CN105631298A - 一种加解密装置及方法 - Google Patents

Abstract

本发明公开了一种加解密装置及方法，属于数据安全存储技术领域。该装置包括存储有个人识别码的主控安全芯片(1)，分别与主控安全芯片(1)连接的第一USB接口(2)和第二USB接口(3)，还包括用于为装置供电的可充电电池(4)，可充电电池(4)与所述主控安全芯片(1)连接。采用本发明所提供的加解密装置及方法，可以方便的对PC机或手机等终端设备中的数据进行加解密操作，并保护加密后的密文数据在没有加解密装置的参与下，无法实现对密文数据的访问，大大提高了终端设备中所存储的数据的安全性。

Description

一种加解密装置及方法

技术领域

本发明涉及数据安全存储技术领域，具体涉及一种加解密装置及方法。

背景技术

当前，随着电子化设备的快速发展，用户一般会将同一份数据文件存储到不同的电子设备中，如将存储在PC机中的数据，也存储在自己的手机中，以方便对数据的随时查看。而用户对自己的隐私数据、重要文件、机密资料等信息的安全性也越来越重视，不希望未经允许的个人或组织访问和阅读这些信息。虽然用户可以采用加密软件的方式对数据进行加密存储，但是在手机丢失或被盗后，不法分子还是能够破解加密数据。因此，急需一种好的加解密方式，使得不法分子即使盗取用户手机，对手机中存储的重要的个人信息也无法正常访问和阅读。本发明正是针对上述问题而提出的新型的加解密装置及方法。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种加解密装置及方法，采用该装置及方法，即使终端设备丢失，设备中的密文数据也无法被不法分子访问。

为实现上述目的，本发明采用的技术方案如下：

一种加解密装置，包括存储有个人识别码的主控安全芯片，分别与主控安全芯片连接的第一USB接口和第二USB接口，还包括用于为装置供电的可充电电池，可充电电池与所述主控安全芯片连接。

进一步，如上所述的一种加解密装置，该装置还包括对可充电电池进行充电和供电管理的电源管理模块，可充电电池通过电源管理模块与主控安全芯片连接。

进一步，如上所述的一种加解密装置，所述电源管理模块包括电源转换电路，可充电电池通过电源转换电路与主控安全芯片连接。

进一步，如上所述的一种加解密装置，所述电源管理模块还包括用于对可充电电池进行充电保护的充电管理电路，所述充电管理电路与可充电电池连接。

进一步，如上所述的一种加解密装置，该装置还包括与主控安全芯片连接的显示模块,所述充电管理电路还与主控安全芯片连接。

进一步，如上所述的一种加解密装置，所述主控安全芯片为内置TimeCOS智能卡操作***的安全芯片。

进一步，如上所述的一种加解密装置，所述第一USB接口为标准USB接口；所述第二USB接口为标准USB接口之外的USB接口。

进一步，如上所述的一种加解密装置，所述加解密装置的装置载体为可穿戴式智能设备的设备载体。

基于上述的加解密装置本发明还提供了一种加解密方法，包括将待加密数据进行加密和将加密数据进行解密的步骤，将待加密数据进行加密的方式包括：

(1)具有USB接口的终端设备通过第一USB接口或第二USB接口与加解密装置连接，并向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

(2)加解密装置接收终端设备发送的设备验证请求，主控安全芯片根据其预存的解密密钥解密所述加密的个人识别码，并比较解密后的个人识别码与其内部存储的个人识别码是否相同，若是，则进入下一步，若否，则主控安全芯片向终端设备发送验证错误提示；所述解密密钥为加解密装置与终端设备约定的、与终端设备加密个人识别码的密钥相对应的解密密钥；

(3)终端设备将待加密数据发送到主控安全芯片，主控安全芯片将待加密数据加密后返回到终端设备；

将加密数据进行解密的方式包括：

1)具有USB接口的终端设备通过第一USB接口或第二USB接口与加解密装置连接，并向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

