CN115455497A - 一种计算机硬盘数据加密***及方法 - Google Patents
一种计算机硬盘数据加密***及方法 Download PDFInfo
- Publication number
- CN115455497A CN115455497A CN202211063495.3A CN202211063495A CN115455497A CN 115455497 A CN115455497 A CN 115455497A CN 202211063495 A CN202211063495 A CN 202211063495A CN 115455497 A CN115455497 A CN 115455497A
- Authority
- CN
- China
- Prior art keywords
- data
- hard disk
- authentication
- module
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种计算机硬盘数据加密***及方法,包括存储模块,存储模块用于对计算机硬盘数据进行安全存储;输入输出模块,用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出;认证模块,用于对使用者身份信息以及计算机硬盘输入输出密码的认证;加密模块,用于对计算机硬盘输入信息进行加密;本发明***使用Ukey进行密钥存储和身份认证,同时使用PIN码对Ukey持有人进行身份认证,采用Ukey和PIN码双因子认证大大提高了认证的安全性;通过设置恢复模块用于对硬盘存储数据的恢复,一方面确保重要数据的备份存储防止丢失,另一方面方便恢复***数据的安全密钥,确保数据存储的安全性。
Description
技术领域
本发明涉及计算机硬盘数据加密技术领域,具体涉及一种计算机硬盘数据加密***及方法。
背景技术
随着信息化时代的到来,计算机被广泛使用,存储在计算机硬盘中的数据也呈几何级数般增长,数据的存储安全性显得越来越重要。硬盘加密仍然是目前保护硬盘数据的主要趋势和手段。当前针对硬盘的数据加密认证方式较为单一,且硬盘内数据存储的安全性有待提高。
发明内容
本发明的目的在于提供一种计算机硬盘数据加密***及方法,通过设置恢复模块用于对硬盘存储数据的恢复,一方面确保重要数据的备份存储防止丢失,另一方面方便恢复***数据的安全密钥,确保数据存储的安全性。
本发明的目的可以通过以下技术方案实现:
一种计算机硬盘数据加密***,包括存储模块,存储模块用于对计算机硬盘数据进行安全存储;输入输出模块,用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出;认证模块,用于对使用者身份信息以及计算机硬盘输入输出密码的认证;加密模块,用于对计算机硬盘输入信息进行加密。
作为本发明进一步的方案:所述认证模块采用整机加密卡与电子钥匙完成身份认证,身份认证在***的工作过程中不断进行,每完成一次认证,即开始新一轮的认证。
作为本发明进一步的方案:所述认证模块采用用户名密码认证、卡式身份认证或者生物特征认证中的一种或多种。
作为本发明进一步的方案:所述卡式身份认证包括使用USB接口的Ukey认证和使用PIN码对Ukey持有人进行身份认证。
作为本发明进一步的方案:所述加密模块采用计算机硬盘主控中的SM4硬件加密引擎加解密数据。
作为本发明进一步的方案:所述加密模块数据在计算机其他部分和硬盘之间交互时,采用AES算法对数据进行加解密处理。
作为本发明进一步的方案:所述AES算法为多核并行流水线模式。
作为本发明进一步的方案:所述加密***还包括恢复模块,恢复模块用于数据恢复和密钥恢复。
作为本发明进一步的方案:一种计算机硬盘数据加密方法,该加密方法包括以下步骤:
步骤一、建立***登入认证的数据信息,通过不同的认证方式确保登入***的身份安全性;
步骤二、通过输入输出模块向计算机硬盘内输入信息
步骤三、输入信息通过加密模块进行加密,加密后进入存储模块将数据进行存储;
步骤四、确认登入者身份信息和使用权限,通过输入输出模块确定需要调用的数据信息;
步骤五、加密模块对调用的信息进行解密,解密后通过输入输出模块将数据输出。
本发明的有益效果:
(1)***使用Ukey进行密钥存储和身份认证,同时使用PIN码对Ukey持有人进行身份认证,采用Ukey和PIN码双因子认证大大提高了认证的安全性。
(2)通过设置恢复模块用于对硬盘存储数据的恢复,一方面确保重要数据的备份存储防止丢失,另一方面方便恢复***数据的安全密钥,确保数据存储的安全性。
附图说明
下面结合附图对本发明作进一步的说明。
