一种移动硬盘加密方法、装置、电子设备以及存储介质与流程

1.本技术涉及移动数据安全技术领域，具体涉及一种移动硬盘加密方法、装置、电子设备以及存储介质。


背景技术：

2.以ssd为存储媒介的移动硬盘，由于其容量大、速度快，而深受消费者喜爱。随着数据安全的观念深入人心，消费者逐渐意识到数据安全的重要性，市面上也有很多加密的ssd移动硬盘。现有主流的ssd移动硬盘的加密方式主要分为两大类：第一，通过host的应用软件对ssd移动硬盘的数据进行加解密；第二，通过录入使用者的生物信息，对ssd移动硬盘的访问权限进行控制。
3.现有的加密方案由于易于实现，而广泛的被应用于ssd移动硬盘上。但是其缺点也比较明显：软件加密数据，依赖于host的性能，会影响移动硬盘的访问速度；采用生物识别的认证方式，不能分别控制移动硬盘的读出和写入的权限。
4.因此，如何在保证对移动硬盘的访问速度的同时，又可以对移动硬盘的读出和写入的权限进行控制，是目前急需解决的技术问题。


技术实现要素：

5.本技术提供一种移动数据安全方法及装置，以在保证对移动硬盘的访问速度的同时，又可以对移动硬盘的读出和写入的权限进行控制。
6.为实现上述目的，本技术提供以下方案。
7.第一方面，本技术提供了一种移动硬盘加密方法，所述方法包括以下步骤：
8.接收隔离器件转发的加密指令，所述加密指令中包含目标用户身份信息；
9.基于所述加密指令，获取与所述目标用户身份信息对应查找权限内存储的用户存储数据；
10.基于所述目标用户身份数据以及与用户存储数据，获取与所述用户存储数据相对应的加密密文。
11.进一步的，所述基于所述目标用户身份数据以及与用户存储数据，获取与所述用户存储数据相对应的加密密文，包括以下步骤：
12.获取对所述用户存储数据加密的密钥；
13.将密钥和用户身份数据进行关联，得到预设密钥验证数据；
14.基于所述密钥对所述用户存储数据进行加密，得到与所述用户存储数据相对应的加密密文。
15.进一步的，所述方法还包括：
16.将获取的密钥验证数据与所述预设密钥验证数据进行对比；
17.若所述密钥验证数据与所述预设密钥验证数据一致，则利用所述预设密钥验证数据对应的密钥对所述加密密文进行解密。
18.进一步的，移动硬盘中包含aes引擎，所述方法还包括：
19.当获取到所述用户存储数据后，利用aes引擎对所述用户存储数据进行加密得到加密密文。
20.进一步的，所述基于所述加密指令，获取与所述目标用户身份信息对应查找权限内存储的用户存储数据，之前包括以下步骤：
21.为每一身份认证信息分配对应的存储空间，以存储相对应的用户存储数据。
22.进一步的，所述隔离器件包括usb2nvme芯片。
23.进一步的，所述加密指令是由主机基于usb协议向所述隔离器件发送的。
24.第二方面，本技术提供了一种移动硬盘加密装置，所述装置包括：
25.指令接收模块，接收隔离器件发送的加密指令；所述加密指令中包含目标用户身份信息；
26.数据获取模块，其用于基于所述加密指令，获取与所述目标用户身份信息对应查找权限内存储的用户存储数据；
27.加密模块，其用于基于所述目标用户身份数据以及与用户存储数据，获取与所述用户存储数据相对应的加密密文。
28.进一步的，所述加密模块包括：
29.密钥获取子模块，其用于获取对所述用户存储数据加密的密钥；
30.验证数据生成子模块，其用于将密钥和用户身份数据进行关联，得到预设密钥验证数据；
31.密文生成子模块，其用于基于所述密钥对所述用户存储数据进行加密，得到与所述用户存储数据相对应的加密密文。
32.进一步的，所述装置还用于：
33.对比子模块，其用于将获取的密钥验证数据与所述预设密钥验证数据进行对比；
34.解密子模块，其用于若所述密钥验证数据与所述预设密钥验证数据一致，则利用所述预设密钥验证数据对应的密钥对所述加密密文进行解密。
35.进一步的，所述移动硬盘加密装置还用于：
36.当获取到所述用户存储数据后，利用aes引擎对所述用户存储数据进行加密得到加密密文。
37.进一步的，所述数据获取模块还用于：
38.为每一身份认证信息分配对应的存储空间，以存储相对应的用户存储数据。
39.进一步的，所述隔离器件包括usb2nvme芯片。
40.进一步的，所述隔离器件通过usb协议与主机进行通信，通过tcg-opal协议与移动硬盘进行通信。
41.进一步的，所述加密指令是由主机基于usb协议向所述隔离器件发送的。
42.本技术提供的技术方案带来的有益效果包括：
43.本技术接收隔离器件转发的加密指令，所述加密指令中包含目标用户身份信息；基于加密指令，获取与目标用户身份信息对应查找权限内存储的用户存储数据；基于目标用户身份数据以及与用户存储数据，获取与用户存储数据相对应的加密密文。
44.本技术中移动硬盘控制器接收隔离器件转发的加密指令，将主机与移动硬盘隔离
开来，从而避免了由于主机的性能影响了对移动硬盘的访问速度；基于加密指令，获取与目标用户身份信息对应查找权限内存储的用户存储数据，基于目标用户身份数据以及与用户存储数据，获取与用户存储数据相对应的加密密文，通过对每一不同用户匹配不同的数据存储地址，从而可以实现对移动硬盘的读出和写入的权限的控制。
附图说明
45.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
46.图1为本技术实施例中提供的移动硬盘加密方法的步骤流程图；
47.图2为本技术另一申请实施例中提供的移动硬盘加密的结构框图。
具体实施方式
48.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
49.以下结合附图对本技术的实施例作进一步详细说明。
50.本技术实施例提供一种移动硬盘数据加密方法及装置，在保证对移动硬盘的访问速度的同时，又可以对移动硬盘的读出和写入的权限进行控制
51.为达到上述技术效果，本技术的总体思路如下：
52.一种移动硬盘数据加密方法，该方法包括以下步骤：
53.s1、接收隔离器件转发的加密指令，所述加密指令中包含目标用户身份信息；
54.其中，加密指令是由主机的应用软件生成的，经过隔离器件的转发将该加密指令发送给移动硬盘控制器。移动硬盘，主要指采用usb或ieee1394接口，可以随时插上或拔下，小巧而便于携带的硬盘存储器，以较高的速度与系统进行数据传输。
55.需要说明的是，用户在发送指令的主机上的应用软件上触发加密按钮，应用软件响应于加密按钮被触发操作，生成加密指令。
56.由于主机上的应用软件可能是由多个用户进行操作，每一用户拥有与之相对应的用户身份认证信息，并且每一用户在该应用软件进行操作时会产生不同的用户数据。
57.另外，主机与隔离器件之间可以通过第一通信协议进行通信，隔离器件与移动硬盘之间通过第二通信协议进行通信，并且第一通信协议与第二通信协议通常为不同的通信协议。例如隔离器件通过usb协议与主机进行通信，通过tcg-opal协议与移动硬盘进行通信。一般的通信协议有usb(universal serial bus)通信协议，tcg-opal(trusted computing group)通信协议，nvm(non-volatile memory)express通信协议等。
58.具体地，用户在主机上的应用软件上触发加密按钮，基于加密按钮被触发，主机获取应用软件上的用户身份认证信息，并根据用户身份认证信息生成加密指令。主机将生成的加密指令通过第一通信协议发送给隔离器件，隔离器件接收该加密指令后，将其转发给
移动硬盘，从而移动硬盘控制器接收到该加密指令。
59.s2、基于加密指令，获取与目标用户身份信息对应查找权限内存储的用户存储数据；
60.其中，加密指令可以是基于tcg-opal协议里的tcg命令发送的。例如，当需要对移动硬盘中的用户访问权限进行设置时，可以基于tcg-opal协议，在设置range的时候，使用set range的命令，(range的范围对应用户的可访问数据的空间)，来对用户的访问权限以及访问地址空间范围进行控制。
61.用户身份信息可以是用户名或者是用户身份识别标识号等。
62.由于主机与隔离器件之间可以通过第一通信协议进行通信，隔离器件与移动硬盘之间通过第二通信协议进行通信，为了让tcg命令能够从主机传递到移动硬盘，第一通信协议和第二通信协议均tcg-opal协议兼容。
63.具体地，移动硬盘控制器从该加密指令中解析出目标用户身份信息，然后通过tcg命令来为目标用户身份信息对应的目标用户分配存储空间，其中为目标用户分配相对应的存储空间可以是依据存储空间大小随机进行分配，也可以是依据分配算法为目标用户进行分配。
64.当移动硬盘中与目标用户对应的存储空间中存储有数据时，移动硬盘控制器获取与目标用户身份信息对应查找权限内存储的用户存储数据。
65.s3、基于目标用户身份数据以及与用户存储数据，获取与用户存储数据相对应的加密密文。
66.移动硬盘控制器获取用户身份数据以及用户存储数据之间的关联关系，基于该关联关系，获取加密密钥；基于加密密钥对用户存储数据进行加密，得到与用户存储数据相对应的加密密文。
67.在本技术实施例中，移动硬盘控制器接收隔离器件转发的加密指令，将主机与移动硬盘隔离开来，从而避免了由于主机的性能影响了对移动硬盘的访问速度；基于加密指令，获取与目标用户身份信息对应查找权限内存储的用户存储数据，基于目标用户身份数据以及与用户存储数据，获取与用户存储数据相对应的加密密文，通过对每一不同用户匹配不同的数据存储地址，从而可以实现对移动硬盘的读出和写入的权限的控制。
68.在一申请实施例中，步骤s3包括以下步骤：
69.s301、获取对所述用户存储数据加密的密钥；
70.具体地，移动硬盘控制器获取目标用户身份数据以及与目标用户对应存储空间里存储的用户存储数据，并将目标用户身份数据与目标用户存储数据进行一一对应。
71.s302、将密钥和用户身份数据进行关联，得到预设密钥验证数据；
72.具体地，将密钥数据和用户身份数据进行简单拼接得到新的密钥数据，对新的密钥数据进行哈希运算，得到预设密钥验证数据。
73.s303、基于所述密钥对所述用户存储数据进行加密，得到与所述用户存储数据相对应的加密密文。
74.利用s301获取的密钥来对用户存储数据进行加密，得到与用户存储数据相对应的加密密文。
75.当需要对加密密文进行解密时，需要将获取的密钥验证数据与所述预设密钥验证
数据进行对比；若密钥验证数据与预设密钥验证数据一致，则说明解密密钥与加密密钥一致，并没有被人篡改，则利用预设密钥验证数据对应的密钥对加密密文进行解密。
76.本实施例中，通过对加密时所使用的密钥进行加密保存，防止被人恶意篡改和攻击，增加了密钥的的安全性。
77.在一申请实施例中，移动硬盘中包含aes引擎，所述方法还包括：
78.当获取到所述用户存储数据后，利用aes引擎对所述用户存储数据进行加密得到加密密文。
79.其中，aes引擎是指aes(advanced encryption standard)加密引擎。加密主要是为了保证重要数据的安全，如今在各行业均可以看到加密的运用。加密方法主要分为对称加密和非对称加密两种。对称加密是指加密和解密所用密钥都是一样的，而非对称加密是指加密与解密所用密钥是不一样的。
80.而aes是一种对称的块加密方法，并采用rijndael算法可以处理128比特的数据块加密，其加密钥匙可以是128、192或者256比特，由于aes加密方法采用的gf域的运算进行数据变化不存在后门，同时加密钥匙也比较长，因此更加安全可靠。而aes引擎是指加载了aes加密算法的芯片。
81.在本实施例中，移动硬盘控制器收到加密的信息后，会采用硬件aes引擎对数据进行加密和解密，而且采用了更为安全的xts模式。同时为了保证密钥的安全性，采用了密文的方式进行保存，而且保存的位置也是不固定的，降低了密钥泄露的概率。
82.在一实施例中，基于加密指令，获取与目标用户身份信息对应查找权限内存储的用户存储数据，之前包括以下步骤：
83.为每一身份认证信息分配对应的存储空间，以存储相对应的用户存储数据。
84.在本实施例中，移动硬盘控制器在收到设置多用户和多分区信息的时候，会将用户的信息和分区的信息进行关联，生成数据加密的秘钥，从而降低了秘钥被攻击者恶意篡改的风险。
85.在一实施例中，隔离器件可以是usb2nvme芯片；
86.其中，usb2nvme芯片可以看成是一种桥片，可以直接与主机进行数据和指令交换，充当连接桥梁的处理芯片，该芯片包含usb协议驱动模块以及nvme协议驱动模块。
87.在本实施例中，usb2nvme作为host和ssd移动硬盘的一个隔离器件，实现了tcg命令的转发，可以将host和ssd移动硬盘进行物理隔离，可以满足host各种应用的tcg命令路由到ssd移动硬盘上，而且可以兼容多种通信协议，便于用户进行数据传输。
88.在一实施例中，提供了一中移动硬盘加密方法，该方法包括以下步骤：
89.如图2所示，基于现有ssd移动硬盘，增加了usb2nvme bridge，将tcg的命令可以通过usb接口，转发到nvme设备。
90.在现有的ssd移动硬盘的通路上增加了tcg命令的转发，从而可以使host的tcg命令可以通过usb，路由到nvme设备；进而使用tcg-opal协议对移动硬盘设备的权限进行管理。
91.其移动硬盘加密步骤如下：
92.a1.usb2nvme作为host和ssd移动硬盘的一个隔离器件，实现了tcg命令的转发，可以将host和ssd移动硬盘进行物理隔离，可以满足host各种应用的tcg命令路由到ssd移动
硬盘上，并可以兼容多种通信协议。
93.a2.host的应用软件可以通过usb把tcg的命令传递给usb2nvme bridge，usb2nvme bridge再将tcg的命令转发到ssd，从而完成了tcg命令从host到ssd移动硬盘的路由。
94.a3.host的应用软件可以根据tcg-opal的协议，发送tcg的命令，设置用户的访问权限，同时也可以对数据的读写权限进行单独管理。同时，也可以设置多个用户，而且可以给每个用户分配独立的物理空间；ssd移动硬盘在收到设置多用户和多分区信息的时候，会将用户的信息和分区的信息进行关联，生成数据加密的秘钥，从而降低了秘钥被攻击者恶意篡改的风险。
95.a4.ssd移动硬盘收到加密的信息后，会采用硬件aes引擎对数据进行加密和解密，而且采用了更为安全的xts模式。同时为了保证秘钥的安全性，采用了密文的方式进行保存，而且保存的位置也是不固定的，降低了秘钥泄露的概率。
96.本实施例中，主要有以下几种有益效果：
97.1.通过tcg-opal协议不仅可以采用更多的方式对使用的权限进行管理控制；而且可以实现多用户和多分区的设置，满足一盘多用的场景。同时，会将用户和分区的信息进行关联，生成数据加密的秘钥，使加密的秘钥不会被攻击者恶意篡改，保证了数据的安全性。
98.2.通过ssd移动硬盘自带的硬件aes引擎对数据进行加解密；使其满足了数据加密的要求，同时还不会影响移动硬盘的访问速度。同时，所有的秘钥都采用密文和动态的保存方式，使秘钥的信息不会被攻击者检索到，保证了秘钥的安全性。
99.3.通过usb2nvme bridge将host和ssd移动硬盘进行隔离，使host应用的tcg的命令可以路由到ssd移动硬盘，满足其通信的需求。
100.需要说明的是，本技术实施例中的各步骤的步骤标号，其并不限制本技术技术方案中各操作的前后顺序。
101.基于与方法实时例相同的发明构思，本技术实施例提供一种移动硬盘加密装置，该装置包括：
102.指令接收模块，接收隔离器件发送的加密指令；所述加密指令中包含目标用户身份信息；
103.数据获取模块，其用于基于所述加密指令，获取与所述目标用户身份信息对应查找权限内存储的用户存储数据；
104.加密模块，其用于基于所述目标用户身份数据以及与用户存储数据，获取与所述用户存储数据相对应的加密密文。
105.其中，加密指令是由主机的应用软件生成的，经过隔离器件的转发将该加密指令发送给移动硬盘控制器。移动硬盘，主要指采用usb或ieee1394接口，可以随时插上或拔下，小巧而便于携带的硬盘存储器，以较高的速度与系统进行数据传输。
106.需要说明的是，用户在发送指令的主机上的应用软件上触发加密按钮，应用软件响应于加密按钮被触发操作，生成加密指令。
107.由于主机上的应用软件可能是由多个用户进行操作，每一用户拥有与之相对应的用户身份认证信息，并且每一用户在该应用软件进行操作时会产生不同的用户数据。
108.另外，主机与隔离器件之间可以通过第一通信协议进行通信，隔离器件与移动硬盘之间通过第二通信协议进行通信，并且第一通信协议与第二通信协议通常为不同的通信
协议。例如隔离器件通过usb协议与主机进行通信，通过tcg-opal协议与移动硬盘进行通信。一般的通信协议有usb(universal serial bus)通信协议，tcg-opal(trusted computing group)通信协议，nvm(non-volatile memory)express通信协议等。
109.具体地，用户在主机上的应用软件上触发加密按钮，基于加密按钮被触发，主机获取应用软件上的用户身份认证信息，并根据用户身份认证信息生成加密指令。主机将生成的加密指令通过第一通信协议发送给隔离器件，隔离器件接收该加密指令后，将其转发给移动硬盘，从而移动硬盘控制器接收到该加密指令。
110.其中，加密指令可以是基于tcg-opal协议里的tcg命令发送的。例如，当需要对移动硬盘中的用户访问权限进行设置时，可以基于tcg-opal协议，在设置range的时候，使用set range的命令，(range的范围对应用户的可访问数据的空间)，来对用户的访问权限以及访问地址空间范围进行控制。
111.用户身份信息可以是用户名或者是用户身份识别号等。
112.由于主机与隔离器件之间可以通过第一通信协议进行通信，隔离器件与移动硬盘之间通过第二通信协议进行通信，为了让tcg命令能够从主机传递到移动硬盘，第一通信协议和第二通信协议均tcg-opal协议兼容。
113.具体地，移动硬盘控制器从该加密指令中解析出目标用户身份信息，然后通过tcg命令来为目标用户身份信息对应的目标用户分配存储空间，其中为目标用户分配相对应的存储空间可以是依据存储空间大小随机进行分配，也可以是依据分配算法为目标用户进行分配。
114.当移动硬盘中与目标用户对应的存储空间中存储有数据时，移动硬盘控制器获取与目标用户身份信息对应查找权限内存储的用户存储数据。
115.移动硬盘控制器获取用户身份数据以及用户存储数据之间的关联关系，基于该关联关系，获取加密密钥；基于加密密钥对用户存储数据进行加密，得到与用户存储数据相对应的加密密文。
116.进一步的，所述加密模块包括：
117.密钥获取子模块，其用于获取对所述用户存储数据加密的密钥；
118.验证数据生成子模块，其用于将密钥和用户身份数据进行关联，得到预设密钥验证数据；
119.密文生成子模块，其用于基于所述密钥对所述用户存储数据进行加密，得到与所述用户存储数据相对应的加密密文。
120.进一步的，所述装置还用于：
121.对比子模块，将获取的密钥验证数据与所述预设密钥验证数据进行对比；
122.解密子模块，若所述密钥验证数据与所述预设密钥验证数据一致，则利用所述预设密钥验证数据对应的密钥对所述加密密文进行解密。
123.当需要对加密密文进行解密时，需要将获取的密钥验证数据与所述预设密钥验证数据进行对比；若密钥验证数据与预设密钥验证数据一致，则说明解密密钥与加密密钥一致，并没有被人篡改，则利用预设密钥验证数据对应的密钥对加密密文进行解密。
124.本实施例中，通过对加密时所使用的密钥进行加密保存，防止被人恶意篡改和攻击，增加了密钥的的安全性。
125.进一步的，所述移动硬盘加密装置还用于：
126.当获取到所述用户存储数据后，利用aes引擎对所述用户存储数据进行加密得到加密密文。
127.其中，aes引擎是指aes(advanced encryption standard)加密引擎。加密主要是为了保证重要数据的安全，如今在各行业均可以看到加密的运用。加密方法主要分为对称加密和非对称加密两种。对称加密是指加密和解密所用密钥都是一样的，而非对称加密是指加密与解密所用密钥是不一样的。
128.而aes是一种对称的块加密方法，并采用rijndael算法可以处理128比特的数据块加密，其加密钥匙可以是128、192或者256比特，由于aes加密方法采用的gf域的运算进行数据变化不存在后门，同时加密钥匙也比较长，因此更加安全可靠。而aes引擎是指加载了aes加密算法的芯片。
129.在本实施例中，移动硬盘控制器收到加密的信息后，会采用硬件aes引擎对数据进行加密和解密，而且采用了更为安全的xts模式。同时为了保证密钥的安全性，采用了密文的方式进行保存，而且保存的位置也是不固定的，降低了密钥泄露的概率。
130.进一步的，所述数据获取模块还用于：
131.为每一身份认证信息分配对应的存储空间，以存储相对应的用户存储数据。
132.在本实施例中，移动硬盘控制器在收到设置多用户和多分区信息的时候，会将用户的信息和分区的信息进行关联，生成数据加密的秘钥，从而降低了秘钥被攻击者恶意篡改的风险。
133.进一步的，所述隔离器件包括usb2nvme芯片。
134.其中，usb2nvme芯片可以看成是一种桥片，可以直接与主机进行数据和指令交换，充当连接桥梁的处理芯片，该芯片包含usb协议驱动模块以及nvme协议驱动模块。
135.在本实施例中，usb2nvme作为host和ssd移动硬盘的一个隔离器件，实现了tcg命令的转发，可以将host和ssd移动硬盘进行物理隔离，可以满足host各种应用的tcg命令路由到ssd移动硬盘上，而且可以兼容多种通信协议，便于用户进行数据传输。
136.进一步的，所述加密指令是由主机基于usb协议向所述隔离器件发送的。
137.需要说明的是，本技术实施例提供的移动硬盘加密装置，其对应的技术问题、技术手段以及技术效果，从原理层面与移动硬盘加密方法的原理类似。
138.第二方面，本技术实施例提供一种存储介质，该存储介质上存储有计算机程序，该计算机程序被处理器执行时实现第一方面提及的移动硬盘加密方法。
139.第三方面，本技术实施例提供一种电子设备，包括存储器和处理器，存储器上储存有在处理器上运行的计算机程序，该处理器执行计算机程序时实现第一方面提及的移动硬盘加密方法。
140.需要说明的是，在本技术中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排
除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
141.以上仅是本技术的具体实施方式，使本领域技术人员能够理解或实现本技术。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。