[发明专利]一种基于主从系统的数据存储加密方法及装置

说明书

本发明涉及一种基于主从系统的数据存储加密方法及装置，属于计算机信息存储技术领域。采用本发明所述基于主从系统的数据存储加密方法及装置，不仅减少了一个加密系统设备，降低了加密系统成本；且减少数据传输经过的路径，减少泄露源头；同时主从设备均参与加密环节，对系统安全保护起到双重保护作用。

技术领域

本发明属于计算机信息存储技术领域，具体涉及一种基于主从系统的数据存储加密方法及装置。

背景技术

随着信息技术的飞速发展，对数据的处理量和存储越来越大，数据存储安全及防止信息泄露已经成为亟待解决的社会化问题。数据存储安全即保证数据完整性；抵御软件恶意攻击、复制或篡改；避免数据被破解、盗取。为解决此类问题，出现了众多的加密存储产品及方案。最常见的方式包括在存储端进行软加密，或者在主控和存储设备间加入独立的加密系统进行硬加密。在存储端软加密，即通过软件方式对存储端加密，当存储设备被盗取或者主控端被挟持，均会发生数据丢失并泄露的危险；硬加密方式，即加入加密系统阻断主控端和存储端虽然能够更有效的保证数据传输的安全性，但是仍有数据被盗取的风险，存在数据泄露的风险。

加密存储的关键技术在于对数据的保护，如果加密数据泄露将会造成无法估量的损失。在加密技术中，在输入端对消息(明文)加密，在输出端对消息(密文)解密。普遍的对数据的加解密方法是使用一个密钥加密数据，同时通过一个配对密钥对密文数据解密。任何未授权用户无法获取密钥信息，从而无法获取存储数据，保证数据的安全。

公开号为CN1066929的中国专利“计算机硬盘数据屏蔽保护系统”提供了一种硬盘数据存储保护方法。此专利提供的数据保护方式依赖于只有授权用户可以访问硬盘,但存储的数据未进行加密处理。当存储盘被盗取复制或者授权用户访问被恶意软件攻克,硬盘存储的数据即有泄露的风险，存在安全隐患。

公开号为CN1641522的中国专利“计算机硬盘数据加密方法及其装置”中，加密系统处在主设备和从设备之间，即主机和硬盘之间；对主从设备间的数据传输进行加密，发生读写指令后，密钥管理系统对数据流进行加密，密钥内置于密钥管理器内，且由密钥直接对数据加密。此专利只关注于数据的加密，当系统被恶意破解后，数据面临泄露的风险。

发明内容

(一)要解决的技术问题

本发明提出一种主从系统的存储加密装置，一方面主从设备会相互认证，防止对系统的恶意访问；另一方面系统进入工作状态后，主设备加密控制会对数据传输过程进行加密；克服了现有存储设备中，仅有一层数据加密的缺陷，在对加密要求较高的系统应用中，提供双层的数据加密保护。

本发明还提供一种主从系统的存储加密方法，既有软加密又有硬加密，加密系统既存在于主设备，又存在于从设备中，无需另外的加密系统，减少数据泄露源头数。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于主从系统的数据存储加密方法，包括主、从设备及主、从设备间适配的接口；所述主设备包括主控加密芯片模块和主控模块；所述从设备包括从控模块及存储模块；主从系统启动后，主设备中的主控模块发起对从设备中从控模块的身份认证；认证成功后主设备进入工作模式，主控加密芯片模块对用户数据进行运算、加密操作，并将运算的密文结果透传到从设备的存储模块，实现主、从设备间的通信、数据传输。

优选地，主、从设备中，主设备内主控加密芯片模块在系统启动前预置了利用主机位置，身份ID生成的认证信息K；从设备的从控模块在系统启动前预置了认证信息K1，从设备的存储模块在系统启动前预置了密文形式的认证信息K2，系统启动后从设备中的K1及K2共同生成从设备的认证信息K'，生成K'后唤醒主设备，主、从设备信号握手进行身份认证，认证成功后从设备通过发送信号使主设备进入工作模式；若认证未成功则通过从设备的从控模块发送销毁信号到从设备的存储模块，存储模块接收到销毁信号销毁其存储的数据。