亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種數(shù)據(jù)安全保護方法和數(shù)據(jù)安全保護裝置的制作方法

文檔序號:6601176閱讀:476來源:國知局

專利名稱::一種數(shù)據(jù)安全保護方法和數(shù)據(jù)安全保護裝置的制作方法
技術(shù)領(lǐng)域
:本發(fā)明涉及計算機
技術(shù)領(lǐng)域
,尤其涉及一種用于保護計算機存儲器數(shù)據(jù)安全的數(shù)據(jù)安全保護方法和數(shù)據(jù)安全保護裝置。
背景技術(shù)
:隨著信息化時代的來臨,數(shù)據(jù)變得越來越重要,大多數(shù)公司、行業(yè)、個人的重要數(shù)據(jù)、信息基本上都是存放在現(xiàn)代化的存儲介質(zhì)中,部分重要的數(shù)據(jù)和可能存放在系統(tǒng)終端如個人電腦、PDA(PersonalDigitalAssistant,個人數(shù)字助手)、服務(wù)器的存儲器模塊中或其他可移動存儲器模塊中。目前個人電腦、PDA、服務(wù)器中的存儲器模塊以及可移動存儲器模塊都不具備加密特征,存儲器模塊一旦失去,就可能被非法用戶獲取存儲器模塊上的原始數(shù)據(jù),嚴重威脅個人隱私、商業(yè)機密,甚至金融、軍工機密。目前市面上存在的各種針對存儲器模塊的加密手段都存在顯著的漏洞,例如部分指紋硬盤,事實上只是通過指紋解決對用戶的身份鑒別問題,一旦硬盤被拆卸,可以通過其他途徑輕易讀出硬盤中的數(shù)據(jù)。其他如微軟自Vista操作系統(tǒng)開始推出的BitLocker(磁盤加密位元鎖)功能,實現(xiàn)了對用戶的身份鑒別和數(shù)據(jù)加密,但是它采用的數(shù)據(jù)加密方法是通過CPU執(zhí)行指令完成,其數(shù)據(jù)加密密鑰暴露在計算機內(nèi)存中,在目前計算機病毒、木馬流行的年度,該數(shù)據(jù)加密密鑰極易被非法獲取,該功能的安全性較低。而且通過CPU執(zhí)行指令來對數(shù)據(jù)加解密將大大降低計算機系統(tǒng)的性能。
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題是,提供一種數(shù)據(jù)安全保護方法,在數(shù)據(jù)加密的同時,所加密的數(shù)據(jù)僅對有權(quán)使用該加密數(shù)據(jù)的人開放,無權(quán)使用該加密數(shù)據(jù)的人無法采用非法手段獲取原始數(shù)據(jù)。本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下一種數(shù)據(jù)安全保護方法,包括以下步驟步驟A安全模塊對用戶身份進行鑒別,若鑒別未通過則執(zhí)行步驟B,否則執(zhí)行步驟C;步驟B:安全模塊判斷對用戶身份鑒別的次數(shù),若次數(shù)未達到限制值則執(zhí)行步驟A,否則執(zhí)行步驟G;步驟C安全模塊對加密模塊進行認證,若認證未通過則執(zhí)行步驟D,否則執(zhí)行步驟E;步驟D安全模塊判斷對加密模塊認證的次數(shù),若次數(shù)未達到限制值則執(zhí)行步驟C,否則執(zhí)行步驟G;步驟E安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊,并執(zhí)行步驟F;步驟F:加密模塊根據(jù)從安全模塊接收到的數(shù)據(jù)密鑰,對存入存儲器的數(shù)據(jù)進行加密和對取出存儲器的數(shù)據(jù)進行解密;步驟G拒絕進行用戶身份鑒別。采用上述數(shù)據(jù)安全保護方法的有益效果是安全模塊分別對用戶身份和加密模塊進行鑒別和認證,同時保證用戶身份和加密模塊的可靠性;數(shù)據(jù)密鑰與加密模塊分離放置,保證了數(shù)據(jù)密鑰的安全性。進一步,步驟A中,安全模塊對用戶身份進行鑒別的方式包括用戶口令比對方式、指紋對比方式、虹膜對比方式。進一步,步驟A中,安全模塊通過個人身份設(shè)備對用戶身份進行鑒別。進一步,所述個人身份設(shè)備包括第二代身份證和數(shù)字證書。進一步,步驟D中,對用戶身份鑒別的次數(shù)為3次或者4次。進一步,步驟D中,對加密模塊認證的次數(shù)為3次或者4次。進一步,步驟E中,安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊通過如下方法實現(xiàn)在生產(chǎn)制造階段安全模塊和加密模塊置入相同的根密鑰;步驟E中,安全模塊生成隨機數(shù)X,并用根密鑰加密后得到X’;安全模塊把X’發(fā)送給加密模塊;加密模塊生成隨機數(shù)y,并用根密鑰加密后得到r,加密模塊把y’發(fā)送給安全模塊;加密模塊接收安全模塊發(fā)送的χ’,用根密鑰解密得到X,并將χ和y異或得到ζ;安全模塊接收加密模塊發(fā)送的r,用根密鑰解密得到1,并將χ和y異或得到ζ;安全模塊用ζ將數(shù)據(jù)密鑰加密后得到的密文傳遞給加密模塊;加密模塊用ζ對從安全模塊接收到的密文進行解密,獲得數(shù)據(jù)密鑰。采用上述進一步方案的有益效果是,保證了數(shù)據(jù)密鑰在從安全模塊發(fā)送至加密模塊過程中的安全,一旦經(jīng)加密后的數(shù)據(jù)密鑰被盜取,也無法對其進行解密。進一步,步驟F中,加密模塊所采用的加密算法為DES(DataEncryptionStandard,數(shù)據(jù)力口密標準)、3DES或者AES(AdvancedEncryptionStandard,高級加密標準)。本發(fā)明所要解決的另一技術(shù)問題是提供一種數(shù)據(jù)安全保護裝置,經(jīng)該裝置加密的數(shù)據(jù)所在存儲器一旦丟失,非法用戶也無法獲取存儲器上的原始數(shù)據(jù),保護個人隱私、商業(yè)機密,甚至金融、軍工機密等。本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下一種數(shù)據(jù)安全保護裝置,包括安全模塊和與其電連接的加密模塊;所述安全模塊用于對用戶身份進行鑒別并將數(shù)據(jù)密鑰發(fā)送給加密模塊;所述加密模塊根據(jù)從安全模塊接收到的數(shù)據(jù)密鑰,對存入存儲器的數(shù)據(jù)進行加密和對取出存儲器的數(shù)據(jù)進行解密。采用上述數(shù)據(jù)安全保護裝置的有益效果是通過獨立的安全模塊對用戶身份進行鑒別,并通過獨立的加密模塊對存儲器的數(shù)據(jù)進行加解密,整個加解密過程在加密模塊中完成,完全不影響計算機系統(tǒng)的性能,既提高了計算機存儲器數(shù)據(jù)安全性,又不降低計算機系統(tǒng)性能,同時保證了存儲器上原始數(shù)據(jù)的安全;另外,數(shù)據(jù)密鑰保存在硬件,保證了數(shù)據(jù)密鑰不會被盜取。進一步,所述安全模塊還用于對加密模塊進行認證。采用上述進一步方案的有益效果是,安全模塊對加密模塊進行認證,防止加密模塊被非法修改或替換,更進一步的保護了加密數(shù)據(jù)的安全。進一步,所述安全模塊可以為可信平臺模塊。上述進一步方案中的可信平臺模塊,即TPM(TrustedPlatformModule),是一種植于計算機內(nèi)部為計算機提供可信根的芯片,該芯片的規(guī)格由可信計算組(TrustedComputingGroup)來制定,該芯片專門用于提高計算機平臺的安全性,通過為密鑰或者計算機所要執(zhí)行的關(guān)鍵任務(wù)提供保護空間,以確保計算機的安全。可信平臺模塊,可以在大部分計算機上使用,主要作用在于計算機啟動時檢測操作系統(tǒng)是否有改變,以及在電腦啟動和連接網(wǎng)絡(luò)之前幫助偵測僵尸網(wǎng)絡(luò)、隱藏進程和其他可疑代碼的存在??尚牌脚_模塊可以安全地存儲密鑰、證書和密碼。采用可信平臺模塊作為安全模塊,其有益效果在于,可以保護用于卷與文件加密的公共與私有密鑰,實現(xiàn)安全身份認證和用戶身份的安全保護。圖1為本發(fā)明數(shù)據(jù)安全保護方法具體實施方式的流程圖;圖2為實現(xiàn)本發(fā)明中數(shù)據(jù)安全保護方法所使用的數(shù)據(jù)安全保護裝置的邏輯框圖。附圖中,各標號所代表的部件列表如下201、安全模塊,202、加密模塊,203、存儲器具體實施例方式以下結(jié)合附圖對本發(fā)明的原理和特征進行描述,所舉實例只用于解釋本發(fā)明,并非用于限定本發(fā)明的范圍。本發(fā)明數(shù)據(jù)安全保護方法包括以下步驟步驟A安全模塊對用戶身份進行鑒別,若鑒別未通過則執(zhí)行步驟B,否則執(zhí)行步驟C;步驟B:安全模塊判斷對用戶身份鑒別的次數(shù),若次數(shù)未達到限制值則執(zhí)行步驟A,否則執(zhí)行步驟Z;步驟C安全模塊對加密模塊進行認證,若認證未通過則執(zhí)行步驟D,否則執(zhí)行步驟E;步驟D安全模塊判斷對加密模塊認證的次數(shù),若次數(shù)未達到限制值則執(zhí)行步驟C,否則執(zhí)行步驟Z;步驟E安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊,并執(zhí)行步驟F;步驟F:加密模塊根據(jù)從安全模塊接收到的數(shù)據(jù)密鑰,對存入存儲器的數(shù)據(jù)進行加密和對取出存儲器的數(shù)據(jù)進行解密;步驟Z拒絕進行用戶身份鑒別。圖1為以上數(shù)據(jù)安全保護方法具體實施方式的流程圖。圖2為實現(xiàn)本發(fā)明數(shù)據(jù)安全保護方法所使用的數(shù)據(jù)安全保護裝置的邏輯框圖,數(shù)據(jù)安全保護裝置包括安全模塊201和加密模塊202,安全模塊201和加密模塊202之間電連接;其中,安全模塊201采用可信平臺模塊或者安全芯片,其作用在于對用戶身份進行鑒別、對加密模塊202進行認證,在對用戶身份鑒別和對加密模塊202認證全部通過后,將數(shù)據(jù)加密密鑰發(fā)送給加密模塊202;加密模塊202根據(jù)從安全模塊201接收到的數(shù)據(jù)密鑰,對存入存儲器203的數(shù)據(jù)進行加密和對取出存儲器203的數(shù)據(jù)進行解密。本實施方式通過在計算機系統(tǒng)中置入安全模塊201和加密模塊202,在計算機系統(tǒng)上電啟動時,安全模塊201對用戶身份進行鑒別和對加密模塊202進行認證,以確認用戶為合法用戶且加密模塊202未被非法替換,再繼續(xù)啟動計算機系統(tǒng),同時對存入計算機系統(tǒng)中存儲器203的數(shù)據(jù)進行加密保護。這樣存儲器203中的數(shù)據(jù)就受到加密保護,即使被非法獲取,攻擊者也無法獲得明文數(shù)據(jù)。本實施方式中,安全模塊201采用可信平臺模塊,可信平臺模塊是一種植于計算機內(nèi)部為計算機提供可信根的芯片,專門用于提高計算機平臺的安全性,通過為密鑰或者計算機所要執(zhí)行的關(guān)鍵任務(wù)提供保護空間,以確保計算機的安全。本實施方式采用可信平臺模塊,可以保護用于卷與文件加密的公共與私有密鑰,實現(xiàn)安全身份認證和用戶身份的安全保護?,F(xiàn)結(jié)合圖1和圖2對本發(fā)明數(shù)據(jù)安全保護方法進行進一步說明。圖1步驟101中,計算機系統(tǒng)上電啟動,并進入步驟102;步驟102中,安全模塊201對用戶身份進行鑒別,并判斷是否通過;若步驟102中鑒別未通過,則執(zhí)行步驟103;步驟103中,安全模塊201判斷鑒別次數(shù)是否達到最大鑒別次數(shù);若步驟103中,安全模塊201判斷鑒別次數(shù)并未達到最大鑒別次數(shù),則重新執(zhí)行步驟102;若步驟103中,安全模塊201判斷鑒別次數(shù)已達到最大鑒別次數(shù),則進入步驟106以拒絕進行用戶身份鑒別;若步驟102中,用戶身份鑒別通過,則進入步驟104;步驟104中,安全模塊201對加密模塊202進行認證,并判斷是否通過;若步驟104中認證未通過,則執(zhí)行步驟105;步驟105中,安全模塊201判斷認證次數(shù)是否達到最大認證次數(shù);若步驟105中,安全模塊201判斷認證次數(shù)并未達到最大認證次數(shù),則重新執(zhí)行步驟104;若步驟105中,安全模塊201判斷認證次數(shù)已達到最大認證次數(shù),則進入步驟106以拒絕進行用戶身份鑒別;若步驟104中,加密模塊202認證通過,則進入步驟107;步驟107中,安全模塊201將數(shù)據(jù)密鑰發(fā)送給加密模塊202,并進入步驟108;步驟108中,加密模塊202根據(jù)從安全模塊201接收到的數(shù)據(jù)密鑰,對存入和取出存儲器203的數(shù)據(jù)進行加解密操作。通常對于計算機系統(tǒng)啟動過程來說,在步驟102之前,存在一個初始狀態(tài),在該初始狀態(tài)下,安全模塊201等待輸入用戶身份。對于安全模塊201對用戶身份的鑒別,最簡單的可以采用用戶輸入口令的方式進行鑒別,考慮到用戶口令易于忘記或者丟失等可能的發(fā)生,安全模塊201對用戶身份的鑒別可以使用更加可靠的指紋對比方式或者虹膜對比方式,另外,也可采用第二代身份證或者數(shù)字證書等能夠識別個人身份的設(shè)備進行鑒別。安全模塊201無論采用何種方式進行用戶身份鑒別,都有可能因為某種原因,如用戶口令輸入錯誤,而導(dǎo)致無法鑒別通過,但次數(shù)過多的用戶身份鑒別,也往往意味著存儲數(shù)據(jù)可能丟失的危險,因此,對用戶身份鑒別的次數(shù)為3次或者4次較為適宜。同樣,對于加密模塊認證的次數(shù)也較宜設(shè)置為3次或者4次。步驟E中,即圖2中的安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊207步驟中,可以采用多種方式,但若采用直接發(fā)送的方式,往往會造成數(shù)據(jù)密鑰被竊取,以至威脅數(shù)據(jù)安全,在本實施方式中,步驟E采用了以下方法實現(xiàn)了數(shù)據(jù)密鑰的安全發(fā)送首先,在生產(chǎn)制造階段安全模塊201和加密模塊202置入相同的根密鑰;在執(zhí)行步驟E的過程中,安全模塊201生成隨機數(shù)X,并用根密鑰加密后得到χ’;安全模塊201把χ’發(fā)送給加密模塊202;加密模塊202生成隨機數(shù)y,并用根密鑰加密后得到y(tǒng)’,加密模塊202把y’發(fā)送給安全模塊201;加密模塊202接收安全模塊201發(fā)送的χ’,用根密鑰解密得到χ,并將χ和y異或得到ζ;安全模塊201接收加密模塊202發(fā)送的y’,用根密鑰解密得到y(tǒng),并將χ和y異或得到ζ;安全模塊201用ζ將數(shù)據(jù)密鑰加密后得到的密文傳遞給加密模塊202;加密模塊202用ζ對從安全模塊接收到的密文進行解密,獲得數(shù)據(jù)密鑰。加密模塊202獲得數(shù)據(jù)密鑰后,即可進入步驟F中,對存儲器203的數(shù)據(jù)讀寫進行相應(yīng)的加解密操作。加密模塊202對存儲器203的數(shù)據(jù)進行加解密操作,可以采用DES、3DES或者AES等加密算法。其中,DES加密算法出自IBM(InternationalBusinessMachinesCorporation,國際商業(yè)機器公司)公司的設(shè)計,目前在國內(nèi),DES加密算法在POS(PointOfSale,銷售終端)、ATM(AutomaticTellerMachine,自動柜員機)、磁卡及IC卡、加油站、高速公路收費站等領(lǐng)域被廣泛應(yīng)用,以實現(xiàn)關(guān)鍵數(shù)據(jù)的保密;3DES加密算法是DES加密算法的一種模式,是DES的一個更安全的變形,它以DES為基本模塊,通過組合分組方法設(shè)計出分組加密算法;AES加密算法是更高級的加密算法,速度快、安全級別更高,目前正日益成為加密各種形式的電子數(shù)據(jù)的實際標準。以上本實施方式中的數(shù)據(jù)安全保護方法和數(shù)據(jù)安全保護裝置所應(yīng)用的計算機系統(tǒng)包括但不限于PC(PersonalComputer,個人電腦)主機、PDA、手機、PMP(PortableMediaPlayer,便攜式媒體播放器)、數(shù)碼相框等設(shè)備。以上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。權(quán)利要求1.一種數(shù)據(jù)安全保護方法,其特征在于,包括以下步驟步驟A安全模塊對用戶身份進行鑒別,若鑒別未通過則執(zhí)行步驟B,否則執(zhí)行步驟C;步驟B安全模塊判斷對用戶身份鑒別的次數(shù),若次數(shù)未達到限制值則執(zhí)行步驟A,否則執(zhí)行步驟G;步驟C安全模塊對加密模塊進行認證,若認證未通過則執(zhí)行步驟D,否則執(zhí)行步驟E;步驟D安全模塊判斷對加密模塊認證的次數(shù),若次數(shù)未達到限制值則執(zhí)行步驟C,否則執(zhí)行步驟G;步驟E安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊,并執(zhí)行步驟F;步驟F:加密模塊根據(jù)從安全模塊接收到的數(shù)據(jù)密鑰,對存入存儲器的數(shù)據(jù)進行加密和對取出存儲器的數(shù)據(jù)進行解密;步驟G拒絕進行用戶身份鑒別。2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全保護方法,其特征在于步驟A中,安全模塊對用戶身份進行鑒別的方式包括用戶口令比對方式、指紋對比方式、虹膜對比方式。3.根據(jù)權(quán)利要求1或2所述的數(shù)據(jù)安全保護方法,其特征在于步驟A中,安全模塊通過個人身份設(shè)備對用戶身份進行鑒別。4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)安全保護方法,其特征在于所述個人身份設(shè)備包括第二代身份證和數(shù)字證書。5.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全保護方法,其特征在于步驟D中,對用戶身份鑒別的次數(shù)為3次或者4次。6.根據(jù)權(quán)利要求1或5所述的數(shù)據(jù)安全保護方法,其特征在于步驟D中,對加密模塊認證的次數(shù)為3次或者4次。7.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全保護方法,其特征在于,步驟E中,安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊通過如下方法實現(xiàn)在生產(chǎn)制造階段安全模塊和加密模塊置入相同的根密鑰;步驟E中,安全模塊生成隨機數(shù)X,并用根密鑰加密后得到χ’;安全模塊把χ’發(fā)送給加密模塊;加密模塊生成隨機數(shù)ι,并用根密鑰加密后得到y(tǒng)’,加密模塊把y’發(fā)送給安全模塊;加密模塊接收安全模塊發(fā)送的χ’,用根密鑰解密得到χ,并將χ和ι異或得到ζ;安全模塊接收加密模塊發(fā)送的r,用根密鑰解密得到1,并將χ和y異或得到ζ;安全模塊用ζ將數(shù)據(jù)密鑰加密后得到的密文傳遞給加密模塊;加密模塊用ζ對從安全模塊接收到的密文進行解密,獲得數(shù)據(jù)密鑰。8.根據(jù)權(quán)利要求1所述的數(shù)據(jù)安全保護方法,其特征在于步驟F中,加密模塊所采用的加密算法為DES、3DES或者AES。9.一種數(shù)據(jù)安全保護裝置,其特征在于包括安全模塊和與其電連接的加密模塊;所述安全模塊用于對用戶身份進行鑒別并將數(shù)據(jù)密鑰發(fā)送給加密模塊;所述加密模塊根據(jù)從安全模塊接收到的數(shù)據(jù)密鑰,對存入存儲器的數(shù)據(jù)進行加密和對取出存儲器的數(shù)據(jù)進行解10.根據(jù)權(quán)利要求9所述的數(shù)據(jù)安全保護裝置,其特征在于所述安全模塊還用于對加密模塊進行認證。11.根據(jù)權(quán)利要求9或10所述的數(shù)據(jù)安全保護裝置,其特征在于所述安全模塊為可信平臺模塊。全文摘要本發(fā)明涉及一種用于保護計算機存儲器數(shù)據(jù)安全的數(shù)據(jù)安全保護方法和數(shù)據(jù)安全保護裝置。該方法在計算機設(shè)備啟動時,通過安全模塊分別用戶身份和加密模塊進行鑒別和認證,鑒別和認證通過后,安全模塊將數(shù)據(jù)密鑰發(fā)送給加密模塊,在后續(xù)的使用中加密模塊對存儲器數(shù)據(jù)進行加密保護,鑒別和認證不通過則不啟動計算機。該裝置包括在PC主機、PDA、手機、PMP或者數(shù)碼相框等計算機設(shè)備中,設(shè)置的并相互連接的安全模塊和加密模塊。該方法和裝置實現(xiàn)了對計算機設(shè)備存儲器數(shù)據(jù)的透明加密和對用戶身份的鑒別,同時對密鑰和加密算法分離放置,實現(xiàn)了較高的安全性。文檔編號G06F21/00GK102236607SQ20101015421公開日2011年11月9日申請日期2010年4月23日優(yōu)先權(quán)日2010年4月23日發(fā)明者楊碩,鄒浩,陳官學(xué)申請人:國民技術(shù)股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1