CN117113369A - 数据读写方法、装置、计算机设备及存储介质 - Google Patents
数据读写方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN117113369A CN117113369A CN202310912342.XA CN202310912342A CN117113369A CN 117113369 A CN117113369 A CN 117113369A CN 202310912342 A CN202310912342 A CN 202310912342A CN 117113369 A CN117113369 A CN 117113369A
- Authority
- CN
- China
- Prior art keywords
- partition
- data
- read
- encrypted
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 62
- 238000005192 partition Methods 0.000 claims abstract description 154
- 238000004891 communication Methods 0.000 claims abstract description 26
- 230000015654 memory Effects 0.000 claims description 27
- 238000012545 processing Methods 0.000 claims description 6
- 230000002708 enhancing effect Effects 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000001010 compromised effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 239000007787 solid Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数据安全技术领域,公开了数据读写方法、装置、计算机设备及存储介质,数据读写方法包括:当智能终端检测到密码钥匙的接入信号时,建立读写程序与密码钥匙的通信连接,以使读写程序通过通信连接对密码钥匙进行身份认证;当身份认证成功时,读写程序从密码钥匙中获取密钥信息,以及向存储介质发送解锁指令;存储介质在接收到解锁指令时,对与解锁指令对应的加密分区进行解锁操作,以及向读写程序发送解锁反馈信号;读写程序在接收到解锁反馈信号时,利用密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。本发明能够在操作系统层面上隐藏数据的存在和操作,进而增强数据的安全性和隐私性。
Description
技术领域
本发明涉及数据安全技术领域,具体涉及数据读写方法、装置、计算机设备及存储介质。
背景技术
随着信息技术的迅猛发展,智能终端扮演着日益重要的角色,并成为人们处理和存储大量敏感数据的主要工具。然而,数据安全问题也随之而来,非法用户通过窃取和篡改数据的风险日益增加。因此,保护智能终端中的数据安全性成为一项紧迫的任务。
在现有的数据安全技术中,分区加密是一种常见的方法,它通过对存储介质中的特定分区进行加密,保护数据不被未经授权的用户进行访问。然而,传统的分区加密技术存在以下问题:
1.传统的分区加密技术仅仅是对存储介质中的分区进行加密,但操作系统仍能够识别和访问这些加密分区。这就意味着非法用户可以通过绕过操作系统或利用操作系统的漏洞来获取加密分区中的数据,从而破坏数据的安全性。
2.传统分区加密技术需要合理管理加密密钥,包括密钥的生成、存储和分发等。然而,密钥的管理容易面临泄露、丢失或被攻击的风险,一旦密钥泄露,加密分区的数据就有可能被解密和访问。
因此,亟需一种数据读写方法和装置,能够有效保护数据的安全性和隐私性。
发明内容
有鉴于此,本发明提供了一种数据读写方法、装置、计算机设备及存储介质,以解决传统的分区加密技术存在的数据安全性低、密钥容易被泄露的问题。
第一方面,本发明提供了一种数据读写方法,包括:
