本发明专利技术涉及一种用于保护计算机存储器数据安全的数据安全保护方法和数据安全保护装置。该方法在计算机设备启动时,通过安全模块分别用户身份和加密模块进行鉴别和认证,鉴别和认证通过后,安全模块将数据密钥发送给加密模块,在后续的使用中加密模块对存储器数据进行加密保护,鉴别和认证不通过则不启动计算机。该装置包括在PC主机、PDA、手机、PMP或者数码相框等计算机设备中,设置的并相互连接的安全模块和加密模块。该方法和装置实现了对计算机设备存储器数据的透明加密和对用户身份的鉴别,同时对密钥和加密算法分离放置,实现了较高的安全性。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种用于保护计算机存储器数据安全的数据安全保护方法和数据安全保护装置。
技术介绍
随着信息化时代的来临,数据变得越来越重要,大多数公司、行业、个人的重要数据、信息基本上都是存放在现代化的存储介质中,部分重要的数据和可能存放在系统终端如个人电脑、PDA (Personal Digital Assistant,个人数字助手)、服务器的存储器模块中或其他可移动存储器模块中。目前个人电脑、PDA、服务器中的存储器模块以及可移动存储器模块都不具备加密特征,存储器模块一旦失去,就可能被非法用户获取存储器模块上的原始数据,严重威胁个人隐私、商业机密,甚至金融、军工机密。目前市面上存在的各种针对存储器模块的加密手段都存在显著的漏洞,例如部分指纹硬盘,事实上只是通过指纹解决对用户的身份鉴别问题,一旦硬盘被拆卸,可以通过其他途径轻易读出硬盘中的数据。其他如微软自Vista操作系统开始推出的BitLocker (磁盘加密位元锁)功能,实现了对用户的身份鉴别和数据加密,但是它采用的数据加密方法是通过CPU执行指令完成,其数据加密密钥暴露在计算机内存中,在目前计算机病毒、木马流行的年度,该数据加密密钥极易被非法获取,该功能的安全性较低。而且通过CPU执行指令来对数据加解密将大大降低计算机系统的性能。
技术实现思路
本专利技术所要解决的技术问题是,提供一种数据安全保护方法,在数据加密的同时, 所加密的数据仅对有权使用该加密数据的人开放,无权使用该加密数据的人无法采用非法手段获取原始数据。本专利技术解决上述技术问题的技术方案如下一种数据安全保护方法,包括以下步骤步骤A 安全模块对用户身份进行鉴别,若鉴别未通过则执行步骤B,否则执行步骤C;步骤B:安全模块判断对用户身份鉴别的次数,若次数未达到限制值则执行步骤 A,否则执行步骤G ;步骤C 安全模块对加密模块进行认证,若认证未通过则执行步骤D,否则执行步骤E;步骤D 安全模块判断对加密模块认证的次数,若次数未达到限制值则执行步骤 C,否则执行步骤G ;步骤E 安全模块将数据密钥发送给加密模块,并执行步骤F ;步骤F:加密模块根据从安全模块接收到的数据密钥,对存入存储器的数据进行加密和对取出存储器的数据进行解密;步骤G 拒绝进行用户身份鉴别。采用上述数据安全保护方法的有益效果是安全模块分别对用户身份和加密模块进行鉴别和认证,同时保证用户身份和加密模块的可靠性;数据密钥与加密模块分离放置, 保证了数据密钥的安全性。进一步,步骤A中,安全模块对用户身份进行鉴别的方式包括用户口令比对方式、 指纹对比方式、虹膜对比方式。进一步,步骤A中,安全模块通过个人身份设备对用户身份进行鉴别。进一步,所述个人身份设备包括第二代身份证和数字证书。进一步,步骤D中,对用户身份鉴别的次数为3次或者4次。进一步,步骤D中,对加密模块认证的次数为3次或者4次。进一步,步骤E中,安全模块将数据密钥发送给加密模块通过如下方法实现在生产制造阶段安全模块和加密模块置入相同的根密钥;步骤E中,安全模块生成随机数X,并用根密钥加密后得到X’ ;安全模块把X’发送给加密模块;加密模块生成随机数y,并用根密钥加密后得到r,加密模块把y’发送给安全模块;加密模块接收安全模块发送的χ’,用根密钥解密得到X,并将χ和y异或得到ζ ; 安全模块接收加密模块发送的r,用根密钥解密得到1,并将χ和y异或得到ζ ;安全模块用ζ将数据密钥加密后得到的密文传递给加密模块;加密模块用ζ对从安全模块接收到的密文进行解密,获得数据密钥。采用上述进一步方案的有益效果是,保证了数据密钥在从安全模块发送至加密模块过程中的安全,一旦经加密后的数据密钥被盗取,也无法对其进行解密。进一步,步骤F中,加密模块所采用的加密算法为DES(Data EncryptionStandard,数据力口密标准)、3DES 或者 AES (Advanced Encryption Standard,高级加密标准)。本专利技术所要解决的另一技术问题是提供一种数据安全保护装置,经该装置加密的数据所在存储器一旦丢失,非法用户也无法获取存储器上的原始数据,保护个人隐私、商业机密,甚至金融、军工机密等。本专利技术解决上述技术问题的技术方案如下一种数据安全保护装置,包括安全模块和与其电连接的加密模块;所述安全模块用于对用户身份进行鉴别并将数据密钥发送给加密模块;所述加密模块根据从安全模块接收到的数据密钥,对存入存储器的数据进行加密和对取出存储器的数据进行解密。采用上述数据安全保护装置的有益效果是通过独立的安全模块对用户身份进行鉴别,并通过独立的加密模块对存储器的数据进行加解密,整个加解密过程在加密模块中完成,完全不影响计算机系统的性能,既提高了计算机存储器数据安全性,又不降低计算机系统性能,同时保证了存储器上原始数据的安全;另外,数据密钥保存在硬件,保证了数据密钥不会被盗取。进一步,所述安全模块还用于对加密模块进行认证。采用上述进一步方案的有益效果是,安全模块对加密模块进行认证,防止加密模块被非法修改或替换,更进一步的保护了加密数据的安全。进一步,所述安全模块可以为可信平台模块。上述进一步方案中的可信平台模块,即TPM(Trusted Platform Module),是一种植于计算机内部为计算机提供可信根的芯片,该芯片的规格由可信计算组(Trusted Computing Group)来制定,该芯片专门用于提高计算机平台的安全性,通过为密钥或者计算机所要执行的关键任务提供保护空间,以确保计算机的安全。可信平台模块,可以在大部分计算机上使用,主要作用在于计算机启动时检测操作系统是否有改变,以及在电脑启动和连接网络之前帮助侦测僵尸网络、隐藏进程和其他可疑代码的存在。可信平台模块可以安全地存储密钥、证书和密码。采用可信平台模块作为安全模块,其有益效果在于,可以保护用于卷与文件加密的公共与私有密钥,实现安全身份认证和用户身份的安全保护。附图说明图1为本专利技术数据安全保护方法具体实施方式的流程图;图2为实现本专利技术中数据安全保护方法所使用的数据安全保护装置的逻辑框图。附图中,各标号所代表的部件列表如下201、安全模块,202、加密模块,203、存储器具体实施例方式以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并非用于限定本专利技术的范围。本专利技术数据安全保护方法包括以下步骤步骤A 安全模块对用户身份进行鉴别,若鉴别未通过则执行步骤B,否则执行步骤C;步骤B:安全模块判断对用户身份鉴别的次数,若次数未达到限制值则执行步骤 A,否则执行步骤Z ;步骤C 安全模块对加密模块进行认证,若认证未通过则执行步骤D,否则执行步骤E;步骤D 安全模块判断对加密模块认证的次数,若次数未达到限制值则执行步骤 C,否则执行步骤Z ;步骤E 安全模块将数据密钥发送给加密模块,并执行步骤F ;步骤F:加密模块根据从安全模块接收到的数据密钥,对存入存储器的数据进行加密和对取出存储器的数据进行解密;步骤Z 拒绝进行用户身份鉴别。图1为以上数据安全保护方法具体实施方式的流程图。图2为实现本专利技术数据安全保护方法所使用的数据安全保护装置的逻辑框图,数据安全保护装置包括安全模块201和加密模块202,本文档来自技高网...
【技术保护点】
1.一种数据安全保护方法,其特征在于,包括以下步骤:步骤A:安全模块对用户身份进行鉴别,若鉴别未通过则执行步骤B,否则执行步骤C;步骤B:安全模块判断对用户身份鉴别的次数,若次数未达到限制值则执行步骤A,否则执行步骤G;步骤C:安全模块对加密模块进行认证,若认证未通过则执行步骤D,否则执行步骤E;步骤D:安全模块判断对加密模块认证的次数,若次数未达到限制值则执行步骤C,否则执行步骤G;步骤E:安全模块将数据密钥发送给加密模块,并执行步骤F;步骤F:加密模块根据从安全模块接收到的数据密钥,对存入存储器的数据进行加密和对取出存储器的数据进行解密;步骤G:拒绝进行用户身份鉴别。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈官学,杨硕,邹浩,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:94
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。