.1、设定安全移动存储控制器1安全状态,至少包含:禁止访问状态、默认空盘状态、全部开放状态等,还包含安全移动存储控制器1的分区类型、分区大小、T2区存放的位置、多次试探密码时否执行文件自毁以及触发文件自毁的试探密码次数等。
6.2、文件名及目录加解密,包含文件名加密及密码、目录名加密及密码等。
6.3、复制进入安全移动存储控制器1的文件加解密,包含文件加密方式及其密码。
6.4、无线认证终端与安全移动存储控制器1之间文件的加解密传送。
7、下载指令到安全移动存储控制器1执行。
8、查询新指令,有则跳转到循环体的头部,进入下一轮循环,无,则继续查询。
Claims (22)
1.一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于:该方法由安全移动存储控制器(1)和无线授权终端(2)构成,其中,安全移动存储控制器(1)中包含无线模块(1.1)、安全模块(1.2)、加解密模块(1.3)、存储控制模块(1.4)、电脑接口(1.5)和存储接口(1.6),所述无线授权终端(2)中包含无线终端系统(2.1)和安全软件(2.2)。
2.根据权利要求1所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,包含外接存储载体(4);所述存储接口(1.6),支持SD、miniSD、microSD、T-Flash、SDHC、SDXC、MMC、记忆棒、MS PRO、MS Duo、MS PRO Duo、MS Micro(M2)、Compact Vault、PCIe闪存、CF、XD、SM标准的存储卡,还支持U盘和移动硬盘。
3.根据权利要求1或2所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全软件(2.2)包含安全软件总控模块(2.2.1)、无线通信模块(2.2.2)、系统初始化模块(2.2.3)、文件名及目录模块(2.2.4)、文件加解密模块(2.2.5)、文件数据上下载模块(2.2.6)、系统维护模块(2.2.7)和文件自毁及其它模块(2.2.8),通过安全软件(2.2)的操作管理,使得无线终端系统(2.1)与无线模块(1.1)通信,产生安全控制信息流(5),管理和控制安全模块(1.2),驱动存储控制模块(1.4),实现对于安全移动存储控制器(1)所连接的存储载体(4)中文件的安全控制功能。
4.根据权利要求3所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全控制功能,包含对于存储载体(4)中文件的内容、文件名及目录实现查询、显示、修改、加解密,还包含对文件的授权,也就是说在访问电脑(3)透过安全移动存储控制器(1)访问存储载体(4)时,安全软件(2.2)能够对于文件的文件名和目录能够进行允许访问和禁止访问;允许访问时,可以在访问电脑(3)上看见并复制出来该文件,也可以从访问电脑(3)复制文件进入存储载体(4);禁止访问时,该文件在访问电脑(3)上无法看见,更无法复制。
5.根据权利要求1或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述加解密模块(1.3),在实现方式上,它既可以是一种软件,也可以是一种硬件电路,也可以是集成电路的IP核;在结构上,它可以作为一种功能模块,组合到安全模块(1.2)之中,也可以独立于安全模块(1.2)之外;在加解密算法上,它包含DES、3DES、AES、AC4、RSA、DSA、ECC、DM5、SHA、SM1、SM2、SM3、SM4的加解密算法;在功能上,它包含对于存入或者取出存储载体(4)中文件内容、文件名及目录的加解密,也包含对于已经存在存储载体(4)中的文件内容进行加解密。
6.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,对于存储载体(4)中的文件允许访问授权时,可以是逐个授权,也可以是某几个同时授权,也可以是全部授权。
7.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,对于存储载体(4)中的文件允许访问授权时,可以是逐个授权,也可以是某几个同时授权,也可以是全部授权。
8.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)可以由安全软件对其设定为默认禁止访问,在安全移动存储控制器(1)接入访问电脑(3)以后,在未经所述无线授权终端(2)授权的情况下,安全移动存储控制器(1)不被访问电脑(3)识别。
9.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)可以由安全软件在对其设定为默认禁止访问,在安全移动存储控制器(1)接入访问电脑(3)以后,在未经所述无线授权终端(2)授权的情况下,安全移动存储控制器(1)不被访问电脑(3)识别。
10.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)可以由安全软件(2.2)对其设定为默认空盘,在安全移动存储控制器(1)接入访问电脑(3)以后,在未经所述无线授权终端(2)授权的情况下,安全移动存储控制器(1)被访问电脑(3)识别为空盘,原先存储在其中的文件均无法被访问电脑发现。
11.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)可以由安全软件(2.2)对其设定为默认空盘,在安全移动存储控制器(1)接入访问电脑(3)以后,在未经所述无线授权终端(2)授权的情况下,安全移动存储控制器(1)被访问电脑(3)识别为空盘,原先存储在其中的文件均无法被访问电脑发现。
