[发明专利]一种数据安全保护方法和数据安全保护装置

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种用于保护计算机存储器数据安全的数据安全保护方法和数据安全保护装置。

背景技术

随着信息化时代的来临，数据变得越来越重要，大多数公司、行业、个人的重要数据、信息基本上都是存放在现代化的存储介质中，部分重要的数据和可能存放在系统终端如个人电脑、PDA(Personal Digital Assistant，个人数字助手)、服务器的存储器模块中或其他可移动存储器模块中。目前个人电脑、PDA、服务器中的存储器模块以及可移动存储器模块都不具备加密特征，存储器模块一旦失去，就可能被非法用户获取存储器模块上的原始数据，严重威胁个人隐私、商业机密，甚至金融、军工机密。

目前市面上存在的各种针对存储器模块的加密手段都存在显著的漏洞，例如部分指纹硬盘，事实上只是通过指纹解决对用户的身份鉴别问题，一旦硬盘被拆卸，可以通过其他途径轻易读出硬盘中的数据。其他如微软自Vista操作系统开始推出的BitLocker(磁盘加密位元锁)功能，实现了对用户的身份鉴别和数据加密，但是它采用的数据加密方法是通过CPU执行指令完成，其数据加密密钥暴露在计算机内存中，在目前计算机病毒、木马流行的年度，该数据加密密钥极易被非法获取，该功能的安全性较低。而且通过CPU执行指令来对数据加解密将大大降低计算机系统的性能。

发明内容

本发明所要解决的技术问题是，提供一种数据安全保护方法，在数据加密的同时，所加密的数据仅对有权使用该加密数据的人开放，无权使用该加密数据的人无法采用非法手段获取原始数据。

本发明解决上述技术问题的技术方案如下：

一种数据安全保护方法，包括以下步骤：

步骤A：安全模块对用户身份进行鉴别，若鉴别未通过则执行步骤B，否则执行步骤C；

步骤B：安全模块判断对用户身份鉴别的次数，若次数未达到限制值则执行步骤A，否则执行步骤G；

步骤C：安全模块对加密模块进行认证，若认证未通过则执行步骤D，否则执行步骤E；

步骤D：安全模块判断对加密模块认证的次数，若次数未达到限制值则执行步骤C，否则执行步骤G；

步骤E：安全模块将数据密钥发送给加密模块，并执行步骤F；

步骤F：加密模块根据从安全模块接收到的数据密钥，对存入存储器的数据进行加密和对取出存储器的数据进行解密；

步骤G：拒绝进行用户身份鉴别。

采用上述数据安全保护方法的有益效果是：安全模块分别对用户身份和加密模块进行鉴别和认证，同时保证用户身份和加密模块的可靠性；数据密钥与加密模块分离放置，保证了数据密钥的安全性。

进一步，步骤A中，安全模块对用户身份进行鉴别的方式包括用户口令比对方式、指纹对比方式、虹膜对比方式。

进一步，步骤A中，安全模块通过个人身份设备对用户身份进行鉴别。

进一步，所述个人身份设备包括第二代身份证和数字证书。

进一步，步骤D中，对用户身份鉴别的次数为3次或者4次。

进一步，步骤D中，对加密模块认证的次数为3次或者4次。

进一步，步骤E中，安全模块将数据密钥发送给加密模块通过如下方法实现：

在生产制造阶段安全模块和加密模块置入相同的根密钥；

步骤E中，安全模块生成随机数x，并用根密钥加密后得到x’；安全模块把x’发送给加密模块；加密模块生成随机数y，并用根密钥加密后得到y’，加密模块把y’发送给安全模块；

加密模块接收安全模块发送的x’，用根密钥解密得到x，并将x和y异或得到z；安全模块接收加密模块发送的y’，用根密钥解密得到y，并将x和y异或得到z；

安全模块用z将数据密钥加密后得到的密文传递给加密模块；加密模块用z对从安全模块接收到的密文进行解密，获得数据密钥。

采用上述进一步方案的有益效果是，保证了数据密钥在从安全模块发送至加密模块过程中的安全，一旦经加密后的数据密钥被盗取，也无法对其进行解密。

进一步，步骤F中，加密模块所采用的加密算法为DES(Data EncryptionStandard，数据加密标准)、3DES或者AES(Advanced Encryption Standard，高级加密标准)。

本发明所要解决的另一技术问题是提供一种数据安全保护装置，经该装置加密的数据所在存储器一旦丢失，非法用户也无法获取存储器上的原始数据，保护个人隐私、商业机密，甚至金融、军工机密等。