CN115952543A - Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质 - Google Patents
Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质 Download PDFInfo
- Publication number
- CN115952543A CN115952543A CN202211740868.6A CN202211740868A CN115952543A CN 115952543 A CN115952543 A CN 115952543A CN 202211740868 A CN202211740868 A CN 202211740868A CN 115952543 A CN115952543 A CN 115952543A
- Authority
- CN
- China
- Prior art keywords
- user
- module
- pcie
- hard disk
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Storage Device Security (AREA)
Abstract
本申请公开了一种PCIE加密卡、管理应用系统、硬盘读写方法、设备及介质,涉及计算机技术领域,包括:设置于第一物理功能通道的数据读取模块,用于读写通过预设硬盘扩展接口连接的硬盘中存储的数据并利用预设存储密钥进行加解密操作;设置于第二物理功能通道的密码模块和用户模块,所述密码模块用于生成所述预设存储密钥并对预设USB接口接入的设备进行完整性度量以执行可信认证操作,所述用户模块用于执行用户注册和用户登录程序并管理用户权限。本申请通过提供一种支持可信存储扩展的PCIE加密卡,使用户可以使用可信计算技术构建安全、可靠的计算机平台,通过加密技术保存核心数据,还可以通过屏蔽硬盘对系统标准命令的响应来防止木马或病毒的侵袭。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种PCIE加密卡、管理应用系统、硬盘读写方法、设备及介质。
背景技术
随着互联网、云计算技术的快速发展,信息技术改变着人们工作和生活的方方面面,信息已经成为新兴重要资产类型,信息安全也被越来越多的个人、公司以及研究机构所重视。如不采用合适的安全措施,那么由于被恶意窜改、盗取而带来的机密信息泄漏和丢失会造成巨大的损失,因此使用可信技术为用户构建一个可以预期的计算机环境、对机密文件的加密需求非常迫切。可信计算技术由国际TCG组织提出和推广,可以加强各种计算设备的安全和可信。对于传统桌面计算机,国内使用国家密码管理局规范化的TCM(TrustedCryptography Module,即可信密码模块)技术来构建平台可信。TCM可信密码模块具备密码运算器和受保护的存储器,内嵌国家密码管理局标准算法,使用内嵌的加密算法可以实现高效、安全的数据加解密服务。
然而,信息安全问题的重点其实是针对专有数据加以保护,尤其是用户处理的机密核心数据。硬盘作为当前存储数据的最重要载体,里面的数据一旦被非法用户窃取就会对用户造成巨大的损失,而现有的硬盘要么没有加密,要么使用专用加密软件进行加密,亦或是硬件加密但存储设备对系统是可见的,木马或者病毒仍然可以访问。总之,只要非法用户对操作系统或加密软件很熟悉的话,就能轻松找到加密密钥并加以破解,进而很容易就能获取硬盘中的数据。
发明内容
有鉴于此,本发明的目的在于提供一种PCIE加密卡、管理应用系统、硬盘读写方法、设备及介质,能够提供一种支持可信存储扩展的PCIE加密卡,使用可信计算技术控制硬盘数据以保障信息安全。其具体方案如下:
第一方面,本申请公开了一种PCIE加密卡,包括:
设置于第一物理功能通道的数据读取模块,用于读写通过预设硬盘扩展接口连接的硬盘中存储的数据并利用预设存储密钥进行加解密操作;
设置于第二物理功能通道的密码模块和用户模块,所述密码模块用于生成所述预设存储密钥并对预设USB接口接入的设备进行完整性度量以执行可信认证操作,所述用户模块用于执行用户注册和用户登录程序并管理用户权限。
可选的,所述预设硬盘扩展接口设置于所述第一物理功能通道,用于外接所述硬盘以便读写所述硬盘中存储的数据。
可选的,所述预设USB接口设置于所述第二物理功能通道,用于连接UKEY设备并对所述UKEY设备进行身份认证操作,以便所述用户模块通过UKEY登录方式进行用户登录操作。
可选的,所述PCIE加密卡,还包括:
设置于所述第二物理功能通道的闪存模块,用于存储所述密码模块生成的所述预设存储密钥以及所述用户模块的用户信息数据。
第二方面,本申请公开了一种管理应用系统,包括:
设备管理模块,用于对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作;
注册管理模块,用于利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;
登录管理模块,用于在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作;
存储管理模块,用于当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
