CN104239820A - 一种安全存储设备 - Google Patents
一种安全存储设备 Download PDFInfo
- Publication number
- CN104239820A CN104239820A CN201310232442.4A CN201310232442A CN104239820A CN 104239820 A CN104239820 A CN 104239820A CN 201310232442 A CN201310232442 A CN 201310232442A CN 104239820 A CN104239820 A CN 104239820A
- Authority
- CN
- China
- Prior art keywords
- module
- encryption
- user
- file
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种安全存储设备,包括:接口模块、服务器模块、加密算法模块、加密策略管理模块、识别模块和存储介质模块。其中的服务器模块用于提供存储器自身的操作系统以及文件处理程序,接收来自用户的本地计算机的文件访问请求,将操作结果转换为图像通过接口模块传输到用户的本地计算机;加密算法模块,用于从加密策略管理模块中提取加密策略,采用该加密策略根据识别模块形成的随机种子和文件特征信息对文件进行加密后存储于存储介质模块;以及采用加密策略根据识别模块形成的加密种子和文件特征信息对存储介质模块中存储的文件进行解密;识别模块用于接收用户输入的信息形成随机种子作为其它密钥的初始索引。
Description
技术领域
本申请涉及计算机及存储技术领域,尤其涉及一种安全存储设备。
背景技术
在计算机系统中,存储系统作为代码执行和数据存放的重要场合,对于实现计算安全具有突出重要的作用;同时,存储系统往往又是最容易遭受攻击威胁的脆弱所在。存储系统主要包括如下几类:
缓存(Cache):处理器片内高速缓冲存储器;
主存:处理器片外随机访问存储器内存;
外围存储设备,典型设备包括如硬盘、U盘等;
网络存储设备:典型设备包括网络附加存储器(NAS)、服务器存储、云存储等。
从攻击者的角度来看,攻击处理器是困难的(通常物理攻击处理器芯片对于绝大多数攻击行为是不可行的);然而,攻击处理器的片外部分则是容易实施的,如存储总线以及存储器芯片的接口逻辑是简洁的(相对于处理器而言),因而窥探或篡改其内容是易于实施的(比如,借助特定的仪器装置颠覆总线信号)。因此数据安全保护技术的核心内容包括:维护访问控制、审计、病毒和蠕虫、入侵检测、数据加密解密、认证、分布式系统安全、数据机密性和完整性。
目前移动存储设备面临的安全难题最为突出。总体来看,对移动存储系统设备的攻击大致分为六类:
对数据传输协议的攻击;
对服务器(存储服务器、组服务器和DNS服务器)的攻击;
已被废除的用户(Revoked User)对服务器的攻击;
利用存储服务器发起的攻击;
利用组服务器发起的攻击;
利用具有读或写权限的用户发起的攻击。
存储系统要检测到攻击者的入侵行为存在一定困难。入侵检测的普遍手段是检查系统日志,但是入侵者往往能利用管理员身份进入系统,这使得他们具有操作存储设备上全部数据的权限,包括修改系统日志。入侵者可以修改系统日志以隐藏他们的行为,因此检查系统日志的手段具有局限性。一些入侵检测系统利用监视重要系统文件的变化来确定有无入侵行为发生。对于一些入侵者来说,他们可以将重要文件修改为入侵检测系统认为安全的状态,从而骗过入侵检测系统。
入侵诊断包括找到系统存在的漏洞以及确定入侵者对系统做了哪些破坏。在传统的系统中,由于入侵者可以修改日志文件,并且删除他们用来攻击系统的工具,因此几乎不可能发现入侵者的入侵途径。解决办法通常是在入侵过程中发现入侵者的行为,或寄希望于入侵者忘记删除他们用于攻击系统的工具。由于系统日志和文件的修改时间等属性可以被入侵者修改,因此确定入侵者对哪些数据进行了修改也是非常困难的。
由于不可能准确地诊断出入侵者的行为,因此管理员也很难在系统受到攻击后对数据进行恢复。在对系统进行恢复时,管理员需要确定备份数据是否是在入侵之前产生的,因此最近的备份数据往往是不可用的,所以将系统恢复到备份时的状态会造成备份后数据的丢失。另外,系统恢复需要相对较长的时间,在这段时间中,存储系统将拒绝对用户的服务。
现有技术中的安全存储设备的大致特点归纳如下:
存储系统均以外挂设备形式挂接在计算机上(通常以移动硬盘或者U盘或者闪存、TF卡形式),只能作为从设备、不能脱离主机独自运行与存在,一旦成为本地分区后,计算机就对该存储设备可以任意访问,数据完全暴露给客户,U盘无法对用户行为进行有效的监控以及数据保护,只能被动记录。因此传统的U盘基本不具备主动防御攻击的能力措施,当宿主计算机处于非安全状态后,入侵用户可以通过非正常手段从存储设备上获取信息。
