CN109711208B - Usb接口设备数据加密转换装置及其工作方法 - Google Patents
Usb接口设备数据加密转换装置及其工作方法 Download PDFInfo
- Publication number
- CN109711208B CN109711208B CN201811376885.XA CN201811376885A CN109711208B CN 109711208 B CN109711208 B CN 109711208B CN 201811376885 A CN201811376885 A CN 201811376885A CN 109711208 B CN109711208 B CN 109711208B
- Authority
- CN
- China
- Prior art keywords
- data
- control module
- usb
- module
- read
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种USB接口设备数据加密转换装置及其工作方法,涉及数据实时处理技术领域。本发明基于OTG模式的USB Phy接口模块,提供源端USB接口和目标端USB接口,通过设计集成ULPI接口的读写控制模块、加密控制模块、密钥交换模块、位图管理模块、文件***解析模块、销毁控制模块等,使得源端USB接口支持与主机或通用USB接口存储色号不连接,目标端USB接口连接通用USB接口存储设备,支持数据加密、密钥安全交换、文件***解析、位图管理、工作模式可配置及销毁控制等功能,满足主机与通用USB接口存储设备间的加密存储、通用USB接口存储设备间的加密转存与数据机备份、通用USB接口存储设备数据安全销毁等应用需求。
Description
技术领域
本发明涉及数据实时处理技术领域,具体涉及一种USB接口设备数据加密转换装置及其工作方法。
背景技术
随着USB接口总线技术的发展和移动存储设备的普遍应用,特别是大容量存储设备的广泛应用,采用USB接口存储设备存储/备份/交换数据、安装应用软件/操作***等已成为人们日常生活、工作的常态。伴随着大量数据存储于这些通用大容量USB接口移动存储设备,因移动存储设备遗失、非授权访问等带来的大量个人隐私、敏感数据、涉密信息等不受控,已经成为重要应用场合使用移动存储设备必须解决的问题。
为此,采用移动存储设备数据加密、明密区隔离控制、口令/指纹访问控制等技术,已经成为保障USB接口存储设备数据安全保密的基本措施:
移动数据加密。采用具有加密功能的USB接口控制器,或者安全芯片,设计提供具有数据加密功能的专用安全移动存储设备。
明密区隔离控制。主要基于USB接口控制器的固件提供明密区隔离控制,并通过口令认证方式控制对密区数据的访问,数据保密强度严重依赖于控制器自身提供的功能,基于口令验证方式对密区访问控制,数据保护强度较弱。
口令或指纹访问控制。采用对话框、数字按键等方式输入验证口令,或者采用指纹鉴别方式进行鉴别认证,控制对移动存储设备的数据访问,一般属于专用存储设备,且口令固化在移动存粗设备内,口令验证简单,也缺乏对口令的安全保护措施。
针对大量使用的通用USB接口存储设备,如何安全、便捷、高效地实现数据加密,上述安全保密技术均存在一定的缺陷。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何安全、便捷、高效地实现数据加密。
(二)技术方案
为了解决上述技术问题,本发明提供了一种USB接口设备数据加密转换装置,包括综合控制模块1、模式控制模块2、密钥交换模块3、文件***解析模块4、源端读写控制模块5、源端数据缓冲区6、加密控制模块7、目标端数据缓冲区8、目标端读写控制模块9、位图管理模块10、销毁控制模块11、源端USB PHY接口模块12和目标端USB PHY接口模块13;
综合控制模块1,用于负责USB接口设备数据加密转换装置内部各功能模块的协调控制,包括协调将源端读写控制模块5的访问命令和非加密数据转发至目标端读写控制模块9,从密钥交换模块3获取工作密钥并与本装置标识码合成加密控制模块7所需加解密用密钥,获取模式控制模块2的配置信息并据此进行***控制;
模式控制模块2用于监测功能开关设置,确定源端USB接口外接设备类型、主机与外部通用USB接口存储设备间的数据加解密访问流向、外部USB接口设备间的加密转存或备份控制模式,以及目标端USB接口存储设备的数据销毁方式;
密钥交换模块3,用于通过注钥接口连接外部注钥设备,并采用非对称加密算法,完成USB接口设备数据加密转换装置与注钥设备间的身份认证和工作密钥的加密传输与转存;
文件***解析模块4,用于在源端USB接口接存储设备时,对源端读写控制模块5从该存储设备读取的分区表参数、文件***类型、数据簇链结构进行分析,确定需要加密转存或备份的数据操作地址,源端读写控制模块5,用于基于ULPI接口协议,实现USB接口协议控制功能,采用工作方式可配置设计,通过传输模式设计,控制产生或解析源端USB PHY接口模块12交互用USB数据包,并将数据包中的访问控制参数与用户数据分离,其中访问控制参数和非加密数据传送至综合控制模块1,待加密数据传送至源端数据缓冲区6,读源端USB接口存储设备的数据传送至文件***解析模块4;
源端数据缓冲区6,用于采用FIFO工作方式,加密时接收来自源端读写控制模块5的待加密数据,以提供给加密控制模块7进行数据加密;解密时,接收自加密控制模块7输出的解密数据并提供给源端读写控制模块5,以响应主机的读数据操作;
加密控制模块7,用于基于对称密码算法,采用密钥扩展、线性移位变换、非线性替换、轮迭代设计,实现数据加解密控制,加密控制模块7所需的加密密钥由综合控制模块1提供;
目标端数据缓冲区8,用于采用FIFO工作方式,加密时接收来自加密控制模块7输出的加密数据并提供给目标端读写控制模块9,以控制写入目标端USB接口存储设备;解密时接收来自目标端读写控制模块9的待解密数据,以提供给加密控制模块7进行数据解密,响应主机的读数据操作;