当智能终端检测到密码钥匙的接入信号时,建立读写程序与所述密码钥匙的通信连接,以使所述读写程序通过所述通信连接对所述密码钥匙进行身份认证;
当身份认证成功时,所述读写程序从所述密码钥匙中获取密钥信息,以及向存储介质发送解锁指令;
所述存储介质在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号;
所述读写程序在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
在一种可选的实施方式中,所述方法还包括:
当所述读操作或者所述写操作完成后,所述读写程序向所述存储介质发送上锁指令,以使所述存储介质对与所述上锁指令对应的加密分区进行上锁操作。
在一种可选的实施方式中,所述对所述密码钥匙进行身份认证,包括:
判断所述密码钥匙是否在预设客户端注册过,并且所述密码钥匙的序列号是否属于预设序列号集合;所述预设序列号集合中包括多个预设序列号。
在一种可选的实施方式中,所述方法还包括:
如果所述密码钥匙在预设客户端注册过,并且所述密码钥匙的序列号属于所述预设序列号集合,则身份认证成功;
如果所述密码钥匙未在预设客户端注册过,或者所述密码钥匙的序列号不属于所述预设序列号集合,则身份认证失败。
在一种可选的实施方式中,所述解锁指令中包含目标加密分区的目标分区号;
对与所述解锁指令对应的加密分区进行解锁操作,包括:
从加密分区集合中确定出与所述目标分区号对应的目标加密分区,所述加密分区集合中包含多个加密分区;
将所述目标加密分区加载至虚拟分区表中,以使操作系统通过读取所述虚拟分区表展示目标加密分区内的加密数据。
在一种可选的实施方式中,将与所述上锁指令对应的加密分区进行上锁操作,包括:
对写操作处理后的解密数据进行加密处理得到第二加密数据;
对所述第二加密数据的所属分区进行上锁操作得到第二加密分区;
将所述第二加密区间从虚拟分区表转移至加密分区集合中。
在一种可选的实施方式中,所述方法还包括:
当所述智能终端检测到密码钥匙的接入信号被断开时,所述读写程序通过所述通信连接对所述密码钥匙进行二次身份认证;
如果所述二次身份认证成功,则对读操作或者写操作的解密数据进行加密处理得到第三加密数据;
对所述第三加密数据的所属分区进行上锁操作得到第三加密分区,以及将所述第三加密区间从虚拟分区表转移至加密分区集合中。
第二方面,本发明提供了一种数据读写装置,所述装置包括:密码钥匙、智能终端、读写程序和存储介质;
所述智能终端用于在检测到密码钥匙的接入信号时,建立所述读写程序与所述密码钥匙的通信连接;
所述读写程序用于通过所述通信连接对所述密码钥匙进行身份认证,以及在身份认证成功时从所述密码钥匙中获取密钥信息,以及向所述存储介质发送解锁指令;
所述存储介质用于在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号;
所述读写程序还用于在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的数据读写方法。
第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的数据读写方法。
技术效果:
1.与传统分区加密技术不同,本发明的数据读写方法能够使操作系统无法直接识别和读写存储介质中的数据。非法用户无法通过绕过操作系统或利用操作系统的漏洞来获取加密数据,提高了数据的安全性。
2.本发明引入了智能密码钥匙进行身份认证和数据加密。智能密码钥匙存储有加密密钥信息,确保了密钥的安全性和管理的可控性,减少了密钥管理的风险。
3.本发明中的读写程序,通过该程序实现对存储介质中数据的特殊读写方式。该读写程序的设计能够在操作系统层面上隐藏数据的存在和操作,进一步增强了数据的安全性和隐私性。
4.本发明中的密码钥匙预存有数据加密密钥存储信息,能够确保密钥的安全存储和管理。同时,与存储介质中的安全芯片进行通信,能够保证了密钥的安全传输和加密操作的完整性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的数据读写方法的流程示意图;
图2是根据本发明实施例的另一数据读写方法的流程示意图;
图3是根据本发明实施例的另一数据读写方法的流程示意图;
图4是根据本发明实施例的另一数据读写方法的流程示意图;
图5是根据本发明实施例的另一数据读写方法的流程示意图;
图6是根据本发明实施例的另一数据读写方法的流程示意图;
