CN107403109A - 加密方法及加密系统 - Google Patents
加密方法及加密系统 Download PDFInfo
- Publication number
- CN107403109A CN107403109A CN201710676593.7A CN201710676593A CN107403109A CN 107403109 A CN107403109 A CN 107403109A CN 201710676593 A CN201710676593 A CN 201710676593A CN 107403109 A CN107403109 A CN 107403109A
- Authority
- CN
- China
- Prior art keywords
- data
- terminal equipment
- key
- encryption
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种加密系统及加密方法。在一些实施例中,所述加密系统包括加密桥和Ukey,其中加密桥连接于主机端和存储介质之间,用于实现在主机端和存储介质之间传输的数据的加密或解密;Ukey与主机端连接,并承载有引导系统,且存储有加密桥加密或解密所需的数据密钥。所述加密系统主要是通过Ukey中的引导系统对Ukey和加密桥及用户进行身份认证,与主机端的操作系统无关,用户身份认证及Ukey和加密桥的双向论证均通过后,Ukey将存储的数据密钥传递给加密桥,加密桥即可正常对存储通路上的数据进行加解密,实现了数据密钥和加密数据的分离存储,提高了数据安全性。
Description
技术领域
本发明涉及加密技术领域,尤其涉及一种基于Ukey和加密桥的自加密硬盘系统。
背景技术
近年来,硬盘设备等作为一种使用方便、部署灵活、成本低廉的信息存储介质,在个人和企业的计算机应用领域中被广泛使用。随着互联网应用的逐渐普及,信息存储的安全性问题得到愈加广泛的重视。而存储于各类终端、服务器中的文件数据,很多涉及企业或者个人的敏感和隐私数据,如果硬盘设备被盗或是内部人员非法访问,则存在信息泄露的风险,给企业或个人带来巨大的损失。
在今天的计算机环境中,终端用户设备中存在许多安全威胁。一些威胁是无意的,如人为错误,而另一些则有意为之。常见的威胁是用户硬盘设备的遗失或遭窃,在硬盘设备丢失的情况下如何保护硬盘设备中的数据安全,成为了当前亟待研究解决的问题。
现有的磁盘加密方法、装置及系统主要有如下三类:
1)在计算机终端上使用加密软件,对用户写入的数据进行加解密和用户身份认证。
2)在计算机终端硬件上增加加密芯片,通过加密芯片对写入硬盘的数据进行加解密。
3)在硬盘上增加隐藏分区,将认证系统和操作系统存储于隐藏分区中,通过从隐藏分区中的认证系统,进行用户身份认证,启动操作系统,对存储隐藏分区中的数据进行加解密。
但是现有的磁盘安全加密系统存在多种缺陷,例如:
第一、若通过纯软件加密,降低了系统性能,非常依赖于用户口令,并且运行时密钥存储在内存中,无法抵抗冷启动、DMA攻击。
第二、密钥和密码存放于磁盘上,增加了破解磁盘数据的可能性,非常依赖于用户口令。
额外增加磁盘加密认证分区,降低了磁盘的利用率。
第三、密钥具有唯一性,不利于授权多用户使用。
第四、对主机系统存在一定的依赖性,只能支持某些特定架构或者操作系统的主机。
第五、若需要自带操作系统及文件系统,涉及版权问题和兼容性问题。
第六、必须要更换新的带加密功能的硬盘,之前使用的普通硬盘被淘汰浪费。
综上,现有的硬盘加密技术在实际使用上,显然存在不便与缺陷,所以有必要加以改进。
发明内容
本发明的主要目的在于提供一种新的加密方法及加密系统,以克服现有技术中的前述缺陷。
为实现本发明的目的,本发明采用的技术方案包括:
本发明实施例提供了一种加密系统,其包括:
第一终端设备,至少用于对用户身份进行认证以及与第二终端设备进行双向认证;
第二终端设备,至少用于在所述用户身份认证以及第一终端设备与第二终端设备的双向认证均通过后,对流经第二终端设备的数据进行加密或解密处理。
其中,“流经第二终端设备的数据”包括在数据处理端和数据存储端之间传输且流经第二终端设备的数据,例如在计算机设备和与之分立的可移动存储介质之间传输的数据等。
本发明实施例还提供了一种加密方法,其包括如下步骤:
a、提供用户界面,
b、用户通过所述用户界面输入用户口令,
c、判断用户输入的用户口令与预存在第一终端设备内的用户口令是否相同,若是则完成用户身份认证并进入步骤d,若否则不进入步骤d,
d、第一终端设备向第二终端设备发出数据请求,
e、第二终端设备依据所述数据请求生成第一数据,
f、第二终端设备将所述第一数据发送至第一终端设备,
g、第一终端设备使用第一数据及数据密钥进行运算而生成第一加密数据密钥,
h、第一终端设备使用会话密钥将所述第一数据与第一加密数据密钥加密,生成第一加密随机数与第二加密数据密钥,
i、第一终端设备将所述第一加密随机数与第二加密数据密钥发送至第二终端设备,
j、第二终端设备使用会话密钥将所述第一加密随机数与第二加密数据密钥解密,获得第二数据和第三加密数据密钥;
k、第二终端设备判断第二数据与第一数据是否相同,若是则进入步骤l,若否则不进入步骤l,
l、使用第一数据与第三加密数据密钥进行运算而得到所述数据密钥,完成第一终端设备与第二终端设备的双向认证,
m、第二终端设备对流经第二终端设备的数据进行加密或解密。
较之现有技术,本发明通过将数据密钥和加密数据的分离存储,并设有用户身份认证机制进行密钥保护,且在用于存储保密信息的存储介质和相应的计算机终端中均不存储任何数据密钥的分量,使加解密过程与该存储介质及相应计算机终端等均无关,从而不但显著提高了数据安全性,还使本发明的加密方法及加密系统适用于各种类型的计算机终端和各种类型的普通存储介质。
附图说明
图1是本发明一典型实施方案中一种基于Ukey和加密桥的自加密硬盘系统的结构框图。
图2是本发明一典型实施方案中一种Ukey的逻辑示意图。
图3是本发明一典型实施方案中一种加密桥的逻辑示意图。
图4是本发明一典型实施方案中一种基于Ukey和加密桥的自加密硬盘系统与计算机的连接示意图。
图5是本发明一典型实施方案中一种基于Ukey和加密桥的自加密硬盘系统的访问控制示意图。
具体实施方式
本发明实施例的一个方面提供的一种加密方法具体包括如下步骤:
a、提供用户界面,