存储系统安全措施均采用对称加解密算法且基本都是高级加密标准(AES,Advanced Encryption Standard)等常见算法,在网络传输前加密,在介质端仍以加密状态保存;不会针对新存储设备自动进行密钥变换。因此存储双方必须知晓存储密钥,存在密钥扩散问题。
存储系统对于数据的保护仅限于存储数据的安全性,而没有与数据传输相配合的安全性措施;数据加密密钥传输手段不够完善。
发明内容
本申请提供了一种安全存储设备,能够提供比现有技术更为完善的数据保护。
本申请实施例提供的一种安全存储设备,包括:接口模块、服务器模块、加密算法模块、加密策略管理模块、识别模块和存储介质模块;
接口模块,用于对外提供有线或无线的数据连接,用户的本地计算机通过与接口模块建立连接后实现对安全存储器中存储的数据进行访问;
服务器模块,用于提供存储器自身的操作系统以及文件处理程序,接收来自用户的本地计算机的文件访问请求,对存储介质模块所存储的内容进行操作,将操作结果转换为图像通过接口模块传输到用户的本地计算机;
加密算法模块,用于从加密策略管理模块中提取加密策略,采用该加密策略根据识别模块形成的随机种子和文件特征信息对文件进行加密后存储于存储介质模块;以及采用加密策略根据识别模块形成的加密种子和文件特征信息对存储介质模块中存储的文件进行解密;
加密策略管理模块,用于存储和维护加密策略存储表;
识别模块,用于接收用户输入的信息形成随机种子,并记录于存储器内部,作为其它密钥的初始索引;
存储介质模块,用于存储加密的文件数据。
较佳地,服务器模块支持HTML5或者HTML,接收用户本地计算机通过HTML浏览器发出的文件访问请求,以HTML5对象或HTML页面形式展现操作结果。
较佳地,服务器模块支持客户端通过图形协议方式访问。
较佳地,所述文件访问请求包括且仅包括读、写以及可执行。
较佳地,所述识别模块包括生物识别单元和人工输入识别单元;
加密算法模块从所述安全存储设备内置的二进制字符中,随机选取一定长度的字串,在规定的时间段内通过让用户进行识别;
人工输入识别单元用于获得用户输入的行为特征信息及输入的字符串,生物识别单元识别用户输入的生物特性信息;加密算法模块记录用户输入该数据串的行为特征信息和生物特性信息,将行为特征信息和输入的字符串作为随机种子,将生物特性信息作为辅助密码。
较佳地,所述行为特征信息包括:输入每个字符的时间间隔、字符串的用户特征、输入特性。
较佳地,所述加密算法模块在对明文文件加密时,首先获取用户主密钥key-A,然后读取加密策略管理模块中存储的加密策略存储表选择加密方法,根据识别模块得到的随机种子生成随机数key-B,然后根据明文文件当前内容提取唯一识别码key-C;
将Key-A、Key-B、Key-C组合成为最终文件密钥,选择加密策略表指定的加密方法使用最终文件秘钥对明文文件加密,然后存储为密文文件,并将最终文件密钥按照加密策略表的指定密钥管理方法进行存储加密。
较佳地,文件访问请求为编辑文件时,加密算法模块首先解密最终文件密钥,并对存储的密文文件进行解密得到明文文件,并按照服务器模块中内置编辑器的加密算法对该明文文件进行加密生成新的密文文件;然后服务器模块内置的编辑器读入该新的密文文件进行编辑处理。
较佳地,当要对存储的文件进行分享时,加密算法模块首先解密最终文件密钥,并对存储的密文文件进行解密得到明文文件,然后获取所需分享用户的公钥,然后以公钥对该明文文件加密后提供给相关分享用户。
较佳地,如果分享为只读形式,则加密算法模块在使用公钥对明文文件加密前,对明文文件按照内置的编辑器密码进行加密。
较佳地,如果分享为限时分享,所述加密算法模块以公钥对该明文文件加密为:通过具备定时处理程序的公钥对明文文件进行加密。
从以上技术方案可以看出,该安全存储器内置服务器模块,所有对存储器的操作访问判断均由该服务器模块完成,不依赖于用户的操作环境,从而实现数据的安全性、易存活性与自审计功能;通过内置的加密策略表与用户密钥,实现文件级的加密。每个文件拥有独立的加密密钥,并通过加密策略表,实现文件级的编辑、复制、修改、分享、允许分享编辑等特色权限;通过生物识别单元、人工输入识别单元形成加密种子,并记录于存储器内部,作为其它密钥的初始索引,进一步避免他人使用造成数据泄漏。
附图说明
图1为本申请实施例提供的安全存储器的内部结构框图。
具体实施方式
本申请的核心思想可以概括为:
(1)将安全机制嵌入到存储设备内部中,所有对存储器的操作访问判断均由内置于存储器的服务器模块完成,不依赖于用户的操作环境,从而实现数据的安全性、易存活性与自审计功能;
(2)通过内置的加密策略表与用户密钥,实现文件级的加密。每个文件拥有独立的加密密钥,并通过加密策略表,实现文件级的编辑、复制、修改、分享、允许分享编辑等特色权限;