图7是根据本发明实施例的另一数据读写方法的流程示意图;
图8是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在现有的数据安全技术中,分区加密是一种常见的方法,它通过对存储介质中的特定分区进行加密,保护数据不被未经授权的用户进行访问。然而,传统的分区加密技术存在以下问题:
1.传统的分区加密技术仅仅是对存储介质中的分区进行加密,但操作系统仍能够识别和访问这些加密分区。这就意味着非法用户可以通过绕过操作系统或利用操作系统的漏洞来获取加密分区中的数据,从而破坏数据的安全性。
2.传统分区加密技术需要合理管理加密密钥,包括密钥的生成、存储和分发等。然而,密钥的管理容易面临泄露、丢失或被攻击的风险,一旦密钥泄露,加密分区的数据就有可能被解密和访问。
为了解决上述传统分区加密技术存在的劣势,本发明提出了一种基于智能密码钥匙的数据读写方法,该数据读写方法的创新点在于结合了密码钥匙和读写程序,使操作系统无法直接识别和读写存储介质中的数据。通过密码钥匙的身份认证和数据加密,有效保护了数据的安全性和隐私性。这一方案具有重要的应用前景,可广泛应用于各种需要保护敏感数据的领域,如金融、医疗和政府机构等。
根据本发明实施例,提供了一种数据读写方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种数据读写方法,图1是根据本发明实施例的数据读写方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,当智能终端检测到密码钥匙的接入信号时,建立读写程序与所述密码钥匙的通信连接,以使所述读写程序通过所述通信连接对所述密码钥匙进行身份认证。
具体地,智能终端为具有操作系统的嵌入式计算机设备,例如手机、电脑、VR/AR设备、智能家居等。读写程序一种在智能终端的操作系统上运行的程序,用于实现对存储介质中的数据进行读操作或者写操作。密码钥匙是一种配备有安全芯片和加密密钥存储信息的智能设备,用于用户身份认证和数据加密。
其中,密码钥匙具有以下功能:密码钥匙中内置硬件对称算法引擎,支持多种加密算法,算法性能突出、安全强度高,可应用于文件加密、VPN客户端等需要高速数据加解密的场合。可以支持SM2密码算法,支持SM2密钥对的生成并进行签名验证运算。私钥不可导出,确保用户信息不被泄露。智能密码钥匙通过设备的Hash运算功能实现数据完整性校验,支持的算法有SM3。用户经过身份认证后,可对内部密钥进行管理,包括密钥产生、密钥存储、密钥导入、密钥导出、密钥使用、密钥销毁等,密钥导出有严格的权限控制。通过分级用户管理实现权限分割,系统包括两种用户:管理员和操作员,管理员具有最高安全等级的管理权限,可以对操作员的口令进行重新设定和解锁。智能密码钥匙根据安全策略赋予管理员和操作员不同的访问权限,从而实现访问控制。使用口令验证功能对用户身份进行认证,保证用户身份的合法性。PIN+智能密码钥匙实现了双因子认证。支持内部认证和外部认证功能,确认计算机和智能密码钥匙两者的合法关系。可以对通信中的数据进行加密,实现通信保密性。
更具体地,当用户将密码钥匙插入智能终端的通用串行总线(Universal SerialBus,USB)时,智能终端的控制单元会根据检测到智能密码钥匙的接入信号,通过专有协议建立读写程序与智能密码钥匙的安全芯片之间的通信连接,用于认证用户身份。其用户身份的认证方法不做具体限定,可以根据实际情况进行设置。
步骤S102,当身份认证成功时,所述读写程序从所述密码钥匙中获取密钥信息,以及向存储介质发送解锁指令。
具体地,存储介质是一种用于存储数据的物理介质,例如硬盘、固态硬盘或闪存等。存储介质中包括一个或多个加密分区,用于存储加密的敏感数据。
具体地,当密码钥匙认证用户身份成功后,会将其认证成功结果返回给读写程序,读写程序会根据该认证成功结果从密码钥匙中获取到密钥信息,即加密密钥的存储信息;与此同时,读写程序还会根据该认证成功结果向存储介质的安全芯片下发解锁指令。当密码钥匙认证用户身份失败后,会将其认证失败结果回传给智能终端,以使智能终端对外发出告警信息。
步骤S103,所述存储介质在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号。
具体地,存储介质的控制单元在接收到读写程序发来的解锁指令后,会对与该解锁指令中的加密分区进行解锁操作;存储介质的控制单元还会在解锁操作执行完毕后向读写程序返回解锁反馈信号。
步骤S104,所述读写程序在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
具体地,当读写程序接收到存储介质的控制单元发送的解锁反馈信号时,会利用从密码钥匙中获取到的密钥信息对存储介质中解锁的加密区间内的加密数据进行解密操作;并利用读写程序对解锁操作得到的解密数据进行读数据操作或者写数据操作。
本实施例提供的数据读写方法,实现了基于智能密码钥匙的,操作系统不可识别的数据特殊读写方式。用户通过智能密码钥匙进行身份认证和数据加解密,专用读写程序在操作系统层面上隐藏了数据的存在和操作,确保了数据的安全性和隐私性。同时,加密密钥的存储和传输通过智能密码钥匙与存储介质中的安全芯片进行,保证了密钥的安全性和完整性。
在本实施例中提供了一种数据读写方法,图2是根据本发明实施例的数据读写方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,当智能终端检测到密码钥匙的接入信号时,建立读写程序与所述密码钥匙的通信连接,以使所述读写程序通过所述通信连接对所述密码钥匙进行身份认证。
具体地,上述步骤S201包括:
步骤S2011,判断所述密码钥匙是否在预设客户端注册过,并且所述密码钥匙的序列号是否属于预设序列号集合。
在上述步骤S2011中,密码钥匙必须是在预设客户端注册过的,该预设客户端是用户预先指定的,在此不做具体限定;通过判断密码钥匙是否在预设客户端注册过,能够有效防止非法用户的介入。所述预设序列号集合中包括多个预设序列号,该预设序列号是指预先认证成功的密码钥匙的唯一标识码,通过判断密码钥匙的序列号是否属于预设序列号集合,能够提高密钥的安全性,也进一步保护了敏感数据的隐私性和完整性。
步骤S202,当身份认证成功时,所述读写程序从所述密码钥匙中获取密钥信息,以及向存储介质发送解锁指令。
详细请参见图1所示实施例的步骤S102,在此不再赘述。
步骤S203,所述存储介质在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号。
详细请参见图1所示实施例的步骤S103,在此不再赘述。
步骤S204,所述读写程序在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
详细请参见图1所示实施例的步骤S104,在此不再赘述。
步骤S205,当所述读操作或者所述写操作完成后,所述读写程序向所述存储介质发送上锁指令,以使所述存储介质对与所述上锁指令对应的加密分区进行上锁操作。
在上述步骤S205中,当读数据操作或者写数据操作完成时,读写程序会向存储介质的控制单元发送上锁指令;存储介质的控制单元在接收到该上锁指令后会将与该上锁指令对应的加密分区进行上锁操作。这里的上锁指令与加密分区是一一对应的关系,通过一个上锁指令能够从加密分区集合中查询出对应的加密分区;上述加密分区集合中包含了多个用于存储加密数据的加密区间。
在一些优选的实施例中,如图3所示,步骤S2011之后,所述方法还包括:
步骤S2012,如果所述密码钥匙在预设客户端注册过,并且所述密码钥匙的序列号属于所述预设序列号集合,则身份认证成功。
具体地,当密钥钥匙在预先指定的客户端注册过,并且该密码钥匙的唯一标识码,即序列号,属于预设序列号集合中,则可以确定该用户身份认证成功。
步骤S2013,如果所述密码钥匙未在预设客户端注册过,或者所述密码钥匙的序列号不属于所述预设序列号集合,则身份认证失败。
具体地,当密码钥匙没有在预先指定的客户端注册过,或者该密码钥匙的序列号不在预设序列号集合中,则可以确定该用户身份认证失败。
在一些优选的实施例中,所述解锁指令中包含目标加密分区的目标分区号;如图4所示,上述步骤S103,包括:
步骤S1031,从加密分区集合中确定出与所述目标分区号对应的目标加密分区,所述加密分区集合中包含多个加密分区。
具体地,加密分区集合中的每个加密分区具有对应的分区号,当存储介质接收到由读写程序发送的解锁指令时,可以根据其解锁指令中的目标分区号,从加密分区集合中确定出与目标分区号对应的目标加密分区。这里的加密分区是指虚拟分区,相当于文件夹的映射,就是系统把硬盘里的一部分空间当做内存用,把暂时不用的数据存到这里去,要用时再读出来,就不用再到硬盘里去读取数据。
