[发明专利]一种数据安全存储的方法及装置

说明书

技术领域

本发明涉及计算机系统本地数据安全存储技术，特别是指一种基于虚拟化技术的数据安全存储的方法及装置。

背景技术

目前，解决计算机系统本地数据安全存储的方法主要分为加密和数据隐藏两类，本发明属于数据隐藏类。

传统的数据隐藏方法分为文件隐藏和分区隐藏两种。但是这两种隐藏方法都是只针对用户的隐藏方法，数据实际上仍然存储在于BIOS和操作系统可以访问的硬盘区域中，容易被发现。

当前较为普遍的数据安全存储方法有以下3种：

HPA(Host Protection Area)方法——通过硬盘指令使硬盘的高端区域对BIOS和操作系统不可见。存取数据时，通过硬盘指令对这段区域解锁，解锁成功后，用户可直接在该区域进行数据存取。

双操作系统(OS，Operating System)隔离方法——利用虚拟化技术，同时运行两个相互独立的操作系统。其中，一个操作系统用于日常应用，另一个操作系统用于实现数据安全存储。

采用固件(Firmware)对硬盘区域进行管理的方法——该方法由虚拟机管理器(VMM，Virtual Machine Manager)限制用户操作系统不能看到隐藏的硬盘区域。只有Firmware通过虚拟机管理器才能实现对隐藏数据区的访问。

采用固件(Firmware)对硬盘区域进行管理的方法的数据存取实施步骤如下：

1.应用程序向驱动程序发出数据读写请求，驱动程序将请求传递给Firmware；

2.Firmware根据接收到的请求访问受保护区域中的数据；

3.Firmware把受保护区域中数据信息提供给设备驱动；

4.设备驱动显示受保护区域数据信息给用户；

5.用户以访问正常区域的方式对受保护区域中的数据进行读写，读写操作由设备管理器通过Firmware对受保护区域进行读写；

6.用户操作完成后，发送读写完成消息给驱动程序，由驱动程序将消息传递给Firmware；

7.Firmware接到消息后停止访问受保护区域。

现有的几种数据安全存储方法都还不够完善，难以满足不断发展的数据安全存储的需要。HPA方法让BIOS和操作系统对加锁的硬盘区域无法访问，但是独立于BIOS的软件仍然能够发现这一区域，如软件DM。另外，当用户存取数据时，HPA区域必须处于解锁状态，此时HPA区域不再隐藏，存储于该隐藏区域内的数据将完全暴露给用户。对于双操作系统隔离方法，由于运行一个操作系统对硬盘、内存、CPU资源的消耗巨大，如果额外增加一个操作系统，仅仅用于数据的安全存储，往往造成资源的浪费。另外，当用于数据安全存储的操作系统同时运行其它安全应用程序时，其它安全应用程序可能会给数据存储造成不安全、不稳定的影响。例如将安全支付的应用程序和支付相关的数据放在同一地方，如果应用程序出现问题，则可能影响到所保护的数据而破坏了该数据的安全性。采用固件(Firmware)对硬盘区域进行管理的方法只有Firmware通过VMM才能直接访问受保护区域，当Firmware成功访问受保护区域时，受保护区域不再受到保护，用户对受保护区域的读写与对非保护区域的读写一样，这种情况下，一旦用户对保护区域内的数据进行误操作，则无法修复因误操作导致的数据更改。

发明内容

有鉴于此，本发明的目的在于提供一种数据安全存储的方法，提高计算机系统对受保护数据读取和存储的安全性和可靠性。

基于上述目的，本发明提供了一种数据安全存储的方法，包括：

在用户系统中设置前端虚拟设备，在用户系统外设置后端服务程序，并设置前端虚拟设备和后端服务程序都可访问的临时存储单元；

当需要对受保护区域中的受保护数据进行存储时，前端虚拟设备接收到对数据的存储请求后，将请求存储的数据读写到所述临时存储单元中，并向所述后端服务程序发送通知；

后端服务程序将临时存储单元中的数据读出保存到预先配置的受保护区域中；

当需要对受保护区域中的受保护数据进行读取时，前端虚拟设备接收到对受保护数据读取的请求后，向所述后端服务程序发送包含有被请求数据索引信息的读取请求；

后端服务程序根据所述请求中的索引信息从所述受保护区域中找出被请求的数据，并读取到所述临时存储单元中，向前端虚拟设备发送通知；

前端虚拟设备从所述临时存储单元读出被请求数据提供给用户。

该方法进一步包括：设置用户密码；