(3)通过生物识别单元(例如人的语音)、人工输入识别单元形成加密种子,并记录于存储器内部,作为其它密钥的初始索引,进一步避免他人使用造成数据泄漏。
为使本申请技术方案的技术原理、特点以及技术效果更加清楚,以下结合具体实施例对本申请技术方案进行详细阐述。
本申请技术方案的技术要点包括:
1、在安全存储器中内置操作系统,包含预置的可信计算环境,实现对内部存储器的安全访问。所有的文件操作,均通过内置的系统程序进行访问,而所有数据则全部以单独加密密文方式存放,每个文件的真正加密密钥由用户设置密钥以及存储器内部安全存储策略共同生成,保证在存储体内的数据不会在获得用户密钥后就能给破解。
2、通过操作审计功能,避免合法用户的非法操作。在该安全存储器中,所有文件系统均需通过安全审计规则约束,该约束与用户访问的权限、打开的文件内容与形式等相关联;另外,根据用户行为特征,自动建立操作恢复功能,保证数据的完整性与安全性。
3、通过存储器内置的服务器模块(HTML/X-server/私有协议)完成对存储器内部控制。在本申请技术方案中,用户的本地计算机相当于安全存储器的客户端,所有对安全存储数据内容的操作,通过客户端图形界面完成,所有关键数据的操作通过该图形界面中的虚拟鼠标输入完成(包括密钥交互),该图形界面内运行的操作系统即为安全存储系统内置的操作系统,与本地计算机的操作系统相互独立。安全操作系统内的数据与本地计算机的数据完全隔绝,在本地显示的内容仅为图像,避免非法用户的内存数据获取。
本申请提供的安全存储器的内部结构如图1所示,安全存储器包括:
接口模块101,用于对外提供有线或无线的数据连接,用户的本地计算机通过接口模块101实现对安全存储器中存储的数据进行访问。接口形式包括但不局限于传统的有线的USB、SD、PCI、TF等接口,也可以包含无线接入等形态。
服务器模块102,用于提供存储器自身的操作系统以及文件处理程序,接收来自用户的本地计算机的文件访问请求,基于HTML/X-server/私有协议实现对存储介质模块所存储的内容进行操作,将操作结果转换为图像通过接口模块传输到用户的本地计算机。
对于服务器模块102的具体实现方式,本申请提供了两种实施例。
实施例一为:(1)服务器模块102支持超文本标记语言5(HTML5)或者较早版本的HTML,服务器模块102除生成传统的页面外,还能支持各种文件操作;(2)当用户本地计算机对存储器访问时,通过HTML浏览器完成,服务器模块102接收用户本地计算机通过HTML浏览器发出的文件访问请求;当用户本地计算机打开存储器上文件时,等效于服务器模块102完成一系列操作,并以HTML5对象或HTML页面形式展现操作结果。
实施例二为:(1)服务器模块102为X-server,用户本地计算机通过x-client或者RDP方式发出文件访问请求;(2)当用户本地计算机对存储器访问时,将开启本地X-client。所有的操作均通过存储器上的处理器完成,用户本地计算机仅显示处理完成后的图形结果。其中,X-server指的是服务器是支持客户端通过图形协议方式访问的设备,X-client终端通过图形协议与服务器进行交互。
另外,如果不采用X-Server或者HTML Server的方法,可以通过在安全存储器上启动一个服务器软件程序实现的服务器模块103,同时存储器提供一个用户本地计算机能够获取到的客户端程序,该程序能够与服务器模块进行交互。客户端程序能够与服务器通过安全加密方式进行通信。当用户对安全存储器进行访问时,将在客户端内对服务器端进行操作,最终达到安全存储的目的。
本申请实施例中,用户所有对存储器内部的操作,每个文件的权限(包括读、写、查看、删除、复制、分享查看、分享编辑、编辑、限定大小、使用次数、访问时间段等限制)均通过授权管理策略实现,而非传统unix/linux的整体用户授权访问,并局限于读写以及可执行三个权限。
加密算法模块103,用于从加密策略管理模块104中提取加密策略,采用该加密策略根据识别模块形成的加密种子和文件特征信息对文件进行加密后存储于存储介质模块;以及采用加密策略根据识别模块形成的加密种子和文件特征信息对存储介质模块中存储的文件进行解密。
加密策略管理模块104,用于存储和维护加密策略存储表。
识别模块106,用于接收用户输入的信息形成加密种子,并记录于存储器内部,作为其它密钥的初始索引。
存储介质模块105,用于存储加密的文件数据。
传统的加密U盘,实际是通过内部隐藏的唯一ID标示号作为加密初始索引,然后通过启动加密模块的随机数种子,生成相关密钥。该方案存在一个致命缺陷:事前设置,不能修改。如果采用U盘上设置键盘输入,则加密强度存在一定问题(通常选择8位数字)。如果要求很长的密钥,要求使用者记住很长的特征码,这在现实中不太可行。如果采用指纹输入,很容易通过复制指纹破获该密码。因此需要通过主动检查生物状态完成识别,即存储器输出某一随机信息,用户获取该信息后,能够通过有效手段令存储器的生物识别单元识别。
本申请的识别模块106中包括生物识别单元和人工输入识别单元。通过生物识别单元(例如人的语音)、人工输入识别模块形成加密种子,并记录于存储器内部,作为其它密钥的初始索引。具体实现方法为:
(1)加密算法模块103从存储器内置的二进制字符中,随机选取一定长度的字串(例如64位),在规定的时间段内(例如60秒),通过某种手段让用户识别(例如显示该字符串)。
(2)用户输入该数据串,并通过人工输入识别单元获得用户输入的行为特征信息及输入内容。所述行为特征信息包括但不限于包括:输入每个字符的时间间隔、字符串的用户特征、输入特性。字符串的用户特征可以是用户密码,也可以是符合一组规律的字符组合,例如每3个数据的累加和等于20,或者满足一定的约束。输入特性则是输入数据的频度,特征规律。上述区别与单纯的密码输入。因为人输入的习惯是比较难改变或者被人无意识的模仿。而密码只需要别人告知,就可破获。
(3)而生物识别单元识别用户输入的生物特性信息。例如:当安全存储器的具备语音输入单元时,生物识别单元将根据用户的输入获取声纹特征。加密算法模块记录用户输入该数据串的行为特征信息和生物特性信息,将行为特征信息和输入的字符串作为随机种子初始值生成主密码,将生物特性信息作为辅助密码。只有当主密码和辅助密码均校验通过时才允许用户的访问请求。
记录该行为的依据在于每个用户的输入习惯以及间隔时间,人与人之间是完全随机的,但个人的行为具备一定的识别性或者重复性(例如声音的特征,手势的特征,敲击键盘的特征,手写输入的笔迹等)。将时间间隔以及字符串特征作为加密种子索引。
采用该方法对文件解密时,用户不仅需要输入主密码,而且还要通过生物识别检查,该检查方法为:(1)安全存储器随机生成一组数据,在规定的时间内令用户获取该数据。(2)用户通过生物识别设备输入该数据;生物识别单元提取用户的特征(例如笔迹、声纹、手势等)。当生物识别检查通过后,可以继续进行文件访问操作。
基于文件级的加密实现方法的技术细节以及权限的描述:
加密算法模块103在对文件加密时,首先获取用户主密钥(key-A),然后读取加密策略表(选择加密方法),根据加密索引种子生成随机数(key-B),然后根据文件(此时为明文)当前内容,提取唯一识别码(key-C)。(例如MD5或者CRC-64校验数据)。
文件存储时的处理:将Key-A、Key-B、Key-C组合成为最终文件密钥,选择加密策略表指定的加密方法使用最终文件秘钥对明文文件加密,然后存储为密文文件,并将最终文件密钥按照加密策略表的指定密钥管理方法进行存储加密。
文件访问请求为编辑文件时,加密算法模块首先解密最终文件密钥,并对存储的密文文件进行解密得到明文文件,并按照服务器模块中内置编辑器的加密算法对该明文文件进行加密生成新的密文文件;然后服务器模块内置的编辑器读入该新的密文文件进行编辑处理。当编辑完毕后,将按照文件存储的方法进行加密处理,并同时存储新的文件密钥。
当文件分享时的处理:加密算法模块按照前述方法将密文文件处理为明文文件,然后获取所需分享用户的公钥,然后以公钥形式加密,并提供给相关分享用户。如果分享为只读形式,则加密算法模块在使用公钥对明文文件加密前,对明文文件按照内置的编辑器密码进行加密;此时能够保证用户只能阅读,而无法修改。
当文件设置为限时分享的处理:文件首先处理为明文,然后对文件的权限部分设计为通过具备定时处理程序的公钥对明文文件进行加密;当用户查看该文件时,定时程序检查当前时间是否合法,如果合法,对文件进行解密,否则不进行解密。保证定时文件分享的可靠性。
当设置为用户规则文件权限的处理:所述用户规则文件的目的是根据用户的权限,提供不同的分享办法,而不是直接提供明文。处理过程具体包括:文件首先处理为明文,然后将文件加密为用户自定义程序(存储器内置的程序)密钥加密,同时加密用户伴生规则文件。当用户程序检查当前为合法后,进行解密处理,否则不进行解密,保证文件分享的可靠性。
本申请技术方案具有如下技术效果:
1、通过在存储器内部内置的服务器模块,将传统的存储器变为服务器设备,不再需要用户在计算机主机本地加载该存储设备,从而成为本地一个访问分区。用户访问该安全存储器不再通过本地存储分区方式,而是通过启动客户端(例如x-client或HTML5客户端)的方式访问安全存储器,所有操作动作均在存储器内部服务器模块的监管下进行。而存储的单个文件均按照不同的安全加密存储策略进行存储访问,因此本发明提供的存储设备具备自安全性,能够自我审计、自我保护。
2、本申请的安全存储器中的所有文件读写访问、存储对用户本地计算机完全透明,不依赖于本地计算机的运算性能以及操作系统,杜绝了被病毒感染的可能。
3、本申请方案中,用户可以通过服务器模块打开各种存储于存储体内部的文件,例如Office文件等,而打开与编辑的过程均在服务器模块上完成,用户只是显示操作后的结果图像。而传统保密U盘,只能将文件取回本地,然后利用本地Office软件打开,安全加密存在影响(例如本地Office中病毒后);而且当本地不存在Office相关软件时,还无法编辑查看。
