[发明专利]无需操作系统的、主动、可控硬盘数据删除方法及装置

说明书

本发明公开了一种无需操作系统的、主动、可控硬盘数据删除方法及装置，通过本发明的方案可在无需操作系统的情况下，通过安全芯片与定位芯片结合，定期检测是否发生了地理位置敏感的高风险事件，在检测到发生地理位置敏感的高风险事件时，通过操作系统独立的硬件级文件系统解析算法定位高安全等级数据所在的扇区，在无需操作系统的情况下直接对所述扇区加密并永久删除密钥、以及直接对所所述扇区进行多次随机数复写的方式，实现开机/休眠/关机多状态下高安全等级数据删除，从而实现涉密计算机遗失、涉密计算机携带人员被武力胁迫、涉密单位内部人员带离涉密机等情形下的数据自动删除，确保涉密数据的安全性。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种无需操作系统的、主动、可控硬盘数据删除方法及装置。

背景技术

高安全等级数据遗失会带来严重的后果，为保证高安全等级数据的安全性，国家制定了严格的保密制度，如要求涉密计算机必须在履行严格的手续后在保密室访问、外出携带涉密计算机时必须确保随身携带等。但是，严格的保密制度并不能代替保密技术，在特殊情况下，高安全等级数据仍可能面临着巨大的泄密风险，一些场景如：

(1)单位内部人员有意或者无意将涉密计算机带出保密室；

(2)携带涉密计算机外出的工作人员被武力胁迫；

(3)携带外出的涉密计算机遗失等。

因此，在严格的保密制度的基础上，必须对应开发相应的高安全等级数据保护技术，常用的高安全等级数据保护方法有加密、可信计算、访问控制、数据清除等，它们的特点如下：

加密通过将高安全等级数据明文变换为语义安全不同的密文来实现对高安全等级数据的保护，但是加密方法的安全性依赖于密钥的安全性，如果是一个掌控密钥的内部攻击者(上述情形(1))，或者工作人员被胁迫交出密钥(上述情形(2))，则加密数据将会完全丧失安全性。对于胁迫交出密钥的情形(上述情形(2))，学术界研发了“合理拒绝”技术，即：通过交出假密钥来保护真密钥免于泄漏以及自己的人身安全——在假密钥情形下系统仍能正常工作，只是只会揭露低安全等级数据给攻击者，而将高安全等级数据隐藏。但合理拒绝技术由于效率和配置等原因，并没有得到普及。

可信计算关注于计算的“可信性”。根据可信计算组织(Trusted ComputingGroup，TCG)的定义，“可信”是指：“实体的行为以预期的方式朝着预期的目标”。其强调“行为符合预期”。可信计算技术可以防止应用/代码被恶意篡改、或者运行时偏离预期，从而避免病毒、木马、蠕虫等恶意代码窃取高安全等级数据。但是，对于能够提供完整认证凭据、并能够物理访问可信计算设备的攻击者(上述情形(1)(2)(3))，由于攻击者无需改变系统的预期运行行为即可以访问高安全等级数据，因而可信计算技术无法对其进行防护。

访问控制技术对高安全等级数据施加访问控制。访问控制的模型很多，如：强制访问控制，自主访问控制，基于角色的访问控制，基于属性的访问控制，使用控制等。它们的基本思想是：主体(在什么条件、策略或者许可下)能够对客体执行什么样的操作。只要符合访问控制模型的约束，访问即可以进行。换句话说，访问控制本身无法判定当前访问是一次正常访问，还是一个内部攻击者的恶意访问(上述情形(1))，或者一个被工作人员被胁迫之后的访问(上述情形(2))，或者是一个非授权用户访问(上述情形(3))。

数据清除(sanitization)是一类将数据从存储介质上永久擦除(erase)方法的统称。数据清除的代表性指南是美国国家标准与技术研究院的NIST800-88。在NIST 800-88中提到的数据擦除方法有：加密擦除(cryptographic erase，即将数据加密后把加密密钥永久丢弃)，数据覆盖(overwritten)，介质消磁，介质物理破坏等。数据清除是存储高安全等级数据的介质在被丢弃之前的推荐操作。