目标端读写控制模块9,用于基于ULPI接口协议,实现USB主机接口协议控制功能,通过传输模式设计,控制产生和接收目标端USB PHY接口模块13交互用USB数据包,并将数据包中的访问控制参数与用户数据分离,其中访问控制参数和非加密数据传送至综合控制模块1,待解密数据传送至目标端数据缓冲区8,目标端读写控制模块9在对目标端USB接口存储设备进行数据读写操作时,其数据读写地址提供给位图管理模块10,并由位图管理模块10确定访问地址数据加密状态,同时,在触发销毁时,接收销毁控制模块11产生的覆写数据包;
位图管理模块10,针对目标端USB接口存储设备,建立按扇区或簇为单位的存储设备访问地址数据加密标识位图,根据USB接口设备数据加密转换装置工作模式和目标端读写控制模块9访问地址,进行位图初始化、更新、维护;
销毁控制模块11,用于根据销毁控制模式不同,以随机数、顺序数、固定数构成512字节块数据,构造USB协议写操作数据包并提供给目标端读写控制模块9,控制对目标端USB接口存储设备执行1、3、7遍这些次数的全盘数据覆写销毁操作;
源端USB PHY接口模块12,用于提供USB协议物理层接口,并支持OTG工作模式,可根据模式控制模块2选定的主机或设备工作模式,确定源端接口外接USB主机或通用USB接口存储设备,其中,当工作模式设配置为主机时,USB Phy接口模块12配置为USB设备端接口,一端与主机USB接口相连,一端通过ULPI接口与源端读写控制模块5连接,响应主机访问;当工作模式设置为设备时,USB Phy接口模块12配置为USB主机端接口,一端与外部USB接口存储设备相连,一端通过ULPI接口连接源端读写控制模块5,控制对USB接口存储设备访问;
目标端USB PHY接口模块13,用于提供USB协议物理层接口,一端与外部USB接口存储设备相连,另一端通过ULPI接口连接目标端读写控制模块9,控制对USB接口存储设备访问。
优选地,还包括电源模块14,用于在工作模式设配置为主机时支持外部电源适配器供电和主机USB接口供电,并为USB接口设备数据加密转换装置各功能模块提供所需工作电源。
优选地,所述文件***解析模块4具体用于:
根据读取的源端USB接口存储设备磁盘参数信息、主分区表和引导扇区,确定文件***类型和分区表、文件分配表、文件索引表或目录区所在地址;
根据文件分配表、文件索引表或目录区,建立文件簇链结构,确定所需转存或备份文件的存储地址和数据块大小。
优选地,所述位图管理模块10具体用于:
上电后读取目标端USB接口存储设备位图数据块及位图有效性标识,若位图有效性标识为无效,则触发目标存储设备全盘覆写数据8'h00并重建和初始化位图据读取;
在向目标端存储设备写加密数据时,根据目标端读写控制模块9访问地址,查询对应位图中的相关数据位并置1,代表当前访问地址数据为加密数据;在向目标端存储设备进行备份数据时,访问地址对应位图中的相关数据位并清0,代表访问地址的数据未进行加密操作;
在从目标端USB接口存储设备读取数据时,根据目标端读写控制模块9访问地址,查询对应位图中的标识信息并提供给目标端读写控制模块9,由其决定数据是否需要解密还原;
目标端USB接口存储设备数据销毁时,触发目标端USB接口存储设备全盘覆写数据8'h00。
本发明还提供了一种所述的装置的工作方法,包括以下步骤:
所述电源模块14通过外部供电电源或源端USB接口外接主机供电后,完成上电***自检,并通过模式控制模块2获取当前工作模式,然后通过密钥交换模块3,从外部安全获取加密控制模块7所需工作密钥;
综合控制模块1根据模式控制模块2,获取当前工作模式,并通过源端读写控制模块5将源端USB Phy接口模块12配置为设备模式或主机模式,同时目标端读写控制模块9将目标端USB Phy接口模块13配置为主机模式;
根据当前配置模式,分别进行选择加密模式、解密模式、备份模式和数据销毁模式四种模式之一进行操作。
优选地,对于主机数据加密存储于外部USB存储设备模式,即源端USB接口外连主机,并选择加密模式:
主机写操作命令,经USB Phy模块12实现USB接口物理层协议控制后,通过源端读写控制模块5实现USB接口协议层控制;
源端读写控制模块5根据数据传输类型和命令,将从主机接收的待写入USB存储设备的数据缓存至源端数据缓冲区6,而将写操作命令经综合控制模块1传输至目标端读写控制模块9;
加密控制模块7对存储在源端数据缓冲区6的数据进行加密,并将加密后的数据存储至目标端数据缓冲区8;
目标端读写控制模块9读取目标端数据缓冲区8的数据,并按USB主机端接口协议访问控制模式,形成USB协议写操作数据包,经ULPI接口发送至目标端USB Phy模块13,由目标端USB Phy模块13将加密数据写入目标端通用USB接口存储设备,同时根据数据写入存储设备的地址和数据块大小,更新位图管理模块10。
优选地,对于主机从外部USB存储设备读取加密数据模式,即源端USB接口外连主机,并选择解密模式:
主机写操作命令,经USB Phy模块12实现USB接口物理层协议控制后,通过源端读写控制模块5实现USB接口协议层控制;
源端读写控制模块5根据数据传输类型和命令,将从主机接收的读操作命令经综合控制模块1传输至目标端读写控制模块9;
目标端读写控制模块9按USB主机端接口协议访问控制模式,形成USB协议读操作数据包,经ULPI接口发送至目标端USB Phy模块13;
USB Phy模块13等待接收目标端通用USB接口存储设备的数据并将其发送至目标端读写控制模块9;
目标端读写控制模块9根据访问地址和数据块大小,查询位图管理模块10,对于位图标识为非加密状态的数据直接经综合控制模块1发送至源端读写控制模块5;对于标识为已加密状态的数据,则发送至目标端数据缓冲区8,经加密控制模块7解密后再发送至源端数据缓冲区6,并被源端读写控制模块5读取;
源端读写控制模块5将接收的读操作数据反馈至源端USB Phy模块12,最终由源端USB Phy模块12提供给主机;
对于外部USB存储设备加密转存模式,即源端USB接口外连USB存储设备,并选择解密模式:
源端读写控制模块5经USB Phy模块12,按USB主机方式获取源端USB存储设备信息和文件***信息并提供给综合控制模块1;目标端读写控制模块9经USB Phy模块13,按USB主机方式获取目标端USB存储设备信息并提供给综合控制模块1,在销毁控制模11控制下,对目标端USB存储设备全盘填充数据8’h00,同时位图管理模块10初始化位图文件;
综合控制模块1根据源端USB接口存储设备文件***类型,分别读取其主分区表、分区表、FAT表、目录区、数据区,并由加密控制模块对非数据8’h00填充的扇区数据加密后,由目标端读写控制模块9控制写至目标端USB接口存储设备;若综合控制模块1无法获取源端USB接口存储设备文件***类型,则逐次从读取源端USB接口存储设备读取全盘数据,并对非数据8’h00填充的扇区数据加密后,由目标端读写控制模块9控制写至目标端USB接口存储设备;
位图管理模块10针对非数据8’h00填充的扇区,更新对应扇区地址对应的扇区加密位图标志信息位。
优选地,对于外部USB存储设备数据备份模式,即源端USB接口外连USB存储设备,并选择备份模式:
源端读写控制模块5经USB Phy模块12,按USB主机方式获取源端USB存储设备信息和文件***信息并提供给综合控制模块1;目标端读写控制模块9经USB Phy模块13,按USB主机方式获取目标端USB存储设备信息并提供给综合控制模块1,在销毁控制模11控制下,对目标端USB存储设备全盘填充数据8’h00,同时位图管理模块10初始化位图文件;
综合控制模块1根据源端USB接口存储设备文件***类型,分别读取其主分区表、分区表、FAT表、目录区、数据区,并对非数据8’h00填充的扇区数据,由目标端读写控制模块9控制写至目标端USB接口存储设备;若综合控制模块1无法获取源端USB接口存储设备文件***类型,则逐次从读取源端USB接口存储设备读取全盘数据,并对非数据8’h00填充的扇区数据,由目标端读写控制模块9控制写至目标端USB接口存储设备。
优选地,对于数据销毁模式:
目标端读写控制模块9经USB Phy模块13,按USB主机方式获取目标端USB存储设备信息和扇区总数;
综合控制模块1通过模式控制模块2获取销毁控制模式,并传送至目标端读写控制模块9;
销毁控制模块11通过目标端读写控制模块9获取销毁控制模式,并根据销毁模式的不同,产生512字节的随机数据,或用顺序数据、固定数据8’h5A/8’hA5/8’h00,构成写操作所需数据,在目标端读写控制模块9控制下,经USB Phy模块13写至目标端USB接口存储设备。
(三)有益效果
本发明涉及一种USB接口设备数据加密转换装置,它基于OTG模式的USB Phy接口模块,提供源端USB接口和目标端USB接口,通过设计集成ULPI接口的读写控制模块、加密控制模块、密钥交换模块、位图管理模块、文件***解析模块、销毁控制模块等,使得源端USB接口支持与主机或通用USB接口存储设备不连接,目标端USB接口连接通用USB接口存储设备,支持数据加密、密钥安全交换、文件***解析、位图管理、工作模式可配置及销毁控制等功能,满足主机与通用USB接口存储设备间的加密存储、通用USB接口存储设备间的加密转存与数据机备份、通用USB接口存储设备数据安全销毁等应用需求。
附图说明
图1为本发明的装置结构框图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
本发明针对通用USB接口存储设备,设计专用加密转存装置,采用硬件加密、USB接口功能控制、销毁控制、密钥安全交换等技术,既可满足主机与通用USB接口存储设备间的数据加密存储、通用USB接口存储设备间的数据加密转存,同时还提供通用USB接口存储设备间的数据备份,以及通用USB接口存储设备的数据安全销毁功能,具有更广泛的适用性和安全防护能力。
本发明提供一种USB接口设备数据加解密控制转换装置,可以支持基于OTG访问模式的源端和目标端USB接口,提供数据加密存储、解密还原功能、数据销毁控制等功能。该装置通过将源端口配置为设备端接口、目标端配置为主机端接口方式,支持主机通过USB源端口将数据加密存储至外部USB存储设备,或者将加密后的外部USB设备数据读取还原;通过将源端口和目标端口均配置为主机端接口方式,支持两USB设备接口间的数据加解密转换控制或数据备份。
如图1所示,本发明提供的一种USB接口设备数据加密转换装置,主要包括综合控制模块1、模式控制模块2、密钥交换模块3、文件***解析模块4、源端读写控制模块5、源端数据缓冲区6、加密控制模块7、目标端数据缓冲区8、目标端读写控制模块9、位图管理模块10、销毁控制模块11、源端USB PHY接口模块12、目标端USB PHY接口模块13和电源模块14。
综合控制模块1,用于负责USB接口设备数据加密转换装置内部各功能模块的协调控制,包括协调将源端读写控制模块5的访问命令和非加密数据转发至目标端读写控制模块9,从密钥交换模块3获取工作密钥并与本装置标识码合成加密控制模块7所需加解密用密钥,获取模式控制模块2的配置信息并据此进行***控制等。
模式控制模块2用于监测功能开关设置,确定源端USB接口外接设备类型、主机与外部通用USB接口存储设备间的数据加解密访问流向、外部USB接口设备间的加密转存或备份控制模式,以及目标端USB接口存储设备的数据销毁方式等。
密钥交换模块3,用于通过注钥接口连接外部注钥设备,并采用非对称加密算法,完成USB接口设备数据加密转换装置与注钥设备间的身份认证和工作密钥的加密传输与转存。
文件***解析模块4,用于在源端USB接口接存储设备时,对源端读写控制模块5从该存储设备读取的分区表参数、文件***类型、数据簇链结构等进行分析,确定需要加密转存或备份的数据操作地址,具体实现描述如下:
根据读取的源端USB接口存储设备磁盘参数信息、主分区表和引导扇区等,确定文件***类型和分区表、文件分配表、文件索引表或目录区所在地址;
根据文件分配表、文件索引表或目录区等,建立文件簇链结构,确定所需转存或备份文件的存储地址和数据块大小。