b、用户通过所述用户界面输入用户口令,
c、判断用户输入的用户口令与预存在第一终端设备内的用户口令是否相同,若是则进入步骤d,若否则不进入步骤d,
d、第一终端设备向第二终端设备发出数据请求,
e、第二终端设备依据所述数据请求生成第一数据,
f、第二终端设备将所述第一数据发送至第一终端设备,
g、第一终端设备使用第一数据及数据密钥进行运算而生成第一加密数据密钥,
h、第一终端设备使用会话密钥将所述第一数据与第一加密数据密钥加密,生成第一加密随机数与第二加密数据密钥,
i、第一终端设备将所述第一加密随机数与第二加密数据密钥发送至第二终端设备,
j、第二终端设备使用会话密钥将所述第一加密随机数与第二加密数据密钥解密,获得第二数据和第三加密数据密钥;
k、第二终端设备判断第二数据与第一数据是否相同,若是则进入步骤l,若否则不进入步骤l,
l、使用第一数据与第三加密数据密钥进行运算而得到所述数据密钥,
m、第二终端设备对流经第二终端设备的数据进行加密或解密。
进一步的,前述步骤a包括:将第一终端设备与数据处理端连接,并显示用户界面。
其中,所述数据处理端可以选自至少具有数据处理功能的终端设备,例如各类计算机终端等或者平板计算机系统、智能手机等其它数据处理终端。
其中,所述用户界面可以在数据处理端上显示。
进一步的,前述步骤c或步骤d包括:将数据处理端经第二终端设备与数据存储端连接。
其中,所述数据存储端可以选自至少具有数据存储功能的终端设备,例如可以采用硬盘、笔记本计算机系统等存储介质。
在一些实施方案中,所述的加密方法还可以包括:在完成步骤l后,于所述用户界面上给予用户进入数据处理端的选定功能区或重新启动数据处理端的提示。
进一步的,在认证成功后,数据处理端(例如电脑)重新启动,并在重新启动后进入数据存储端的操作系统。
优选的,所述的选定功能区至少还能够提供如下功能:安装操作系统、硬盘智能销毁、修改用户口令中的任一者或两者以上的组合。
进一步的,在步骤m中所述“流经第二终端设备的数据”包括在数据处理端与数据存储端之间传输且流经第二终端设备的数据。
进一步的,所述第一终端设备内被预先写入会话密钥与数据密钥,并且所述第一终端设备的写入权限为一次。
进一步的,所述会话密钥非易失性地保存在第二终端设备内,所述数据密钥易失性地保存在第二终端设备中。
进一步的,每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥。
进一步的,所述第一数据包括随机数。
本发明实施例的另一个方面提供的一种加密系统包括:
第一终端设备,至少用于对用户身份进行认证以及与第二终端设备进行双向认证;
第二终端设备,至少用于在所述用户身份认证以及第一终端设备与第二终端设备的双向认证均通过后,对流经第二终端设备的数据进行加密或解密处理。
进一步的,所述第一终端设备是在所述用户身份认证通过后,再与第二终端设备进行双向认证的。
在一些实施方案中,所述第一终端设备包括:
主引导模块,其在启动后至少用于:
1)使用户界面显现,
2)判断自用户界面输入的用户口令与预存于第一终端设备内的用户口令是否相同,若是则执行步骤3)的操作,若否,则不执行步骤3)的操作,
3)向第二终端设备发出数据请求,以及接收第二终端设备返回的第一数据;
第一认证模块,其至少用于:
I、根据密钥存储模块中预存的数据密钥和所述第一数据生成第一加密数据密钥,
II、根据密钥存储模块中预存的第一会话密钥、所述第一数据以及所述第一加密数据密钥,生成第一加密数据和第二加密数据密钥,
III、将所述第一加密数据和第二加密数据密钥发送给所述第二终端设备进行认证;
密钥存储模块,其至少用于存储数据密钥和第一会话密钥。
进一步的,所述第一终端设备还包括:
初始引导模块,至少用于在第一终端设备与数据处理端连接时,促成主引导模块的启动。
进一步的,所述用户界面是在数据处理端显现,而所述主引导模块至少还用于:
判断用户界面输入的用户口令与预存的用户口令是否一致,若是,则向第二终端设备发送数据请求,若否,并且在用户界面连续输入错误用户口令的次数大于等于预设值,则至少删除所述数据密钥。
进一步的,在所述用户界面连续输入错误用户口令的次数大于等于预设值时,则第一终端设备至少清除密钥存储模块内的所有密钥信息。简言之,所述主引导模块的计数规则是用户口令的连续输入错误次数,若成功一次后会将之前的计数清零。
进一步的,所述用户界面至少还用于:在所述用户身份认证以及第一终端设备与第二终端设备的双向认证均通过后,输入安装操作系统的指令和/或硬盘智能销毁的指令和/或更改用户口令和/或使与第一终端设备连接的数据处理端重新启动的指令。
进一步的,所述第一终端设备内被预先写入第一会话密钥与数据密钥,并且所述第一终端设备的写入权限为一次。
在一些实施方案中,所述第二终端设备包括:
数据生成模块,至少用于接收第一终端设备的数据请求并返回第一数据;
第二认证模块,至少用于:
①接收所述第一终端设备发送的第一加密数据和第二加密数据密钥,
②根据预存的第二会话密钥、所述第一加密数据以及第二加密数据密钥,生成第二数据和第三加密数据密钥,
③判断所述第一数据与第二数据是否相同,若是则执行步骤④的操作,若否则不执行步骤④的操作,
④根据所述第一数据和第三加密数据密钥,生成所述数据密钥,完成第一终端设备与第二终端设备的双向认证;以及
加解密模块,至少用于在所述第二终端设备获取所述数据密钥后,对流经第二终端设备的数据进行加密或解密处理。
进一步的,前述数据生成模块可以是一个随机数发生器,其也可以集成在第二认证模块内。
进一步的,所述第二终端设备设置于数据处理端和数据存储端之间,所述加解密模块至少用于对在数据处理端和数据存储端之间传输且流经第二终端设备的数据进行加密或解密处理。
进一步的,所述第二会话密钥非易失性地保存在第二终端设备内,所述数据密钥易失性地保存在第二终端设备中(例如在第二终端设备断电时,其中存储的数据密钥即被删除)。
进一步的,对于相互绑定的第一终端设备和第二终端设备而言,前述第一会话密钥和第二会话密钥是相同的。
更进一步的,每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥。
进一步的,所述第一数据包括随机数,但不限于此。
进一步的,所述数据处理端选自至少具有数据处理功能的终端设备,例如可以优选采用计算机设备。
进一步的,所述数据存储端选自至少具有数据存储功能的终端设备,例如可以优选机械式的普通硬盘、普通的固态硬盘、或者U盘等存储设备。
