一種具有數(shù)據(jù)保密功能的計算機及其數(shù)據(jù)加密和隱藏的方法
【技術領域】
[0001] 本發(fā)明涉及計算機數(shù)據(jù)存儲和數(shù)據(jù)安全領域,特別涉及一種具有數(shù)據(jù)保密功能的 計算機及其數(shù)據(jù)加密和隱藏的方法����。
【背景技術】
[0002] 一直以來,計算機(俗稱電腦)的安全問題備受關注���,無論是經(jīng)濟方面還是軍事方 面����,無論是國家�、企業(yè)或者個人,也無論是計算機設備制造商���、設計者、還是使用者���,都存在 計算機安全方面的產(chǎn)品需求����。安全計算機有多種形式的構建方式��,其中一個重要方向是針 對計算機硬盤數(shù)據(jù)的安全防護�����,也即通過對硬盤數(shù)據(jù)進行加密,可防止未授權操作�����、或者非 法破解等行為���,從而形成一種安全計算機�。
[0003] 計算機硬盤數(shù)據(jù)的安全防護包括存儲區(qū)數(shù)據(jù)加密和隱藏兩個方面��。傳統(tǒng)的硬盤數(shù) 據(jù)加密可分為模塊方和硬件方式兩大類�����。模塊數(shù)據(jù)加密依賴于計算機性能和操作系統(tǒng)平 臺�,保密等級低,同時也存在占用CPU資源�����、降低硬盤讀寫速度等缺陷���。
[0004] 典型的硬件數(shù)據(jù)加密方式是通過一種硬盤數(shù)據(jù)加密板卡來實現(xiàn)數(shù)據(jù)加解密��;該加 密板卡通常采用PCIE接口形式���,并接管和控制計算機的硬盤和主機之間的數(shù)據(jù)通訊���,可對 整個硬盤數(shù)據(jù)加密。硬件方式的數(shù)據(jù)加密克服了模塊方式的一些缺點����,比如自行完成數(shù)據(jù) 加解密運算等,但仍存在一些缺陷:由于對整個硬盤數(shù)據(jù)進行加解密�,影響計算機的啟動和 運行性能,僅適用于低速的機械硬盤�;用戶需要額外配置加密板卡,費用高�;應用范圍窄, 無法用于筆記本計算機�、平板計算機等小型計算機設備����;另外隨著計算機硬件設備(比如 CPU、主板�、硬盤等)、外設通訊協(xié)議以及操作系統(tǒng)等方面的性能升級����,加密板卡的性能和兼 容性也存在升級問題等等�。
[0005] 在存儲區(qū)的隱藏方面��,通常采用模塊方式��,即通過修改部分硬盤數(shù)據(jù)來實現(xiàn)���,但是 模塊方式依賴于操作系統(tǒng)平臺���,存在安全隱患:即容易被非授權者利用木馬或者漏洞等破 解。模塊方式還有另外一個風險是:熟悉操作系統(tǒng)文件格式的非法侵入者�����,可以通過再修改 硬盤數(shù)據(jù)把分區(qū)顯示出來�����?�?偟膩碚f���,應用層面的隱藏分區(qū)不夠徹底�,理論上是可以被熟悉 操作系統(tǒng)文件格式的非法侵入者破解。
[0006] 總之����,現(xiàn)有計算機硬盤數(shù)據(jù)加密和隱藏技術存在:占用CPU資源、依賴操作系統(tǒng)�����、 借助外部加解密板卡����、降低硬盤讀寫速度、存在破解隱患以及用戶使用受限等問題或缺陷�����。 故�,針對目前現(xiàn)有技術中存在的上述缺陷,實有必要進行研宄����,以提供一種方案���,解決現(xiàn)有 技術中存在的缺陷���。
【發(fā)明內容】
[0007] 為了解決上述技術問題�,本發(fā)明提供了一種具有數(shù)據(jù)保密功能的計算機及其數(shù)據(jù) 加密和隱藏的方法����,采用固態(tài)硬盤作為計算機硬盤,包括固態(tài)硬盤的高速數(shù)據(jù)加密機制��、加 密存儲區(qū)的隱藏機制以及身份認證機制等��,從硬盤存儲區(qū)數(shù)據(jù)加密以及隱藏兩個方面來保 障計算機的數(shù)據(jù)安全����,使得計算機具有更好的安全性。同時還包括公開存儲區(qū)的設置����,增加 用戶實際使用的靈活性和便利性。
[0008] 為解決現(xiàn)有技術存在的問題���,本發(fā)明的技術方案為:
[0009] -種具有數(shù)據(jù)保密功能的計算機��,包括:
[0010] 內置身份信息采集及人機界面模塊的計算機主機��、與所述計算機主機相連接的固 態(tài)硬盤以及與所述身份信息采集及人機界面模塊相連接的身份信息輸入裝置�����,其中�����,
[0011] 所述固態(tài)硬盤包括公開存儲區(qū)和加密存儲區(qū)�����;
[0012] 所述身份信息輸入裝置用于采集用戶的身份信息���;
