国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種usb接口的ata類存儲設(shè)備中數(shù)據(jù)的加密裝置的制作方法

      文檔序號:6473193閱讀:192來源:國知局
      專利名稱:一種usb接口的ata類存儲設(shè)備中數(shù)據(jù)的加密裝置的制作方法
      技術(shù)領(lǐng)域
      本實用新型涉及一種USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,用于保護(hù)存 儲設(shè)備中數(shù)據(jù)的機(jī)密性,并且能夠禁止對存儲設(shè)備未經(jīng)許可的訪問,屬于信息安全領(lǐng) 域。
      背景技術(shù)
      目前,基于USB接口的移動存儲設(shè)備由于能夠為用戶提供較大的存儲空間,且具有 攜帶方便,速度快以及即插即用的特點(diǎn),獲得了眾多用戶的青睞,已經(jīng)成為用戶交換 數(shù)據(jù)的常用設(shè)備。其中,基于USB接口的ATA類存儲設(shè)備是最常用的一類。
      但是,由于移動存儲設(shè)備上的數(shù)據(jù)若以明文形式存儲,極易被非法用戶獲取。因 此,必須限制非法用戶的訪問,并防止移動存儲設(shè)備丟失、被盜和廢棄而引發(fā)的泄密 問題。
      用戶認(rèn)證和數(shù)據(jù)加密是解決該問題的重要技術(shù)手段。常用的加密方式分為兩種 軟件加密和硬件加密。然而,軟件加密存在著加解密速度慢、需要相關(guān)的操作系統(tǒng)和 應(yīng)用程序支持、對用戶不透明、占用系統(tǒng)資源,而且加密軟件自身也會存在安全漏洞 (如加密程序可能被中止、加密密鑰駐留內(nèi)存等),攻擊者利用這些安全漏洞將會對移 動存儲中敏感數(shù)據(jù)的安全性造成威脅。
      采用硬件加密機(jī)制則完全避免了這些問題加解密速度快、不依賴于特定操作系
      統(tǒng)或其他應(yīng)用程序、對用戶完全透明、對系統(tǒng)性能沒有顯著的影響,而且加密密鑰獨(dú)
      立于操作系統(tǒng)和應(yīng)用程序加載,防止了來自存儲設(shè)備上惡意代碼的攻擊。即使移動存
      儲設(shè)備被盜,只要保證密鑰的安全性,盜竊者也無法獲得移動存儲設(shè)備中的機(jī)密數(shù)據(jù) 摔自
      我們經(jīng)過檢索國內(nèi)專利、非專利文獻(xiàn)及互聯(lián)網(wǎng)資源,共檢索出以下與USB接口ATA 類存儲設(shè)備加密方法和裝置密切相關(guān)的資料
      "語音、圖像數(shù)字移動硬盤"專利中提出了一種語音、圖像數(shù)字移動硬盤。它在主機(jī)IDE接口和硬盤之間引入特定型號的加密IC,用來對交互的數(shù)據(jù)進(jìn)行加解密操作。此
      加密IC遵從智能卡串行通信協(xié)議,加密速度慢,并且加密是以文件為粒度的,依賴于
      操作系統(tǒng),對用戶不透明。
      "具有安全加密功能的USB移動存儲設(shè)備"專利中提出了一種具有安全加密功能的 USB移動存儲設(shè)備,通過驅(qū)動程序與相關(guān)軟件的配合實現(xiàn)加密,存在前面所述軟件加密 的缺點(diǎn)和安全漏洞,安全性不高。
      "基于通用串行總線接口的安全加密盒存儲裝置"專利中提出了一種基于通用串 行總線接口和智能卡進(jìn)行在線和本機(jī)身份認(rèn)證和對文件加/解密并存儲以對文件安全 網(wǎng)絡(luò)傳輸?shù)募用苎b置。它采用智能卡對數(shù)據(jù)進(jìn)行加密,加解密速度慢,并且需要相應(yīng) 的讀卡設(shè)備。
      "百事靈"超級加密型移動硬盤采用的是3DES加密算法來進(jìn)行加密。旅之星的"黑 金剛"移動硬盤聲稱采用的是硬件加密技術(shù),但是并沒有對所采用的加密算法進(jìn)行說 明。深圳亞略特公司又推出了采用硬加密技術(shù)的指紋移動硬盤ARATEK-FMD,也沒有對 所采用的加密算法進(jìn)行說明。而本實用新型中的加密系統(tǒng)可以支持NIST認(rèn)證的加密算 法或者我國自主開發(fā)的強(qiáng)加密算法,并且采用硬件加密技術(shù)和用戶身份認(rèn)證技術(shù)相結(jié) 合的方法,速度快、安全性高。
      聯(lián)想公司的"一種移動存儲裝置及存取移動存儲裝置中加密數(shù)據(jù)的方法"專利中 提出了一種對移動存儲設(shè)備進(jìn)行加解密的裝置及數(shù)據(jù)加密方法。但是此種加密是通過 與移動存儲設(shè)備相連的計算機(jī)進(jìn)行軟件加密的,存在安全隱患安全,而且直接由計算 機(jī)從用戶卡中讀取密鑰,安全性不高。
      聯(lián)想公司的"可獨(dú)立于計算機(jī)的移動外存內(nèi)容加密方法"專利中提出了一種對移 動外存的內(nèi)容進(jìn)行加密的方法。但是它仍依賴于所使用計算機(jī)的操作系統(tǒng),并且移動 外存中保存有密碼,密鑰未與被加密數(shù)據(jù)獨(dú)立存放,存在致命的安全隱患,且所采用 的加密方式仍然是軟件加密。
      綜上,檢索的結(jié)論是國內(nèi)在安全移動存儲設(shè)備方面的研究已經(jīng)取得了一定的成果,也已經(jīng)有相應(yīng)的產(chǎn)品面世。但是,到目前為止還沒有采用純硬件加密、將數(shù)據(jù)加 密和身份認(rèn)證相結(jié)合、不依賴操作系統(tǒng)和軟件、支持所有USB接口和強(qiáng)分組密碼算法
      或其它變換操作的ATA類存儲設(shè)備的高速加密裝置。
      發(fā)明內(nèi)容
      要解決的技術(shù)問題
      為了避免現(xiàn)有技術(shù)的不足之處,本實用新型提出一種USB接口的ATA類存儲設(shè)備 中數(shù)據(jù)的加密裝置,在加密裝置正確連接存儲設(shè)備和USB主機(jī)后,實現(xiàn)對存儲設(shè)備中 數(shù)據(jù)的保護(hù)。
      技術(shù)方案
      一種USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在于所述的裝置由用 戶密鑰卡和硬件加密板卡組成;用戶密鑰卡為具有安全計算功能的智能卡;所述的硬 件加密板卡由USB收發(fā)器、USB設(shè)備控制器、控制端點(diǎn)緩沖區(qū)、批量端點(diǎn)緩沖區(qū)、主控 制器、加解密模塊、ATA控制器、密鑰獲取模塊和安全訪問模塊組成USB收發(fā)器接收 USB接口的串行數(shù)據(jù),經(jīng)串并轉(zhuǎn)換后將數(shù)據(jù)包發(fā)送到USB設(shè)備控制器,同時將USB總線狀 態(tài)發(fā)送到USB設(shè)備控制器;將USB設(shè)備控制器的并行數(shù)據(jù)經(jīng)串行化后驅(qū)動至ljUSB接口;USB 設(shè)備控制器從USB收發(fā)器接收并行數(shù)據(jù)和總線狀態(tài);按照USB協(xié)議解析并行數(shù)據(jù),將控 制傳輸數(shù)據(jù)包寫入控制端點(diǎn)緩沖區(qū),向主控制器發(fā)送控制輸出中斷請求;將批量傳輸 數(shù)據(jù)包寫入批量端點(diǎn)緩沖區(qū),向主控制器發(fā)送批量輸出中斷請求;接收主控制器的控 制輸入中斷請求,從控制端點(diǎn)緩沖區(qū)讀取數(shù)據(jù),將其轉(zhuǎn)發(fā)給USB收發(fā)器;接收主控制器 的批量輸入中斷請求,從批量端點(diǎn)緩沖區(qū)讀取數(shù)據(jù),將其轉(zhuǎn)發(fā)到USB收發(fā)器;控制端點(diǎn) 緩沖區(qū)接收USB設(shè)備控制器的控制傳輸數(shù)據(jù)包,對數(shù)據(jù)進(jìn)行暫存,由主控制器讀取;接 收主控制器的控制傳輸命令響應(yīng)數(shù)據(jù),對數(shù)據(jù)進(jìn)行暫存,由USB設(shè)備控制器讀取;批量 端點(diǎn)緩沖區(qū)接收USB設(shè)備控制器輸出的批量傳輸數(shù)據(jù)包,對數(shù)據(jù)包進(jìn)行暫存,供主控制 器讀??;批量端點(diǎn)緩沖區(qū)接收USB設(shè)備控制器輸出的批量傳輸數(shù)據(jù)包,對數(shù)據(jù)包進(jìn)行暫 存,供主控制器讀?。恢骺刂破鹘邮誙SB設(shè)備控制器的控制輸出中斷請求,從控制端點(diǎn)緩沖區(qū)讀取控制傳輸數(shù)據(jù)包,解析包中的USB命令類型,將控制傳輸命令響應(yīng)數(shù)據(jù)寫入
      控制端點(diǎn)緩沖區(qū),向USB設(shè)備控制器發(fā)送控制輸入中斷請求;接收USB設(shè)備控制器的批 量輸出中斷請求,從批量端點(diǎn)緩沖區(qū)中讀取批量傳輸數(shù)據(jù)包,將解析出的ATA命令參數(shù) 塊寫入ATA控制器,將解析出的ATA數(shù)據(jù)寫入加解密模塊;向加解密模塊發(fā)送加解密控 制信號(加密還是解密),寫入需要加解密的數(shù)據(jù)長度;接收加解密模塊的狀態(tài)信息, 使能或者禁止對加解密模塊的讀寫操作;接收ATA控制器返回的數(shù)據(jù),并寫入批量端點(diǎn) 緩沖區(qū);從加解密模塊讀取數(shù)據(jù),寫入批量端點(diǎn)緩沖區(qū);在向批量端點(diǎn)緩沖區(qū)寫入數(shù) 據(jù)時,向USB設(shè)備控制器發(fā)送批量輸入中斷請求;加解密模塊接收密鑰獲取模塊的工作 密鑰KW;接收主控制器發(fā)送的加解密控制信號和需要加解密的數(shù)據(jù)長度;接收主控制 器寫入的數(shù)據(jù),對其進(jìn)行加密,將加密結(jié)果輸出給ATA控制器;接收ATA控制器寫入的 數(shù)據(jù),對其進(jìn)行解密,將解密結(jié)果輸出給主控制器;向主控制器返回加解密模塊的狀 態(tài)信息;ATA控制器接收主控制器寫入的ATA命令參數(shù)塊,通過IDE接口將其寫入ATA類 存儲設(shè)備;從加解密模塊讀取加密結(jié)果,按照ATA協(xié)議規(guī)定的時序?qū)⒓用芙Y(jié)果通過IDE 接口輸出給ATA類存儲設(shè)備;通過IDE接口接收ATA類存儲設(shè)備返回的數(shù)據(jù)、設(shè)備參數(shù)和 設(shè)備狀態(tài),將數(shù)據(jù)寫入加解密模塊,將設(shè)備參數(shù)和設(shè)備狀態(tài)輸出到主控制器;密鑰獲 取模塊通過串行通信接口向用戶密鑰卡和安全訪問模塊發(fā)送用于雙向身份認(rèn)證的智能 卡命令;接收從用戶密鑰卡中獲取密鑰素材Dk;將密鑰素材Dk發(fā)送給安全訪問模塊;
      接收安全訪問模塊返回的工作密鑰KW;安全訪問模塊接收并執(zhí)行密鑰獲取模塊發(fā)送的
      智能卡命令,向密鑰獲取模塊返回命令執(zhí)行結(jié)果和工作密鑰Kw。 有益效果
      本實用新型中的加密裝置在底層進(jìn)行純硬件的加密,加密速度快,還具有適應(yīng)大 容量存儲設(shè)備的特點(diǎn)。
      本實用新型采用硬件加密技術(shù),并且密鑰直接由加密裝置讀取,不經(jīng)過存儲設(shè)備 所連接的計算機(jī),安全性高。而且加解密速度快,獨(dú)立于操作系統(tǒng),并且密鑰保存于 專門的硬件密鑰存儲卡,密鑰與被保護(hù)數(shù)據(jù)獨(dú)立存放,確保數(shù)據(jù)的安全。

      圖l:基于USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置 圖2: USB設(shè)備控制器
      圖3:主控制器模塊 圖4:加解密模塊
      圖5: ATA控制器
      圖6:密鑰獲取模塊
      具體實施方式
      現(xiàn)結(jié)合附圖對本實用新型作進(jìn)一步描述
      實施本裝置由用戶密鑰卡和硬件加密板卡組成。 用戶密鑰卡為具有安全計算功能的智能卡,遵循串行通信協(xié)議,使用明華澳漢公
      司的SIC04智能卡;存儲代表用戶身份的認(rèn)證密鑰Kua、鑒別用戶密鑰卡讀取者身份 的認(rèn)證密鑰Kea、工作密鑰素材Dk,由用戶保管并在需要時插入硬件加密板卡相應(yīng)的 接口中;用于鑒別硬件加密板卡的合法性、表明自己的身份、向身份合法的硬件加密 板卡提供密鑰素材。
      所述的硬件加密板卡中存儲代表自己身份的認(rèn)證密鑰Kea、鑒別用戶身份的認(rèn)證 密鑰Kua;用于表明自己的身份、鑒別用戶密鑰卡的合法性、獲取密鑰素材Dk、計算 工作密鑰Kw,完成與USB主機(jī)的通信、MASS STORAGE協(xié)議處理、數(shù)據(jù)加解密,實現(xiàn)對 ATA類存儲設(shè)備的數(shù)據(jù)讀寫;硬件加密板卡由USB收發(fā)器、USB設(shè)備控制器、控制端點(diǎn) 緩沖區(qū)、批量端點(diǎn)緩沖區(qū)、主控制器、加解密模塊、ATA控制器、密鑰獲取模塊和安 全訪問模塊構(gòu)成。
      所述的USB設(shè)備控制器由UTMI接口、協(xié)議引擎、包封裝單元、包解封裝單元以及CRC 計算單元1和CRC計算單元2組成;UTMI接口接收USB收發(fā)器傳來的并行數(shù)據(jù)和USB總線的 狀態(tài)信息,給USB收發(fā)器發(fā)送速度協(xié)調(diào)信息,給協(xié)議引擎發(fā)送設(shè)備工作模式信息,將并 行數(shù)據(jù)發(fā)送給包解封單元;UTMI接口接收包封裝單元發(fā)來的USB數(shù)據(jù)包,并轉(zhuǎn)發(fā)給USB收發(fā)器;包解封裝單元接收UTMI接口發(fā)來的USB數(shù)據(jù)包,按照USB協(xié)議進(jìn)行解析,發(fā)送 有效數(shù)據(jù)傳給CRC計算單元2,從CRC計算單元2讀取計算結(jié)果,進(jìn)行CRC校驗,將解析信 息及校驗結(jié)果傳給協(xié)議引擎;CRC計算單元2接收包解封裝單元的有效數(shù)據(jù),并將計算 結(jié)果返回給包解封裝單元;協(xié)議引擎接收包解封裝單元發(fā)送的解析信息和校驗結(jié)果; 當(dāng)為控制傳輸時,將數(shù)據(jù)寫入控制數(shù)據(jù)緩沖區(qū)模塊中,當(dāng)校驗結(jié)果正確時,發(fā)送控制 輸出中斷請求信號給主控制器,校驗結(jié)果錯誤時則清除所寫內(nèi)容;當(dāng)為批量傳輸時, 將數(shù)據(jù)寫入批量數(shù)據(jù)緩沖區(qū)模塊中,當(dāng)校驗結(jié)果正確時,發(fā)送批量輸出中斷請求信號 給主控制器,校驗結(jié)果錯誤時則清除所寫內(nèi)容;協(xié)議引擎接收來自UTMI接口的設(shè)備工 作模式信息,接收來自主控制器的控制輸入中斷請求信號和批量輸入中斷請求信號, 從控制數(shù)據(jù)緩沖區(qū)或者批量數(shù)據(jù)緩沖區(qū)中讀取數(shù)據(jù),并將設(shè)備工作模式信息、USB包 PID信息和數(shù)據(jù)域信息傳給包封裝單元;包封裝單元接收協(xié)議引擎發(fā)送的設(shè)備工作模式 信息、USB包PID信息和數(shù)據(jù)域信息,將數(shù)據(jù)域信息發(fā)送給CRC計算單元1,從CRC計算單 元l讀回計算結(jié)果,按照USB協(xié)議進(jìn)行組裝,將組裝好的數(shù)據(jù)包傳給UTMI接口; CRC計算 單元l接收包封裝單元發(fā)送的數(shù)據(jù)域信息,并將計算結(jié)果返回給包封裝單元。
      所述的控制端點(diǎn)緩沖區(qū)包括一個控制輸入緩沖區(qū)和一個控制輸出緩沖區(qū);當(dāng)為控 制輸出事務(wù)時,控制輸出緩沖區(qū)接收USB設(shè)備控制器發(fā)送的有效數(shù)據(jù),并將數(shù)據(jù)傳給主 控制器;當(dāng)為控制輸入事務(wù)時,控制輸出緩沖區(qū)接收主控制器發(fā)送的有效數(shù)據(jù),并將 數(shù)據(jù)傳給USB設(shè)備控制器。
      所述的批量端點(diǎn)緩沖區(qū)包括一個批量輸入緩沖區(qū)和一個批量輸出緩沖區(qū);當(dāng)為批 量輸出事務(wù)時,批量輸出緩沖區(qū)接收USB設(shè)備控制器發(fā)送的有效數(shù)據(jù),并將數(shù)據(jù)傳給主 控制器;當(dāng)為批量輸入事務(wù)時,批量輸出緩沖區(qū)接收主控制器發(fā)送的有效數(shù)據(jù),并將 數(shù)據(jù)傳給USB設(shè)備控制器。
      所述的主控制器由命令解碼器l、命令解碼器2、命令響應(yīng)器l、命令響應(yīng)器2構(gòu)成; 命令解碼器1接收USB設(shè)備控制器發(fā)送的控制輸出中斷請求,從控制端點(diǎn)緩沖區(qū)讀取標(biāo) 準(zhǔn)USB請求包,對命令包進(jìn)行解碼,以獲取當(dāng)前傳輸命令及參數(shù),將命令及參數(shù)寫入到命令響應(yīng)器l,并啟動命令響應(yīng)器l;命令解碼器2接收USB設(shè)備控制器發(fā)送的批量輸出
      中斷請求,從批量端點(diǎn)緩沖區(qū)讀取MASS STORAGE命令包,對命令包進(jìn)行解碼,以獲取 當(dāng)前傳輸命令及參數(shù),將命令及參數(shù)寫入到命令響應(yīng)器2,并啟動命令響應(yīng)器2;命令 響應(yīng)器l將控制傳輸響應(yīng)數(shù)據(jù)寫入控制端點(diǎn)緩沖區(qū),并向USB設(shè)備控制器發(fā)送控制輸入 中斷請求;命令響應(yīng)器2根據(jù)來自命令解碼器的命令及參數(shù)將ATA傳輸命令參數(shù)塊寫入 ATA控制器,加解密工作參數(shù)寫入加解密模塊,將來自ATA控制器的響應(yīng)數(shù)據(jù)寫入批量 端點(diǎn)緩沖區(qū),并向USB設(shè)備控制器發(fā)送批量輸入中斷請求,或者將輸出數(shù)據(jù)包直接轉(zhuǎn)發(fā) 到加解密模塊;命令響應(yīng)器2接收加解密模塊的狀態(tài)信息,使能或者禁止主控制器和ATA 控制器對加解密模塊的讀寫操作。
      所述的加解密模塊由控制單元、選擇器l、數(shù)據(jù)組裝單元、加解密器、數(shù)據(jù)拆分單 元和選擇器2組成;控制單元接收主控制器輸入的當(dāng)前工作模式信號(加密還是解密)、 待加密數(shù)據(jù)長度,接收密鑰獲取模塊輸入的工作密鑰Kw和密鑰準(zhǔn)備好信號;向主控制 器返回加解密模塊的當(dāng)前狀態(tài),向選擇器l、數(shù)據(jù)組裝單元、數(shù)據(jù)拆分單元和選擇器2
      寫入當(dāng)前工作模式加密或解密,向加解密器寫入當(dāng)前工作模式加密或解密、待加 密數(shù)據(jù)長度、工作密鑰Kw、使能加解密啟動信號;選擇器l接收控制單元設(shè)置的當(dāng)前工 作模式加密或解密,加密時從批量端點(diǎn)緩沖區(qū)或者解密時從ATA控制器讀取數(shù)據(jù),提
      供給數(shù)據(jù)組裝單元;數(shù)據(jù)組裝單元接收控制單元設(shè)置的當(dāng)前工作模式加密或解密,
      加密時將選擇器1輸入的8位數(shù)據(jù)或者解密時16位數(shù)據(jù)組裝成加解密器要求的長度,組 裝好的數(shù)據(jù)寫入加解密器;加解密器為實現(xiàn)所選取加解密算法的IP核,接收控制單元
      設(shè)置的當(dāng)前工作模式加密或解密,使用工作密鑰KW對數(shù)據(jù)組裝單元輸入的數(shù)據(jù)進(jìn)行
      加密或者解密計算,將計算結(jié)果輸出到數(shù)據(jù)拆分單元,向控制單元返回加解密器的工
      作狀態(tài);數(shù)據(jù)拆分單元接收控制單元設(shè)置的當(dāng)前工作模式(加密還是解密),加密時將 加解密器的加密結(jié)果轉(zhuǎn)化為多個16位數(shù)據(jù)或者解密時多個8位數(shù)據(jù),拆分后的數(shù)據(jù)通過
      選擇器2輸出;選擇器2接收控制單元設(shè)置的當(dāng)前工作模式加密或解密,加密時將數(shù)
      據(jù)拆分單元的數(shù)據(jù)輸出到ATA控制器或者解密時批量端點(diǎn)緩沖區(qū)。所述的ATA控制器由傳輸控制單元、寄存器組、PI0狀態(tài)機(jī)、DMA狀態(tài)機(jī)、CRC16計 算單元組成;傳輸控制單元接收主控制器寫入的ATA命令塊、無需加密的數(shù)據(jù),向主控 制器返回ATA類存儲設(shè)備的狀態(tài)、錯誤信息、無需加密的數(shù)據(jù);從加解密模塊讀取已經(jīng) 加密好的數(shù)據(jù),向加解密模塊寫入需要解密的數(shù)據(jù);將ATA命令塊、數(shù)據(jù)寫入寄存器組, 從寄存器組中讀取數(shù)據(jù)和ATA存儲設(shè)備的狀態(tài)信息、錯誤信息和參數(shù)信息;向PIO狀態(tài) 機(jī)和DMA狀態(tài)機(jī)發(fā)送使能信號,選擇當(dāng)前數(shù)據(jù)傳輸由PIO狀態(tài)機(jī)執(zhí)行還是由DMA狀態(tài)機(jī)執(zhí) 行;寄存器組由數(shù)據(jù)寄存器、數(shù)據(jù)/特征寄存器、扇區(qū)數(shù)寄存器、扇區(qū)號寄存器、低柱 面寄存器、高柱面寄存器、驅(qū)動器/磁頭寄存器、狀態(tài)/命令寄存器、可選狀態(tài)/控制寄 存器組成;暫存?zhèn)鬏斂刂茊卧獙懭氲拿顗K和數(shù)據(jù),暫存PIO狀態(tài)機(jī)和DMA狀態(tài)機(jī)寫入 的數(shù)據(jù)和ATA類存儲設(shè)備狀態(tài)、錯誤、參數(shù)信息;供傳輸控制單元讀取ATA類存儲設(shè)備 的狀態(tài)、錯誤和參數(shù)信息,供PIO狀態(tài)機(jī)和匿A狀態(tài)機(jī)讀取ATA命令塊;PIO狀態(tài)機(jī)接收 傳輸控制單元的使能信號,在被使能的情況下從寄存器組中讀取ATA命令塊和數(shù)據(jù),按 照ATA協(xié)議規(guī)范將ATA命令塊和數(shù)據(jù)通過IDE接口發(fā)送給ATA類存儲設(shè)備;在被使能的情 況下按照ATA協(xié)議規(guī)范從ATA類存儲設(shè)備接收數(shù)據(jù)和ATA類存儲設(shè)備的狀態(tài)、錯誤和參數(shù) 信息,將數(shù)據(jù)和ATA類存儲設(shè)備的狀態(tài)、錯誤和參數(shù)信息寫入寄存器組;DMA狀態(tài)機(jī)接 收傳輸控制單元的使能信號,在被使能的情況下從寄存器組中讀取數(shù)據(jù),接收ATA類存 儲設(shè)備的DMA請求并按照ATA協(xié)議規(guī)范發(fā)送DMA應(yīng)答信號,從ATA類存儲設(shè)備讀取數(shù)據(jù), 向ATA類存儲設(shè)備寫入數(shù)據(jù)和數(shù)據(jù)的CRC校驗結(jié)果;向CRC16計算單元寫入數(shù)據(jù),從CRC16 計算單元讀取數(shù)據(jù)校驗結(jié)果;CRC16計算單元接收DMA狀態(tài)機(jī)寫入的數(shù)據(jù),按照ATA協(xié)議 規(guī)定的多項式計算數(shù)據(jù)的CRC校驗結(jié)果并返回給DMA狀態(tài)機(jī)。
      所述的密鑰獲取模塊由密鑰獲取狀態(tài)機(jī)、APDU包處理單元、串行通信接口 1、串 行通信接口2和安全訪問單元組成;密鑰獲取狀態(tài)機(jī)將工作密鑰Kw輸出到加解密模塊, 并向加解密模塊發(fā)出工作密鑰準(zhǔn)備好信號;向應(yīng)用協(xié)議數(shù)據(jù)單元(Applicaion Protocol Data Unit,簡稱為APDU)發(fā)送內(nèi)部認(rèn)證、外部認(rèn)證、讀密鑰素材、計算工 作密鑰過程中需要執(zhí)行的智能卡命令;從應(yīng)用協(xié)議數(shù)據(jù)單元接收命令執(zhí)行結(jié)果,得到密鑰素材Dk和工作密鑰Kw;應(yīng)用協(xié)議數(shù)據(jù)單元接收密鑰獲取狀態(tài)機(jī)發(fā)送的智能卡命 令,按照APDU協(xié)議定義的格式進(jìn)行數(shù)據(jù)封裝,將需要用戶密鑰卡執(zhí)行的命令寫入串行 通信接口 1,將需要安全訪問單元執(zhí)行的命令寫入串行通信接口 2;對串行通信接口 1
      和串行通信接口 2返回的數(shù)據(jù)包按照APDU協(xié)議進(jìn)行解封裝,將數(shù)據(jù)返回給密鑰獲取狀 態(tài)機(jī);串行通信接口1將應(yīng)用協(xié)議數(shù)據(jù)單元寫入的數(shù)據(jù)逐位串行輸出到用戶密鑰卡將 用戶密鑰卡輸入的串行數(shù)據(jù)轉(zhuǎn)換成并行數(shù)據(jù)后輸出給包處理單元;串行通信接口 2將
      應(yīng)用協(xié)議數(shù)據(jù)單元寫入的數(shù)據(jù)逐位串行輸出到安全訪問單先,將安全訪問單元輸入的 串行數(shù)據(jù)轉(zhuǎn)換成并行數(shù)據(jù)后輸出給包處理單元。
      所述的數(shù)據(jù)緩沖區(qū)用FIFO或者RAM實現(xiàn)均可。 所述的USB接口可以為USBl. 1或USB2. 0接口。
      所述的用戶密鑰卡通過串行通信接口與硬件加密板卡相連,即插即用。 所述的用戶密鑰卡為具有安全計算功能的智能卡。
      所述的加解密模塊可以是任意的密碼算法芯片或者IP核,也可以是直連線,或者 其它的連線變換操作。
      所述的加解密模塊,可以通過下載接口,完成密碼算法的更新。 連接加密裝置后的ATA類存儲設(shè)備,在常用的WIN2000、 WINXP、 Linux操作系統(tǒng)
      上無需安裝特殊的驅(qū)動程序,真正實現(xiàn)即插即用。
      在硬件加密板卡中使用集USB設(shè)備控制器模塊、數(shù)據(jù)緩沖區(qū)模塊、主控制器模塊、 加解密模塊、密鑰獲取模塊和ATA控制器模塊于一體的ASIC芯片或可定制芯片。
      或者硬件加密板卡中的加解密模塊使用獨(dú)立的芯片實現(xiàn),其余模塊采用集成于一 體的ASIC芯片或可定制芯片實現(xiàn)。
      或者硬件加密板卡中的各個模塊可以任意組合,使用多個ASIC芯片或可定制芯片 實現(xiàn),這些芯片可以放置在多個不同的電路板上完成相應(yīng)的功能。
      權(quán)利要求1. 一種USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在于所述的裝置由用戶密鑰卡和硬件加密板卡組成;用戶密鑰卡為具有安全計算功能的智能卡;所述的硬件加密板卡由USB收發(fā)器、USB設(shè)備控制器、控制端點(diǎn)緩沖區(qū)、批量端點(diǎn)緩沖區(qū)、主控制器、加解密模塊、ATA控制器、密鑰獲取模塊和安全訪問模塊組成USB收發(fā)器前端聯(lián)接USB接口,后端聯(lián)接USB設(shè)備控制器;USB設(shè)備控制器聯(lián)接主控制器,主控制器聯(lián)接ATA控制器,ATA控制器聯(lián)接IDE接口輸出;在USB設(shè)備控制器與主控制器之間另外聯(lián)接批量端點(diǎn)緩沖區(qū),控制端點(diǎn)緩沖區(qū)與主控制器相聯(lián)接;在主控制器與ATA控制器之間另外聯(lián)接加解密模塊,加解密模塊又聯(lián)接密鑰獲取模塊,密鑰獲取模塊通過串行通信接口聯(lián)接用戶密鑰卡;安全訪問模塊聯(lián)接密鑰獲取模塊。
      2. 根據(jù)權(quán)利要求1所述的USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在 于所述的USB設(shè)備控制器由UTMI接口、協(xié)議引擎、包封裝單元、包解封裝單元 以及CRC計算單元(1)和CRC計算單元(2)組成;UTMI接口的前端聯(lián)接USB收 發(fā)器,后端分別與包封裝單元、協(xié)議引擎和包解封裝單元三個單元聯(lián)接;包封裝 單元通過協(xié)議引擎與包解封裝單元聯(lián)接;包封裝單元聯(lián)接CRC計算單元(1),包 解封裝單元聯(lián)接CRC計算單元(2);協(xié)議引擎分別與主控制器模塊、批量數(shù)據(jù)緩 沖區(qū)和控制數(shù)據(jù)緩沖區(qū)模塊聯(lián)接。
      3. 根據(jù)權(quán)利要求1所述的USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在 于所述的主控制器由命令解碼器(1)、命令解碼器(2)、命令響應(yīng)器(1)、命 令響應(yīng)器(2)構(gòu)成;命令解碼器(1)前端分別聯(lián)接控制端點(diǎn)緩沖區(qū)和USB設(shè)備 控制器,后端聯(lián)接命令響應(yīng)器(1);命令解碼器(2)前端分別聯(lián)接USB設(shè)備控制 器和批量端點(diǎn)緩沖區(qū),后端聯(lián)接命令響應(yīng)器(2);命令響應(yīng)器(2)分別聯(lián)接加解 密模塊、ATA控制器和批量端點(diǎn)緩沖區(qū);命令解碼器(2)與命令響應(yīng)器(1)后端 相連后與USB設(shè)備控制器聯(lián)接,命令響應(yīng)器(1)后端與控制端點(diǎn)緩沖區(qū)聯(lián)接。
      4. 根據(jù)權(quán)利要求1所述的USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在 于所述的加解密模塊由控制單元、選擇器(1)、數(shù)據(jù)組裝單元、加解密器、數(shù) 據(jù)拆分單元和選擇器(2)組成;控制單元分別聯(lián)接選擇器(1)、主控制器、密鑰 獲取模塊、選擇器(2)、數(shù)據(jù)拆分單元、加解密器和數(shù)據(jù)組裝單元;數(shù)據(jù)組裝單 元通過加解密器聯(lián)接數(shù)據(jù)拆分單元,數(shù)據(jù)拆分單元聯(lián)接選擇器(2),數(shù)據(jù)組裝單 元聯(lián)接選擇器(1);選擇器(1)和選擇器(2)又分別與ATA控制器和批量端點(diǎn) 緩沖區(qū)聯(lián)接。
      5. 根據(jù)權(quán)利要求1所述的USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在 于所述的ATA控制器由傳輸控制單元、寄存器組、PIO狀態(tài)機(jī)、DMA狀態(tài)機(jī)、CRC16 計算單元組成;傳輸控制單元分別與主控制器、加解密模塊,PIO狀態(tài)機(jī)和寄存器 組聯(lián)接,PI0狀態(tài)機(jī)通過DMA狀態(tài)機(jī)聯(lián)接CRC16計算單元,寄存器組與PIO狀態(tài)機(jī) 和DMA狀態(tài)機(jī)聯(lián)接,PIO狀態(tài)機(jī)和DMA狀態(tài)機(jī)與ATA存儲設(shè)備聯(lián)接。
      6. 根據(jù)權(quán)利要求1所述的USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,其特征在 于所述的密鑰獲取模塊由密鑰獲取狀態(tài)機(jī)、包處理單元、串行通信接口 (1)、 串行通信接口 (2)和安全訪問模塊組成;加解密模塊通過密鑰獲取狀態(tài)機(jī)聯(lián)接包 處理單元,包處理單元分別與串行通信接口 (1)和串行通信接口 (2)聯(lián)接,串 行通信接口 (1)又聯(lián)接用戶密鑰卡,串行通信接口 (2)又聯(lián)接安全訪問模塊。
      專利摘要本實用新型涉及一種USB接口的ATA類存儲設(shè)備中數(shù)據(jù)的加密裝置,在常規(guī)ATA類存儲設(shè)備的基礎(chǔ)上,通過用戶卡和硬件加密板卡組成的數(shù)據(jù)加密裝置,對存儲設(shè)備和USB主機(jī)之間傳輸?shù)臄?shù)據(jù)進(jìn)行加密,從而達(dá)到對存儲設(shè)備中數(shù)據(jù)硬加密的目的。裝置由用戶密鑰卡和硬件加密板卡組成;所述的硬件加密板卡由USB收發(fā)器、USB設(shè)備控制器、控制端點(diǎn)緩沖區(qū)、批量端點(diǎn)緩沖區(qū)、主控制器、加解密模塊、ATA控制器、密鑰獲取模塊和安全訪問模塊組成。有益效果密鑰直接由加密裝置讀取,不經(jīng)過存儲設(shè)備所連接的計算機(jī),安全性高。而且加解密速度快,獨(dú)立于操作系統(tǒng),并且密鑰保存于專門的硬件密鑰存儲卡,密鑰與被保護(hù)數(shù)據(jù)獨(dú)立存放,確保數(shù)據(jù)的安全。
      文檔編號G06F12/14GK201247464SQ20082002873
      公開日2009年5月27日 申請日期2008年4月2日 優(yōu)先權(quán)日2008年4月2日
      發(fā)明者航 劉, 戴冠中, 李美峰, 偉 胡 申請人:西北工業(yè)大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1