源端读写控制模块5,用于基于ULPI接口协议,实现USB接口协议控制功能,采用主机/设备工作方式可配置设计,通过控制传输、中断传输、批量传输等传输模式设计,控制产生或解析源端USB PHY接口模块12交互用USB数据包,并将数据包中的访问控制参数与用户数据分离,其中访问控制参数和非加密数据传送至综合控制模块1,待加密数据传送至源端数据缓冲区6,读源端USB接口存储设备的数据传送至文件***解析模块4。
源端数据缓冲区6,用于采用FIFO工作方式,加密时接收来自源端读写控制模块5的待加密数据,以提供给加密控制模块7进行数据加密;解密时,接收自加密控制模块7输出的解密数据并提供给源端读写控制模块5,以响应主机的读数据操作。
加密控制模块7,用于基于对称密码算法,采用密钥扩展、线性移位变换、非线性替换、轮迭代等设计,实现数据加解密控制。加密控制模块7所需的加密密钥由综合控制模块1提供。
目标端数据缓冲区8,用于采用FIFO工作方式,加密时接收来自加密控制模块7输出的加密数据并提供给目标端读写控制模块9,以控制写入目标端USB接口存储设备;解密时接收来自目标端读写控制模块9的待解密数据,以提供给加密控制模块7进行数据解密,响应主机的读数据操作。
目标端读写控制模块9,用于基于ULPI接口协议,实现USB主机接口协议控制功能,通过控制传输、中断传输、批量传输等传输模式设计,控制产生和接收目标端USB PHY接口模块13交互用USB数据包,并将数据包中的访问控制参数与用户数据分离,其中访问控制参数和非加密数据传送至综合控制模块1,待解密数据传送至目标端数据缓冲区8。目标端读写控制模块9在对目标端USB接口存储设备进行数据读写操作时,其数据读写地址提供给位图管理模块10,并由位图管理模块10确定访问地址数据加密状态。同时,在触发销毁时,接收销毁控制模块11产生的覆写数据包。
位图管理模块10,针对目标端USB接口存储设备,建立按扇区或簇为单位的存储设备访问地址数据加密标识位图,根据USB接口设备数据加密转换装置工作模式和目标端读写控制模块9访问地址,进行位图初始化、更新、维护等管理,具体实现描述如下:
上电后读取目标端USB接口存储设备位图数据块及位图有效性标识,若位图有效性标识为无效,则触发目标存储设备全盘覆写数据8'h00并重建和初始化位图据读取(所有数据位初始化为0);
在向目标端存储设备写加密数据时,根据目标端读写控制模块9访问地址,查询对应位图中的相关数据位并置1,代表当前访问地址数据为加密数据;在向目标端存储设备进行备份数据时,访问地址对应位图中的相关数据位并清0,代表访问地址的数据未进行加密操作;
在从目标端USB接口存储设备读取数据时,根据目标端读写控制模块9访问地址,查询对应位图中的标识信息并提供给目标端读写控制模块9,由其决定数据是否需要解密还原;
目标端USB接口存储设备数据销毁时,触发目标端USB接口存储设备全盘覆写数据8'h00。
销毁控制模块11,用于根据销毁控制模式不同,以随机数、顺序数(8’h00~8’hff)、固定数(8’h5A/8’hA5/8’h00)等构成512字节块数据,构造USB协议写操作数据包并提供给目标端读写控制模块9,控制对目标端USB接口存储设备执行1、3、7遍等次数的全盘数据覆写销毁操作。
源端USB PHY接口模块12,用于提供USB协议物理层接口,并支持OTG工作模式,可根据模式控制模块2选定的“主机/设备”工作模式,确定源端接口外接USB主机或通用USB接口存储设备。其中,当工作模式设配置为“主机”时,USB Phy接口模块12配置为USB设备端接口,一端与主机USB接口相连,一端通过ULPI接口与源端读写控制模块5连接,响应主机访问;当工作模式设置为“设备”时,USB Phy接口模块12配置为USB主机端接口,一端与外部USB接口存储设备相连,一端通过ULPI接口连接源端读写控制模块5,控制对USB接口存储设备访问。
目标端USB PHY接口模块13,用于提供USB协议物理层接口,一端与外部USB接口存储设备相连,一端通过ULPI接口连接目标端读写控制模块9,控制对USB接口存储设备访问。
电源模块14,支持外部电源适配器供电和主机USB接口供电(工作模式设配置为“主机”时),并采用稳压、限流、电源转化等方式,为USB接口设备数据加密转换装置各功能模块提供所需工作电源。
本发明提供的一种USB接口设备数据加密转换装置在使用时,源端USB接口与主机USB接口或通用USB接口存储设备(源设备)直接连接,目标端USB接口外连通用USB存储设备(目标),注钥接口与外部注钥设备互连,电源接口与外部供电电源连接。
上电前,设置USB接口设备数据加密转换装置的工作模式,包括源端USB接口设备连接类型、加密/备份工作模式、销毁触发模式等。
上电后,在综合控制模块1协调控制下,完成***自检,获取模式控制模块2的工作模式配置,并由源端读写控制模块5将源端USBPhy接口模块12配置为设备模式(外接主机)或主机模式(外接设备),目标端读写控制模块9将目标端USB Phy接口模块13配置为主机模式。同时通过密钥交换模块3完成与外部注钥设备的安全认证和密钥加密传输,并结合本装置标识信息,合成加密控制模块7所需加密密钥。
随后,根据配置模式,分类进行控制,实现USB接口设备数据加密转换装置主机加密存储、通用USB接口存储设备加密转存、通用USB接口存储设备数据备份和目标端USB接口存储设备数据销毁等功能。
主机加密存储。对于主机写操作命令,经USB Phy模块12,传递给源端读写控制模块5,并由模块5实现USB接口协议层控制,解析主机访问参数,对主机加密写存储设备操作,将用户数据从传输数据包中分离,转存至源端数据缓冲区6,通过加密控制模块7加密处理后,由目标端数据缓冲区8提供给目标端读写控制模块9,而写命令控制参数则经综合控制模块1传输至目标端读写控制模块9,由目标端读写控制模块9重组USB主机端协议控制数据包,通过目标端USB Phy模块13发送至目标端USN接口存储设备,控制数据加密写入,与此同时位图管理模块10根据写入数据地址和数据长度,将位图数据块中对应的位置1;对于主机读操作,则在USB接口存储设备接收命令反馈数据时,先由位图管理模块10根据读操作访问地址,判断对应数据块是否为加密数据,若是,则通过加密控制模块7解密后反馈给主机,否则,通过综合控制模块1转发后反馈给主机;对于其它操作,则数据交互在以源端USB Phy接口模块12、源端读写控制模块5、综合控制模块1、目标端读写控制模块9、目标端USB Phy模块13构成的传输通道上透明转发。
