块,用于调用预先设置的移动密盘随机生成数据加密密钥和破碎密钥,然后用预先设置的USBKey中存储的加密公钥分别对数据加密密钥和破碎密钥进行加密,得到数据加密密钥密文和破碎密钥密文;
加密破碎模块,利用所述数据加密密钥对待保护的数据文件进行加密,生成密文数据,再根据预先设置的破碎方法和破碎密钥对所述密文数据进行破碎分块,得到η份碎片文件,并计算每份碎片文件HASH值;
碎片文件分组模块,用于调用预先配置的碎片文件在计算机密盘与移动密盘的存储比例,按照存储比例将η份碎片文件分成两组碎片文件,并分别向所述计算机密盘和移动密盘发送相对应的碎片文件;
索引数据库生成模块,用于将预先配置的待保护的数据文件的相关信息存储在预先设置的索引数据库的文件关键信息表和碎片索引信息表的各数据项中;
碎片文件存储模块,用于将与移动密盘相对应的碎片文件存储在移动密盘中;并将与计算机密盘相对应的碎片文件存储到计算机密盘的隐藏文件夹中,清除内存;
所述本地数据的安全读取装置包括:
虚假文件读取模块,用于读取预先存储在计算机密盘的虚假文件中的文件ID,根据虚假文件ID读取预先配置在索引数据库中的与虚假文件对应的所有碎片文件的HASH值;碎片存储查询模块,用于根据所有碎片文件的HASH值,分别在所述移动密盘和计算机密盘中查询与所有碎片文件的HASH值一致的碎片文件,直到找到预先设置的η份碎片文件;
碎片文件匹配模块,用于对所有η份碎片文件逐一计算HASH值,与虚假文件对应的HASH值碎片文件进行一致性校验;在虚假文件对应的HASH值碎片文件与η份碎片文件的HASH值存在不一致的情况下,系统自动执行预先存储的返回错误结束操作的指令;
碎片文件移动模块,用于在虚假文件对应的HASH值碎片文件与η份碎片文件的HASH值一致的情况下;将在计算机密盘中查找的碎片文件读入移动密盘;
重组解密模块,用于调用移动密盘预先设置的密钥存储区内存储的加密私钥,分别解密索引数据库中碎片文件ID对应的数据加密密钥密文和破碎密钥密文,得到数据加密密钥和破碎密钥;利用与破碎算放相适配的重组算法和破碎密钥对η份碎片文件进行重组得到数据文件密文,再用数据加密密钥解密数据文件密文,得到数据文件;
文件认证模块,用于计算重组解密模块得到的所述数据文件的HASH值,与虚假文件中受保护数据文件的HASH值进行比对,在比对结果一致的情况下,将数据文件内容展示给用户;否则,执行预先存储的返回错误结束操作的指令。
[0016]本发明的有益效果为:。
[0017](I)本发明使用加密破碎技术,将数据文件加密破碎和分离存储,分存到计算机密盘和移动密盘中。计算机(笔记本)和移动密盘任何一方丢失或泄密,由于它们仅存有数据的部分碎片,攻击者不可能通过部分碎片恢复完整数据;
(2)即使计算机和移动密盘同时被窃取,移动密盘中的数据有加密和有限次数的用户PIN码的双重保护,有效降低了攻击者从移动密盘读取碎片文件的可能性;
(3)在读取受保护的数据文件时,通过校验碎片HASH值和重组的数据文件的HASH值,以确保用户读取的受保护数据文件与上次存储时的数据文件一致,有效保证了受保护数据文件的完整性和可用性;
(4)使用内核层文件驱动过滤技术对文件进行透明加解密,不影响用户的使用习惯,具有良好的用户体验;
综上所述,本发明为用户提供了安全性极高、用户体验较好的本地数据安全保护方法。
【附图说明】
[0018]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019]图1是根据本发明实施例所述的一种本地数据的安全存储方法的流程示意图;
图2是根据本发明实施例所述的一种本地数据的安全存储装置的结构示意图;
图3是根据本发明实施例所述的一种本地数据的安全读取方法的流程示意图;
图4是根据本发明实施例所述的一种本地数据的安全读取装置的流程示意图;
图5是根据本发明实施例所述的一种本地数据的安全系统的硬件结构示意图;
图6是根据本发明实施例所述的一种本地数据的安全方法的待保护的数据文件的安全存储形态示意图。
【具体实施方式】
[0020]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0021]如图1所示,根据本发明实施例所述的根据本发明的一方面,提供了一种本地数据的安全存储方法,该本地数据的安全存储方法包括以下步骤:
将待保护的数据文件的按照预先设置的文件属性信息和填充信息,写入预先设置的计算机密盘的虚假文件中;
调用预先设置的移动密盘随机生成数据加密密钥和破碎密钥,然后用预先设置的USBKey中存储的加密公钥分别对数据加密密钥和破碎密钥进行加密,得到数据加密密钥密文和破碎密钥密文;
利用所述数据加密密钥对待保护的数据文件进行加密,生成密文数据,再根据预先设置的破碎方法和破碎密钥对所述密文数据进行破碎分块,得到η份碎片文件,并计算每份碎片文件HASH值;
调用预先配置的碎片文件在计算机密盘与移动密盘的存储比例,按照存储比例将η份碎片文件分成两组碎片文件,并分别向所述计算机密盘和移动密盘发送相对应的碎片文件;
将预先配置的待保护的数据文件的相关信息存储在预先设置的索引数据库的文件关键信息表和碎片索引信息表的各数据项中;
将与移动密盘相对应的碎片文件存储在移动密盘中,并将与计算机密盘相对应的碎片文件存储到计算机密盘的隐藏文件夹中,清除内存。
[0022]进一步的,还包括:
在使用移动密盘和USBKey之前,通过预先设置的登录信息校验用户身份,在用户身份通过校验的情况下,对USBKey中预先存储的加密公私钥和移动密盘进行使用。
[0023]进一步的,所述文件关键信息表包括:数据/虚假文件ID、密盘存储碎片份数、移动密盘存储碎片份数、数据加密密钥密文、破碎密钥密文、碎片HASH值字段;碎片索引信息表包括:碎片HASH值、碎片存储位置、碎片引用数字段。
[0024]进一步的,还包括:
用于在第一次使用移动密盘的情况下,将预先设置的移动密盘ID、移动密盘路径、预绑定设备ID、破碎分数η以及计算机密盘的碎片存储比例写入预先设置的配置文件,即实现设备的绑定;
将配置文件中的已绑定设备ID信息删除,即实现设备的解除绑定。
[0025]如图2所示,根据本发明的另一方面,提供了一种本地数据的安全存储装置,该本地数据的安全存储装置包括:
虚假文件写入模块,用于将待保护的数据文件的按照预先设置的文件属性信息和填充信息,写入预先设置的计算机密盘的虚假文件中;
密钥生成保护模块,用于调用预先设置的移动密盘随机生成数据加密密钥和破碎密钥,然后用预先设置的USBKey中存储的加密公钥分别对数据加密密钥和破碎密钥进行加密,得到数据加密密钥密文和破碎密钥密文;
加密破碎模块,利用所述数据加密密钥对待保护的数据文件进行加密,生成密文数据,再根据预先设置的破碎方法和破碎密钥对所述密文数据进行破碎分块,得到η份碎片文件,并计算每份碎片文件HASH值;
碎片文件分组模块,用于调用预先配置的碎片文件在计算机密盘与移动密盘的存储比例,按照存储比例将η份碎片文件分成两组碎片文件,并分别向所述计算机密盘和移动密盘发送相对应的碎片文件;
索引数据库生成模块,用于将预先配置的待保护的数据文件的相关信息存储在预先设置的索引数据库的文件关键信息表和碎片索引信息表的各数据项中;
碎片文件存储模块,用于将与移动密盘相对应的碎片文件存储在移动密盘中;并将与计算机密盘相对应的碎片文件存储到计算机密盘的隐藏文件夹中,清除内存。
[0026]进一步的,还包括:
身份认证模块,用于在使用移动密盘和USBKey之前,通过预先设置的登录信息校验用户身份,在用户身份通过校验的情况下,对USBKey中预先存储的加密公私钥和移动密盘进行使用。
[0027]进一步的,所述文件关键信息表包括:数据/虚假文件ID、密盘存储碎片份数、移动密盘存储碎片份数、数据加密密钥密文、破碎密钥密文、碎片HASH值字段;碎片索引信息表包括:碎片HASH值、碎片存储位置、