12.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)和无线授权终端(2)之间,在安全软件(2.2)的控制下,可以进行文件相互复制。
13.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)和无线授权终端(2)之间,在安全软件(2.2)的控制下,可以进行文件相互复制。
14.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)具有反破解文件自毁功能,所述反破解文件自毁功能,是在非授权状态下,无论是访问电脑(3)还是安全软件(2.2),当试探访问密码的次数超过设定值时,安全模块(1.2)将驱动存储控制模块(1.4)销毁储在存储载体(4)中文件的文件名、目录及内容。
15.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)具有反破解文件自毁功能,所述反破解文件自毁功能,是在非授权状态下,无论是访问电脑(3)还是安全软件(2.2),当试探访问密码的次数超过设定值时,安全模块(1.2)将驱动存储控制模块(1.4)销毁储在存储载体(4)中文件的文件名、目录及内容。
16.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)具有定时文件自毁功能,所述定时文件自毁功能,是指安全软件(2.2)设定安全移动存储控制器(1)在一定时间内文件可以访问,超过时间限制,安全模块(1.2)将驱动存储控制模块(1.4)销毁储在存储载体(4)中文件的文件名、目录及内容。
17.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全移动存储控制器(1)具有定时文件自毁功能,所述定时文件自毁功能,是指安全软件(2.2)设定安全移动存储控制器(1)在一定时间内文件可以访问,超过时间限制,安全模块(1.2)将驱动存储控制模块(1.4)销毁储在存储载体(4)中文件的文件名、目录及内容。
18.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全模块(1.2)驱动存储控制模块(1.4)使得存储载体(4)中的文件分配表采用加密隐藏方式存储。
19.根据权利要求5所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述安全模块(1.2)驱动存储控制模块(1.4)使得存储载体(4)中的文件分配表采用加密隐藏方式存储。
20.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述电脑接口(1.5)包含USB标准和SATA标准,对于USB标准支持包含USB1.1、USB2.0、USB3.0、OTG以及以后新的USB标准,对于SATA标准支持包含SATA1、SATA2、SATA3、SATA4、OTG以及以后新的SATA标准。
21.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,所述无线模块(1.1)的技术包含WiFi、Bluetooth、UWB、ZigBee、IrDA,此外还可以是光传输方式,还可以是声传输方式。
22.根据权利要求1或2或3或4所述一种用无线终端授权及加解密的安全移动存储控制器设计方法,其特征在于,其特征在于,所述无线终端(2.1)包含智能手机、带有无线通信功能的平板电脑PDA、iPad、智能终端,也包含其它带有无线功能和微处理器的无线设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310304229.XA CN103390125B (zh) | 2013-07-19 | 2013-07-19 | 用无线终端授权及加解密的安全移动存储控制器设计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310304229.XA CN103390125B (zh) | 2013-07-19 | 2013-07-19 | 用无线终端授权及加解密的安全移动存储控制器设计方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103390125A true CN103390125A (zh) | 2013-11-13 |
CN103390125B CN103390125B (zh) | 2016-01-06 |
Family
ID=49534394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310304229.XA Active CN103390125B (zh) | 2013-07-19 | 2013-07-19 | 用无线终端授权及加解密的安全移动存储控制器设计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103390125B (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103632081A (zh) * | 2013-11-15 | 2014-03-12 | 深圳市江波龙电子有限公司 | 加密存储设备及其认证系统、认证方法 |