USB存储设备加密转存。源端读写控制模块5获取源端USB接口存储设备的基本信息和分区信息,结合文件***解析模块4,获取源端存储设备的文件***类型、文件分配表、目录区等,构建写操作数据簇链结构,而对于无法识别的文件***类型则按照扇区序号构建数据链结构,然后对数据不为全8’h00的扇区,由加密控制模块7控制进行数据加密。同时,目标端读写控制模块9获取目标端USB接口存储设备的基本信息,并将全盘数据覆写为8’h00,位图管理模块10则根据目标端USB接口存储设备的存储空间,初始化位图数据块;然后目标端读写控制模块9通过综合控制模块1,接收源端读写控制模块5产生的写操作,并对经过加密的数据,重建写操作数据包,经目标端USB Phy模块13写至外部USB接口存储设备,同时再由位图管理模块10更新位图数据块。
USB存储设备数据备份。源端读写控制模块5获取源端USB接口存储设备的基本信息和分区信息,结合文件***解析模块4,获取源端存储设备的文件***类型、文件分配表、目录区等,构建写操作数据簇链结构,而对于无法识别的文件***类型则按照扇区序号构建数据链结构,然后对数据不为全8’h00的扇区,经综合控制模块1转发至目标端读写控制模块。同时,目标端读写控制模块9获取目标端USB接口存储设备的基本信息,并将全盘数据覆写为8’h00,然后再根据从综合控制模块1接收的写操作控制参数,形成USB接口协议的批量传输数据包,经目标端USB Phy模块13备份数据至外部USB接口存储设备。
目标端USB接口存储设备全盘数据销毁。目标端读写控制模块9获取目标端USB接口存储设备的基本信息后,若模式控制模块2选择USB存储设备加密转存或备份工作模式,则在数据销毁控制模块11默认选择全盘用数据8’h00覆写1次的数据销毁模式,由目标端读写控制模块9经目标端USB Phy模块13,控制对目标端USB接口存储设备进行全盘覆写8’h00;否则,根据模式控制模块2选择的数据销毁模式,销毁控制模块11用随机数据、顺序数据或固定数据8’h5A/8’hA5/8’h00等,产生基于512字节大小的数据块,由目标端读写控制模块9经目标端USB Phy模块13,控制对目标端USB接口存储设备全盘进行1次、3次、7次等次数的数据覆写操作,可靠销毁目标盘中存储的数据。
本发明设计的USB接口设备数据加密转换装置,针对通用USB接口存储设备,兼顾数据加密、备份、销毁应用需求,提供USB接口主机/设备接口协议访问控制、USB存储设备加密转存与备份控制、数据销毁控制、文件***识别与位图控制、密钥安全交换等功能模块,即可以实现主机数据与通用USB接口存储设备间的加密存储与解密还原,也可实现通用USB接口存储设备间的加密转存、数据备份,以及USB接口存储设备全盘存储数据的安全的销毁,为通用USB接口存储设备的数据加密、备份、销毁和安全携行提供了必要的技术手段和装备。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (9)
1.一种USB接口设备数据加密转换装置,其特征在于,包括综合控制模块(1)、模式控制模块(2)、密钥交换模块(3)、文件***解析模块(4)、源端读写控制模块(5)、源端数据缓冲区(6)、加密控制模块(7)、目标端数据缓冲区(8)、目标端读写控制模块(9)、位图管理模块(10)、销毁控制模块(11)、源端USB PHY接口模块(12)和目标端USB PHY接口模块(13);
综合控制模块(1),用于负责USB接口设备数据加密转换装置内部各功能模块的协调控制,包括协调将源端读写控制模块(5)的访问命令和非加密数据转发至目标端读写控制模块(9),从密钥交换模块(3)获取工作密钥并与本装置标识码合成加密控制模块(7)所需加解密用密钥,获取模式控制模块(2)的配置信息并据此进行***控制;
模式控制模块(2)用于监测功能开关设置,确定源端USB接口外接设备类型、主机与外部通用USB接口存储设备间的数据加解密访问流向、外部USB接口设备间的加密转存或备份控制模式,以及目标端USB接口存储设备的数据销毁方式;
密钥交换模块(3),用于通过注钥接口连接外部注钥设备,并采用非对称加密算法,完成USB接口设备数据加密转换装置与注钥设备间的身份认证和工作密钥的加密传输与转存;
文件***解析模块(4),用于在源端USB接口接存储设备时,对源端读写控制模块(5)从该存储设备读取的分区表参数、文件***类型、数据簇链结构进行分析,确定需要加密转存或备份的数据操作地址,
源端读写控制模块(5),用于基于ULPI接口协议,实现USB接口协议控制功能,采用主机或设备工作方式可配置设计,通过控制传输、中断传输、批量传输这三种传输模式设计,控制产生或解析源端USB PHY接口模块(12)交互用USB数据包,并将数据包中的访问控制参数与用户数据分离,其中访问控制参数和非加密数据传送至综合控制模块(1),待加密数据传送至源端数据缓冲区(6),读源端USB接口存储设备的数据传送至文件***解析模块(4);
源端数据缓冲区(6),用于采用FIFO工作方式,加密时接收来自源端读写控制模块(5)的待加密数据,以提供给加密控制模块(7)进行数据加密;解密时,接收自加密控制模块(7)输出的解密数据并提供给源端读写控制模块(5),以响应主机的读数据操作;
加密控制模块(7),用于基于对称密码算法,采用密钥扩展、线性移位变换、非线性替换、轮迭代设计,实现数据加解密控制,加密控制模块(7)所需的加密密钥由综合控制模块(1)提供;