图1是本发明***的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1所示,本发明为一种计算机硬盘数据加密***及方法,包括存储模块,存储模块用于对计算机硬盘数据进行安全存储;输入输出模块,用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出;认证模块,用于对使用者身份信息以及计算机硬盘输入输出密码的认证;加密模块,用于对计算机硬盘输入信息进行加密。
认证模块采用整机加密卡与电子钥匙完成身份认证,身份认证在***的工作过程中不断进行,每完成一次认证,即开始新一轮的认证,具体加密认证流程为:加密芯片A1生成的随机数A使用随机数密钥B公钥,随机数密钥B是出厂前由电子钥匙的加密芯片B的加密算法模块生成,私钥存储在电子钥匙的加密芯片B,公钥存储到整机加密卡的加密芯片A1;加密后,以密文的形式发送到电子钥匙,并在电子钥匙的加密芯片B使用随机数密钥B私钥恢复出随机数A的明文;加密芯片B生成随机数B,附加在随机数A的明文后面组成随机数A+随机数B,随机数A+随机数B使用随机数密钥A公钥,随机数密钥A是出厂前将私钥存储在电子钥匙的加密芯片A1,公钥存储到整机加密卡的加密芯片B内;加密后,以密文形式发送到整机加密卡,整机加密卡的加密芯片A使用随机数密钥A私钥恢复出随机数A+随机数B,整机加密卡恢复出的随机数A明文对比自身生成随机数A是否一致。对比一致后,随机数A+随机数B使用随机数密钥B公钥加密后,以密文形式发送到电子钥匙上,电子钥匙使用随机数密钥B私钥恢复出随机数A+随机数B,电子钥匙恢复出的随机数B明文对比自身生成的随机数B是否一致,一致则认证通过。身份认证通过后,在电子钥匙的用户密钥才会进行加密传输及拼凑。
认证模块采用用户名密码认证、卡式身份认证或者生物特征认证中的一种或多种。
用户名密码的认证方式简单易行,也是目前最常用的身份认证方式。但密码容易泄露甚至被暴力破解,许多用户会使用诸如出生年月等弱密码,这种弱密码极易被密码字典破解。还有许多用户会在不同的网站使用相同的用户名密码,一旦某个网站用户账户信息泄露,这些被泄露的账户就可能遭受撞库攻击。因此,依赖密码的单因子口令认证方式是不够安全的。
卡式身份认证包括内置智能卡芯片的IC卡和使用磁条存储个人信息的磁卡,智能IC卡通过芯片进行认证,无法被复制,安全性较高,但需要专用读卡器配合,通用性不高。磁卡易被复制,磁性也容易消失。很多时候也会采用短信验证码进行身份认证,这种认证方式也可以归为卡式认证,因为短信验证码会被发送到与用户账户绑定的手机号上,而手机号与SIM卡则是一体的,本质上属于SIM卡认证。
生物特征认证包括声纹认证、指纹认证、虹膜认证、手迹认证等。生物特征具有唯一性、可靠性和稳定性,很难被复制,同时生物特征也不存在丢失和被他人利用的可能。因此,生物特征认证是最可靠的认证方式,但认证过程往往需要借助复杂的技术和设备,成本较高。
卡式身份认证包括使用USB接口的Ukey认证和使用PIN码对Ukey持有人进行身份认证,UKey认证也属于卡式认证,但USB接口的使用使得Ukey认证的通用性大大提高。***使用集成了国密算法的Ukey进行密钥存储和身份认证,同时使用PIN码对Ukey持有人进行身份认证,采用Ukey和PIN码双因子认证大大提高了认证的安全性。
加密模块采用计算机硬盘主控中的SM4硬件加密引擎加解密数据,具体加解密流程为通过接口调用,在Ukey和加密硬盘主控芯片内部产生SM2密钥对,由于密钥对的唯一性,通过交换公钥配对,既能对后续密钥传递过程进行加密,也可通过SM2签名实现计算机硬盘对Ukey的认证。设备初始化配对时生成的SM2私钥是其唯一性标识,为保障安全,私钥在任何情况下都只能在设备内部使用,对外没有读写接口。为防止生成的SM2密钥对被覆盖,无论是Ukey还是计算机硬盘都只有在未配对,即无初始化标识的情况下才会生成密钥对并存储,一旦配对,固件程序就不再响应密钥对的生成请求。为保证数据流的加解密速度,采用计算机硬盘主控中的SM4硬件加密引擎加解密数据。Ukey和计算机硬盘完成配对后,必须生成一个SM4密钥,所有写入硬盘的数据均通过此密钥加密。硬盘内数据的保密性取决于该密钥的安全,因此需要将此密钥通过安全信道存放于Ukey之中,计算机硬盘主控拥有真随机数发生器,截取128bit用作SM4密钥。由于配对过程已交换公钥,SM4密钥在计算机硬盘内部通过Ukey公钥加密,再通过认证模块传递给Ukey,Ukey用自身私钥解密存储。密钥加密传输保证了SM4密钥的安全性。为验证Ukey持有者的身份,初始化配对阶段,用户需设置一个用于身份认证的PIN码,该PIN码使用国密哈希算法SM3加密,存储在Ukey中用于认证阶段的第一步认证。Ukey和计算机硬盘配对完成后,需要各自设置初始化标识,在LiveOS启动后的认证阶段,读取该标识并进入相应操作。LiveOS关机后,计算机硬盘的SM4密钥由于硬盘掉电销毁,初始化过程完成。
