[发明专利]一种电子标签数据处理方法

摘要

本发明提供了一种电子标签数据处理方法，该方法包括存储系统在合法接入上位机时在受控区域的出口部署RFID读写器，利用存储系统的RFID接口与外部射频读写装置相互鉴别，使系统只有在接入受控区域内的合法上位机的情况下才能进行读写，在系统被带出受控区域时删除存储的私钥；为每个用户生成一个文件加密私钥，用来对该用户的文件进行加解密。本发明提出的方法采用了RFID的处理，确保存储系统的授权使用、加密存储和可靠删除，从而能够严格控制存储系统的安全使用区域，降低信息外泄的风险。

主权项

一种电子标签数据处理方法，用于控制存储系统的安全使用区域，其特征在于，包括：存储系统在合法接入上位机时在受控区域的出口部署RFID读写器，利用存储系统的RFID接口与外部射频读写装置相互鉴别，保证系统只有在接入受控区域内的合法上位机的情况下才能进行读写，若系统被带出受控区域，存储的私钥将被删除；存储系统的私钥管理模块为每个用户生成一个文件加密私钥，用来对该用户的文件进行加解密；该方法进一步包括：当对访问所述存储系统的用户进行身份认证时，在用户身份认证通过后，发起对其文件的数据读写请求，通知存储系统的控制芯片进行安全范围认证，与部署在受控区域内的合法上位机上的RFID读写器进行双向鉴权，所述双向鉴权对称加密机制，首先RFID读写器产生一个挑战随机数RA并发送给存储系统，以发起认证请求；控制芯片只有在收到MCU的安全范围认证通知的情况下，才响应读写器的认证请求，生成另外一个随机数RB，然后利用系统ID、RA、RB和系统主私钥计算出TokenBA，并发送给RFID读写器；读写器一旦收到包含TokenBA的消息，则利用根私钥加密ID得到系统主私钥，从而将加密部分解密，得到明文后检验ID的正确性，并比较解密得到的随机数是否与以上发送的挑战随机数一致，以验证TokenBA，验证通过后产生并向存储系统发送TokenAB，以激活系统；系统收到包含TokenAB的消息后，将加密部分解密，同时检验RA、RB和ID的正确性；若上述验证通过，则系统确定了自身接入了受控区域内的合法上位机，于是执行激活命令，系统进入激活状态；在数据读写过程中，控制芯片返回上述安全范围认证的结果，若认证失败，则拒绝用户的数据读写请求，并提示当前环境下不允许使用该存储系统；若认证成功，进行后续的访问控制和文件读写，具体过程如下：当用户请求操作某文件时，将用户的操作等级与其对文件的访问权限进行比较，根据访问控制策略做出判断，允许或拒绝当前操作；若操作符合访问权限规定，向控制芯片请求该用户的文件加密私钥，并按照用户的要求进行文件的读写，当执行的是文件数据读取操作时，首先从闪存中获取密文数据，然后对数据进行解密并向上位机返回用户请求的明文文件；当执行的是文件数据写入功能时，首先利用私钥对数据进行加密，然后将密文数据写入NAND闪存，控制芯片每次提供文件加密私钥之后，会将系统状态设置为锁定，下一次读写操作时重新进行安全范围认证。