专利名称:基于单操作系统的双硬盘隔离加密装置、方法及计算机的制作方法
基于单操作系统的双硬盘隔离加密装置、方法及计算机技术领域
本发明属于计算机领域,尤其涉及一种基于单操作系统的双硬盘隔离加密装置、方法及计算机。
背景技术:
操作系统是位于底层硬件与用户之间,是用户与底层硬件之间沟通的桥梁;用户可以通过操作系统的用户界面输入命令;操作系统则对命令进行解释,驱动硬件设备,实现用户要求。
现有的操作系统是利用一台主机将系统和数据整合在一个硬盘中运行,使得安全等级高的数据存在安全隐患。发明内容
本发明实施例的目的在于提供一种基于单操作系统的双硬盘隔离加密装置,旨在解决现在的操作系统中安全等级高的数据存在安全隐患的问题。
本发明实施例是这样实现的,一种基于单操作系统的双硬盘隔离加密装置,包括:系统硬盘,用于提供认证设备的驱动和用户认证的交互界面;数据硬盘,用于存储加密数据;固态盘控制器,其一端与所述系统硬盘和所述数据硬盘连接;密码模块,与所述固态盘控制器的另一端连接,用于存储主密钥;当输入的密码同时通过所述密码模块存储的密钥认证以及所述固态盘控制器认证后,由所述系统硬盘中的认证系统导入至所述数据硬盘中的用户操作系统。
更进一步地,所述密码模块为TCM芯片。
更进一步地,所述系统硬盘和所述数据硬盘通过SATA数据线连接至所述固态盘控制器。
更进一步地,所述固态盘控制器包括:主控系统,SSD控制器,其一端与所述数据硬盘连接,所述SSD控制器的另一端与所述主控系统连接,所述SSD控制器与所述主控制系统之间通过读/写数据进行交互;CPU,与所述主控系统连接,从存储器或高速缓冲存储器中取出指令,放入指令寄存器,并对指令译码,并执行指令;认证管理模块,其一端与所述CPU连接,另一端与所述SSD控制器连接;将输入的指令先交给CPU进行译码,密码模块校验,之后反馈到认证管理模块。
更进一步地,所述SSD控制器包括:加解密模块以及FLASH控制器;SSD控制器采用多通道Flash的组织结构,用户数据以4Kyte为条带,依次存放在4个通道中,SSD的设计使用自有的自适应多通道技术。
更进一步地,所述密码模块中的所述主密钥经过加密后迁移到固态盘控制器。
本发明的目的还在于提供一种包括上述的装置的计算机。
本发明的目的还在于提供一种基于单操作系统的双硬盘隔离加密方法,包括下述步骤:
上电后,数据硬盘被标识为小容量的可引导存储盘,所述数据硬盘被设定为只读;BIOS获取被设定为只读的所述数据硬盘的主引导记录MBR,并跳转到其引导分区启动预装的嵌入式操作系统;加载认证设备驱动以及认证界面;输入认证凭证;判断认证是否成功;若是,则自动重新启动,所述数据硬盘被重新标识为正常容量的普通盘,可以被访问;输入所述数据硬盘的密码后进入用户操作系统。在本发明实施例中,在单操作系统下通过主硬盘的系统引导数据盘启动实现系统层与数据层物理隔离,对数据进行安全加密,在系统不影响数据盘的安全功能情况下实现了保护硬盘中的数据资源。
图1是本发明实施例提供的基于单操作系统的双硬盘隔离加密装置的模块结构示意图;图2是本发明实施例提供的基于单操作系统的双硬盘隔离加密装置中固态盘控制器的模块结构示意图;图3是本发明实施例提供的固态盘控制器中SSD控制器的模块结构示意图;图4是本发明实施例提供的基于单操作系统的双硬盘隔离加密方法的流程图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明实施例提供的基于单操作系统的双硬盘隔离加密装置主要应用于计算机中,用于对安全等级高的数据进行加密隔离;其模块结构如图1所示,为了便于说明,仅示出了与本发明实施例相关的部分,详述如下:基于单操作系统的双硬盘隔离加密装置包括:系统硬盘1、数据硬盘2、固态盘控制器3和密码模块4 ;其中系统硬盘I用于提供认证设备的驱动和用户认证的交互界面;数据硬盘2用于存储加密数据;固态盘控制器3的一端与系统硬盘I和数据硬盘2连接;密码模块4与固态盘控制器3的另一端连接,用于存储主密钥;当输入的密码同时通过密码模块4存储的密钥认证以及固态盘控制器3认证后,由系统硬盘I中的认证系统导入至数据硬盘2中的用户操作系统。在本发明实施例中,密码模块4可以采用TCM芯片;其中TCM(TrustedCryptography Module,可信密码模块)标准是由国家密码管理局联合国内一些IT企业推出的;它是一种安全芯片,能有效保护PC,防止非法用户访问电脑。在本发明实施例中,系统与数据为两个隔离的物理硬盘,二者可通过SATA线连接,其中SATA (Serial Advanced Technology Attachment,串行高级技术附件)是一种基于行业标准的串行硬件驱动器接口。数据硬盘区由认证系统导入,只有通过了用户与USBKEY与SSD盘之间的双重认证后,才可以进入数据硬盘。也就是说:用户授权码(口令,指纹或其他),USBKEY (存放密钥),安全存储固态盘(存放加密用户数据)三者是唯一绑定的,要想访问用户数据,三者缺一不可的。在本发明实施例中,相对一般的单硬盘操作系统的计算机而言,该基于单操作系统的双硬盘隔离加密装置以安全保护数据为基础,将系统与数据分成两个硬盘,系统硬盘I提供认证设备的驱动和用户认证的交互界面,数据硬盘2是由认证系统导入的,只有通过TCM与SSD盘之间的认证后,才可以进入用户系统,对数据的有效保护的安全系数更高,不易让数据泄露,做到对数据的充分保护。在本发明实施例中,固态盘控制器3模块结构如图2所示,固态盘控制器3包括:SSD控制器、认证管理模块33、CPU34和主控系统35 ;其中,SSD控制器的一端与数据硬盘2连接,SSD控制器的另一端与主控系统35连接,SSD控制器与主控制系统35之间通过读/写数据进行交互;CPU34与主控系统35连接,以便CPU和主控系统保持通讯;认证管理模块33的一端与CPU34连接,另一端与SSD控制器连接;以便认证管理经CPU译码并进行处理。在本发明实施例中,SSD控制器包括:FLASH控制器31以及加解密模块32 ;SSD控制器采用多通道Flash的组织结构,用户数据以4Kyte为条带,依次存放在4个通道中,SSD的设计使用自有的自适应多通道技术。其中,加密SDD加密使用对称加密算法AES对数据进行加解密操作,采用XTS-AES加密模块式对长度为512Bytes数据单元进行加解密,加解密算法的实施符合 IEEE Standard for Crypptographic Protection of Data onBlock-Oriented Storage Devices 标准,AES 支持长度为 128bits 和 256bits 的密钥;加解密操作完全由硬件实现,加解密操作对用户完全透明,并且密钥储存在TCM芯片中,无法被任何软件(包括固态盘内的固件)访问,掉电后密钥自动清除。作为本发明的一个实施例,密码模块4中的主密钥经过加密后迁移到固态盘控制器3 ;具体的迁移过程如图3所示,主密钥存储在TCM芯片里,只有合法的认证输入才可以读取TCM中的主密钥;非法用户或者合法用户拥有不匹配的固态盘,都不能获取主密钥的密文;主密钥经过加密后迁移到固态盘中。从而保证了数据的安全,防止丢失。本发明实施例还提供了一种基于单操作系统的双硬盘隔离加密方法,具体的流程如图4所示,包括下述步骤:步骤S I:B10S 自检;步骤S2:加载设备驱动以及认证界面;步骤S3:输入认证凭据;步骤S4:判断认证是否成功;若是,则进入步骤S5 ;若否,则返回至步骤S2 ;步骤S5:自动重新启动;步骤S6:启动系统硬盘;步骤S7:启动数据硬盘;步骤S8:进入用户操作系统。在本发明实施例中,安全系统中的认证系统参与整个认证系统,保证认证系统的可信度能够大大提高整个安全系统的安全性。在此实例当中,系统与数据为两个隔离的物理硬盘,二者通过一个SATA接口连接到主板,数据硬盘经过加密(以密钥存放在TCM芯片为例),来保护数据的安全;具体地,上电后,数据硬盘被标识为小容量的可引导存储盘,所述数据硬盘被设定为只读;BIOS获取被设定为只读的所述数据硬盘的主引导记录MBR,并跳转到其引导分区启动预装的嵌入式操作系统;加载认证设备驱动以及认证界面;输入认证凭证;判断认证是否成功;若是,则自动重新启动,所述数据硬盘被重新标识为正常容量的普通盘,可以被访问;输入所述数据硬盘的密码后进入用户操作系统。
本发明实施例提供的方法在单操作系统下运行,通过主硬盘的系统引导数据盘启动的方法,实现系统层与数据层物理隔离,对数据安全加密,在系统不影响数据盘的安全功能情况下,实现保护硬盘中的数据资源。
本发明实施例中,在单操作系统运行下,不借助外部第三方工具,可以实现系统硬盘与数据硬盘的物理隔离,对数据加以安全保护。相对一般的单硬盘操作系统的计算机而言,长城电脑以安全保护数据为基础,将数据与系统分成两个硬盘,其一系统有充足的存储以及缓存空间,其二数据硬盘加密隔离,对数据的有效保护的安全系数更高,不易让数据泄露,做到对数据的充分保护。该方法与传统意义上的数据保护有着本质的区别。在BIOS自检后,数据硬盘的供电以及与系统硬盘的通讯得以控制;在运行操作系统时,用户可选择性的将数据硬盘启动;数据硬盘经安全密码保护后,方可进入。
在本发明实施例中,在单操作系统下通过系统硬盘的系统引导数据硬盘启动实现系统层与数据层物理隔离,对数据进行安全加密,在系统不影响数据盘的安全功能情况下实现了保护硬盘中的数据资源。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于单操作系统的双硬盘隔离加密装置,其特征在于,包括: 系统硬盘,用于提供认证设备的驱动和用户认证的交互界面; 数据硬盘,用于存储加密数据; 固态盘控制器,其一端与所述系统硬盘和所述数据硬盘连接; 密码模块,与所述固态盘控制器的另一端连接,用于存储主密钥; 当输入的密码同时通过所述密码模块存储的密钥认证以及所述固态盘控制器认证后,由所述系统硬盘中的认证系统导入至所述数据硬盘中的用户操作系统。
2.如权利要求1所述的装置,其特征在于,所述密码模块为TCM芯片。
3.如权利要求1所述的装置,其特征在于,所述系统硬盘和所述数据硬盘通过SATA数据线连接至所述固态盘控制器。
4.如权利要求1所述的装置,其特征在于,所述固态盘控制器包括: 主控系统, SSD控制器,其一端与所述数据硬盘连接,所述SSD控制器的另一端与所述主控系统连接,所述SSD控制器与所述主控制系统之间通过读/写数据进行交互; CPU,与所述主控系统连接,从存储器或高速缓冲存储器中取出指令,放入指令寄存器,并对指令译码,并执行指令; 认证管理模块,其一端与所述CPU连接,另一端与所述SSD控制器连接;将输入的指令先交给CPU进行译码,密码模块校验,之后反馈到认证管理模块。
5.如权利要求4所述的装置,其特征在于,所述SSD控制器包括:加解密模块以及FLASH控制器;SSD控制器采用多通道Flash的组织结构,用户数据以4Kyte为条带,依次存放在4个通道中,SSD的设计使用自有的自适应多通道技术。
6.如权利要求1所述的装置,其特征在于,所述密码模块中的所述主密钥经过加密后迁移到固态盘控制器。
7.一种包括权利要求1-6任一项所述的装置的计算机。
8.一种基于单操作系统的双硬盘隔离加密方法,其特征在于,包括下述步骤: 上电后,数据硬盘被标识为小容量的可引导存储盘,所述数据硬盘被设定为只读; BIO S获取被设定为只读的所述数据硬盘的主引导记录MBR,并跳转到其引导分区启动预装的嵌入式操作系统; 加载认证设备驱动以及认证界面; 输入认证凭证; 判断认证是否成功; 若是,则自动重新启动,所述数据硬盘被重新标识为正常容量的普通盘,可以被访问; 输入所述数据硬盘的密码后进入用户操作系统。
全文摘要
本发明适用于计算机领域,提供了一种基于单操作系统的双硬盘隔离加密装置、方法及计算机,其中装置包括用于提供认证设备的驱动和用户认证的交互界面的系统硬盘;用于存储加密数据的数据硬盘;用于存储主密钥的密码模块以及固态盘控制器;当输入的密码同时通过所述密码模块存储的密钥认证以及所述固态盘控制器认证后,由所述系统硬盘中的认证系统导入至所述数据硬盘中的用户操作系统。在本发明实施例中,在单操作系统下通过主硬盘的系统引导数据盘启动实现系统层与数据层物理隔离,对数据进行安全加密,在系统不影响数据盘的安全功能情况下实现了保护硬盘中的数据资源。
文档编号G06F12/14GK103186479SQ20121016900
公开日2013年7月3日 申请日期2012年5月28日 优先权日2011年12月31日
发明者史增亮, 贾兵, 宋靖, 王淼, 吴燕琴, 林聪发, 黄志鹏 申请人:中国长城计算机深圳股份有限公司