專利名稱:明密雙通道防泄密安全刻錄機的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及刻錄機�,具體涉及一種能保證信息安全的防泄密安全刻錄機。
背景技術(shù):
目前普遍應(yīng)用的刻錄機主要是兩類��,一類是對數(shù)據(jù)不進行加密的普通光盤刻錄機�;另一類是對數(shù)據(jù)進行軟件加密的安全刻錄機。其中���,主要應(yīng)用的普通光盤刻錄設(shè)備不具備數(shù)據(jù)加密功能���,只能實現(xiàn)數(shù)據(jù)的直接刻錄和讀取�����,如果使用普通刻錄機刻制涉密信息,一旦光盤丟失��,將導(dǎo)致信息的失泄密�。目前市場上已有的安全刻錄機大多采用軟件加密的方式。軟件加密是指不依靠特別的硬件來實現(xiàn)對軟件����、音樂、電影等數(shù)據(jù)的保護技術(shù)���。軟加密的最大亮點在于極低的加密成本�,只需要通過加密軟件對數(shù)據(jù)進行加密��,無需對金屬母盤進行硬件加密�����,就可以達到保護光盤數(shù)據(jù)的目的��。軟件加密手段主要有三種密碼法、計算機硬件校驗法和鑰匙盤法����。軟件加密的方法比較簡單,實現(xiàn)起來比較經(jīng)濟�,但是軟件加密本身固有的不足使其難以應(yīng)用到需要高級保密和大數(shù)據(jù)量加密的領(lǐng)域。主要有以下三種原因1)軟件加密一般采用用戶名加口令的方式進行身份識別�����,口令確認驅(qū)動軟件一般存于光盤上以備調(diào)用��,一般用戶名和密碼都不是很長����,容易被猜測到或者被暴力破解,因此����,一旦加密光盤遺失,通過一些軟件處理相對容易獲取加密信息�。同時,軟件加密時���,用戶的密鑰或密碼是以明文的方式輸入到加密軟件中去��,并且加密解密算法都要在本機內(nèi)存中運行��,很容易受到木馬程序的跟蹤監(jiān)控或者其他人的偷竊���。所以軟件加密雖然方便簡單但是安全性差��,加密文件容易被破解,不適于保密要求比較高的應(yīng)用場合����。2)軟件加密所有的執(zhí)行過程都是通過CPU運行指令來完成的。由于每一個指令的運行都要占用CPU的處理時間�,用軟件加密大量文件時將會嚴重占用系統(tǒng)資源,直接導(dǎo)致系統(tǒng)資源緊張���,影響工作效率����。3)加密軟件都是依賴于某種操作系統(tǒng)���,這對于系統(tǒng)的移植造成一定困難����。本發(fā)明針對當前普通刻錄機和軟件加密刻錄機存在的無法較好地保護涉密刻錄信息的問題,提出了一種可行�����、安全的硬件加密刻錄方案��,實現(xiàn)光盤的明密雙通道刻錄�����,有效保證涉密信息加密手段的高安全性的同時�,還起到了光盤偽裝的作用。硬件加密是在主機端和光盤存儲介質(zhì)之間加入一個硬件加密模塊�����,加密算法完全在此硬件加密模塊中運行��,同時����,對主機端要求具有身份驗證,做到加密數(shù)據(jù)和主機的完全隔離��,只要不是身份驗證識別號��、加密模塊、光盤介質(zhì)全部泄露����,很難被破解加密數(shù)據(jù)。同時���,硬件加密時可對刻錄光盤的信息進行特殊的改造(改變數(shù)據(jù)存放的真實路徑�����、隱藏光盤主要目錄或文件),以達到保護數(shù)據(jù)防止復(fù)制的目的����。同時,本發(fā)明考慮到產(chǎn)品的后向兼容性���,采用了 USB2.0和SATA2.0兩種外設(shè)接口��。在筆記本等便攜設(shè)備上��,使用USB2.0接口 �����;在保密性要求較高的臺式機上�,采用SATA2.0接口。能夠較好地滿足安全刻錄機當前和未來的設(shè)計要求
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)的上述缺陷���,本發(fā)明從軟硬件兩方面入手�,利用高速多層PCB的設(shè)計����、大容量FPGA的設(shè)計、高速硬件加解密技術(shù)�����、SATA2. 0協(xié)議����、USB2. 0協(xié)議、系統(tǒng)底層驅(qū)動程序及伺服系統(tǒng)的開發(fā)���、證書派發(fā)及數(shù)據(jù)庫的管理�����、上層刻錄軟件程序開發(fā)等技術(shù)��,提供了一種用于刻錄明���、密雙通道數(shù)據(jù)的加密型光盤刻錄機���。本發(fā)明的明密雙通道防泄密安全刻錄機,包括硬件加/解密部件和刻錄部件��,其中硬件加/解密部件進一步包括FPGA芯片��,與計算機�����、控制處理器��、串行flash配置芯片以及普通SATA接口刻錄機連接��,用于對進入該芯片的數(shù)據(jù)進行加/解密處理��;控制處理器��,用于對進入硬件加/解密部件的數(shù)據(jù)流判斷是否需要進行加/解密處理��,若是無需加/解密的一般資料�����,則直接將明文數(shù)據(jù)送至普通SATA接口刻錄機進行刻錄或送至計算機進行數(shù)據(jù)讀取��,若是需要加密的機密資料��,則將其送至數(shù)FPGA芯片進行加/解密處理����;串行flash配置芯片,用于對FPGA芯片進行初始化配置�����。利用本發(fā)明的刻錄機���,達到有效保護存放在光盤上的特定資料的目的����,保證光盤信息的安全性和隱蔽性�,為重要信息的保護提供一種有效途徑。安全刻錄機軟硬件系統(tǒng)����,能夠和臺式機SATA2. 0接口或筆記本電腦USB2. 0接口對接��。
圖1為本發(fā)明安全刻錄機的總體原理圖����;圖2為本發(fā)明刻錄光盤分區(qū)形式示意圖��;圖3為本發(fā)明的安全刻錄機的結(jié)構(gòu)框圖���;圖4為本發(fā)明安全刻錄機的工作原理圖���;圖5為安全刻錄機的刻錄和讀取流程圖。
具體實施例方式為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點更加清楚明白���,以下結(jié)合具體實施例��,并參照附圖���,對本發(fā)明進一步詳細說明����。圖1為本發(fā)明安全刻錄機的總體原理圖����。該安全刻錄機主要包括硬件加解密部件和刻錄部件���。其中���,刻錄和讀取軟件運行在計算機上,安全刻錄機對上(計算機)提供SATA2. 0/USB2. 0轉(zhuǎn)換接口����,對下(刻錄部件)提供SATA2. 0轉(zhuǎn)換接口,數(shù)據(jù)的加解密算法和身份驗證等將完全在硬件加解密部件中運行���。圖3為本發(fā)明的安全刻錄機的結(jié)構(gòu)框圖����。參照圖3�,安全刻錄機包括,硬件加/解密部件以及刻錄部件����,其中���,硬件加/解密部件主要實現(xiàn)SATA和USB接口控制、證書的存儲和身份的驗證����、加解密數(shù)據(jù)流的控制、加解密算法的處理及運行��、拆殼檢測電路的啟動等功能����,實時處理及響應(yīng)安全刻錄機的一切事務(wù),刻錄部件在本發(fā)明優(yōu)選普通SATA接口刻錄機��,�。硬件加/解密部件進一步包括FPGA芯片、控制處理器���、串行flash配置芯片����、拆殼檢測電路�����、證書存儲器�、噪聲源發(fā)生器、以及電源和時鐘管理部件組成�����。其中FPGA芯片與計算機(可以是筆記本或臺式電腦)�����、控制處理器���、串行flash配置芯片以及普通SATA接口刻錄機連接���,控制處理器與拆殼檢測電路、證書存儲器��、噪聲源發(fā)生器進行連接�。電源和時鐘管理部件與刻錄機其他所有部件進行連接,實現(xiàn)對其他部件的供電和時鐘管理�����。
FPGA芯片又進一步包括USB/SATA控制單元以及SATA控制單元��、數(shù)據(jù)加/解密單元。FPGA芯片通過USB/SATA控制單元與計算機連接�,通過SATA控制單元與普通SATA接口刻錄機連接。USB/SATA控制單元用于對進入硬件加/解密部件的數(shù)據(jù)流進行串并轉(zhuǎn)換���。串行flash配置芯片用于在設(shè)備運行之初���,首先對FPGA芯片進行初始化配置。當數(shù)據(jù)流進入硬件加/解密部件時����,首先經(jīng)SATA/USB控制器進行串并轉(zhuǎn)換?��?刂铺幚砥鲗?jīng)過SATA/USB控制器進行串并轉(zhuǎn)換之后的數(shù)據(jù)流判斷是否需要進行加/解密處理�����,若是無需加/解密的一般資料�,則直接將明文數(shù)據(jù)送至刻錄機進行刻錄或送至計算機進行數(shù)據(jù)讀取���。若是需要加密的機密資料����,則控制處理器通知噪聲源發(fā)生器產(chǎn)生256位隨機數(shù),生成數(shù)據(jù)加密密鑰�����,同時從證書存儲器獲得接收方公鑰�����。數(shù)據(jù)加/解密單元中的加密單元用上述生成的數(shù)據(jù)加密密鑰在FPGA中對需要進行加密的資料進行硬件加密處理��,例如使用對稱密碼算法�����,生成加密數(shù)據(jù)流��;同時用接收方公鑰對數(shù)據(jù)加密密鑰進行非對稱加密算法進行加密處理���,實現(xiàn)加密密鑰的保護;最后將加密數(shù)據(jù)流和加密后的密鑰一起經(jīng)SATA接口轉(zhuǎn)換發(fā)送至刻錄部件(即普通SATA接口刻錄機)進行密文刻錄��。數(shù)據(jù)加/解密單元中的解密單元利用控制處理器從證書存儲器所獲得的接收方私鑰��,進行非對稱密碼算法解出數(shù)據(jù)加密密鑰�;再用該數(shù)據(jù)加密密鑰運用對稱密碼算法解出所需明文數(shù)據(jù)�;最后將解密后的明文數(shù)據(jù)流經(jīng)USB或SATA接口轉(zhuǎn)換送至計算機�����。拆殼檢測電路���,當安全刻錄機被盜或遺失�,用于在拆殼的過程中���,控制處理器接收到拆殼檢測電路反饋的拆殼信息�����,將啟動自毀功能��,將關(guān)鍵數(shù)據(jù)損壞�����,防止破解加密數(shù)據(jù)��。圖4為本發(fā)明安全刻錄機的工作原理圖����。圖5為安全刻錄機的刻錄和讀取流程圖。參照圖4和圖5���,在計算機上運行刻錄軟件后�,需要開啟加密刻錄設(shè)備時�����,通過用戶PIN碼認證方式與接入的刻錄機設(shè)備建立連接��,認證成功后方能開啟刻錄設(shè)備�。每次刻錄設(shè)備啟動前都要事先進行PIN碼身份認證����,以確定刻錄和讀取權(quán)限。如圖2所示�,刻制光盤時,首先由刻制者指定要刻錄的特定資料和用作偽裝的一般資料����。例如,涉密文件為特定資料��,可用小說文本作為偽裝用的一般資料?����?啼涇浖源藶橐罁?jù)統(tǒng)計文件的存儲空間��,并記錄其對應(yīng)光盤的明密文的起始地址����,劃分非加密區(qū)和加密區(qū),將如前所述的小說文本刻入非加密區(qū)����,將涉密文件刻入加密區(qū)。這樣就實現(xiàn)了光盤的明密雙通道刻錄�����,明文刻錄方式與普通記錄方式相同����,密文采用本發(fā)明所設(shè)計的硬件加密刻錄方式。這就使得光盤在普通刻錄機上只能讀取小說文本�����,看起來是一張普通光盤,實現(xiàn)了偽裝����,只有在本發(fā)明刻錄機上才能讀出加密區(qū)數(shù)據(jù)??啼涇浖忍幚矸羌用軈^(qū)的一般性資料,產(chǎn)生一個標準的IS09660光盤文件系統(tǒng)�,并提供包含該刻錄信息的必要信息。該刻錄機對數(shù)據(jù)進行透明傳輸�,并把其相關(guān)控制信息寫入光盤信息區(qū),再將偽裝的數(shù)據(jù)直接寫入光盤非加密區(qū)�。最后,刻錄軟件處理待加密的資料��,通知刻錄機啟動數(shù)據(jù)加密/解密單元����,對數(shù)據(jù)進行硬件級數(shù)據(jù)對稱加密(AES 256)��。加密密鑰Kl為噪聲源產(chǎn)生的256位偽隨機碼與接收方公鑰數(shù)字證書進行函數(shù)運算得到的256位二進制代碼��,保證了一次一密�,再用接收方公鑰數(shù)字證書中的公開密鑰K2(10M位)對數(shù)據(jù)加密密鑰進行非對稱加密算法(RSA算法)進行加密。每次加密光盤時�,最好選擇不同的非加密資料(最簡便的方法增加或減少文件,也可選擇其他文件)進行偽裝。
在光盤目的接收者接收到光盤后�,讀取光盤時,經(jīng)用戶權(quán)限認證通過后�����,將選擇采用的數(shù)字證書級別和讀到的明密區(qū)地址告訴下位機刻錄機控制處理器����,對于明區(qū)地址內(nèi)的數(shù)據(jù)透明傳輸,而對密區(qū)地址內(nèi)的數(shù)據(jù)����,先從管理員UK中導(dǎo)入私鑰數(shù)字證書以獲得私有密鑰K3,用K3 (1024位)對加密后的數(shù)據(jù)密鑰進行解密運算(RSA算法)���,得到數(shù)據(jù)解密密鑰 K1��,最后利用Kl就可以對加密區(qū)數(shù)據(jù)進行硬件級數(shù)據(jù)解密(AES 256)得到明文�����。要讀取光盤����,必須使用一臺同種型號的安全刻錄機及配套的讀取軟件,否則只能讀出非加密區(qū)的一般資料��。本發(fā)明的安全刻錄機使用的刻錄軟件的主要工作包括明密雙通道刻錄和讀盤于一體的光盤刻錄軟件開發(fā)����、SATA/USB上位機底層驅(qū)動程序、刻錄機管理軟件���、排他性的專用刻錄讀盤功能設(shè)計等子模塊����。明密雙通道刻錄及讀盤軟件開發(fā)�,通過調(diào)用底層NERO SDK程序開發(fā)包,實現(xiàn)光盤刻錄技術(shù)����。SATA上位機底層驅(qū)動程序���,用于上位機識別����、初始化安全刻錄機設(shè)備�,和底層建立通信機制�,給應(yīng)用層提供接口函數(shù)����。刻錄機管理軟件主要包括以下功能模塊設(shè)備開啟的PIN碼認證���、刻錄日志保存與保護��、刻錄日志上傳審計���、空閑時自動關(guān)閉設(shè)備、清除用戶/管理員授權(quán)����、管理員配置模塊等。通過該管理軟件可以更加安全�、有效的管理刻錄設(shè)備。首先�,需要PC客戶端PIN碼認證才能啟動刻錄設(shè)備??啼浫罩镜谋4媾c保護、上傳審計功能為管理員隨時監(jiān)管設(shè)備���,及時發(fā)現(xiàn)隱患提供保障����。另外,該刻錄軟件還允許用戶選擇填寫刻錄文件的相關(guān)附加信息�,如主題(文件名稱)、發(fā)信人�����、收信人����、收信單位等,以便于管理員日后的審計工作���??啼洉r間�、 文件大小等信息由軟件直接從計算機信息中獲取,無須用戶填寫��。當然�,用戶基于各方面因素的考慮也可以選擇不填寫以上信息,同樣能夠進行刻錄工作�。這些信息將會生成Excel 文檔����,只有管理員才有權(quán)限打開該文檔��。設(shè)備空閑一定時間后自動關(guān)閉設(shè)備�����,防止人員離開等情況下的設(shè)備冒用等問題��。當出現(xiàn)一些特殊情況(如某合法用戶的不良日志記錄����,使用人員的調(diào)離��,更換管理員等)時����,可實現(xiàn)清除用戶/管理員授權(quán),進一步保證刻錄設(shè)備的安全性���。管理員配置模塊可用于管理員靈活配置該軟件及配套安全刻錄機的使用權(quán)限��。對于普通用戶不需配置��,默認情況下配置為具有明密雙通道刻錄功能��;而對于保密要求較高的部門�����,只能進行加密刻錄�����,技術(shù)上對軟件明刻錄通道功能選項進行限制�,如果需要,經(jīng)管理員同意也可以通過配置開放該功能�����。對于管理員的安全管理���,采用管理員專用硬件USB KEY⑴K)盤授權(quán)應(yīng)用的方式����,M 內(nèi)存放管理員證書��,使用時管理員要將該M插入計算機�,在軟件中對應(yīng)菜單輸入相應(yīng)的管理員口令,方能進行相關(guān)配置和日志上傳審計管理等。排他性的專用刻錄讀盤功能設(shè)計��,主要為了規(guī)避使用其它存在漏洞等安全隱患的刻錄軟件及通用刻錄機而產(chǎn)生非主觀的泄密問題�����。界面設(shè)計仿造性能穩(wěn)定可靠���、界面友好的NERO刻錄軟件,調(diào)用NERO SDK程序開發(fā)包進行設(shè)計�����。一是排斥其他刻錄軟件使用本安全刻錄機����,采用PIN碼認證開啟設(shè)備的機制,給本軟件和硬件分配一個對應(yīng)的PIN識別碼��, 只有PIN碼認證通過后����,刻錄軟件才能啟動安全刻錄機進行刻錄。二是排斥其他通用刻錄機���,我們自己設(shè)計的軟硬件管理較為便利��,要封住其它刻錄機硬件�����,我們通過檢測通用刻錄機的ID號�����、廠商���、設(shè)備號等信息進行驗證��,如果不是我們自己的設(shè)備就封住該設(shè)備不讓其識別為可用設(shè)備�,致使無法使用的方法實現(xiàn)���。掛載一個logon服務(wù)進程����,開機自動后臺實時運行監(jiān)控刻錄機端口��,根據(jù)實際情況做出判斷�����,執(zhí)行相應(yīng)動作。三是為了避免該安全刻錄機因丟失造成技術(shù)泄密�,我們要求主機和設(shè)備相關(guān)聯(lián),即該設(shè)備配發(fā)時由用戶收集計算機相關(guān)信息(CPU�、MAC����、硬盤序列號)提交給管理員,管理員通過配置安全刻錄機界面將配置信息下發(fā)給安全刻錄機存儲在非易失存儲器中�。軟件啟動時會收集主機中的硬件信息按照預(yù)定的協(xié)議格式傳給安全刻錄機,如果匹配才開放刻錄及讀盤功能�����。為避免用戶收集計算機相關(guān)硬件信息帶來不便���,我們將給申請安全刻錄機的用戶提供小軟件供獲取相關(guān)硬件的序列號并存儲成固定格式���,用戶只需提交該格式文件給管理員用于配置下位機。本發(fā)明的安全刻錄機選用不易破解的FPGA進行安全刻錄機設(shè)計�,雖然這比選用一些現(xiàn)成的集成IC在設(shè)計難度上高很多,但對數(shù)據(jù)安全保密工作具有很重要的意義���。本發(fā)明使用的FPGA為Altera Cyclone II低功耗高性能系列芯片�。例如可選用EP2C50,采用BGA 封裝����,內(nèi)置129xM4K個RAM塊,4個獨立PLL�����。FPGA配置芯片可采用專用配置芯片EPCS4��,設(shè)計有AS (主動配置方式)�����、JTAG兩種配置方式�,JTAG用于在線仿真調(diào)試,AS用于最終FPGA 程序的燒錄��。使用本發(fā)明的安全刻錄機具有以下優(yōu)點1.光盤非加密區(qū)的資料在普通光驅(qū)上可以正常讀出���,容易讓人誤以為這是一張普通光盤��,可以起到對光盤偽裝的效果�����;光盤加密區(qū)起始位置根據(jù)不同的存放明文是變化的����,密鑰不存放在光盤上,必須具有相同的安全刻錄機及相應(yīng)證書才能破解�;光盤加密區(qū)的特定資料是以一種非標準的文件格式組織的,普通刻錄機無法獲得文件信息��,Windows/DOS系統(tǒng)不能顯示被加密文件�����;光盤加密區(qū)的資料采用硬件數(shù)據(jù)流級別進行了一次加密����,并保證了一次一密���;對數(shù)據(jù)加密密鑰進行RSA算法非對稱加密�,采用10M位RSA密鑰��,按目前的計算機水平���,要破解這類密鑰需數(shù)百年時間����, 即保證了數(shù)據(jù)密鑰的安全性,又減少了人為傳遞數(shù)據(jù)密鑰的環(huán)節(jié)����,避免可能存在的安全隱患;普通光驅(qū)無法看到加密區(qū)的特定資料��,就無法讀取光盤上的特定資料�,必須使用本方案加解密刻錄機和配套的讀取軟件;由于采用了高級硬件加解密算法和相應(yīng)的保護措施����,對數(shù)據(jù)流進行實時加解密,大大提高了光盤的數(shù)據(jù)安全性和抗破解能力��。使用專用加密算法對數(shù)據(jù)流進行加密��,在不知道密鑰的情況下����,要正確讀出光盤上的特定資料,沒有該安全刻錄機軟硬件系統(tǒng)和配套證書�,這幾乎是不可能完成的任務(wù)���,即使是非常專業(yè)的破解人員也要花費數(shù)十年時間甚至更長。以上所述的具體實施例�����,對本發(fā)明的目的��、技術(shù)方案和有益效果進行了進一步詳細說明�,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實施例而已�,并不用于限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)����,所做的任何修改�����、等同替換�、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1.一種明密雙通道防泄密安全刻錄機���,包括硬件加/解密部件和刻錄部件�����,其中硬件加/解密部件進一步包括FPGA芯片�����,與計算機���、控制處理器、串行flash配置芯片以及刻錄部件連接��,用于對進入該芯片的數(shù)據(jù)進行加/解密處理���;控制處理器�,用于對進入硬件加/解密部件的數(shù)據(jù)流判斷是否需要進行加/解密處理�,若是無需加/解密的一般資料,則直接將明文數(shù)據(jù)送至刻錄部件進行刻錄或送至計算機進行數(shù)據(jù)讀取���,若是需要加密的機密資料��,則將其送至FPGA芯片進行加/解密處理���;串行flash配置芯片��,用于對FPGA芯片進行初始化配置��;刻錄部件���,用于對數(shù)據(jù)進行刻錄。
2.如權(quán)利要求1所述的安全刻錄機�,其特征在于,所述FPGA芯片進一步包括USB/SATA控制單元��、SATA控制單元����、數(shù)據(jù)加密/解密單元,該FPGA芯片通過USB/SATA控制單元與計算機連接�����,通過SATA控制單元與刻錄部件連接����,并且USB/SATA控制單元用于對進入硬件加/解密部件的數(shù)據(jù)流進行串并轉(zhuǎn)換�,數(shù)據(jù)加密/解密單元用于對數(shù)據(jù)流進行加/解密處理���。
3.如權(quán)利要求2所述的安全刻錄機,其特征在于���,所述控制處理器對經(jīng)過SATA/USB控制器進行串并轉(zhuǎn)換之后的數(shù)據(jù)流判斷是否需要進行加密處理����,對SATA控制單元的上行數(shù)據(jù)流判斷是否需要進行解密處理�����。
4.如權(quán)利要求3所述的安全刻錄機����,其特征在于進一步包括與控制處理器連接的證書存儲器和噪聲源發(fā)生器,當控制處理器判斷數(shù)據(jù)流是需要加密的機密資料�����,則控制處理器通知噪聲源發(fā)生器產(chǎn)生隨機數(shù)��,生成數(shù)據(jù)加密密鑰��,同時從證書存儲器獲得接收方公鑰。
5.如權(quán)利要求4所述的安全刻錄機����,其特征在于,數(shù)據(jù)加密/解密單元用上述生成的數(shù)據(jù)加密密鑰對需要進行加密的資料進行硬件加密處理���,生成加密數(shù)據(jù)流����,同時用接收方公鑰對數(shù)據(jù)加密密鑰進行非對稱加密算法以進行加密處理�,實現(xiàn)加密密鑰的保護,最后將加密數(shù)據(jù)流和加密后的密鑰一起經(jīng)SATA接口轉(zhuǎn)換發(fā)送至刻錄部件進行密文刻錄���。
6.如權(quán)利要求5所述的安全刻錄機�,其特征在于��,如果控制處理器判斷需要解密數(shù)據(jù)�����,則從證書存儲器獲得接收方私鑰�����,將該私鑰傳至FPGA進行非對稱密碼算法解出數(shù)據(jù)加密密鑰�,再用該數(shù)據(jù)加密密鑰運用對稱密碼算法解出所需明文數(shù)據(jù),最后將解密后的明文數(shù)據(jù)流經(jīng)USB或SATA接口轉(zhuǎn)換送至計算機����。
7.如權(quán)利要求1-6任一項所述的安全刻錄機,其特征在于����,該刻錄機進一步包括拆殼檢測電路,用于在拆殼的過程中����,控制處理器接收到拆殼檢測電路反饋的拆殼信息,將啟動自毀功能���,將關(guān)鍵數(shù)據(jù)損壞��,防止破解加密數(shù)據(jù)���。
8.如權(quán)利要求7所述的安全刻錄機,其特征在于����,在計算機上運行刻錄軟件后����,需要開啟加密刻錄設(shè)備時��,通過用戶PIN碼認證方式與接入的刻錄機設(shè)備建立連接�����,認證成功后方能開啟刻錄設(shè)備���,每次刻錄設(shè)備啟動前都要事先進行PIN碼身份認證���,以確定刻錄和讀取權(quán)限。
9.如權(quán)利要求7所述的安全刻錄機����,其特征在于,在刻制光盤時����,預(yù)先指定要刻錄的特定資料和用作偽裝的一般資料,刻錄機先處理非加密區(qū)的一般性資料����,將偽裝的數(shù)據(jù)寫入光盤非加密區(qū)����,然后處理待加密的資料�,數(shù)據(jù)加密/解密單元�,對數(shù)據(jù)進行硬件級數(shù)據(jù)對稱加密。
全文摘要
一種明密雙通道防泄密安全刻錄機����。該刻錄機包括硬件加/解密部件和刻錄部件,其中硬件加/解密部件進一步包括FPGA芯片�,與計算機、控制處理器�、串行flash配置芯片以及普通SATA接口刻錄機連接,用于對進入該芯片的數(shù)據(jù)進行加/解密處理��;控制處理器��,用于對進入硬件加/解密部件的數(shù)據(jù)流判斷是否需要進行加/解密處理�,若是無需加/解密的一般資料,則直接將明文數(shù)據(jù)送至普通SATA接口刻錄機進行刻錄或送至計算機進行數(shù)據(jù)讀取�,若是需要加密的機密資料,則將其送至數(shù)FPGA芯片進行加/解密處理�����;串行flash配置芯片,用于對FPGA芯片進行初始化配置����。使用該刻錄機,能夠有效保證被刻錄的信息的安全性��。
文檔編號G11B20/00GK102385891SQ20111033535
公開日2012年3月21日 申請日期2011年10月28日 優(yōu)先權(quán)日2011年10月28日
發(fā)明者劉潔文, 唐小衛(wèi), 宋憑, 張冰, 張帆, 徐志祥, 李占芹, 林少鋒, 趙晨希, 陳郁虹 申請人:中國人民解放軍總參謀部第五十五研究所