一種固態(tài)盤(pán)加密方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種固態(tài)盤(pán)加密方法,包括:將固態(tài)盤(pán)的物理地址空間劃分為一個(gè)只讀的公開(kāi)區(qū)和若干個(gè)加密區(qū)�,公開(kāi)區(qū)中存放認(rèn)證系統(tǒng),用來(lái)建立用戶����、密鑰和固態(tài)盤(pán)之間的安全連接,并將密鑰導(dǎo)入固態(tài)盤(pán)�����。固態(tài)盤(pán)獲得密鑰后根據(jù)密鑰前綴查找密鑰邏輯地址映射表完成一次硬盤(pán)隱藏分區(qū)切換����,顯示該密鑰對(duì)應(yīng)的數(shù)據(jù)區(qū)����,并對(duì)邏輯塊地址進(jìn)行重新設(shè)定。本發(fā)明利用固態(tài)盤(pán)內(nèi)在的“異地更新”產(chǎn)生的“被覆蓋”歷史數(shù)據(jù)遺留在固態(tài)盤(pán)中的特征實(shí)現(xiàn)將固態(tài)盤(pán)回滾恢復(fù)至之前的歷史時(shí)間點(diǎn)狀態(tài)���,從而實(shí)現(xiàn)基于SSD的連續(xù)數(shù)據(jù)保護(hù)的功能�����。本發(fā)明利用固態(tài)盤(pán)內(nèi)在固有的映射機(jī)制實(shí)現(xiàn)加密分區(qū)的隱藏和切換以及認(rèn)證系統(tǒng)的植入����,從而實(shí)現(xiàn)靈活的密鑰導(dǎo)入功能,并支持多用戶的分別加密���。
【專利說(shuō)明】一種固態(tài)盤(pán)加密方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)和安全領(lǐng)域�,更具體地��,涉及一種固態(tài)盤(pán)加密方法和 系統(tǒng)�����。
【背景技術(shù)】
[0002] 隨著技術(shù)的發(fā)展�,基于閃存的設(shè)備已經(jīng)有了很大的技術(shù)進(jìn)步,這鞏固了固態(tài)硬盤(pán) (Solid State Drive�����,簡(jiǎn)稱SSD)代替?zhèn)鹘y(tǒng)機(jī)械硬盤(pán)作為首選存儲(chǔ)媒體的領(lǐng)導(dǎo)地位�����,并且將 固態(tài)硬盤(pán)部署在企業(yè)級(jí)存儲(chǔ)系統(tǒng)的研究方向上也打開(kāi)了新的視野。近年來(lái)由于固態(tài)硬盤(pán)存 在數(shù)據(jù)竊取的問(wèn)題�����,且在某些特殊領(lǐng)域如軍事領(lǐng)域?qū)?shù)據(jù)安全的要求很高���,因此對(duì)固態(tài)硬 盤(pán)的加密處理顯得尤為重要��。
[0003] 傳統(tǒng)硬盤(pán)加密系統(tǒng)如圖1所示�����,包括BI0S101和一塊固態(tài)硬盤(pán)102���。該固態(tài)硬盤(pán) 上包含一個(gè)控制器103用于控制存儲(chǔ)介質(zhì)和支持接口協(xié)議,和若干存儲(chǔ)介質(zhì)104用于存儲(chǔ) 用戶數(shù)據(jù)��。其中�,控制器上有加解密模塊105和其他控制模塊106 ;存儲(chǔ)介質(zhì)中存放了安全 密鑰107�。用戶通過(guò)輸入口令來(lái)獲得安全密鑰的訪問(wèn)權(quán),再通過(guò)安全密鑰對(duì)數(shù)據(jù)進(jìn)行加密/ 解密���。
[0004] 傳統(tǒng)硬盤(pán)加密方法如圖2所示����,包括以下步驟:
[0005] (1)用戶通過(guò)BIOS輸入口令來(lái)獲得密鑰的訪問(wèn)權(quán);
[0006] (2)控制模塊將存放在固態(tài)盤(pán)內(nèi)的密鑰加載至加解密模塊����;
[0007] (3)加解密模塊為固態(tài)盤(pán)輸入/輸出的數(shù)據(jù)加密/解密。
[0008] 然而���,傳統(tǒng)的硬盤(pán)加密方法都是基于BIOS實(shí)現(xiàn)的�����,因此具有如下缺陷:
[0009] 1����、整塊固態(tài)硬盤(pán)使用同一個(gè)安全密鑰����,因此,不支持多用戶數(shù)據(jù)區(qū)的分別加密�,從 而大大降低了安全性,也局限了系統(tǒng)的適用范圍���。
