[发明专利]一种加密固态存储盘

说明书

技术领域

本发明涉及数据存储和数据安全领域，特别涉及一种加密固态存储盘。

背景技术

一直以来，计算机存储装置(存储盘)的数据安全备受关注，市场上也陆续推出了各种具有加密功能的存储盘，比如加密存储卡、加密U盘、加密硬盘等。

对于加密系统来说，密钥管理是最薄弱也是最关键的一个环节，密钥的泄露将直接导致数据的泄露。密钥管理包括密钥的产生、存储、传输和保护等基本环节，从密钥管理窃取机密比用破译的方法要花费的代价要小得多，所以对密钥的管理和保护格外重要。

目前，市场的加密存储盘在数据加密的密钥(K)管理方面存在如下技术问题：

(一)密钥(K)和加解密模块一体，使密钥管理形同虚设；

(二)将密钥(K)与加密的数据存储在一起，导致了密钥的不安全；

(三)密钥(K)未加密存储，使密钥容易被恶意破解；

(四)在密钥的通讯传输方面，也缺乏有效的保密措施，从而使得密钥在传输通道上呈现透明状态，易受到侦测和破获。

总之，由于在密钥管理和保密方面存在问题，导致加密存储盘的安全等级降低，难以满足更高安全等级的市场需求。

故，针对目前现有技术中存在的上述缺陷，实有必要进行研究，以提供一种方案，解决现有技术中存在的缺陷，提供一种高安全等级的加密固态存储盘。

发明内容

为了克服上述现有技术的缺陷，本发明提供了一种将数据加密和密钥管理分离的加密固态存储盘，从而极大极高了加密固态存储盘的安全性能。

为解决现有技术存在的问题，本发明的技术方案为：

一种加密固态存储盘，该盘具有身份认证和数据加密的功能，包括通讯接口、数据加解密控制模块、身份认证及密钥管理模块、身份输入装置和固态存储介质；

所述通讯接口与外部计算机相连接，用于与外部计算机进行数据通讯；

所述身份输入装置用于采集用户输入的身份信息；

所述身份认证及密钥管理模块用于接收所述身份输入装置所采集的身份信息，与预先存储在其内的用户身份信息进行身份认证，并在身份认证通过后将存储在其内的加解密密钥发送给所述数据加解密控制模块；

所述固态存储介质用于存储经加密后的数据；

所述数据加解密控制模块与所述通讯接口、身份认证及密钥管理模块和固态存储介质相连接，数据存入时，所述数据加解密控制模块从通讯接口获取数据并根据从身份认证及密钥管理模块获取的加解密密钥对该数据进行加密后存入固态存储介质；

读取数据时，所述数据加解密控制模块从固态存储介质获取数据并根据从身份认证及密钥管理模块获取的加解密密钥对该数据进行解密后发送给通讯接口。

优选地，所述数据加解密控制模块包括控制模块、数据缓冲器、通讯接口、加解密硬件模块和密钥缓冲器，其中，

所述通讯接口用于与身份认证及密钥管理模块进行数据通讯，接收所述密钥管理模块发送的加解密密钥；

所述控制模块与所述数据缓冲器、通讯接口、加解密硬件模块和密钥缓冲器相连接，用于控制数据加解密控制模块内各个模块之间的操作；

所述加解密硬件模块用于对数据进行加解密操作；

所述数据缓冲器用于缓存数据信息；

所述密钥缓冲器为易失存储器，用于存储加解密密钥。

优选地，所述身份认证及密钥管理模块包括通讯接口、数据缓冲器、处理器、随机数产生器、身份认证模块和非易失存储介质，其中，

所述通讯接口用于与数据加解密控制模块进行数据通讯，将加解密密钥发送给所述数据加解密控制模块；

所述数据缓冲器用于缓存数据信息；

所述非易失存储介质包括密钥存储区和身份信息存储区，所述密钥存储区用于存储加解密密钥；所述身份信息存储区用于存储用户身份信息；

所述身份认证模块用于接收身份输入装置所采集的身份信息，与存储在所述非易失存储介质内的身份信息进行身份认证；

所述处理器与所述数据缓冲器、非易失存储介质、随机数产生器和身份认证模块相连接，用于根据所述身份认证模块的结果控制所述加解密密钥的发送；

所述随机数产生器用于随机产生一串字符；

所述加解密密钥为初次使用时由所述随机数产生器随机产生并存储在所述密钥存储区。

优选地，所述身份认证及密钥管理模块还包括加密模块，所述加密模块与处理器相连接，用于将加解密密钥和用户身份信息进行加密后再存储在所述非易失存储介质中。