可选的,所述注册管理模块,包括:
第一注册管理单元,用于利用输入的待注册用户信息进行杂凑运算操作并直接将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;
和/或,第二注册管理单元,用于获取输入的待注册用户信息并利用预设加密技术生成联合密钥对,然后对所述联合密钥对中的联合私钥进行杂凑运算操作并将包括所述待注册用户参数和所述联合私钥的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作。
可选的,所述管理应用系统,还包括:
用户管理模块,用于管理所述PCIE加密卡的闪存模块中存储的用户信息数据并管理用户权限。
第三方面,本申请公开了一种硬盘数据读写方法,包括:
对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作;
利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;
在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作;
当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
第四方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现前述的硬盘数据读写方法。
第五方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的硬盘数据读写方法。
可见,本申请提供了一种PCIE加密卡包含设置于第一物理功能通道的数据读取模块,用于读写通过预设硬盘扩展接口连接的硬盘中存储的数据并利用预设存储密钥进行加解密操作;设置于第二物理功能通道的密码模块和用户模块,所述密码模块用于生成所述预设存储密钥并对预设USB接口接入的设备进行完整性度量以执行可信认证操作,所述用户模块用于执行用户注册和用户登录程序并管理用户权限。由此可知,本申请通过外接存储硬盘并控制所述硬盘对系统不可见,可以为更多、更大、更快的文件存储提供可能,还可以防止木马或病毒的侵袭,并且通过增加预设USB接口可以使外接USB设备进行登录操作,为PCIE加密卡的访问控制提供了更多的选择。
本申请还提供了一种管理应用系统以及相应的硬盘数据读写方法,包括设备管理模块,用于对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作;注册管理模块,用于利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;登录管理模块,用于在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作;存储管理模块,用于当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。由此可知,本申请基于所述PCIE加密卡还提供了配套使用的系统和方法,并且通过可信认证技术使用户利用所述管理应用系统构建自己的可信平台,大大提升用户的体验感。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种PCIE加密卡结构示意图;
图2为本申请公开的一种可信认证操作流程图;
图3为本申请公开的一种管理应用系统结构示意图;
图4为本申请公开的一种用户注册操作流程图;
图5为本申请公开的一种用户登录操作流程图;
图6为本申请公开的一种文件读写操作流程图;
图7为本申请公开的一种硬盘数据读写方法流程图;
图8为本申请公开的一种电子设备结构图。
图中各标记说明如下:1为数据读取模块;2为密码模块;3为用户模块;4为闪存模块;5为硬盘扩展接口;6为USB接口。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
硬盘作为当前存储数据的最重要载体,里面的数据一旦被非法用户窃取就会对用户造成巨大的损失,而现有的硬盘要么没有加密,要么使用专用加密软件进行加密,亦或是硬件加密但存储设备对系统是可见的,木马或者病毒仍然可以访问。总之,只要非法用户对操作系统或加密软件很熟悉的话,就能轻松找到加密密钥并加以破解,进而很容易就能获取硬盘中的数据。
参见图1所示,本申请实施例公开了一种PCIE加密卡,所述PCIE(peripheralcomponent interconnect express,即高速串行计算机扩展总线标准)加密卡包括设置于第一物理功能通道的数据读取模块1,用于读写通过预设硬盘扩展接口5连接的硬盘中存储的数据并利用预设存储密钥进行加解密操作和设置于第二物理功能通道的密码模块2和用户模块3,所述密码模块用于生成所述预设存储密钥并对预设USB(Universal Serial Bus,即通用串行总线)接口6接入的设备进行完整性度量以执行可信认证操作,所述用户模块用于执行用户注册和用户登录程序并管理用户权限。其中所述第一物理功能通道和所述第二物理功能通道是通过PCIE接口模块实现的,所述PCIE接口模块负责与宿主机进行通信,并且实现了两个物理功能(PF,Physical Function)即第一物理功能和第二物理功能,使用所述第二物理功能通道中的所述用户模块3来完成用户登录等身份认证操作,所述第一物理功能通道只允许通过所述身份认证操作的用户才有权利用所述数据读取模块1对硬盘中的数据进行访问和读写操作,同时所述第一物理功能通道也会利用所述第二功能通道中所述密码模块2的加密技术生成的所述预设存储密钥对所述硬盘中的存储数据进行门卫式加解密操作,以保证硬盘中所有的数据均为加密数据。需要指出的是,所述硬盘中的存储数据分为公共数据和用户私有数据。