CN103729310A (zh) * | 2014-01-14 | 2014-04-16 | 北京深思数盾科技有限公司 | 一种硬盘数据的保护方法 |
CN104200137A (zh) * | 2014-09-04 | 2014-12-10 | 成都卫士通信息产业股份有限公司 | 一种保护java程序自身安全的方法 |
CN105632533A (zh) * | 2014-11-07 | 2016-06-01 | 天津春子郡科技发展有限公司 | 一种具有安全加密功能的便携存储设备 |
CN105868820A (zh) * | 2015-12-15 | 2016-08-17 | 乐视移动智能信息技术(北京)有限公司 | U盘设备识别方法、装置及移动设备 |
CN106203182A (zh) * | 2016-06-23 | 2016-12-07 | 努比亚技术有限公司 | 存储数据的装置及方法 |
CN106295373A (zh) * | 2016-08-23 | 2017-01-04 | 记忆科技(深圳)有限公司 | 一种基于m‑phy接口实现的数据传输加密装置 |
CN106330950A (zh) * | 2016-09-17 | 2017-01-11 | 上海林果实业股份有限公司 | 加密信息的访问方法、系统及适配器 |
CN108171077A (zh) * | 2017-12-26 | 2018-06-15 | 上海展扬通信技术有限公司 | 一种文件夹的处理方法及相关设备 |
CN109196509A (zh) * | 2016-06-03 | 2019-01-11 | 霍尼韦尔国际公司 | 用于防止由受保护系统的节点进行的文件访问的装置和方法 |
CN110929302A (zh) * | 2019-10-31 | 2020-03-27 | 东南大学 | 一种数据安全加密存储方法及存储装置 |
CN111639326A (zh) * | 2019-03-01 | 2020-09-08 | 上海擎感智能科技有限公司 | 移动存储设备的管理方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101308700A (zh) * | 2008-06-16 | 2008-11-19 | 南京金标尺软件有限公司 | 防泄密u盘 |
CN201812500U (zh) * | 2010-10-18 | 2011-04-27 | 刘勇 | 移动存储设备 |
CN102201137A (zh) * | 2011-05-04 | 2011-09-28 | 北京趋势恒信科技有限公司 | 网络安全终端以及基于该终端的交互系统和交互方法 |
US20110307724A1 (en) * | 2008-05-23 | 2011-12-15 | Norman Shaw | Secure storage device |
CN102609366A (zh) * | 2012-02-07 | 2012-07-25 | 北京安天电子设备有限公司 | 一种移动存储设备无线定位控制的系统及方法 |
-
2013
- 2013-07-19 CN CN201310304229.XA patent/CN103390125B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110307724A1 (en) * | 2008-05-23 | 2011-12-15 | Norman Shaw | Secure storage device |
CN101308700A (zh) * | 2008-06-16 | 2008-11-19 | 南京金标尺软件有限公司 | 防泄密u盘 |
CN201812500U (zh) * | 2010-10-18 | 2011-04-27 | 刘勇 | 移动存储设备 |
CN102201137A (zh) * | 2011-05-04 | 2011-09-28 | 北京趋势恒信科技有限公司 | 网络安全终端以及基于该终端的交互系统和交互方法 |
CN102609366A (zh) * | 2012-02-07 | 2012-07-25 | 北京安天电子设备有限公司 | 一种移动存储设备无线定位控制的系统及方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103632081A (zh) * | 2013-11-15 | 2014-03-12 | 深圳市江波龙电子有限公司 | 加密存储设备及其认证系统、认证方法 |
CN103729310A (zh) * | 2014-01-14 | 2014-04-16 | 北京深思数盾科技有限公司 | 一种硬盘数据的保护方法 |
CN104200137A (zh) * | 2014-09-04 | 2014-12-10 | 成都卫士通信息产业股份有限公司 | 一种保护java程序自身安全的方法 |
CN105632533A (zh) * | 2014-11-07 | 2016-06-01 | 天津春子郡科技发展有限公司 | 一种具有安全加密功能的便携存储设备 |
CN105868820A (zh) * | 2015-12-15 | 2016-08-17 | 乐视移动智能信息技术(北京)有限公司 | U盘设备识别方法、装置及移动设备 |
CN109196509A (zh) * | 2016-06-03 | 2019-01-11 | 霍尼韦尔国际公司 | 用于防止由受保护系统的节点进行的文件访问的装置和方法 |
CN109196509B (zh) * | 2016-06-03 | 2023-09-08 | 霍尼韦尔国际公司 | 用于防止由受保护系统的节点进行的文件访问的装置和方法 |
