CN116070241A - 一种移动硬盘加密控制方法 - Google Patents

一种移动硬盘加密控制方法 Download PDF

Info

Publication number
CN116070241A
CN116070241A CN202310090881.XA CN202310090881A CN116070241A CN 116070241 A CN116070241 A CN 116070241A CN 202310090881 A CN202310090881 A CN 202310090881A CN 116070241 A CN116070241 A CN 116070241A
Authority
CN
China
Prior art keywords
key
data
encryption
hard disk
mobile hard
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310090881.XA
Other languages
English (en)
Inventor
向秀群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Jiekemeng Technology Co ltd
Original Assignee
Shenzhen Jiekemeng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Jiekemeng Technology Co ltd filed Critical Shenzhen Jiekemeng Technology Co ltd
Priority to CN202310090881.XA priority Critical patent/CN116070241A/zh
Publication of CN116070241A publication Critical patent/CN116070241A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种移动硬盘加密控制方法,具体涉及移动硬盘加密技术领域,包括下列步骤:步骤S01、建立会话地址:移动硬盘与主机连接后,主机为移动硬盘配置会话窗口;步骤S02、采集指令和指纹信息;步骤S03、身份验证:若密钥验证和指纹验证成功,对主机与移动硬盘间的交互数据采用会话密钥进行加密,用户得到对解密数据进行查阅增删的操作权限;步骤S04、数据写入,若需要加密则先调用隔离器件的数据缓存区单元,将产生的日志数据传输至隔离器件的数据缓存区单元,然后向数据加密单元发送加密请求;步骤S05、使用AES引擎对缓存区数据进行加密,并将加密后的数据传输至硬盘存储模块,同时更新硬盘中的密钥。

Description

一种移动硬盘加密控制方法
技术领域
本发明涉及移动加密硬盘技术领域,更具体地说,本发明涉及一种移动硬盘加密控制方法。
背景技术
移动存储设备是人们日常生活中不可或缺的工具,移动硬盘作为性价比较高的存储产品,在相同的价格下能够为用户提供较大的存储空间,移动硬盘还具有优异的便利性,如今人们对移动硬盘的需求不再局限于传输速度、存储容量,安全性能已经成为移动存储设备的重要指标。为了提高移动硬盘的安全性,防止重要数据的泄露或者篡改,提供一种移动硬盘加密控制方法具有重要的现实意义。
在公开号为CN115544547A的专利申请文件中,提供一种移动硬盘加密方法,该方法包括以下步骤:接收隔离器件转发的加密指令,基于所述加密指令,获取与所述目标用户身份信息对应查找权限内存储的用户存储数据;基于所述目标用户身份数据以及与用户存储数据,获取与所述用户存储数据相对应的加密密文。申请中移动硬盘控制器接收隔离器件转发的加密指令,将主机与移动硬盘隔离开来,从而避免了由于主机的性能影响了对移动硬盘的访问速度;基于加密指令,获取与目标用户身份信息对应查找权限内存储的用户存储数据,通过对每一不同用户匹配不同的数据存储地址,从而可以实现对移动硬盘的读出和写入的权限的控制。
但是从上述现有技术中,采用的加密手段单一、加密效果一般,容易被破解的缺点,因此提供一种新的移动硬盘加密控制方法具有重要意义。
发明内容
为了克服现有技术的上述缺陷,本发明的实施例提供一种移动硬盘加密控制方法,通过设计主机与硬盘的信息交互方式进行加密避免通过网络解密从交互信息中提取密钥信息,通过指纹信息和密码生成会话密钥保证了交互的安全性,通过混合加密算法保证移动硬盘中数据安全性,采用主密钥、第一密钥和第二密钥三重密钥和及时更新密钥避免密钥信息泄露,以解决上述背景技术中提出的现有移动硬盘加密方法加密手段单一、加密效果一般的问题。
为实现上述目的,本发明提供如下技术方案:一种移动硬盘加密控制方法,包括下列步骤:
步骤S01、建立会话地址:移动硬盘通过USB接口连接主机并通电后,主机通过电平信号的检测识别到移动硬盘的接入,获得移动硬盘的设备信息,并对移动硬盘对内部的各模块组件进行初始化,初始化成功后,主机为移动硬盘配置一个新的地址,所述地址包括用于主机与移动硬盘间的命令、数据、状态交互的会话窗口;
步骤S02、采集指令和指纹信息:用户在会话地址窗口输入密码,主机端将密码转换为256位的主密钥,通过SCSI接口协议将主密钥传输至密钥管理模块,同时通过指纹传感器采集用户的指纹信息,根据指纹信息建立,并将主密钥和指纹信息传输至身份验证步骤中;
步骤S03、身份验证:所述身份验证包括密钥验证和指纹验证,若密钥验证和指纹验证成功,得到用户的身份信息,对主机与移动硬盘间的交互数据采用会话密钥进行加密,用户得到对解密数据进行查阅增删的操作权限;
步骤S04、数据写入:用户发出数据写请求时,先对写入的目标地址进行判断是否需要加密,若需要加密则先调用隔离器件的数据缓存区单元,将写入的数据存入数据缓存区,无论写入的目标地址是否加密,都记录用户的操作痕迹得到日志数据,将产生的日志数据传输至隔离器件的数据缓存区单元,然后向数据加密单元发送加密请求;
步骤S05、数据加密与存储:接收到隔离器件的加密请求后,使用AES引擎对缓存区数据进行加密得到加密密文,加密处理得到的日志数据和文件,并将加密后的数据传输至硬盘存储模块,同时更新硬盘中的密钥。
在一个优选地实施方式中,步骤S01中,所述命令、数据、状态交互流程为:主机发送数据包到移动硬盘,所述数据包的长度为31字节,每个数据包中包块一个命令块和一个状态块,所述命令块中包括数据传输命令,所述状态块用于描述命令执行情况,密钥正确后,移动硬盘接收命令块信息后执行数据传输命令,最后返回状态块,主机根据命令执行状态包返回的状态进行决定是否发送下一个命令包,若返回的状态块中检测到了请求失败的信息就执行复位操作。
在一个优选地实施方式中,所述会话密钥用于保证移动硬盘和主机间的通信安全,所述会话密钥动态地、仅在需要进行会话数据加密时产生,所述会话密钥由通信用户之间进行协商得到,所述密钥的计算方式为:通信产生的交互数据为T,对交互数据进行加密得到密文数据,主机向移动硬盘传输的数据为T1,对T1进行处理得到第一哈希值HT1(M),A,a表示T1的公钥和私钥,密文数据M=a×B,主机向移动硬盘传输的数据为T2,对T2进行处理得到第二哈希值HT2(M),B,b表示T2的公钥和私钥,密文数据M=A×b,其中第一哈希值的计算公式为:HT1(M)=SHA(MT1),第二哈希值的计算公式为:HT2(M)=SHA(MT2),其中M为密文数据,T1表示会话密钥,SHA表示哈希算法,若第一哈希值和第二哈希值相同则表示密文数据完整。
在一个优选地实施方式中,密钥管理模块先从SCSI协议包中解析出主密钥,再根据存储在硬盘中密钥对主密钥进行判定;所述指纹验证方式为先提取指纹特征,然后将提取的指纹信息利用加密方法得到特征数字序列,将特征数字序列与硬盘中的密钥进行对比。
在一个优选地实施方式中,所述会话密钥的生成包括下列步骤:
步骤S11、发送随机数:加密单元发送16Byte随机数RN1到指纹加密单元,指纹加密单元发送16Byte随机数RN2到加密单元;
步骤S12、生成并获取认证数据:加密单元将随机数RN2与授权序列号进行异或运算操作得到的数值作为密钥对授权序列号进行AES加密运算生成认证数据,最终加密单元将认证数据发送到指纹加密单元进行比对校验;指纹加密单元将随机数RN1与授权序列码进行异或运算操作得到的数值作为密钥对授权序列号进行AES加密运算生成认证数据,最终指纹加密单元将认证数据发送到硬盘中密钥管理模块进行比对校验;
步骤S13、比对认证数据:若比对结果一致则认证通过,比对结果不同则认证失败,认证通过后建立加密单元与指纹加密单元间的通信连接;
步骤S14、会话密钥的生成:指纹加密单元与加密桥接芯片都将随机数RN1与随机数RN2进行异或运算操作得到的数值作为密钥对随机数RN2再进行AES加密运算得到会话密钥。
在一个优选地实施方式中,步骤S05中,所述AES引擎通过混合加密算法对缓存区数据加密,得到密文和密钥,将密钥和密文保存在移动硬盘中,密钥按照一定频率更新,所述密钥包括主密钥、第一密钥和第二密钥,第一密钥是对数据直接进行加密的密钥,记为K1,第二密钥用于保护第一密钥,记为K2主密钥用于对第二密钥和第一密钥进行保护,密钥密文生成流程为:主密钥作为加密模块的初始密钥,第二密钥为加密模块的输入明文,加密模块输出的是第二密钥密文,第二密钥为加密模块的第一密钥,第一密钥为加密模块的输入明文,加密模块输出第一密钥密文。
在一个优选地实施方式中,所述混合加密算法用于给任意长度的信息段进行加密,第一密钥信息被分散存放在密钥管理模块KIC中和外部硬盘媒介Kdisk中,经过重构计算最终的K=f(KIC,Kdisk)得到最终的密钥信息,f表示加密算法函数,加密算法函数为包括字节代替、行移位、列混合、密钥扩展与加法五个操作的排列组合。
在一个优选地实施方式中,步骤S05中,解密算法包括逆字节代替、逆行移位、逆列混合、密钥扩展与加法五个操作的排列组合,所述解密算法的解密流程为加密流程的逆运算,所述解密方法包括下列步骤
步骤S21:初始化最大加密次数Nr-1和当前解密次数N=1;
步骤S22:按照排列组合顺序X1进行逆字节代替、逆行移位、逆列混合、密钥扩展与加法五个操作;
步骤S23:重复步骤S22直至N=Nr,按照排列组合顺序X2进行逆字节代替、逆行移位、逆列混合、逆密钥加法四个运算操作,最后得到数据明文。
在一个优选地实施方式中,所述方法包括预警识别步骤,先设置密钥输入错误次数的上限,达到该上限后就销毁硬盘保留区中的密文密钥,所述密钥的管理方式为:当检测到大量用户非法进行破解操作后,对移动硬盘中的数据进行锁定操作,保证硬盘数据的安全性。
在一个优选地实施方式中,所述方法应用于一种移动硬盘中,所述移动硬盘包括登录输入模块、验证模块、会话密钥管理模块、数据加密模块和分区存储模块,所述登录模块包括密码输入单元和指纹采集单元,所述指纹采集单元基于指纹传感器采集用户的指纹信息,并将采集的信息传输至验证模块;所述验证模块用于验证登录模块产生数据是否与硬盘中的密钥一致,若一致则对主机与硬盘间的交互信息进行加密;所述会话密钥管理模块用于加密主机与硬盘间的数据,通过发送随机数、生成并获取认证数据、比对认证数据最终生成会话密钥,会话密钥建立后用户能够查阅增删硬盘的数据,将得到日志数据和写入的数据传输至数据加密模块进行加密,得到密钥和密文,将密钥和密文存储在硬盘的加密存储单元中;所述硬盘分区存储模块包括加密存储单元和非加密存储单元。
本发明具体采用什么模块的什么达到了什么效果。
(1)该种移动硬盘加密控制方法中,该主机通过对输入密码进行编码,有效地防止了搭线攻击,同时也保证了用户输入的密码无法被解析出,通过会话密钥保护人机交互中密码和认证的安全性,当移动硬盘掉电后,会话密钥随之丢失,故在最大程度上降低了通信指令被非法用户截取后破解的可能性,保证了加密通信的可靠性,增强了加密通信的抗攻击能力,提升了通信的安全性。
(2)该种移动硬盘加密控制方法中,通过设计主机与硬盘的信息交互方式进行加密避免通过网络解密从交互信息中提取密钥信息,通过指纹信息和密码生成会话密钥保证了交互的安全性。
(3)通过混合加密算法保证移动硬盘中数据安全性,采用主密钥、第一密钥和第二密钥三重密钥和及时更新密钥避免密钥信息泄露的问题。
附图说明
图1为本发明的方法流程图。
图2为本发明的会话密钥生成流程图。
图3为本发明的存储数据解密流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请使用的“模块”“系统”等术语旨在包括与计算机相关的实体,例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如,模块可以是,但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说,计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内,一个模块也可以位于一台计算机上和/或分布于两台或更多台计算机之间。
实施例1
本实施例提供了如图1所示一种移动硬盘加密控制方法,包括下列步骤:
步骤S01、建立会话地址:移动硬盘通过USB接口连接主机并通电后,主机通过电平信号的检测识别到移动硬盘的接入,获得移动硬盘的设备信息,并对移动硬盘对内部的各模块组件进行初始化,初始化成功后,主机为移动硬盘配置一个新的地址,所述地址包括用于主机与移动硬盘间的命令、数据、状态交互的会话窗口;
步骤S02、采集指令和指纹信息:用户在会话地址窗口输入密码,主机端将密码转换为256位的主密钥,通过SCSI接口协议将主密钥传输至密钥管理模块,同时通过指纹传感器采集用户的指纹信息,根据指纹信息建立,并将主密钥和指纹信息传输至身份验证步骤中;
步骤S03、身份验证:所述身份验证包括密钥验证和指纹验证,若密钥验证和指纹验证成功,得到用户的身份信息,对主机与移动硬盘间的交互数据采用会话密钥进行加密,用户得到对解密数据进行查阅增删的操作权限;
步骤S04、数据写入:用户发出数据写请求时,先对写入的目标地址进行判断是否需要加密,若需要加密则先调用隔离器件的数据缓存区单元,将写入的数据存入数据缓存区,无论写入的目标地址是否加密,都记录用户的操作痕迹得到日志数据,将产生的日志数据传输至隔离器件的数据缓存区单元,然后向数据加密单元发送加密请求;
步骤S05、数据加密与存储:接收到隔离器件的加密请求后,使用AES引擎对缓存区数据进行加密得到加密密文,加密处理得到的日志数据和文件,并将加密后的数据传输至硬盘存储模块,同时更新硬盘中的密钥。
进一步的,步骤S01中,所述命令、数据、状态交互流程为:主机发送数据包到移动硬盘,所述数据包的长度为31字节,每个数据包中包块一个命令块和一个状态块,所述命令块中包括数据传输命令,所述状态块用于描述命令执行情况,密钥正确后,移动硬盘接收命令块信息后执行数据传输命令,最后返回状态块,主机根据命令执行状态包返回的状态进行决定是否发送下一个命令包,若返回的状态块中检测到了请求失败的信息就执行复位操作。
进一步的,所述会话密钥用于保证移动硬盘和主机间的通信安全,所述会话密钥动态地、仅在需要进行会话数据加密时产生,所述会话密钥由通信用户之间进行协商得到,所述密钥的计算方式为:通信产生的交互数据为T,对交互数据进行加密得到密文数据,主机向移动硬盘传输的数据为T1,对T1进行处理得到第一哈希值HT1(M),A,a表示T1的公钥和私钥,密文数据M=a×B,主机向移动硬盘传输的数据为T2,对T2进行处理得到第二哈希值HT2(M),B,b表示T2的公钥和私钥,密文数据M=A×b,其中第一哈希值的计算公式为:HT1(M)=SHA(MT1),第二哈希值的计算公式为:HT2(M)=SHA(MT2),其中M为密文数据,T1表示会话密钥,SHA表示哈希算法,若第一哈希值和第二哈希值相同则表示密文数据完整。
进一步的,密钥管理模块先从SCSI协议包中解析出主密钥,再根据存储在硬盘中密钥对主密钥进行判定;所述指纹验证方式为先提取指纹特征,然后将提取的指纹信息利用加密方法得到特征数字序列,将特征数字序列与硬盘中的密钥进行对比。
进一步地,如图2所示,所述会话密钥的生成包括下列步骤:
步骤S11、发送随机数:加密单元发送16Byte随机数RN1到指纹加密单元,指纹加密单元发送16Byte随机数RN2到加密单元;
步骤S12、生成并获取认证数据:加密单元将随机数RN2与授权序列号进行异或运算操作得到的数值作为密钥对授权序列号进行AES加密运算生成认证数据,最终加密单元将认证数据发送到指纹加密单元进行比对校验;指纹加密单元将随机数RN1与授权序列码进行异或运算操作得到的数值作为密钥对授权序列号进行AES加密运算生成认证数据,最终指纹加密单元将认证数据发送到硬盘中密钥管理模块进行比对校验;
步骤S13、比对认证数据:若比对结果一致则认证通过,比对结果不同则认证失败,认证通过后建立加密单元与指纹加密单元间的通信连接;
步骤S14、会话密钥的生成:指纹加密单元与加密桥接芯片都将随机数RN1与随机数RN2进行异或运算操作得到的数值作为密钥对随机数RN2再进行AES加密运算得到会话密钥。
进一步的,步骤S05中,所述AES引擎通过混合加密算法对缓存区数据加密,得到密文和密钥,将密钥和密文保存在移动硬盘中,密钥按照一定频率更新,所述密钥包括主密钥、第一密钥和第二密钥,第一密钥是对数据直接进行加密的密钥,记为K1,第二密钥用于保护第一密钥,记为K2主密钥用于对第二密钥和第一密钥进行保护,密钥密文生成流程为:主密钥作为加密模块的初始密钥,第二密钥为加密模块的输入明文,加密模块输出的是第二密钥密文,第二密钥为加密模块的第一密钥,第一密钥为加密模块的输入明文,加密模块输出第一密钥密文。
进一步的,所述混合加密算法用于给任意长度的信息段进行加密,第一密钥信息被分散存放在密钥管理模块KIC中和外部硬盘媒介Kdisk中,经过重构计算最终的K=f(KIC,Kdisk)得到最终的密钥信息,f表示加密算法函数,加密算法函数为包括字节代替、行移位、列混合、密钥扩展与加法五个操作的排列组合。
进一步的,步骤S05中,解密算法包括逆字节代替、逆行移位、逆列混合、密钥扩展与加法五个操作的排列组合,所述解密算法的解密流程为加密流程的逆运算,如图3所示,所述存储数据的解密方法包括下列步骤:
步骤S21:初始化最大加密次数Nr-1和当前解密次数N=1;
步骤S22:按照排列组合顺序X1进行逆字节代替、逆行移位、逆列混合、密钥扩展与加法五个操作;
步骤S23:重复步骤S22直至N=Nr,按照排列组合顺序X2进行逆字节代替、逆行移位、逆列混合、逆密钥加法四个运算操作,最后得到数据明文。
进一步的,所述方法包括预警识别步骤,先设置密钥输入错误次数的上限,达到该上限后就销毁硬盘保留区中的密文密钥,所述密钥的管理方式为:当检测到大量用户非法进行破解操作后,对移动硬盘中的数据进行锁定操作,保证硬盘数据的安全性。
进一步的,所述方法应用于一种移动硬盘中,所述移动硬盘包括登录输入模块、验证模块、会话密钥管理模块、数据加密模块和分区存储模块,所述登录模块包括密码输入单元和指纹采集单元,所述指纹采集单元基于指纹传感器采集用户的指纹信息,并将采集的信息传输至验证模块;所述验证模块用于验证登录模块产生数据是否与硬盘中的密钥一致,若一致则对主机与硬盘间的交互信息进行加密;所述会话密钥管理模块用于加密主机与硬盘间的数据,通过发送随机数、生成并获取认证数据、比对认证数据最终生成会话密钥,会话密钥建立后用户能够查阅增删硬盘的数据,将得到日志数据和写入的数据传输至数据加密模块进行加密,得到密钥和密文,将密钥和密文存储在硬盘的加密存储单元中;所述硬盘分区存储模块包括加密存储单元和非加密存储单元。
综上所述该种移动硬盘加密控制方法中,该主机通过对输入密码进行编码,有效地防止了搭线攻击,同时也保证了用户输入的密码无法被解析出,通过会话密钥保护人机交互中密码和认证的安全性,当移动硬盘掉电后,会话密钥随之丢失,故在最大程度上降低了通信指令被非法用户截取后破解的可能性,保证了加密通信的可靠性,增强了加密通信的抗攻击能力,提升了通信的安全性;通过设计主机与硬盘的信息交互方式进行加密避免通过网络解密从交互信息中提取密钥信息,通过指纹信息和密码生成会话密钥保证了交互的安全性;采用主密钥、第一密钥和第二密钥三重密钥和及时更新密钥避免密钥信息泄露,以解决上述背景技术中提出的现有移动硬盘加密方法加密手段单一、加密效果一般的问题。
本发明实施例仅仅提供一种实施方式,而不是具体的限定本发明的保护范围。
最后:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种移动硬盘加密控制方法,其特征在于:包括下列步骤:
步骤S01、建立会话地址:移动硬盘通过USB接口连接主机并通电后,主机通过电平信号的检测识别到移动硬盘的接入,获得移动硬盘的设备信息,并对移动硬盘对内部的各模块组件进行初始化,初始化成功后,主机为移动硬盘配置一个新的地址,所述地址包括用于主机与移动硬盘间的命令、数据、状态交互的会话窗口;
步骤S02、采集指令和指纹信息:用户在会话地址窗口输入密码,主机端将密码转换为256位的主密钥,通过SCSI接口协议将主密钥传输至密钥管理模块,同时通过指纹传感器采集用户的指纹信息,根据指纹信息建立,并将主密钥和指纹信息传输至身份验证步骤中;
步骤S03、身份验证:所述身份验证包括密钥验证和指纹验证,若密钥验证和指纹验证成功,得到用户的身份信息,对主机与移动硬盘间的交互数据采用会话密钥进行加密,用户得到对解密数据进行查阅增删的操作权限;
步骤S04、数据写入:用户发出数据写请求时,先对写入的目标地址进行判断是否需要加密,若需要加密则先调用隔离器件的数据缓存区单元,将写入的数据存入数据缓存区,无论写入的目标地址是否加密,都记录用户的操作痕迹得到日志数据,将产生的日志数据传输至隔离器件的数据缓存区单元,然后向数据加密单元发送加密请求;
步骤S05、数据加密与存储:接收到隔离器件的加密请求后,使用AES引擎对缓存区数据进行加密得到加密密文,加密处理得到的日志数据和文件,并将加密后的数据传输至硬盘存储模块,同时更新硬盘中的密钥。
2.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:步骤S01中,所述命令、数据、状态交互流程为:主机发送数据包到移动硬盘,所述数据包的长度为31字节,每个数据包中包块一个命令块和一个状态块,所述命令块中包括数据传输命令,所述状态块用于描述命令执行情况,密钥正确后,移动硬盘接收命令块信息后执行数据传输命令,最后返回状态块,主机根据命令执行状态包返回的状态进行决定是否发送下一个命令包,若返回的状态块中检测到了请求失败的信息就执行复位操作。
3.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:步骤S01中,所述会话密钥用于保证移动硬盘和主机间的通信安全,所述会话密钥动态地、仅在需要进行会话数据加密时产生,所述会话密钥由通信用户之间进行协商得到,所述密钥的计算方式为:通信产生的交互数据为T,对交互数据进行加密得到密文数据,主机向移动硬盘传输的数据为T1,对T1进行处理得到第一哈希值HT1(M),A,a表示T1的公钥和私钥,密文数据M=a×B,主机向移动硬盘传输的数据为T2,对T2进行处理得到第二哈希值HT2(M),B,b表示T2的公钥和私钥,密文数据M=A×b,其中第一哈希值的计算公式为:HT1(M)=SHA(MT1),第二哈希值的计算公式为:HT2(M)=SHA(MT2),其中M为密文数据,T1表示会话密钥,SHA表示哈希算法,若第一哈希值和第二哈希值相同则表示密文数据完整。
4.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:步骤S03中,所述密钥验证方式为:密钥管理模块先从SCSI协议包中解析出主密钥,再根据存储在硬盘中密钥对主密钥进行判定;所述指纹验证方式为先提取指纹特征,然后将提取的指纹信息利用加密方法得到特征数字序列,将特征数字序列与硬盘中的密钥进行对比。
5.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:步骤S03中,所述会话密钥的生成包括下列步骤:
步骤S11、发送随机数:加密单元发送16Byte随机数RN1到指纹加密单元,指纹加密单元发送16Byte随机数RN2到加密单元;
步骤S12、生成并获取认证数据:加密单元将随机数RN2与授权序列号进行异或运算操作得到的数值作为密钥对授权序列号进行AES加密运算生成认证数据,最终加密单元将认证数据发送到指纹加密单元进行比对校验;指纹加密单元将随机数RN1与授权序列码进行异或运算操作得到的数值作为密钥对授权序列号进行AES加密运算生成认证数据,最终指纹加密单元将认证数据发送到硬盘中密钥管理模块进行比对校验;
步骤S13、比对认证数据:若比对结果一致则认证通过,比对结果不同则认证失败,认证通过后建立加密单元与指纹加密单元间的通信连接;
步骤S14、会话密钥的生成:指纹加密单元与加密桥接芯片都将随机数RN1与随机数RN2进行异或运算操作得到的数值作为密钥对随机数RN2再进行AES加密运算得到会话密钥。
