[发明专利]一种具有环境控制的USB加密存储系统及方法

权利要求书

1.一种具有环境控制的USB加密存储方法，其特征在于，包括：

初始化步骤：

初始化装置通过射频与USB加密存储装置建立数据连接，初始化设备将USB加密存储装置的状态由出厂状态设定为锁定状态；

状态验证步骤：

USB加密存储装置通过USB接口与主机连接并上电复位，查询当前自身的状态；若当前状态为出厂状态，则禁止USB加密存储装置执行主机的数据读写操作；若当前状态为锁定状态，则进入数据读写步骤；

数据读写步骤：

激活装置通过射频与USB加密存储装置进行环境鉴别；若环境鉴别失败，则禁止USB加密存储装置执行主机的数据读写操作；若环境鉴别成功，USB加密存储装置进入激活状态并生成文件加解密密钥，利用文件加解密密钥完成一次读操作或写操作。

2.根据权利要求1所述的方法，其特征在于，所述初始化步骤中，初始化设备获取USB加密存储装置的ID标识，在对所述ID标识进行加密后得到第一加密结果，将所述第一加密结果作为主密钥发送至USB加密存储装置储存；初始化设备控制USB加密存储装置生成并存储数据密钥，且将USB加密存储装置的状态由出厂状态变更为锁定状态。

3.根据权利要求2所述的方法，其特征在于，所述数据读写步骤中，激活装置通过射频持续广播环境鉴别请求；处于锁定状态的USB加密存储装置当收到主机的读请求或写请求时，响应所述环境鉴别请求，激活装置通过射频与USB加密存储装置进行环境鉴别。

4.根据权利要求3所述的方法，其特征在于，所述数据读写步骤中，所述环境鉴别请求包含第一挑战随机数；激活装置通过射频与USB加密存储装置进行环境鉴别包括：

USB加密存储装置获取所述第一挑战随机数，生成第二挑战随机数，利用所述主密钥对所述第一挑战随机数、第二挑战随机数和所述ID标识进行加密得到第二加密结果，并将第二加密结果与未加密的ID标识发送给激活装置；

激活装置对所述未加密的ID标识进行加密得到主密钥，并利用主密钥解密第二加密结果，获得第一、第二挑战随机数和ID标识，激活装置比较解密得到的第一挑战随机数与之前发送的第一挑战随机数是否一致、比较解密得到的ID标识与未加密的ID标识是否一致，若一致，则激活装置对USB加密存储装置鉴别通过；

激活装置生成激活命令和环境密钥，且由第二挑战随机数、ID标识、激活命令和环境密钥计算得到第一校验和，并利用主密钥加密第二挑战随机数、ID标识、激活命令、环境密钥和第一校验和得到第三加密结果，将第三加密结果发送至USB加密存储装置；

USB加密存储装置利用存储的主密钥对接收到的第三加密结果进行解密，比较解密得到的第二挑战随机数与之前发送的第二挑战随机数是否一致、ID标识与USB加密存储装置ID是否一致，如果一致，则由第二挑战随机数、ID标识、激活命令和环境密钥计算得到第二校验和，若第一校验和与第二校验和一致，则对激活装置的鉴别通过，环境鉴别成功，执行激活命令，将USB加密存储装置设置为激活状态。

5.根据权利要求4所述的方法，其特征在于，USB加密存储装置生成文件加解密密钥包括：USB加密存储装置利用环境密钥与数据密钥计算生成文件加解密密钥，且每当利用文件加解密密钥加解密数据并完成一次读操作或写操作，USB加密存储装置的状态由激活状态设置为锁定状态。

6.一种具有环境控制的USB加密存储系统，其特征在于，包括USB加密存储装置、初始化装置、主机和激活装置；

其中，所述初始化装置用于初始化时与USB加密存储装置通过射频建立连接，并将USB加密存储装置的状态由出厂状态设定为锁定状态；

所述USB加密存储装置用于在状态验证时与主机通过USB接口连接，并查询当前自身状态；当前状态为出厂状态时，USB加密存储装置用于禁止自身执行主机的数据读写操作；当前状态为锁定状态时，USB加密存储装置用于与激活装置通过射频连接，并与激活装置进行环境鉴别；当环境鉴别成功时，USB加密存储装置用于生成文件加密解密密钥，并利用文件加解密密钥完成一次读操作或写操作；

所述激活装置用于在与USB加密存储装置环境鉴别成功时，将USB加密存储装置的状态由锁定状态设定为激活状态。