[发明专利]一种计算机的数据安全保护方法

摘要

本发明公开了一种计算机的数据安全保护方法，建立用于存储用户数据的安全存储空间，控制所述安全存储空间的访问权限；所述安全存储空间为硬盘上与其余空间隔离的一个保护分区，仅允许通过底层的统一可扩展固件接口UEFI对其进行操作；采用扇区级读写拦截的方法结合通用串行总线加密狗USB‑KEY或软件身份认证，来实现对硬盘数据的加密。本发明通过对发送的指令和硬盘安全存储空间的用户重要数据信息多次加解密，在指令的发送和接收方之间通过发放可信授权证书进行合法性认证，有效地避免了黑客拦截软件拦截所发送的指令；另外，本发明使用方便，可以对指定区域中的数据进行读写控制，从而使用户可以根据自己的需要对不同的数据进行多样化的保护方案。

主权项

一种计算机的数据安全保护方法，其特征在于，具体步骤如下：(1)建立用于存储用户数据的安全存储空间，控制所述安全存储空间的访问权限；所述安全存储空间为硬盘上与其余空间隔离的一个保护分区，采用扇区级读写拦截的方法结合通用串行总线加密狗USB‑KEY或软件身份认证来实现对安全存储空间内数据的加密；(2)在对安全存储空间中设定加密分区和不加密分区，在将不加密分区设定成加密分区时，加密核心CORE将硬盘上的未加密数据DATA读出，依据通用串行总线加密狗USB‑KEY中的身份识别码加密后生成加密数据DATE_ENCTRYPT，然后再写入硬盘；在将加密分区设定成不加密分区时，加密核心CORE将硬盘上的加密数据DATE_ENCTRYPT读出，依据相应的TSB‑KEY中的身份识别码，解密后生成未加密数据DATE，然后再写入硬盘；(3)采用扇区级进行读写拦截，对硬盘读指令R，它指示了需要读的一组扇区SEC，读写调用者向硬盘发出读指令R，中途被加密核心CORE拦截，加密核心CORE在有USB‑KEY关联的情况下，直接将读指令R传至硬盘，硬盘将扇区SEC所指向的数据读出，此数据为加密数据，此数据在发送给读写调用者时被加密核心CORE拦截，加密核心CORE如有USB‑KEY关联，将会对数据进行解密，解密后的数据发送至读写调用者；当加密核心CORE发现无USB‑KEY关联，则不继续传递读指令，而是直接通知读写调用者读操作失败；(4)通过设定加密分区对此分区进行实时拦截，通过所述驻留程序或所述驱动程序对所有的磁盘操作进行拦截，对每次磁盘读写都将拦截到如下信息：是读还是写、读写开始扇区、读写的扇区数、读写的内容，再根据保存下来的加密分区起止信息，判断是否正在读写加密分区；(5)对与所述安全存储空间相关的指令加密，并在指令的接收端对指令进行认证处理和解密；其中用于对指令加密和解密的非对称密钥始终存储在计算机的可信平台模块TPM内部；所述与所述安全存储空间相关的指令包括访问指令、调用指令和关闭指令；所述访问指令用于开放所述安全存储空间的访问权限，所述调用指令用于调用所述安全存储空间中的用户数据信息，所述关闭指令用于关闭所述安全存储空间的访问权限。