本实施例中,所述PCIE加密卡中的所述数据读取模块1会接管所有通过预设硬盘扩展接口5连接的硬盘访问的数据,当向所述硬盘中写入数据时,所述数据读取模块1使用预设存储密钥自动完成数据加密,使保存在所述硬盘中的数据都是加密后的密文数据;当从所述硬盘中读取数据时,所述数据读取模块1会读取所述硬盘中的密文数据并使用所述预设存储密钥自动完成数据的解密操作以获得真实有效的原始数据,其中所述预设存储密钥包括公公共存储密钥和用户存储密钥,其中所述公共存储密钥是所述密码模块2生成的并为对称密钥,包括但不限于SM1密钥等,用于加密所述硬盘中存储的所述公共数据,而所述用户存储密钥不是所述密码模块2生成的,而是在相应的UKEY(小型存储设备)设备注册时生成的,可以理解的是,每个UKEY设备的用户存储密钥以及相应的用户私有数据不同。
本实施例中,所述PCIE加密卡中的所述密码模块2提供了对称算法、公钥算法、杂凑算法、随机数引擎、可信技术等功能,在所述密码模块2初始化时会利用对称算法生成所述公共存储密钥,以便用户通过PIN(Personal identification number,即个人身份识别码)码登录成功后,使用解密后的所述公共存储密钥对所述硬盘数据中的所述公共数据进行加解密处理;并且当所述PCIE加密卡检测到所述预设USB接口6有UKEY设备接入时,所述密码模块2可以对所述UKEY设备进行完整性度量操作以执行可信认证操作,所述可信认证操作具体流程参见图2所示,首先所述密码模块2等待USB中断,若是断开中断则记录UKEY设备已断开并重新等待,若是连接中断则进入USB的中断处理程序,并启动对所述UKEY设备进行完整性度量的验证操作,若验证失败,则记录所述UKEY设备为不可信状态并退出所述中断处理程序,若验证成功,则判断UKEY设备内的私钥分片是否存在,若所述私钥分片不存在,则记录所述UKEY设备为可信但未注册状态并退出所述中断处理程序,若所述私钥分片存在,则启动对所述私钥分片的完整性度量,若所述私钥分片的验证通过,则记录所述UKEY设备为可信状态并退出所述中断处理程序,若否则记录所述UKEY设备为不可信状态并退出所述中断处理程序,其中所述私钥分片是在注册UKEY登录用户时产生的。
本实施例中,所述PCIE加密卡中的所述用户模块3负责用户管理以及权限控制,并且在用户注册和登录操作中都需要利用到所述用户模块3。所述用户模块3中将用户分为管理员和普通用户两个类型,管理员为首个注册的用户,有且仅有一个,负责PCIE加密卡中的所有管理工作包括但不限于用户管理、设备管理和存储管理等;普通用户可以有很多个,但必须由所述管理员指定创建。并且针对不同安全需求,所述用户模块3还提供了PIN码登录和UKEY登录两种登录方式,使用PIN码登录方式时用户只需在所述管理应用系统上键入用户名和密码,验证成功即完成登录;而UKEY作为用户的身份认证硬件标识设备已经成为普通采用的安全访问控制方式,UKEY登录可以比PIN码登录更加安全,在使用UKEY登录方式时,需将UKEY设备插入所述PCIE加密卡的所述预设USB接口5,然后再键入UKEY的登录PIN码,验证成功后即完成登录。需要指出的是,在用户登录方式选择上,管理员只允许通过UKEY登录,而普通用户则可以选择PIN码登录或UKEY登录中的一种或两种,具体可以在管理员添加用户时或者修改用户信息时指定。并且通过PIN码登录认证后访问的是所述硬盘中的公共数据,而通过UKEY登录认证后访问的是所述硬盘中相应的用户私有数据,可以理解的是,不同用户的所述用户私有数据不同。
本实施例中,所述预设硬盘扩展接口5设置于所述第一物理功能通道,用于外接更大容量的所述硬盘以便读写所述硬盘中存储的数据。需要指出的是,外接的所述硬盘对操作系统不可见,并且所述硬盘中所有的存储数据都使用了对称密钥加密保存,用户只能通过管理应用系统发送私有命令进行访问以读写所述硬盘中存储的数据,这样一来,通过屏蔽硬盘对操作系统标准指令的响应,可以有效防止木马或病毒的侵袭,并且使用密钥对硬盘中的数据进行存储,可以保证硬盘数据的安全性。
本实施例中,所述预设USB接口6设置于所述第二物理功能通道,用于连接UKEY设备并对所述UKEY设备进行身份认证操作,以便所述用户模块通过UKEY登录方式进行用户登录操作,为PCIE加密卡的访问控制提供了更多的选择。
本实施例中,所述PCIE加密卡还包括设置于所述第二物理功能通道的闪存模块4,用于存储所述密码模块生成的所述预设存储密钥以及所述用户模块的用户信息数据。得到了所述预设存储密钥后,将所述预设存储密钥加密存储于所述闪存模块4中,并且在用户注册完成后,也会将相应的用户信息数据存储于所述闪存模块4中。需要指出的是,所述公共存储密钥利用统一的密钥加密存储于所述闪存模块4中,所述用户存储密钥利用各自对应的通过门限加密技术得到的联合公钥加密存储于所述闪存模块4中,并且在所述闪存模块4中,每个用户信息数据均与对应的用户存储密钥一一绑定。
