[发明专利]一种数据安全保护方法和数据安全保护装置

权利要求书

1.一种数据安全保护方法，其特征在于，包括以下步骤：

步骤A：安全模块对用户身份进行鉴别，若鉴别未通过则执行步骤B，否则执行步骤C；

步骤B：安全模块判断对用户身份鉴别的次数，若次数未达到限制值则执行步骤A，否则执行步骤G；

步骤C：安全模块对加密模块进行认证，若认证未通过则执行步骤D，否则执行步骤E；

步骤D：安全模块判断对加密模块认证的次数，若次数未达到限制值则执行步骤C，否则执行步骤G；

步骤E：安全模块将数据密钥发送给加密模块，并执行步骤F；

步骤F：加密模块根据从安全模块接收到的数据密钥，对存入存储器的数据进行加密和对取出存储器的数据进行解密；

步骤G：拒绝进行用户身份鉴别。

2.根据权利要求1所述的数据安全保护方法，其特征在于：步骤A中，安全模块对用户身份进行鉴别的方式包括用户口令比对方式、指纹对比方式、虹膜对比方式。

3.根据权利要求1或2所述的数据安全保护方法，其特征在于：步骤A中，安全模块通过个人身份设备对用户身份进行鉴别。

4.根据权利要求3所述的数据安全保护方法，其特征在于：所述个人身份设备包括第二代身份证和数字证书。

5.根据权利要求1所述的数据安全保护方法，其特征在于：步骤D中，对用户身份鉴别的次数为3次或者4次。

6.根据权利要求1或5所述的数据安全保护方法，其特征在于：步骤D中，对加密模块认证的次数为3次或者4次。

7.根据权利要求1所述的数据安全保护方法，其特征在于，步骤E中，安全模块将数据密钥发送给加密模块通过如下方法实现：

在生产制造阶段安全模块和加密模块置入相同的根密钥；

步骤E中，安全模块生成随机数x，并用根密钥加密后得到x’；安全模块把x’发送给加密模块；加密模块生成随机数y，并用根密钥加密后得到y’，加密模块把y’发送给安全模块；

加密模块接收安全模块发送的x’，用根密钥解密得到x，并将x和y异或得到z；安全模块接收加密模块发送的y’，用根密钥解密得到y，并将x和y异或得到z；

安全模块用z将数据密钥加密后得到的密文传递给加密模块；加密模块用z对从安全模块接收到的密文进行解密，获得数据密钥。

8.根据权利要求1所述的数据安全保护方法，其特征在于：步骤F中，加密模块所采用的加密算法为DES、3DES或者AES。

9.一种数据安全保护装置，其特征在于：包括安全模块和与其电连接的加密模块；所述安全模块用于对用户身份进行鉴别并将数据密钥发送给加密模块；所述加密模块根据从安全模块接收到的数据密钥，对存入存储器的数据进行加密和对取出存储器的数据进行解密。

10.根据权利要求9所述的数据安全保护装置，其特征在于：所述安全模块还用于对加密模块进行认证。

11.根据权利要求9或10所述的数据安全保护装置，其特征在于：所述安全模块为可信平台模块。