一种USB接口的ATA类存储设备中数据的加密方法及装置

摘要

本发明涉及一种USB接口的ATA类存储设备中数据的加密方法及装置，在常规ATA类存储设备的基础上，通过用户卡和硬件加密板卡组成的数据加密装置，对存储设备和USB主机之间传输的数据进行加密，从而达到对存储设备中数据硬加密的目的。装置由用户密钥卡和硬件加密板卡组成；所述的硬件加密板卡由USB收发器、USB设备控制器、控制端点缓冲区、批量端点缓冲区、主控制器、加解密模块、ATA控制器、密钥获取模块和安全访问模块组成。有益效果：密钥直接由加密装置读取，不经过存储设备所连接的计算机，安全性高。而且加解密速度快，独立于操作系统，并且密钥保存于专门的硬件密钥存储卡，密钥与被保护数据独立存放，确保数据的安全。

主权项

一种USB接口的ATA类存储设备中数据的加密方法，其特征在于包括以下步骤：(1)USB协议处理步骤：按照USB协议标准接收并解析计算机发来的数据包，当前事务为控制传输时，对请求设备信息的命令则按照要求返回数据，对配置设备的命令则按要求配置设备，并返回状态信息；当前事务为批量传输时，如果是输出事务则将USB包中的有效数据放入批量端点输出缓冲区，如果是输入事务则从批量端点输入缓冲区中读取有效数据并返回给计算机；(2)MASS STORAGE协议处理步骤：解析批量端点输出缓冲区中的包类型，将命令包转换成相应的ATA命令块并传给ATA协议处理步骤，将数据包交由加解密步骤进行加密；对用于读取设备型号、固件版本、存储容量、设备状态信息的命令，将ATA协议处理步骤返回的参数和状态信息封装成MASS STORAGE数据包写入批量端点输入缓冲区；对于向存储设备中写数据的命令，控制加解密步骤对随后批量端点输出缓冲区中的MASS STORAGE数据包进行加密；对于从存储设备中读数据的命令，控制加解密步骤解密来自ATA协议处理步骤的数据，并将解密后的明文数据封装成MASS STORAGE数据包写入批量端点输入缓冲区；(3)加解密步骤：使用密钥获取步骤生成的工作密钥Kw，当MASS STORAGE协议处理步骤解析的命令包是向存储设备中写数据的命令时，调用密码算法加密批量端点输出缓冲区中的MASS STORAGE数据包，将加密结果传给ATA协议处理步骤；当MASS STORAGE协议处理步骤解析的命令包是从存储设备中读数据的命令时，则调用密码算法解密ATA协议处理步骤传来的数据，将解密结果传给MASSSTORAGE协议处理步骤；所述的密钥获取步骤是：使用鉴别用户身份的认证密钥Kua、代表自己身份的认证密钥Kea和随机生成数进行内部认证和外部认证，在内部认证和外部认证失败次数超过设定值后，中止本方法所有步骤的处理；否则，对读取的密钥素材Dk进行加密计算生成工作密钥Kw后，将Kw提供给加解密步骤；(4)ATA协议处理步骤：接收MASS STORAGE协议处理步骤生成的ATA命令块，当接收到获取存储设备参数的命令块时，将从存储设备中读取的数据直接交由MASSSTORAGE协议处理步骤使用；当接收到向存储设备中写数据的命令块时，将加解密步骤加密好的密文数据写入存储设备；当接收到从存储设备中读数据的命令块时，将从存储设备中读出的数据交给加解密步骤进行解密。