可见,本申请提供了一种PCIE加密卡包含设置于第一物理功能通道的数据读取模块,用于读写通过预设硬盘扩展接口连接的硬盘中存储的数据并利用预设存储密钥进行加解密操作;设置于第二物理功能通道的密码模块和用户模块,所述密码模块用于生成所述预设存储密钥并对预设USB接口接入的设备进行完整性度量以执行可信认证操作,所述用户模块用于执行用户注册和用户登录程序并管理用户权限。由此可知,本申请通过外接存储硬盘并控制所述硬盘对系统不可见,可以为更多、更大、更快的文件存储提供可能,还可以防止木马或病毒的侵袭,并且通过增加预设USB接口可以使外接USB设备进行登录操作,为PCIE加密卡的访问控制提供了更多的选择。
由于PCIE加密卡的预设硬盘扩展接口接入的硬盘对系统不可见,所以无法如普通硬盘一样直接利用系统自带文件系统进行管理,为了便于用户对所述硬盘中的文件进行管理,参见图3所述,本申请实施例公开了一种管理应用系统,包括:设备管理模块11、注册管理模块12、登录管理模块13以及存储管理模块14,并且在用户终端层面,本申请还实现了密码访问模块和存储访问模块,其中所述密码访问模块与所述第二物理功能通道交互,具体为一个系统端的动态库文件,该动态库实现了TCM(GM/T 0011-2012Trusted computing–Functionality and interface specification of cryptographic support platform)标准接口和其他自定义接口,所述存储访问模块与第一物理功能通道交互,也是一个系统端的动态库文件,实现了访问外接硬盘所需的如文件枚举、创建、删除、读、写等系列接口。所述管理应用系统基于所述密码访问模块和所述存储访问模块并通过友好的用户界面为用户提供存储管理、设备管理以及用户管理等功能服务。
设备管理模块11,用于对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作。
本实施例中,所述设备管理模块11的主要功能包括初始化、管理可信固件、固件升级和一键销毁,并且只有管理员可以使用该模块。首先管理员可以通过点击所述管理应用系统中的预设初始化按钮,对所述PCIE加密卡中的各功能模块及管理信息进行初始化操作,所述PCIE加密卡中的PCIE接口在接收到所述初始化请求后开始执行所述初始化操作,所述密码模块在所示初始化操作中生成公共存储密钥,所述公共存储密钥用于加解密利用预设硬盘扩展接口连接的硬盘中存储的公共数据,并且在所述USB接口设备接入UKEY设备时通过所述密码模块对所述UKEY设备进行完整性度量以执行可信认证操作。需要指出的是,管理员可以随时点击所述预设初始化按钮,点击之后将执行上述的初始化操作,并且所述公共存储密钥也将重新生成并改变。
本实施例中,所述设备管理模块11可以管理可信UKEY设备,在一种具体的实施例中,若当前的应用环境使用公网时,管理员可以将全部的可信UKEY设备的哈希值通过所述设备管理模块11添加至所述PCIE加密卡中,以便所述密码模块利用所述哈希值对UKEY设备进行可信认证操作,这样一来,用户可以直接选择需要连接的目标UKEY设备进行连接,更加便于对UKEY设备进行统一化管理;在另一种具体的实施例中,若当前的应用环境不使用公网,则可以只添加本地的UKEY设备的哈希值,以便所述密码模块利用所述哈希值对本地的所述UKEY设备进行可信认证操作,此模块可以基于具体的应用场景进行配置,并且可以理解的是,上述操作除了添加还可以将不需要或者不可信的UKEY设备进行删除操作。所述设备管理模块11中的固件升级功能,可以对所述PCIE加密卡和UKEY设备中的已有功能进行修复、更新,不断地巩固和提升设备的安全可信性,以提高用户体验。所述设备管理模块11中还可以实现一键销毁功能,即删除所述PCIE加密卡中的闪存模块中保存的所有预设存储密钥以及所有用户信息数据。
注册管理模块12,用于利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作。
本实施例中,所述注册管理模块12主要利用所述PEIC加密卡中的用户模块实现用户注册的过程,由于登录方式分为PIN码登录和UKEY登录两种,所以注册方式也包括PIN码注册和UKEY注册两种。首先在所述管理应用系统中的注册管理模块12中输入用户名和PIN码,并选择用户登录方式,可以选择PIN码登录和UKEY登录中的一种或两种,可以理解的是,若选择两种,则两种登录方式的用户名和PIN码均相同,可以通过登录管理模块13中选择某一方式进行登录。
在一些具体的实施例中,所述注册管理模块12,具体可以包括第一注册管理单元,用于利用输入的待注册用户信息进行杂凑运算操作并直接将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作,即PIN码注册。所述管理应用系统的第一注册管理单元获取到输入的所述用户名和所述PIN码即所述待注册用户信息之后,将所述PIN码进行杂凑运算以得到所述PIN码的哈希值,然后将包含所述用户名、所述PIN码和所述哈希值的所述注册信息通过第二物理功能通道发送至所述PCIE加密卡中的所述用户模块中,所述用户模块根据所述用户名判断所述用户是否已经注册,若是则返回相应的错误信息,若未注册,则接着判断所述用户是否支持PIN码登录,若是,则保存所述用户名、所述PIN码、所述哈希值以及登录方式至所述PCIE加密卡中的闪存模块中,至此完成PIN码注册。
在另一些具体的实施例中,所述注册管理模块12,具体可以包括第二注册管理单元,用于获取输入的待注册用户信息并利用预设加密技术生成联合密钥对,然后对所述联合密钥对中的联合私钥进行杂凑运算操作并将包括所述待注册用户参数和所述联合私钥的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作,即UKEY注册。所述管理应用系统的第二注册管理单元获取到输入的所述用户名和所述PIN码后,将所述PIN码进行杂凑运算以得到所述PIN码的哈希值,然后将包含所述用户名、所述PIN码和所述哈希值的所述注册信息通过第二物理功能通道发送至所述PCIE加密卡中的所述用户模块中,所述用户模块判断所述用户是否支持UKEY登录,若是,则使用门限加密技术计算出所述UKEY设备的联合公钥和两个私钥分片,将其中一个私钥分片保存至所述UKEY设备中,接着计算所述私钥分片的哈希值,并将所述哈希值、另一个私钥分片、所述UKEY设备序列号以及登录方式保存至所述PCIE加密卡中的所述闪存模块中,需要指出的是,上述步骤中提供的是仅执行UKEY注册的操作步骤。进一步的,由于PIN码注册和UKEY注册中计算PIN码哈希值的步骤一致,则PIN码注册和UKEY注册可以同时存在,即先执行PIN码注册,在PIN码注册完成后,接着判断该用户是否支持UKEY登录,以开始执行UKEY注册。参见图4所示为用户注册的流程图。
需要指出的是,利用门限加密计算得到的所述联合公钥可以对用户在所述硬盘中存储的相应用户私有数据进行加解密操作的用户存储密钥进行加密,并且利用所述联合公钥加密后的所述用户存储密钥保存在所述PCIE加密卡中的闪存模块中,与相应的用户绑定,所述用户存储密钥的作用与读写公共数据时利用公共存储密钥进行加解密一致,但由于用户私有数据属于用户隐私,所以不能使用所述公共存储密钥,每个UKEY设备都有各自的用户存储密钥用于读写相应的用户私有数据,可以更好的保证用户的隐私,保障数据的安全。并且一个私钥分片由PCIE加密卡持有,仅供管理员使用,另一个私钥分片由登录的UKEY设备持有,只要获取两个参与者中任何一个私钥分片即可完成对所述用户存储密钥的解密操作,这样一来,当登录UKEY设备损坏或丢失时,管理员可以根据用户名恢复相应的用户存储密钥,可以避免因为登录UKEY设备中的私钥分片损坏或丢失导致所述用户存储密钥不可用,并且用户私有数据因为各自的所述用户存储密钥不同,加密所述用户存储密钥的联合密钥也不同所以相互之间不能访问,但由于管理员可以访问所有用户的另一份私钥分片,因此管理员可通过这些私钥分片解密出用户存储密钥即可以访问硬盘中的所有文件数据,这样更加便于管理员进行存储管理。
登录管理模块13,用于在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作。
本实施例中,在所述用户注册操作执行完成后,可以利用所述登录管理模块13通过所述PCIE加密卡中的所述用户模块执行用户登录操作。由于登录操作包括PIN码登录和UKEY登录方式两种,所以用户可以先在所述管理应用系统中选择登录方式。
参见图5所示,若选择PIN码登录,则首先需要输入用户名和PIN码,并将所述用户名、所述PIN码、当前登录方式以及随机数生成请求通过所述第二物理功能通道发送至所述PCIE加密卡,所述PCIE加密卡判断所述当前登录方式为PIN码登录后通过所述密码模块中的随机数引擎生成随机数后通过所述第二物理功能通道返回至所述管理应用系统,系统获取所述随机数后,计算所述随机数以及所述PIN码对应的第一哈希值,并将包括所述第一哈希值、所述用户名和所述当前登录方式的待登录用户信息发送至所述PCIE加密卡中的所述用户模块,所述用户模块首先根据所述用户名判断是否完成注册,若所述用户名未注册则返回相应的错误信息,若已完成注册,则所述用户模块利用所述密码模块生成的所述随机数和所述PIN码计算得到相应的第二哈希值,并比对所述第一哈希值与所述第二哈希值是否一致,若不一致则返回相应的错误信息并结束登录,若一致,则解密存储在所述闪存模块中加密的所述公共存储密钥,并将所述公共存储密钥保存在所述PCIE加密卡SRAM(StaticRandom-Access Memory,即静态随机存取存储器)中以备后续硬盘存储数据进行加解密时使用。
本实施例中,若选择UKEY登录,则首先需要输入所述UKEY设备相应的登录PIN码,并将所述PIN码、当前登录方式和随机数生成请求通过所述第二物理功能通道发送至所述PCIE加密卡,所述PCIE加密卡判断所述当前登录方式为UKEY登录后,将所述随机数生成请求发送至相应的所述UKEY设备中,以便所述UKEY设备生成随机数后返回至所述PCIE加密卡,所述PCIE加密卡通过所述第二物理功能通道将所述随机数返回至所述管理应用系统,接着系统获取所述随机数后,计算所述随机数以及所述PIN码对应的第一哈希值,并将包括所述第一哈希值和所述当前登录方式的待登录用户信息发送至所述PCIE加密卡中的所述用户模块,所述用户模块将所述第一哈希值发送至所述UKEY设备中,所述UKEY设备使用自身产生的随机数以及所述PIN码计算得到第二哈希值,并于所述第一哈希值进行比对,若不一致则返回相应错误信息并结束本次登录,若一致,则读取所述UKEY设备内部的私钥分片并返回至所述PCIE加密卡中,所述PCIE加密卡利用所述私钥分片使用门限加密技术计算得到私钥,并利用所述私钥解密得到用户存储密钥,并将所述用户存储密钥保存在PCIE加密卡SRAM中以备后续数据加解密使用。