[0010] 2��、密鑰存放在固態(tài)硬盤(pán)上����,即和用戶數(shù)據(jù)放在一起,通過(guò)竊取固態(tài)硬盤(pán)可同時(shí)得 到密鑰和密文�����,因此大大降低了安全性��;
[0011] 3���、傳統(tǒng)固態(tài)硬盤(pán)加密方法的密鑰存放在存儲(chǔ)介質(zhì)上���,即由生產(chǎn)硬盤(pán)的廠商負(fù)責(zé)保 管方法的實(shí)施,因此有可能造成密鑰泄漏�����,降低了系統(tǒng)安全性�����。
[0012] 4�、傳統(tǒng)固態(tài)硬盤(pán)加密方法中的只能通過(guò)BIOS 口令認(rèn)證的方式獲取密鑰使用權(quán), 且該口令遵循ΑΤΑ協(xié)議��,導(dǎo)致復(fù)雜性不高�,容易被破解。
【發(fā)明內(nèi)容】
[0013] 針對(duì)現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求��,本發(fā)明提供了一種固態(tài)盤(pán)加密方法和系 統(tǒng)��,其目的在于�����,解決現(xiàn)有方法中存在的安全性差����、實(shí)現(xiàn)方式單一的技術(shù)問(wèn)題,并結(jié)合固態(tài) 盤(pán)本身的特性�����,利用固態(tài)盤(pán)內(nèi)在固有的映射機(jī)制�����,來(lái)實(shí)現(xiàn)加密分區(qū)的隱藏和切換以及認(rèn)證 系統(tǒng)的植入,從而實(shí)現(xiàn)靈活的固態(tài)盤(pán)加密�。
[0014] 為實(shí)現(xiàn)上述目的,按照本發(fā)明的一個(gè)方面����,提供了一種固態(tài)盤(pán)加密方法,其應(yīng)用在 包括固態(tài)盤(pán)的用戶終端中����,該方法包括以下步驟:
[0015] (1)在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加密區(qū),并對(duì)用戶顯示固態(tài)盤(pán)的公開(kāi)區(qū)��,并將 公開(kāi)區(qū)設(shè)置為只讀狀態(tài)����;其中,公開(kāi)區(qū)是在固態(tài)盤(pán)初始化階段設(shè)定的���,其大小等于初始化階 段寫(xiě)入其中的用戶身份認(rèn)證程序的大小�����,固態(tài)盤(pán)還包括在系統(tǒng)初始化階段設(shè)置的至少一個(gè) 加密區(qū)��,其具體數(shù)量等于使用固態(tài)盤(pán)的用戶數(shù)量�;
[0016] (2)將公開(kāi)區(qū)中的用戶身份認(rèn)證程序加載到內(nèi)存中,并運(yùn)行該用戶身份認(rèn)證程序�, 以建立該用戶身份認(rèn)證程序與密鑰存儲(chǔ)設(shè)備之間的連接;
[0017] (3)接收用戶的身份認(rèn)證和鑒權(quán)請(qǐng)求����,并根據(jù)該身份認(rèn)證和鑒權(quán)請(qǐng)求確定該用戶 是否具有使用密鑰存儲(chǔ)設(shè)備中對(duì)應(yīng)密鑰的權(quán)限����,如果有則進(jìn)入步驟(4),否則過(guò)程結(jié)束�����;
[0018] (4)通過(guò)用戶身份認(rèn)證程序并采用AES加密方法建立密鑰存儲(chǔ)設(shè)備與固態(tài)盤(pán)之間 的安全鏈接���;
[0019] (5)使用AES中的公鑰將密鑰存儲(chǔ)設(shè)備中的對(duì)應(yīng)密鑰進(jìn)行加密���,并將加密后的密 鑰傳送到固態(tài)盤(pán);
[0020] (6)使用AES中的私鑰將加密后的密鑰解密�����,以得到密鑰明文;
[0021] (7)隱藏固態(tài)盤(pán)的公開(kāi)區(qū)����,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的起始邏輯地 址、以及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū)�;
[0022] (8)重啟用戶終端,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/解密操作���, 其中在用戶終端掉電時(shí)�����,密鑰明文會(huì)自動(dòng)丟失�����。
[0023] 優(yōu)選地�,用戶終端是個(gè)人電腦��、筆記本�、或服務(wù)器。
