技術領域

本發明涉及數據存儲和數據安全領域，特別涉及一種加密固態存儲盤。

背景技術

一直以來，計算機存儲裝置(存儲盤)的數據安全備受關注，市場上也陸續推出了各種具有加密功能的存儲盤，比如加密存儲卡、加密U盤、加密硬盤等。

對于加密系統來說，密鑰管理是最薄弱也是最關鍵的一個環節，密鑰的泄露將直接導致數據的泄露。密鑰管理包括密鑰的產生、存儲、傳輸和保護等基本環節，從密鑰管理竊取機密比用破譯的方法要花費的代價要小得多，所以對密鑰的管理和保護格外重要。

目前，市場的加密存儲盤在數據加密的密鑰(K)管理方面存在如下技術問題：

(一)密鑰(K)和加解密模塊一體，使密鑰管理形同虛設；

(二)將密鑰(K)與加密的數據存儲在一起，導致了密鑰的不安全；

(三)密鑰(K)未加密存儲，使密鑰容易被惡意破解；

(四)在密鑰的通訊傳輸方面，也缺乏有效的保密措施，從而使得密鑰在傳輸通道上呈現透明狀態，易受到偵測和破獲。

總之，由于在密鑰管理和保密方面存在問題，導致加密存儲盤的安全等級降低，難以滿足更高安全等級的市場需求。

故，針對目前現有技術中存在的上述缺陷，實有必要進行研究，以提供一種方案，解決現有技術中存在的缺陷，提供一種高安全等級的加密固態存儲盤。

發明內容

為了克服上述現有技術的缺陷，本發明提供了一種將數據加密和密鑰管理分離的加密固態存儲盤，從而極大極高了加密固態存儲盤的安全性能。

為解決現有技術存在的問題，本發明的技術方案為：

一種加密固態存儲盤，該盤具有身份認證和數據加密的功能，包括通訊接口、數據加解密控制模塊、身份認證及密鑰管理模塊、身份輸入裝置和固態存儲介質；

所述通訊接口與外部計算機相連接，用于與外部計算機進行數據通訊；

所述身份輸入裝置用于采集用戶輸入的身份信息；

所述身份認證及密鑰管理模塊用于接收所述身份輸入裝置所采集的身份信息，與預先存儲在其內的用戶身份信息進行身份認證，并在身份認證通過后將存儲在其內的加解密密鑰發送給所述數據加解密控制模塊；

所述固態存儲介質用于存儲經加密后的數據；

所述數據加解密控制模塊與所述通訊接口、身份認證及密鑰管理模塊和固態存儲介質相連接，數據存入時，所述數據加解密控制模塊從通訊接口獲取數據并根據從身份認證及密鑰管理模塊獲取的加解密密鑰對該數據進行加密后存入固態存儲介質；

讀取數據時，所述數據加解密控制模塊從固態存儲介質獲取數據并根據從身份認證及密鑰管理模塊獲取的加解密密鑰對該數據進行解密后發送給通訊接口。

優選地，所述數據加解密控制模塊包括控制模塊、數據緩沖器、通訊接口、加解密硬件模塊和密鑰緩沖器，其中，

所述通訊接口用于與身份認證及密鑰管理模塊進行數據通訊，接收所述密鑰管理模塊發送的加解密密鑰；

所述控制模塊與所述數據緩沖器、通訊接口、加解密硬件模塊和密鑰緩沖器相連接，用于控制數據加解密控制模塊內各個模塊之間的操作；

所述加解密硬件模塊用于對數據進行加解密操作；

所述數據緩沖器用于緩存數據信息；

所述密鑰緩沖器為易失存儲器，用于存儲加解密密鑰。

優選地，所述身份認證及密鑰管理模塊包括通訊接口、數據緩沖器、處理器、隨機數產生器、身份認證模塊和非易失存儲介質，其中，

所述通訊接口用于與數據加解密控制模塊進行數據通訊，將加解密密鑰發送給所述數據加解密控制模塊；

所述數據緩沖器用于緩存數據信息；

所述非易失存儲介質包括密鑰存儲區和身份信息存儲區，所述密鑰存儲區用于存儲加解密密鑰；所述身份信息存儲區用于存儲用戶身份信息；

所述身份認證模塊用于接收身份輸入裝置所采集的身份信息，與存儲在所述非易失存儲介質內的身份信息進行身份認證；

所述處理器與所述數據緩沖器、非易失存儲介質、隨機數產生器和身份認證模塊相連接，用于根據所述身份認證模塊的結果控制所述加解密密鑰的發送；

所述隨機數產生器用于隨機產生一串字符；

所述加解密密鑰為初次使用時由所述隨機數產生器隨機產生并存儲在所述密鑰存儲區。

優選地，所述身份認證及密鑰管理模塊還包括加密模塊，所述加密模塊與處理器相連接，用于將加解密密鑰和用戶身份信息進行加密后再存儲在所述非易失存儲介質中。