CN106203182A (zh) * | 2016-06-23 | 2016-12-07 | 努比亚技术有限公司 | 存储数据的装置及方法 |
CN106295373A (zh) * | 2016-08-23 | 2017-01-04 | 记忆科技(深圳)有限公司 | 一种基于m‑phy接口实现的数据传输加密装置 |
CN106295373B (zh) * | 2016-08-23 | 2019-02-19 | 记忆科技(深圳)有限公司 | 一种基于m-phy接口实现的数据传输加密装置 |
CN106330950A (zh) * | 2016-09-17 | 2017-01-11 | 上海林果实业股份有限公司 | 加密信息的访问方法、系统及适配器 |
CN108171077A (zh) * | 2017-12-26 | 2018-06-15 | 上海展扬通信技术有限公司 | 一种文件夹的处理方法及相关设备 |
CN108171077B (zh) * | 2017-12-26 | 2020-08-14 | 上海展扬通信技术有限公司 | 一种文件夹的处理方法及相关设备 |
CN111639326A (zh) * | 2019-03-01 | 2020-09-08 | 上海擎感智能科技有限公司 | 移动存储设备的管理方法及系统 |
CN110929302A (zh) * | 2019-10-31 | 2020-03-27 | 东南大学 | 一种数据安全加密存储方法及存储装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103390125B (zh) | 2016-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103366797B (zh) | 用无线认证终端授权认证及加解密的安全u盘设计方法 | |
CN103390125B (zh) | 用无线终端授权及加解密的安全移动存储控制器设计方法 | |
CN103886234B (zh) | 一种基于加密硬盘的安全计算机及其数据安全控制方法 | |
US9245131B2 (en) | Multi-user universal serial bus (USB) key with customizable file sharing permissions | |
CN203746071U (zh) | 一种基于加密硬盘的安全计算机 | |
EP3355231B1 (en) | Mobile data storage device with access control functionality | |
TWI753286B (zh) | 自我加密裝置、管理伺服器、用於資料安全性之方法、及其非暫態機器可讀取儲存媒體 | |
CN202694329U (zh) | 一种无线存储设备 | |
CN105354479A (zh) | 一种基于u盘鉴权的固态硬盘及数据隐藏方法 | |
CN101562040A (zh) | 高安全性移动存储器及其数据处理方法 | |
JP7105495B2 (ja) | セグメント化されたキー認証システム | |
CN103617127B (zh) | 带分区的存储装置及存储器分区的方法 | |
CN105227299A (zh) | 一种数据加解密管理设备及其应用方法 | |
CN201185082Y (zh) | 高安全性移动存储器 | |
CN110929302B (zh) | 一种数据安全加密存储方法及存储装置 | |
CA3221805A1 (en) | Cryptographic authentication to control access to storage devices | |
CN202838313U (zh) | 集成nfc技术的加密型移动硬盘 | |
CN105162605A (zh) | 一种数字签名及认证方法 | |
KR101666591B1 (ko) | 스마트 오티피 인증 시스템 및 방법 | |
CN106855923A (zh) | 一种基于生物识别技术的电子装置 | |
CN203206256U (zh) | 一种移动存储设备 | |
CN103699853A (zh) | 一种智能sd卡及其控制系统及方法 | |
CN204613946U (zh) | 一种安全的usbhub和sd/tf卡读卡器复合设备 | |
CN103971069A (zh) | 一种具有数据加密功能的混合硬盘控制器 | |
TWI651624B (zh) | 智慧型硬體安全載具 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20210621 Address after: 926, Wangcheng building, 3 Longguan East Road, Qinghua community, Longhua street, Longhua District, Shenzhen, Guangdong 518000 Patentee after: Harbour Star Health Biology (Shenzhen) Co.,Ltd. Address before: 214432 No.9 Xincheng Road, Chengjiang street, Jiangyin City, Wuxi City, Jiangsu Province Patentee before: Ding Xiangen |