CN1266617C - 一种计算机数据保护方法 - Google Patents
一种计算机数据保护方法 Download PDFInfo
- Publication number
- CN1266617C CN1266617C CN 03136320 CN03136320A CN1266617C CN 1266617 C CN1266617 C CN 1266617C CN 03136320 CN03136320 CN 03136320 CN 03136320 A CN03136320 A CN 03136320A CN 1266617 C CN1266617 C CN 1266617C
- Authority
- CN
- China
- Prior art keywords
- virtual disk
- key
- safety chip
- computer
- computer data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机数据保护方法,包括以下步骤:A、预先在计算机上安装一个安全芯片;B、在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘,并使用安全芯片生成密钥加密虚拟磁盘;C、在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时,根据所述密钥解密虚拟磁盘,然后对虚拟磁盘进行计算机数据读写操作。应用本发明的计算机数据保护方法,计算机数据可得到更安全、更方便的保护。
Description
技术领域
本发明涉及计算机信息安全技术领域,特别是指一种计算机数据保护方法。
背景技术
数据加密是保护计算机数据安全的一个重要方法,通常个人计算机上所使用的数据保护方法多建立在操作系统应用层,依赖于软件实现。软件所提供的数据保护方法是利用伪随机数或者用户口令作为密钥加密磁盘上的数据。由于软件加密可以被跟踪调试而破解密钥,因此无法对加密数据所使用的密钥进行有力的保护,尤其针对较为重要的计算机数据时,软件保护难以达到所要求的安全性。
而基于硬件对数据进行加密保护,则解决了软件所存在的易破解的问题。目前,通过硬件保护数据,可以采用IC卡或者UKEY等类似外设硬件的方法加密保护数据,但使用外设硬件的保护方法就像是另外配了一把钥匙,每次使用都需要“钥匙”来解密,在使用上不便。另一方面,由于外设硬件无法和主机系统绑定,还存在着丢失和被盗的安全隐患,丢失“钥匙”不但可能使用户数据泄漏,甚至会导致用户自己也无法使用所加密的数据。
为了解决目前的外设硬件无法和主机系统绑定的问题,在本申请人同时提交的另一篇专利申请中提出了安全芯片技术。也就是将加解密的复杂过程集成在安装在计算机主板上的一个安全芯片上,通过随机数生成、散列运算、对称加密密码运算、HASH运算等算法实现密钥及公私钥对的生成,加密后的密钥信息存储在安全芯片内部,实现向外提供密钥生成、信息加密、签名验证、唯一身份标识等服务。这里的公钥是指安全芯片提供的一种加密算法,与之成对的私钥则是安全芯片提供的针对这种公钥的解密算法。
发明内容
本发明的目的在于利用安全芯片提供一种计算机数据保护方法,使数据可以更方便、更安全地受到保护。
实现本发明,包括以下步骤:
A、预先在计算机上安装一个安全芯片;
B、在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘,并使用安全芯片生成密钥加密虚拟磁盘;
C、在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时,根据所述密钥解密虚拟磁盘,然后对虚拟磁盘进行计算机数据读写操作。
其中,该方法进一步包括:虚拟磁盘管理模块在接收到创建虚拟磁盘的指定虚拟磁盘的大小和格式的指令后,通知虚拟磁盘驱动模块建立虚拟磁盘;虚拟磁盘驱动模块建立作为虚拟磁盘的物理载体的虚拟磁盘镜像文件。
其中,该方法进一步包括:在通过安全芯片驱动模块接收到来自安装在主板上安全芯片管理模块的指令后,安全芯片生成加密用公私钥对以及访问该公私钥对的口令;安全芯片生成一个密钥对虚拟磁盘进行加密,并使用私钥对所述密钥进行加密形成密钥加密块。其中,安全芯片为不同的用户生成不同的公私钥对及访问其私钥的不同口令。
其中,所述根据所述密钥解密虚拟磁盘前进一步包括:通过安全芯片口令认证获取使用安全芯片所提供的私钥,安全芯片用此私钥解密密钥加密块还原出密钥。其中,所述密钥为随机数密钥。
其中,该方法进一步包括:将被保护数据写入虚拟磁盘时,安全芯片再次生成随机数密钥衍生密钥对写入的数据进行加密保护;被保护数据从虚拟磁盘读出时,安全芯片用随机数密钥衍生密钥对读出的数据进行解密。
由上述步骤可以看出,数据可以受到安全芯片产生的多层密钥的保护,保存在虚拟磁盘的数据任何时候至少间接通过加密虚拟磁盘而进行实时加密,保证了数据的安全;正确使用已建立的虚拟磁盘时,除输入用户名与安全芯片提供的访问该用户私钥的口令外,其他加解密的过程由系统自动进行,因此用户就可象对普通文件一样进行操作,而无需对所保护的数据进行烦琐的加密解密过程,使用方便。
