技術領域

本發明涉及數據存儲和信息安全領域，特別涉及一種可保障數據安全性的數據安全存儲設備的實現方法。

背景技術

目前，隨著計算機、手機等電子產品在人們工作生活中的廣泛應用，特別是由于互聯網和二、三、四代移動互聯信息技術的蓬勃發展并深度滲透到人們的工作生活中，人們接觸的數字信息量出現爆炸性增長，每個人都成為數據的制造者和消費者。人們開始發現需要存儲及處理的信息數據急劇增多，所受到的信息安全威脅越來越大，對于信息安全保障的需求也越來越高。

隨著人們對信息安全認識的不斷深入，信息安全保障的技術水平也在不斷進步。總的來說，信息安全保障技術的發展經歷了自數據安全階段(強調保密通信)到網絡信息安全時代(強調網絡環境安全)，再到今天的信息安全保障時代(追求在信息交互過程中提供主動防御，實現保護、檢測、反應和恢復四種有機功能)三個階段。

在此過程中，數據安全一直是信息安全的基本命題，它包含數據機密性和數據完整性以及數據可用性三個基本特征。數據機密性是指保障個人或團體的信息不為其他不應獲得者獲得；數據完整性是指在傳輸、存儲信息或數據的過程中，確保信息或數據不被未授權的篡改或在篡改后能夠被迅速發現；數據可用性是一種以使用者為中心的設計概念，可用性設計的重點在于讓產品的設計能夠符合使用者的習慣與需求。從數據安全技術實現最關注的角度來說，數據機密性和數據完整性必須是一個有機整體。在滿足數據可用性的前提下，通過采用有效完善的數據安全保障機制，來抵御安全威脅。

威脅數據安全的主要隱患目前有存儲設備失效，人為操作失誤和信息竊取。其中存儲設備失效常見的實例有存儲設備壽命到期，由于自然災害或電源故障或電磁干擾等影響，都有可能導致數據丟失或數據存儲錯誤。人為操作失誤常見的實例有誤刪除、誤發送等導致的數據意外丟失或數據意外擴散。這些情況的發生均不可預測，目前除了數據冗余備份和加強數據所有者的操作安全認識之外，還沒有更好的解決辦法。

而對數據安全最具威脅的是信息竊取。在互聯網普及之前，主要的信息竊取手段是非法復制。目前伴隨著互聯網絡的普及，采用黑客技術來獲取他人機密，非法入侵破壞他人數據的事件屢有發生。這些行為輕則損害個人隱私以及個人企業利益，嚴重的甚至會極大損害國家利益及國家安全。提供完備的高強度數據安全訪問機制是杜絕信息竊取事件發生的根本手段。

發明內容

針對現有技術的不足，本發明的目的之一在于提供一種數據安全存儲設備，該設備使得數據安全訪問機制得以運行；目的之二在于提供一種數據安全訪問機制，該機制使數據安全存儲設備上數據存儲和傳輸的安全性得到有效保障。

根據本發明目的之一所提出的數據安全存儲設備，實現方法為：

1)數據安全存儲設備中設置有中央處理器，實現所支持的總線協議的靈活加載和設備內功能單元的工作模式配置，并調度各個功能單元協同工作運行數據安全保護機制；

2)數據安全存儲設備中設置有系統總線協議控制，實現對系統總線傳輸內容的監測，在中央處理器配置和調度干預之下，實現對于主系統數據存儲和安全保護兩種操作請求的識別；

3)數據安全存儲設備中設置有數據緩沖區，在中央處理器配置和調度干預之下，實現數據存儲和安全保護操作過程中臨時數據的緩存；

4)數據安全存儲設備中設置有存儲總線控制，完成數據安全存儲設備與數據存儲介質的物理連接，在中央控制器的配置及調度干預下，完成數據存儲介質的數據存取操作；

5)數據安全存儲設備中設置有加密處理引擎，在中央控制器的配置及調度下，可以實現密鑰及密鑰對產生和摘要運算功能，并能實現對稱及非對稱式加解密計算處理；

6)數據安全存儲設備中設置有非易失存儲器，用于存儲中央控制器單元程序固件以及在中央處理器配置下，保存運行數據安全機制過程中產生的密鑰、密文數據。

根據發明目的之二所提出的數據安全訪問機制實現方法，被劃分為三個實施階段：用戶注冊階段、用戶認證階段和安全訪問階段。此實現方法各階段較優的實現步驟為：

1)用戶注冊階段，主系統端設置數據安全區域，根據用戶注冊請求，安全保存用戶名USER和身份識別號PIN；

2)用戶注冊階段，主系統傳送用戶名USER至數據安全存儲設備。數據安全存儲設備為此用戶名USER產生隨機密鑰RKV；使用密鑰RKV將用戶名USER做對稱加密運算，形成用戶原始密值USV1；然后數據安全存儲設備密值USV1進行摘要計算，產生密文SVPD1，并保存在數據安全存儲設備本地；數據安全存儲設備將密鑰RKV和用戶原始密值USV1返回給主系統；