目标端数据缓冲区(8),用于采用FIFO工作方式,加密时接收来自加密控制模块(7)输出的加密数据并提供给目标端读写控制模块(9),以控制写入目标端USB接口存储设备;解密时接收来自目标端读写控制模块(9)的待解密数据,以提供给加密控制模块(7)进行数据解密,响应主机的读数据操作;
目标端读写控制模块(9),用于基于ULPI接口协议,实现USB主机接口协议控制功能,通过传输模式设计,控制产生和接收目标端USB PHY接口模块(13)交互用USB数据包,并将数据包中的访问控制参数与用户数据分离,其中访问控制参数和非加密数据传送至综合控制模块(1),待解密数据传送至目标端数据缓冲区(8),目标端读写控制模块(9)在对目标端USB接口存储设备进行数据读写操作时,其数据读写地址提供给位图管理模块(10),并由位图管理模块(10)确定访问地址数据加密状态,同时,在触发销毁时,接收销毁控制模块(11)产生的覆写数据包;
位图管理模块(10),针对目标端USB接口存储设备,建立按扇区或簇为单位的存储设备访问地址数据加密标识位图,根据USB接口设备数据加密转换装置工作模式和目标端读写控制模块(9)访问地址,进行位图初始化、更新、维护;
销毁控制模块(11),用于根据销毁控制模式不同,以随机数、顺序数、固定数构成512字节块数据,构造USB协议写操作数据包并提供给目标端读写控制模块(9),控制对目标端USB接口存储设备执行1、3、7遍这些次数的全盘数据覆写销毁操作;
源端USB PHY接口模块(12),用于提供USB协议物理层接口,并支持OTG工作模式,可根据模式控制模块(2)选定的主机或设备工作模式,确定源端接口外接USB主机或通用USB接口存储设备,其中,当工作模式设配置为主机时,源端USB PHY接口模块(12)配置为USB设备端接口,一端与主机USB接口相连,一端通过ULPI接口与源端读写控制模块(5)连接,响应主机访问;当工作模式设置为设备时,源端USB PHY接口模块(12)配置为USB主机端接口,一端与外部USB接口存储设备相连,一端通过ULPI接口连接源端读写控制模块(5),控制对USB接口存储设备访问;
目标端USB PHY接口模块(13),用于提供USB协议物理层接口,一端与外部USB接口存储设备相连,另一端通过ULPI接口连接目标端读写控制模块(9),控制对USB接口存储设备访问。
2.如权利要求1所述的装置,其特征在于,还包括电源模块(14),用于在工作模式设配置为主机时支持外部电源适配器供电和主机USB接口供电,并为USB接口设备数据加密转换装置各功能模块提供所需工作电源。
3.如权利要求1所述的装置,其特征在于,所述文件***解析模块(4)具体用于:
根据读取的源端USB接口存储设备磁盘参数信息、主分区表和引导扇区,确定文件***类型和分区表、文件分配表、文件索引表或目录区所在地址;
根据文件分配表、文件索引表或目录区,建立文件簇链结构,确定所需转存或备份文件的存储地址和数据块大小。
4.如权利要求1所述的装置,其特征在于,所述位图管理模块(10)具体用于:
上电后读取目标端USB接口存储设备位图数据块及位图有效性标识,若位图有效性标识为无效,则触发目标存储设备全盘覆写数据8'h00并重建和初始化位图据读取;
在向目标端存储设备写加密数据时,根据目标端读写控制模块(9)访问地址,查询对应位图中的相关数据位并置1,代表当前访问地址数据为加密数据;在向目标端存储设备进行备份数据时,访问地址对应位图中的相关数据位并清0,代表访问地址的数据未进行加密操作;
在从目标端USB接口存储设备读取数据时,根据目标端读写控制模块(9)访问地址,查询对应位图中的标识信息并提供给目标端读写控制模块(9),由其决定数据是否需要解密还原;
目标端USB接口存储设备数据销毁时,触发目标端USB接口存储设备全盘覆写数据8'h00。
5.一种权利要求2至4中任一项所述的装置的工作方法,其特征在于,包括以下步骤:
所述电源模块(14)通过外部供电电源或源端USB接口外接主机供电后,完成上电***自检,并通过模式控制模块(2)获取当前工作模式,然后通过密钥交换模块(3),从外部安全获取加密控制模块(7)所需工作密钥;
综合控制模块(1)根据模式控制模块(2),获取当前工作模式,并通过源端读写控制模块(5)将源端USB PHY接口模块(12)配置为设备模式或主机模式,同时目标端读写控制模块(9)将目标端USB PHY接口模块(13)配置为主机模式;
根据当前配置模式,分别进行选择加密模式、解密模式、备份模式和数据销毁模式四种模式之一进行操作。
6.如权利要求5所述的方法,其特征在于,对于主机数据加密存储于外部USB存储设备模式,即源端USB接口外连主机,并选择加密模式:
主机写操作命令,经源端USB PHY接口模块(12)实现USB接口物理层协议控制后,通过源端读写控制模块(5)实现USB接口协议层控制;
源端读写控制模块(5)根据数据传输类型和命令,将从主机接收的待写入USB存储设备的数据缓存至源端数据缓冲区(6),而将写操作命令经综合控制模块(1)传输至目标端读写控制模块(9);
加密控制模块(7)对存储在源端数据缓冲区(6)的数据进行加密,并将加密后的数据存储至目标端数据缓冲区(8);
目标端读写控制模块(9)读取目标端数据缓冲区(8)的数据,并按USB主机端接口协议访问控制模式,形成USB协议写操作数据包,经ULPI接口发送至目标端USB PHY接口模块(13),由目标端USB PHY接口模块(13)将加密数据写入目标端通用USB接口存储设备,同时根据数据写入存储设备的地址和数据块大小,更新位图管理模块(10)。
7.如权利要求5所述的方法,其特征在于,对于主机从外部USB存储设备读取加密数据模式,即源端USB接口外连主机,并选择解密模式:
主机写操作命令,经源端USB PHY接口模块(12)实现USB接口物理层协议控制后,通过源端读写控制模块(5)实现USB接口协议层控制;
源端读写控制模块(5)根据数据传输类型和命令,将从主机接收的读操作命令经综合控制模块(1)传输至目标端读写控制模块(9);
目标端读写控制模块(9)按USB主机端接口协议访问控制模式,形成USB协议读操作数据包,经ULPI接口发送至目标端USB PHY接口模块(13);
目标端USB PHY接口模块(13)等待接收目标端通用USB接口存储设备的数据并将其发送至目标端读写控制模块(9);
目标端读写控制模块(9)根据访问地址和数据块大小,查询位图管理模块(10),对于位图标识为非加密状态的数据直接经综合控制模块(1)发送至源端读写控制模块(5);对于标识为已加密状态的数据,则发送至目标端数据缓冲区(8),经加密控制模块(7)解密后再发送至源端数据缓冲区(6),并被源端读写控制模块(5)读取;
源端读写控制模块(5)将接收的读操作数据反馈至源端USB PHY接口模块(12),最终由源端USB PHY接口模块(12)提供给主机;
对于外部USB存储设备加密转存模式,即源端USB接口外连USB存储设备,并选择解密模式:
源端读写控制模块(5)经源端USB PHY接口模块(12),按USB主机方式获取源端USB存储设备信息和文件***信息并提供给综合控制模块(1);目标端读写控制模块(9)经目标端USB PHY接口模块(13),按USB主机方式获取目标端USB存储设备信息并提供给综合控制模块(1),在销毁控制模块(11)控制下,对目标端USB存储设备全盘填充数据8’h00,同时位图管理模块(10)初始化位图文件;
综合控制模块(1)根据源端USB接口存储设备文件***类型,分别读取其主分区表、分区表、FAT表、目录区、数据区,并由加密控制模块对非数据8’h00填充的扇区数据加密后,由目标端读写控制模块(9)控制写至目标端USB接口存储设备;若综合控制模块(1)无法获取源端USB接口存储设备文件***类型,则逐次从读取源端USB接口存储设备读取全盘数据,并对非数据8’h00填充的扇区数据加密后,由目标端读写控制模块(9)控制写至目标端USB接口存储设备;
位图管理模块(10)针对非数据8’h00填充的扇区,更新对应扇区地址对应的扇区加密位图标志信息位。
8.如权利要求5所述的方法,其特征在于,对于外部USB存储设备数据备份模式,即源端USB接口外连USB存储设备,并选择备份模式:
源端读写控制模块(5)经源端USB PHY接口模块(12),按USB主机方式获取源端USB存储设备信息和文件***信息并提供给综合控制模块(1);目标端读写控制模块(9)经目标端USB PHY接口模块(13),按USB主机方式获取目标端USB存储设备信息并提供给综合控制模块(1),在销毁控制模块(11)控制下,对目标端USB存储设备全盘填充数据8’h00,同时位图管理模块(10)初始化位图文件;
综合控制模块(1)根据源端USB接口存储设备文件***类型,分别读取其主分区表、分区表、FAT表、目录区、数据区,并对非数据8’h00填充的扇区数据,由目标端读写控制模块(9)控制写至目标端USB接口存储设备;若综合控制模块(1)无法获取源端USB接口存储设备文件***类型,则逐次从读取源端USB接口存储设备读取全盘数据,并对非数据8’h00填充的扇区数据,由目标端读写控制模块(9)控制写至目标端USB接口存储设备。
9.如权利要求5所述的方法,其特征在于,对于数据销毁模式:
目标端读写控制模块(9)经目标端USB PHY接口模块(13),按USB主机方式获取目标端USB存储设备信息和扇区总数;
综合控制模块(1)通过模式控制模块(2)获取销毁控制模式,并传送至目标端读写控制模块(9);
销毁控制模块(11)通过目标端读写控制模块(9)获取销毁控制模式,并根据销毁模式的不同,产生512字节的随机数据,或用顺序数据、固定数据8’h5A/8’hA5/8’h00,构成写操作所需数据,在目标端读写控制模块(9)控制下,经目标端USB PHY接口模块(13)写至目标端USB接口存储设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811376885.XA CN109711208B (zh) | 2018-11-19 | 2018-11-19 | Usb接口设备数据加密转换装置及其工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811376885.XA CN109711208B (zh) | 2018-11-19 | 2018-11-19 | Usb接口设备数据加密转换装置及其工作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109711208A CN109711208A (zh) | 2019-05-03 |
| CN109711208B true CN109711208B (zh) | 2020-08-25 |
Family
ID=66254942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811376885.XA Active CN109711208B (zh) | 2018-11-19 | 2018-11-19 | Usb接口设备数据加密转换装置及其工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109711208B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112685351B (zh) * | 2020-12-31 | 2022-05-24 | 深圳安捷丽新技术有限公司 | 一种pcie转usb协议的桥接芯片及其运行方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2847380Y (zh) * | 2005-08-05 | 2006-12-13 | 吴传诚 | 悬吊式加密/解密装置 |
| CN101551784A (zh) * | 2008-04-02 | 2009-10-07 | 西北工业大学 | 一种usb接口的ata类存储设备中数据的加密方法及装置 |