步骤S1032,将所述目标加密分区加载至虚拟分区表中,以使操作系统通过读取所述虚拟分区表展示目标加密分区内的加密数据。
具体地,虚拟分区表用于描述磁盘上的虚拟分区。如果磁盘上的虚拟分区表丢失,用户将无法读取磁盘数据并在其上写入新数据。
在一些优选的实施例中,如图5所示,上述步骤S205包括:
步骤S2051,对写操作处理后的解密数据进行加密处理得到第二加密数据;
步骤S2052,对所述第二加密数据的所属分区进行上锁操作得到第二加密分区;
步骤S2053,将所述第二加密区间从虚拟分区表转移至加密分区集合中。
在上述步骤S2051至步骤S2053中,当写数据操作完成后,读写程序会向存储介质的控制单元发送上锁指令(上锁指令中包含目标加密分区的目标分区号和对应的密钥信息),存储介质的控制单元会对与上锁指令对应的目标加密分区进行上锁操作。其上锁操作包括以下步骤:
首先,根据上锁指令中的目标分区号从加密分区集合中确定出与目标分区号的目标加密分区;其次,利用上锁指令中的密钥信息对其目标加密分区内写操作处理后的解密数据进行加密处理,得到第二加密数据;然后,对该目标加密分区进行上锁操作,得到第二加密分区;最后,将第二加密区间从虚拟分区表转移至加密分区集合中。
在一些优选的实施例中,如图6所示,所述方法还包括:
步骤a1,当所述智能终端检测到密码钥匙的接入信号被断开时,所述读写程序通过所述通信连接对所述密码钥匙进行二次身份认证;
步骤a2,如果所述二次身份认证成功,则对读操作或者写操作的解密数据进行加密处理得到第三加密数据;
步骤a3,对所述第三加密数据的所属分区进行上锁操作得到第三加密分区,以及将所述第三加密区间从虚拟分区表转移至加密分区集合中。
在上述步骤a1-步骤a2中,当用户从智能终端中拔出密码钥匙时,读写程序会通过专有协议对密码钥匙进行二次身份认证;当二次身份认证成功后会对当前写数据操作或者读数据操作的数据进行加密处理得到第三加密数据;并会对该第三加密数据所在的虚拟分区进行上锁操作,得到第三加密分区;最后将虚拟分区表内的第三加密分区转移至加密分区集合中。
本发明通过将加密后的虚拟分区由虚拟分区表转移至加密分区集合中,能够使智能终端的操作系统无法直接识别出加密分区的存在,保证了数据的隐私性。即使操作系统被入侵或被攻击,攻击者也无法直接访问和获取加密分区中的数据,增加了数据的安全性。
如图7所示,本发明还给出一个具体实施例,具体如下:
当用户在智能终端插入密码钥匙Ukey时,会通过密码钥匙中的安全SSD内置芯片通过密码协议进行身份认证;如果身份认证失败则不做操作;如果身份认证成功则硬盘控制器通过认证模块获取加密密钥;读写程序会调用安全芯片解锁存储数据,分区控制装置将隐藏分区信息加载到虚拟分区表,智能终端的操作系统会通过读取虚拟分区表将隐藏分区展示出来;
当用户将智能终端的密码钥匙拔出时,通过密码钥匙中的安全SSD内置芯片通过密码协议进行二次身份认证,如果二次身份认证失败则不做操作;如果二次身份认证成功,则利用读写程序通过安全芯片对存储数据进行加密,然后再利用分区控制装置将加密分区信息从虚拟分区表中删除,由此智能终端的操作系统无法读取到加密分区信息,实现分区信息隐藏的目的。
技术效果:
1.操作系统不可识别的数据特殊读写方式:本方案提供了一种创新的数据读写方式,通过特殊读写程序和智能密码钥匙的配合,使得操作系统无法直接识别加密分区的存在。这种读写方式在技术上绕过了操作系统的检测和干预,保护了数据的隐私性和安全性。
2.智能密码钥匙的身份认证:本方案引入了智能密码钥匙作为辅助认证设备,与安全SSD硬盘中的安全主控芯片进行身份认证。通过智能密码钥匙的插入和认证过程,确保只有经过授权的用户才能访问和操作数据,有效防止非法用户的入侵和数据窃取。
3.安全SSD硬盘的硬件级别加解密:本方案采用集成支持硬件级别加解密模块主控芯片的安全SSD硬盘,实现对数据的硬件级别加解密。这种硬件级别的加解密方式具有更高的安全性和效率,保护数据免受恶意攻击和非法访问。
4.完善的密钥管理机制:本方案通过智能密码钥匙预存储数据加密密钥存储信息,实现了安全的密钥管理。密钥存储在智能密码钥匙中,并通过专有协议与安全SSD硬盘中的安全主控芯片进行安全传输和存储,防止密钥泄露和被攻击的风险。
