一种计算机数据保护方法

专利名称：一种计算机数据保护方法
技术领域：
本发明涉及计算机信息安全技术领域，特别是指一种计算机数据保护方法。
背景技术：
数据加密是保护计算机数据安全的一个重要方法，通常个人计算机上所使用的数据保护方法多建立在操作系统应用层，依赖于软件实现。软件所提供的数据保护方法是利用伪随机数或者用户口令作为密钥加密磁盘上的数据。由于软件加密可以被跟踪调试而破解密钥，因此无法对加密数据所使用的密钥进行有力的保护，尤其针对较为重要的计算机数据时，软件保护难以达到所要求的安全性。
而基于硬件对数据进行加密保护，则解决了软件所存在的易破解的问题。目前，通过硬件保护数据，可以采用IC卡或者UKEY等类似外设硬件的方法加密保护数据，但使用外设硬件的保护方法就像是另外配了一把钥匙，每次使用都需要“钥匙”来解密，在使用上不便。另一方面，由于外设硬件无法和主机系统绑定，还存在着丢失和被盗的安全隐患，丢失“钥匙”不但可能使用户数据泄漏，甚至会导致用户自己也无法使用所加密的数据。
为了解决目前的外设硬件无法和主机系统绑定的问题，在本申请人同时提交的另一篇专利申请中提出了安全芯片技术。也就是将加解密的复杂过程集成在安装在计算机主板上的一个安全芯片上，通过随机数生成、散列运算、对称加密密码运算、HASH运算等算法实现密钥及公私钥对的生成，加密后的密钥信息存储在安全芯片内部，实现向外提供密钥生成、信息加密、签名验证、唯一身份标识等服务。这里的公钥是指安全芯片提供的一种加密算法，与之成对的私钥则是安全芯片提供的针对这种公钥的解密算法。

发明内容
本发明的目的在于利用安全芯片提供一种计算机数据保护方法，使数据可以更方便、更安全地受到保护。
实现本发明，包括以下步骤A、预先在计算机上安装一个安全芯片；B、在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘，并使用安全芯片生成密钥加密虚拟磁盘；C、在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时，根据所述密钥解密虚拟磁盘，然后对虚拟磁盘进行计算机数据读写操作。
其中，该方法进一步包括虚拟磁盘管理模块在接收到创建虚拟磁盘的指定虚拟磁盘的大小和格式的指令后，通知虚拟磁盘驱动模块建立虚拟磁盘；虚拟磁盘驱动模块建立作为虚拟磁盘的物理载体的虚拟磁盘镜像文件。
其中，该方法进一步包括在通过安全芯片驱动模块接收到来自安装在主板上安全芯片管理模块的指令后，安全芯片生成加密用公私钥对以及访问该公私钥对的口令；安全芯片生成一个随机数密钥对虚拟磁盘进行加密，并使用私钥对所述随机数密钥进行加密形成随机数密钥加密块。其中，安全芯片为不同的用户生成不同的公私钥对及访问其私钥的不同口令。
其中，该方法进一步包括通过安全芯片口令认证获取使用安全芯片所提供的私钥，安全芯片用此私钥解密随机数密钥加密块还原出随机数密钥。
其中，该方法进一步包括将被保护数据写入虚拟磁盘时，安全芯片再次生成随机数密钥衍生密钥对写入的数据进行加密保护；被保护数据从虚拟磁盘读出时，安全芯片用随机数密钥衍生密钥对读出的数据进行解密。
由上述步骤可以看出，数据可以受到安全芯片产生的多层密钥的保护，保存在虚拟磁盘的数据任何时候至少间接通过加密虚拟磁盘而进行实时加密，保证了数据的安全；正确使用已建立的虚拟磁盘时，除输入用户名与安全芯片提供的访问该用户私钥的口令外，其他加解密的过程由系统自动进行，因此用户就可象对普通文件一样进行操作，而无需对所保护的数据进行烦琐的加密解密过程，使用方便。
基于安全芯片的数据保护方法，所产生的根公钥，以及访问该对应私钥的口令保存在安全芯片内部，无法被导出，而安全芯片与计算机的绑定，实现所保护的数据与计算机平台的绑定，由于安全芯片标识的唯一性，所保护的数据除本机外无法在其他计算机上读取，即使硬盘被插到其他机器上，由于安全芯片标识的唯一性，硬盘上所保护的文件信息也不会被读出，只能通过绑定于原计算机的安全芯片进行解密。从而确保了重要数据的安全性。


图1为本发明数据保护方法的模块示意图；图2为本发明数据保护过程的流程图。
具体实施例方式
图1为本发明数据保护方法的功能模块示意图。本发明通过安全芯片生成密钥信息，加密保护用于存放保护数据的虚拟磁盘。为实现本发明，在计算机操作系统上设置了虚拟磁盘模块和安全芯片模块；另外设置了用户管理模块，用来对合法用户进行管理，包括授权和验证用户使用安全芯片。
其中，虚拟磁盘模块包括虚拟磁盘管理模块和虚拟磁盘驱动模块。虚拟磁盘管理模块在接收到用户下发的指令后，通知虚拟磁盘驱动模块对虚拟磁盘进行操作，包括虚拟磁盘的建立、删除、更改。另外，计算机操作系统也是通过虚拟磁盘驱动模块实现数据的读、写、删除或更新。
其中，安全芯片模块包括安全芯片管理模块、安全芯片驱动模块和安全芯片。安全芯片管理模块通过安全芯片驱动模块获得并使用安全芯片所提供的安全服务，如身份认证、信息加密、数字签名、唯一身份标识等。安全芯片通过安全芯片驱动模块接收来自安全芯片管理模块的指令，生成加密用公私钥对以及访问该公私钥对的口令，以及生成随机数密钥对存放保护数据的虚拟磁盘进行加密，加密信息存放在安全芯片内部。
图2为基于本发明计算机数据保护方法，参照图2进一步详细说明步骤201预先在计算机上主板上安装一个安全芯片，使安全芯片与计算机实现硬件上的绑定。
步骤202首先，通过用户管理模块创建用户，该信息同时传递给密钥管理模块，密钥管理模块通过安全芯片驱动模块通知安全芯片为该用户生成一对加密用的公私钥对，同时生成访问该私钥的口令。安全芯片为不同的用户生成不同的公私钥对及访问其私钥的不同口令。安全芯片产生用于虚拟磁盘保护的随机数密钥，并用公钥对随机数密钥加密，加密后的随机数密钥称为随机密钥加密块存放于硬盘中。
然后，创建用来存放用来保护数据的虚拟磁盘，并使用随机数密钥对虚拟磁盘进行加密保护。
用户通过虚拟磁盘管理模块指定虚拟磁盘大小和格式，虚拟磁盘管理模块在接收到创建虚拟磁盘的指令后，通知虚拟磁盘驱动模块建立虚拟磁盘；虚拟磁盘驱动模块响应虚拟磁盘管理模块指令创建虚拟磁盘。这里所述的创建虚拟磁盘是指在硬盘上建立一个虚拟磁盘的镜像文件，作为虚拟磁盘的物理载体。对虚拟磁盘的任何数据读写操作，是通过访问此镜像文件来完成的。
同时，用步骤202中安全芯片产生的随机数密钥对虚拟磁盘进行加密，即加密虚拟磁盘镜像文件，来达到保护写入虚拟磁盘上的数据的目的。在读取数据时，只有通过随机数密钥解密虚拟磁盘镜像文件后才可以对虚拟磁盘上所保护的数据进行读写。
步骤203在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时，根据所述私钥解密所述虚拟磁盘，对虚拟磁盘进行计算机数据读写操作。在进行计算机数据读写操作之后，虚拟磁盘依然受到随机密钥加密块的密钥保护。
对虚拟磁盘读写保护的数据时，用户需要通过口令认证获取使用安全芯片所提供的私钥，然后安全芯片通过此私钥解密随机数密钥加密块还原出随机数密钥，并传递给虚拟磁盘驱动模块解密虚拟磁盘镜像文件，之后用户可正常对虚拟磁盘上被保护的数据进行访问，保存在虚拟磁盘的数据任何时候都是间接通过加密虚拟磁盘而加密的，保证了数据的安全，因此用户就可象对普通文件一样进行操作，而无需对所保护的数据进行烦琐的加密解密过程。
在将被保护数据写入安全芯片保护的虚拟磁盘的过程中，安全芯片可以再次生成随机数密钥衍生密钥对写入的数据进行加密保护，具体如下在对虚拟磁盘写入要保护的数据时，虚拟磁盘驱动对操作系统传递下来的数据操作参数进行分析，提取出其中的用户数据，安全芯片使用随机密钥的衍生密钥对数据进行加密，加密后的数据依据操作参数写入镜像文件中的指定位置；相应地，在对虚拟磁盘读出所保护的数据时，虚拟磁盘驱动对所截获的操作系统传递下来数据操作参数进行分析，依据操作参数从镜像文件指定位置读取所需要的用户数据，安全芯片使用随机密钥的衍生密钥对数据进行解密，解密后的数据再传递回操作系统。
以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种计算机数据保护方法，其特征在于包括以下步骤A、预先在计算机上安装一个安全芯片；B、在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘，并使用安全芯片生成密钥加密虚拟磁盘；C、在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时，根据所述密钥解密虚拟磁盘，然后对虚拟磁盘进行计算机数据读写操作。
2.根据权利要求1所述的计算机数据保护方法，其特征在于，在计算机操作系统上设置虚拟磁盘管理模块和虚拟磁盘驱动模块，步骤B中在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘的步骤进一步包括B1、虚拟磁盘管理模块在接收到创建虚拟磁盘的指令后，通知虚拟磁盘驱动模块建立虚拟磁盘；B2、虚拟磁盘驱动模块建立作为虚拟磁盘的物理载体的虚拟磁盘镜像文件。
3.根据权利要求2所述的计算机数据保护方法，其特征在于，步骤B1所述创建虚拟磁盘的指令进一步包括指定虚拟磁盘的大小和格式的信息。
4.根据权利要求1所述的计算机数据保护方法，其特征在于，在计算机操作系统上设置安全芯片管理模块和安全芯片驱动模块，步骤B中使用安全芯片生成的随机数密钥对虚拟磁盘进行加密的步骤进一步包括B3、在通过安全芯片驱动模块接收到来自安全芯片管理模块的指令后，安全芯片生成加密用公私钥对以及访问该公私钥对的口令；B4、安全芯片生成一个随机数密钥对虚拟磁盘进行加密，并使用私钥对所述随机数密钥进行加密形成随机数密钥加密块。
5.根据权利要求4所述的计算机数据保护方法，其特征在于，安全芯片为不同的用户生成不同的公私钥对及访问其私钥的不同口令。
6.根据权利要求4所述的计算机数据保护方法，其特征在于，所述随机数密钥解密虚拟磁盘的方法进一步包括通过安全芯片口令认证获取使用安全芯片所提供的私钥，安全芯片用此私钥解密随机数密钥加密块还原出随机数密钥。
7.根据权利要求1所述的计算机数据保护方法，其特征在于，步骤C中对虚拟磁盘进行计算机数据读写操作的方法进一步包括将被保护数据写入虚拟磁盘时，安全芯片再次生成随机数密钥衍生密钥对写入的数据进行加密保护；被保护数据从虚拟磁盘读出时，安全芯片用随机数密钥衍生密钥对读出的数据进行解密。
8.根据权利要求1所述的计算机数据保护方法，其特征在于，步骤A所述的安全芯片安装在计算机主板上。
全文摘要
本发明公开了一种计算机数据保护方法，包括以下步骤a.预先在计算机上安装一个安全芯片；b.在计算机硬盘上设置一个用于存放保护数据的虚拟磁盘，并使用安全芯片生成密钥加密虚拟磁盘；c.在从虚拟磁盘读取或者向虚拟磁盘写入计算机数据时，根据所述密钥解密虚拟磁盘，然后对虚拟磁盘进行计算机数据读写操作。应用本发明的计算机数据保护方法，计算机数据可得到更安全、更方便的保护。
文档编号G06F12/14GK1553347SQ03136320
公开日2004年12月8日 申请日期2003年5月28日 优先权日2003年5月28日
发明者王一平, 刘昕, 吴秋新, 李明柱, 李亚辉, 刘冰 申请人:联想(北京)有限公司