加密模块数据在计算机其他部分和硬盘之间交互时,采用AES算法对数据进行加解密处理。AES算法为多核并行流水线模式。AES算法加解密的具体流程为AES对SATA主设备写入SATA从设备的数据进行加密操作和对SATA主设备读取SATA从设备的数据进行解密操作。加解密处理器的结构包含了4个基于AES算法的硬核,并基于4个硬核实现了对数据进行流水线处理,提高了整机加密速率。AES流水线结构实例化了4个AES算法核,在当前时刻,输入Pbit的数据给核1,核2及核3正在整机加密中,核4正在输出处理完毕的数据。当核1输入完毕数据后,即达到核2的位置进行整机加密,原来核2的位置就会达到核3的位置仍然进行整机加密,而核3达到核4的位置输出处理完毕的数据,原来核4就会回到核1的位置进行数据输入,以上4个核的位置变化是同步的,可以做到连续地输入数据、输出数据,从而达到流水的效果。
加密***还包括恢复模块,恢复模块用于数据恢复和密钥恢复,其中数据恢复通过在存储模块中设置一个备用存储盘,对于重要的数据信息将存储一份到备用存储盘中,当主存储盘发生损坏时,可以通过备用存储盘对重要的数据信息进行恢复,确保了重要数据信息的安全性,而计算机硬盘内数据的解密密钥存储在Ukey之中,一旦Ukey丢失,计算机硬盘内数据将无法解密,这无疑会造成严重的数据损失。为了恢复密钥,密钥除了存储在Ukey之中,在计算机硬盘的存储模块中还设置有用于必须加密保存的安全存储区,通过在安全存储区内存储用于恢复***数据的Ukey密钥,确保数据存储的安全性。
一种计算机硬盘数据加密方法,该加密方法包括以下步骤:
步骤一、建立***登入认证的数据信息,通过不同的认证方式确保登入***的身份安全性;
步骤二、通过输入输出模块向计算机硬盘内输入信息
步骤三、输入信息通过加密模块进行加密,加密后进入存储模块将数据进行存储;
步骤四、确认登入者身份信息和使用权限,通过输入输出模块确定需要调用的数据信息;
步骤五、加密模块对调用的信息进行解密,解密后通过输入输出模块将数据输出。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。
Claims (9)
1.一种计算机硬盘数据加密***,其特征在于,包括存储模块,存储模块用于对计算机硬盘数据进行安全存储;
输入输出模块,用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出;
认证模块,用于对使用者身份信息以及计算机硬盘输入输出密码的认证;
加密模块,用于对计算机硬盘输入信息进行加密。
2.根据权利要求1所述的一种计算机硬盘数据加密***,其特征在于,所述认证模块采用整机加密卡与电子钥匙完成身份认证,身份认证在***的工作过程中不断进行,每完成一次认证,即开始新一轮的认证。
3.根据权利要求1所述的一种计算机硬盘数据加密***,其特征在于,所述认证模块采用用户名密码认证、卡式身份认证或者生物特征认证中的一种或多种。
4.根据权利要求3所述的一种计算机硬盘数据加密***,其特征在于,所述卡式身份认证包括使用USB接口的Ukey认证和使用P I N码对Ukey持有人进行身份认证。
5.根据权利要求1所述的一种计算机硬盘数据加密***,其特征在于,所述加密模块采用计算机硬盘主控中的SM4硬件加密引擎加解密数据。
6.根据权利要求1所述的一种计算机硬盘数据加密***,其特征在于,所述加密模块数据在计算机其他部分和硬盘之间交互时,采用AES算法对数据进行加解密处理。
7.根据权利要求6所述的一种计算机硬盘数据加密***,其特征在于,所述AES算法为多核并行流水线模式。
8.根据权利要求1所述的一种计算机硬盘数据加密***,其特征在于,所述加密***还包括恢复模块,恢复模块用于数据恢复和密钥恢复。
9.根据权利要求1所述的一种计算机硬盘数据加密方法,其特征在于,该加密方法包括以下步骤:
步骤一、建立***登入认证的数据信息,通过不同的认证方式确保登入***的身份安全性;
步骤二、通过输入输出模块向计算机硬盘内输入信息
步骤三、输入信息通过加密模块进行加密,加密后进入存储模块将数据进行存储;
步骤四、确认登入者身份信息和使用权限,通过输入输出模块确定需要调用的数据信息;
步骤五、加密模块对调用的信息进行解密,解密后通过输入输出模块将数据输出。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211063495.3A CN115455497A (zh) | 2022-08-31 | 2022-08-31 | 一种计算机硬盘数据加密***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211063495.3A CN115455497A (zh) | 2022-08-31 | 2022-08-31 | 一种计算机硬盘数据加密***及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115455497A true CN115455497A (zh) | 2022-12-09 |