5.灵活控制数据访问权限:本方案提供了灵活的数据访问权限控制功能。用户可以通过专用客户端管理软件进行加密分区的解锁和关闭操作,根据需要控制数据的访问权限。这种灵活的控制方式提供了更加细粒度的数据管理和保护能力。
通过以上创新点,本方案在数据安全性、身份认证、密钥管理和数据访问权限控制等方面具有独特的优势,为智能终端的数据保护提供了一种新颖、可靠的解决方案。
在本实施例中还提供了一种数据读写装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种数据读写装置,包括密码钥匙、智能终端、读写程序和存储介质;
所述智能终端用于在检测到密码钥匙的接入信号时,建立所述读写程序与所述密码钥匙的通信连接;
所述读写程序用于通过所述通信连接对所述密码钥匙进行身份认证,以及在身份认证成功时从所述密码钥匙中获取密钥信息,以及向所述存储介质发送解锁指令;
所述存储介质用于在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号;
所述读写程序还用于在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
在一些可选的实施方式中,当所述读操作或者所述写操作完成后,所述读写程序还用于向所述存储介质发送上锁指令,以使所述存储介质对与所述上锁指令对应的加密分区进行上锁操作。
在一些可选的实施方式中,所述读写程序还用于判断所述密码钥匙是否在预设客户端注册过,并且所述密码钥匙的序列号是否属于预设序列号集合;所述预设序列号集合中包括多个预设序列号;如果所述密码钥匙在预设客户端注册过,并且所述密码钥匙的序列号属于所述预设序列号集合,则身份认证成功;如果所述密码钥匙未在预设客户端注册过,或者所述密码钥匙的序列号不属于所述预设序列号集合,则身份认证失败。
在一些可选的实施方式中,所述解锁指令中包含目标加密分区的目标分区号;所述存储介质还用于从加密分区集合中确定出与所述目标分区号对应的目标加密分区,所述加密分区集合中包含多个加密分区;将所述目标加密分区加载至虚拟分区表中,以使操作系统通过读取所述虚拟分区表展示目标加密分区内的加密数据。
在一些可选的实施方式中,所述存储介质还用于对写操作处理后的解密数据进行加密处理得到第二加密数据;对所述第二加密数据的所属分区进行上锁操作得到第二加密分区;将所述第二加密区间从虚拟分区表转移至加密分区集合中。
在一些可选的实施方式中,当所述智能终端检测到密码钥匙的接入信号被断开时,所述读写程序用于通过所述通信连接对所述密码钥匙进行二次身份认证;如果所述二次身份认证成功,则对读操作或者写操作的解密数据进行加密处理得到第三加密数据;对所述第三加密数据的所属分区进行上锁操作得到第三加密分区,以及将所述第三加密区间从虚拟分区表转移至加密分区集合中。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本装置具备的技术效果:
1.本方案基于智能密码钥匙和操作系统不可识别的数据特殊读写方式,将数据的安全性提升到一个更高的级别。通过智能密码钥匙进行身份认证和数据加解密,确保只有经过授权的用户才能访问和操作数据,有效防止非法用户获取敏感数据。
2.通过特殊读写方式,操作系统无法直接识别加密分区的存在,保护了数据的隐私性。即使操作系统被入侵或被攻击,攻击者也无法直接访问和获取加密分区中的数据,增加了数据的安全性。
3.本方案采用智能密码钥匙进行用户身份认证,智能密码钥匙与安全SSD硬盘中的安全主控芯片通过专有协议互相认证身份,确保只有合法用户才能进行数据操作。智能密码钥匙预存有数据加密密钥存储信息,避免了加密密钥的泄露和被攻击的风险。
4.本通过专用读写程序,用户可以进行数据的特殊读写操作。数据在读写过程中通过智能密码钥匙提供的加密密钥进行加解密,保证了数据的完整性和安全性。同时,用户可以根据需要对加密分区进行解锁和关闭,灵活控制数据的访问权限。
5.本方案中的加密密钥存储在智能密码钥匙中,通过智能密码钥匙与安全SSD硬盘中的安全主控芯片进行安全传输和存储,避免了密钥被恶意获取或泄露的风险。同时,加密密钥的存储和传输过程中采用专有协议,增加了密钥的安全性。
6.本方案采用M.2接口的安全SSD硬盘和智能密码钥匙,与智能终端兼容性良好。用户可以通过插入智能密码钥匙和使用专用读写程序来实现数据的安全读写,操作简便,不需要复杂的配置和设置。
通过以上优点,本方案为智能终端的数据安全提供了一种更加可靠和高效的解决方案,保护了用户的数据隐私和安全。
本发明实施例还提供一种计算机设备,具有上述数据读写装置。
请参阅图8,图8是本发明可选实施例提供的一种计算机设备的结构示意图,如图8所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图8中以一个处理器10为例。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,所述存储器20存储有可由至少一个处理器10执行的指令,以使所述至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (10)
1.一种数据读写方法,其特征在于,包括:
当智能终端检测到密码钥匙的接入信号时,建立读写程序与所述密码钥匙的通信连接,以使所述读写程序通过所述通信连接对所述密码钥匙进行身份认证;
当身份认证成功时,所述读写程序从所述密码钥匙中获取密钥信息,以及向存储介质发送解锁指令;
所述存储介质在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号;
所述读写程序在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述读操作或者所述写操作完成后,所述读写程序向所述存储介质发送上锁指令,以使所述存储介质对与所述上锁指令对应的加密分区进行上锁操作。
3.根据权利要求1或2所述的方法,其特征在于,所述对所述密码钥匙进行身份认证,包括:
判断所述密码钥匙是否在预设客户端注册过,并且所述密码钥匙的序列号是否属于预设序列号集合;所述预设序列号集合中包括多个预设序列号。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果所述密码钥匙在预设客户端注册过,并且所述密码钥匙的序列号属于所述预设序列号集合,则身份认证成功;
如果所述密码钥匙未在预设客户端注册过,或者所述密码钥匙的序列号不属于所述预设序列号集合,则身份认证失败。
5.根据权利要求1或2所述的方法,其特征在于,所述解锁指令中包含目标加密分区的目标分区号;
对与所述解锁指令对应的加密分区进行解锁操作,包括:
从加密分区集合中确定出与所述目标分区号对应的目标加密分区,所述加密分区集合中包含多个加密分区;
将所述目标加密分区加载至虚拟分区表中,以使操作系统通过读取所述虚拟分区表展示目标加密分区内的加密数据。
6.根据权利要求2所述的方法,其特征在于,将与所述上锁指令对应的加密分区进行上锁操作,包括:
对写操作处理后的解密数据进行加密处理得到第二加密数据;
对所述第二加密数据的所属分区进行上锁操作得到第二加密分区;
将所述第二加密区间从虚拟分区表转移至加密分区集合中。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述智能终端检测到密码钥匙的接入信号被断开时,所述读写程序通过所述通信连接对所述密码钥匙进行二次身份认证;
如果所述二次身份认证成功,则对读操作或者写操作的解密数据进行加密处理得到第三加密数据;
对所述第三加密数据的所属分区进行上锁操作得到第三加密分区,以及将所述第三加密区间从虚拟分区表转移至加密分区集合中。
8.一种数据读写装置,其特征在于,所述装置包括:密码钥匙、智能终端、读写程序和存储介质;
所述智能终端用于在检测到密码钥匙的接入信号时,建立所述读写程序与所述密码钥匙的通信连接;
所述读写程序用于通过所述通信连接对所述密码钥匙进行身份认证,以及在身份认证成功时从所述密码钥匙中获取密钥信息,以及向所述存储介质发送解锁指令;
所述存储介质用于在接收到所述解锁指令时,对与所述解锁指令对应的加密分区进行解锁操作,以及向所述读写程序发送解锁反馈信号;
所述读写程序还用于在接收到所述解锁反馈信号时,利用所述密钥信息对解锁后的加密分区内的加密数据进行解密操作,以及对解密数据进行读操作或者写操作。