[0024] 優(yōu)選地����,密鑰存儲(chǔ)設(shè)備是USB Key����、智能卡�、或密鑰服務(wù)器。
[0025] 優(yōu)選地��,身份認(rèn)證和鑒權(quán)請(qǐng)求中攜帶有用戶的指紋����、口令���、視網(wǎng)膜信息����、用戶ID信 肩���、���。
[0026] 按照本發(fā)明的另一方面,提供了一種固態(tài)盤(pán)加密系統(tǒng)�,其應(yīng)用在包括固態(tài)盤(pán)的用 戶終端中,并包括:
[0027] 第一模塊����,用于在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加密區(qū)���,并對(duì)用戶顯示固態(tài)盤(pán)的 公開(kāi)區(qū),并將公開(kāi)區(qū)設(shè)置為只讀狀態(tài)�����;其中����,公開(kāi)區(qū)是在固態(tài)盤(pán)初始化階段設(shè)定的,其大小 等于初始化階段寫(xiě)入其中的用戶身份認(rèn)證程序的大小�,固態(tài)盤(pán)還包括在系統(tǒng)初始化階段設(shè) 置的至少一個(gè)加密區(qū),其具體數(shù)量等于使用固態(tài)盤(pán)的用戶數(shù)量�����;
[0028] 第二模塊����,用于將公開(kāi)區(qū)中的用戶身份認(rèn)證程序加載到內(nèi)存中,并運(yùn)行該用戶身 份認(rèn)證程序��,以建立該用戶身份認(rèn)證程序與密鑰存儲(chǔ)設(shè)備之間的連接�;
[0029] 第三模塊�,用于接收用戶的身份認(rèn)證和鑒權(quán)請(qǐng)求�,并根據(jù)該身份認(rèn)證和鑒權(quán)請(qǐng)求 確定該用戶是否具有使用密鑰存儲(chǔ)設(shè)備中對(duì)應(yīng)密鑰的權(quán)限,如果有則進(jìn)入第四模塊�����,否則 過(guò)程結(jié)束�;
[0030] 第四模塊,用于通過(guò)用戶身份認(rèn)證程序并采用AES加密方法建立密鑰存儲(chǔ)設(shè)備與 固態(tài)盤(pán)之間的安全鏈接�;
[0031] 第五模塊,用于使用AES中的公鑰將密鑰存儲(chǔ)設(shè)備中的對(duì)應(yīng)密鑰進(jìn)行加密���,并將 加密后的密鑰傳送到固態(tài)盤(pán)�;
[0032] 第六模塊��,用于使用AES中的私鑰將加密后的密鑰解密����,以得到密鑰明文����;
[0033] 第七模塊,用于隱藏固態(tài)盤(pán)的公開(kāi)區(qū)�����,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的 起始邏輯地址,以及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū)�����;
[0034] 第八模塊���,用于重啟用戶終端����,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/ 解密操作��。其中在用戶終端掉電時(shí)�����,密鑰明文會(huì)自動(dòng)丟失�。
[0035] 總體而言,通過(guò)本發(fā)明所構(gòu)思的以上技術(shù)方案與現(xiàn)有技術(shù)相比���,能夠取得下列有 益效果:
[0036] 1�、由于采用了步驟(1)�����,系統(tǒng)運(yùn)行在只讀分區(qū),且獨(dú)占運(yùn)行����,不會(huì)遭到修改、破壞和 惡意監(jiān)聽(tīng)�,進(jìn)一步提高了安全性。
[0037] 2��、由于采用了步驟(2)����,密鑰存放在U-key或其它第三方可信介質(zhì)上,可以提高系 統(tǒng)安全性����,同時(shí)支持多樣化的認(rèn)證方式,如視網(wǎng)膜認(rèn)證���、指紋認(rèn)證和短信認(rèn)證等等。
[0038] 3�、由于采用了步驟(1)、步驟(3)和步驟(7)�����,可以實(shí)現(xiàn)多密鑰的加密,以及多分區(qū) 的切換�,從而支持了多用戶的安全使用。
【專利附圖】
【附圖說(shuō)明】
[0039] 圖1是傳統(tǒng)硬盤(pán)加密系統(tǒng)的示意圖���。
[0040] 圖2是傳統(tǒng)硬盤(pán)加密方法的示意圖��。
[0041] 圖3是本發(fā)明固態(tài)盤(pán)加密方法的流程圖��。
【具體實(shí)施方式】
[0042] 為了使本發(fā)明的目的�、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�,以下結(jié)合附圖及實(shí)施例,對(duì) 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明���。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明��,并 不用于限定本發(fā)明����。此外,下面所描述的本發(fā)明各個(gè)實(shí)施方式中所涉及到的技術(shù)特征只要 彼此之間未構(gòu)成沖突就可以相互組合��。
[0043] 本發(fā)明的總體思路在于��,利用物理地址空間的公共區(qū)(只讀)的特點(diǎn)來(lái)實(shí)現(xiàn)支持 多用戶���、多樣化認(rèn)證方式的密鑰導(dǎo)入方法和系統(tǒng)��。由于固態(tài)盤(pán)中不存放密鑰�,僅僅只在密鑰 邏輯地址映射表中存放密鑰前綴���,因此�,通過(guò)固態(tài)盤(pán)無(wú)法破解密文�,大大提升了安全性。用 戶成功導(dǎo)入密鑰后���,借助密鑰邏輯地址映射表完成了固態(tài)盤(pán)切換�。
[0044] 如圖3所示�����,本發(fā)明固態(tài)盤(pán)加密方法����,其應(yīng)用在包括固態(tài)盤(pán)的用戶終端中(該用戶 終端可以是個(gè)人電腦、筆記本��、服務(wù)器等)��,該方法包括以下步驟:
[0045] (1)在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加密區(qū)�����,并對(duì)用戶顯示固態(tài)盤(pán)的公開(kāi)區(qū)���,并 將公開(kāi)區(qū)設(shè)置為只讀狀態(tài)�;其中���,公開(kāi)區(qū)是在固態(tài)盤(pán)初始化階段設(shè)定的��,其大小等于初始化 階段寫(xiě)入其中的用戶身份認(rèn)證程序的大小�,固態(tài)盤(pán)還包括在系統(tǒng)初始化階段設(shè)置的至少一 個(gè)加密區(qū)�,其具體數(shù)量等于使用固態(tài)盤(pán)的用戶數(shù)量,大小是由用戶根據(jù)其具體使用需求指 定�;
[0046] 本步驟的優(yōu)點(diǎn)在于,系統(tǒng)運(yùn)行在只讀分區(qū),且獨(dú)占運(yùn)行�,不會(huì)遭到修改、破壞和惡 意監(jiān)聽(tīng)�����,進(jìn)一步提高了安全性���。
[0047] (2)將公開(kāi)區(qū)中的用戶身份認(rèn)證程序加載到內(nèi)存中�,并運(yùn)行該用戶身份認(rèn)證程序��, 以建立該用戶身份認(rèn)證程序與密鑰存儲(chǔ)設(shè)備之間的連接��;具體而言�,密鑰存儲(chǔ)設(shè)備包括USB Key、智能卡���、密鑰服務(wù)器等��;
[0048] 本步驟的優(yōu)點(diǎn)在于����,密鑰存放在第三方可信介質(zhì)上���,可以提高系統(tǒng)安全性�,同時(shí)支 持多樣化的認(rèn)證方式。
[0049] (3)接收用戶的身份認(rèn)證和鑒權(quán)請(qǐng)求�,并根據(jù)該身份認(rèn)證和鑒權(quán)請(qǐng)求確定該用戶 是否具有使用密鑰存儲(chǔ)設(shè)備中對(duì)應(yīng)密鑰的權(quán)限����,如果有則進(jìn)入步驟(4),否則過(guò)程結(jié)束��;具 體而言��,該身份認(rèn)證和鑒權(quán)請(qǐng)求中攜帶有用戶相關(guān)信息�,包括指紋、口令����、視網(wǎng)膜信息、用戶 ID等�����;
[0050] (4)通過(guò)用戶身份認(rèn)證程序并采用非對(duì)稱加密系統(tǒng)(Asymmetric Encryption System��,簡(jiǎn)稱AES)加密方法建立密鑰存儲(chǔ)設(shè)備與固態(tài)盤(pán)之間的安全鏈接���;
[0051] (5)使用AES中的公鑰將密鑰存儲(chǔ)設(shè)備中的對(duì)應(yīng)密鑰進(jìn)行加密�����,并將加密后的密 鑰傳送到固態(tài)盤(pán)���;
[0052] (6)使用AES中的私鑰將加密后的密鑰解密���,以得到密鑰明文;
[0053] (7)隱藏固態(tài)盤(pán)的公開(kāi)區(qū)�����,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的起始邏輯地 址����,以及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū);
[0054] (8)重啟用戶終端�����,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/解密操作�����。 其中在用戶終端掉電時(shí),密鑰明文會(huì)自動(dòng)丟失���。
[0055] 以下結(jié)合一個(gè)實(shí)例描述本發(fā)明的方法:首先��,在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加 密區(qū)��,并對(duì)用戶顯示固態(tài)盤(pán)的公開(kāi)區(qū),并將公開(kāi)區(qū)設(shè)置為只讀狀態(tài)���;其中��,將公開(kāi)區(qū)設(shè)置為 512MB��,并設(shè)置2個(gè)加密區(qū)A�����、B����,其大小分別為512MB和1024MB ;然后��,將公開(kāi)區(qū)中的用戶身 份認(rèn)證程序加載到內(nèi)存中�,并運(yùn)行該用戶身份認(rèn)證程序�����,以建立該用戶身份認(rèn)證程序與USB Key之間的連接�����;其后����,接收用戶通過(guò)指紋輸入的身份認(rèn)證和鑒權(quán)請(qǐng)求��,并確定該用戶具有 使用USB Key中對(duì)應(yīng)密鑰的權(quán)限�;隨后,通過(guò)用戶身份認(rèn)證程序并采用AES加密方法建立 USB Key與固態(tài)盤(pán)之間的安全鏈接����;其后,使用AES中的公鑰將USB Key中的對(duì)應(yīng)密鑰進(jìn)行 加密�����,并將加密后的密鑰傳送到固態(tài)盤(pán)��,使用AES中的私鑰將加密后的密鑰解密����,以得到密 鑰明文����;其后���,隱藏固態(tài)盤(pán)的公開(kāi)區(qū)�,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的起始邏輯地 址����,以及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū)����;最后,重啟用 戶終端�����,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/解密操作��,其中在用戶終端掉 電時(shí)��,密鑰明文會(huì)自動(dòng)丟失����。
[0056] 本發(fā)明的固態(tài)盤(pán)加密系統(tǒng)����,其應(yīng)用在包括固態(tài)盤(pán)的用戶終端中(該用戶終端可以 是個(gè)人電腦���、筆記本����、服務(wù)器等)����,并包括:
[0057] 第一模塊,用于在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加密區(qū)���,并對(duì)用戶顯示固態(tài)盤(pán)的 公開(kāi)區(qū)�����,并將公開(kāi)區(qū)設(shè)置為只讀狀態(tài)�;其中���,公開(kāi)區(qū)是在固態(tài)盤(pán)初始化階段設(shè)定的�,其大小 等于初始化階段寫(xiě)入其中的用戶身份認(rèn)證程序的大小,固態(tài)盤(pán)還包括在系統(tǒng)初始化階段設(shè) 置的至少一個(gè)加密區(qū)�����,其具體數(shù)量等于使用固態(tài)盤(pán)的用戶數(shù)量��,大小是由用戶根據(jù)其具體 使用需求指定���;
[0058] 第二模塊�,用于將公開(kāi)區(qū)中的用戶身份認(rèn)證程序加載到內(nèi)存中�����,并運(yùn)行該用戶身 份認(rèn)證程序����,以建立該用戶身份認(rèn)證程序與密鑰存儲(chǔ)設(shè)備之間的連接��;具體而言�����,密鑰存儲(chǔ) 設(shè)備包括USB Key、智能卡��、密鑰服務(wù)器等�����;
[0059] 第三模塊�,用于接收用戶的身份認(rèn)證和鑒權(quán)請(qǐng)求,并根據(jù)該身份認(rèn)證和鑒權(quán)請(qǐng)求 確定該用戶是否具有使用密鑰存儲(chǔ)設(shè)備中對(duì)應(yīng)密鑰的權(quán)限���,如果有則進(jìn)入第四模塊��,否則 過(guò)程結(jié)束�����;具體而言�����,該身份認(rèn)證和鑒權(quán)請(qǐng)求中攜帶有用戶相關(guān)信息���,包括指紋、口令��、視網(wǎng) 膜信息、用戶ID等����;
[0060] 第四模塊,用于通過(guò)用戶身份認(rèn)證程序并采用非對(duì)稱加密系統(tǒng)(Asymmetric Encryption System,簡(jiǎn)稱AES)加密方法建立密鑰存儲(chǔ)設(shè)備與固態(tài)盤(pán)之間的安全鏈接����;
[0061] 第五模塊,用于使用AES中的公鑰將密鑰存儲(chǔ)設(shè)備中的對(duì)應(yīng)密鑰進(jìn)行加密���,并將 加密后的密鑰傳送到固態(tài)盤(pán)�����;
[0062] 第六模塊����,用于使用AES中的私鑰將加密后的密鑰解密�����,以得到密鑰明文�����;
[0063] 第七模塊�����,用于隱藏固態(tài)盤(pán)的公開(kāi)區(qū)��,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的 起始邏輯地址�,以及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū); [0064] 第八模塊��,用于重啟用戶終端�,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/ 解密操作。其中在用戶終端掉電時(shí)����,密鑰明文會(huì)自動(dòng)丟失。
[〇〇65] 本領(lǐng)域的技術(shù)人員容易理解�,以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以 限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等����,均應(yīng)包含 在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1. 一種固態(tài)盤(pán)加密方法�,其應(yīng)用在包括固態(tài)盤(pán)的用戶終端中�����,其特征在于����,該方法包括 以下步驟: (1) 在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加密區(qū)�����,并對(duì)用戶顯示固態(tài)盤(pán)的公開(kāi)區(qū)��,并將公開(kāi) 區(qū)設(shè)置為只讀狀態(tài)�����;其中��,公開(kāi)區(qū)是在固態(tài)盤(pán)初始化階段設(shè)定的���,其大小等于初始化階段寫(xiě) 入其中的用戶身份認(rèn)證程序的大小����,固態(tài)盤(pán)還包括在系統(tǒng)初始化階段設(shè)置的至少一個(gè)加密 區(qū)���,其具體數(shù)量等于使用固態(tài)盤(pán)的用戶數(shù)量����; (2) 將公開(kāi)區(qū)中的用戶身份認(rèn)證程序加載到內(nèi)存中��,并運(yùn)行該用戶身份認(rèn)證程序����,以建 立該用戶身份認(rèn)證程序與密鑰存儲(chǔ)設(shè)備之間的連接; (3) 接收用戶的身份認(rèn)證和鑒權(quán)請(qǐng)求�����,并根據(jù)該身份認(rèn)證和鑒權(quán)請(qǐng)求確定該用戶是否 具有使用密鑰存儲(chǔ)設(shè)備中對(duì)應(yīng)密鑰的權(quán)限����,如果有則進(jìn)入步驟(4),否則過(guò)程結(jié)束����; (4) 通過(guò)用戶身份認(rèn)證程序并采用AES加密方法建立密鑰存儲(chǔ)設(shè)備與固態(tài)盤(pán)之間的安 全鏈接; (5) 使用AES中的公鑰將密鑰存儲(chǔ)設(shè)備中的對(duì)應(yīng)密鑰進(jìn)行加密�,并將加密后的密鑰傳 送到固態(tài)盤(pán); (6) 使用AES中的私鑰將加密后的密鑰解密��,以得到密鑰明文; (7) 隱藏固態(tài)盤(pán)的公開(kāi)區(qū)����,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的起始邏輯地址、以 及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū)��; (8) 重啟用戶終端�,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/解密操作,其中 在用戶終端掉電時(shí)����,密鑰明文會(huì)自動(dòng)丟失。
2. 根據(jù)權(quán)利要求1所述的固態(tài)盤(pán)加密方法���,其特征在于�,用戶終端是個(gè)人電腦����、筆記 本、或服務(wù)器�����。
3. 根據(jù)權(quán)利要求1所述的固態(tài)盤(pán)加密方法,其特征在于�����,密鑰存儲(chǔ)設(shè)備是USB Key�����、智 能卡�����、或密鑰服務(wù)器�。
4. 根據(jù)權(quán)利要求1所述的固態(tài)盤(pán)加密方法����,其特征在于,身份認(rèn)證和鑒權(quán)請(qǐng)求中攜帶 有用戶的指紋���、口令�、視網(wǎng)膜信息�、用戶ID信息。
5. -種固態(tài)盤(pán)加密系統(tǒng)�,其應(yīng)用在包括固態(tài)盤(pán)的用戶終端中,并包括: 第一模塊�����,用于在用戶終端上電時(shí)隱藏固態(tài)盤(pán)的加密區(qū),并對(duì)用戶顯示固態(tài)盤(pán)的公開(kāi) 區(qū)�����,并將公開(kāi)區(qū)設(shè)置為只讀狀態(tài)��;其中��,公開(kāi)區(qū)是在固態(tài)盤(pán)初始化階段設(shè)定的�,其大小等于 初始化階段寫(xiě)入其中的用戶身份認(rèn)證程序的大小,固態(tài)盤(pán)還包括在系統(tǒng)初始化階段設(shè)置的 至少一個(gè)加密區(qū)�,其具體數(shù)量等于使用固態(tài)盤(pán)的用戶數(shù)量; 第二模塊�����,用于將公開(kāi)區(qū)中的用戶身份認(rèn)證程序加載到內(nèi)存中����,并運(yùn)行該用戶身份認(rèn) 證程序,以建立該用戶身份認(rèn)證程序與密鑰存儲(chǔ)設(shè)備之間的連接���; 第三模塊��,用于接收用戶的身份認(rèn)證和鑒權(quán)請(qǐng)求���,并根據(jù)該身份認(rèn)證和鑒權(quán)請(qǐng)求確定 該用戶是否具有使用密鑰存儲(chǔ)設(shè)備中對(duì)應(yīng)密鑰的權(quán)限����,如果有則進(jìn)入第四模塊��,否則過(guò)程 結(jié)束�����; 第四模塊��,用于通過(guò)用戶身份認(rèn)證程序并采用AES加密方法建立密鑰存儲(chǔ)設(shè)備與固態(tài) 盤(pán)之間的安全鏈接�; 第五模塊��,用于使用AES中的公鑰將密鑰存儲(chǔ)設(shè)備中的對(duì)應(yīng)密鑰進(jìn)行加密��,并將加密 后的密鑰傳送到固態(tài)盤(pán)����; 第六模塊,用于使用AES中的私鑰將加密后的密鑰解密,以得到密鑰明文����; 第七模塊,用于隱藏固態(tài)盤(pán)的公開(kāi)區(qū)���,并根據(jù)密鑰明文前綴與前綴對(duì)應(yīng)數(shù)據(jù)塊的起始 邏輯地址�,以及數(shù)據(jù)塊大小的映射關(guān)系對(duì)用戶顯示與該用戶對(duì)應(yīng)的固態(tài)盤(pán)的加密區(qū)����; 第八模塊,用于重啟用戶終端���,并使用密鑰明文對(duì)用戶存取固態(tài)盤(pán)的數(shù)據(jù)進(jìn)行加/解 密操作�。其中在用戶終端掉電時(shí)��,密鑰明文會(huì)自動(dòng)丟失�。
6. 根據(jù)權(quán)利要求5所述的固態(tài)盤(pán)加密系統(tǒng),其特征在于���,用戶終端是個(gè)人電腦�����、筆記 本�����、或服務(wù)器�。
7. 根據(jù)權(quán)利要求5所述的固態(tài)盤(pán)加密系統(tǒng),其特征在于���,密鑰存儲(chǔ)設(shè)備是USB Key���、智 能卡、或密鑰服務(wù)器����。
8. 根據(jù)權(quán)利要求5所述的固態(tài)盤(pán)加密系統(tǒng)�����,其特征在于�����,身份認(rèn)證和鑒權(quán)請(qǐng)求中攜帶 有用戶的指紋�、口令�、視網(wǎng)膜信息��、用戶ID信息�����。
【文檔編號(hào)】G06F12/14GK104090853SQ201410315521
【公開(kāi)日】2014年10月8日 申請(qǐng)日期:2014年7月3日 優(yōu)先權(quán)日:2014年7月3日
【發(fā)明者】吳非, 謝長(zhǎng)生, 夏峰, 裴舒逸 申請(qǐng)人:武漢迅存科技有限公司