一種基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)加密存儲(chǔ)技術(shù)領(lǐng)域�����,特別涉及一種基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法���。
【背景技術(shù)】
[0002]存儲(chǔ)安全是目前安全技術(shù)發(fā)展的趨勢(shì)之一,對(duì)存儲(chǔ)數(shù)據(jù)的保護(hù)也是國(guó)際安全界關(guān)注的重點(diǎn)技術(shù)�。真正的安全應(yīng)該要從保障數(shù)據(jù)做起,而非單純的對(duì)攻擊的防御��。
[0003]存儲(chǔ)安全從上世紀(jì)九十年代末開始��,逐漸從網(wǎng)絡(luò)信息安全中脫離出來(lái)��,發(fā)展成獨(dú)立的領(lǐng)域�,以美國(guó)為主的發(fā)達(dá)國(guó)家各研宄機(jī)構(gòu)在政府的支持下大力開展相關(guān)研宄,并取得了很多成果����。而目前國(guó)內(nèi)大量的研宄、開發(fā)和實(shí)際應(yīng)用都集中在網(wǎng)絡(luò)安全和系統(tǒng)安全上����,存儲(chǔ)安全的研宄與技術(shù)開發(fā)處于起步階段�。很多存儲(chǔ)廠商的“存儲(chǔ)安全產(chǎn)品”也僅止步于使用訪問(wèn)口令或初級(jí)加密等簡(jiǎn)單的加密機(jī)制��,國(guó)內(nèi)研發(fā)和生產(chǎn)存儲(chǔ)保護(hù)產(chǎn)品在技術(shù)上尚存在加密算法���、數(shù)據(jù)塊存儲(chǔ)模式等很多技術(shù)上的難點(diǎn)�����。
[0004]目前����,國(guó)內(nèi)市場(chǎng)上銷售的加密存儲(chǔ)產(chǎn)品�����,大部分采用的軟加密的方式或直接采用國(guó)外進(jìn)口的密碼主控芯片�����,不符合國(guó)家商用密碼管理政策�����,在安全性上達(dá)不到對(duì)敏感數(shù)據(jù)保護(hù)的要求�����。
[0005]針對(duì)國(guó)內(nèi)加密存儲(chǔ)技術(shù)存在的現(xiàn)有問(wèn)題�����,本發(fā)明提出了一種基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法�。旨在填補(bǔ)國(guó)內(nèi)加密存儲(chǔ)產(chǎn)品的空白,實(shí)現(xiàn)敏感數(shù)據(jù)保護(hù)的安全性和可靠性�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明為了彌補(bǔ)現(xiàn)有技術(shù)的缺陷,提供了一種安全可靠的基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法��。
[0007]本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的:
一種基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法��,其特征在于:在存儲(chǔ)設(shè)備中增加認(rèn)證加密控制模塊���,所述認(rèn)證加密控制模塊采用國(guó)產(chǎn)密碼技術(shù)和國(guó)產(chǎn)密碼芯片���,具有身份認(rèn)證和數(shù)據(jù)加解密兩個(gè)功能,數(shù)據(jù)加解密算法全部采用國(guó)產(chǎn)密碼算法�;一旦存儲(chǔ)設(shè)備加電使用,所述認(rèn)證加密控制模塊即可直接啟用,實(shí)現(xiàn)所存儲(chǔ)數(shù)據(jù)的訪問(wèn)控制和加密存儲(chǔ)����。
[0008]所述存儲(chǔ)設(shè)備可以是U盤、SSD固態(tài)盤��、HDD硬盤�。
[0009]數(shù)據(jù)的加解密密鑰在所述國(guó)產(chǎn)密碼芯片中生成,且不可導(dǎo)出�����,所有的加解密運(yùn)算過(guò)程均在所述國(guó)產(chǎn)密碼芯片中完成�,加密后的數(shù)據(jù)通過(guò)合法的認(rèn)證后才能獲得原始明文數(shù)據(jù)。
[0010]所述國(guó)產(chǎn)加密芯片設(shè)有自毀裝置��,用于防止暴力拆解獲得原始存儲(chǔ)數(shù)據(jù)�����。
[0011]本發(fā)明基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法���,包括以下步驟:
(I)存儲(chǔ)設(shè)備加電,所述認(rèn)證加密控制模塊直接被啟用�,在認(rèn)證加密控制模塊中設(shè)定身份認(rèn)證口令并在國(guó)產(chǎn)密碼芯片中生成加解密密鑰; (2)數(shù)據(jù)寫入的過(guò)程:身份認(rèn)證通過(guò)后����,傳入的數(shù)據(jù)由國(guó)產(chǎn)密碼芯片中的密鑰進(jìn)行加密����,加密后的密文寫入Flash或磁片�;
(3)數(shù)據(jù)讀出的過(guò)程:身份認(rèn)證通過(guò)后,從Flash或磁片中讀取的密文經(jīng)過(guò)國(guó)產(chǎn)密碼芯片解密后���,將明文傳出��;
(4)如果身份認(rèn)證不通過(guò)�����,就不能調(diào)用國(guó)產(chǎn)密碼芯片中的密鑰�����,所有操作將不能進(jìn)行���,直接回到認(rèn)證界面;
(5)當(dāng)國(guó)產(chǎn)密碼芯片被暴力破解或非法讀取時(shí)����,所述國(guó)產(chǎn)密碼芯片的自毀裝置��,將自動(dòng)銷毀內(nèi)部數(shù)據(jù)��。
[0012]本發(fā)明的有益效果是:該基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法���,不同于以往的軟加密空文件頭訪問(wèn)控制,本發(fā)明認(rèn)證加密控制模塊直接作用于存儲(chǔ)設(shè)備的傳輸通道上�����,并為計(jì)算機(jī)訪問(wèn)接口提供認(rèn)證加密接口 ��;本發(fā)明采用國(guó)產(chǎn)密碼技術(shù)和國(guó)產(chǎn)密碼芯片���,數(shù)據(jù)加解密算法全部采用國(guó)產(chǎn)密碼算法�����,填補(bǔ)了國(guó)內(nèi)加密存儲(chǔ)產(chǎn)品的空白����,實(shí)現(xiàn)了敏感數(shù)據(jù)保護(hù)的安全性和可靠性��。
【附圖說(shuō)明】
[0013]附圖1為本發(fā)明認(rèn)證加密控制模塊連接結(jié)構(gòu)示意圖����。
[0014]附圖2為本發(fā)明身份認(rèn)證方法示意圖。
[0015]附圖3為本發(fā)明使用國(guó)產(chǎn)密碼加解密方法示意圖��。
【具體實(shí)施方式】
[0016]下面結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明�����。
[0017]該基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法����,在存儲(chǔ)設(shè)備中增加認(rèn)證加密控制模塊,所述認(rèn)證加密控制模塊采用國(guó)產(chǎn)密碼技術(shù)和國(guó)產(chǎn)密碼芯片�����,具有身份認(rèn)證和數(shù)據(jù)加解密兩個(gè)功能�����,數(shù)據(jù)加解密算法全部采用國(guó)產(chǎn)密碼算法���;一旦存儲(chǔ)設(shè)備加電使用�����,所述認(rèn)證加密控制模塊即可直接啟用�����,實(shí)現(xiàn)所存儲(chǔ)數(shù)據(jù)的訪問(wèn)控制和加密存儲(chǔ)����。
[0018]所述存儲(chǔ)設(shè)備可以是U盤、SSD固態(tài)盤�、HDD硬盤。
[0019]數(shù)據(jù)的加解密密鑰在所述國(guó)產(chǎn)密碼芯片中生成����,且不可導(dǎo)出,所有的加解密運(yùn)算過(guò)程均在所述國(guó)產(chǎn)密碼芯片中完成�,加密后的數(shù)據(jù)通過(guò)合法的認(rèn)證后才能獲得原始明文數(shù)據(jù)。
[0020]所述國(guó)產(chǎn)加密芯片設(shè)有自毀裝置�,用于防止暴力拆解獲得原始存儲(chǔ)數(shù)據(jù)。
[0021]本發(fā)明基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法�����,包括以下步驟:
(1)存儲(chǔ)設(shè)備加電����,所述認(rèn)證加密控制模塊直接被啟用,在認(rèn)證加密控制模塊中設(shè)定身份認(rèn)證口令并在國(guó)產(chǎn)密碼芯片中生成加解密密鑰�;
(2)數(shù)據(jù)寫入的過(guò)程:身份認(rèn)證通過(guò)后,傳入的數(shù)據(jù)由國(guó)產(chǎn)密碼芯片中的密鑰進(jìn)行加密���,加密后的密文寫入存儲(chǔ)設(shè)備的Flash芯片或磁片����;
(3)數(shù)據(jù)讀出的過(guò)程:身份認(rèn)證通過(guò)后�����,從Flash芯片或磁片中讀取的密文經(jīng)過(guò)國(guó)產(chǎn)密碼芯片解密后��,將明文傳出��;
(4)如果身份認(rèn)證不通過(guò)���,就不能調(diào)用國(guó)產(chǎn)密碼芯片中的密鑰����,所有操作將不能進(jìn)行��,直接回到認(rèn)證界面; (5)當(dāng)國(guó)產(chǎn)密碼芯片被暴力破解或非法讀取時(shí)��,所述國(guó)產(chǎn)密碼芯片的自毀裝置��,將自動(dòng)銷毀內(nèi)部數(shù)據(jù)���。
[0022]下面以存儲(chǔ)設(shè)備U盤為例�����,進(jìn)一步對(duì)發(fā)明進(jìn)行詳細(xì)說(shuō)明����。
[0023]在U盤的數(shù)據(jù)傳輸通道上�����,增加一個(gè)認(rèn)證加密控制模塊����。在U盤的主板上增加一個(gè)FPGA (Field-Programmable Gate Array)芯片和國(guó)產(chǎn)密碼芯片,對(duì)計(jì)算機(jī)與U盤的數(shù)據(jù)流進(jìn)行加�、解密處理。FPGA芯片實(shí)現(xiàn)與USB接口和Flash芯片的之間的數(shù)據(jù)傳輸處理和認(rèn)證控制處理�,國(guó)產(chǎn)密碼芯片實(shí)現(xiàn)加解密密鑰的生成和存儲(chǔ)����。
[0024]在U盤第一加電后�����,將設(shè)定訪問(wèn)口令和生成密鑰����。在以后的使用過(guò)程中���,如果口令認(rèn)證通過(guò)���,將會(huì)獲得國(guó)產(chǎn)密碼芯片中的加解密密鑰,并開始存儲(chǔ)數(shù)據(jù)的讀寫操作����,寫入的數(shù)據(jù)自動(dòng)經(jīng)過(guò)密鑰的加密形成密文,讀出的數(shù)據(jù)同樣自動(dòng)由密鑰進(jìn)行解密��。如果未通過(guò)���,將不能調(diào)用加解密密鑰�,重新進(jìn)行身份認(rèn)證。如果進(jìn)行暴力拆解�,將會(huì)自動(dòng)銷毀密碼芯片及其中存儲(chǔ)的密鑰。
[0025]以上所述的實(shí)施例���,只是本發(fā)明【具體實(shí)施方式】的一種��,本領(lǐng)域的技術(shù)人員在本發(fā)明技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換都應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)���。
【主權(quán)項(xiàng)】
1.一種基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法,其特征在于:在存儲(chǔ)設(shè)備中增加認(rèn)證加密控制模塊���,所述認(rèn)證加密控制模塊采用國(guó)產(chǎn)密碼技術(shù)和國(guó)產(chǎn)密碼芯片��,具有身份認(rèn)證和數(shù)據(jù)加解密兩個(gè)功能���,數(shù)據(jù)加解密算法全部采用國(guó)產(chǎn)密碼算法;一旦存儲(chǔ)設(shè)備加電使用�,所述認(rèn)證加密控制模塊即可直接啟用,實(shí)現(xiàn)所存儲(chǔ)數(shù)據(jù)的訪問(wèn)控制和加密存儲(chǔ)�����。2.根據(jù)權(quán)利要求1所述的基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法,其特征在于:所述存儲(chǔ)設(shè)備可以是U盤�、SSD固態(tài)盤、HDD硬盤����。3.根據(jù)權(quán)利要求1所述的基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法,其特征在于:數(shù)據(jù)的加解密密鑰在所述國(guó)產(chǎn)密碼芯片中生成���,且不可導(dǎo)出����,所有的加解密運(yùn)算過(guò)程均在所述國(guó)產(chǎn)密碼芯片中完成�,加密后的數(shù)據(jù)通過(guò)合法的認(rèn)證后才能獲得原始明文數(shù)據(jù)��。4.根據(jù)權(quán)利要求1所述的基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法�����,其特征在于:所述國(guó)產(chǎn)加密芯片設(shè)有自毀裝置��,用于防止暴力拆解獲得原始存儲(chǔ)數(shù)據(jù)�����。5.根據(jù)權(quán)利要求1、2���、3或4所述的基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法�����,其特征在于包括以下步驟: (1)存儲(chǔ)設(shè)備加電����,所述認(rèn)證加密控制模塊直接被啟用�,在認(rèn)證加密控制模塊中設(shè)定身份認(rèn)證口令并在國(guó)產(chǎn)密碼芯片中生成加解密密鑰; (2)數(shù)據(jù)寫入的過(guò)程:身份認(rèn)證通過(guò)后����,傳入的數(shù)據(jù)由國(guó)產(chǎn)密碼芯片中的密鑰進(jìn)行加密,加密后的密文寫入Flash或磁片����; (3)數(shù)據(jù)讀出的過(guò)程:身份認(rèn)證通過(guò)后,從Flash或磁片中讀取的密文經(jīng)過(guò)國(guó)產(chǎn)密碼芯片解密后�,將明文傳出; (4)如果身份認(rèn)證不通過(guò)���,就不能調(diào)用國(guó)產(chǎn)密碼芯片中的密鑰�,所有操作將不能進(jìn)行,直接回到認(rèn)證界面���; (5)當(dāng)國(guó)產(chǎn)密碼芯片被暴力破解或非法讀取時(shí)��,所述國(guó)產(chǎn)密碼芯片的自毀裝置�����,將自動(dòng)銷毀內(nèi)部數(shù)據(jù)�。
【專利摘要】本發(fā)明特別涉及一種基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法��。該基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法�����,在存儲(chǔ)設(shè)備中增加認(rèn)證加密控制模塊�����,所述認(rèn)證加密控制模塊采用國(guó)產(chǎn)密碼技術(shù)和國(guó)產(chǎn)密碼芯片����,數(shù)據(jù)加解密算法全部采用國(guó)產(chǎn)密碼算法���。該基于國(guó)產(chǎn)密碼算法的數(shù)據(jù)加密存儲(chǔ)的方法���,不同于以往的軟加密空文件頭訪問(wèn)控制��,本發(fā)明認(rèn)證加密控制模塊直接作用于存儲(chǔ)設(shè)備的傳輸通道上���,并為計(jì)算機(jī)訪問(wèn)接口提供認(rèn)證加密接口;本發(fā)明采用國(guó)產(chǎn)密碼技術(shù)和國(guó)產(chǎn)密碼芯片�,數(shù)據(jù)加解密算法全部采用國(guó)產(chǎn)密碼算法,填補(bǔ)了國(guó)內(nèi)加密存儲(chǔ)產(chǎn)品的空白���,實(shí)現(xiàn)了敏感數(shù)據(jù)保護(hù)的安全性和可靠性�����。
【IPC分類】H04L9/06, H04L9/32, H04L9/08
【公開號(hào)】CN104901810
【申請(qǐng)?zhí)枴緾N201510294652
【發(fā)明人】王金超, 于治樓, 于曉艷
【申請(qǐng)人】浪潮集團(tuán)有限公司
【公開日】2015年9月9日
【申請(qǐng)日】2015年6月2日