2)加解密装置接收终端设备发送的设备验证请求，主控安全芯片根据其预存的解密密钥解密所述加密的个人识别码，并比较解密后的个人识别码与其内部存储的个人识别码是否相同，若是，则进入下一步，若否，则主控安全芯片向终端设备发送验证错误提示；

3)终端设备将加密数据发送到主控安全芯片，主控安全芯片将加密数据解密后返回到终端设备。

基于上述加解密装置，本发明还提供了另一种加解密方法，包括将待加密数据进行加密和将加密数据进行解密的步骤，将待加密数据进行加密的方式包括：

(1)具有USB接口的第一终端设备通过第一USB接口与加解密装置连接，具有USB接口的第二终端设备通过第二USB接口与加解密装置连接，第一终端设备和第二终端设备分别向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

(2)加解密装置分别接收第一终端设备和第二终端设备发送的设备验证请求，主控安全芯片根据其预存的第一解密密钥解密第一终端设备发送的加密的个人识别码，采用第二解密密钥解密第二终端设备发送的加密的个人识别码，并分别比较第一终端设备和第二终端设备发送的个人识别码与其内部存储的个人识别码是否均相同，若是，则进入下一步，若否，则主控安全芯片向不相同的终端设备发送验证错误提示；

所述第一解密密钥为加解密装置与第一终端设备约定的、与第一终端设备加密个人识别码的密钥相对应的解密密钥；所述第二解密密钥为加解密装置与第二终端设备约定的、与第二终端设备加密个人识别码的密钥相对应的解密密钥；

(3)第一终端设备向加解密装置发送将待加密数据安全存储到第二终端设备的指令，主控安全芯片根据第一终端设备的指令，将待加密数据加密后发送到第二终端设备；

将加密数据进行解密的方式包括：

1)具有USB接口的第一终端设备通过第一USB接口与加解密装置连接，具有USB接口的第二终端设备通过第二USB接口与加解密装置连接，第一终端设备和第二终端设备分别向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

2)加解密装置分别接收第一终端设备和第二终端设备发送的设备验证请求，主控安全芯片根据其预存的第一解密密钥解密第一终端设备发送的加密的个人识别码，采用第二解密密钥解密第二终端设备发送的加密的个人识别码，并分别比较第一终端设备和第二终端设备发送的个人识别码与其内部存储的个人识别码是否均相同，若是，则进入下一步，若否，则主控安全芯片向不相同的终端设备发送验证错误提示；

3)第二终端设备向加解密装置发送将加密数据解密后发送到第一终端设备的指令，主控安全芯片根据第二终端设备的指令，将加密数据解密后发送到第一终端设备。

本发明的有益效果在于：本发明所提供的加解密装置及方法，可以方便的对PC机或手机等终端设备中的数据进行加解密操作，并保护加密后的密文数据在没有加解密装置的参与下，无法实现对密文数据的访问，大大提高了终端设备中所存储的数据的安全性。

附图说明

图1为本发明具体实施方式中提供的一种加解密装置的结构示意图；

图2为本发明具体实施方式中提供的一种加解密方法的流程图；

图3为本发明具体实施方式中提供的另一种加解密方法的流程图。

具体实施方式

下面结合说明书附图与具体实施方式对本发明做进一步的详细说明。

图1示出了本发明具体实施方式中提供的一种加解密装置的结构示意图，由图中可以看出，该加解密装置包括主控安全芯片1，分别与主控安全芯片1连接的第一USB接口2和第二USB接口3，还包括用于为装置供电的可充电电池4，可充电电池4与所述主控安全芯片1连接。其中，所述主控安全芯片1中存储有个人识别码PIN码，通过个人识别码实现与加解密装置连接的终端设备的身份验证。

本实施方式中，主控安全芯片1为内置了TimeCOS智能卡操作***的安全芯片，主控安全芯片1中安全存储有各种密钥、PIN码及相关文件，具备加密、解密、签名及验证等安全算法，因此，外部终端设备可以通过第一USB接口2或第二USB接口3与加解密装置连接后，通过主控安全芯片1实现对数据的安全加密，加密后的数据只有通过该加解密装置的主控安全芯片1才能够解密，因此，采用该装置，即使用户的终端设备丢失或被盗，设备中存储的加密数据也无法被访问。

本实施方式所提供的加解密装置，在实际应用中，所述主控安全芯片1可以通过一个功能足够强大的安全芯片同时实现对终端设备的验证、数据的加解密、以及装置与终端设备之间的通信控制，当然，主控安全芯片1也可以包括一个安全芯片和用于装置与终端设备之间通信控制的控制芯片，安全芯片实现对终端设备的验证和数据的加解密，控制芯片实现装置与终端设备间的数据交互。

如图1所示，本实施方式中，该加解密装置还可以包括对可充电电池4进行充电和供电管理的电源管理模块5，可充电电池4通过电源管理模块5与主控安全芯片1连接。其中，所述电源管理模块5包括电源转换电路6，可充电电池4通过电源转换芯片6与主控安全芯片1连接，主控安全芯片1由可充电电池4经电源转换电路6稳压成主控安全芯片1的工作电压后供电。如主控安全芯片1的工作电压为3.3V，则可充电电池4经电源转换芯片6后输出3.3V电压到主控安全芯片1，为主控安全芯片1供电。所述电源转换芯片6可以采用低压差线性稳压器LDO，也可以采用直流电压转换器DC/DC。

所述电源管理模块5还包括用于对可充电电池4进行充电保护(起到充电保护及过充保护)的充电管理电路7，所述充电管理电路7与可充电电池4连接。充电管理电路7还可以与主控安全芯片1连接，在对可充电电池4进行充电时，主控安全芯片1通过监控充电管理电路7来监控可充电电池4是否充满，在充满时可以在显示屏上显示已充满的提示信息，因此，该加解密装置还可以包括与主控安全芯片1连接的显示模块8。

本实施方式中，所述第一USB接口2与所述第二USB接口3为不同类型的USB接口，第一USB接口2为标准USB接口，PC机等终端设备可以通过第一USB接口2连接加解密装置，所述第二USB接口3为标准USB接口之外的USB接口，具体类型可以根据实际需要选择，具有相适配USB接口类型手机或PAD等终端设备可以通过第二USB接口与加解密装置连接。

本实施方式中，所述加解密装置的装置载体为可穿戴式智能设备的设备载体，该加解密装置可以制作成可穿戴设备的形式，如手环或手表，方便携带。

基于图1中所示的加解密装置，本实施方式还提供了一种加解密方法，该加解密方法适用于用户需要将终端设备的数据加密后安全存储，即使终端设备丢失或被盗，其它不法分子也无法访问该数据。该方法包括将待加密数据进行加密和将加密后的数据进行解密的步骤。其中，将待加密数据进行加密的方式如图2所示，主要包括以下步骤：

步骤S11：终端设备通过USB接口与加解密装置连接，并向加解密装置发送加密的个人识别码，；

步骤S12：主控安全芯片通过比较终端设备发送的个人识别码与其内部存储的个人识别码是否相同来对终端设备进行验证；

具有USB接口的终端设备，根据其USB接口类型，选择加解密装置的第一USB接口或第二USB接口与加解密装置连接，连接后，终端设备向加解密装置发送设备验证请求，设备验证请求中包括加密的个人识别码，该个人识别码用于加解密装置对设备的身份验证，验证用户是否为合法用户。实际应用中，终端设备安装与该加解密装置相对应加解密客户端软件，通过USB接口与加解密装置进行数据交互。

加解密装置接收到终端设备的发送的设备验证请求后，主控安全芯片采用其预存的解密密钥对加密的个人识别码进行解密，得到终端设备发送的个人识别码，将解密得到的个人识别码与加解密装置中预先存储的个人识别码进行比对，如果两个个人识别码一致，终端设备方可通过加解密装置进行后续操作，如果不一致，则加解密装置对终端设备验证不通过，主控安全芯片向终端设备发送验证错误提示。

在实际应用中，终端设备将个人识别码进行加密的密钥和加解密装置中预存的解密密钥是终端设备与加解密装置预先约定好的，但该加密密钥或解密密钥与加解密装置将待加密数据进行加密或解密的密钥是不同的。

步骤S13：终端设备验证通过后，终端设备将待加密数据发送到加解密装置，主控安全芯片将待加密数据加密后返回到终端设备。

在终端设备验证通过后，加解密装置会提示终端设备发送待加密数据的提示，加解密装置收到终端设备发送的待加密数据后，主控安全芯片对数据进行加密处理，加密处理后再发送回终端设备中。

当终端设备需要访问读取其通过加解密装置加密后的数据时，将加密数据进行解密的方式与上述加密方式类似，主要包括以下步骤：

(1)具有USB接口的终端设备通过第一USB接口或第二USB接口与加解密装置连接，终端设备将加密后的个人识别码发送到加解密装置；

(2)主控安全芯片接收并解密终端设备发送的信息，得到终端设备发送的个人识别码，比较终端设备发送的个人识别码与其内部存储的个人识别码是否相同，若是，则进入下一步，若否，则主控安全芯片向终端设备发送验证错误提示；

(3)终端设备将加密数据发送到主控安全芯片，主控安全芯片将加密数据解密后返回到终端设备。

通过图2中所示的上述加解密方法，将终端设备中需要安全存储的数据通过加解密装置加密后再存储到该终端设备中，并在该终端设备需要读取该数据时，由加解密装置进行加密数据的安全解密后再将解密后的数据返回到该终端设备，实现了终端设备中数据的安全存储与访问。例如，用于需要将一份PC机上的重要数据加密后存储时，PC机通过第一USB接口与加解密装置接通，并通过PC机的加解密客户端软件将数据通过第一USB接口发送给加解密装置，加解密装置的主控安全芯片通过其内存的密钥和加密算法对数据加密后再通过第一USB接口返回给PC机。同样，当用户需要将一份手机中的重要数据加密存储时，通过第二USB接口与加解密装置连接后将数据发送到装置加密后，加解密装置再将加密数据返回手机存储。

本实施方式还提供的另一种加解密方法，该加解密方法适用于用户需要将一个终端设备的数据加密后安全存储在另一终端设备中。该方法也包括将待加密数据进行加密和将加密后的数据进行解密的步骤。其中，将待加密数据进行加密的方式如图3所示，主要包括以下步骤：

步骤S21：两个终端设备分别与加解密装置连接，并分别向加解密设备发送加密后的个人识别码；

步骤S22：加解密装置分别比对第一终端设备和第二终端设备发送的个人识别码与其存储的个人识别码是否均相同；

具有USB接口的第一终端设备和第二终端设备分别通过加解密设备的两个USB接口与加解密装置连接，连接后，第一终端设备和第二终端设备分别向加解密装置发送设备验证请求，其中，设备验证请求中包括加密的个人识别码，该个人识别码用于加解密装置对设备的验证。

加解密装置接收到第一终端设备和第二终端设备发送的验证个人识别码的请求后，主控安全芯片采用第一解密密钥对第一终端设备的加密的个人识别码进行解密，得到第一终端设备发送的个人识别码，采用第二解密密钥对第二终端设备发送的加密的个人识别码进行解密，得到第二终端设备发送的个人识别码，并分别将第一终端设备发送的个人识别码和第二终端设备发送的个人识别码与其预存的个人识别码比较，只有两个比较结果均相同即两个终端设备均通过验证后，才能进行下一步，否则，主控安全芯片向验证不通过的终端设备发送验证错误提示。

其中，第一解密密钥为加解密装置与第一终端设备约定的、与第一终端设备加密个人识别码的密钥相对应的解密密钥；所述第二解密密钥为加解密装置与第二终端设备约定的、与第二终端设备加密个人识别码的密钥相对应的解密密钥。在实际应用中，第一解密密钥与第二解密密钥可以相同，也可以不同。

步骤S23：两个终端设备验证均通过后，第一终端设备向加解密装置发送将待加密数据安全存储到第二终端设备的指令，指令中包括待加密数据，主控安全芯片根据第一终端设备的指令，将待加密数据加密后发送到第二终端设备。

与图3中所示的加密方法相对应，将加密数据进行解密的方式包括：

(1)具有USB接口的第一终端设备通过第一USB接口与加解密装置连接，具有USB接口的第二终端设备通过第二USB接口与加解密装置连接，第一终端设备和第二终端设备分别向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

(2)加解密装置分别接收第一终端设备和第二终端设备发送的设备验证请求，主控安全芯片根据其预存的第一解密密钥解密第一终端设备发送的加密的个人识别码，采用第二解密密钥解密第二终端设备发送的加密的个人识别码，并分别比较第一终端设备和第二终端设备发送的个人识别码与其内部存储的个人识别码是否均相同，若是，则进入下一步，若否，则主控安全芯片向不相同的终端设备发送验证错误提示；

(3)第二终端设备向加解密装置发送将加密数据解密后发送到第一终端设备的指令，主控安全芯片根据第二终端设备的指令，将加密数据解密后发送到第一终端设备。

通过图3中所示的加解密方法，将第一终端设备中的数据通过加解密装置加密后发送到第二终端设备中进行安全能存储，在第一终端设备需要读取该数据时，由加解密装置对第二终端设备中的加密数据进行安全解密后再将解密后的数据返回到第一终端设备，实现了将第一终端设备中数据在第二终端设备中安全另存与访问。例如，当用户需要将一份PC机上的重要数据加密后存储到手机上时，PC机通过第一USB接口与加解密装置连接，通过其加解密客户端软件将要存储到手机上的数据发送到加解密装置，加解密装置对数据进行加密后通过第二USB接口发送到手机中存储。

采用本实施方式所提供的两种加解密方法时，加解密装置可以只在终端识别第一次连接终端设备时对终端设备通过个人识别码进行验证，第一次验证通过后，可以默认将终端设备与加解密设备绑定，终端设备再次使用加解密装置是则可以不需要再验证，以提高效率。

采用本发明所提供的加解密装置及方法，手机或PC机等终端设备在与加解密装置通信进行数据加密或读取密文数据时，都需要先进行PIN码验证才能够进行后面的操作，没有加解密装置的参与，手机或PC机中存储的加密数据无法访问，其它用户不能随便读取手机或PC机中经过加密的数据，实现了设备中数据的安全存储。

本发明提出的加解密装置可以解决用户在终端设备中安全存储数据的要求，并且装置的组成器件少，可以制作成体积小、携带方便的手环或其它便携式设备。通过所述“手环”的使用，用户可以将PC机需要保护的数据文件加密后存储到手机中。“手环”的使用者必须通过身份认证后方可使用，例如PIN码验证。持有“手环”的使用者通过手机端的加解密客户端可以方便地访问手机中的加密数据。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种加解密装置，其特征在于：包括存储有个人识别码的主控安全芯片(1)，分别与主控安全芯片(1)连接的第一USB接口(2)和第二USB接口(3)，还包括用于为装置供电的可充电电池(4)，可充电电池(4)与所述主控安全芯片(1)连接。

2.根据权利要求1所述的一种加解密装置，其特征在于：该装置还包括对可充电电池(4)进行充电和供电管理的电源管理模块(5)，可充电电池(4)通过电源管理模块(5)与主控安全芯片(1)连接。

3.根据权利要求2所述的一种加解密装置，其特征在于：所述电源管理模块(5)包括电源转换电路(6)，可充电电池(4)通过电源转换电路(6)与主控安全芯片(1)连接。

4.根据权利要求3所述的一种加解密装置，其特征在于：所述电源管理模块(5)还包括用于对可充电电池(4)进行充电保护的充电管理电路(7)，所述充电管理电路(7)与可充电电池(4)连接。

