[发明专利]基于同步用户和主机认证的加密可移动存储设备

权利要求书

1.一个移动存储设备，其包括一个主机通信端口，一个或者多个加密数据分区，一个或者多个非加密数据分区，一个加密引擎，一个解密引擎，以及一个能够同时认证被授权用户和被授权计算机系统的安全控制器。

2.一个根据权利要求1所述的移动存储设备，其中，所述主机通信端口使用USB3.0协议。

3.一个根据权利要求1所述的移动存储设备，其中，所述的同时对被授权用户和被授权计算机系统的认证是基于用户ID和用户密码这样两个用户参数以及系统ID和系统签名这样两个系统参数的，并且用户ID是一个能够识别每一个用户的唯一的字符串，系统ID是识别每一个计算机系统的唯一的字符串。

4.一个根据权利要求3所述的移动存储设备，其中，所述加密引擎使用一个加密密钥加密在所述加密数据分区中的数据，所述的解密引擎使用解密密钥解密在所述加密数据分区中的数据。

5.一个根据权利要求4所述的移动存储设备，其中，所述的加密引擎和所述的解密引擎使用同样的主密钥MK作为密钥。

6.一个根据权利要求5所述的移动存储设备，其中，所述的安全控制器包括一个加密模块EM，一个解密模块DM，一个随机数字产生器RNG，一个密钥衍生函数KDF，一个用户密钥数据表管理器UKDTM，一个用户密钥数据表UKDT，一个系统密钥数据表管理器SKDTM，以及一个系统密钥数据表格SKDT。

7.一个根据权利要求6所述的移动存储设备，其中，利用所述的加密模块EM来增加/修改用户或者增加/修改计算机系统，利用所述解密模块DM来获取主密钥MK，该主密钥MK将被用于加密向加密分区中写入的数据以及解密从加密分区中读出的数据。

8.一个根据权利要求7所述的移动存储设备，其中，所述的随机数字产生器RNG在存储设备进行低级格式化时产生一个新的用户密钥UK以及一个新的系统密钥SK，并且通过利用新的用户密钥UK和新的系统密钥SK来产生一个新的主密钥MK。

9.一个根据权利要求8所述的移动存储设备，其中，所述密钥衍生函数KDF将每一个用户密码转变为一个确定的固定长度的用户密钥加密密钥UKEK，所述密钥衍生函数KDF将每一个系统签名转变为一个确定的固定长度的系统密钥加密密钥SKEK。

10.一个根据权利要求9所述的移动存储设备，其中，在初始化时，所述加密模块EM使用新的用户密钥加密密钥UKEK作为加密密钥来加密用户密钥UK进而得到新的加密用户密钥EUK。

11.一个根据权利要求10所述的移动存储设备，其中，在初始化时，所述加密模块EM使用新的系统密钥加密密钥SKEK作为加密密钥来加密系统密钥SK进而得到新的加密系统密钥ESK。

12.一个根据权利要求11所述的移动存储设备，其中，在初始化时，所述用户密钥数据表格管理器UKDTM在用户密钥数据表格UKDT中存储新的用户ID UID和新的加密用户密钥EUK。

13.一个根据权利要求12所述的移动存储设备，其中，在初始化时，所述系统密钥数据表格管理器SKDTM在系统密钥数据表格SKDT中存储新的系统ID SID和新的加密系统密钥ESK。

14.一个根据权利要求13所述的移动存储设备，其中，在用户操作过程中所述用户密钥数据表格管理器UKDTM基于用户ID UID获取加密用户密钥EUK。

15.一个根据权利要求14所述的移动存储设备，其中，在用户操作过程中所述系统密钥数据表格管理器SKDTM基于系统ID SID获取加密系统密钥ESK。

16.一个根据权利要求15所述的移动存储设备，其中，在用户操作过程中所述解密模块DM使用用户密钥加密密钥UKEK作为密钥来解密所述加密用户密钥EUK，进而形成用户密钥UK。

17.一个根据权利要求16所述的移动存储设备，其中，在用户操作过程中所述解密模块DM使用系统密钥加密密钥SKEK作为密钥来解密所述加密系统密钥ESK，进而形成系统密钥SK。

18.一个根据权利要求17所述的移动存储设备，其中在用户操作过程中安全控制器基于用户密钥UK和系统密钥SK来计算主密钥MK，并基于主密钥MK来实现数据的加密/解密。