专利名称:一种数据安全保护方法及装置的制作方法
技术领域:
本发明涉及存储安全技术领域,尤其涉及一种数据安全保护方法及装置。
技术背景SSD ( Solid State Disk/Drive)又称固态盘或电子盘,作为一种新的存储介 质,以Nand Flash为基础,仿真动态随机存取内存基本的存取模式,可以达到 数据随机存取的高速传输。而传统的机械硬盘HDD ( Hard Disk Drive)以磁介 质为储存媒介,数据是储存在硬盘的磁道上的。不仅如此,SSD相对于传统的 机械硬盘HDD在数据安全保护上还具有自身的优点。在实现本发明的过程中,发明人发现现有技术中至少存在如下问题现有 的基于HDD的数据安全保护方案主要是对数据存储设备进行访问权限管理, 认证通过即认为可以访问相关数据,对于存储设备是否处于合法使用状态无法 判断,并且现有的存储设备不提供自毁功能,只是通过口令或其他方式的保护, 可能通过暴力破解,从而导致保密数据外泄,造成严重后果。发明内容本发明实施例提供一种数据保护方法和装置,在固态硬盘处于非法占有 或使用状态,可以通过设备自身的操作来实现数据自毁功能,从而能较好地 保证数据安全,防止机密数据的非法泄露。本发明实施方式提供一种数据安全保护方法,包括根据固态硬盘预设的保密条件对访问的用户进行访问权限认证,如果认 证不通过,根据所述固态硬盘中预设的数据自毁方式进行数据自毁。本发明实施方式还提供一种数据安全保护装置,包括认证模块,包括一个认证单元,所述认证单元用于根据固态硬盘预设的 保密条件对访问的用户进行权限认证,并发送认证结果;处理模块,接收所述认证单元的认证结果,当认证不通过,则启动所述 固态硬盘中预设的数据自毁方式进行自毁。本发明实施例对固态硬盘以预先设定的方式进行认证,在认证得知被不 合法使用时,能够利用设备自身的操作来实现数据自毁,将该固态硬盘内存 储的数据销毁,以防泄密。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中 所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是 本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动 性的前提下,还可以根据这些附图获得其他的附图。图1是本发明实施例一数据安全保护方法的流程示意图;图2是本发明实施例二数据安全保护方法的流程示意图;图3是本发明实施例数据安全保护装置的结构示意图;图4是本发明实施例数据安全保护装置的认证模块的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施方式,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施方 式仅仅用以解释本发明,并不用于限定本发明。请参考图1,为本发明实施例一数据安全保护方法的流程示意图,其步骤 包括步骤31:根据所述固态硬盘预设的保密条件对访问的用户进行访问权 限认证。在本发明实施例中,预设的保密条件是管理人员通过管理终端,对 固态硬盘的使用范围进行设置的,所述使用范围可以是允许对所述固态硬盘进 行合法访问的用户信息,例如允许使用该SSD的计算机的IP地址段或者MAC 地址段,也可以是允许使用该SSD的用户的账户密码、指紋的一个或集合。根据所述预设的对所述固态硬盘进行访问权限认证,如果认证通过则对于固态硬盘中的保密数据可以正常使用,如果认证不通过则执行步骤32。步骤32:数据自毁;数据自毁的方式是预先设定的。数据自毁可有多种实施方式,本发明实施例的数据自毁方式可以为如下方式通过FLASH操作的Erase命令,将整个固态硬盘内的FLASH芯片进行擦除操作;将FLASH芯片的BLOCK全部标注为坏块,使控制器认为该固态硬盘的FLASH芯片全部处于不可用状态,并且,将FLASH芯片的BLOCK全部标注为坏块后,凄t据不能恢复。 另一种自毁方式是通过加大FLASH芯片的供电电压,使FLASH芯片在超高电压下被击 穿,无法使用,釆用这种自毁方式,数据也不能恢复。本发明实施例才艮据对固态硬盘预先进行的设置进行权限访问,使得所述固 态硬盘在认证得知被不合法使用时,能够利用设备自身的操作来实现数据自 毁,将该固态硬盘内存储的数据销毁,保证了数据安全,并且此过程是不可逆 的。请参考图2,为本发明实施例二数据安全保护方法的流程示意图,以下简 称固态硬盘为SSD,其步骤包括步骤S10:将SSD接入管理终端系统。SSD内嵌有数据安全保护管理功 能的管理软件,在SSD用于存储保密数据之前将其内置的管理软件与管理 终端系统之间通过协议通信。