[发明专利]一种黑匣子数据保护系统及方法

说明书

本发明公开了一种黑匣子数据保护系统及方法，包括黑匣子主机、数据锁模块和服务器；通过非对称密码密钥技术产生第一密钥对和第二密钥对，黑匣子主机用于定时存储黑匣子主机的原始数据文件，并根据所述原始数据文件形成第一文件摘要；所述数据锁模块用于通过第一私钥对所述第一文件摘要进行签名后发回所述黑匣子主机；所述服务器用于通过所述第二密钥对与所述数据锁模块进行认证通信，所述服务器获取所述黑匣子主机中的数据文件并根据所述签名后的第一文件摘要确认所述数据文件是否被篡改过，本发明采用非对称密码密钥技术和数据签名技术，对黑匣子数据文件进行签名保护以及对通信过程进行签名认证，防止黑匣子中的数据文件被窃取和篡改。

技术领域

本发明涉及黑匣子数据保护领域。更具体地，涉及一种黑匣子数据保护系统及方法。

背景技术

现有的黑匣子记录数据的保护，主要依靠设置文件系统访问权限或者对称密钥对文件加密两种方法之一，或者两种方法均采用。

如果采用用户访问权限管理方式限制非法访问，则很可能造成恶意方绕过操作系统，直接从存储介质上获取黑匣子内的文件数据。如果采用对称密钥对文件加密方法，则存在密码保护和密钥分发的困难。

由于上述方法可能会带来黑匣子的存储数据被窃取或者被篡改的风险，因此需要提供一种数据保护方法，使黑匣子数据更安全、更加可信。

发明内容

本发明的一个目的在于提供一种黑匣子数据保护系统，采用非对称密码密钥技术和数据签名技术，采用独立的密钥对黑匣子数据进行签名保护以及对通信过程进行签名认证，防止黑匣子当中存储的数据文件被窃取和篡改，本发明的另一个目的在于提供一种黑匣子数据保护方法。

为达到上述目的，本发明采用下述技术方案：

本发明一方面公开了一种黑匣子数据保护系统，包括黑匣子主机、数据锁模块和服务器；

所述数据锁模块和所述服务器中分别通过非对称密码密钥技术产生第一密钥对和第二密钥对，所述第一密钥对包括第一公钥和第一私钥，所述第二密钥对包括第二公钥和第二私钥；

所述黑匣子主机用于定时存储黑匣子主机的原始数据文件，并根据所述原始数据文件形成第一文件摘要传输至所述数据锁模块中；

所述数据锁模块用于通过所述第一私钥对所述第一文件摘要进行签名，将签名后的第一文件摘要后发回所述黑匣子主机，黑匣子主机将其存储；

所述服务器用于核实和分析黑匣子主机定时存储的数据文件，获取黑匣子主机中的数据文件以及所述签名后的第一文件摘要，并利用第一公钥对所述签名后的第一文件摘要进行签名核实，确认数据文件是否被篡改。

优选地，

所述数据锁模块存储有第一私钥和第二公钥；

所述服务器存储有第二私钥和第一公钥。

优选地，

所述服务器进一步被配置为通过与所述黑匣子主机同样的摘要算法，对获取的所述数据文件进行摘要运算，生成第二文件摘要，接着利用所述第一公钥对获取所述签名后的第一文件摘要进行反签名，得到第三文件摘要。将所述的第二文件摘要与所述的第三文件摘要进行比对，

若比对成功，证明该数据文件是未被篡改过的原始数据文件；

若比对不成功，证明该数据文件被篡改过。

优选地，所述服务器被配置为向所述数据锁模块发送经过第二私钥签名后的通信指令；

所述数据锁模块利用事先存储的第二公钥进行认证，

认证成功后，所述数据锁模块执行所述通信指令，实现认证通信，并将所述数据锁模块产生的第一公钥发送给所述服务器。