一种计算机硬盘数据加密系统及方法与流程

1.本发明涉及计算机硬盘数据加密技术领域，具体涉及一种计算机硬盘数据加密系统及方法。

背景技术：

2.随着信息化时代的到来，计算机被广泛使用，存储在计算机硬盘中的数据也呈几何级数般增长，数据的存储安全性显得越来越重要。硬盘加密仍然是目前保护硬盘数据的主要趋势和手段。当前针对硬盘的数据加密认证方式较为单一，且硬盘内数据存储的安全性有待提高。

技术实现要素：

3.本发明的目的在于提供一种计算机硬盘数据加密系统及方法，通过设置恢复模块用于对硬盘存储数据的恢复，一方面确保重要数据的备份存储防止丢失，另一方面方便恢复系统数据的安全密钥，确保数据存储的安全性。
4.本发明的目的可以通过以下技术方案实现：
5.一种计算机硬盘数据加密系统，包括存储模块，存储模块用于对计算机硬盘数据进行安全存储；输入输出模块，用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出；认证模块，用于对使用者身份信息以及计算机硬盘输入输出密码的认证；加密模块，用于对计算机硬盘输入信息进行加密。
6.作为本发明进一步的方案：所述认证模块采用整机加密卡与电子钥匙完成身份认证，身份认证在系统的工作过程中不断进行，每完成一次认证，即开始新一轮的认证。
7.作为本发明进一步的方案：所述认证模块采用用户名密码认证、卡式身份认证或者生物特征认证中的一种或多种。
8.作为本发明进一步的方案：所述卡式身份认证包括使用usb接口的ukey认证和使用pin码对ukey持有人进行身份认证。
9.作为本发明进一步的方案：所述加密模块采用计算机硬盘主控中的sm4硬件加密引擎加解密数据。
10.作为本发明进一步的方案：所述加密模块数据在计算机其他部分和硬盘之间交互时，采用aes算法对数据进行加解密处理。
11.作为本发明进一步的方案：所述aes算法为多核并行流水线模式。
12.作为本发明进一步的方案：所述加密系统还包括恢复模块，恢复模块用于数据恢复和密钥恢复。
13.作为本发明进一步的方案：一种计算机硬盘数据加密方法，该加密方法包括以下步骤：
14.步骤一、建立系统登入认证的数据信息，通过不同的认证方式确保登入系统的身份安全性；
15.步骤二、通过输入输出模块向计算机硬盘内输入信息
16.步骤三、输入信息通过加密模块进行加密，加密后进入存储模块将数据进行存储；
17.步骤四、确认登入者身份信息和使用权限，通过输入输出模块确定需要调用的数据信息；
18.步骤五、加密模块对调用的信息进行解密，解密后通过输入输出模块将数据输出。
19.本发明的有益效果：
20.(1)系统使用ukey进行密钥存储和身份认证，同时使用pin码对ukey持有人进行身份认证，采用ukey和pin码双因子认证大大提高了认证的安全性。
21.(2)通过设置恢复模块用于对硬盘存储数据的恢复，一方面确保重要数据的备份存储防止丢失，另一方面方便恢复系统数据的安全密钥，确保数据存储的安全性。
附图说明
22.下面结合附图对本发明作进一步的说明。
23.图1是本发明系统的结构框图。
具体实施方式
24.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
25.请参阅图1所示，本发明为一种计算机硬盘数据加密系统及方法，包括存储模块，存储模块用于对计算机硬盘数据进行安全存储；输入输出模块，用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出；认证模块，用于对使用者身份信息以及计算机硬盘输入输出密码的认证；加密模块，用于对计算机硬盘输入信息进行加密。
26.认证模块采用整机加密卡与电子钥匙完成身份认证，身份认证在系统的工作过程中不断进行，每完成一次认证，即开始新一轮的认证，具体加密认证流程为：加密芯片a1生成的随机数a使用随机数密钥b公钥，随机数密钥b是出厂前由电子钥匙的加密芯片b的加密算法模块生成，私钥存储在电子钥匙的加密芯片b，公钥存储到整机加密卡的加密芯片a1；加密后，以密文的形式发送到电子钥匙，并在电子钥匙的加密芯片b使用随机数密钥b私钥恢复出随机数a的明文；加密芯片b生成随机数b，附加在随机数a的明文后面组成随机数a+随机数b，随机数a+随机数b使用随机数密钥a公钥，随机数密钥a是出厂前将私钥存储在电子钥匙的加密芯片a1，公钥存储到整机加密卡的加密芯片b内；加密后，以密文形式发送到整机加密卡，整机加密卡的加密芯片a使用随机数密钥a私钥恢复出随机数a+随机数b，整机加密卡恢复出的随机数a明文对比自身生成随机数a是否一致。对比一致后，随机数a+随机数b使用随机数密钥b公钥加密后，以密文形式发送到电子钥匙上，电子钥匙使用随机数密钥b私钥恢复出随机数a+随机数b，电子钥匙恢复出的随机数b明文对比自身生成的随机数b是否一致，一致则认证通过。身份认证通过后，在电子钥匙的用户密钥才会进行加密传输及拼凑。
27.认证模块采用用户名密码认证、卡式身份认证或者生物特征认证中的一种或多种。
28.用户名密码的认证方式简单易行，也是目前最常用的身份认证方式。但密码容易泄露甚至被暴力破解，许多用户会使用诸如出生年月等弱密码，这种弱密码极易被密码字典破解。还有许多用户会在不同的网站使用相同的用户名密码，一旦某个网站用户账户信息泄露，这些被泄露的账户就可能遭受撞库攻击。因此，依赖密码的单因子口令认证方式是不够安全的。
29.卡式身份认证包括内置智能卡芯片的ic卡和使用磁条存储个人信息的磁卡，智能ic卡通过芯片进行认证，无法被复制，安全性较高，但需要专用读卡器配合，通用性不高。磁卡易被复制，磁性也容易消失。很多时候也会采用短信验证码进行身份认证，这种认证方式也可以归为卡式认证，因为短信验证码会被发送到与用户账户绑定的手机号上，而手机号与sim卡则是一体的，本质上属于sim卡认证。
30.生物特征认证包括声纹认证、指纹认证、虹膜认证、手迹认证等。生物特征具有唯一性、可靠性和稳定性，很难被复制，同时生物特征也不存在丢失和被他人利用的可能。因此，生物特征认证是最可靠的认证方式，但认证过程往往需要借助复杂的技术和设备，成本较高。
31.卡式身份认证包括使用usb接口的ukey认证和使用pin码对ukey持有人进行身份认证，ukey认证也属于卡式认证，但usb接口的使用使得ukey认证的通用性大大提高。系统使用集成了国密算法的ukey进行密钥存储和身份认证，同时使用pin码对ukey持有人进行身份认证，采用ukey和pin码双因子认证大大提高了认证的安全性。
32.加密模块采用计算机硬盘主控中的sm4硬件加密引擎加解密数据，具体加解密流程为通过接口调用，在ukey和加密硬盘主控芯片内部产生sm2密钥对，由于密钥对的唯一性，通过交换公钥配对，既能对后续密钥传递过程进行加密，也可通过sm2签名实现计算机硬盘对ukey的认证。设备初始化配对时生成的sm2私钥是其唯一性标识，为保障安全，私钥在任何情况下都只能在设备内部使用，对外没有读写接口。为防止生成的sm2密钥对被覆盖，无论是ukey还是计算机硬盘都只有在未配对，即无初始化标识的情况下才会生成密钥对并存储，一旦配对，固件程序就不再响应密钥对的生成请求。为保证数据流的加解密速度，采用计算机硬盘主控中的sm4硬件加密引擎加解密数据。ukey和计算机硬盘完成配对后，必须生成一个sm4密钥，所有写入硬盘的数据均通过此密钥加密。硬盘内数据的保密性取决于该密钥的安全，因此需要将此密钥通过安全信道存放于ukey之中，计算机硬盘主控拥有真随机数发生器，截取128bit用作sm4密钥。由于配对过程已交换公钥，sm4密钥在计算机硬盘内部通过ukey公钥加密，再通过认证模块传递给ukey，ukey用自身私钥解密存储。密钥加密传输保证了sm4密钥的安全性。为验证ukey持有者的身份，初始化配对阶段，用户需设置一个用于身份认证的pin码，该pin码使用国密哈希算法sm3加密，存储在ukey中用于认证阶段的第一步认证。ukey和计算机硬盘配对完成后，需要各自设置初始化标识，在liveos启动后的认证阶段，读取该标识并进入相应操作。liveos关机后，计算机硬盘的sm4密钥由于硬盘掉电销毁，初始化过程完成。
33.加密模块数据在计算机其他部分和硬盘之间交互时，采用aes算法对数据进行加解密处理。aes算法为多核并行流水线模式。aes算法加解密的具体流程为aes对sata主设备
写入sata从设备的数据进行加密操作和对sata主设备读取sata从设备的数据进行解密操作。加解密处理器的结构包含了4个基于aes算法的硬核，并基于4个硬核实现了对数据进行流水线处理，提高了整机加密速率。aes流水线结构实例化了4个aes算法核，在当前时刻，输入pbit的数据给核1，核2及核3正在整机加密中，核4正在输出处理完毕的数据。当核1输入完毕数据后，即达到核2的位置进行整机加密，原来核2的位置就会达到核3的位置仍然进行整机加密，而核3达到核4的位置输出处理完毕的数据，原来核4就会回到核1的位置进行数据输入，以上4个核的位置变化是同步的，可以做到连续地输入数据、输出数据，从而达到流水的效果。
34.加密系统还包括恢复模块，恢复模块用于数据恢复和密钥恢复，其中数据恢复通过在存储模块中设置一个备用存储盘，对于重要的数据信息将存储一份到备用存储盘中，当主存储盘发生损坏时，可以通过备用存储盘对重要的数据信息进行恢复，确保了重要数据信息的安全性，而计算机硬盘内数据的解密密钥存储在ukey之中，一旦ukey丢失，计算机硬盘内数据将无法解密，这无疑会造成严重的数据损失。为了恢复密钥，密钥除了存储在ukey之中，在计算机硬盘的存储模块中还设置有用于必须加密保存的安全存储区，通过在安全存储区内存储用于恢复系统数据的ukey密钥，确保数据存储的安全性。
35.一种计算机硬盘数据加密方法，该加密方法包括以下步骤：
36.步骤一、建立系统登入认证的数据信息，通过不同的认证方式确保登入系统的身份安全性；
37.步骤二、通过输入输出模块向计算机硬盘内输入信息
38.步骤三、输入信息通过加密模块进行加密，加密后进入存储模块将数据进行存储；
39.步骤四、确认登入者身份信息和使用权限，通过输入输出模块确定需要调用的数据信息；
40.步骤五、加密模块对调用的信息进行解密，解密后通过输入输出模块将数据输出。
41.以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

技术特征：

1.一种计算机硬盘数据加密系统，其特征在于，包括存储模块，存储模块用于对计算机硬盘数据进行安全存储；输入输出模块，用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出；认证模块，用于对使用者身份信息以及计算机硬盘输入输出密码的认证；加密模块，用于对计算机硬盘输入信息进行加密。2.根据权利要求1所述的一种计算机硬盘数据加密系统，其特征在于，所述认证模块采用整机加密卡与电子钥匙完成身份认证，身份认证在系统的工作过程中不断进行，每完成一次认证，即开始新一轮的认证。3.根据权利要求1所述的一种计算机硬盘数据加密系统，其特征在于，所述认证模块采用用户名密码认证、卡式身份认证或者生物特征认证中的一种或多种。4.根据权利要求3所述的一种计算机硬盘数据加密系统，其特征在于，所述卡式身份认证包括使用usb接口的ukey认证和使用p i n码对ukey持有人进行身份认证。5.根据权利要求1所述的一种计算机硬盘数据加密系统，其特征在于，所述加密模块采用计算机硬盘主控中的sm4硬件加密引擎加解密数据。6.根据权利要求1所述的一种计算机硬盘数据加密系统，其特征在于，所述加密模块数据在计算机其他部分和硬盘之间交互时，采用aes算法对数据进行加解密处理。7.根据权利要求6所述的一种计算机硬盘数据加密系统，其特征在于，所述aes算法为多核并行流水线模式。8.根据权利要求1所述的一种计算机硬盘数据加密系统，其特征在于，所述加密系统还包括恢复模块，恢复模块用于数据恢复和密钥恢复。9.根据权利要求1所述的一种计算机硬盘数据加密方法，其特征在于，该加密方法包括以下步骤：步骤一、建立系统登入认证的数据信息，通过不同的认证方式确保登入系统的身份安全性；步骤二、通过输入输出模块向计算机硬盘内输入信息步骤三、输入信息通过加密模块进行加密，加密后进入存储模块将数据进行存储；步骤四、确认登入者身份信息和使用权限，通过输入输出模块确定需要调用的数据信息；步骤五、加密模块对调用的信息进行解密，解密后通过输入输出模块将数据输出。

技术总结

本发明公开了一种计算机硬盘数据加密系统及方法，包括存储模块，存储模块用于对计算机硬盘数据进行安全存储；输入输出模块，用于向计算机硬盘内输入数据信息以及将计算机硬盘内存储的数据信息进行读取输出；认证模块，用于对使用者身份信息以及计算机硬盘输入输出密码的认证；加密模块，用于对计算机硬盘输入信息进行加密；本发明系统使用Ukey进行密钥存储和身份认证，同时使用PIN码对Ukey持有人进行身份认证，采用Ukey和PIN码双因子认证大大提高了认证的安全性；通过设置恢复模块用于对硬盘存储数据的恢复，一方面确保重要数据的备份存储防止丢失，另一方面方便恢复系统数据的安全密钥，确保数据存储的安全性。确保数据存储的安全性。确保数据存储的安全性。