步骤S11:通过管理终端系统,对SSD的使用范围进行预设。对使用范围 的预设可以是对允许使用该SSD的计算机的IP地址段或者MAC地址段进行预 设,也可以对允许使用该SSD的用户进行预设(包括用户的账户密码、指紋等)。 可以在管理终端系统中建立一个地址数据库,将允许使用该固态硬盘的计算机 的IP地址或者MAC地址或者用户的账号密码、指紋分别或同时输入该地址数 据库中。并且,在步骤Sll中,还可以通过管理终端系统对SSD的数据自毁方式进 行预设,例如可以将数据自毁方式设置为采用写命令擦除或者通过高压电将 FLASH芯片击穿。步骤S12:存储保密数据。步骤S13:需要读取SSD中存储的数据时,首先进行权限认证,若权限认 证成功则执行步骤S14;若权限认证不成功则执行步骤S15。 其中权限认证可以多种实施方式一种是可以由步骤Sll预先设定的允许访问该SSD的计算机IP地址段或 者MAC地址段来进行认证,应用系统将请求使用该SSD的计算机的IP地址段 或者是MAC地址段与步骤Sll建立的地址数据库进行对比查找,如果该计算 机的IP地址或者MAC地址或者在该地址数据库内,则说明该SSD允许该计算 机使用,认证成功,接下来进行步骤S14,否则说明该SSD不允许该计算机使 用,iU正不成功。另一种是让请求使用该SSD的计算机用户输入用户名和密码,如果用户名 和密码匹配,则认证成功进行步骤S14,否则认证不成功。另一种是将请求使用该SSD的计算机用户的指紋,与步骤Sll建立的用户 信息数据库中的指纟丈信息进行对比查找,如果有相匹配的指紋则说明该SSD允 许该计算机使用,认证成功,接下来进行步骤S14,否则说明该SSD不允许该 计算机使用,认证不成功。这几种具体实施方式
可以分别使用,也可以同时使用,以保证SSD盘处 于合法使用状态。如果认证不成功,则进行步骤S15。步骤S14:访问SSD存储的保密数据。步骤S15:判断认证失败次数是否大于阈值N (N为大于1的正整数), 如3次,如果大于3次,则执行步骤S16。步骤S16:进行数据自毁。数据自毁的方式是在步骤Sll预先设定的。数据自毁可有多种实施方式,本发明实施例的数据自毁的具体步骤可以为 通过FLASH操作的Erase命令,将整个SSD内的FLASH芯片进行擦除操作;把FLASH芯片的BLOCK全部标注为坏块,使控制器认为该固态硬盘的 FLASH介质全部处于不可用状态,并且该过程是不可逆的。 另一种数据自毁方式是通过加大FLASH芯片的供电电压,使FLASH芯片在超高电压下被击穿, 无法使用。FLASH芯片在超高电压下被击穿后,数据亦不能恢复。本发明实施例通过对SSD进行保密条件以及数据自毁方式的预设,使得该 SSD在得知被不合法使用时,能够利用设备自身的操作来实现数据自毁,将SSD 内存储的数据销毁,并且从步骤S16的两种具体实施方式
来看该操作是不可逆 的,无法通过软件或物理方式来恢复保密数据,从而保证了数据安全。请参考图3,为本发明实施例数据安全保护装置的结构示意图,所述数据 安全保护装置包括认证模块22、处理模块23。所述认证模块22,包括认证单元221和判断单元222,如图4所示,其中 所述认证单元221用于根据预设的保密条件,即所述固态硬盘使用范围内的 用户信息进行判断,如果访问的用户在所述固态硬盘的使用范围内则认证通 过,否则认证不通过。权限认证可以多种实施方式,具体采用何种实施方式由管理终端系统预先 设置的, 一种是可以由预先设定的允许访问该固态硬盘的计算机IP地址段或者 MAC地址段来进行认证,认证单元221将请求使用该固态硬盘的计算机的IP 地址段或者是MAC地址段或者是两者同时与允许进行数据访问的用户的信息 进行对比查找,如果该计算^L的IP地址或者MAC地址或者两者同时在允许进 行数据访问的用户的范围内,则说明该固态硬盘允许该计算机使用,认证成功, 可以正常使用,否则说明该固态硬盘不允许该计算机使用,认证不成功。另 一种是让请求使用该固态硬盘的计算机用户输入用户名和密码,如果用户名和密码匹配,则认证成功可以正常使用,访问保密数据,否则认证不成功。 另 一种是将请求使用该固态硬盘的计算机用户的指紋,与预先设置的允许 进行数据访问的用户的指紋信息进行对比查找,如果有相匹配的指紋则说明该 固态硬盘允许该计算机使用,认证成功,可以正常使用,否则说明该固态硬盘 不允许该计算枳W吏用,认证不成功。这几种具体实施方式
可以分别使用,也可以同时使用,以保证固态硬盘处于合法使用状态。认证模块22还包括判断单元222,用于判断认证失败次数是否大于预先设 定的阈值N,比如3次,如果认证不成功,则启动判断单元222判断认证失败 次数是否大于3次,如果没有大于3次则继续认证。认证结束后,将认证结果发送给处理模块23 。所述处理模块23,用于接收所述认证单元的认证结果,当认证不通过, 则启动所述固态硬盘中预设的数据自毁方式进行数据自毁。所述固态硬盘中 预设的数据自毁方式可以有多种方式,本发明实施例以两种方式为例一种是通过FLASH操作的Erase命令,将整个SSD内的FLASH芯片进行 擦除搡作;把FLASH芯片的BLOCK全部标注为坏块,使控制器认为该固态硬 盘的FLASH介质全部处于不可用状态,并且该过程是不可逆的。另一种数据自毁方式是通过加大FLASH芯片的供电电压,使FLASH芯片在超高电压下被击穿, 无法使用。FLASH芯片在超高电压下被击穿后,数据亦不能恢复。本发明实施例认证模块22根据固态硬盘中预设的保密条件进行用户权限 认证,如果认证不通过则利用处理模块23进行数据自毁,以保证固态硬盘处 于合法使用的状态,处理模块23采用的数据自毁方式是不可逆的,无法通过软 件或物理方式来恢复保密数据,保证了数据的安全。本发明实施例只是用来举例说明,以解释本发明,并不用于限定本发明。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述程序可以存储于一计算机可读取存储介质中,所述存储介质为ROM/RAM、磁碟、光盘等。以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局 限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易 想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护 范围应该以权利要求的保护范围为准。
权利要求
1、一种数据安全保护方法,其特征在于,包括根据固态硬盘预设的保密条件对访问的用户进行访问权限认证,如果认证不通过,根据所述固态硬盘中预设的数据自毁方式进行数据自毁。
2、 如权利要求1所述的方法,其特征在于所述固态硬盘预设的保密 条件预设包括所述固态硬盘的合法使用范围预设。
3、 如权利要求2所述的方法,其特征在于所述根据对所述固态硬盘 预设的保密条件对访问的用户进行访问权限认证包括,根据预设的所述固态 硬盘的使用范围对所述用户进行判断,如果所述访问的用户在所述固态硬盘 的使用范围里则认证通过,否则认证不通过。
4、 如权利要求1所述的方法,其特征在于所述固态硬盘中预设的数 据自毁方式包括将整个固态硬盘内的FLASH芯片进行擦除操作,将FLASH 芯片的块全部标注为坏块。
5、 如权利要求1所述的方法,其特征在于所述固态硬盘的数据自毁 方式包括加大FLASH芯片的供电电压,将FLASH芯片击穿。
6、 如权利要求1所述的方法,其特征在于所述如果认证不通过,根 据固态硬盘中预设的数据自毁方式进行数据自毁包括,如果认证不成功,继 续认证,当认证失败次数大于预先设定的阈值时,根据固态硬盘预设的数据 自毁方式进行数据自毁。
7、 一种数据安全保护装置,包括认证模块,包括一个认证单元,所述认证单元用于根据固态硬盘预设的 保密条件对访问的用户进行权限认证,并发送认证结果;处理模块,接收所述认证单元的认证结果,当认证不通过,则启动所述 固态硬盘中预设的数据自毁方式进行自毁。
8、 如权利要求7所述的装置,其特征在于所述根据对所述固态硬盘预设的保密条件对访问的用户进行权限认证包括,根据预设的所述固态硬盘 的使用范围对所述用户进行判断,如果所述访问的用户在所述固态硬盘的使 用范围里则认证通过,否则认证不通过。
9、 如权利要求7所述的装置,其特征在于所述固态硬盘中预设的数 据自毁方式包括将整个固态硬盘内的FLASH芯片进行擦除操作,将FLASH 芯片的块全部标注为坏块。
10、 如权利要求7所述的装置,其特征在于所述固态硬盘的数据自毁 方式包括加大FLASH芯片的供电电压,将FLASH芯片击穿。
11、 如权利要求7所述的装置,其特征在于所述认证模块还包括一个值则将认证结果发送给处理模块。
全文摘要
本发明实施例提供了一种数据安全保护方法,包括根据固态硬盘预设的保密条件对访问的用户进行访问权限认证,如果认证不通过,根据所述固态硬盘中预设的数据自毁方式进行数据自毁。本发明实施方式还提供一种数据安全保护装置。本发明实施例在固态硬盘处于非法占有或使用状态,可以通过设备自身的操作来实现数据自毁功能,从而能较好地保证数据安全,防止机密数据的非法泄露。
文档编号G06F12/14GK101403996SQ20081021710
公开日2009年4月8日 申请日期2008年10月28日 优先权日2008年10月28日
发明者王黎明 申请人:成都市华为赛门铁克科技有限公司