基于UEFI的硬盘全加密方法及装置与流程

本发明属于安全加密领域，尤其涉及一种基于uefi的硬盘加密领域。

背景技术：

随着物联网、云计算、大数据等新兴技术的迅速兴起，为了将快速增长的信息转换为价值，各企事业单位往往将各种类型的数据，包括个人、财务、医疗等敏感信息，存储于专用的服务器中，甚至整合于统一的大数据系统。这种集中存储的大量敏感信息无疑将成为攻击者的理想目标，计算机病毒、黑客入侵破坏、用户误操作等因素时刻威胁着硬盘上数据的安全。硬盘作为数据最主要的存储设备，不仅在信息系统中扮演着极其重要的角色，也面临着较为严峻的安全威胁。因此，如何采用安全、通用、便捷、高效的方式，以保护硬盘上的敏感数据的安全，是当前迫切需要解决的重要问题。

目前，已经有了一些硬盘数据保护方案，具体包括：

1）硬盘分区隐藏。该方法是通过软件方法修改硬盘分区表信息，使非授权用户在操作系统中看不到硬盘；只有通过身份验证通过的授权用户，才可以看到硬盘分区，并对硬盘分区进行操作；

2）硬盘软件加密。该方法是通过在操作系统中的内核中的专用软件模块，拦截系统读写操作，并可以使用对用户透明的方式加密和解密数据；

3）硬盘内置加密芯片。该方法通过在硬盘中添加内置加密芯片，通过口令或usb-key的方式对用户进行身份认证，仅允许授权用户访问和读写硬盘，并对数据进行加解密，防止数据泄露；

但是，硬盘分区隐藏并没有对硬盘中的数据进行加密，安全性不高，通过专业的硬件是可以将硬盘中的数据读取出来；软件加密的方法会占用系统资源，影响效率；硬盘内置加密芯片的方法效率高、对用户透明，但是目前大多在操作系统下，使用专用的软件工具才能使用加解密功能。

技术实现要素：

基于此，有必要针对硬盘的安全性问题，提供一种基于uefi的硬盘全加密方法及装置。

根据本发明的目的，提供一种基于uefi的硬盘全加密方法，

检测所述硬盘中的安全模块是否可以被加载以及该模块是否完整准确；

若可以被加载并且该模块完整准确，检测所述硬盘当前状态是否正常；

若状态正常，检测所述硬盘是否设置了用户身份认证信息；

若已经设置相应用户身份认证信息，判断所述用户身份认证信息是否满足用户身份验证条件，若满足，则允许访问硬盘中的数据。

优选的，若检测所述硬盘中的安全模块不可以被加载或者该模块不完整准确或者检测到硬盘当前状态不正常，则发出警示信息，警示更换硬盘或者重新部署硬盘中的固件级硬盘安全模块。

优选的，若检测所述硬盘中未设置用户身份认证信息，则创建相应的用户身份认证信息，其中，所述用户身份认证信息为用户名和相应的口令信息。

优选的，所述判断所述用户身份认证信息是否满足用户身份验证条件，若满足，则允许访问硬盘中的数据，具体为，判断所述用户名和相应的口令信息与预先设置的信息是否相同，如果相同，则用户身份验证通过，允许用户访问硬盘数据。

优选的，如果判断所述用户名和相应的口令信息与预先设置的信息不相同，则用户身份验证不通过，界面弹出警示信息，以警示用户重新输入验证信息。

根据本发明的目的，本发明还提出一种基于uefi的硬盘全加密装置，其特征在于，所述装置包括，

第一检测模块，用于检测所述硬盘中的安全模块是否可以被加载以及该模块是否完整准确；

第二检测模块，用于若所述安全模块可以被加载并且该模块完整准确，检测所述硬盘当前状态是否正常；

第三检测模块，用于若所述硬盘状态正常，检测所述硬盘是否设置了用户身份认证信息；

第一判断模块，用于若已经设置相应用户身份认证信息，判断所述用户身份认证信息是否满足用户身份验证条件，若满足，则允许访问硬盘中的数据。

优选的，所述装置还包括第一警示模块，用于若检测所述硬盘中的安全模块不可以被加载或者该模块不完整准确或者检测到硬盘当前状态不正常，则发出警示信息，警示需要更换硬盘或者重新部署硬盘中的固件级硬盘安全模块。

优选的，所述装置还包括创建模块，用于若检测所述硬盘中未设置用户身份认证信息，则创建相应的用户身份认证信息，其中，所述用户身份认证信息为用户名和相应的口令信息。

优选的，所述第一判断模块还用于判断所述用户名和相应的口令信息与预先设置的信息是否对应，如果对应，则用户身份验证通过，允许用户访问硬盘数据。

优选的，所述装置还包括第二警示模块，用于如果判断所述用户名和相应的口令信息与预先设置的信息不对应，则用户身份验证不通过，界面弹出警示信息，以警示用户重新输入验证信息。

本发明的有益效果包括：

1.能够在硬盘的保留区或特定区域内存储固件级硬盘安全保护模块；

2.能够在主板运行期间调用固件级硬盘安全保护模块，通用性强。符合本发明规定的软硬件接口即可以用固件级硬盘全加密方案；

3.能够在操作系统启动前，通过内嵌在硬盘保留区内的固件级硬盘安全模块对用户身份进行认证；

4.能够配合安全外设对用户进行身份认证。

附图说明

图1为本发明一实施例的硬盘加密方法示意图。

图2为本发明一实施例的硬盘加密装置示意图。

图3为本发明一实施例的硬盘全加密总体结构图。

图4为本发明一实施例的加密硬盘结构图。

图5为本发明一实施例的硬盘安全模块结构图。

图6为本发明一实施例的硬盘加解密流程图。

具体实施方式

下面结合附图对本申请作进一步详细描述，有必要在此指出的是，以下具体实施方式只用于对本申请进行进一步的说明，不能理解为对本申请保护范围的限制，该领域的技术人员可以根据上述申请内容对本申请作出一些非本质的改进和调整。

如图1所示，一种基于uefi的硬盘全加密方法，具体包括如下步骤：

检测所述硬盘中的安全模块是否可以被加载以及该模块是否完整准确；

若可以被加载并且该模块完整准确，检测所述硬盘当前状态是否正常；

若状态正常，检测所述硬盘是否设置了用户身份认证信息；

若已经设置相应用户身份认证信息，判断所述用户身份认证信息是否满足用户身份验证条件，若满足，则允许访问硬盘中的数据。

若检测所述硬盘中的安全模块不可以被加载或者该模块不完整准确或者检测到硬盘当前状态不正常，则发出警示信息，警示更换硬盘或者重新部署硬盘中的固件级硬盘安全模块。

若检测所述硬盘中未设置用户身份认证信息，则创建相应的用户身份认证信息，其中，所述用户身份认证信息为用户名和相应的口令信息。

所述判断所述用户身份认证信息是否满足用户身份验证条件，若满足，则允许访问硬盘中的数据，具体为，判断所述用户名和相应的口令信息与预先设置的信息是否对应，如果对应，则用户身份验证通过，允许用户访问硬盘数据。

如果判断所述用户名和相应的口令信息与预先设置的信息不对应，则用户身份验证不通过，界面弹出警示信息，以警示用户重新输入验证信息。

如图2所示，本发明还提出一种基于uefi的硬盘全加密装置，改装置包括，

第一检测模块，用于检测所述硬盘中的安全模块是否可以被加载以及该模块是否完整准确；

第二检测模块，用于若所述安全模块可以被加载并且该模块完整准确，检测所述硬盘当前状态是否正常；

第三检测模块，用于若所述硬盘状态正常，检测所述硬盘是否设置了用户身份认证信息；

第一判断模块，用于若已经设置相应用户身份认证信息，判断所述用户身份认证信息是否满足用户身份验证条件，若满足，则允许访问硬盘中的数据。

所述装置还包括第一警示模块，用于若检测所述硬盘中的安全模块不可以被加载或者该模块不完整准确或者检测到硬盘当前状态不正常，则发出警示信息，警示更换硬盘或者重新部署硬盘中的固件级硬盘安全模块。

所述装置还包括创建模块，用于若检测所述硬盘中未设置用户身份认证信息，则创建相应的用户身份认证信息，其中，所述用户身份认证信息为用户名和相应的口令信息，或者其他可以作为身份认证的信息。

