一種具有環(huán)境控制的usb加密存儲系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種具有環(huán)境控制的USB加密存儲系統(tǒng)及方法，在數(shù)據(jù)讀寫階段，處于鎖定狀態(tài)的USB加密存儲裝置通過射頻接口與激活裝置進行雙向環(huán)境鑒別，當確認處在授權(quán)許可的環(huán)境之中后才進行一次主機的讀操作或?qū)懖僮鳎纱藢崿F(xiàn)數(shù)據(jù)加解密密鑰與所處環(huán)境的綁定，從而使離開授權(quán)許可環(huán)境的USB加密存儲裝置無法泄露存儲的數(shù)據(jù)，提高存儲數(shù)據(jù)的安全性。
【專利說明】—種具有環(huán)境控制的USB加密存儲系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)保護技術(shù)，特別涉及一種具有環(huán)境控制的USB加密存儲系統(tǒng)及方法。
【背景技術(shù)】
[0002]當前，U盤等USB存儲設(shè)備作為一種靈活、快捷的存儲介質(zhì)在各個公司、企業(yè)和科研機構(gòu)中被廣泛使用。這些設(shè)備中存儲的文件數(shù)據(jù)，很多涉及企業(yè)的知識產(chǎn)權(quán)或商業(yè)技術(shù)秘密等信息。一旦內(nèi)部人員將存有這些信息的設(shè)備帶出并在外部場合使用，就會造成公司敏感信息的泄露。因此，需要對USB存儲設(shè)備中的數(shù)據(jù)進行嚴格保護，對USB存儲設(shè)備的環(huán)境進行管控，以防止信息的泄露。
[0003]隨著企業(yè)用戶對數(shù)據(jù)安全性要求的提高和技術(shù)的不斷發(fā)展，為了防止USB存儲設(shè)備離開可控范圍后，數(shù)據(jù)安全受到威脅，出現(xiàn)了幾種針對USB存儲設(shè)備內(nèi)數(shù)據(jù)的保護方法，以U盤為例:
[0004]方式I，軟件加密:U盤本身并沒有加密功能，需要在接入主機上安裝加密軟件，力口密軟件利用過濾驅(qū)動技術(shù)對交互數(shù)據(jù)進行加密，然后將加密后的數(shù)據(jù)存儲到U盤上。
[0005]方式2，硬件加密U盤:與軟件加密類似，硬件加密U盤中的數(shù)據(jù)同樣是以密文的形式進行存儲；但是，與軟件加密不同，加密算法和加密過程固化在U盤的控制邏輯中，對數(shù)據(jù)的加解密操作在U盤內(nèi)完成，不需要在接入主機上進行額外的加解密操作；加解密過程都需要用戶輸入正確的口令。
[0006]方式3,接入主機鑒別:通過在主機內(nèi)添加可信平臺模塊(TPM, Trust PlatformModule)，在U盤接入主機和后續(xù)的訪問過程中，利用TPM對主機進行周期性的驗證:TPM利用自身的私鑰對主機的BIOS信息、Bootloader及其配置、操作系統(tǒng)信息作簽名，發(fā)送給U盤；U盤利用公鑰驗證簽名，并將主機信息和內(nèi)部預先存儲的信息比較，驗證通過后允許主機對U盤內(nèi)文件的讀寫訪問。
[0007]方式4，雙界面加密存儲卡:在加密存儲的基礎(chǔ)上，集成了 USB接口和射頻接口，其中，射頻接口遵循IS0/IEC14443標準。對芯片的訪問可以通過USB接口，也可以通過相隔一定距離以射頻方式進行訪問；通過在合法的使用區(qū)域和管控范圍的出口部署射頻讀寫裝置，利用射頻接口鑒別當前存儲設(shè)備的使用環(huán)境，保證只有在合法范圍內(nèi)設(shè)備才能被激活使用；超出可控范圍，密鑰將被銷毀。
[0008]方式5，基于雙射頻環(huán)境鑒別機制的USB加密存儲方法:在雙界面加密存儲卡的基礎(chǔ)上，又集成了 UHF射頻接口。若存儲設(shè)備超出合法使用范圍，告警裝置將通過UHF射頻向USB存儲裝置寫入離境告警標志，當USB存儲裝置進入到銷毀裝置射頻接口范圍內(nèi)時，USB加密存儲裝置的狀態(tài)設(shè)置為銷毀，執(zhí)行銷毀命令，銷毀所存儲的數(shù)據(jù)密鑰，并銷毀所存儲的主密鑰。
[0009]上述方式雖然可以在一定程度上防止信息泄露，但是，在實際應用中均會存在一定的問題，如:[0010]對于方式1，由于需要對數(shù)據(jù)進行額外的加密操作，因此對于用戶來說不太方便，那么一旦用戶忘記對數(shù)據(jù)進行加密，當U盤丟失時，其中的數(shù)據(jù)就會泄露；
[0011]對于方式2，雖然能夠保證U盤丟失后，其中的數(shù)據(jù)不被泄漏，但不能防止有使用權(quán)限的、知道口令的用戶蓄意泄漏其中的數(shù)據(jù)；
[0012]對于方式3，由于需要定期地對主機進行驗證，該方案會帶來一定的系統(tǒng)開銷，影響文件讀寫速率；另外，該方案不能防止合法用戶主動將存儲設(shè)備攜帶出公司使用；
[0013]對于方式4，雙界面加密存儲卡的射頻接口遵循IS0/IEC14443標準，讀寫距離非常有限，只能達到10cm，因此一旦用戶因疏忽忘記向射頻讀寫裝置出示存儲卡，或快速通過管控范圍的出口，密鑰銷毀操作就無法完成。
[0014]對于方式5，射頻接口遵循IS0/IEC14443標準，讀寫距離非常有限，只能達到IOcm, U射頻讀寫距離也只在3米到5米左右，若采用電磁屏蔽等技術(shù)，告警裝置將無法向USB存儲裝置寫入離境告警標志，從而銷毀裝置無法執(zhí)行銷毀數(shù)據(jù)密鑰及主密鑰操作，存在安全隱患。

【發(fā)明內(nèi)容】

[0015]有鑒于此，本發(fā)明的主要目的在于提供一種具有環(huán)境控制的USB加密存儲方法，實現(xiàn)數(shù)據(jù)加解密密鑰與所處環(huán)境的綁定，從而使離開授權(quán)許可環(huán)境的USB加密存儲裝置無法泄露存儲的數(shù)據(jù)，提高存儲數(shù)據(jù)的安全性。
[0016]本發(fā)明的另一目的在于提供一種可提高存儲數(shù)據(jù)安全性，具有環(huán)境控制的USB加密存儲系統(tǒng)。
[0017]為實現(xiàn)上述目的，本發(fā)明提供了 一種具有環(huán)境控制的USB加密存儲方法，包括:
[0018]初始化步驟:
[0019]初始化裝置通過射頻與USB加密存儲裝置建立數(shù)據(jù)連接，初始化設(shè)備將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；
[0020]狀態(tài)驗證步驟:
[0021]USB加密存儲裝置通過USB接口與主機連接并上電復位，查詢當前自身的狀態(tài)；若當前狀態(tài)為出廠狀態(tài)，則禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；若當前狀態(tài)為鎖定狀態(tài)，則進入數(shù)據(jù)讀寫步驟；
[0022]數(shù)據(jù)讀寫步驟:
[0023]激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別；若環(huán)境鑒別失敗，則禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；若環(huán)境鑒別成功，USB加密存儲裝置進入激活狀態(tài)并生成文件加解密密鑰，利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳌?br> [0024]進一步，所述初始化步驟中，初始化設(shè)備獲取USB加密存儲裝置的ID標識，在對所述ID標識進行加密后得到第一加密結(jié)果，將所述第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲裝置儲存；初始化設(shè)備控制USB加密存儲裝置生成并存儲數(shù)據(jù)密鑰，且將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)。
[0025]進一步，所述數(shù)據(jù)讀寫步驟中，激活裝置通過射頻持續(xù)廣播環(huán)境鑒別請求；處于鎖定狀態(tài)的USB加密存儲裝置當收到主機的讀請求或?qū)懻埱髸r，響應所述環(huán)境鑒別請求，激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別。[0026]進一步，所述數(shù)據(jù)讀寫步驟中，所述環(huán)境鑒別請求包含第一挑戰(zhàn)隨機數(shù)；激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別包括:
[0027]USB加密存儲裝置獲取所述第一挑戰(zhàn)隨機數(shù)，生成第二挑戰(zhàn)隨機數(shù)，利用所述主密鑰對所述第一挑戰(zhàn)隨機數(shù)、第二挑戰(zhàn)隨機數(shù)和所述ID標識進行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標識發(fā)送給激活裝置；
[0028]激活裝置對所述未加密的ID標識進行加密得到主密鑰，并利用主密鑰解密第二加密結(jié)果，獲得第一、第二挑戰(zhàn)隨機數(shù)和ID標識，激活裝置比較解密得到的第一挑戰(zhàn)隨機數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機數(shù)是否一致、比較解密得到的ID標識與未加密的ID標識是否一致，若一致，則激活裝置對USB加密存儲裝置鑒別通過；
[0029]激活裝置生成激活命令和環(huán)境密鑰，且由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第一校驗和，并利用主密鑰加密第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令、環(huán)境密鑰和第一校驗和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送至USB加密存儲裝置；
[0030]USB利用存儲的主密鑰對接收到的第三加密結(jié)果進行解密，比較解密得到的第二挑戰(zhàn)隨機數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機數(shù)是否一致、ID標識與USB加密存儲裝置ID是否一致，如果一致，則由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第二校驗和，若第一校驗和與第二校驗和一致，則對激活裝置的鑒別通過，環(huán)境鑒別成功，執(zhí)行激活命令，將USB加密存儲裝置設(shè)置為激活狀態(tài)。
[0031]進一步，USB加密存儲裝置生成文件加解密密鑰包括:USB加密存儲裝置利用環(huán)境密鑰與數(shù)據(jù)密鑰計算生成文件加解密密鑰。
[0032]本發(fā)明還提供了 一種具有環(huán)境控制的USB加密存儲系統(tǒng)，包括USB加密存儲裝置、初始化裝置、主機和激活裝置；
[0033]其中，所述初始化裝置用于初始化時與USB加密存儲裝置通過射頻建立連接，并將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；
[0034]所述USB加密存儲裝置用于在狀態(tài)驗證時與主機通過USB接口連接，并查詢當前自身狀態(tài)；當當前狀態(tài)為出廠狀態(tài)時，則USB加密存儲裝置用于禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；當當前狀態(tài)為鎖定狀態(tài)時，則USB加密存儲裝置用于與激活裝置通過射頻連接，并與激活裝置進行環(huán)境鑒別；當環(huán)境鑒別成功時，USB加密存儲裝置用于生成文件加密解密密鑰，并利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳎?br> [0035]所述激活裝置用于在與USB加密存儲裝置環(huán)境鑒別成功時，將USB加密存儲裝置的狀態(tài)由鎖定狀態(tài)設(shè)定為激活狀態(tài)。
[0036]進一步，所述初始化設(shè)備在初始化時進一步用于獲取USB加密存儲裝置的ID標識，在對所述ID標識進行加密后得到第一加密結(jié)果，將所述第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲裝置儲存，以及用于控制USB加密存儲裝置生成并存儲數(shù)據(jù)密鑰，且將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)。
[0037]進一步，所述激活裝置進一步用于通過射頻持續(xù)廣播環(huán)境鑒別請求；所述USB加密存儲裝置進一步用于當收到主機的讀請求或?qū)懻埱髸r，響應所述環(huán)境鑒別請求，激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別。
[0038]進一步，所述環(huán)境鑒別請求包含第一挑戰(zhàn)隨機數(shù)；
[0039]所述USB加密存儲裝置用于獲取所述第一挑戰(zhàn)隨機數(shù)，生成第二挑戰(zhàn)隨機數(shù)，利用所述主密鑰對所述第一挑戰(zhàn)隨機數(shù)、第二挑戰(zhàn)隨機數(shù)和所述ID標識進行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標識發(fā)送給激活裝置；以及，用于利用存儲的主密鑰對接收到的第三加密結(jié)果進行解密，比較解密得到的第二挑戰(zhàn)隨機數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機數(shù)是否一致、ID標識與USB加密存儲裝置ID是否一致，如果一致，則由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第二校驗和，若第一校驗和與第二校驗和一致，則對激活裝置的鑒別通過，環(huán)境鑒別成功，執(zhí)行激活命令；
[0040]所述激活裝置用于對所述未加密的ID標識進行加密得到主密鑰，并利用主密鑰解密第二加密結(jié)果，獲得第一、第二挑戰(zhàn)隨機數(shù)和ID標識，激活裝置比較解密得到的第一挑戰(zhàn)隨機數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機數(shù)是否一致、比較解密得到的ID標識與未加密的ID標識是否一致，若一致，則激活裝置對USB加密存儲裝置鑒別通過；以及，用于生成激活命令和環(huán)境密鑰，且由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第一校驗和，并利用主密鑰加密第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令、環(huán)境密鑰和第一校驗和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送至USB加密存儲裝置。
[0041]進一步，USB加密存儲裝置用于利用環(huán)境密鑰與數(shù)據(jù)密鑰計算生成文件加解密密鑰，且每當利用文件加解密密鑰加解密數(shù)據(jù)并完成一次讀操作或?qū)懖僮鳎琔SB加密存儲裝置用于將狀態(tài)由激活狀態(tài)設(shè)置為鎖定狀態(tài)。
[0042]采用本發(fā)明提供的具有環(huán)境控制的USB加密存儲系統(tǒng)和方法，在數(shù)據(jù)讀寫階段，處于鎖定狀態(tài)的USB加密存儲裝置通過射頻接口與激活裝置進行雙向環(huán)境鑒別，當確認處在授權(quán)許可的環(huán)境之中后才進行一次主機的讀操作或?qū)懖僮?，由此實現(xiàn)數(shù)據(jù)加解密密鑰與所處環(huán)境的綁定，從而使離開授權(quán)許可環(huán)境的USB加密存儲裝置無法泄露存儲的數(shù)據(jù)，提高存儲數(shù)據(jù)的安全性。
【專利附圖】

【附圖說明】
[0043]圖1為本發(fā)明具有環(huán)境控制的USB加密存儲方法的流程示意圖；
[0044]圖2為本發(fā)明初始化步驟流程示意圖；
[0045]圖3為本發(fā)明數(shù)據(jù)讀寫步驟流程示意圖；
[0046]圖4為本發(fā)明具有環(huán)境控制的USB加密存儲系統(tǒng)的結(jié)構(gòu)示意圖。
【具體實施方式】
[0047]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下參照附圖并舉實施例，對本發(fā)明作進一步詳細說明。
[0048]本發(fā)明提供了一種具有環(huán)境控制的USB加密存儲方法，如圖1所示，包括:
[0049]A、初始化步驟:
[0050]初始化裝置通過射頻與USB加密存儲裝置建立數(shù)據(jù)連接，初始化設(shè)備將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；
[0051]B、狀態(tài)驗證步驟:
[0052]USB加密存儲裝置通過USB接口與主機連接并上電復位，隨后立即查詢當前自身的狀態(tài)；此刻USB加密存儲裝置只可能處在兩種狀態(tài):出廠狀態(tài)或鎖定狀態(tài)；若當前狀態(tài)為出廠狀態(tài)，則禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；若當前狀態(tài)為鎖定狀態(tài)，則進入數(shù)據(jù)讀寫步驟；
[0053]C、數(shù)據(jù)讀寫步驟:
[0054]激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別；若環(huán)境鑒別失敗，則禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；若環(huán)境鑒別成功，USB加密存儲裝置進入激活狀態(tài)并成文件加解密密鑰，利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳌?br> [0055]以下結(jié)合附圖2和附圖3對上述流程進行詳細說明。
[0056]圖2示出了初始化步驟的詳細流程:
[0057]初始化裝置通過射頻與與USB加密存儲裝置建立數(shù)據(jù)連接；其中，可選用頻率為13.56MHZ的射頻，按照IS014443A協(xié)議與USB加密存儲裝置建立數(shù)據(jù)連接；
[0058]初始化設(shè)備獲取USB加密存儲裝置的ID標識，在對ID標識進行加密后得到第一加密結(jié)果，將第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲裝置儲存；對ID標識的加密可采用128位全局根密鑰，使用AES算法對獲取到的ID標識進行加密得到128位的第一加密結(jié)果;
[0059]初始化設(shè)備控制USB加密存儲裝置生成并存儲數(shù)據(jù)密鑰，且將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)。
[0060]圖3示出了數(shù)據(jù)讀寫步驟的詳細流程:
[0061]激活裝置通過射頻持續(xù)地廣播環(huán)境鑒別請求，如通過IS014443A射頻協(xié)議，其中環(huán)境鑒別請求包含第一挑戰(zhàn)隨機數(shù)；
[0062]在激活裝置有效通信范圍內(nèi)，處在鎖定狀態(tài)的USB加密存儲裝置在收到主機的讀請求或?qū)懻埱髸r，響應激活裝置發(fā)起的環(huán)境鑒別請求，生成第二挑戰(zhàn)隨機數(shù)，利用主密鑰對第一、第二挑戰(zhàn)隨機數(shù)和USB加密存儲裝置ID標識進行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標識發(fā)送給激活裝置；其中，加密可采用任意現(xiàn)有算法，如AES等；
[0063]激活裝置利用對應的方法，如使用預置的全局根密鑰對接收到的ID標識進行AES加密得到USB加密存儲裝置的主密鑰，并利用主密鑰對接收到的第二加密結(jié)果進行AES解密，比較解密得到的ID標識與未加密的ID標識是否一致、第一挑戰(zhàn)隨機數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機數(shù)是否一致，如果一致，則對USB加密存儲裝置的鑒別通過；
[0064]激活裝置生成激活命令和環(huán)境密鑰，利用USB加密存儲裝置的主密鑰使用AES算法加密第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令、環(huán)境密鑰和第一校驗和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送給USB加密存儲裝置，其中，第一校驗和由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰可通過現(xiàn)有算法，如SHA-1算法計算生成；
[0065]USB加密存儲裝置利用主密鑰對接收到的第三加密結(jié)果進行AES解密，比較解密得到的第二挑戰(zhàn)隨機數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機數(shù)是否一致、ID標識與USB加密存儲裝置ID是否一致，如果一致，則對第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰通過SHA-1算法計算得到第二校驗和，若第一校驗和與第二校驗和一致，則對激活裝置的鑒別通過，執(zhí)行激活命令，將USB加密存儲裝置設(shè)置為激活狀態(tài)；
[0066]USB加密存儲裝置利用環(huán)境密鑰與數(shù)據(jù)密鑰計算(如將環(huán)境密鑰與數(shù)據(jù)密鑰進行異或計算)生成文件加解密密鑰，利用文件加解密密鑰加解密數(shù)據(jù)并完成一次讀操作或?qū)懖僮?；其中，每當利用文件加解密密鑰加解密數(shù)據(jù)并完成一次讀操作或?qū)懖僮?，USB加密存儲裝置的狀態(tài)由激活狀態(tài)設(shè)置為鎖定狀態(tài)。[0067]本發(fā)明還提供了一種具有環(huán)境控制的USB加密存儲系統(tǒng)，如圖4所示，包括USB加密存儲裝置、初始化裝置、主機和激活裝置；
[0068]其中，所述初始化裝置用于初始化時與USB加密存儲裝置通過射頻建立連接，并將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)；
[0069]所述USB加密存儲裝置用于在狀態(tài)驗證時與主機通過USB接口連接，并查詢當前自身狀態(tài)；當當前狀態(tài)為出廠狀態(tài)時，則USB加密存儲裝置用于禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；當當前狀態(tài)為鎖定狀態(tài)時，則USB加密存儲裝置用于與激活裝置通過射頻連接，并與激活裝置進行環(huán)境鑒別；當環(huán)境鑒別成功時，USB加密存儲裝置用于生成文件加密解密密鑰，并利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳎?br> [0070]所述激活裝置用于在與USB加密存儲裝置環(huán)境鑒別成功時，將USB加密存儲裝置的狀態(tài)由鎖定狀態(tài)設(shè)定為激活狀態(tài)。
[0071]需要說明的是，本申請?zhí)峁┑囊环N具有環(huán)境控制的USB加密存儲系統(tǒng)是與上述方法相對應的模塊化系統(tǒng)，由于方法各步驟是由內(nèi)嵌于硬件的計算機程序?qū)崿F(xiàn)，因此，承載上述計算機程序的硬件相應的具備了對應的功能，在此不再贅述。
[0072]在本發(fā)明的系統(tǒng)中，USB加密存儲裝置優(yōu)選是一種帶有USB接口、射頻通信功能的雙界面裝置；初始化裝置、激活裝置是帶有射頻通信功能的非接觸式智能卡讀寫模塊的嵌入式設(shè)備。
[0073]采用本發(fā)明提供的具有環(huán)境控制的USB加密存儲系統(tǒng)和方法，在數(shù)據(jù)讀寫階段，處于鎖定狀態(tài)的USB加密存儲裝置通過射頻接口與激活裝置進行雙向環(huán)境鑒別，當確認處在授權(quán)許可的環(huán)境之中后才進行一次主機的讀操作或?qū)懖僮?，由此實現(xiàn)數(shù)據(jù)加解密密鑰與所處環(huán)境的綁定，從而使離開授權(quán)許可環(huán)境的USB加密存儲裝置無法泄露存儲的數(shù)據(jù)，提高存儲數(shù)據(jù)的安全性。
[0074]以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明保護的范圍之內(nèi)。
【權(quán)利要求】
1.一種具有環(huán)境控制的USB加密存儲方法，其特征在于，包括: 初始化步驟: 初始化裝置通過射頻與USB加密存儲裝置建立數(shù)據(jù)連接，初始化設(shè)備將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)； 狀態(tài)驗證步驟: USB加密存儲裝置通過USB接口與主機連接并上電復位，查詢當前自身的狀態(tài)；若當前狀態(tài)為出廠狀態(tài)，則禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；若當前狀態(tài)為鎖定狀態(tài)，則進入數(shù)據(jù)讀寫步驟； 數(shù)據(jù)讀寫步驟: 激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別；若環(huán)境鑒別失敗，則禁止USB加密存儲裝置執(zhí)行主機的數(shù)據(jù)讀寫操作；若環(huán)境鑒別成功，USB加密存儲裝置進入激活狀態(tài)并生成文件加解密密鑰，利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳌?br> 2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述初始化步驟中，初始化設(shè)備獲取USB加密存儲裝置的ID標識，在對所述ID標識進行加密后得到第一加密結(jié)果，將所述第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲裝置儲存；初始化設(shè)備控制USB加密存儲裝置生成并存儲數(shù)據(jù)密鑰，且將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述數(shù)據(jù)讀寫步驟中，激活裝置通過射頻持續(xù)廣播環(huán)境鑒別請求；處于鎖定狀態(tài)的USB加密存儲裝置當收到主機的讀請求或?qū)懻埱髸r，響應所述環(huán)境鑒別請求，激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別。
4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述數(shù)據(jù)讀寫步驟中，所述環(huán)境鑒別請求包含第一挑戰(zhàn)隨機數(shù)；激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別包括: USB加密存儲裝置獲取所述第一挑戰(zhàn)隨機數(shù)，生成第二挑戰(zhàn)隨機數(shù)，利用所述主密鑰對所述第一挑戰(zhàn)隨機數(shù)、第二挑戰(zhàn)隨機數(shù)和所述ID標識進行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標識發(fā)送給激活裝置； 激活裝置對所述未加密的ID標識進行加密得到主密鑰，并利用主密鑰解密第二加密結(jié)果，獲得第一、第二挑戰(zhàn)隨機數(shù)和ID標識，激活裝置比較解密得到的第一挑戰(zhàn)隨機數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機數(shù)是否一致、比較解密得到的ID標識與未加密的ID標識是否一致，若一致，則激活裝置對USB加密存儲裝置鑒別通過； 激活裝置生成激活命令和環(huán)境密鑰，且由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第一校驗和，并利用主密鑰加密第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令、環(huán)境密鑰和第一校驗和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送至USB加密存儲裝置； USB加密存儲裝置利用存儲的主密鑰對接收到的第三加密結(jié)果進行解密，比較解密得到的第二挑戰(zhàn)隨機數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機數(shù)是否一致、ID標識與USB加密存儲裝置ID是否一致，如果一致，則由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第二校驗和，若第一校驗和與第二校驗和一致，則對激活裝置的鑒別通過，環(huán)境鑒別成功，執(zhí)行激活命令，將USB加密存儲裝置設(shè)置為激活狀態(tài)。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，USB加密存儲裝置生成文件加解密密鑰包括:USB加密存儲裝置利用環(huán)境密鑰與數(shù)據(jù)密鑰計算生成文件加解密密鑰，且每當利用文件加解密密鑰加解密數(shù)據(jù)并完成一次讀操作或?qū)懖僮?，USB加密存儲裝置的狀態(tài)由激活狀態(tài)設(shè)置為鎖定狀態(tài)。
6.一種具有環(huán)境控制的USB加密存儲系統(tǒng)，其特征在于，包括USB加密存儲裝置、初始化裝置、主機和激活裝置； 其中，所述初始化裝置用于初始化時與USB加密存儲裝置通過射頻建立連接，并將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)設(shè)定為鎖定狀態(tài)； 所述USB加密存儲裝置用于在狀態(tài)驗證時與主機通過USB接口連接，并查詢當前自身狀態(tài)；當前狀態(tài)為出廠狀態(tài)時，USB加密存儲裝置用于禁止自身執(zhí)行主機的數(shù)據(jù)讀寫操作；當前狀態(tài)為鎖定狀態(tài)時，USB加密存儲裝置用于與激活裝置通過射頻連接，并與激活裝置進行環(huán)境鑒別；當環(huán)境鑒別成功時，USB加密存儲裝置用于生成文件加密解密密鑰，并利用文件加解密密鑰完成一次讀操作或?qū)懖僮鳎? 所述激活裝置用于在與USB加密存儲裝置環(huán)境鑒別成功時，將USB加密存儲裝置的狀態(tài)由鎖定狀態(tài)設(shè)定為激活狀態(tài)。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)，其特征在于，所述初始化設(shè)備在初始化時進一步用于獲取USB加密存儲裝置的ID標識，在對所述ID標識進行加密后得到第一加密結(jié)果，將所述第一加密結(jié)果作為主密鑰發(fā)送至USB加密存儲裝置儲存，以及用于控制USB加密存儲裝置生成并存儲數(shù)據(jù)密鑰，且將USB加密存儲裝置的狀態(tài)由出廠狀態(tài)變更為鎖定狀態(tài)。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)，其特征在于，所述激活裝置進一步用于通過射頻持續(xù)廣播環(huán)境鑒別請求；所述USB加密存儲裝置進一步用于當收到主機的讀請求或?qū)懻埱髸r，響應所述環(huán)境鑒別請求，激活裝置通過射頻與USB加密存儲裝置進行環(huán)境鑒別。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)，其特征在于，所述環(huán)境鑒別請求包含第一挑戰(zhàn)隨機數(shù)； 所述USB加密存儲裝置用于獲取所述第一挑戰(zhàn)隨機數(shù)，生成第二挑戰(zhàn)隨機數(shù)，利用所述主密鑰對所述第一挑戰(zhàn)隨機數(shù)、第二挑戰(zhàn)隨機數(shù)和所述ID標識進行加密得到第二加密結(jié)果，并將第二加密結(jié)果與未加密的ID標識發(fā)送給激活裝置；以及，用于利用存儲的主密鑰對接收到的第三加密結(jié)果進行解密，比較解密得到的第二挑戰(zhàn)隨機數(shù)與之前發(fā)送的第二挑戰(zhàn)隨機數(shù)是否一致、ID標識與USB加密存儲裝置ID是否一致，如果一致，則由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第二校驗和，若第一校驗和與第二校驗和一致，則對激活裝置的鑒別通過，環(huán)境鑒別成功，執(zhí)行激活命令； 所述激活裝置用于對所述未加密的ID標識進行加密得到主密鑰，并利用主密鑰解密第二加密結(jié)果，獲得第一、第二挑戰(zhàn)隨機數(shù)和ID標識，激活裝置比較解密得到的第一挑戰(zhàn)隨機數(shù)與之前發(fā)送的第一挑戰(zhàn)隨機數(shù)是否一致、比較解密得到的ID標識與未加密的ID標識是否一致，若一致，則激活裝置對USB加密存儲裝置鑒別通過；以及，用于生成激活命令和環(huán)境密鑰，且由第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令和環(huán)境密鑰計算得到第一校驗和，并利用主密鑰加密第二挑戰(zhàn)隨機數(shù)、ID標識、激活命令、環(huán)境密鑰和第一校驗和得到第三加密結(jié)果，將第三加密結(jié)果發(fā)送至USB加密存儲裝置。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)，其特征在于，USB加密存儲裝置用于利用環(huán)境密鑰與數(shù)據(jù)密鑰計算生成文件加解密密鑰，且每當利用文件加解密密鑰加解密數(shù)據(jù)并完成一次讀操作或?qū)懖僮?，USB加密存儲裝置用于將狀態(tài)由激活狀態(tài)設(shè)置為鎖定狀態(tài)。
【文檔編號】G06F21/85GK103678994SQ201310652031
【公開日】2014年3月26日 申請日期:2013年12月5日 優(yōu)先權(quán)日:2013年12月5日
【發(fā)明者】夏魯寧, 荊繼武, 嵇亞飛, 王秋晨, 王雷, 賈世杰, 向繼, 高能, 林璟鏘, 王躍武, 王瓊霄, 王平建, 王展 申請人:中國科學院數(shù)據(jù)與通信保護研究教育中心