Sata硬碟設備加密方法及系統的製作方法
2023-06-01 16:19:21
Sata硬碟設備加密方法及系統的製作方法
【專利摘要】本發明涉及硬碟加密領域,尤其涉及SATA硬碟設備加密方法及系統。所述方法包括以下步驟:硬碟設備上電,檢測密鑰存儲模塊是否存在,若所述密鑰存儲模塊存在,則設備加密模塊完成密鑰加載,若所述密鑰存儲模塊不存在則步驟結束;所述設備加密模塊判斷所述密鑰是否正確,所述密鑰正確則硬碟和計算機完成讀寫功能,所述密鑰不正確則計算機和硬碟無法完成讀寫。所述系統包括:設備加密模塊,用於完成硬碟和主板之間數據傳輸的加密和/或解密;密鑰存儲模塊,用於存儲密鑰。本發明提供的方法和系統實現了對所接硬碟設備的全盤加密,防止因硬碟設備丟失或失竊造成的敏感數據洩露。
【專利說明】SATA硬碟設備加密方法及系統
【技術領域】
[0001]本發明涉及硬碟加密領域,尤其涉及SATA硬碟設備加密方法及系統。
【背景技術】
[0002]信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對於人類具有特別重要的意義。信息安全的實質就是要保護信息資源免受各種類型的威脅、幹擾和破壞,即保證信息的安全性。根據國際標準化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業都必須十分重視的問題,是一個不容忽視的國家安全戰略。
[0003]當前,硬碟設備作為計算機中數據存儲的主要載體,包含了企業、事業單位、國家機關中大量數據信息,這些數據信息有些為高度機密數據,如何確保這些數據信息的安全,防止信息洩露與被盜成為主要難題。
[0004]在專利文獻CN103440209A中公開了一種固態硬碟數據加解密方法及固態硬碟系統,所述文獻的解決方案為軟體加密保護,通過各種加密算法完成加殼,但軟體加密通常用於網絡傳輸以及小型軟體中,不適用於硬碟設備的數據加密。
[0005]在專利文獻CN103345453A中公開了支持SATA接口的硬碟數據加密卡及加解密方法,所述文獻通過加密卡方式完成的硬碟加密僅僅是通過在加密卡中寫入軟體程序完成加密,一旦加密算法得到破解,無法阻止數據信息的洩露與被盜。
【發明內容】
[0006]針對【背景技術】中所出現的問題,本發明提供了一種SATA硬碟設備加密方法,用於完成硬碟設備的加密,所述方法依次包括以下步驟:
硬碟設備上電,檢測密鑰存儲模塊是否存在;
若所述密鑰存儲模塊存在,則設備加密模塊完成密鑰加載,若所述密鑰存儲模塊不存在則步驟結束;
所述設備加密模塊判斷所述密鑰是否正確;
所述密鑰正確則硬碟和計算機完成讀寫功能,所述密鑰不正確則計算機和硬碟無法完成讀寫。
[0007]優選的是,所述密鑰包括電子密鑰和個人信息密鑰。
[0008]在上述任一方案中優選的是,所述個人信息密鑰包括指紋密鑰、個人輸入的隨機密鑰中至少一種。
[0009]在上述任一方案中優選的是,所述設備加密模塊處於計算機主板和硬碟之間,通過數據線攔截方式,對數據傳輸協議進行解析、加密和重組。
[0010]在上述任一方案中優選的是,所述方法包括以下步驟:計算機發出硬碟數據寫入請求;設備加密模塊從密鑰存儲模塊中讀取密鑰;所述設備加密模塊對數據流進行加密運算,並將所述加密運算後的數據寫入硬碟中。
[0011]在上述任一方案中優選的是,所述方法包括以下步驟:計算機發出讀取硬碟數據請求;設備加密模塊從密鑰存儲模塊中讀取密鑰;設備加密模塊對所述硬碟數據進行解密,並將所述解密後的數據發送至計算機。
[0012]在上述任一方案中優選的是,所述設備加密模塊通過加密算法實現數據的加密。
[0013]在上述任一方案中優選的是,所述算法包括AES算法。
[0014]在上述任一方案中優選的是,所述密鑰存儲模塊存儲的密鑰事先隨機生成並通過編程寫入電子鑰匙中。
[0015]本發明還提供了一種SATA硬碟設備加密系統,用於完成對硬碟設備的加密,所述系統包括:
設備加密模塊,用於完成硬碟和主板之間數據傳輸的加密和/或解密;
密鑰存儲模塊,用於存儲密鑰。
[0016]優選的是,所述密鑰包括電子密鑰和個人信息密鑰。
[0017]在上述任一方案中優選的是,所述個人信息密鑰包括指紋密鑰、個人輸入的隨機密鑰中至少一種。
[0018]在上述任一方案中優選的是,所述設備加密模塊處於計算機主板和硬碟之間,通過數據線攔截方式,對數據傳輸協議進行解析、加密和重組。
[0019]在上述任一方案中優選的是,計算機向硬碟寫入數據時,所述設備加密模塊從密鑰存儲模塊中讀取密鑰,對數據流進行加密運算再寫入硬碟中。
[0020]在上述任一方案中優選的是,計算機讀取硬碟數據時,設備加密模塊完成數據的解密,並將解密後的數據發送至計算機。
[0021]在上述任一方案中優選的是,所述設備加密模塊通過加密算法實現數據的加密。
[0022]在上述任一方案中優選的是,所述密鑰存儲模塊存儲的密鑰事先隨機生成並通過編程寫入電子鑰匙中。
[0023]本發明提供的方法和系統實現了對所接硬碟設備的全盤加密,防止因硬碟設備丟失或失竊造成的敏感數據洩露。
【專利附圖】
【附圖說明】
[0024]圖1是按照本發明的設備加密模塊系統結構的一示例性實施例的示意圖。
[0025]圖2是根據圖1示出的硬碟設備加密方法的流程圖。
[0026]圖3是根據圖1示出的計算機讀取硬碟數據的流程圖。
[0027]圖4是根據圖1示出的計算機寫入硬碟數據的流程圖。
[0028]圖5是按照本發明的硬碟設備加密方法的另一示例性實施例的流程圖。
【具體實施方式】
[0029]下面參照附圖結合示例性的實施例對本發明進行詳細描述。
[0030]如圖1所示,是按照本發明的設備加密模塊系統結構的一示例性實施例的示意圖。本設備加密模塊處於計算機主板和硬碟之間,作為單獨的模塊用於連接二者,計算機主板通過SATA接口與加密模塊連接,加密模塊通過SATA接口與硬碟設備連接,其中,SATA接口是Serial ATA的縮寫,即串行ΑΤΑ。這是一種完全不同於並行ATA的新型硬碟接口類型,由於採用串行方式傳輸數據而得名。SATA總線使用嵌入式時鐘信號,具備了更強的糾錯能力,與以往相比其最大的區別在於能對傳輸指令(不僅僅是數據)進行檢查,如果發現錯誤會自動矯正,這在很大程度上提高了數據傳輸的可靠性。串行接口還具有結構簡單、支持熱插拔的優點。
[0031]加密模塊通過數據線攔截方式,對SATA數據進行加解密,加密的位數為2的N次方。其中,用到的密鑰存儲在外部電子鑰匙中,所述密鑰通過算法隨機生成並編程寫入,形成了唯一的密鑰。所述電子鑰匙中的密鑰還同時包括了個人信息密鑰,例如:用戶個人指紋信息,隨機輸入的信息等,即使電子鑰匙丟失被他人獲得,仍然無法完成硬碟的讀寫功能,因為在插入電子鑰匙後首先需要進行身份驗證。
[0032]使用時,加密模塊從電子鑰匙中讀取隨機密鑰,同時驗證個人身份密鑰,驗證通過則對SATA數據流進行加密運算,在寫入硬碟設備;讀取數據時進行解密,發送給計算機。在圖1中,時鐘電路為加密模塊提供工作時鐘,電源系統為加密模塊提供5V和3.3V電壓,內核控制模塊包括:CPU、ROM固件、SATA協議分析、加密算法及密鑰讀入邏輯。其中,CPU負責加密模塊的軟硬體控制,ROM固件用於寫入整個加密模塊的軟體程序,加密算法部分由簡單到複雜,提供了 η中不同的算法,如DES、3DES、RC2、RC4、IDE、RSA、DSA、AES等,根據讀取的密鑰,對SATA數據流進行加密運算,密鑰讀入邏輯用於從外部電子鑰匙中讀取密鑰或指紋,SATA協議分析用於解析高速暫存中的SATA數據流,對SATA命令不加密,對SATA數據包進行加密與解密。
[0033]加密,是以某種特殊的算法改變原有的信息數據,使得未授權的用戶即使獲得了已加密的信息,但因不知解密的方法,仍然無法了解信息的內容。數據加密的基本過程就是對原來為明文的文件或數據按某種算法進行處理,使其成為不可讀的一段代碼,通常稱為"密文",使其只能在輸入相應的密鑰之後才能顯示出本來內容,通過這樣的途徑來達到保護數據不被非法人竊取、閱讀的目的。在本實施例中,通過所述加密模塊獲得電子鑰匙的密鑰,在硬碟設備寫入過程中完成對數據的加密,得到密文,在讀取數據過程中完成解密,得到名文。
[0034]在所述加密模塊中,還包含了接口控制邏輯和高速緩存,其中,接口控制邏輯按照SATA總線標準,適配加密模塊和SATA接口與設備間的硬體邏輯。其中,高速緩存用於暫存讀寫是SATA數據流,高速緩衝存儲器(Cache)其原始意義是指存取速度比一般隨機存取記憶體(RAM)來得快的一種RAM,一般而言它不像系統主記憶體那樣使用DRAM技術,而使用昂貴但較快速的SRAM技術,也有快取記憶體的名稱,在計算機技術發展過程中,主存儲器存取速度一直比中央處理器操作速度慢得多,使中央處理器的高速處理能力不能充分發揮,整個系統的工作效率受到影響。有很多方法可用來緩和中央處理器和主存儲器之間速度不匹配的矛盾,如採用多個通用寄存器、多存儲體交叉存取等,在存儲層次上採用高速緩衝存儲器也是常用的方法之一。
[0035]在所述加密模塊中用到了 I2C總線、SPI總線、指紋輸入以及SD/MMC。其中,I2C(Inter 一 Integrated Circuit)總線是由PHILIPS公司開發的兩線式串行總線,用於連接微控制器及其外圍設備。是微電子通信控制領域廣泛採用的一種總線標準。它是同步通信的一種特殊形式,具有接口線少,控制方式簡單,器件封裝形式小,通信速率較高等優點,I2C總線支持任何IC生產過程(CMOS、雙極性)。通過串行數據(SDA)線和串行時鐘(SCL)線在連接到總線的器件間傳遞信息。其中,SPI總線是一種高速的,全雙工,同步的通信總線,並且在晶片的管腳上只佔用四根線,節約了晶片的管腳,同時為PCB的布局上節省空間,提供方便。指紋輸入是一種通過圖像處理和模式識別方法對指紋進行特徵抽取和識別的技術,用光電輸入設備把指紋檔案或照片變換為數字圖像,通過計算機處理,抽取指紋的總體和細節特徵,並確定特徵間的相互關係,在這個基礎上進行指紋文件的編輯、分類和存儲,以建立指紋資料庫,供需要時檢索、查找和比對。在加密模塊中用到的SD卡為安全數碼卡,是一種基於半導體快閃記憶器的新一代記憶設備,它被廣泛地於可攜式裝置上使用,例如數位相機、個人數碼助理(PDA )和多媒體播放器等。
[0036]本實施例提供的系統實現了對所接硬碟設備的全盤加密,防止了硬碟在丟失或失竊時敏感數據的洩露。同時,是數據洩露防護(DLP)技術的重要組成部分,可以廣泛應用於有保密要求的計算機上,特別適合保護企業商業機密信息以及個人隱私。
[0037]如圖2所示,為根據圖1示出的硬碟設備加密方法的流程圖,首先電腦開機使得硬碟設備加電,此時硬碟設備完成自檢,自檢內容包括檢測密鑰載體是否存在,所述密鑰載體為硬碟加密模塊裝置,加密模塊處於計算機主板和硬碟之間,作為單獨的模塊用於連接二者,計算機主板通過SATA接口與加密模塊連接,加密模塊通過SATA接口與硬碟設備連接。若此時監測結果為密鑰載體存在,則對其進行加載,若此時密鑰載體不存在,則為普通硬碟設備,無法完成對硬碟信息的加密,步驟結束。密鑰加載過程中,系統判定密鑰是否正確,其中密鑰存儲在外部電子鑰匙中,所述密鑰為通過加密算法,隨機生成的提前編程寫入了電子鑰匙中,在密鑰的驗證過程中,還包括了對個人身份信息的驗證。例如,用戶個人指紋信息,即使電子鑰匙丟失,他人拾取後也無法通過密鑰完成對硬碟信息的讀取。
[0038]在系統設備判斷密鑰正確後,則可以完成對硬碟寫入數據的加密。加密模塊通過SATA接口和主板相連,接收計算機發出的寫入硬碟數據的指令,並對所述數據進行加密,加密算法包括:DES、3DES、RC2、RC4、IDE、RSA, DSA, AES等,其中,DES算法全稱為DataEncryption Standard,即數據加密算法,它是IBM公司於1975年研究成功並公開發表的。DES算法的入口參數有三個:Key、Data、Mode。其中Key為8個字節共64位,是DES算法的工作密鑰;Data也為8個字節64位,是要被加密或被解密的數據。DES算法把64位的明文輸入塊變為64位的密文輸出塊,它所使用的密鑰也是64位。其中,3DES又稱TripleDES,是DES加密算法的一種模式,它使用3條56位的密鑰對數據進行三次加密,文本被分成64位大小的文本塊然後再進行加密。其中,RC2是由著名密碼學家Ron Rivest設計的一種傳統對稱分組加密算法,其輸入和輸出都是64比特。密鑰的長度是從I字節到128位元組可變。
[0039]通過上述加密算法完成對明文數據的加密得到密文,並將所述密文寫入硬碟中,在硬碟使用完畢後,用戶可以拔下電子鑰匙隨身攜帶或者儲存起來。在計算機讀取硬碟數據時,通過加密模塊將硬碟中存在的數據進行相應解密,發送至計算機用於顯示。
[0040]本實施例提供的硬碟設備加密方法,通過硬碟加密模塊以及電子鑰匙完成了對硬碟的加密,電子鑰匙中存儲密鑰信息,包含電子密鑰和用戶個人信息,在用戶使用時,插入電子鑰匙,首先進行個人身份驗證,驗證通過後,通過加密模塊完成電子密鑰的加載,在計算機讀取硬碟數據與寫入硬碟數據時,通過加密模塊完成相應的解密和加密,在用戶不使用硬碟設備時,為了防止硬碟信息洩露則拔下電子鑰匙,他人在打開電腦後,由於此時硬碟數據已經加密,則發現硬碟內容為空,即無法查看硬碟內容信息,即使撿到電子鑰匙由於個人身份信息驗證不成功也無法查看信息。所述硬碟設備加密方法從軟體加密算法、硬體加密模塊以及電子鑰匙的電子密鑰與個人信息密鑰4個方面對硬碟信息進行了合理的保護,防止重要數據信息的洩露,達到了保護信息安全的目的。
[0041]如圖3所示,為計算機讀取硬碟數據的流程圖。在步驟301中,計算機發出讀取硬碟數據請求,步驟302中,設備加密模塊從密鑰存儲模塊中讀取密鑰,此時將密鑰加載並用於步驟303中對硬碟數據的解密。在步驟304中,設備加密模塊將解密後的硬碟數據發送至計算機顯示設備,完成計算機對硬碟數據的讀取功能。
[0042]如圖4所示,為計算機寫入硬碟數據的流程圖。在步驟401中,計算機發出向硬碟寫入數據的請求,步驟402中,設備加密模塊從密鑰存儲模塊中讀取密鑰,此時將密鑰加載並用於步驟403中對硬碟數據的加密。在步驟404中,設備加密模塊將加密後的數據寫入硬碟設備,完成對數據的加密寫入功能。此時硬碟存儲的數據為加密數據,在使用過程中,若不對數據進行相應解密則無法看到硬碟中存儲的數據。
[0043]如圖5所示,為本發明的硬碟設備加密方法的另一示例性實施例的流程圖。在步驟501中,密鑰存儲模塊隨機寫入電子密鑰,此時的電子密鑰用於在硬碟讀寫過程中,玩成硬碟數據的加密和解密;在步驟502中,密鑰存儲模塊寫入個人密鑰,此時的個人密鑰包括用戶個人身份信息如指紋,同時也可以為用戶個人輸入的個人密鑰;當電子鑰匙與設備加密模塊連接是,步驟503中,設備加密模塊首先驗證個人密鑰,此時用戶需要通過之前錄入的指紋或者輸入個人密鑰用於驗證,驗證成功後,在步驟504中設備加密模塊載入電子密鑰準備用於硬碟的讀寫;若驗證不成功,則設備加密模塊無法進行下一步工作,計算機也無法讀取出硬碟的數據。
[0044]在本實施例中,對電子鑰匙進行了個人身份驗證的加密過程,即使電子鑰匙丟失或被竊,被人接入硬碟設備但由於無法通過個人身份驗證,也無法完成硬碟的讀寫。同時,若硬碟損壞需要修理拿去送修的過程中,此時用戶可以通過個人密鑰完成加密模塊的初次驗證,使得硬碟可以正常使用,但由於電子密鑰的存在,修理人員無法看到硬碟的內容只能對硬碟的硬體進行維修,可以很好的防止硬碟數據的洩露。
[0045]為了更好地理解本發明,以上結合具體實施例對本發明作了詳細說明。但是,顯然可對本發明進行不同的變型和改型而不超出權利要求限定的本發明更寬的精神和範圍。因此,以上實施例具有示例性而沒有限制的含義。
【權利要求】
1.SATA硬碟設備加密方法,用於完成硬碟設備的加密,其特徵在於,所述方法依次包括以下步驟: 硬碟設備上電,檢測密鑰存儲模塊是否存在; 若所述密鑰存儲模塊存在,則設備加密模塊完成密鑰加載,若所述密鑰存儲模塊不存在則步驟結束; 所述設備加密模塊判斷所述密鑰是否正確; 所述密鑰正確則硬碟和計算機完成讀寫功能,所述密鑰不正確則計算機和硬碟無法完成讀寫。
2.根據權利要求1所述的SATA硬碟設備加密方法,其特徵在於,所述密鑰包括電子密鑰和個人信息密鑰。
3.根據權利要求1所述的SATA硬碟設備加密方法,其特徵在於,所述個人信息密鑰包括指紋密鑰、個人輸入的隨機密鑰中至少一種。
4.根據權利要求1所述的SATA硬碟設備加密方法,其特徵在於,所述設備加密模塊處於計算機主板和硬碟之間,通過數據線攔截方式,對數據傳輸協議進行解析、加密和重組。
5.根據權利要求4所述的SATA硬碟設備加密方法,其特徵在於,所述方法進一步包括以下步驟: 計算機發出硬碟數據寫入請求; 設備加密模塊從密鑰存儲模塊中讀取密鑰; 所述設備加密模塊對數據流進行加密運算,並將所述加密運算後的數據寫入硬碟中。
6.根據權利要求4所述的SATA硬碟設備加密方法,其特徵在於,所述方法進一步包括以下步驟: 計算機發出讀取硬碟數據請求; 設備加密模塊從密鑰存儲模塊中讀取密鑰; 設備加密模塊對所述硬碟數據進行解密,並將所述解密後的數據發送至計算機。
7.根據權利要求1所述的SATA硬碟設備加密方法,其特徵在於,所述設備加密模塊通過加密算法實現數據的加密。
8.根據權利要求7所述的SATA硬碟設備加密方法,其特徵在於,所述加密算法包括AES算法。
9.根據權利要求1所述的SATA硬碟設備加密方法,其特徵在於,所述密鑰存儲模塊存儲的密鑰事先隨機生成並通過編程寫入電子鑰匙中。
10.SATA硬碟設備加密系統,用於完成對硬碟設備的加密,其特徵在於,所述系統包括: 設備加密模塊,用於完成硬碟和主板之間數據傳輸的加密和/或解密; 密鑰存儲模塊,用於存儲密鑰。
【文檔編號】G06F21/80GK104077243SQ201410326909
【公開日】2014年10月1日 申請日期:2014年7月10日 優先權日:2014年7月10日
【發明者】王愛華 申請人:王愛華