所述第一判断模块还用于判断所述用户名和相应的口令信息与预先设置的信息是否对应，如果对应，则用户身份验证通过，允许用户访问硬盘数据。

所述装置还包括第二警示模块，用于如果判断所述用户名和相应的口令信息与预先设置的信息不对应，则用户身份验证不通过，界面弹出警示信息，以警示用户重新输入验证信息。

硬盘全加密的总体结构图如图3所示，包括硬件层、固件层和操作系统层：

1）硬件层中包括了cpu、内存、加密硬盘等基本部件，并且加密硬盘中已经部署了固件级硬盘安全模块；

2）固件层包括了通用的处理器模块、芯片组模块、电源管理模块、文件系统模块之外，还包括了安全认证模块和应用加载模块。其中，应用加载模块用于加载硬盘中的固件级硬盘安全模块，安全认证模块用于验证加密硬盘中的固件级硬盘安全模块是否正确完整；

3）操作系统层包括windows、linux等其他类型的操作系统。本发明支持windows、linux等各型的操作系统。

图4展示了本专利中的加密硬盘结构图，包括硬件结构和文件结构两个部分：

1）硬件结构与目前市场上的主流产品一致，包括处理器、加密芯片、硬盘固件、磁盘/flash及其他关键部件；

2）文件系统结构与普通的硬盘不同，除分区表和通用存储区外，还增加了一个保留区用于存放固件级硬盘安全模块。该保留区仅允许固件通过安全接口进行读写，操作系统下无法修改保留区的内容。

固件级硬盘安全模块结构图如图5所示，包括硬盘接口通信模块、人机交互界面模块、安全策略模块、硬盘状态检测模块、硬盘管控模块、数据销毁模块、用户管理模块：

1）硬盘接口通信模块。该模块用于固件与配套硬盘进行通信，包括传递命令和接收数据。每个厂家的硬盘可能会有不同的定制需求，通过硬盘接口通信模块能够将这些通信接口差异性进行屏蔽；

2）人机交互界面。该模块用于在固件层显示人机交互界面，用户可以通过该界面配置用户、口令等相应的信息；

3）安全策略模块。该模块用于根据不同厂商和不同用户的需求，定制相应的安全管控策略；

4）硬盘状态检测模块。该模块用于检测当前硬盘状态是否正常；

5）硬盘管控模块。该模块用于根据安全策略模块，执行硬盘的安全管控，如全盘加密、硬盘口令的功能；

6）数据销毁模块。该模块用于对硬盘数据进行销毁。

用户管理模块。该模块用于执行创建用户、设置权限、配置密码等用户管理功能。

图6是本发明的硬盘加密解密流程图，具体步骤如下：

步骤一、在配套硬盘中植入固件级硬盘安全模块，并将该硬盘接入到主机后上电开机。

步骤二、主板固件检测硬盘中的安全模块是否可以被加载，并检测该模块是否完整正确。若安全模块可以加载并且完整正确，则转入步骤三；否则，将弹出界面并显示警告，用户需要更换硬盘或重新部署硬盘中的固件级安全模块。

步骤三、检测硬盘当前状态是否正常，若检测硬盘正常，进行步骤四；否则，将弹出界面并显示警告，用户需要更换硬盘或重新部署硬盘中的固件级安全模块。

步骤四、检测当前硬盘是否已经设立了用户和口令。若已经设置用户和口令，则转入步骤五；否则，需要创建用户口令和密码，并转入步骤五。

步骤五、对用户进行身份认证，如用户名和口令是否正确、usb-key是否正确。若用户身份验证成功，则转入步骤六；否则，加密硬盘未得到加密授权，将弹出相应的界面并显示警告。

步骤六、加密硬盘得到解密授权允许固件访问解密的文件系统和数据，能够正常引导操作系统启动。

固件级硬盘全加密方法能够在硬盘中的保留区内置固件级硬盘安全模块，在固件层实现对整个硬盘的数据加密。该方法的优点包括以下几点：

1）部署方便。若能够提供固件级的硬盘访问接口并划定保留区，则该方案能够在任何厂商、任何品牌的硬盘中进行部署；

2）适用性广。该方案能够通过符合uefi规范的固件级安全接口进行访问和授权，适用于通用性计算机固件；

3）扩展性好。该方案具有较好的可扩展性，通过在固件中增加专用的加载和安全检测模块，能够进一步增强该方案的安全性；

3）安全性高。该方案能够在开机启动时就对硬盘进行保护，杜绝了操作系统启动后进行加密硬盘攻击造成的数据泄露问题；

4）可以配合外设。该方案能够配合安全外设，如usb-key、指纹key等设备可以进行加密硬盘的用户身份认证。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。