基于安全芯片的数据保护方法,所产生的根公钥,以及访问该对应私钥的口令保存在安全芯片内部,无法被导出,而安全芯片与计算机的绑定,实现所保护的数据与计算机平台的绑定,由于安全芯片标识的唯一性,所保护的数据除本机外无法在其他计算机上读取,即使硬盘被插到其他机器上,由于安全芯片标识的唯一性,硬盘上所保护的文件信息也不会被读出,只能通过绑定于原计算机的安全芯片进行解密。从而确保了重要数据的安全性。
附图说明
图1为本发明数据保护方法的模块示意图;
图2为本发明数据保护过程的流程图。
具体实施方式
图1为本发明数据保护方法的功能模块示意图。本发明通过安全芯片生成密钥信息,加密保护用于存放保护数据的虚拟磁盘。为实现本发明,在计算机操作系统上设置了虚拟磁盘模块和安全芯片模块;另外设置了用户管理模块,用来对合法用户进行管理,包括授权和验证用户使用安全芯片。
其中,虚拟磁盘模块包括虚拟磁盘管理模块和虚拟磁盘驱动模块。虚拟磁盘管理模块在接收到用户下发的指令后,通知虚拟磁盘驱动模块对虚拟磁盘进行操作,包括虚拟磁盘的建立、删除、更改。另外,计算机操作系统也是通过虚拟磁盘驱动模块实现数据的读、写、删除或更新。
其中,安全芯片模块包括安全芯片管理模块、安全芯片驱动模块和安全芯片。安全芯片管理模块通过安全芯片驱动模块获得并使用安全芯片所提供的安全服务,如身份认证、信息加密、数字签名、唯一身份标识等。安全芯片通过安全芯片驱动模块接收来自安全芯片管理模块的指令,生成加密用公私钥对以及访问该公私钥对的口令,以及生成随机数密钥对存放保护数据的虚拟磁盘进行加密,加密信息存放在安全芯片内部。
图2为基于本发明计算机数据保护方法,参照图2进一步详细说明:
步骤201:预先在计算机上主板上安装一个安全芯片,使安全芯片与计算机实现硬件上的绑定。
步骤202:首先,通过用户管理模块创建用户,该信息同时传递给密钥管理模块,密钥管理模块通过安全芯片驱动模块通知安全芯片为该用户生成一对加密用的公私钥对,同时生成访问该私钥的口令。安全芯片为不同的用户生成不同的公私钥对及访问其私钥的不同口令。安全芯片产生用于虚拟磁盘保护的随机数密钥,并用公钥对随机数密钥加密,加密后的随机数密钥称为随机密钥加密块存放于硬盘中。
然后,创建用来存放用来保护数据的虚拟磁盘,并使用随机数密钥对虚拟磁盘进行加密保护。
用户通过虚拟磁盘管理模块指定虚拟磁盘大小和格式,虚拟磁盘管理模块在接收到创建虚拟磁盘的指令后,通知虚拟磁盘驱动模块建立虚拟磁盘;虚拟磁盘驱动模块响应虚拟磁盘管理模块指令创建虚拟磁盘。这里所述的创建虚拟磁盘是指:在硬盘上建立一个虚拟磁盘的镜像文件,作为虚拟磁盘的物理载体。对虚拟磁盘的任何数据读写操作,是通过访问此镜像文件来完成的。
同时,用步骤202中安全芯片产生的随机数密钥对虚拟磁盘进行加密,即加密虚拟磁盘镜像文件,来达到保护写入虚拟磁盘上的数据的目的。在读取数据时,只有通过随机数密钥解密虚拟磁盘镜像文件后才可以对虚拟磁盘上所保护的数据进行读写。
步骤203:在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时,根据所述私钥解密所述虚拟磁盘,对虚拟磁盘进行计算机数据读写操作。在进行计算机数据读写操作之后,虚拟磁盘依然受到随机密钥加密块的密钥保护。
对虚拟磁盘读写保护的数据时,用户需要通过口令认证获取使用安全芯片所提供的私钥,然后安全芯片通过此私钥解密随机数密钥加密块还原出随机数密钥,并传递给虚拟磁盘驱动模块解密虚拟磁盘镜像文件,之后用户可正常对虚拟磁盘上被保护的数据进行访问,保存在虚拟磁盘的数据任何时候都是间接通过加密虚拟磁盘而加密的,保证了数据的安全,因此用户就可象对普通文件一样进行操作,而无需对所保护的数据进行烦琐的加密解密过程。
在将被保护数据写入安全芯片保护的虚拟磁盘的过程中,安全芯片可以再次生成随机数密钥衍生密钥对写入的数据进行加密保护,具体如下:
在对虚拟磁盘写入要保护的数据时,虚拟磁盘驱动对操作系统传递下来的数据操作参数进行分析,提取出其中的用户数据,安全芯片使用随机密钥的衍生密钥对数据进行加密,加密后的数据依据操作参数写入镜像文件中的指定位置;相应地,在对虚拟磁盘读出所保护的数据时,虚拟磁盘驱动对所截获的操作系统传递下来数据操作参数进行分析,依据操作参数从镜像文件指定位置读取所需要的用户数据,安全芯片使用随机密钥的衍生密钥对数据进行解密,解密后的数据再传递回操作系统。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1、一种计算机数据保护方法,其特征在于包括以下步骤:
A、预先在计算机上安装一个安全芯片;
B、在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘,并使用安全芯片生成密钥加密虚拟磁盘;
C、在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时,根据所述密钥解密虚拟磁盘,然后对虚拟磁盘进行计算机数据读写操作。