[0013] 所述身份信息采集及人機界面模塊用于接收所述身份信息輸入裝置所采集的身 份信息�,對該身份信息處理后發(fā)送給固態(tài)硬盤��;
[0014] 所述固態(tài)硬盤接收身份信息采集及人機界面模塊發(fā)送的身份信息并對該身份信 息進行認證��,身份信息認證通過后�,計算機才能顯現(xiàn)和讀寫所述加密存儲區(qū);否則,僅能顯 現(xiàn)和讀寫公開存儲區(qū)�。
[0015] 優(yōu)選地����,所述的固態(tài)硬盤包括加解密模塊,所述加解密模塊用于在固態(tài)硬盤內直 接對數(shù)據(jù)進行加解密操作����。
[0016] 優(yōu)選地,所述身份信息輸入裝置為鍵盤或者生物特征傳感器���,所述生物特征傳感 器為指紋��、聲紋或虹膜傳感器的任一種���。
[0017] 優(yōu)選地,所述身份信息采集及人機界面模塊包括加密模塊�����,用于將身份信息加密 后再發(fā)送給固態(tài)硬盤����。
[0018] 本發(fā)明還公開了一種計算機的數(shù)據(jù)加密和隱藏方法,包括以下步驟:
[0019](1)計算機接收用戶輸入的身份信息����;
[0020] (2)將所述身份信息發(fā)送到固態(tài)硬盤�����;
[0021](3)固態(tài)硬盤進行用戶身份信息的認證��;
[0022] (4)身份認證通過后���,計算機才能顯示和讀寫所述加密存儲區(qū),否則��,計算機僅能 顯示和讀寫所述公開存儲區(qū)�。
[0023] 優(yōu)選地,所述步驟(2)進一步包括以下步驟:
[0024] (a)身份信息采集及人機界面模塊收到的用戶輸入的身份信息后���,向固態(tài)硬盤發(fā) 送驗證身份信息命令��;
[0025](b)固態(tài)硬盤在收到身份驗證信息命令后����,產(chǎn)生并保存一隨機數(shù)�����;
[0026] (c)固態(tài)硬盤將隨機數(shù)發(fā)送給計算機端的身份信息采集及人機界面模塊;
[0027](d)身份信息采集及人機界面模塊收到隨機數(shù)后�����,將隨機數(shù)作為加密密鑰�����,對用戶 身份信息進行加密���;并將加密后的身份信息發(fā)送給固態(tài)硬盤;
[0028] 所述步驟(3)進一步包括以下步驟:
[0029] (e)固態(tài)硬盤對收到的用戶信息進行解密操作�����,并采用保存在寄存器中的隨機數(shù) 作為解密密鑰���;
[0030] (f)固態(tài)硬盤將解密后的用戶信息和預先保存的注冊身份信息進行比對:如比對 一致,則表示鑒權通過��,固態(tài)硬盤自動對加密存儲區(qū)的內容進行解密,計算機可顯現(xiàn)和操作 固態(tài)硬盤的加密存儲區(qū);如比對不一致���,則表示鑒權失敗��,固態(tài)硬盤拒絕對加密存儲區(qū)的內 容解密��,并阻止計算機顯現(xiàn)和操作加密存儲區(qū)���。
[0031] 優(yōu)選地,所述的步驟(4)中未能通過身份認證時硬盤對加密存儲區(qū)的隱藏��,直接 由固態(tài)硬盤實現(xiàn)對該區(qū)的隱藏。
[0032] 優(yōu)選地��,所述的步驟(4)中未能通過身份認證時硬盤對加密存儲區(qū)的隱藏����,包括 修改硬盤中的硬盤容量和分區(qū)信息的步驟�。
[0033] 優(yōu)選地�,所述的步驟(4)中未能通過身份認證時硬盤對加密存儲區(qū)的隱藏,包括 通過和計算機的通訊命令來修改硬盤容量步驟��。
[0034] 優(yōu)選地���,所述的步驟(4)中未能通過身份認證時硬盤對加密存儲區(qū)的隱藏,包括 在固態(tài)硬盤中限制存儲區(qū)邏輯塊可尋址范圍的步驟�����。
[0035] 本發(fā)明數(shù)據(jù)保密功能實現(xiàn)的工作流程和機理,具體如下:
[0036] 1)在計算機上安裝特制的硬盤:該硬盤的存儲區(qū)已初始化�����、并分成加密存儲區(qū)和 公開存儲區(qū)��,其中硬盤已自動對加密存儲區(qū)的數(shù)據(jù)內容進行加密和隱藏;
[0037] 2)在計算機上安裝和運行身份信息采集及人機界面模塊��;
[0038] 3)用戶通過身份信息輸入裝置輸入身份信息;
[0039] 4)身份信息采集及人機界模塊面對輸入的身份信息進行加密�;
[0040] 5)身份信息采集及人機界面模塊將加密后的身份信息�����,通過計算機的硬盤接口傳 輸給硬盤;
[0041] 6)硬盤對收到的身份信息進行解密���;
[0042] 7)硬盤將解密后的身份信息和所保存的真實注冊身份信息進行比對�,即進行鑒 權�;
[0043] 8)如比對正確���、鑒權通過后,硬盤則自動對加密存儲區(qū)的內容進行解密����,同時修改 硬盤容量和分區(qū)信息���、允許計算機對加密存儲區(qū)的邏輯塊地址進行讀寫,也即計算機可正 常讀寫和操作加密存儲區(qū)��;
[0044] 9)如比對不正確����、鑒權未通過時�,硬盤拒絕對加密存儲區(qū)的內容解密��,同時硬盤在 和計算機通訊命令上限制對加密存儲區(qū)所對應的邏輯塊地址的讀寫��、在硬盤的物理容量和 分區(qū)信息上刪除加密存儲區(qū)的信息�����,阻止計算機讀寫和操作加密存儲區(qū)�,從而實現(xiàn)對計算 機數(shù)據(jù)的保密功能���。
[0045] 10)在身份信息認證通過和已解密狀態(tài)時,如果出現(xiàn)電腦關機���、休眠或者無用戶操 作時間超過預定時間等情形之一����,加密存儲區(qū)可自動退出已解密狀態(tài)�、重新進入加密狀態(tài)。
[0046] 與現(xiàn)有技術相比�,本發(fā)明的技術方案,在數(shù)據(jù)加密方面�,直接在固態(tài)硬盤內部實現(xiàn) 了數(shù)據(jù)的加解密,不耗費CPU資源��,不需要額外的加密板塊���、避免了工具模塊加密的弊端�, 同時保持了硬盤高速讀寫的性能�����;在硬盤的隱藏方面��,本發(fā)明在硬盤的通訊協(xié)議底層和邏 輯層兩方面進行控制,難以破解�;在身份認證機制中增加了對身份信息的加密傳輸,增加了 保密性��;同時本發(fā)明為方便用戶的實際使用�����,還設置了公開存儲區(qū)�。總之�,采用本發(fā)明的技 術方案,不依賴于計算機主機或者其他外設�,可方便地構建一種高數(shù)據(jù)保密性、高數(shù)據(jù)隱蔽 性的安全計算機���,同時可適合各種形態(tài)的計算機設備�,包括臺式電腦�、筆記本電腦以及平板 電腦等�。
【附圖說明】
[0047] 圖1示出了根據(jù)本發(fā)明的一種具有數(shù)據(jù)保密功能的計算機的實施例架構圖;
[0048] 圖2示出了根據(jù)本發(fā)明的另外一個實施例的架構圖����,該實施例中計算機采用 windows操作系統(tǒng)���,并采用SATA接口的硬盤,其中公開存儲區(qū)容量為206GB ;加密存儲區(qū)采 用AES加密����,容量為50GB ;盤總容量為256GB ;
[0049]圖3示出了圖2的另外一個實施例的閃存存儲介質(52)的進一步的分區(qū)信息圖;
[0050] 圖4示出了本發(fā)明一種計算機的數(shù)據(jù)加密和隱藏方法的流程圖�。
【具體實施方式】
[0051] 為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白�,以下結合附圖及實施例,對 本發(fā)明進行進一步詳細說明���。應當理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明���,并 不用于限定本發(fā)明�。
[0052] 相反��,本發(fā)明涵蓋任何由權利要求定義的在本發(fā)明的精髓和范圍上做的替代�����、修 改、等效方法以及方案���。進一步����,為了使公眾對本發(fā)明有更好的了解����,在下文對本發(fā)明的細 節(jié)描述中,詳盡描述了一些特定的細節(jié)部分����。對本領域技術人員來說沒有這些細節(jié)部分的 描述也可以完全理解本發(fā)明。
[0053] 圖1示出了根據(jù)本發(fā)明的一種具有數(shù)據(jù)保密功能的計算機的實施例架構圖���,該計 算機⑴包括計算機主機(2)����、固態(tài)硬盤(5)��、身份信息輸入裝置(3)���、顯示器⑷以及其他 基本外設(6)等�����。計算機主機(2)包括身份信息采集及人機界面模塊(24)����、CPU及芯片組 (20) �����、內存(22)�、硬盤接口(21)以及其他基本部件(23)等,并可安裝各種類型的計算機操 作系統(tǒng)(25)���。硬盤接口(21)可以是但不局限于SATA�、SAS�����、或者PCIE等接口之一�����。
[0054] 身份信息采集及人機界面模塊(24)安裝和運行在計算機主機(2)上,用于接收 所述身份信息輸入裝置所采集的身份信息�,對該身份信息處理后發(fā)送給固態(tài)硬盤(5);其 內可置有加密模塊(241),可對用戶身份信息進行加密�,并將加密后的身份信息經(jīng)硬盤接口 (21) 傳輸給固態(tài)硬盤(5)。