[发明专利]一种基于硬件物理隔离的数据转储装置

说明书

本发明公开一种基于硬件物理隔离的数据转储装置，通过将两颗不同的ARM芯片与FPGA芯片相结合的方式，通过硬件上实现明文区和密文区的隔离，可对移动存储设备中的数据加密上传至PC机或者将PC机数据解密存放至移动存储设备中，通过在FPGA芯片中实现对称密码算法，控制对传输的数据进行加密或者解密，保护数据在传输过程中的安全。通过软件自动控制，使得数据加解密传输过程简单可控。本方面对比传统的USB hub，具有更高的安全性，在涉密应用领域具有良好的应用前景。

技术领域

本发明涉及数据安全传输领域，具体是一种基于硬件物理隔离的数据转储装置。

背景技术

在一些特殊的应用场景中，敏感数据资料需要通过互联网进行密文传输，同时不允许以明文的形式出现在PC机中，以防止木马等计算机病毒窃取涉密数据，因此也就无法通过软件加解密工具对数据资料进行加解密。

发明内容

本发明要解决的技术问题是提供一种基于硬件物理隔离的数据转储装置，通过本装置将移动存储设备中的数据加密上传至PC机中，也可从PC机中将加密后的数据解密存放至移动存储设备中。本装置采用基于硬件的物理隔离，明文区处理明文数据，密文区处理密文数据，保证数据传输安全。

为了解决所述技术问题，本发明采用的技术方案是：一种基于硬件物理隔离的数据转储装置，包括明文处理区、密文处理区、连接在明文处理区和密文处理区之间用于隔离明文处理区和密文处理区的加解密处理区；明文处理区设置移动存储设备接口和明文传送模块，移动存储设备接口连接移动存储设备，明文传送模块通过GPIO接口与加解密处理区相连；加解密处理区包括加解密模块和密钥管理模块，密文处理区包括密文传送模块和PC数据通讯USB模块，加解密模块通过FSMC挂接密文处理区，密文处理区通过PC数据通讯USB模块与目标PC机进行数据交互；

数据加密上传时，运行于明文处理区的伺服程序自动遍历接入到转储装置的移动存储设备中的所有文件，通过明文传送模块将移动存储设备中的文件传送至加解密处理区，加解密处理区将数据加密，加密后的数据通过密文处理区上传并保存至目标PC机；

数据解密下载时，运行于目标PC机的服务软件读取密文文件并将密文文件发送至密文处理区，密文处理区接收密文数据并将其发送至加解密处理区，加解密处理区解析密钥ID并从密钥存储介质中读取解密密钥，将数据进行解密后发送至明文处理区，运行于明文处理区的伺服程序获取解密后的明文数据，通过移动存储设备接口发送至移动存储设备。

进一步的，密文处理区设置身份认证模块，身份认证模块基于数字证书实现安全身份认证。

进一步的，PC数据通讯USB模块为Type-C接口。

进一步的，移动存储设备接口包括USB3.0接口和TF卡接口。

进一步的，加解密处理区基于FPGA实现，明文处理区基于RK3399芯片实现，密文处理区基于STM32系列单片机实现。

进一步的，本数据转储装置配置密钥销毁按键，特殊情况下，长按销毁按键，运行于明文处理区中的伺服程序收到销毁指令后通知加解密处理区将密钥管理模块中存储的密钥销毁。

本发明的有益效果：本发明提供一种基于硬件物理隔离的数据转储装置，通过将两颗不同的ARM芯片（明文处理区和密文处理区）与FPGA芯片（加解密处理区）相结合的方式，通过硬件上实现明文区和密文区的隔离，可对移动存储设备中的数据加密上传至PC机或者将PC机数据解密存放至移动存储设备中，通过在FPGA芯片中实现对称密码算法，控制对传输的数据进行加密或者解密，保护数据在传输过程中的安全。通过软件自动控制，使得数据加解密传输过程简单可控。本方面对比传统的USB hub，具有更高的安全性，在涉密应用领域具有良好的应用前景。

附图说明

图1为本装置的原理框图；

图2为数据加密上传的流程图；

图3为数据解密下载的流程图。