2、根据权利要求1所述的计算机数据保护方法,其特征在于,在计算机操作系统上设置虚拟磁盘管理模块和虚拟磁盘驱动模块,步骤B中在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘的步骤进一步包括:
B1、虚拟磁盘管理模块在接收到创建虚拟磁盘的指令后,通知虚拟磁盘驱动模块建立虚拟磁盘;
B2、虚拟磁盘驱动模块建立作为虚拟磁盘的物理载体的虚拟磁盘镜像文件。
3、根据权利要求2所述的计算机数据保护方法,其特征在于,步骤B1所述创建虚拟磁盘的指令进一步包括:指定虚拟磁盘的大小和格式的信息。
4、根据权利要求1所述的计算机数据保护方法,其特征在于,在计算机操作系统上设置安全芯片管理模块和安全芯片驱动模块,步骤B中使用安全芯片生成的密钥加密虚拟磁盘为:
B3、在通过安全芯片驱动模块接收到来自安全芯片管理模块的指令后,安全芯片生成加密用公私钥对以及访问该公私钥对的口令;
B4、安全芯片生成一个密钥对虚拟磁盘进行加密,并使用私钥对所述密钥进行加密形成密钥加密块。
5、根据权利要求4所述的计算机数据保护方法,其特征在于,安全芯片为不同的用户生成不同的公私钥对及访问其私钥的不同口令。
6、根据权利要求4所述的计算机数据保护方法,其特征在于,所述密钥解密虚拟磁盘之前,该方法进一步包括:
通过安全芯片口令认证获取使用安全芯片所提供的私钥,安全芯片用此私钥解密密钥加密块还原出密钥。
7、根据权利要求1、4、5或6所述的计算机数据保护方法,其特征在于,所述密钥为随机数密钥。
8、根据权利要求7所述的计算机数据保护方法,其特征在于,步骤C中对虚拟磁盘进行计算机数据读写操作的方法进一步包括:
将被保护数据写入虚拟磁盘时,安全芯片再次生成随机数密钥衍生密钥对写入的数据进行加密保护;
被保护数据从虚拟磁盘读出时,安全芯片用随机数密钥衍生密钥对读出的数据进行解密。
9、根据权利要求1所述的计算机数据保护方法,其特征在于,步骤A所述的安全芯片安装在计算机主板上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03136320 CN1266617C (zh) | 2003-05-28 | 2003-05-28 | 一种计算机数据保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03136320 CN1266617C (zh) | 2003-05-28 | 2003-05-28 | 一种计算机数据保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1553347A CN1553347A (zh) | 2004-12-08 |
| CN1266617C true CN1266617C (zh) | 2006-07-26 |
Family
ID=34323299
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03136320 Expired - Lifetime CN1266617C (zh) | 2003-05-28 | 2003-05-28 | 一种计算机数据保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1266617C (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100399304C (zh) * | 2006-07-26 | 2008-07-02 | 北京飞天诚信科技有限公司 | 利用过滤驱动程序结合智能密钥装置自动保护磁盘数据的方法 |
| CN101339589B (zh) * | 2008-08-14 | 2011-09-07 | 普华优科(北京)科技有限公司 | 一种利用虚拟机技术实现信息安全的方法 |
| CN101800811B (zh) * | 2010-02-02 | 2012-10-03 | 中国软件与技术服务股份有限公司 | 手机数据安全防护方法 |
| CN101859357A (zh) * | 2010-05-31 | 2010-10-13 | 福建升腾资讯有限公司 | 基于ata规范的硬盘主机绑定方法 |
| CN103020537B (zh) * | 2011-09-22 | 2015-07-22 | 腾讯科技(深圳)有限公司 | 数据加密方法和装置、数据解密方法和装置 |
| CN102662872B (zh) * | 2012-03-29 | 2016-05-25 | 山东超越数控电子有限公司 | 一种基于可信密码模块的用户虚拟磁盘镜像文件保护方法 |
| CN102984273B (zh) * | 2012-12-13 | 2015-01-07 | 华为技术有限公司 | 虚拟磁盘加密方法、解密方法、装置及云服务器 |
| CN103310169B (zh) * | 2013-04-28 | 2016-09-21 | 东莞宇龙通信科技有限公司 | 一种保护sd卡数据的方法和保护系统 |
| CN105279107A (zh) * | 2015-11-13 | 2016-01-27 | 北京华虹集成电路设计有限责任公司 | 一种防止从盘启动的方法及系统 |
| CN107025388B (zh) * | 2016-02-02 | 2020-10-16 | 格尔软件股份有限公司 | 一种基于tpm芯片实现系统盘与机器绑定的方法 |
| CN116383858B (zh) * | 2023-06-05 | 2023-10-20 | 中电科网络安全科技股份有限公司 | 一种磁盘数据处理方法、装置、设备及介质 |
-
2003
- 2003-05-28 CN CN 03136320 patent/CN1266617C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1553347A (zh) | 2004-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7104248B2 (ja) | 暗号化された資産暗号化鍵パーツのサブセットを使用して資産暗号化鍵のアセンブリを可能にする暗号化された資産暗号化鍵パーツ | |
| US7890993B2 (en) | Secret file access authorization system with fingerprint limitation | |
| US8315394B2 (en) | Techniques for encrypting data on storage devices using an intermediate key | |
| CN102271037B (zh) | 基于在线密钥的密钥保护装置 | |
| US9135464B2 (en) | Secure storage system for distributed data | |
| CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
| RU2584500C2 (ru) | Криптографический способ аутентификации и идентификации с шифрованием в реальном времени | |
| CN100495421C (zh) | 一种基于usb设备的认证保护方法 | |
| US8200964B2 (en) | Method and apparatus for accessing an encrypted file system using non-local keys | |
| EP2065828B1 (en) | Media storage structures for storing content, devices for using such structures, systems for distributing such structures | |
| CN101986596A (zh) | 密钥管理机制 | |
| TW200947202A (en) | System and method for providing secure access to system memory | |
| CN110990851B (zh) | 一种静态数据加密保护方法及系统 | |
| CN101951315A (zh) | 密钥处理方法及装置 | |
| CN1266617C (zh) | 一种计算机数据保护方法 | |
| CN101158998A (zh) | Drm许可证的管理方法和装置 | |
| TWI476629B (zh) | Data security and security systems and methods | |
| CN107911221B (zh) | 固态盘数据安全存储的密钥管理方法 | |
| CN101114319A (zh) | 剪切板信息保护装置和方法 | |
| CN110233729B (zh) | 一种基于puf的加密固态盘密钥管理方法 | |
| CN1819590A (zh) | 一种用于计算机电子文档的加密方法 | |
| CN101692266A (zh) | 利用隐藏分区与cpu id的高强度文件加密保护方法 | |
| US8738531B1 (en) | Cryptographic distributed storage system and method | |
| CN113342896B (zh) | 一种基于云端融合的科研数据安全保护系统及其工作方法 | |
| JP3868218B2 (ja) | アクセス制限付コンテンツ表示方法およびその装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20060726 |
|
| CX01 | Expiry of patent term |