6.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:步骤S05中,所述AES引擎通过混合加密算法对缓存区数据加密,得到密文和密钥,将密钥和密文保存在移动硬盘中,密钥按照一定频率更新,所述密钥包括主密钥、第一密钥和第二密钥,第一密钥是对数据直接进行加密的密钥,记为K1,第二密钥用于保护第一密钥,记为K2主密钥用于对第二密钥和第一密钥进行保护,密钥密文生成流程为:主密钥作为加密模块的初始密钥,第二密钥为加密模块的输入明文,加密模块输出的是第二密钥密文,第二密钥为加密模块的第一密钥,第一密钥为加密模块的输入明文,加密模块输出第一密钥密文。
7.根据权利要求6所述的一种移动硬盘加密控制方法,其特征在于:所述混合加密算法用于给任意长度的信息段进行加密,第一密钥信息被分散存放在密钥管理模块KIC中和外部硬盘媒介Kdisk中,经过重构计算最终的K=f(KIC,Kdisk)得到最终的密钥信息,f表示加密算法函数,加密算法函数为包括字节代替、行移位、列混合、密钥扩展与加法五个操作的排列组合。
8.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:步骤S05中,解密算法包括逆字节代替、逆行移位、逆列混合、密钥扩展与加法五个操作的排列组合,所述解密算法的解密流程为加密流程的逆运算,所述解密方法包括下列步骤
步骤S21:初始化最大加密次数Nr-1和当前解密次数N=1;
步骤S22:按照排列组合顺序X1进行逆字节代替、逆行移位、逆列混合、密钥扩展与加法五个操作;
步骤S23:重复步骤S22直至N=Nr,按照排列组合顺序X2进行逆字节代替、逆行移位、逆列混合、逆密钥加法四个运算操作,最后得到数据明文。
9.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:所述方法包括预警识别步骤,先设置密钥输入错误次数的上限,达到该上限后就销毁硬盘保留区中的密文密钥,所述密钥的管理方式为:当检测到大量用户非法进行破解操作后,对移动硬盘中的数据进行锁定操作,保证硬盘数据的安全性。
10.根据权利要求1所述的一种移动硬盘加密控制方法,其特征在于:所述方法应用于一种移动硬盘中,所述移动硬盘包括登录输入模块、验证模块、会话密钥管理模块、数据加密模块和分区存储模块,所述登录模块包括密码输入单元和指纹采集单元,所述指纹采集单元基于指纹传感器采集用户的指纹信息,并将采集的信息传输至验证模块;所述验证模块用于验证登录模块产生数据是否与硬盘中的密钥一致,若一致则对主机与硬盘间的交互信息进行加密;所述会话密钥管理模块用于加密主机与硬盘间的数据,通过发送随机数、生成并获取认证数据、比对认证数据最终生成会话密钥,会话密钥建立后用户能够查阅增删硬盘的数据,将得到日志数据和写入的数据传输至数据加密模块进行加密,得到密钥和密文,将密钥和密文存储在硬盘的加密存储单元中;所述硬盘分区存储模块包括加密存储单元和非加密存储单元。
CN202310090881.XA 2023-02-09 2023-02-09 一种移动硬盘加密控制方法 Pending CN116070241A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310090881.XA CN116070241A (zh) 2023-02-09 2023-02-09 一种移动硬盘加密控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310090881.XA CN116070241A (zh) 2023-02-09 2023-02-09 一种移动硬盘加密控制方法

Publications (1)

Publication Number Publication Date
CN116070241A true CN116070241A (zh) 2023-05-05

Family

ID=86183450

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310090881.XA Pending CN116070241A (zh) 2023-02-09 2023-02-09 一种移动硬盘加密控制方法

Country Status (1)

Country Link
CN (1) CN116070241A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451263A (zh) * 2023-06-16 2023-07-18 深圳市彦胜科技有限公司 硬盘数据的储存方法、装置、设备及存储介质
CN117272350A (zh) * 2023-11-16 2023-12-22 苏州元脑智能科技有限公司 数据加密密钥管理方法、装置、存储控制卡及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451263A (zh) * 2023-06-16 2023-07-18 深圳市彦胜科技有限公司 硬盘数据的储存方法、装置、设备及存储介质
CN116451263B (zh) * 2023-06-16 2023-08-22 深圳市彦胜科技有限公司 硬盘数据的储存方法、装置、设备及存储介质
CN117272350A (zh) * 2023-11-16 2023-12-22 苏州元脑智能科技有限公司 数据加密密钥管理方法、装置、存储控制卡及存储介质
CN117272350B (zh) * 2023-11-16 2024-02-13 苏州元脑智能科技有限公司 数据加密密钥管理方法、装置、存储控制卡及存储介质

Similar Documents

Publication Publication Date Title
WO2020237868A1 (zh) 数据传输方法、电子设备、服务器及存储介质
US8683232B2 (en) Secure user/host authentication
CN102945355B (zh) 基于扇区映射的快速数据加密策略遵从
CN101939754B (zh) 使用混合匹配的手指感测设备及相关方法
KR100334720B1 (ko) 보안기능을 갖는 어댑터 및 이를 이용한 컴퓨터 보안시스템
EP1415430B1 (en) A method and a system for processing information in an electronic device
CN102855452B (zh) 基于加密组块的快速数据加密策略遵从
CN107908574B (zh) 固态盘数据存储的安全保护方法
CN116070241A (zh) 一种移动硬盘加密控制方法
CN101971182B (zh) 颁发证书的手指感测设备及相关方法
CN101441601B (zh) 一种硬盘ata指令的加密传输的方法及系统
US20230368194A1 (en) Encryption method and decryption method for payment key, payment authentication method, and terminal device
KR101078546B1 (ko) 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템
CN111460455B (zh) 自加密固态硬盘的密钥协商方法、安全引导方法及系统
CN101730886B (zh) 安全性存储系统及其使用方法
CN113541935A (zh) 一种支持密钥托管的加密云存储方法、系统、设备、终端
US20090187770A1 (en) Data Security Including Real-Time Key Generation
JP2008005408A (ja) 記録データ処理装置
CN113986470B (zh) 一种用户无感知的虚拟机批量远程证明方法
CN112787996A (zh) 一种密码设备管理方法及系统
CN101777097A (zh) 一种可监控的移动存储装置
CN114553566B (zh) 数据加密方法、装置、设备及存储介质
CN107967432B (zh) 一种安全存储装置、系统及方法
KR101327193B1 (ko) 사용자 접근추적이 가능한 이동식 저장매체 보안 방법
CN112149167B (zh) 一种基于主从系统的数据存储加密方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination