一种具有数据保密功能的计算机及其数据加密和隐藏的方法
【技术领域】
[0001] 本发明涉及计算机数据存储和数据安全领域,特别涉及一种具有数据保密功能的 计算机及其数据加密和隐藏的方法。
【背景技术】
[0002] 一直以来,计算机(俗称电脑)的安全问题备受关注,无论是经济方面还是军事方 面,无论是国家、企业或者个人,也无论是计算机设备制造商、设计者、还是使用者,都存在 计算机安全方面的产品需求。安全计算机有多种形式的构建方式,其中一个重要方向是针 对计算机硬盘数据的安全防护,也即通过对硬盘数据进行加密,可防止未授权操作、或者非 法破解等行为,从而形成一种安全计算机。
[0003] 计算机硬盘数据的安全防护包括存储区数据加密和隐藏两个方面。传统的硬盘数 据加密可分为模块方和硬件方式两大类。模块数据加密依赖于计算机性能和操作系统平 台,保密等级低,同时也存在占用CPU资源、降低硬盘读写速度等缺陷。
[0004] 典型的硬件数据加密方式是通过一种硬盘数据加密板卡来实现数据加解密;该加 密板卡通常采用PCIE接口形式,并接管和控制计算机的硬盘和主机之间的数据通讯,可对 整个硬盘数据加密。硬件方式的数据加密克服了模块方式的一些缺点,比如自行完成数据 加解密运算等,但仍存在一些缺陷:由于对整个硬盘数据进行加解密,影响计算机的启动和 运行性能,仅适用于低速的机械硬盘;用户需要额外配置加密板卡,费用高;应用范围窄, 无法用于笔记本计算机、平板计算机等小型计算机设备;另外随着计算机硬件设备(比如 CPU、主板、硬盘等)、外设通讯协议以及操作系统等方面的性能升级,加密板卡的性能和兼 容性也存在升级问题等等。
[0005] 在存储区的隐藏方面,通常采用模块方式,即通过修改部分硬盘数据来实现,但是 模块方式依赖于操作系统平台,存在安全隐患:即容易被非授权者利用木马或者漏洞等破 解。模块方式还有另外一个风险是:熟悉操作系统文件格式的非法侵入者,可以通过再修改 硬盘数据把分区显示出来。总的来说,应用层面的隐藏分区不够彻底,理论上是可以被熟悉 操作系统文件格式的非法侵入者破解。
[0006] 总之,现有计算机硬盘数据加密和隐藏技术存在:占用CPU资源、依赖操作系统、 借助外部加解密板卡、降低硬盘读写速度、存在破解隐患以及用户使用受限等问题或缺陷。 故,针对目前现有技术中存在的上述缺陷,实有必要进行研宄,以提供一种方案,解决现有 技术中存在的缺陷。
【发明内容】
[0007] 为了解决上述技术问题,本发明提供了一种具有数据保密功能的计算机及其数据 加密和隐藏的方法,采用固态硬盘作为计算机硬盘,包括固态硬盘的高速数据加密机制、加 密存储区的隐藏机制以及身份认证机制等,从硬盘存储区数据加密以及隐藏两个方面来保 障计算机的数据安全,使得计算机具有更好的安全性。同时还包括公开存储区的设置,增加 用户实际使用的灵活性和便利性。
[0008] 为解决现有技术存在的问题,本发明的技术方案为:
[0009] -种具有数据保密功能的计算机,包括:
[0010] 内置身份信息采集及人机界面模块的计算机主机、与所述计算机主机相连接的固 态硬盘以及与所述身份信息采集及人机界面模块相连接的身份信息输入装置,其中,
[0011] 所述固态硬盘包括公开存储区和加密存储区;
[0012] 所述身份信息输入装置用于采集用户的身份信息;
[0013] 所述身份信息采集及人机界面模块用于接收所述身份信息输入装置所采集的身 份信息,对该身份信息处理后发送给固态硬盘;
[0014] 所述固态硬盘接收身份信息采集及人机界面模块发送的身份信息并对该身份信 息进行认证,身份信息认证通过后,计算机才能显现和读写所述加密存储区;否则,仅能显 现和读写公开存储区。
[0015] 优选地,所述的固态硬盘包括加解密模块,所述加解密模块用于在固态硬盘内直 接对数据进行加解密操作。
[0016] 优选地,所述身份信息输入装置为键盘或者生物特征传感器,所述生物特征传感 器为指纹、声纹或虹膜传感器的任一种。
[0017] 优选地,所述身份信息采集及人机界面模块包括加密模块,用于将身份信息加密 后再发送给固态硬盘。
[0018] 本发明还公开了一种计算机的数据加密和隐藏方法,包括以下步骤:
[0019](1)计算机接收用户输入的身份信息;
[0020] (2)将所述身份信息发送到固态硬盘;
[0021](3)固态硬盘进行用户身份信息的认证;
[0022] (4)身份认证通过后,计算机才能显示和读写所述加密存储区,否则,计算机仅能 显示和读写所述公开存储区。
[0023] 优选地,所述步骤(2)进一步包括以下步骤:
[0024] (a)身份信息采集及人机界面模块收到的用户输入的身份信息后,向固态硬盘发 送验证身份信息命令;
[0025](b)固态硬盘在收到身份验证信息命令后,产生并保存一随机数;
[0026] (c)固态硬盘将随机数发送给计算机端的身份信息采集及人机界面模块;
[0027](d)身份信息采集及人机界面模块收到随机数后,将随机数作为加密密钥,对用户 身份信息进行加密;并将加密后的身份信息发送给固态硬盘;
[0028] 所述步骤(3)进一步包括以下步骤:
[0029] (e)固态硬盘对收到的用户信息进行解密操作,并采用保存在寄存器中的随机数 作为解密密钥;
[0030] (f)固态硬盘将解密后的用户信息和预先保存的注册身份信息进行比对:如比对 一致,则表示鉴权通过,固态硬盘自动对加密存储区的内容进行解密,计算机可显现和操作 固态硬盘的加密存储区;如比对不一致,则表示鉴权失败,固态硬盘拒绝对加密存储区的内 容解密,并阻止计算机显现和操作加密存储区。
[0031] 优选地,所述的步骤(4)中未能通过身份认证时硬盘对加密存储区的隐藏,直接 由固态硬盘实现对该区的隐藏。
[0032] 优选地,所述的步骤(4)中未能通过身份认证时硬盘对加密存储区的隐藏,包括 修改硬盘中的硬盘容量和分区信息的步骤。
[0033] 优选地,所述的步骤(4)中未能通过身份认证时硬盘对加密存储区的隐藏,包括 通过和计算机的通讯命令来修改硬盘容量步骤。
[0034] 优选地,所述的步骤(4)中未能通过身份认证时硬盘对加密存储区的隐藏,包括 在固态硬盘中限制存储区逻辑块可寻址范围的步骤。
[0035] 本发明数据保密功能实现的工作流程和机理,具体如下:
[0036] 1)在计算机上安装特制的硬盘:该硬盘的存储区已初始化、并分成加密存储区和 公开存储区,其中硬盘已自动对加密存储区的数据内容进行加密和隐藏;
[0037] 2)在计算机上安装和运行身份信息采集及人机界面模块;
[0038] 3)用户通过身份信息输入装置输入身份信息;
[0039] 4)身份信息采集及人机界模块面对输入的身份信息进行加密;
[0040] 5)身份信息采集及人机界面模块将加密后的身份信息,通过计算机的硬盘接口传 输给硬盘;
[0041] 6)硬盘对收到的身份信息进行解密;
[0042] 7)硬盘将解密后的身份信息和所保存的真实注册身份信息进行比对,即进行鉴 权;
[0043] 8)如比对正确、鉴权通过后,硬盘则自动对加密存储区的内容进行解密,同时修改 硬盘容量和分区信息、允许计算机对加密存储区的逻辑块地址进行读写,也即计算机可正 常读写和操作加密存储区;
[0044] 9)如比对不正确、鉴权未通过时,硬盘拒绝对加密存储区的内容解密,同时硬盘在 和计算机通讯命令上限制对加密存储区所对应的逻辑块地址的读写、在硬盘的物理容量和 分区信息上删除加密存储区的信息,阻止计算机读写和操作加密存储区,从而实现对计算 机数据的保密功能。
[0045] 10)在身份信息认证通过和已解密状态时,如果出现电脑关机、休眠或者无用户操 作时间超过预定时间等情形之一,加密存储区可自动退出已解密状态、重新进入加密状态。
[0046] 与现有技术相比,本发明的技术方案,在数据加密方面,直接在固态硬盘内部实现 了数据的加解密,不耗费CPU资源,不需要额外的加密板块、避免了工具模块加密的弊端, 同时保持了硬盘高速读写的性能;在硬盘的隐藏方面,本发明在硬盘的通讯协议底层和逻 辑层两方面进行控制,难以破解;在身份认证机制中增加了对身份信息的加密传输,增加了 保密性;同时本发明为方便用户的实际使用,还设置了公开存储区。总之,采用本发明的技 术方案,不依赖于计算机主机或者其他外设,可方便地构建一种高数据保密性、高数据隐蔽 性的安全计算机,同时可适合各种形态的计算机设备,包括台式电脑、笔记本电脑以及平板 电脑等。
【附图说明】
[0047] 图1示出了根据本发明的一种具有数据保密功能的计算机的实施例架构图;
[0048] 图2示出了根据本发明的另外一个实施例的架构图,该实施例中计算机采用 windows操作系统,并采用SATA接口的硬盘,其中公开存储区容量为206GB ;加密存储区采 用AES加密,容量为50GB ;盘总容量为256GB ;
[0049]图3示出了图2的另外一个实施例的闪存存储介质(52)的进一步的分区信息图;
[0050] 图4示出了本发明一种计算机的数据加密和隐藏方法的流程图。
【具体实施方式】
[0051] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。
[0052] 相反,本发明涵盖任何由权利要求定义的在本发明的精髓和范围上做的替代、修 改、等效方法以及方案。进一步,为了使公众对本发明有更好的了解,在下文对本发明的细 节描述中,详尽描述了一些特定的细节部分。对本领域技术人员来说没有这些细节部分的 描述也可以完全理解本发明。
[0053] 图1示出了根据本发明的一种具有数据保密功能的计算机的实施例架构图,该计 算机⑴包括计算机主机(2)、固态硬盘(5)、身份信息输入装置(3)、显示器⑷以及其他 基本外设(6)等。计算机主机(2)包括身份信息采集及人机界面模块(24)、CPU及芯片组 (20) 、内存(22)、硬盘接口(21)以及其他基本部件(23)等,并可安装各种类型的计算机操 作系统(25)。硬盘接口(21)可以是但不局限于SATA、SAS、或者PCIE等接口之一。
[0054] 身份信息采集及人机界面模块(24)安装和运行在计算机主机(2)上,用于接收 所述身份信息输入装置所采集的身份信息,对该身份信息处理后发送给固态硬盘(5);其 内可置有加密模块(241),可对用户身份信息进行加密,并将加密后的身份信息经硬盘接口 (21) 传输给固态硬盘(5)。