本发明实施例还提供了一种密钥管理方法,其包括:
i、在第一终端设备内写入会话密钥和数据密钥,每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥,
ii、在与第一终端设备绑定的第二终端设备内写入所述会话密钥,
iii、以第一终端设备向第二终端设备提供所述数据密钥,且在所述数据密钥的传递过程中使用所述会话密钥对所述数据密钥进行加密。
进一步的,在步骤i中,预先在第一终端设备内写入会话密钥与数据密钥,并且所述第一终端设备的写入权限为一次。
进一步的,所述会话密钥非易失性地保存在第二终端设备内,所述数据密钥易失性地保存在第二终端设备中。
进一步的,在步骤iii中,使用会话密钥对数据密钥进行加密的信息包括第一数据以及第一数据与数据密钥的运算结果,所述第一数据是第二终端设备应第一终端设备的数据请求而生成的。
进一步的,所述第一数据包括随机数,但不限于此。
本发明实施例还提供了一种认证方法,其包括:
第一终端设备向第二终端设备发送数据请求,并接收所述第二终端设备返回的第一数据;
第一终端设备根据预存的数据密钥和所述第一数据生成第一加密数据密钥;
第一终端设备根据预存的第一会话密钥、所述第一数据以及所述第一加密数据密钥,生成第一加密数据和第二加密数据密钥;
第一终端设备将所述第一加密数据和第二加密数据密钥发送给所述第二终端设备进行认证。
进一步的,所述“向第二终端设备发送数据请求”具体包括:
第一终端设备接收数据处理端的输入信息,并将其与预存信息进行比对;
若比对结果一致,则第一终端设备向第二终端设备发送数据请求。
进一步的,所述“向第二终端设备发送数据请求”具体包括:
第一终端设备接收数据处理端的输入信息,并计数;
第一终端设备判断所述数据处理端的信息输入次数是否大于等于预设值;若是,
第一终端设备至少删除所述数据密钥;若否,
第一终端设备将所述输入信息与预存信息进行比对,若比对结果一致,则向第二终端设备发送数据请求。
进一步的,所述的认证方法还可包括:
在所述数据处理端的信息输入次数大于预设值时,第一终端设备至少完全清除第一终端设备内的所有密钥信息。
进一步的,所述的认证方法还可包括:
第一终端设备接收所述数据处理端的启动请求,并返回显示数据。
进一步的,所述第二终端设备返回的第一数据为随机数,但不限于此。
进一步的,所述的认证方法还可包括:
第二终端设备接收所述第一终端设备发送的第一加密数据和第二加密数据密钥;
第二终端设备根据预存的第二会话密钥、所述第一加密数据以及第二加密数据密钥,生成第二数据和第三加密数据密钥;
第二终端设备判断所述第一数据与第二数据是否相同;若是,
第二终端设备根据所述第一数据和第三加密数据密钥,生成所述数据密钥,完成第一终端设备与第二终端设备的双向认证。
进一步的,所述的认证方法还可包括:
第二终端设备在断电状态时,销毁所述数据密钥。
本发明实施例还提供了一种数据处理方法,其包括:
第二终端设备接收第一终端设备的数据请求并返回第一数据;
第一终端设备根据预存的数据密钥和所述第一数据生成第一加密数据密钥;
第一终端设备根据预存的第一会话密钥、所述第一数据以及所述第一加密数据密钥,生成第一加密数据和第二加密数据密钥;
第二终端设备接收所述第一终端设备发送的第一加密数据和第二加密数据密钥;
第二终端设备根据预存的第二会话密钥、所述第一加密数据以及第二加密数据密钥,生成第二数据和第三加密数据密钥;
第二终端设备判断所述第一数据与第二数据是否相同;若是,
第二终端设备根据所述第一数据和第三加密数据密钥,生成所述数据密钥并完成第一终端设备与第二终端设备的双向认证;
第二终端设备在认证通过后对流经的数据进行加密或解密处理。
进一步的,所述“在认证通过后对流经的数据进行处理”具体包括:
对数据处理端发送的数据进行加密,并发送至数据存储端;和/或,
对数据存储端发送的数据进行解密,并发送至数据处理端。
进一步的,对于相互绑定的第一终端设备和第二终端设备而言,前述第一会话密钥和第二会话密钥是相同的。
更进一步的,每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥。
进一步的,对于本发明的前述各实施例而言,其中的第一终端设备也可以具有一定的数据处理能力,即包含数据处理模块,同时还具有一定的存储能力,即包含存储模块。通过数据处理模块与存储模块的配合,实现第一终端设备的前述功能。
同样的,对于本发明的前述各实施例而言,其中的第二终端设备也可以具有一定的数据处理能力,即包含数据处理模块,同时还具有一定的存储能力,即包含存储模块。通过数据处理模块与存储模块的配合,实现第二终端设备的前述功能。
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。需说明的是,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的描述也可以完全理解本发明。
在如下的实施例中涉及一种能使硬盘等存储介质实现自加密的系统,其可以包括第一终端设备和第二终端设备。
在一些应用场景中,前述第一终端设备可以被定义为Ukey或安全盾,亦即一类通过USB(通用串行总线接口)直接与计算机等终端设备相连、具有密码验证功能、高速的小型存储设备。在一些应用场景中,前述第二终端设备可以被定义为加密桥。
其中,前述Ukey至少具有如下功能,即:用于对用户身份进行认证以及与加密桥进行双向认证。
其中,前述加密桥至少具有如下功能,即:用于在所述用户身份认证以及Ukey与加密桥的双向认证均通过后,对流经加密桥的数据进行加密或解密处理。
进一步的,请参阅图1所示,在本发明的一个典型实施方案中,一个前述的自加密系统包括一个Ukey与一个与之绑定的加密桥。
其中,前述Ukey内部可以包含四个部分:引导模块(可以被定义为初始引导模块)、引导系统(可以被定义为主引导模块)、认证模块和密钥存储模块。
其中,前述加密桥内部可以包含两个部分:认证模块和加解密模块。
进一步的,请参阅图2及图3,在如下的一些应用示例中,是通过将Ukey以及加密桥与主机端(即前述的数据处理端)、硬盘(即前述的数据存储端)等连接组配而对Ukey以及加密桥中各模块的功能进行解释说明。
其中,Ukey的引导模块是主机端启动时,主机端的BIOS通过引导模块的功能启动引导系统。
