[发明专利]移动数据安全存储的装置和方法

权利要求书

1.移动数据安全存储的装置，其特征在于：该装置包括数据拆分后存入的主、从存储体，每个存储体包含分别连接微控制器模块的通用串行总线USB接口模块、密码算法模块、固件存储模块、安全管理模块、随机数发生器、数据存储模块、电源模块，电源模块还为数据存储模块供电；其中USB接口模块自动响应USB事件，主存储体的USB接口模块执行主存储体与主机之间的USB数据通信，从存储体的USB接口模块执行从存储体与主存储体之间的USB数据通信；微处理器模块通过执行固件程序用于操控存储体内的其它模块，以实现各模块之间的数据交互，协调各个模块共同工作；密码算法模块执行存储数据的加/解密运算、口令值的杂凑运算；安全管理模块用于存储体的自身安全管理和数据安全管理；固件存储模块用来存储微控制器模块执行的固件程序代码；随机数发生器用来产生真随机数，作为数据加密密钥；数据存储模块用于存储用户的保密数据；电源模块用于实现电压转换，为存储体的各模块提供合适的电源电压。

2.根据权利要求1所述的移动数据安全存储的装置，其特征在于：数据存储模块是三星公司的型号为K9K8G08U0M的FLASH芯片。

3.根据权利要求2所述的移动数据安全存储的装置，其特征在于：电源模块是型号为AIC1734的电源转换芯片。

4.移动数据安全存储的方法，其特征在于：通过数据分存技术将保密数据分割后存入两个存储体，两个存储体对接成功并被主机认证后才能访问保密数据；面向用户完成存储体的安全管理、安全存储功能的驱动程序和应用程序安装在主机中；主存储体的固件程序安装在主存储体内，用于实现主存储体与主机通信，主存储体安全认证、访问控制、安全初始化，密码处理控制、密钥管理；从存储体的固件程序安装在从存储体内，用于实现从存储体与主存储体通信，从存储体安全认证、访问控制、安全初始化，密码处理控制、密钥管理。

5.根据权利要求4所述的移动数据安全存储的方法，其特征在于：所述驱动程序采用微软公司的Windows操作系统本身自带的驱动程序。

6.根据权利要求5所述的移动数据安全存储的方法，其特征在于：保密数据的分割采用拆分算法，其包括将用户选择的文件压缩成临时文件、对临时文件混洗、利用随机数随机分配。

7.根据权利要求6所述的移动数据安全存储的方法，其特征在于：主、从存储体均采用SSX20-D安全芯片，保密数据被存储在非易失性闪存NAND Flash芯片中，所述固件程序包括以下步骤：

(1)初始化NAND Flash芯片；

(2)初始化SM1密码算法；

(3)循环接收主机发送的命令并做出相应处理。

8.根据权利要求7所述的移动数据安全存储的方法，其特征在于：所述步骤(1)包括以下分步骤：

(1.1)调用硬件层接口初始化NAND Flash的硬件信息；

(1.2)通过硬件层的接口函数建立逻辑块与物理块的映射表；

(1.3)初始化存储体的枚举信息，以备操作系统枚举时使用。

9.根据权利要求8所述的移动数据安全存储的方法，其特征在于：所述步骤(2)包括以下分步骤：

(2.1)固件程序通过读取SSX20-D安全芯片密码算法只读存储区ROM中的算法标识码，以判断SSX20-D安全芯片是否下载有SM1算法，如果确定已下载了SM1算法，则固件程序将128位用户口令与其存储的杂凑值异或结果调用SM1算法脱密数据加密密钥密文，对得到的数据加密密钥进行SM1算法密钥调度，产生160字节的过程密钥；

(2.2)为减少数据加/解密过程中密钥调度时间，固件程序在初始化时已将数据加密密钥生成的过程密钥保存于SSX20-D安全芯片的安全闪存FLASH区，并设置为仅固件程序可访问，固件程序调用算法时，可直接使用过程密钥进行数据加/解密运算。

10.根据权利要求9所述的移动数据安全存储的方法，其特征在于：所述步骤(3)包括以下分步骤：

(3.1)主存储体与主机间、从存储体与主存储体间的认证在SSX20-D安全芯片控制下完成，认证口令杂凑值预置于SSX20-D安全芯片的安全FLASH区内；

(3.2)当由主机向两个存储体内写入数据时，数据先由密码算法模块加密后，再通过微处理器写入FLASH存储器内，而加密密钥密文已预置于安全存储区；

(3.3)当口令验证通过后，用口令密钥通过密钥初始化操作，脱密数据加密密钥密文，调用SM1算法产生过程密钥，暂存于安全FLASH区，主机读取两个存储体内的数据时，微处理器将FLASH内部数据读出并调用密码算法模块，脱密后再通过USB接口模块，读入主机。