4、由于采用内置服务器模块,所有存储的数据能够自动进行数据备份,生成各种安全日志以及访问日志,安全性远高于普通加密存储器。
5、本申请提供的安全存储器,每个文件均采用独立的加密策略,并通过存储器内置策略以及用户设定的安全加密密钥生成真正的加密密钥,有效实现双重或多重加密,能够防止用户截获用户密钥后,即可通过暴力破解内置存储器的文件。
6、本申请提供的安全存储器能够针对每个文件进行具体权限加密,额外提供了分享权限以及分享编辑权限、修改时间权限、修改合法性检查权限,并提供了定制用户使用行为权限的方法,因此安全性强度相对传统U盘或移动硬盘显著提高。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请的保护范围,凡在本申请技术方案的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种安全存储设备,其特征在于,包括:接口模块、服务器模块、加密算法模块、加密策略管理模块、识别模块和存储介质模块;
接口模块,用于对外提供有线或无线的数据连接,用户的本地计算机通过与接口模块建立连接后实现对安全存储器中存储的数据进行访问;
服务器模块,用于提供存储器自身的操作系统以及文件处理程序,接收来自用户的本地计算机的文件访问请求,对存储介质模块所存储的内容进行操作,将操作结果转换为图像通过接口模块传输到用户的本地计算机;
加密算法模块,用于从加密策略管理模块中提取加密策略,采用该加密策略根据识别模块形成的随机种子和文件特征信息对文件进行加密后存储于存储介质模块;以及采用加密策略根据识别模块形成的加密种子和文件特征信息对存储介质模块中存储的文件进行解密;
加密策略管理模块,用于存储和维护加密策略存储表;
识别模块,用于接收用户输入的信息形成随机种子,并记录于存储器内部,作为其它密钥的初始索引;
存储介质模块,用于存储加密的文件数据。
2.根据权利要求1所述的安全存储设备,其特征在于,服务器模块支持HTML5或者HTML,接收用户本地计算机通过HTML浏览器发出的文件访问请求,以HTML5对象或HTML页面形式展现操作结果。
3.根据权利要求1所述的安全存储设备,其特征在于,服务器模块支持客户端通过图形协议方式访问。
4.根据权利要求1所述的安全存储设备,其特征在于,所述文件访问请求包括且仅包括读、写以及可执行。
5.根据权利要求1所述的安全存储设备,其特征在于,所述识别模块包括生物识别单元和人工输入识别单元;
加密算法模块从所述安全存储设备内置的二进制字符中,随机选取一定长度的字串,在规定的时间段内通过让用户进行识别;
人工输入识别单元用于获得用户输入的行为特征信息及输入的字符串,生物识别单元识别用户输入的生物特性信息;加密算法模块记录用户输入该数据串的行为特征信息和生物特性信息,将行为特征信息和输入的字符串作为随机种子,将生物特性信息作为辅助密码。
6.根据权利要求5所述的安全存储设备,其特征在于,所述行为特征信息包括:输入每个字符的时间间隔、字符串的用户特征、输入特性。
7.根据权利要求1所述的安全存储设备,其特征在于,所述加密算法模块在对明文文件加密时,首先获取用户主密钥key-A,然后读取加密策略管理模块中存储的加密策略存储表选择加密方法,根据识别模块得到的随机种子生成随机数key-B,然后根据明文文件当前内容提取唯一识别码key-C;
将Key-A、Key-B、Key-C组合成为最终文件密钥,选择加密策略表指定的加密方法使用最终文件秘钥对明文文件加密,然后存储为密文文件,并将最终文件密钥按照加密策略表的指定密钥管理方法进行存储加密。
8.根据权利要求1至7任一项所述的安全存储设备,其特征在于,文件访问请求为编辑文件时,加密算法模块首先解密最终文件密钥,并对存储的密文文件进行解密得到明文文件,并按照服务器模块中内置编辑器的加密算法对该明文文件进行加密生成新的密文文件;然后服务器模块内置的编辑器读入该新的密文文件进行编辑处理。
9.根据权利要求8所述的安全存储设备,其特征在于,当要对存储的文件进行分享时,加密算法模块首先解密最终文件密钥,并对存储的密文文件进行解密得到明文文件,然后获取所需分享用户的公钥,然后以公钥对该明文文件加密后提供给相关分享用户。
10.根据权利要求9所述的安全存储设备,其特征在于,如果分享为只读形式,则加密算法模块在使用公钥对明文文件加密前,对明文文件按照内置的编辑器密码进行加密。