存储管理模块14,用于当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
本实施例中,当登录操作执行成功后,用户可以通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。在所述存储管理模块14中,包括文件系统模块和文件浏览器模块,文件系统模块负责文件系统功能实现并提供统一的API(Application ProgrammingInterface,即应用程序编程接口)访问接口,而文件浏览器模块利用文件系统模块提供的API访问接口实现如系统文件浏览器一样的终端界面,这样用户既能清晰地看见所述硬盘里的文件数据,也能轻松完成新建、复制、剪切、删除、重命名、属性查看等常见文件操作。需要指出的是,普通用户和管理员用户都可以使用所述存储管理模块14,但管理员除了可以管理所述硬盘中的所有数据之外,还可以选择文件系统模块支持的文件系统类型并完成文件系统格式化处理,而普通用户只能管理公共数据和自身的私有数据。
本实施例中,参见图6所示,当通过所述数据读取模块对所述硬盘进行读写此操作,所述管理应用系统的所述存储管理模块14发出文件读请求或文件写请求,所述请求会经过第一物理功能通道发送至所述数据读取模块,所述数据读取模块接收到所述请求后利用所述第二物理功能通道中的所述用户模块判断当前用户是否登录,若未登录则返回相应的错误信息,若已登录则判断当前操作为读操作还是写操作,若为写操作,则使用所述预设存储密钥对数据进行加密并将加密后的数据保存至所述硬盘中,若为读操作,则从所述硬盘中读取相应未解密数据并利用所述预设存储密钥对所述未解密数据进行解密以得到读取的明文数据,并将所述明文数据返回至所述管理应用系统中。
本实施例中,所述管理应用系统还可以包括:用户管理模块,用于管理所述PCIE加密卡的闪存模块中存储的用户信息数据并管理用户权限。所述用户管理模块实现了用户添加、禁用/激活、删除、PIN码修改、登录方式修改等功能,其中用户添加功能与用户注册类似,不再赘述;所述用户禁用功能主要是禁用用户的登录方式,若禁用PIN码登录,则所述用户将不能使用PIN码登录方式进行登录并无法访问公共数据,若禁用UKEY登录,则所述用户将不能使用UKEY方式进行登录并无法访问所述用户的私有数据,若两种登登录方式都被禁用,则所述用户将无法访问所述硬盘中的所有数据;所述用户激活与所述用户禁用相对应,即重新启用所述用户相应的登录方式,以恢复用户相应的数据访问权限;若用户被删除,则将所述PCIE加密卡中闪存模块保存的相应用户信息数据将被全部删除,同时所述硬盘中相应的用户私有数据也会被全部删除;PIN码修改即修改当前用户的PIN码,需要指出的是,上述的功能中,普通用户只能使用修改PIN码的功能,而管理员可以使用所述用户管理模块中所有的功能。
可见,本申请公开了一种管理应用系统,包括设备管理模块11、注册管理模块12、登录管理模块13以及存储管理模块14,利用密码访问模块和存储访问模块并配以友好的用户使用界面,实现了存储管理、设备管理以及用户管理等一系列功能服务,在防止木马或病毒侵袭的同时还可以方便用户进行文件、设备等一系列管理操作,可以极大提升用户体验。
参见图7所示,本申请实施例公开了一种硬盘数据读写方法,包括:
步骤S11:对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作。
本实施例中,首先用户可以通过管理应用系统中的预设初始化按钮对PCIE加密卡中的密码模块进行初始化操作,以便获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作。
步骤S12:利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作。
本实施例中,未注册用户可以向所述管理应用系统中输入的待注册用户信息包括用户名和PIN码,以便所述管理应用系统利用输入的所述待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作。
步骤S13:在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作。
本实施例中,在所述用户注册操作执行成功后,用户可以向所述管理应用系统中输入待登录用户信息即注册完成的用户名和PIN码,以便所述管理应用系统基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作。
步骤S14:当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
本实施例中,当登录操作执行成功时,用户可以利用所述管理应用系统访问硬盘中存储的数据,即通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
可见,本申请首先对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作;接着利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;然后在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作,最后当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。这样一来,本申请可以通过PCIE加密卡和管理应用系统实现对外接硬盘的读写操作,通过屏蔽硬盘对系统标准命令的响应防止木马或病毒地侵袭,并通过注册并登录用户设置用户权限以访问不同数据,并利用系统实现对硬盘的读写操作可以方便用户对硬盘数据进行个性化管理,极大提高用户体验。
进一步的,本申请实施例还公开了一种电子设备,图8是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图8为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的硬盘数据读写方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的硬盘数据读写方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的硬盘数据读写方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种PCIE加密卡,其特征在于,包括:
设置于第一物理功能通道的数据读取模块,用于读写通过预设硬盘扩展接口连接的硬盘中存储的数据并利用预设存储密钥进行加解密操作;
设置于第二物理功能通道的密码模块和用户模块,所述密码模块用于生成所述预设存储密钥并对预设USB接口接入的设备进行完整性度量以执行可信认证操作,所述用户模块用于执行用户注册和用户登录程序并管理用户权限。
2.根据权利要求1所述的PCIE加密卡,其特征在于,所述预设硬盘扩展接口设置于所述第一物理功能通道,用于外接所述硬盘以便读写所述硬盘中存储的数据。
3.根据权利要求1所述的PCIE加密卡,其特征在于,所述预设USB接口设置于所述第二物理功能通道,用于连接UKEY设备并对所述UKEY设备进行身份认证操作,以便所述用户模块通过UKEY登录方式进行用户登录操作。
4.根据权利要求1所述的PCIE加密卡,其特征在于,还包括:
设置于所述第二物理功能通道的闪存模块,用于存储所述密码模块生成的所述预设存储密钥以及所述用户模块的用户信息数据。
5.一种管理应用系统,其特征在于,包括:
设备管理模块,用于对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作;
注册管理模块,用于利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;
登录管理模块,用于在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作;
存储管理模块,用于当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
6.根据权利要求5所述的管理应用系统,其特征在于,所述注册管理模块,包括:
第一注册管理单元,用于利用输入的待注册用户信息进行杂凑运算操作并直接将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;
和/或,第二注册管理单元,用于获取输入的待注册用户信息并利用预设加密技术生成联合密钥对,然后对所述联合密钥对中的联合私钥进行杂凑运算操作并将包括所述待注册用户参数和所述联合私钥的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作。
7.根据权利要求5所述的管理应用系统,其特征在于,还包括:
用户管理模块,用于管理所述PCIE加密卡的闪存模块中存储的用户信息数据并管理用户权限。
8.一种硬盘数据读写方法,其特征在于,包括:
对PCIE加密卡中的密码模块进行初始化操作以获得所述密码模块在所述初始化操作中生成的预设存储密钥,并通过所述密码模块对预设USB接口接入的设备进行完整性度量以执行可信认证操作;
利用输入的待注册用户信息进行杂凑运算操作并将包括所述待注册用户参数的注册信息发送至所述PCIE加密卡中的用户模块以进行相应的用户注册操作;
在所述用户注册操作执行成功后获取输入的待登录用户信息,基于所述待登录用户信息确定登录参数并发送至所述PCIE加密卡中的所述用户模块以进行相应的用户登录操作;
当登录操作执行成功时,则通过所述PCIE加密卡中的数据读取模块并利用所述预设存储密钥对预设硬盘扩展接口接入的硬盘中存储的数据进行数据读写操作以及加解密操作。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求8所述的硬盘数据读写方法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求8所述的硬盘数据读写方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211740868.6A CN115952543A (zh) | 2022-12-30 | 2022-12-30 | Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211740868.6A CN115952543A (zh) | 2022-12-30 | 2022-12-30 | Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115952543A true CN115952543A (zh) | 2023-04-11 |
Family
ID=87290316
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211740868.6A Pending CN115952543A (zh) | 2022-12-30 | 2022-12-30 | Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115952543A (zh) |
-
2022
- 2022-12-30 CN CN202211740868.6A patent/CN115952543A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6480435B2 (ja) | モバイルデバイス管理型セキュリティのためのセキュリティ保護されたクライアントドライブマッピングおよびファイルストレージシステム | |
| JP6335280B2 (ja) | 企業システムにおけるユーザおよびデバイスの認証 | |
| US9473485B2 (en) | Secure single sign-on for a group of wrapped applications on a computing device and runtime credential sharing | |
| US9805210B2 (en) | Encryption-based data access management | |
| US9396325B2 (en) | Provisioning an app on a device and implementing a keystore | |
| JP6222592B2 (ja) | モバイルアプリケーション管理のためのモバイルアプリケーションのアイデンティティの検証 | |
| CN112513857A (zh) | 可信执行环境中的个性化密码安全访问控制 | |
| KR101522445B1 (ko) | 기밀 파일을 보호하기 위한 클라이언트 컴퓨터, 및 그 서버 컴퓨터, 및 그 방법 및 컴퓨터 프로그램 | |
| US10033743B2 (en) | Methods and systems for a portable data locker | |
| US7987357B2 (en) | Disabling remote logins without passwords | |
| CN112313652A (zh) | 用于经由嵌入式浏览器提供数据丢失防护的系统和方法 | |
| US20080184035A1 (en) | System and Method of Storage Device Data Encryption and Data Access | |
| US20080114990A1 (en) | Usable and secure portable storage | |
| EP3525127B1 (en) | System for blocking phishing or ransomware attack | |
| JP2011507414A (ja) | データの安全を保護するためのシステムおよび方法 | |
| US10164980B1 (en) | Method and apparatus for sharing data from a secured environment | |
| US20230132303A1 (en) | System for blocking a ransomware attack | |
| CN112292669A (zh) | 用于嵌入式浏览器的系统和方法 | |
| US20080034091A1 (en) | Portable computer accounts | |
| KR20200013013A (ko) | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 | |
| KR20060058546A (ko) | 데이터베이스 암호화 및 접근 제어 방법 및 장치 | |
| KR102554875B1 (ko) | 원격 업무 환경 제공 장치 및 방법 | |
| CN115952543A (zh) | Pcie加密卡、管理应用系统、硬盘读写方法、设备及介质 | |
| WO2022042746A1 (zh) | 密钥管理方法及装置 | |
| US20220092193A1 (en) | Encrypted file control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |