本發明涉及一種基于主從系統的數據存儲加密方法及裝置，屬于計算機信息存儲技術領域。采用本發明所述基于主從系統的數據存儲加密方法及裝置，不僅減少了一個加密系統設備，降低了加密系統成本；且減少數據傳輸經過的路徑，減少泄露源頭；同時主從設備均參與加密環節，對系統安全保護起到雙重保護作用。

技術領域

本發明屬于計算機信息存儲技術領域，具體涉及一種基于主從系統的數據存儲加密方法及裝置。

背景技術

隨著信息技術的飛速發展，對數據的處理量和存儲越來越大，數據存儲安全及防止信息泄露已經成為亟待解決的社會化問題。數據存儲安全即保證數據完整性；抵御軟件惡意攻擊、復制或篡改；避免數據被破解、盜取。為解決此類問題，出現了眾多的加密存儲產品及方案。最常見的方式包括在存儲端進行軟加密，或者在主控和存儲設備間加入獨立的加密系統進行硬加密。在存儲端軟加密，即通過軟件方式對存儲端加密，當存儲設備被盜取或者主控端被挾持，均會發生數據丟失并泄露的危險；硬加密方式，即加入加密系統阻斷主控端和存儲端雖然能夠更有效的保證數據傳輸的安全性，但是仍有數據被盜取的風險，存在數據泄露的風險。

加密存儲的關鍵技術在于對數據的保護，如果加密數據泄露將會造成無法估量的損失。在加密技術中，在輸入端對消息(明文)加密，在輸出端對消息(密文)解密。普遍的對數據的加解密方法是使用一個密鑰加密數據，同時通過一個配對密鑰對密文數據解密。任何未授權用戶無法獲取密鑰信息，從而無法獲取存儲數據，保證數據的安全。

公開號為CN1066929的中國專利“計算機硬盤數據屏蔽保護系統”提供了一種硬盤數據存儲保護方法。此專利提供的數據保護方式依賴于只有授權用戶可以訪問硬盤,但存儲的數據未進行加密處理。當存儲盤被盜取復制或者授權用戶訪問被惡意軟件攻克,硬盤存儲的數據即有泄露的風險，存在安全隱患。

公開號為CN1641522的中國專利“計算機硬盤數據加密方法及其裝置”中，加密系統處在主設備和從設備之間，即主機和硬盤之間；對主從設備間的數據傳輸進行加密，發生讀寫指令后，密鑰管理系統對數據流進行加密，密鑰內置于密鑰管理器內，且由密鑰直接對數據加密。此專利只關注于數據的加密，當系統被惡意破解后，數據面臨泄露的風險。

發明內容

(一)要解決的技術問題

本發明提出一種主從系統的存儲加密裝置，一方面主從設備會相互認證，防止對系統的惡意訪問；另一方面系統進入工作狀態后，主設備加密控制會對數據傳輸過程進行加密；克服了現有存儲設備中，僅有一層數據加密的缺陷，在對加密要求較高的系統應用中，提供雙層的數據加密保護。

本發明還提供一種主從系統的存儲加密方法，既有軟加密又有硬加密，加密系統既存在于主設備，又存在于從設備中，無需另外的加密系統，減少數據泄露源頭數。

(二)技術方案

為了解決上述技術問題，本發明提供了一種基于主從系統的數據存儲加密方法，包括主、從設備及主、從設備間適配的接口；所述主設備包括主控加密芯片模塊和主控模塊；所述從設備包括從控模塊及存儲模塊；主從系統啟動后，主設備中的主控模塊發起對從設備中從控模塊的身份認證；認證成功后主設備進入工作模式，主控加密芯片模塊對用戶數據進行運算、加密操作，并將運算的密文結果透傳到從設備的存儲模塊，實現主、從設備間的通信、數據傳輸。

優選地，主、從設備中，主設備內主控加密芯片模塊在系統啟動前預置了利用主機位置，身份ID生成的認證信息K；從設備的從控模塊在系統啟動前預置了認證信息K1，從設備的存儲模塊在系統啟動前預置了密文形式的認證信息K2，系統啟動后從設備中的K1及K2共同生成從設備的認證信息K'，生成K'后喚醒主設備，主、從設備信號握手進行身份認證，認證成功后從設備通過發送信號使主設備進入工作模式；若認證未成功則通過從設備的從控模塊發送銷毀信號到從設備的存儲模塊，存儲模塊接收到銷毀信號銷毀其存儲的數據。