11.根据权利要求9的安全存储设备,其特征在于,如果分享为限时分享,所述加密算法模块以公钥对该明文文件加密为:通过具备定时处理程序的公钥对明文文件进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310232442.4A CN104239820B (zh) | 2013-06-13 | 2013-06-13 | 一种安全存储设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310232442.4A CN104239820B (zh) | 2013-06-13 | 2013-06-13 | 一种安全存储设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104239820A true CN104239820A (zh) | 2014-12-24 |
| CN104239820B CN104239820B (zh) | 2017-11-03 |
Family
ID=52227859
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310232442.4A Expired - Fee Related CN104239820B (zh) | 2013-06-13 | 2013-06-13 | 一种安全存储设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104239820B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105184196A (zh) * | 2015-09-02 | 2015-12-23 | 四川九洲电器集团有限责任公司 | 电子系统信息安全保护系统及方法 |
| CN105868643A (zh) * | 2015-01-19 | 2016-08-17 | 群联电子股份有限公司 | 数据保护方法、存储器控制电路单元及存储器存储装置 |
| CN106919828A (zh) * | 2017-04-20 | 2017-07-04 | 北京蓝海华业科技股份有限公司 | 一种idc机房智能化管理系统 |
| CN107305606A (zh) * | 2016-04-20 | 2017-10-31 | 中兴通讯股份有限公司 | 应用文件的处理方法及装置和文件的访问方法及装置 |
| CN108009420A (zh) * | 2017-12-08 | 2018-05-08 | 李德军 | 一种密码安全管理系统及密码安全管理方法 |
| CN108701200A (zh) * | 2015-12-24 | 2018-10-23 | 黑文技术私人有限公司 | 改善的存储系统 |
| CN109450951A (zh) * | 2018-12-28 | 2019-03-08 | 北京思源互联科技有限公司 | 一种服务器端安全文件管理方法、装置及系统 |
| CN109644128A (zh) * | 2016-06-30 | 2019-04-16 | 诺基亚技术有限公司 | 安全数据处理 |
| CN109861944A (zh) * | 2017-11-22 | 2019-06-07 | 浙江智贝信息科技有限公司 | 一种分布式信息安全处理及交互方法及其交互系统 |
| CN110309681A (zh) * | 2019-08-07 | 2019-10-08 | 广东电网有限责任公司 | 一种计量自动化终端维护装置及维护系统 |
| CN111241606A (zh) * | 2020-01-21 | 2020-06-05 | 北京连山科技股份有限公司 | 一种一拖三的移动存储设备 |
| CN111279343A (zh) * | 2017-08-16 | 2020-06-12 | 惠普发展公司,有限责任合伙企业 | 存储装置监视 |
| CN111611615A (zh) * | 2020-05-05 | 2020-09-01 | 山东同智伟业软件股份有限公司 | 一种可打印文件授权查阅的方法 |
| CN112541186A (zh) * | 2020-12-21 | 2021-03-23 | 中国电子科技集团公司第三十研究所 | 一种基于运动状态感知的密码抗失控系统及方法 |
| CN114189326A (zh) * | 2021-12-10 | 2022-03-15 | 中科计算技术西部研究院 | 一种插拔式加密终端的多重加密系统及解密方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1916614A1 (en) * | 2003-08-07 | 2008-04-30 | Microsoft Corporation | Projection of trustworthiness from a trusted environment to an untrusted environment |
| CN101308475A (zh) * | 2008-07-15 | 2008-11-19 | 中兴通讯股份有限公司 | 安全移动存储系统及其使用方法 |
| CN102185694A (zh) * | 2010-12-21 | 2011-09-14 | 常熟理工学院 | 基于指纹信息的电子文件加密的方法及其系统 |
| CN102708146A (zh) * | 2011-03-22 | 2012-10-03 | 微软公司 | 本地编辑远程存储的图像 |
-
2013
- 2013-06-13 CN CN201310232442.4A patent/CN104239820B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1916614A1 (en) * | 2003-08-07 | 2008-04-30 | Microsoft Corporation | Projection of trustworthiness from a trusted environment to an untrusted environment |
| CN101308475A (zh) * | 2008-07-15 | 2008-11-19 | 中兴通讯股份有限公司 | 安全移动存储系统及其使用方法 |
| CN102185694A (zh) * | 2010-12-21 | 2011-09-14 | 常熟理工学院 | 基于指纹信息的电子文件加密的方法及其系统 |
| CN102708146A (zh) * | 2011-03-22 | 2012-10-03 | 微软公司 | 本地编辑远程存储的图像 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105868643A (zh) * | 2015-01-19 | 2016-08-17 | 群联电子股份有限公司 | 数据保护方法、存储器控制电路单元及存储器存储装置 |
| CN105184196B (zh) * | 2015-09-02 | 2018-09-11 | 四川九洲电器集团有限责任公司 | 电子系统信息安全保护系统及方法 |
| CN105184196A (zh) * | 2015-09-02 | 2015-12-23 | 四川九洲电器集团有限责任公司 | 电子系统信息安全保护系统及方法 |
| CN108701200A (zh) * | 2015-12-24 | 2018-10-23 | 黑文技术私人有限公司 | 改善的存储系统 |
| CN108701200B (zh) * | 2015-12-24 | 2023-08-22 | 黑文技术私人有限公司 | 改善的存储系统 |
| CN107305606A (zh) * | 2016-04-20 | 2017-10-31 | 中兴通讯股份有限公司 | 应用文件的处理方法及装置和文件的访问方法及装置 |
| CN109644128A (zh) * | 2016-06-30 | 2019-04-16 | 诺基亚技术有限公司 | 安全数据处理 |
| CN106919828A (zh) * | 2017-04-20 | 2017-07-04 | 北京蓝海华业科技股份有限公司 | 一种idc机房智能化管理系统 |
| CN106919828B (zh) * | 2017-04-20 | 2023-04-07 | 北京蓝海华业科技股份有限公司 | 一种idc机房智能化管理系统 |
| CN111279343A (zh) * | 2017-08-16 | 2020-06-12 | 惠普发展公司,有限责任合伙企业 | 存储装置监视 |
| CN109861944A (zh) * | 2017-11-22 | 2019-06-07 | 浙江智贝信息科技有限公司 | 一种分布式信息安全处理及交互方法及其交互系统 |
| CN108009420A (zh) * | 2017-12-08 | 2018-05-08 | 李德军 | 一种密码安全管理系统及密码安全管理方法 |
| CN109450951B (zh) * | 2018-12-28 | 2021-06-04 | 北京思源理想控股集团有限公司 | 一种服务器端安全文件管理方法、装置及系统 |
| CN109450951A (zh) * | 2018-12-28 | 2019-03-08 | 北京思源互联科技有限公司 | 一种服务器端安全文件管理方法、装置及系统 |
| CN110309681A (zh) * | 2019-08-07 | 2019-10-08 | 广东电网有限责任公司 | 一种计量自动化终端维护装置及维护系统 |
| CN110309681B (zh) * | 2019-08-07 | 2023-09-15 | 广东电网有限责任公司 | 一种计量自动化终端维护装置及维护系统 |
| CN111241606A (zh) * | 2020-01-21 | 2020-06-05 | 北京连山科技股份有限公司 | 一种一拖三的移动存储设备 |
| CN111611615A (zh) * | 2020-05-05 | 2020-09-01 | 山东同智伟业软件股份有限公司 | 一种可打印文件授权查阅的方法 |
| CN112541186A (zh) * | 2020-12-21 | 2021-03-23 | 中国电子科技集团公司第三十研究所 | 一种基于运动状态感知的密码抗失控系统及方法 |
| CN114189326A (zh) * | 2021-12-10 | 2022-03-15 | 中科计算技术西部研究院 | 一种插拔式加密终端的多重加密系统及解密方法 |
| CN114189326B (zh) * | 2021-12-10 | 2024-04-26 | 中科计算技术西部研究院 | 一种插拔式加密终端的多重加密系统及解密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104239820B (zh) | 2017-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104239820B (zh) | 一种安全存储设备 | |
| US20210099287A1 (en) | Cryptographic key generation for logically sharded data stores | |
| CA3066678C (en) | Processing data queries in a logically sharded data store | |
| JP5623388B2 (ja) | セキュアなデータ・キャッシュ | |
| US20190028273A1 (en) | Method for saving data with multi-layer protection, in particular log-on data and passwords | |
| CN103561034B (zh) | 一种安全文件共享系统 | |
| JP2020009500A (ja) | データセキュリティサービス | |
| CN110324143A (zh) | 数据传输方法、电子设备及存储介质 | |
| CN111079171A (zh) | 一种基于区块链的医疗数据隐私保护方法及存储介质 | |
| JP6678457B2 (ja) | データセキュリティサービス | |
| CN105740725B (zh) | 一种文件保护方法与系统 | |
| CN106575342A (zh) | 包括关系数据库的内核程序、以及用于执行所述程序的方法和装置 | |
| KR101078546B1 (ko) | 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 | |
| EP3711256B1 (en) | Cryptographic key generation for logically sharded data stores | |
| US10754979B2 (en) | Information management terminal device | |
| CN112134882A (zh) | 用于在网络中匿名化地传输数据的系统和方法 | |
| US9697372B2 (en) | Methods and apparatuses for securing tethered data | |
| KR101485968B1 (ko) | 암호화된 파일 접근 방법 | |
| TWI444849B (zh) | 透過伺服器驗證並授權解密以監控個資檔案之系統及方法 | |
| KR20210015534A (ko) | 보안키 관리 방법 및 보안키 관리 서버 | |
| WO2023119554A1 (ja) | 制御方法、情報処理装置および制御プログラム | |
| JPH10340232A (ja) | ファイル複写防止装置及びファイル読込装置 | |
| JP5361850B2 (ja) | アクセス管理システム | |
| Junttila | Countermeasures against digital forensics of handheld devices, computers and services | |
| KR101473410B1 (ko) | 디지털 인증서 저장부 접근 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171103 |