9.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至7中任一项所述的数据读写方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的数据读写方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310912342.XA CN117113369A (zh) | 2023-07-20 | 2023-07-20 | 数据读写方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310912342.XA CN117113369A (zh) | 2023-07-20 | 2023-07-20 | 数据读写方法、装置、计算机设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117113369A true CN117113369A (zh) | 2023-11-24 |
Family
ID=88806451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310912342.XA Pending CN117113369A (zh) | 2023-07-20 | 2023-07-20 | 数据读写方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117113369A (zh) |
-
2023
- 2023-07-20 CN CN202310912342.XA patent/CN117113369A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7596704B2 (en) | Partition and recovery of a verifiable digital secret | |
TWI463349B (zh) | 於兩裝置間保護資料存取之方法及系統 | |
US9521132B2 (en) | Secure data storage | |
US9053313B2 (en) | Method and system for providing continued access to authentication and encryption services | |
CN107004083B (zh) | 设备密钥保护 | |
CN108615154B (zh) | 一种基于硬件加密保护的区块链数字签名系统及使用流程 | |
CN113545006A (zh) | 远程授权访问锁定的数据存储设备 | |
CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
EP3098745B1 (en) | Device key security | |
JP2006040307A (ja) | スマートカード | |
CN111815816B (zh) | 一种电子锁安全系统及其密钥分发方法 | |
JP2015504222A (ja) | データ保護方法及びシステム | |
CN111815814B (zh) | 一种电子锁安全系统及其绑定认证方法 | |
CN106575342A (zh) | 包括关系数据库的内核程序、以及用于执行所述程序的方法和装置 | |
CN101122942A (zh) | 数据安全读取方法及其安全存储装置 | |
CN111815812B (zh) | 一种电子锁第三方开锁控制方法和系统 | |
US20170026385A1 (en) | Method and system for proximity-based access control | |
CN111815817A (zh) | 一种门禁安全控制方法和系统 | |
JP2009526472A (ja) | 実時間鍵生成を含むデータ・セキュリティ | |
CN111815810A (zh) | 一种电子锁安全开锁方法和装置 | |
CN111815815A (zh) | 一种电子锁安全系统 | |
CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
CN109891823B (zh) | 用于凭证加密的方法、系统以及非暂态计算机可读介质 | |
CN110287725B (zh) | 一种设备及其权限控制方法、计算机可读存储介质 | |
CN115310136B (zh) | 基于sata桥接芯片的数据安全保障方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |