[发明专利]一种基于web的保护终端数据安全的方法和装置

说明书

技术领域

本发明创造涉及一种基于web的保护终端数据安全的方法和装置。

背景技术

众所周知，硬盘是由于其断电后可以保存数据而成为电脑最重要的存储设备之一，用户大多重要数据和软件都存储在硬盘之上。所以，ISO对电脑系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将电脑系统的安全理解为：通过采用各种技术和管理措施，使电脑系统正常运行，从而确保硬盘数据的可用性和完整性。而电脑系统可以正常运行，硬盘的数据安全至关重要。目前各种硬盘加密的软件、各种接口的加密卡和加密狗等技术层出不穷。其中，最常见的数据分区安全保障措施就是单纯使用密码加密，一般来说用户总是避免使用高强度密码，这是很不安全的。但当密码强度提高到12位以上时用户又容易忘记。位数多了记不住，位数少了又不安全，形成了一种相互矛盾的情况。此外，如果用户忘记密码，加密分区数据将完全丢失，不可恢复。还有一种是在密码的基础上，配套外置硬件加密模块，如USB加密狗、外置IC卡及读卡器等构成双因子加密体系。这种方式的弊端是所有加密环节均由终端自身保证，如终端及配套加密模块遗失或被盗，轻者硬件加密防护手段即失去作用。重者导致被加密数据因此永远无法解密，形成重大损失。所以，建立一种新模式的硬盘安全保护措施，使确保经过硬盘的数据不会发生增加、修改、丢失和泄露等是非常重要的。

发明内容

本发明创造要解决的问题是如何提供一种既可以对存储数据进行全面保护，又可以在客户忘记密码时可以快速重置密码的方法和装置。

为解决上述技术问题，本发明创造采用的技术方案的步骤如下：

密钥初始化和数字证书分发：终端生成数据分区的公钥；终端的硬件加密模块生成公私钥对，其中私钥存储在硬件加密模块；终端将生成的公钥传输到CA服务器，由CA服务器生成信息摘要，并使用CA私钥对信息摘要进行数字签名，生成数字证书；终端接收CA服务器生成的数字证书并存储在硬件加密模块；终端生成数据分区密码，用数据分区密码初始化加密数据分区；将该数据分区密码通过网络发送给CA服务器进行注册。所述硬件加密模块的私钥不可导出所述数据分区密码由计算机随机生成。

终端通过网络登录认证服务器进行用户身份验证。

当验证成功时，则对存储装置的数据分区的进行加载解密和挂载访问：终端将硬件加密模块内部存储的数字证书发送给认证服务器以发起认证请求；认证服务器使用CA公钥对证书进行验证；当认证失败则拒绝服务请求；当认证通过，则认证服务器通过数字证书中的信息摘要，在数据库中查找预登记的对应数据分区的密码，并与随机向量进行组合加密后发给终端；终端接收加密后的信息，使用硬件加密模块内置的私钥对密码和加密向量进行硬件解密，计算得到数据分区的密码；终端硬件加密模块根据得到的数据分区的密码，采用密钥算法对存储装置的数据分区进行加载解密和挂载访问。所述硬件加密模块的私钥不可导出。所述解密通过对称密钥算法解密，所述对称密钥算法是AES算法、DES算法或3DES算法。

当验证不成功时，则退出或客户通过认证服务器执行密码重置。

为解决上述技术问题，本发明创造采用的技术方案的还提供一种基于web的保护硬盘数据安全的装置，包括CA服务器、认证服务器、若干个终端和若干个UKEY，所述终端设置存储装置，所述CA服务器和认证服务器通过网络与若干个终端通讯，所述存储装置通过终端的I/O接口与UKEY通讯，UKEY设置硬件加密模块。所述存储装置是固定存储装置和/或移动存储装置，所述固定存储装置是硬盘，所述移动存储装置是U盘和/或移动硬盘。

本发明创造具有的优点和积极效果是：由于采用上述技术方案，实现加密数据分区密码的统一管理，由服务器进行复杂密码的统一管理。通过统一管理体系，管理员可以对数据分区加密强制使用高强度密码，增强系统安全性；使用终端的用户无需管理数据分区的加密密码，避免忘记密码造成的不可挽回的数据损失；加密数据分区的访问必须通过联网主机认证，如终端失窃、退役或送修，可在认证服务器中进行设置，禁止相关主机进行登录。由于无法通过联网认证环节，即使攻击者得到配套硬件加密模块，也无法对数据分区进行解密；数据分区的密码完全基于网络分发，其明文或摘要不会以任何形式存储在存储设备的数据分区；使用方便等优点。

附图说明

图1是本发明的数字证书分发过程示意图

图2是本发明的挂载过程示意图

图3是本发明的结构示意图