5.根据权利要求4所述的一种加解密装置，其特征在于：该装置还包括与主控安全芯片(1)连接的显示模块(8),所述充电管理电路(7)还与主控安全芯片(1)连接。

6.根据权利要求1所述的一种加解密装置，其特征在于：所述主控安全芯片(1)为内置TimeCOS智能卡操作***的安全芯片。

7.根据权利要求1至6之一所述的一种加解密装置，其特征在于：所述第一USB接口(2)为标准USB接口；所述第二USB接口(3)为标准USB接口之外的USB接口。

8.根据权利要求1至6之一所述的一种加解密装置，其特征在于：所述加解密装置的装置载体为可穿戴式智能设备的设备载体。

9.基于权利要求1所述的一种加解密装置的一种加解密方法，包括将待加密数据进行加密和将加密数据进行解密的步骤，其特征在于：将待加密数据进行加密的方式包括：

(1)具有USB接口的终端设备通过第一USB接口或第二USB接口与加解密装置连接，并向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

(2)加解密装置接收终端设备发送的设备验证请求，主控安全芯片根据其预存的解密密钥解密所述加密的个人识别码，并比较解密后的个人识别码与其内部存储的个人识别码是否相同，若是，则进入下一步，若否，则主控安全芯片向终端设备发送验证错误提示；所述解密密钥为加解密装置与终端设备约定的、与终端设备加密个人识别码的密钥相对应的解密密钥；

(3)终端设备将待加密数据发送到主控安全芯片，主控安全芯片将待加密数据加密后返回到终端设备；

将加密数据进行解密的方式包括：

1)具有USB接口的终端设备通过第一USB接口或第二USB接口与加解密装置连接，并向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

2)加解密装置接收终端设备发送的设备验证请求，主控安全芯片根据其预存的解密密钥解密所述加密的个人识别码，并比较解密后的个人识别码与其内部存储的个人识别码是否相同，若是，则进入下一步，若否，则主控安全芯片向终端设备发送验证错误提示；

3)终端设备将加密数据发送到主控安全芯片，主控安全芯片将加密数据解密后返回到终端设备。

10.基于权利要求1所述的一种加解密装置的一种加解密方法，包括将待加密数据进行加密和将加密数据进行解密的步骤；其特征在于：将待加密数据进行加密的方式包括：

(1)具有USB接口的第一终端设备通过第一USB接口与加解密装置连接，具有USB接口的第二终端设备通过第二USB接口与加解密装置连接，第一终端设备和第二终端设备分别向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

(2)加解密装置分别接收第一终端设备和第二终端设备发送的设备验证请求，主控安全芯片根据其预存的第一解密密钥解密第一终端设备发送的加密的个人识别码，采用第二解密密钥解密第二终端设备发送的加密的个人识别码，并分别比较第一终端设备和第二终端设备发送的个人识别码与其内部存储的个人识别码是否均相同，若是，则进入下一步，若否，则主控安全芯片向不相同的终端设备发送验证错误提示；

所述第一解密密钥为加解密装置与第一终端设备约定的、与第一终端设备加密个人识别码的密钥相对应的解密密钥；所述第二解密密钥为加解密装置与第二终端设备约定的、与第二终端设备加密个人识别码的密钥相对应的解密密钥；

(3)第一终端设备向加解密装置发送将待加密数据安全存储到第二终端设备的指令，主控安全芯片根据第一终端设备的指令，将待加密数据加密后发送到第二终端设备；

将加密数据进行解密的方式包括：

1)具有USB接口的第一终端设备通过第一USB接口与加解密装置连接，具有USB接口的第二终端设备通过第二USB接口与加解密装置连接，第一终端设备和第二终端设备分别向加解密装置发送设备验证请求；所述设备验证请求包括加密的个人识别码；

2)加解密装置分别接收第一终端设备和第二终端设备发送的设备验证请求，主控安全芯片根据其预存的第一解密密钥解密第一终端设备发送的加密的个人识别码，采用第二解密密钥解密第二终端设备发送的加密的个人识别码，并分别比较第一终端设备和第二终端设备发送的个人识别码与其内部存储的个人识别码是否均相同，若是，则进入下一步，若否，则主控安全芯片向不相同的终端设备发送验证错误提示；

3)第二终端设备向加解密装置发送将加密数据解密后发送到第一终端设备的指令，主控安全芯片根据第二终端设备的指令，将加密数据解密后发送到第一终端设备。