其中,Ukey的引导系统是加密桥、Ukey和用户之间的中介。引导系统启动后,为用户提供简单的可视化界面,提供包括输入用户口令、硬盘智能销毁、更改用户口令等功能。其中,输入用户口令、更改用户口令等功能的目的是为了实现用户认证的功能。只有系统的合法用户,输入正确的用户口令,才可以进行自加密系统的后续操作。另外,引导系统也是加密桥和Ukey之间的中介,实现数据的转交传递功能。
其中,Ukey的认证模块主要用于实现Ukey和加密桥之间的双向认证。
其中,Ukey的密钥存储模块主要用于存储加密桥的数据密钥等,在数据密钥加载到加密桥的过程中,同时先行实现了Ukey于加密桥之间的双向认证,认证模块借助密钥存储模块读取数据密钥。
其中,加密桥的认证模块主要用于实现与Ukey的双向认证。同时在图3所示实施例中,认证模块内还可集成一随机数发生器。
其中,加密桥的加解密模块主要用于实现数据加密和解密等核心功能,获取数据密钥后加解密模块方可正常工作。加解密模块与主机端系统交互,主机端系统写入硬盘的信息,经过加解密模块采用加密算法进行加密,然后将加密数据存储到硬盘中;加解密模块存储的密文进行解密处理,再提供给主机端系统。
进一步的,若硬盘等存储介质和Ukey一并失控,若输入用户口令超过限定次数,则引导系统自动启动销毁功能,直接销毁Ukey中的数据密钥,进而,如果加密桥后端连接的是固态硬盘或其它存储介质,还可以将存储介质中的数据全部擦除销毁,加强了失控存储介质中的数据安全,降低了信息泄露的风险。本实施例加密系统的这种销毁功能,可以解决当便携式计算机系统或硬盘等存储介质失控时,保证其中的数据不被窃取。
进一步的,本实施例的加密系统可以解决存储介质中预存木马、病毒的问题,其原因在于:从存储介质中读取的所有数据,都需要经过加密桥解密,所以会破坏硬盘预置的木马、病毒,使其无法在主机端的操作系统中运行,进一步保证数据安全。
较为具体的讲,本实施例的自加密系统的身份认证包括如下两个方面:
(1)用户身份认证;
(2)Ukey和加密桥的双向认证。
进一步的,当前述主机端启动后,BIOS通过Ukey中的引导模块功能启动Ukey的引导系统。Ukey的引导系统启动后,提供一个简单的可视化界面,强制用户输入口令,引导系统将输入的用户口令与预存在Ukey中的口令进行比对,若相同则成功进入到引导系统。
在进入Ukey的引导系统后,引导系统向加密桥发出一个数据请求,例如随机数的请求,加密桥生成随机数,经引导系统传递至Ukey。Ukey对随机数、随机数与数据密钥运算结果等信息利用其会话密钥进行SM4加密处理(当然也可以是其它加密形式),经引导系统转递至加密桥。加密桥如果可以使用其会话密钥进行解密,证明两者的会话密钥一致。即,Ukey与该加密桥对应。其次,解密得到的随机数与原随机数一致,证明了数据密钥的传递方不是非法第三方的重放攻击,也是对Ukey身份的进一步认证。
较为具体的讲,本实施例的自加密系统的密钥管理机制如下:
(1)加密桥的数据密钥;
(2)动态载入数据密钥的会话密钥。
前述的数据密钥至少用于对敏感数据进行加密与解密的密钥。其中每一个加密桥对应一个独有的数据密钥。在Ukey及与之绑定的加密桥初始化时,数据密钥产生并被存储于Ukey中,加密桥中没有存储数据密钥。
前述的会话密钥至少用于对传输的数据密钥及其相关信息进行加密处理。其中,数据密钥动态载入硬盘的过程中,为了应对泄漏风险,需对相关信息进行加密处理。每一个自加密系统,对应一个独有的会话密钥。
进一步的,初始化绑定Ukey与加密桥时,Ukey中写入会话密钥、数据密钥;加密桥中写入会话密钥。
进一步的,会话密钥与数据密钥的区别之一在于,会话密钥永久保存在加密桥中,数据密钥临时保存在加密桥中,断电后即销毁。
进一步的,Ukey中密钥信息只能写入一次。在进行初始化操作时,Ukey中写入会话密钥与加密桥的数据密钥。设定其写入权限为一次,Ukey不支持多次写入功能,防止密钥信息被更改。
其中,加密桥中数据密钥的传输依赖于会话密钥的安全性,加入随机数防止重放攻击。加密桥中的数据密钥由Ukey提供,传递过程中使用会话密钥进行加密。加密的信息为随机数、随机数与数据密钥的运算结果,这样的协议设计,有效防止了重放攻击等恶意攻击,保护了数据密钥的安全性。
进一步的,例如,请参阅图4所示,在一些较为具体的应用场景中,Ukey可以通过USB接口连接到一主机端(数据处理端,例如计算机系统),用于承载引导系统,并且对用户和加密桥进行身份认证。而加密桥一端可以通过SATA线等连接到数据处理端的数据接口(例如计算机系统的主板SATA)接口上,另一端可以通过SATA线等连接到硬盘等存储介质(数据存储端,例如SATA接口的硬盘)上,用于实现在数据存储端和数据处理端之间传输且流经加密桥的数据(例如SATA存储通路上数据)的加解密。
请参阅图5示出了本实施例的自加密系统的访问控制过程,包括:
用户启动主机端后,通过Ukey中的引导模块,启动引导系统。
Ukey中的引导系统启动后,提供一个简单的可视化界面,强制用户输入口令P,引导系统将输入的用户口令与预存在Ukey中的口令进行比对,若相同则成功进入到引导系统;
进入引导系统后,加密桥和Ukey开始进行双向身份认证,引导系统向加密桥发出一个随机数的请求,加密桥接到引导系统的随机数请求后,由加密桥的随机数生成器生成一个随机数Rh,发送给引导系统;
引导系统将接收到的随机数Rh发送给Ukey;
Ukey中的认证模块使用随机数Rh与数据密钥dc进行特定运算后,生成第一加密数据密钥Token,然后使用会话密钥ds将随机数与第一加密数据密钥加密,生成第一加密随机数与第二加密数据密钥,即加密(Rh,Token),发送给引导系统;
引导系统将收到的第一加密随机数与第二加密数据密钥,即加密(Rh,Token)发送给加密桥;加密桥使用会话密钥ds将接收到的第一加密随机数与第二加密数据密钥,即加密(Rh,Token)进行解密,获得第二随机数Rh’和第三加密数据密钥Token’;
加密桥判断第二随机数Rh’与自身之前发出的随机数Rh是否相同,若相同则将随机数Rh与第三加密数据密钥进行特定运算,得到数据密钥dc,传递给加解密模块,加解密模块开始正常工作,对流经加密桥的数据进行加解密。
本实施例初始化绑定Ukey与加密桥时,Ukey中写入会话密钥ds、数据密钥dc;加密桥中写入会话密钥ds,Ukey中密钥信息只能写入一次,Ukey不支持多次写入功能,防止密钥信息被更改。
本实施例的加密系统在完成用户身份认证及Ukey与加密桥的双向认证后,引导系统可以提示用户按键F2(当然也可以设置为其它的特定键),进入高级功能区,或者按其他任意键,重新启动;高级功能区提供安装操作系统、硬盘智能销毁、修改用户口令等选项;重新启动后,进入硬盘中的操作系统。
更为具体的,在本实施例的加密系统的工作时,当主机端第一次启动的时候,因为加密桥没有数据密钥,主机端无法正常识别到连接了加密桥的硬盘中的操作系统引导文件,所以认为该硬盘不是系统盘,自动顺延启动第二个启动项(Ukey),启动Ukey的认证功能。
在Ukey与加密桥依照前述认证机制完成所有认证后,Ukey将数据密钥传递给加密桥,此时加密桥拥有了数据密钥,开始正常工作。继而,在主机端重新启动时,加密桥拥有数据密钥,所以硬盘中的数据可以被主机端识别,即主机端可以识别到硬盘中操作系统的引导文件,进而启动硬盘中的操作系统(例如安装于硬盘中的Windows系列操作系统等)。
在本实施例中,以Ukey作为数据密钥的载体,以加密桥后端连接的硬盘作为敏感数据的载体,实现了数据密钥与敏感数据的物理隔离。只有同时获取了加密桥、Ukey、硬盘与用户口令,才能窃取敏感数据,大大加强了敏感数据的保护力度,降低了信息泄漏的风险。
同时,本实施例的Ukey和加密桥对计算机系统架构和总线接口等不存在依赖性,具有广泛的适用性。
应当理解,上述实施例仅为说明本发明的技术构思及特点,其目的在于让熟悉此项技术的人士能够了解本发明的内容并据以实施,并不能以此限制本发明的保护范围。凡根据本发明精神实质所作的等效变化或修饰,都应涵盖在本发明的保护范围之内。
Claims (41)
1.一种加密方法,其特征在于,包括如下步骤:
a、提供用户界面,
b、用户通过所述用户界面输入用户口令,
c、判断用户输入的用户口令与预存在第一终端设备内的用户口令是否相同,若是则进入步骤d,若否则不进入步骤d,
d、第一终端设备向第二终端设备发出数据请求,
e、第二终端设备依据所述数据请求生成第一数据,
f、第二终端设备将所述第一数据发送至第一终端设备,
g、第一终端设备使用第一数据及数据密钥进行运算而生成第一加密数据密钥,
h、第一终端设备使用会话密钥将所述第一数据与第一加密数据密钥加密,生成第一加密随机数与第二加密数据密钥,
i、第一终端设备将所述第一加密随机数与第二加密数据密钥发送至第二终端设备,
j、第二终端设备使用会话密钥将所述第一加密随机数与第二加密数据密钥解密,获得第二数据和第三加密数据密钥;
k、第二终端设备判断第二数据与第一数据是否相同,若是则进入步骤l,若否则不进入步骤l,
l、使用第一数据与第三加密数据密钥进行运算而得到所述数据密钥,
m、第二终端设备对流经第二终端设备的数据进行加密或解密。
2.根据权利要求1所述的加密方法,其特征在于,步骤a包括:将第一终端设备与数据处理端连接,并显示用户界面;优选的,所述数据处理端选自至少具有数据处理功能的终端设备;优选的,所述数据处理端采用计算机设备。
3.根据权利要求1所述的加密方法,其特征在于:步骤c或步骤d包括:将数据处理端经第二终端设备与数据存储端连接;优选的,所述数据存储端选自至少具有数据存储功能的终端设备;优选的,所述数据存储端采用存储设备。
4.根据权利要求2所述的加密方法,其特征在于,还包括:在完成步骤l后,于所述用户界面上给予用户进入数据处理端的选定功能区或重新启动数据处理端的提示。
5.根据权利要求4所述的加密方法,其特征在于:所述的选定功能区至少能够提供如下功能:安装操作系统、硬盘智能销毁、修改用户口令中的任一者或两者以上的组合。
6.根据权利要求4所述的加密方法,其特征在于:在重新启动后,进入所述数据存储端的操作系统。
7.根据权利要求1所述的加密方法,其特征在于:在步骤m中所述“流经第二终端设备的数据”包括在数据处理端与数据存储端之间传输且流经第二终端设备的数据。
8.根据权利要求1所述的加密方法,其特征在于:所述第一终端设备内被预先写入会话密钥与数据密钥,并且所述第一终端设备的写入权限为一次。
9.根据权利要求1所述的加密方法,其特征在于:所述会话密钥非易失性地保存在第二终端设备内,所述数据密钥易失性地保存在第二终端设备中。
10.根据权利要求1-9中任一项所述的加密方法,其特征在于:每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥。
11.根据权利要求1-9中任一项所述的加密方法,其特征在于:所述第一数据包括随机数。
12.一种加密系统,其特征在于包括:
第一终端设备,至少用于对用户身份进行认证以及与第二终端设备进行双向认证;
第二终端设备,至少用于在所述用户身份认证以及第一终端设备与第二终端设备的双向认证均通过后,对流经第二终端设备的数据进行加密或解密处理。
13.根据权利要求12所述的加密系统,其特征在于:所述第一终端设备是在所述用户身份认证通过后,再与第二终端设备进行双向认证的。
14.根据权利要求12或13所述的加密系统,其特征在于,所述第一终端设备包括:
主引导模块,其在启动后至少用于:
1)使用户界面显现,
2)判断自用户界面输入的用户口令与预存于第一终端设备内的用户口令是否相同,若是则执行步骤3)的操作,若否,则不执行步骤3)的操作,
3)向第二终端设备发出数据请求,以及接收第二终端设备返回的第一数据;
第一认证模块,其至少用于:
I、根据密钥存储模块中预存的数据密钥和所述第一数据生成第一加密数据密钥,
II、根据密钥存储模块中预存的第一会话密钥、所述第一数据以及所述第一加密数据密钥,生成第一加密数据和第二加密数据密钥,
III、将所述第一加密数据和第二加密数据密钥发送给所述第二终端设备进行认证;
密钥存储模块,其至少用于存储数据密钥和第一会话密钥。
15.根据权利要求14所述的加密系统,其特征在于,所述第一终端设备还包括:
初始引导模块,至少用于在第一终端设备与数据处理端连接时,促成主引导模块的启动。
16.根据权利要求15所述的加密系统,其特征在于,所述用户界面是在数据处理端显现,而所述主引导模块至少还用于:
接收用户界面输入的用户口令,并计数;
判断用户界面输入的用户口令与预存的用户口令是否一致,若是,则向第二终端设备发送数据请求,若否,并且在用户界面连续输入错误用户口令的次数大于等于预设值,则至少删除所述数据密钥。
17.根据权利要求16所述的加密系统,其特征在于:在所述用户界面连续输入错误用户口令的次数大于等于预设值时,则第一终端设备至少清除密钥存储模块内的所有密钥信息。
18.根据权利要求14所述的加密系统,其特征在于:所述用户界面至少还用于:在所述用户身份认证以及第一终端设备与第二终端设备的双向认证均通过后,输入安装操作系统的指令和/或硬盘智能销毁的指令和/或更改用户口令和/或使与第一终端设备连接的数据处理端重新启动的指令。
19.根据权利要求14所述的加密系统,其特征在于:所述第一终端设备内被预先写入第一会话密钥与数据密钥,并且所述第一终端设备的写入权限为一次。
20.根据权利要求14所述的加密系统,其特征在于,所述第二终端设备包括:
数据生成模块,至少用于接收第一终端设备的数据请求并返回第一数据;
第二认证模块,至少用于:
①接收所述第一终端设备发送的第一加密数据和第二加密数据密钥,
②根据预存的第二会话密钥、所述第一加密数据以及第二加密数据密钥,生成第二数据和第三加密数据密钥,
③判断所述第一数据与第二数据是否相同,若是则执行步骤④的操作,若否则不执行步骤④的操作,
④根据所述第一数据和第三加密数据密钥,生成所述数据密钥,完成第一终端设备与第二终端设备的双向认证;以及
加解密模块,至少用于在所述第二终端设备获取所述数据密钥后,对流经第二终端设备的数据进行加密或解密处理;
优选的,所述数据生成模块采用随机数发生器;
优选的,所述随机数发生器集成于所述第二认证模块内。
21.根据权利要求20所述的加密系统,其特征在于,所述第二终端设备设置于数据处理端和数据存储端之间,所述加解密模块至少用于对在数据处理端和数据存储端之间传输且流经第二终端设备的数据进行加密或解密处理。
22.根据权利要求20所述的加密系统,其特征在于:所述第二会话密钥非易失性地保存在第二终端设备内,所述数据密钥易失性地保存在第二终端设备中。
23.根据权利要求12-22中任一项所述的加密系统,其特征在于:每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥。
24.根据权利要求12-22中任一项所述的加密系统,其特征在于:所述第一数据包括随机数。
25.根据权利要求21所述的加密系统,其特征在于:所述数据处理端选自至少具有数据处理功能的终端设备;优选的,所述数据处理端采用计算机设备;和/或,所述数据存储端选自至少具有数据存储功能的终端设备;优选的,所述数据存储端采用存储设备。
26.一种密钥管理方法,其特征在于,包括:
i、在第一终端设备内写入会话密钥和数据密钥,每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥,
ii、在与第一终端设备绑定的第二终端设备内写入所述会话密钥,
iii、以第一终端设备向第二终端设备提供所述数据密钥,且在所述数据密钥的传递过程中使用所述会话密钥对所述数据密钥进行加密。
27.根据权利要求26所述的密钥管理方法,其特征在于:在步骤i中,预先在第一终端设备内写入会话密钥与数据密钥,并且所述第一终端设备的写入权限为一次。
28.根据权利要求26-27中任一项所述的密钥管理方法,其特征在于:所述会话密钥非易失性地保存在第二终端设备内,所述数据密钥易失性地保存在第二终端设备中。
29.根据权利要求26所述的密钥管理方法,其特征在于:在步骤iii中,使用会话密钥对数据密钥进行加密的信息包括第一数据以及第一数据与数据密钥的运算结果,所述第一数据是第二终端设备应第一终端设备的数据请求而生成的。
30.根据权利要求29所述的密钥管理方法,其特征在于:所述第一数据包括随机数。
31.一种认证方法,其特征在于,包括:
第一终端设备向第二终端设备发送数据请求,并接收所述第二终端设备返回的第一数据;
第一终端设备根据预存的数据密钥和所述第一数据生成第一加密数据密钥;
第一终端设备根据预存的第一会话密钥、所述第一数据以及所述第一加密数据密钥,生成第一加密数据和第二加密数据密钥;
第一终端设备将所述第一加密数据和第二加密数据密钥发送给所述第二终端设备进行认证。
32.如权利要求31所述的方法,其特征在于,所述“向第二终端设备发送数据请求”具体包括:
第一终端设备接收数据处理端的输入信息,并将其与预存信息进行比对;
若比对结果一致,则第一终端设备向第二终端设备发送数据请求。
33.如权利要求31所述的方法,其特征在于,所述“向第二终端设备发送数据请求”具体包括:
第一终端设备接收数据处理端的输入信息,并计数;
第一终端设备判断所述数据处理端的信息输入次数是否大于等于预设值;若是,
第一终端设备至少删除所述数据密钥;若否,
第一终端设备将所述输入信息与预存信息进行比对,若比对结果一致,则向第二终端设备发送数据请求。
34.如权利要求33所述的方法,其特征在于,还包括:
在所述数据处理端的信息输入次数大于预设值时,第一终端设备至少完全清除第一终端设备内的所有密钥信息。
35.如权利要求33或34所述的方法,其特征在于,还包括:
第一终端设备接收所述数据处理端的启动请求,并返回显示数据。
36.如权利要求31所述的方法,其特征在于:所述第二终端设备返回的第一数据为随机数。
37.如权利要求31所述的方法,其特征在于,还包括:
第二终端设备接收所述第一终端设备发送的第一加密数据和第二加密数据密钥;
第二终端设备根据预存的第二会话密钥、所述第一加密数据以及第二加密数据密钥,生成第二数据和第三加密数据密钥;
第二终端设备判断所述第一数据与第二数据是否相同;若是,
第二终端设备根据所述第一数据和第三加密数据密钥,生成所述数据密钥,完成第一终端设备与第二终端设备的双向认证。
38.如权利要求36所述的方法,其特征在于,还包括:
第二终端设备在断电状态时,销毁所述数据密钥。
39.一种数据处理方法,其特征在于,包括:
第二终端设备接收第一终端设备的数据请求并返回第一数据;
第一终端设备根据预存的数据密钥和所述第一数据生成第一加密数据密钥;
第一终端设备根据预存的第一会话密钥、所述第一数据以及所述第一加密数据密钥,生成第一加密数据和第二加密数据密钥;
第二终端设备接收所述第一终端设备发送的第一加密数据和第二加密数据密钥;
第二终端设备根据预存的第二会话密钥、所述第一加密数据以及第二加密数据密钥,生成第二数据和第三加密数据密钥;
第二终端设备判断所述第一数据与第二数据是否相同;若是,
第二终端设备根据所述第一数据和第三加密数据密钥,生成所述数据密钥并完成第一终端设备与第二终端设备的双向认证;
第二终端设备在认证通过后对流经的数据进行加密或解密处理。
40.如权利要求39所述的方法,其特征在于,所述“在认证通过后对流经的数据进行处理”具体包括:
对数据处理端发送的数据进行加密,并发送至数据存储端;和/或
对数据存储端发送的数据进行解密,并发送至数据处理端。
41.如权利要求39所述的方法,其特征在于:每一第一终端设备及与之绑定的一第二终端设备对应一独有的会话密钥,每一第二终端设备对应一独有的数据密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710676593.7A CN107403109A (zh) | 2017-08-09 | 2017-08-09 | 加密方法及加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710676593.7A CN107403109A (zh) | 2017-08-09 | 2017-08-09 | 加密方法及加密系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107403109A true CN107403109A (zh) | 2017-11-28 |
Family
ID=60401094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710676593.7A Pending CN107403109A (zh) | 2017-08-09 | 2017-08-09 | 加密方法及加密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107403109A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109543472A (zh) * | 2018-11-22 | 2019-03-29 | 北京双洲科技有限公司 | 数据安全交换系统 |
| CN109766730A (zh) * | 2018-12-26 | 2019-05-17 | 中孚信息股份有限公司 | 一种数据安全存储的方法及装置 |
| CN110417726A (zh) * | 2019-05-27 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种密钥管理方法及相关设备 |
| CN110807186A (zh) * | 2019-11-06 | 2020-02-18 | 杭州华澜微电子股份有限公司 | 一种存储设备安全存储的方法、装置、设备和存储介质 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| CN112260833A (zh) * | 2020-12-21 | 2021-01-22 | 湖南航天捷诚电子装备有限责任公司 | 一种具有远程加密功能的服务器及加密方法 |
| CN113938278A (zh) * | 2021-10-25 | 2022-01-14 | 北京计算机技术及应用研究所 | 一种加密硬盘的密钥管理和保护方法 |
| CN116597874A (zh) * | 2023-05-13 | 2023-08-15 | 汇钜电科(东莞)实业有限公司 | 内置静电释放片的移动硬盘及防止静电积聚的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1406422A (zh) * | 2000-12-28 | 2003-03-26 | 索尼株式会社 | 发送内容数据的方法和装置,及记录和/或还原装置 |
| CN1745425A (zh) * | 2003-11-12 | 2006-03-08 | 三星电子株式会社 | 使用用户密钥来限制存储介质的使用的方法和装置 |
| CN102325320A (zh) * | 2011-09-14 | 2012-01-18 | 北京握奇数据系统有限公司 | 一种无线安全通信方法及系统 |
| US20130124854A1 (en) * | 2011-11-11 | 2013-05-16 | Taku Kato | Authenticator |
| CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
-
2017
- 2017-08-09 CN CN201710676593.7A patent/CN107403109A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1406422A (zh) * | 2000-12-28 | 2003-03-26 | 索尼株式会社 | 发送内容数据的方法和装置,及记录和/或还原装置 |
| CN1745425A (zh) * | 2003-11-12 | 2006-03-08 | 三星电子株式会社 | 使用用户密钥来限制存储介质的使用的方法和装置 |
| CN102325320A (zh) * | 2011-09-14 | 2012-01-18 | 北京握奇数据系统有限公司 | 一种无线安全通信方法及系统 |
| US20130124854A1 (en) * | 2011-11-11 | 2013-05-16 | Taku Kato | Authenticator |
| CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109543472A (zh) * | 2018-11-22 | 2019-03-29 | 北京双洲科技有限公司 | 数据安全交换系统 |
| CN109766730A (zh) * | 2018-12-26 | 2019-05-17 | 中孚信息股份有限公司 | 一种数据安全存储的方法及装置 |
| CN110417726A (zh) * | 2019-05-27 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种密钥管理方法及相关设备 |
| US11784801B2 (en) | 2019-05-27 | 2023-10-10 | Tencent Technology (Shehnzhen) Company Limited | Key management method and related device |
| CN110807186A (zh) * | 2019-11-06 | 2020-02-18 | 杭州华澜微电子股份有限公司 | 一种存储设备安全存储的方法、装置、设备和存储介质 |
| CN110807186B (zh) * | 2019-11-06 | 2022-04-15 | 杭州华澜微电子股份有限公司 | 一种存储设备安全存储的方法、装置、设备和存储介质 |
| CN111901303A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 设备认证方法和装置、存储介质及电子装置 |
| CN112260833A (zh) * | 2020-12-21 | 2021-01-22 | 湖南航天捷诚电子装备有限责任公司 | 一种具有远程加密功能的服务器及加密方法 |
| CN112260833B (zh) * | 2020-12-21 | 2021-03-09 | 湖南航天捷诚电子装备有限责任公司 | 一种具有远程加密功能的服务器及加密方法 |
| CN113938278A (zh) * | 2021-10-25 | 2022-01-14 | 北京计算机技术及应用研究所 | 一种加密硬盘的密钥管理和保护方法 |
| CN113938278B (zh) * | 2021-10-25 | 2024-03-15 | 北京计算机技术及应用研究所 | 一种加密硬盘的密钥管理和保护方法 |
| CN116597874A (zh) * | 2023-05-13 | 2023-08-15 | 汇钜电科(东莞)实业有限公司 | 内置静电释放片的移动硬盘及防止静电积聚的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107403109A (zh) | 加密方法及加密系统 | |
| US10491379B2 (en) | System, device, and method of secure entry and handling of passwords | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| CN103502992B (zh) | 用于防篡改引导的系统和方法 | |
| US8966580B2 (en) | System and method for copying protected data from one secured storage device to another via a third party | |
| EP2158716B1 (en) | Binding content licenses to portable storage devices | |
| KR101657613B1 (ko) | 보안 저장 장치에 저장된 디지털 컨텐츠의 백업 | |
| CN100533459C (zh) | 数据安全读取方法及其安全存储装置 | |
| CN109412812B (zh) | 数据安全处理系统、方法、装置和存储介质 | |
| US7861015B2 (en) | USB apparatus and control method therein | |
| US20090276474A1 (en) | Method for copying protected data from one secured storage device to another via a third party | |
| CN110324358B (zh) | 视频数据管控认证方法、模块、设备和平台 | |
| US20080016127A1 (en) | Utilizing software for backing up and recovering data | |
| JP2014059855A (ja) | 決済方法、これを実行する決済サーバ、これを実行するためのプログラム及びこれを実行するシステム | |
| CN103065102A (zh) | 基于虚拟磁盘的数据加密移动存储管理方法 | |
| CN104956620B (zh) | 用于验证和密钥交换的方法、装置和计算机可读存储媒体 | |
| CN101122942A (zh) | 数据安全读取方法及其安全存储装置 | |
| CN101578608B (zh) | 用于基于会话票证存取内容的方法及设备 | |
| CN102236607B (zh) | 一种数据安全保护方法和数据安全保护装置 | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| US7934099B2 (en) | Device and method for generating digital signatures | |
| CN110532791A (zh) | 一种针对可移动存储介质的加解密方法及系统 | |
| CN108985079B (zh) | 数据验证方法和验证系统 | |
| CN101617318A (zh) | 用于将内容与许可证链接的方法及设备 | |
| CN113010908B (zh) | 一种适用于大容量sim卡的安全存储方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| CB03 | Change of inventor or designer information |
Inventor after: Xu Xin Inventor before: Cao Tengfei Inventor before: Liao Xiaojun Inventor before: Liu Gengfang Inventor before: Xu Xin |
|
| CB03 | Change of inventor or designer information | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171128 |
|
| RJ01 | Rejection of invention patent application after publication |