[发明专利]一种基于主从系统的数据存储加密方法及装置

权利要求书

1.一种基于主从系统的数据存储加密方法，其特征在于，包括主、从设备及主、从设备间适配的接口；所述主设备包括主控加密芯片模块和主控模块；所述从设备包括从控模块及存储模块；主从系统启动后，主设备中的主控模块发起对从设备中从控模块的身份认证；认证成功后主设备进入工作模式，主控加密芯片模块对用户数据进行运算、加密操作，并将运算的密文结果透传到从设备的存储模块，实现主、从设备间的通信、数据传输。

2.如权利要求1所述的装置，其特征在于，主、从设备中，主设备内主控加密芯片模块在系统启动前预置了利用主机位置，身份ID生成的认证信息K；从设备的从控模块在系统启动前预置了认证信息K1，从设备的存储模块在系统启动前预置了密文形式的认证信息K2，系统启动后从设备中的K1及K2共同生成从设备的认证信息K'，生成K'后唤醒主设备，主、从设备信号握手进行身份认证，认证成功后从设备通过发送信号使主设备进入工作模式；若认证未成功则通过从设备的从控模块发送销毁信号到从设备的存储模块，存储模块接收到销毁信号销毁其存储的数据。

3.如权利要求2所述的装置，其特征在于，主设备中，主设备还包含电源模块，主控模块通过I2C接口与从设备的从控模块连接，通过加密通信实现认证功能；电源模块负责供电，形式可以为外接电源式或者自备电池式。

4.如权利要求3所述的装置，其特征在于，所述主控模块、从控模块、主控加密芯片模块及存储模块的交互方式具体为：系统启动后，从设备首先完成密钥K'的合成，合成后与主设备的密钥K通过I2C接口进行认证，认证成功后从设备通过GPIO接口向主设备发送软件中断信号，主设备收到中断后主设备及从设备均进入工作模式；主设备及从设备均进入工作模式后，用户对主从设备操作时，主设备给从设备供电；用户发起写操作，数据通过主控加密芯片模块对数据加密，并通过SATA接口将数据透传给从设备的存储模块；用户发起读操作，读命令下发到存储模块后数据通过SATA接口回传到主设备的主控加密芯片模块，经主控加密芯片模块解密后上传给用户。

5.如权利要求4所述的装置，其特征在于，所述主控模块、从控模块、主控加密芯片模块及存储模块的交互过程中，在身份认证时，由主控模块对从控模块通过I2C接口发起的身份认证，主控模块对从控模块发起10次信息配对请求，只要有1次配对成功即认证成功，若第10次仍然未成功，则主控模块判定配对失败，即认证失败，从控模块通过GPIO端口向从设备的存储模块发送销毁信号，存储模块完成对存储介质的全部擦除。

6.如权利要求5所述的装置，其特征在于，从设备接入主设备前，其主控模块及存储模块预置了系统环境相关的密钥分量；从设备接入主设备后，存储模块具体用于存储主控模块发来的加密数据包、驱动程序运行产生的结果、主从系统的配置信息、运行环境的相关信息。

7.如权利要求6所述的装置，其特征在于，所述存储模块由flash或者E2PROM构成。

8.如权利要求7所述的装置，其特征在于，所述存储模块为硬盘或U盘。

9.如权利要求1至8中任一项所述的装置，其特征在于，从设备接入到其他环境中存储的数据无法正常读写。

10.一种利用权利要求1至9中任一项所述的装置实现的基于主从系统的数据存储加密方法，其特征在于，包括下列步骤：

步骤1、主从系统初始化，包含对主设备主控模块的初始化，即通过调试模块预置能够与从设备配对的主控制认证信息，对主设备的主控加密芯片预置密钥；通过调试模块对从设备的从控模块预置部分认证信息，对从设备的存储模块预置部分认证信息；

步骤2、从设备接入主设备，由主设备对从设备供电；上电后从设备中的存储模块与从控制模块合成认证信息，认证信息合成后从控模块对主控模块发起认证请求；

步骤3、主、从设备认证，主控模块与从控模块通过接口实现认证；认证成功主从设备进入工作模式；认证不成功，连续发起10次认证，若均不成功，从控模块发起销毁指令通过GPIO接口将存储模块存储的数据销毁；

步骤4、主从系统进入工作模式后，当用户写入信息时，主设备接受用户的数据流信息，首先实现加密控制，选择相应的加密密钥和加密模式；通过密钥对数据流进行加密操作后进行数据到打包，打包完成后的数据密文通过接口电路传送到从设备的存储模块进行存储；同样，当用户读取信息时，存储模块中的数据通过接口电路传送到主控加密芯片解密后传送到数据流中供用户使用。