TW201329779A

TW201329779A - 於兩裝置間保護資料存取之方法及系統

Info

Publication number: TW201329779A
Application number: TW101144342A
Authority: TW
Inventors: Chao-Chung Hsien
Original assignee: Htc Corp
Priority date: 2011-12-01
Filing date: 2012-11-27
Publication date: 2013-07-16
Also published as: TW201324225A; CN103218571A; CN103218571B; TWI489315B; US20130145166A1; TWI484812B; US20150222438A1; US9270466B2; CN103136463B; CN103177223B; US20130145140A1; US9240889B2; TWI463349B; US9276753B2; US9054874B2; US20130145171A1; CN103177223A; CN103136463A; TW201325174A

Abstract

本發明提供一種於兩裝置間保護資料存取之方法。該方法包含：擷取第一電子裝置及儲存裝置的獨特資訊；根據獨特資訊產生加密鑰匙；產生用以保護一資料檔案的密碼串；根據加密鑰匙將密碼串加密；及將資料檔案上鎖並和加密之密碼串一起儲存於儲存裝置。

Description

於兩裝置間保護資料存取之方法及系統

本發明係關於一種於兩裝置間保護資料存取之方法及系統，尤指一種用以保護密碼產生之方法及系統。

資料安全在目前是一個相當重要之課題，其用以保護資料以防止未經授權之存取，進而確保個人或敏感資料之隱私。一種簡單保護資料的方法是利用密碼將資料上鎖。舉例來說，使用者可操作行動裝置以執行一應用程式，進而將敏感檔案壓縮，並利用使用者決定之密碼將檔案上鎖，如此，上鎖之檔案可以安全地被儲存及保護於記憶卡中。然而，密碼有時容易被破解，或者當密碼太複雜時，使用者容易忘記密碼。因此，提供可安全且有效率地保護密碼之保護機制，對使用者而言非常有幫助。

本發明之一實施例提供一種於兩裝置間保護資料存取之方法。該方法包含：擷取第一電子裝置及儲存裝置的獨特資訊；根據獨特資訊產生加密鑰匙；產生用以保護資料檔案的密碼串；根據加密鑰匙將密碼串加密；及將資料檔案上鎖並和加密之密碼串一起儲存於儲存裝置。

本發明之另一實施例提供一種資料安全系統。該資料安全系統包含一處理單元，用以處理資料檔案，該處理單元包含鑰匙產生器，用以根據對應於儲存裝置及處理單元的獨特資訊產生加密鑰匙；及一密碼產生器，用以根據加密鑰匙產生加密之密碼串；及一儲存單元，用以儲存資料檔案及加密之密碼串。

本發明之另一實施例提供一種保護資料存取之方法，包含由處理單元接收一請求以存取儲存於一儲存單元的被保護之資料檔案；分別擷取對應於處理單元及儲存單元之獨特資訊；根據獨特資訊產生一解密鑰匙；根據解密鑰匙解鎖被保護之資料檔案；及根據解鎖結果允許存取被保護之資料檔案。

本發明揭露一種利用獨特資訊於兩裝置間保護資料存取之方法及系統。為了保護資料檔案，可經由隨機方式產生密碼，並根據一鑰匙進行加密。該鑰匙係從兩裝置之獨特資訊推導而來，且可以避免密碼被未經認證之裝置解密。資料檔案可以被密碼上鎖並和加密之密碼儲存在一起。為了存取上鎖之資料檔案，加密之密碼必須先被解密以提供保護機制。

請參考第1圖，第1圖為本發明一實施例之於一電子裝置產生安全密碼的示意圖。在本實施例中，除了其他元件，電子裝置100包含處理單元110及儲存單元120。處理單元110係用以處理資料檔案130，且至少包含一鑰匙產生器112及一密碼產生器113。處理單元110係用以在傳送及/或儲存資料檔案130於儲存單元120或其他儲存裝置之前，利用安全密碼保護資料檔案130來處理資料檔案130。處理單元110之鑰匙產生器112係用以根據處理單元110及/或儲存單元120之某些獨特資訊來產生用以加密一密碼的鑰匙，該儲存單元為資料檔案所要儲存之處(例如在本實施例中儲存於儲存單元120)。密碼產生器113可接收鑰匙產生器112產生之鑰匙，並用以根據鑰匙產生與資料檔案130相關之安全密碼140。安全密碼140及被密碼鎖住之資料檔案130之後被傳送並儲存於儲存單元120。在本發明的一實施例中，資料檔案130可被進一步壓縮後再儲存。處理單元110可另包含一資料存取介面單元(未圖式)用以接收存取資料檔案之請求。

處理單元110可以是中央處理單元、應用處理器、專用處理器及/或其他相似裝置。儲存單元120可以是內部儲存單元，例如嵌入式多媒體卡(embedded multimedia card,eMMC)、SATA硬碟、PCIE硬碟、快閃記憶體及/或其他記憶體。儲存單元120亦可以是電子裝置100之外部儲存單元，例如安全數位(secure digital,SD)記憶卡、微型安全數位(micro SD)記憶卡、通用序列埠(universal serial bus,USB)記憶體、唯讀記憶體或任何合適之外部記憶體。再者，儲存單元120可支援電子裝置100之熱插拔功能。若欲從儲存單元120存取資料檔案130，安全密碼140必須先被驗證。

接下來請參考第2圖及第3圖，其為說明本發明一實施例產生安全密碼的示意圖。在傳送上鎖之資料檔案130至儲存單元120之前，處理單元110根據對應於處理單元110及儲存單元120之獨特資訊產生一安全密碼。如第2圖之實施例所示，獨特資訊可以是處理單元110及儲存單元120之識別資料114、124。識別資料可以是，舉例來說，裝置序列碼、國際移動設備識別(international mobile equipment identity,IMEI)碼、媒體存取控制位址(MAC address)及/或其他類似資訊。處理單元110可擷取及/或儲存對應於儲存單元 120之第二識別資料124。之後處理單元110之第一識別資料114和第二識別資料124一起被處理，以根據一預定演算法產生鑰匙142。鑰匙142可以藉由字串組合及/或雜湊(hash)計算來產生。在本發明之實施例中，此預定演算法可以是一邏輯運算，例如XOR運算。邏輯運算之結果可進一步藉由雜湊計算(例如SHA256演算法)以產生鑰匙142。第2圖之流程可由第1圖之鑰匙產生器112執行。

當產生鑰匙142之後，鑰匙142可進一步用以產生安全密碼，例如一加密之密碼串。請再參考第3圖，密碼144可以由一硬體或軟體產生器隨機地產生。密碼144再和一資料串146一起經過處理，以根據一第一演算法產生密碼串148。資料串146亦可以由硬體或軟體產生器隨機地產生。為了提供較佳的保護，密碼144可被分散於資料串146中，以將密碼144隱藏起來。在本發明的一實施例中，資料串146之長度(位元數目)係較密碼144長，例如密碼144是32位元組，而資料串146是1024位元組。在本發明的一實施例中，密碼串148可以由混合密碼144及資料串146來產生。舉例來說，密碼144之每一位元或位元組可以分散至資料串146之每一預定位元/位元組之間隔，例如密碼144之第一位元組可以插入資料串146之第32及33位元組之間，密碼144之第二位元組可以插入資料串146之第64及65位元組之間，以此類推。在本發明另一實施例中，密碼串148可以是將密碼144之每一位元/位元組依照某一預定順序分別取代資料串146之特定位元/位元組而產生。舉例來說，資料串146之第一位元組被密碼144之第一位元組取代，資料串146之第33位元組被密碼144之第二位元組取代，以此類推。密碼串148之後根據一第二演算法被鑰匙142加密以產生加密之密碼串140。第二演算法可以是任何合適之演算法，例如SHA265演算法。

依據上述實施例，第4圖繪示本發明一實施例之保護資料存取之方法的示意圖。為了保護即將儲存或已儲存於儲存裝置之資料檔案，可根據某些安全資訊來產生安全密碼，此安全資訊只能由特定之裝置所取得，而資料檔案可以利用密碼來上鎖。獨特資訊可以是識別資訊，例如裝置序列碼、國際移動設備識別碼及/或媒體存取控制位址等。在本方法中，對應於用以處理資料檔案之電子裝置及用以儲存資料檔案之儲存裝置的獨特資訊係在步驟S410中被擷取。在步驟S420中，加密鑰匙係根據獨特資訊產生，同時用以保護資料檔案之密碼串係於步驟S430產生。密碼串可以是隨機產生及/或進一步經由一預定演算法處理。在步驟S440中，密碼串根據另一預定演算法被加密鑰匙加密。之後，在步驟S450中，資料檔案被上鎖並和加密之密碼串一起儲存於儲存裝置中。儲存裝置中可以是電子裝置之內部或外部儲存裝置。之後，在步驟S460中，為了回應請求裝置用來存取檔案之請求，加密之密碼串被解密以解鎖資料檔案。若加密之密碼串被成功解密，請求裝置可存取或解鎖資料檔案。若加密之密碼串無法被解密，則請求裝置無法存取或解鎖資料檔案。在本發明另一實施例中，若資料檔案已於儲存時事先被壓縮，資料檔案可進一步被解壓縮。

第5圖說明本發明另一實施例保護資料存取之方法的示意圖。本方法可以應用於一電子裝置，例如第1圖中之電子裝置100。電子裝置除了其他元件外，包含一處理單元，且電性連接於一儲存單元。儲存單元可以是電子裝置的內部或外部儲存裝置。處理單元係用以存取儲存單元之資料。在步驟S510中，對應於處理單元及儲存單元之識別資訊被處理單元擷取出來。識別資訊是用來於步驟S520中產生加密鑰匙。加密鑰匙可經由預定演算法產生，例如SHA演算法。之後，處理單元分別於步驟S530及步驟S540中產生密碼及資料串。密碼及資料串可以由硬體或軟體產生器產生。再者，資料串之長度可以大於密碼之長度。在本發明的一實施例中，資料串長度可以比密碼長度長N倍，N是整數。在步驟S550中，密碼被分散於資料串中以產生密碼串。密碼之位元/位元組可依據預定順序取代資料串146之特定位元/位元組。舉例來說，資料串之第M/N位元(組)被密碼之第N位元(組)取代，其中M是資料串之長度，而N是密碼之長度。密碼串於步驟S560中被加密鑰匙加密，以產生一加密之鑰匙串用以於處理單元存取資料檔案及儲存單元儲存資料檔案時保護資料檔案。密碼串可以根據已知之預定演算法被加密。

請參考第6圖，並一併參考第1圖，資料檔案130及加密之密碼串140一起儲存於儲存單元120中。為了回應要求存取資料檔案130之請求，加密之密碼串140需要被解密以解鎖資料檔案130，否則資料檔案130無法被存取。第6圖示意本發明一實施例之解密加密之密碼串示意圖。加密之密碼串240根據一第三算法被鑰匙242解密。如上所述，加密之密碼串240係根據對應於處理資料檔案130之處理單元及儲存單元的獨特資訊所產生。在第1圖的實施例中，加密之密碼串係根據處理單元110及儲存單元120之識別資料所產生。因此，用以解密加密之密碼串的鑰匙必須和用以加密此加密之密碼串240的鑰匙匹配。也就是說只有具有識別資訊114及124之處理單元能產生鑰匙242。相似地，用以解密加密之密碼串的第三演算法係和用以加密此加密之密碼串的第二演算法匹配，且是由經過認證之處理單元所擁有。

為了推導出密碼244，加密之密碼串240利用鑰匙242經由第三演算法處理以產生一密碼串248。密碼串248進一步經由第四演算法處理以產生最終之密碼244。相似地，第四演算法係和第一演算法匹配。在本發明的一實施例中，識別資訊及加解密演算法只被用以處理資料檔案130的處理單元所擁有。在這種情況下，沒有其他處理單元或裝置可以解鎖資料檔案130，因為其他處理單元或裝置的識別資訊無法和處理單元之第一識別資料吻合。若解密之密碼244和第3圖之密碼144吻合，資料檔案130可以成功地被解鎖。若無法吻合，代表嘗試要存取資料檔案之裝置不是電子裝置100，因此資料檔案130仍然被鎖住。舉例來說，電子裝置100是一話機，處理單元110是一應用處理器，且儲存單元是一安全數位記憶卡。資料檔案130是被應用處理器產生之密碼144上鎖，並儲存於其他裝置無法存取之安全數位記憶卡。因此，即使安全數位記憶卡遺失了，話機之主人無須擔心資料檔案被其他人存取，因為資料檔案只能被原本話機解鎖。

第7圖說明本發明另一實施例之保護資料存取之方法的示意圖。在步驟S710中，處理單元接收一請求以存取儲存於儲存單元之被保護之資料檔案。被保護之資料檔案係由一加密之密碼所保護。為了解鎖被保護之資料檔案，步驟S720分別擷取對應於處理單元及儲存單元之獨特資訊。獨特資訊可以是識別資料，例如裝置序列碼、國際移動設備識別碼、媒體存取控制位址及/或其他適合資訊。之後一解密鑰匙於步驟S730中根據獨特資訊產生。解密鑰匙可以利用預定演算法處理識別資訊所產生。在本發明的一實施例中，解密鑰匙可如第2圖之流程所產生。在步驟S740中，被保護之資料檔案根據解密鑰匙被解鎖。在本發明的一實施例中，加密之密碼串可如第6圖之流程被解密，且解密之密碼244可用以解鎖被保護之資料檔案。之後在步驟S750中，可根據解鎖結果判斷是否允許存取被保護之資料檔案。當解鎖失敗時，被保護之資料檔案維持上鎖以防止被存取。

相較於先前技術，本發明提供一種保護密碼之方法。密碼可以由隨機方式產生，並進一步隱藏於加密的隨機資料串中，因此密碼不容易被破解。再者，當儲存單元連接至原本的電子裝置時，密碼可以自動地得到，而被保護的資料檔案，例如上鎖之資料檔案，在儲存單元連接至其他的電子裝置時無法被存取。

以上所述僅為本發明之較佳實施例，凡依本發明申請專利範圍所做之均等變化與修飾，皆應屬本發明之涵蓋範圍。

100‧‧‧電子裝置

110‧‧‧處理單元

112‧‧‧鑰匙產生器

113‧‧‧密碼產生器

114‧‧‧第一識別資料

120‧‧‧儲存單元

124‧‧‧第二識別資料

130‧‧‧資料檔案

140‧‧‧加密之密碼串

142‧‧‧鑰匙

144‧‧‧密碼

146‧‧‧資料串

148‧‧‧密碼串

240‧‧‧加密之密碼串

242‧‧‧鑰匙

244‧‧‧密碼

248‧‧‧密碼串

S410-S460,S510-S560,S710-S750‧‧‧步驟

第1圖為本發明實施例於電子裝置產生安全密碼的示意圖。

第2圖為說明本發明實施例產生安全密碼的示意圖。

第3圖為說明本發明產生安全密碼的實施例的示意圖。

第4圖說明本發明實施例保護資料存取之方法的示意圖。

第5圖說明本發明另一實施例保護資料存取之方法的示意圖。

第6圖為說明本發明實施例從加密之密碼串擷取密碼的示意圖。

第7圖說明本發明另一實施例保護資料存取之方法的示意圖。

S410-S460‧‧‧步驟

Claims

一種於兩裝置間保護資料存取之方法，包含：擷取對應於一第一電子裝置與一儲存裝置的獨特資訊；根據該獨特資訊產生一加密鑰匙；產生一密碼串用以保護一資料檔案；根據該加密鑰匙將該密碼串加密；及將該資料檔案上鎖並和該加密之密碼串一起儲存於該儲存裝置。
如請求項1所述之方法，更包含於該第一電子裝置中執行該擷取、產生及加密之步驟。
如請求項1所述之方法，另包含：相應於一請求裝置對於存取該資料檔案的一請求，解鎖被該密碼串保護之該資料檔案。
如請求項3所述之方法，其中該解鎖之步驟另包含：根據對應於該請求裝置及該儲存裝置的獨特資訊產生一解密鑰匙；根據該解密鑰匙解密該加密之密碼串以得到一解密密碼；及驗證該解密密碼以解鎖該資料檔案。
如請求項1所述之方法，其中該加密該密碼串之步驟另包含：隨機產生一資料串；及根據一預定演算法將一密碼分散於該資料串以形成該密碼串。
如請求項1所述之方法，另包含：根據該密碼串之至少部分位元壓縮該資料檔案。
一種資料安全系統，包含：一處理單元，用以處理一資料檔案，該處理單元包含：一鑰匙產生器，用以根據對應於該儲存裝置及該處理單元的獨特資訊產生一加密鑰匙；及一密碼產生器，用以根據該加密鑰匙產生一加密之密碼串；及一儲存單元，用以儲存該資料檔案及該加密之密碼串。
如請求項7所述之資料安全系統，其中該密碼產生器更進一步用來產生一密碼串，及根據該加密鑰匙加密該密碼串以產生該加密之密碼串。
如請求項8所述之資料安全系統，其中該密碼串係根據一預定演算法從一密碼及一資料串產生。
如請求項9所述之資料安全系統，其中該密碼及該資料串係隨機產生，且該預定演算法係一分散演算法。
如請求項7所述之資料安全系統，其中該處理單元係一行動裝置，且該儲存單元係下列其中之一：該行動裝置之內部儲存裝置、連接於該行動裝置之外部儲存裝置、安全數位(secure digital,SD)記憶卡、微型安全數位(micro SD)記憶卡；及其中該獨特資訊係從下列其中之一選取：識別碼、序列碼、國際移動設備識別(international mobile equipment identity,IMEI)碼、媒體存取控制位址(MAC address)。
如請求項7所述之資料安全系統，其中該處理單元更進一步用來在儲存該資料檔案於該儲存單元之前壓縮該資料檔案。
如請求項7所述之資料安全系統，其中該處理單元另包含一資料存取介面單元，用來接收一請求以存取該資料檔案。
如請求項13所述之資料安全系統，其中該處理單元更進一步用來根據對應於該儲存裝置及該處理單元的獨特資訊解密該加密之密碼串。
一種保護資料存取之方法，包含：一處理單元接收一請求以存取儲存於一儲存單元之一被保護之資料檔案；分別擷取對應於該處理單元及該儲存單元之獨特資訊；根據該獨特資訊產生一解密鑰匙；根據該解密鑰匙解鎖該被保護之資料檔案；及根據該解鎖結果允許存取該被保護之資料檔案。
如請求項15所述之方法，其中該解鎖該被保護之資料檔案之步驟另包含解壓縮該被保護之資料檔案。
如請求項15所述之方法，其中該解鎖該被保護之資料檔案之步驟另包含：根據該解密鑰匙解鎖和該被保護之資料檔案儲存在一起之一密碼串；根據一預定演算法從該解密之密碼串產生一密碼；及驗證該密碼以存取該被保護之資料檔案。
如請求項17所述之方法，其中該密碼驗證成功時，允許該處理單元存取該被保護之資料檔案。
如請求項17所述之方法，其中該密碼驗證失敗時，上鎖該被保護之資料檔案以防止被存取。