[发明专利]一种带本地数据加密功能的智能密码钥匙

权利要求书

1.一种带本地数据加密功能的智能密码钥匙，其特征在于，包括加密芯片、与该加密芯片相连接的存储芯片、电源电路、连接接口、外围设备；其中，

加密芯片为一个集成处理器、输入输出端口和存储器的微处理器；

大容量存储芯片为NANDFlash芯片，该芯片有NANDFlash的控制器，与外部Flash连接完成本地数据加密存储；

电源电路分别与主控芯片和大容量存储器相连，监测提供稳定电源；

连接接口用于连接本地计算机电脑；

外围设备，包括LED指示灯，该外围设备与加密芯片相连指示USBKey的工作状态。

2.根据权利要求1所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，所述加密芯片中，处理器用于产生和使用RSA密钥对和对大容量数据加解密的对称加密密钥对；存储器包括RAM、EEPROM和NORFLASH，其中：存储器的NORFLASH中包括EFLASH、DFLASH、ROM部分，其中EFLASH部分存储密钥对、证书和加密算法信息，DFLASH部分存放程序控制代码，ROM存放启动代码。

3.根据权利要求1或2所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，所述密码钥匙具有两种功能：USBKey功能和本地数据加解密功能，其中，

USBKey功能具体为，用户先使用CA用户管理工具，经过PIN码验证，然后通过系统中的控件读取密码钥匙中的证书和私钥信息；密码钥匙USBKey使用私钥签名加密用户登录信息；原文、自己的数字证书和签名后的密文打包成报文发送给认证服务器进行验证；如果验证都通过，认证服务器则使用用户公钥解密密文；再比较脱密后的报文和原文，相同则表示用户提交的身份验证通过；

本地数据加解密功能为，KEY内生成的随机数为加密分散因子，使用SM4国密算法将明文加密成密文，同时使用KEY内生成密钥对的公钥加密随机数成数字信封，将数字信封和密文组合成加密结果，上传到上位机存放到加密文件中；解密本地的加密数据，读取加密文件的内容，分别解析出数字信封和密文，将数字信封用Key内保存的私钥解开，用随机数作为解密因子，将解析出的密文脱密，即可完成本地数据解密。

4.根据权利要求3所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，上述密码钥匙用于对电脑上的本地数据进行加解密时，通过将电脑上的本地数据传输到下位机后在下位机中进行。

5.根据权利要求4所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，本地数据加密前，首先进行初始化，即将COS代码分成两个通道，智能密码钥匙通道和本地数据加密通道，加密过程在本地数据加密通道中进行，然后输入口令验证获得该本地数据加密通道的使用权，取得选择文件的大小和路径，将文件大小存放在文件最前端，加密过程数据是以184KB大小为块进行传输，设备每包最多传8KB数据，最后传输到下位机并在下位机中进行加密。

6.根据权利要求5所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，所述加密过程为：先读取加密芯片硬件生成的随机数，用rsa公钥加密随机数作为数字信封，存放到加密缓冲区，作为文件的最前端；同时提取接收数据的最前端两字节，判断文件的大小，如果大于184KB则以184KB为单位进行加密处理，否则以实际文件大小进行加密处理；加密处理是先读取加密芯片硬件生成的随机数作为加密密码，通过硬件加密模块以对称加密算法SM4将接收到的明文加密成密文；将加密后的数据也存放到加密缓冲区，放到数字信封的后边，组成最终的加密文件，并根据上位机加密文件存储路径存储上传到上位机。

7.根据权利要求6所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，所述密钥对是在key内部通过GenRSAKey函数利用芯片的相应引擎生成的一对RSA密钥对。

8.根据权利要求3所述的一种带本地数据加密功能的智能密码钥匙，其特征在于，所述解密过程为：解密过程是输入口令验证获得本地数据加密通道使用权后，先提取加密文件的前端内容即数字信封，用key内的RSA私钥解密出随机数，判断文件大小，如果大于184KB，则以184KB大小为单位否则以实际文件大小，用以随机数为解密密码通过加密芯片用SM4算法解密出原文，上传到上位机并根据上位机解密文件存储路径存储，从而完成对电脑本地数据的硬件加解密过程。