專利名稱:基于口令認證的加密型存儲卡讀寫裝置的制作方法
技術領域:
本實用新型涉及的是一種數(shù)據存儲卡的讀卡器���,特別涉及的是一種高安全性的存 儲卡讀寫裝置���。
背景技術:
各種類型的數(shù)據存儲卡及其讀寫器是近年來迅速發(fā)展起來的新型數(shù)據存儲設備�����, 具有容量大��、體積小�,壽命長���、易使用、易攜帶等優(yōu)點���。但是��,這些設備在給使用者帶來便捷 性的同時也帶來了極大的安全隱患����,例如使用者身份無法認 證�����、數(shù)據明文存儲易泄漏等這 些安全問題�����。一旦用戶的存儲設備丟失或被非法持有人訪問,將會造成內部敏感數(shù)據的泄 漏��,會給使用者造成無法估量的損失����。為了解決存儲卡的數(shù)據安全問題,目前存在的解決方法有其一���,將存儲卡插入讀卡器����,與計算機連接�����,利用計算機的加密軟件對存儲卡加 密��;其一��,對于手機中使用的存儲卡���,利用手機本身的控制軟件對存儲卡加密��。以上方法可以對存儲卡中的數(shù)據進行加密��,但是需要計算機或者手機等等外部輔 助設備��,使用不方便���。
發(fā)明內容本實用新型的目的在于����,解決現(xiàn)有的存儲卡需要使用計算機或者其他的輔助工具 進行加密的技術問題���。為達到上述目的�����,本實用新型提供一種基于口令認證的加密型存儲卡讀寫裝置, 由讀卡器和存儲卡組成����,所述的讀卡器包括一中央處理器,用以實現(xiàn)中央管理控制���;一第一接口�����,用于所述讀寫器與計算機連接�,實現(xiàn)數(shù)據的輸出和輸入;一第二接口�,用于所述讀寫器與存儲卡連接;一鍵盤�,用以輸入操作命令和口令;一數(shù)據加密模塊��,與所述的中央處理器相連接����,用于對數(shù)據進行加密和解密;一密鑰管理模塊����,與所述的中央處理器相連接,實現(xiàn)片上密鑰管理功能�����,包括密鑰 的生成�、存儲、分發(fā)����、更新�����、銷毀�;一身份認證模塊�,分別與所述的中央處理器、密鑰管理模塊和鍵盤相連接���,對用戶 身份認證信息進行認證�;所述的存儲卡�����,包括一加密分區(qū)��,所述加密分區(qū)用以存儲輸入數(shù)據的密文�����。較佳地�����,所述的密鑰管理模塊具有一真隨機數(shù)產生器�,用來產生工作密鑰。較佳地���,所述的身份認證模塊存儲有表明用戶身份的口令信息的第一密文��。較佳地��,所述的身份認證模塊將用戶使用鍵盤輸入的口令進行加密計算后產生的 第二密文���,并將第一密文和第二密文進行比較。[0020]較佳地���,所述的密鑰管理模塊從第一密文中獲得保護密鑰���,利用所述的保護密鑰 加密工作密鑰,以密文形式存儲在密鑰管理模塊中���。較佳地�,所述的讀寫器還包括一盒體��,所述的中央處理器���、存儲模塊�、數(shù)據加密模 塊、密鑰管理模塊和身份認證模塊設置在所述盒體內�����,所述的鍵盤���、以及所述的第一接口和 第二接口設置在所述的盒體表面����。較佳地�����,所述的讀寫器還包括一 IXD顯示屏�����,設置在所述盒體表面���,對存儲狀態(tài)和 執(zhí)行的操作信息進行顯示。較佳地�����,所述的第一接口為USB接口。較佳地���,所述的存儲卡為SD�����、miniSD�、microSD��、MMC�����、MMCmini�、MMCmicro 其中之一。較佳地�����,所述的第二接口采用與所述的存儲卡匹配的接口標準�����。本實用新型采用數(shù)據加密模塊對寫入存儲卡的數(shù)據先進行加密保護,再以密文形 式存儲在存儲卡上�。當數(shù)據從存儲卡讀出時,先經過加密芯片的解密��,再以明文形式被用戶 讀取��。該設備還具有口令認證功能來實現(xiàn)用戶身份鑒別��,確保合法用戶才可讀取存儲卡內 的數(shù)據��,可有效防止因存儲卡丟失或被非法持有人訪問而帶來的數(shù)據泄漏的風險���,滿足用 戶對數(shù)據安全存儲的要求���,有效保護各種敏感、重要信息的安全���。該讀卡器集成有鍵盤和 LCD來實現(xiàn)用戶輸入和狀態(tài)輸出�����,在該讀卡器上即可獨立進行口令輸入并進行校驗���,無需通 過計算機��,從而避免口令在計算機上被偵聽和截獲。此外����,可將存儲卡的存儲空間劃分為加 密分區(qū)和非加密分區(qū),非加密分區(qū)能被任何用戶所訪問�����,加密分區(qū)只能由合法用戶所訪問���, 且各分區(qū)大小可由用戶自行調整��,使用方便����。
圖1所示為本實用新型基于口令認證的加密型存儲卡讀寫裝置的功能結構框圖�;圖2所示為存儲卡的分區(qū)示意圖;圖3所示為用戶口令校驗的流程圖���;圖4所示為更改用戶口令的流程圖����;圖5所示為解鎖用戶口令的流程圖;圖6所示為重新初始化的流程圖�����;圖7所示為重新調整分區(qū)的流程圖�。附圖標記說明1-加密型存儲卡讀寫器;11-盒體���;12-身份認證模塊�����;13-顯示屏�����;14-鍵盤�����; 15-中央處理器����;16-數(shù)據加密模塊;17-存儲模塊�����;171-加密分區(qū)����;172-非加密分區(qū)�����; 173-只讀分區(qū)�;18-密鑰管理模塊;19-接口����。
具體實施方式
以下結合附圖,對本實用新型上述的和另外的技術特征和優(yōu)點作更詳細的說明�。請參閱圖1所示,其為本實用新型基于口令認證的加密型存儲卡讀寫裝置的功能 結構框圖�。所述讀寫裝置包括讀寫器1和存儲卡2。所述的讀寫器1包括盒體11�、身份認 證模塊12、顯示屏13�、鍵盤14、中央處理器15����、數(shù)據加密模塊16�����、接口 17�����、密鑰管理模塊18���、 以及接口 19。[0038]存儲卡2通過接口 17與讀寫器1連接�����。根據使用的需求����,存儲卡2可以為現(xiàn)有的 SD、miniSD���、microSD����、MMC, MMCmini, MMCmicro 等,相應地�����,接口 17 采用與存儲卡 2 匹配的 接口標準���。存儲卡2和接口 17的類型并不能限定本實用新型的保護范圍���。本實用新型采用口令來實現(xiàn)身份認證���。采用兩種口令���,包括用戶口令和超級口令。 用戶口令提供的權限為讀寫存儲卡2內的加密數(shù)據�����,以及更改用戶口令���;超級口令提供的 權限為解鎖口令�����,以及初始化讀寫器1�����。下面詳細介紹各個模塊的功能顯示屏13���,可以為IXD�,用以對存儲狀態(tài)和執(zhí)行的操作信息進行顯示���,可以顯示漢 字����,提示用戶進行各種操作�����。鍵盤14�,用以輸入口令,用戶使用鍵盤14進行口令校驗����、口令解鎖�、更改用戶口 令����、更改超級口令操作等等。中央處理器15���,為本實用新型的數(shù)據處理和控制命令調度的中心����,用以實現(xiàn)中央
管理控制���。數(shù)據加密模塊16��,與所述的中央處理器15相連接�,用以對數(shù)據進行加密和解密����。存儲卡2是本實用新型的存儲中心����,用于存儲加密數(shù)據。請參閱圖2所示����,存儲卡2包括加密分區(qū)21�、非加密分區(qū)22和只讀分區(qū)23�。輸入數(shù)據經數(shù)據加密模塊16加密后,以密文形式存儲在加密分區(qū)21中�����,對其訪問 須認證用戶口令�����;非加密分區(qū)22對任何人均可訪問�����,進行數(shù)據讀取和存儲����;只讀分區(qū)23內 存儲有一工具軟件,用戶通過口令認證后��,在計算機上運行該工具軟件�,可重新調整加密分 區(qū)21和非加密分區(qū)22的大小。身份認證模塊12�,分別與所述的密鑰管理模塊18����、中央處理器15���、顯示屏13和鍵 盤14相連接���,其存儲有表明用戶身份的口令信息的第一密文。在使用時對用戶輸入的口令 進行校驗����,確認用戶身份,并執(zhí)行口令修改��、口令鎖死�、口令解鎖等操作。所述的第一密文為身份認證模塊12將系統(tǒng)設置的口令進行摘要算法SHA-I計算 后產生的第一消息摘要�,其長度為160比特位。所述的系統(tǒng)設置的口令可以為系統(tǒng)默認的 用戶口令����、超級口令����,也可以是使用者自己設定的用戶口令�、超級口令���。身份認證模塊12還產生一第二密文�����,所述的第二密文為身份認證模塊12將用戶 使用鍵盤14輸入的口令進行摘要算法SHA-I計算后產生的第二消息摘要�����,其長度為160比 特位�����。身份認證模塊12將第一密文和第二密文進行比較�����,若二者一致��,則用戶口令認證通 過����,否則����,用戶口令認證不通過��。通過第一密文或第二密文�,不能反向逆推獲得用戶口令�,此 種方式可有效保護口令的安全。密鑰管理模塊18���,與所述的中央處理器15和身份認證模塊12相連接��,其存儲有 密鑰信息�。密鑰管理模塊18實現(xiàn)片上密鑰管理功能�����,包括密鑰的生成��、存儲��、分發(fā)����、更新����、銷 毀����。為了充分保證密鑰的安全性���,本實用新型采用兩級密鑰管理機制工作密鑰和保護密 鑰����,所述工作密鑰為所述的數(shù)據加密模塊16進行加解密運算時使用的密鑰��。密鑰管理模塊 18包括一真隨機數(shù)產生器(圖中未示)�����,所述真隨機數(shù)產生器用以產生所述工作密鑰���。密 鑰管理模塊18由身份認證模塊12獲取保護密鑰���,所述的保護密鑰為從所述的第一消息摘 要(其長度為160比特位)中任意提取的128位數(shù)據。提取的方式有多種��,并不用以限定 本實用新型的保護范圍。密鑰管理模塊18采用所述保護密鑰對工作密鑰進行加密����,加密后工作密鑰僅以密文形式存儲在密鑰管理模塊18內。在使用時���,當用戶通過口令認證�,密鑰管理模塊18采用所述保護密鑰對其內部存 儲的工作密鑰密文進行解密�����,從而獲得工作密鑰的明文�,再將工作密鑰明文發(fā)送給中央處 理器15,由中央處理器15轉發(fā)給數(shù)據加密模塊16以執(zhí)行加解密�。接口 19,用以實現(xiàn)讀卡器1與用戶主機進行數(shù)據通信�,實現(xiàn)數(shù)據的輸入和輸出,其 可以是現(xiàn)有的數(shù)據接口���,如USB接口 ����;使用時讀卡器1通過USB電纜連接到用戶計算機的 USB接口即可����,無需安裝任何驅動����。所述的中央處理器15�、數(shù)據加密模塊16����、密鑰管理模塊18和身份認證模塊12設 置在盒體11內,所述的顯示屏13���、鍵盤14����、接口 17以及接口 19設置在盒體11表面�����。本實用新型集成有顯示屏13和鍵盤14�,在本實用新型的移動存儲器上可以進行 口令輸入、解鎖�、更改口令等操作,用戶在顯示屏13的提示下�,在該鍵盤14上輸入口令,無 需通過計算機,從而避免口令在計算上被偵聽和截獲�����。用戶通過設備上的鍵盤14來輸入用戶口令����,在身份認證模塊12內完成口令校驗, 校驗結束后�����,通過設備上的LCD顯示屏13顯示出相應的狀態(tài)信息�����。在口令認證的整個過程 中�,口令不會出現(xiàn)在設備外部,有效保護口令的安全�����;且口令在身份認證模塊內以密文的形 式來實現(xiàn)口令的存儲和校驗����。請參閱圖3所示�,為本實用新型用戶口令校驗的流程圖�,用戶口令校驗的步驟30 包括步驟301,使用者通過鍵盤14輸入用戶口令��;步驟302�����,身份認證模塊12將用戶輸入的口令進行摘要算法SHA-I計算后產生第 二消息摘要�����;步驟303����,身份認證模塊12將第二消息摘要和存儲的第一消息摘要比較���,判斷是 否一致��,若二者一致����,則執(zhí)行步驟304 ���;否則�����,執(zhí)行步驟305 �;步驟304,用戶口令認證通過�����;步驟305�����,用戶口令認證不通過���,身份認證模塊12對用戶口令校驗錯誤次數(shù)進行 累加����;步驟306�����,身份認證模塊12判斷累加的次數(shù)是否達到預設的nl次���,若達到��,執(zhí)行步 驟307 ����;若未達到,執(zhí)行步驟301 �;步驟307,用戶口令鎖死�����,顯示屏13提示用戶口令鎖死���,需要執(zhí)行解鎖操作。上述步驟304完成后�,身份認證模塊12允許用戶對加密分區(qū)171中的數(shù)據進行訪 問,用戶可以通過接口 19讀寫加密分區(qū)171中的數(shù)據�����。上述步驟304完成后����,用戶還可以 更改用戶口令���。本實用新型超級口令校驗的流程與用戶口令的校驗流程類似。請參閱圖4所示�����,為用戶更改用戶口令的流程圖��,其包括的步驟為步驟401�����,用戶使用鍵盤14輸入更改用戶口令的命令�����;步驟402����,執(zhí)行用戶口令校驗的步驟30,并通過口令認證��;步驟403�,用戶使用鍵盤14第一次輸入新的用戶口令,身份認證模塊12將第一次 輸入的用戶口令進行摘要算法SHA-I計算���,產生第三消息摘要����;步驟404,用戶使用鍵盤14第二次輸入新的用戶口令����,身份認證模塊12將第二次輸入的用戶口令進行摘要算法SHA-I計算,產生第四消息摘要��;步驟405�,身份認證模塊12比較第三消息摘要和第四消息摘要是否一致,若二者 一致�����,則執(zhí)行步驟406 ���;否則,執(zhí)行步驟407 ���;步驟406����,中央處理器15執(zhí)行更改用戶口令的操作密鑰管理模塊18采用原保護密鑰對其內部存儲的工作密鑰密文進行解密,從而 獲得工作密鑰的明文�����;密鑰管理模塊18從第三消息摘要值中獲得新的保護密鑰�����;密鑰管理模塊18采用所述新的保護密鑰對工作密鑰的明文進行加密��,加密后工 作密鑰以密文形式存儲在密鑰管理模塊18內�,同時將第三消息摘要存儲到身份認證模塊 12,原存儲的第一消息摘要隨即丟失�����,通過顯示屏13提示用戶口令修改 成功�����;步驟407�,提示用戶再次輸入新用戶口令,執(zhí)行步驟401���。本實用新型更改超級口令的流程與更改用戶口令的流程類似�����。請參閱圖5所示�����,為解鎖用戶口令的流程圖�,其包括的步驟為步驟501,用戶使用鍵盤14輸入解鎖用戶口令的命令����;步驟502,執(zhí)行超級口令校驗��,并通過認證����;步驟503,中央處理器15通過顯示屏13提示解鎖用戶口令成功�;步驟504,身份認證模塊12執(zhí)行恢復用戶口令為默認值的操作密鑰管理模塊18采用原保護密鑰對其內部存儲的工作密鑰密文進行解密���,從而 獲得工作密鑰的明文;身份認證模塊12根據用戶口令的默認值進行摘要算法SHA-I計算,產生第五消息 摘要�;密鑰管理模塊18從第五消息摘要值中獲得默認的保護密鑰;密鑰管理模塊18采用所述默認的保護密鑰對工作密鑰的明文進行加密���,加密后 工作密鑰以密文形式存儲在密鑰管理模塊18內�����,同時將第五消息摘要存儲到身份認證模 塊12���,身份認證模塊12原來存儲的第一消息摘要隨即丟失;步驟505���,提示使用者解鎖用戶口令完成�。請參閱圖6所示���,為重新初始化的流程圖���,其包括的步驟為步驟601,用戶使用鍵盤14輸入初始化的命令�;步驟602,執(zhí)行超級口令校驗���,并通過認證���;步驟603���,密鑰管理模塊18中的真隨機數(shù)產生器產生新的工作密鑰;步驟604��,身份認證模塊12將用戶口令和超級口令恢復為默認值��;步驟605��,身份認證模塊12根據用戶口令和超級口令的默認值分別進行摘要算法 SHA-I計算����,產生第六消息摘要(用戶口令消息摘要)和第七消息摘要(超級口令消息摘 要),并將第六消息摘要和第七消息摘要存儲到身份認證模塊12內�,原先存儲的用戶口令 消息摘要和超級口令消息摘要隨即丟失;步驟606�����,密鑰管理模塊18從第六摘要值中獲得默認的保護密鑰����;步驟607���,密鑰管理模塊18采用所述默認的保護密鑰對新產生的工作密鑰的明文 進行加密�,加密后工作密鑰以密文形式存儲在密鑰管理模塊18內,原先存儲的工作密鑰密 文隨即丟失�;[0097]步驟608,提示使用者初始化完成��。在初始化的過程中���,密鑰管理模塊18產生新的工作密鑰�����,原來存儲卡2中加密分 區(qū)21中保存的密文不能用新的工作密鑰解密�����,因此����,如果用戶希望保留原來存儲的數(shù)據�����, 則需要在初始化操作之前將原存儲數(shù)據導出,再初始化�����。請參閱圖7所示�����,為重新調整分區(qū)的流程圖�,其包括的步驟為步驟701,將存儲器2與接口 17連接�����,將讀寫器1與計算機連接�;步驟702,使用者通過鍵盤14輸入用戶口令�����,并通過認證�;步驟703,在計算機上運行只讀分區(qū)23中的工具軟件��,用戶在該軟件界面中調節(jié) 加密分區(qū)21和非加密分區(qū)22的容量����,然后執(zhí)行分區(qū)功能��;步驟704����,提示用戶手動格式化重新劃分的加密分區(qū)21和非加密分區(qū)22����。本實用新型同時具有身份認證���、數(shù)據加密以及片上密鑰管理的功能�,可以徹底解 決普通讀卡器所面臨的使用者身份無法認證�、數(shù)據明文存儲易泄漏這兩大安全問題,最終 能有效防止存儲卡丟失或被非法持有人訪問而帶來數(shù)據泄漏風險���。此外���,可將存儲卡的存 儲空間劃分為加密分區(qū)和非加密分區(qū),非加密分區(qū)能被任何用戶所訪問�,加密分區(qū)只能由 合法用戶所訪問,且各分區(qū)大小可由用戶自行調整�����,使用方便。另外��,經該讀卡器寫過的存儲卡�����,只能由該類型的讀卡器來讀出數(shù)據�����,而且用戶還 必須輸入正確的用戶口令�����,其他類型的讀卡器無法讀出存儲卡的數(shù)據����。同時還保持普通存 儲卡讀卡器所具有的無需安裝任何驅動等優(yōu)點。以上對本實用新型的描述是說明性的�,而非限制性的,本專業(yè)技術人員理解���,在權 利要求限定的精神與范圍之內可對其進行許多修改�����、變化或等效����,但是它們都將落入本實 用新型的保護范圍內。
權利要求一種基于口令認證的加密型存儲卡讀寫裝置����,由讀寫器和存儲卡組成����,其特征在于,所述的讀寫器包括一中央處理器����,用以實現(xiàn)中央管理控制;一第一接口��,用于所述讀寫器與計算機連接�����,實現(xiàn)數(shù)據的輸出和輸入����;一第二接口�,用于所述讀寫器與存儲卡連接���;一鍵盤���,用以輸入操作命令和口令;一數(shù)據加密模塊��,與所述的中央處理器相連接�����,用于對數(shù)據進行加密和解密�;一密鑰管理模塊,與所述的中央處理器相連接�����;一身份認證模塊���,分別與所述的中央處理器�、密鑰管理模塊和鍵盤相連接,對用戶身份認證信息進行認證����;所述的存儲卡,包括一加密分區(qū)��,所述加密分區(qū)用以存儲輸入數(shù)據的密文����。
2.如權利要求1所述的基于口令認證的加密型存儲卡讀寫裝置,其特征在于����,所述的 密鑰管理模塊具有一真隨機數(shù)產生器,用來產生工作密鑰����。
3.如權利要求1所述的基于口令認證的加密型存儲卡讀寫裝置����,其特征在于,所述的 讀寫器還包括一盒體����,所述的中央處理器、存儲模塊、數(shù)據加密模塊�、密鑰管理模塊和身份 認證模塊設置在所述盒體內,所述的鍵盤�����、以及所述的第一接口和第二接口設置在所述的 盒體表面��。
4.如權利要求1所述的基于口令認證的加密型存儲卡讀寫裝置��,其特征在于�,所述的 讀寫器還包括一 LCD顯示屏,設置在所述盒體表面�,對存儲狀態(tài)和執(zhí)行的操作信息進行顯示。
5.如權利要求1所述的基于口令認證的加密型存儲卡讀寫裝置���,其特征在于����,所述的 第一接口為USB接口���。
6.如權利要求1所述的基于口令認證的加密型存儲卡讀寫裝置���,其特征在于��,所述的 存儲卡為 SD����、miniSD�����、microSD��、MMC��、MMCmini�����、MMCmicro 其中之一���。
7.如權利要求6所述的基于口令認證的加密型存儲卡讀寫裝置,其特征在于�����,所述的 第二接口采用與所述的存儲卡匹配的接口標準��。
專利摘要一種基于口令認證的加密型存儲卡讀寫裝置,由讀寫器和存儲卡組成��,所述的讀卡器包括一中央處理器���,用以實現(xiàn)中央管理控制����;一第一接口����,用于讀寫器與計算機連接;一第二接口�,用于所述讀寫器與存儲卡連接;一鍵盤�,用以輸入操作命令和口令;一數(shù)據加密模塊���,與所述的中央處理器相連接����,用于對數(shù)據進行加密和解密����;一密鑰管理模塊�,與所述的中央處理器相連接�,實現(xiàn)片上密鑰管理功能,包括密鑰的生成����、存儲、分發(fā)�、更新、銷毀��;一身份認證模塊���,與所述的中央處理器��、密鑰管理模塊和鍵盤相連接�����,對用戶身份認證信息進行認證���。所述的存儲卡,包括一加密分區(qū)��,用以存儲輸入數(shù)據的密文�。經該讀寫器寫過的存儲卡,只能由該類型的讀寫器來讀出數(shù)據�。
文檔編號G06K17/00GK201590091SQ200920246378
公開日2010年9月22日 申請日期2009年10月13日 優(yōu)先權日2009年10月13日
發(fā)明者劉冬娜, 孟凡濤, 張卉, 李蓓, 柳鵬, 趙偉, 高志剛 申請人:航天信息股份有限公司