Family
ID=84300973
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211063495.3A Pending CN115455497A (zh) | 2022-08-31 | 2022-08-31 | 一种计算机硬盘数据加密***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115455497A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116881945A (zh) * | 2023-07-26 | 2023-10-13 | 百信信息技术有限公司 | 一种基于tpcm的固态硬盘加解密方法、***及电子设备 |
-
2022
- 2022-08-31 CN CN202211063495.3A patent/CN115455497A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116881945A (zh) * | 2023-07-26 | 2023-10-13 | 百信信息技术有限公司 | 一种基于tpcm的固态硬盘加解密方法、***及电子设备 |
CN116881945B (zh) * | 2023-07-26 | 2024-06-11 | 百信信息技术有限公司 | 一种基于tpcm的固态硬盘加解密方法、***及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN201181472Y (zh) | 硬件密钥装置和移动存储*** | |
CN112000975B (zh) | 一种密钥管理*** | |
US9876647B2 (en) | Apparatus for providing PUF-based hardware OTP and method for authenticating 2-factor using same | |
US8683232B2 (en) | Secure user/host authentication | |
CN101350723B (zh) | 一种USB Key设备及其实现验证的方法 | |
CN109040067A (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
CN101650693B (zh) | 一种移动硬盘的安全控制方法及安全移动硬盘 | |
CN101483513B (zh) | 一种网络备份***及其数据备份和数据恢复方法 | |
CN107864124B (zh) | 一种终端信息安全保护方法、终端及蓝牙锁 | |
CN101950347A (zh) | 一种对数据进行加密的方法和*** | |
CN113472793A (zh) | 一种基于硬件密码设备的个人数据保护*** | |
CN110225014B (zh) | 基于指纹集中下发式的物联网设备身份认证方法 | |
CN102236607B (zh) | 一种数据安全保护方法和数据安全保护装置 | |
CN112560058A (zh) | 基于智能密码钥匙的ssd分区加密存储***及其实现方法 | |
CN102163267A (zh) | 固态硬盘安全访问控制方法、装置和固态硬盘 | |
CN110650011A (zh) | 基于量子密钥的加密存储方法和加密存储卡 | |
TWI476629B (zh) | Data security and security systems and methods | |
CN102468962A (zh) | 利用个人密码装置的个人身份验证方法及个人密码装置 | |
CN114186249A (zh) | 一种计算机文件安全加密方法、解密方法和可读存储介质 | |
US20090187770A1 (en) | Data Security Including Real-Time Key Generation | |
CN110233729B (zh) | 一种基于puf的加密固态盘密钥管理方法 | |
CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
CN115455497A (zh) | 一种计算机硬盘数据加密***及方法 | |
CN110532791A (zh) | 一种针对可移动存储介质的加解密方法及*** | |
KR101947408B1 (ko) | PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |