[发明专利]一种基于web的保护终端数据安全的方法和装置

权利要求书

1.一种基于web的保护终端数据安全的方法，其特征在于步骤如下：

密钥初始化和数字证书分发；

终端通过网络登录认证服务器进行用户身份验证；

当验证成功时，则对存储装置的数据分区的进行加载解密和挂载访问；

当验证不成功时，则退出或客户通过认证服务器执行密码重置。

2.根据权利要求1所述的保护终端数据安全的方法，其特征在于，所述密钥初始化和数字证书分发步骤如下：

——终端生成数据分区的公钥；

——终端的硬件加密模块生成公私钥对，其中私钥存储在硬件加密模块；

——终端将生成的公钥传输到CA服务器，由CA服务器生成信息摘要，并使用CA私钥对信息摘要进行数字签名，生成数字证书；

——终端接收CA服务器生成的数字证书并存储在硬件加密模块；

——终端生成数据分区密码，用数据分区密码初始化加密数据分区；

——将该数据分区密码通过网络发送给CA服务器进行注册。

3.根据权利要求2所述的保护终端数据安全的方法，其特征在于：所述硬件加密模块的私钥不可导出。

4.根据权利要求2所述的保护终端数据安全的方法，其特征在于：所述数据分区密码由计算机随机生成。

5.根据权利要求1所述的保护终端数据安全的方法，其特征在于：所述加密数据分区的加载解密和挂载访问的步骤如下：

——终端将硬件加密模块内部存储的数字证书发送给认证服务器以发起认证请求，

——认证服务器使用CA公钥对证书进行验证；

当认证失败则拒绝服务请求；

当认证通过，则认证服务器通过数字证书中的信息摘要，在数据库中查找预登记的对应数据分区的密码，并与随机向量进行组合加密后发给终端；

——终端接收加密后的信息，使用硬件加密模块内置的私钥对密码和加密向量进行硬件解密，计算得到数据分区的密码；

——终端硬件加密模块根据得到的数据分区的密码，采用密钥算法对存储装置的数据分区进行加载解密和挂载访问。

6.根据权利要求5所述的保护终端数据安全的方法，其特征在于：所述硬件加密模块的私钥不可导出。

7.根据权利要求1所述的保护终端数据安全的方法，其特征在于：所述解密通过对称密钥算法解密，所述对称密钥算法是AES算法、DES算法或3DES算法。

8.一种基于web的保护硬盘数据安全的装置，其特征在于：包括CA服务器、认证服务器、若干个终端和若干个UKEY，所述终端设置存储装置，所述CA服务器和认证服务器通过网络与若干个终端通讯，所述存储装置通过终端的I/O接口与UKEY通讯，UKEY设置硬件加密模块。

9.根据权利要求8所述的保护硬盘数据安全的装置，其特征在于：所述存储装置是固定存储装置和/或移动存储装置，所述固定存储装置是硬盘，所述移动存储装置是U盘和/或移动硬盘。