| CN102023937A (zh) * | 2010-11-19 | 2011-04-20 | 苏州国芯科技有限公司 | 一种用于usb储存设备的数据流加密方法 |
| CN104615941A (zh) * | 2015-01-29 | 2015-05-13 | 华为技术有限公司 | Android用户分区的快速加密方法、装置和终端设备 |
| KR101558914B1 (ko) * | 2014-09-30 | 2015-10-13 | (주) 이모텔리 | 복제 방지시스템이 적용된 유에스비 오티지 메모리를 이용한 멀티미디어 원본 파일 생성방법 및 그 재생방법 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170091254A1 (en) * | 2015-09-24 | 2017-03-30 | Kshitij A. Doshi | Making volatile isolation transactions failure-atomic in non-volatile memory |
| CN107704205A (zh) * | 2017-09-30 | 2018-02-16 | 深圳市华德安科技有限公司 | Raid管理方法、装置及计算机可读存储介质 |
-
2018
- 2018-11-19 CN CN201811376885.XA patent/CN109711208B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2847380Y (zh) * | 2005-08-05 | 2006-12-13 | 吴传诚 | 悬吊式加密/解密装置 |
| CN101551784A (zh) * | 2008-04-02 | 2009-10-07 | 西北工业大学 | 一种usb接口的ata类存储设备中数据的加密方法及装置 |
| CN102023937A (zh) * | 2010-11-19 | 2011-04-20 | 苏州国芯科技有限公司 | 一种用于usb储存设备的数据流加密方法 |
| KR101558914B1 (ko) * | 2014-09-30 | 2015-10-13 | (주) 이모텔리 | 복제 방지시스템이 적용된 유에스비 오티지 메모리를 이용한 멀티미디어 원본 파일 생성방법 및 그 재생방법 |
| CN104615941A (zh) * | 2015-01-29 | 2015-05-13 | 华为技术有限公司 | Android用户分区的快速加密方法、装置和终端设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109711208A (zh) | 2019-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105243344B (zh) | 具有硬盘加密功能的芯片组以及主机控制器 | |
| CN100487715C (zh) | 一种数据安全存储***和装置及方法 | |
| CN101196855B (zh) | 移动加密存储设备及密文存储区数据加解密处理方法 | |
| CN1734475B (zh) | 半导体集成电路和信息处理设备 | |
| CN109067523A (zh) | 一种加密卡的数据加密方法 | |
| WO2000057290A1 (fr) | Processeur d'informations | |
| NO331504B1 (no) | Fremgangsmate og innretning for kryptering/dekryptering av data pa masselagringsinnretning. | |
| CN105354503B (zh) | 储存装置数据加解密方法 | |
| CN108898033A (zh) | 一种基于fpga的数据加解密*** | |
| CN111881490A (zh) | 与外置加密芯片融合应用nvme存储设备的共享数据保护方法 | |
| CN104217180A (zh) | 一种加密存储盘 | |
| CN109325356A (zh) | 一种加密卡架构 | |
| CN109104275A (zh) | 一种hsm设备 | |
| CN104182674A (zh) | 一种固态硬盘的保护装置 | |
| CN109711208B (zh) | Usb接口设备数据加密转换装置及其工作方法 | |
| CN104346586B (zh) | 自毁式保护数据的存储装置及自毁式保护数据的方法 | |
| US20230289428A1 (en) | Method for implementing dongle, and dongle | |
| CN102662874A (zh) | 双界面加密存储卡及其中的数据管理方法和*** | |
| CN101154195B (zh) | 代码转换装置、代码转换方法以及计算机产品 | |
| US20210367780A1 (en) | Adapter apparatus and processing method | |
| WO2002037239A2 (en) | Data encryption device based on protocol analysis | |
| CN103699853B (zh) | 一种智能sd卡及其控制***及方法 | |
| US8332658B2 (en) | Computer system, management terminal, storage system and encryption management method | |
| CN114340051B (zh) | 一种基于高速传输接口的便携式网关 | |
| CN203232424U (zh) | 一种usb外设 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |