專利名稱:儲存單元數(shù)據(jù)保護方法以及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是關(guān)于一種儲存單元數(shù)據(jù)保護方法以及系統(tǒng),特別是關(guān)于一種應(yīng)用在硬盤儲存單元的數(shù)據(jù)處理裝置的方法與系統(tǒng)。
背景技術(shù):
由于電子信息科技的一日千里,諸如個人計算機或筆記本型計算機等數(shù)據(jù)處理裝置已成為我們?nèi)粘I钪胁豢苫蛉钡囊徊糠?。使用者除了可以通過該數(shù)據(jù)處理裝置進行程序編寫執(zhí)行單純的資料處理外,還能夠通過強大的運算功能,作為聲音、影像或聲音影像相結(jié)合等多媒體資料的傳播媒介,換句話,使用者能夠通過該數(shù)據(jù)處理裝置執(zhí)行多媒體的編輯制作及播放等工作。另一方面,由于有線及無線的網(wǎng)絡(luò)通訊環(huán)境的日益成熟,再加上該數(shù)據(jù)處理裝置的體積愈來愈輕薄短小,便于使用者在移動中進行信息的取得?;谏鲜龇N種客觀環(huán)境因素,使用者主觀上也更樂意通過該具有網(wǎng)絡(luò)連接與數(shù)據(jù)傳輸功能的數(shù)據(jù)處理裝置進行信息的搜尋及取得。
承前所述,雖然我們能通過該數(shù)據(jù)處理裝置享受到信息快速流通的便利,但在另一方面使用者擔(dān)心的是資料安全的問題,使用者必須更進一步的考慮信息的保密性,因為以往紙上作業(yè)時期的資料均記錄在書面上,現(xiàn)今的數(shù)據(jù)處理裝置所具有的,如硬盤等形式的儲存裝置,已經(jīng)可以提供使用者記錄大量的文字、圖像或影音等檔案在其中,雖然大幅減少了文件的體積,但相對的也更容易進行資料的竊取與復(fù)制。例如,第三者可以通過諸如軟盤、光盤燒錄甚至網(wǎng)絡(luò)傳輸?shù)群唵蔚姆绞?,即可將所需的資料復(fù)制或傳送。
現(xiàn)有的數(shù)據(jù)處理裝置的數(shù)據(jù)保護技術(shù)不外有下列數(shù)種通過基本輸出入系統(tǒng)(BIOS)內(nèi)所提供的安全(Security)功能,設(shè)定識別碼(password),使用者在執(zhí)行該數(shù)據(jù)處理裝置的開機(power-on)過程中,該基本輸出入系統(tǒng)會要求使用者輸入識別碼,借由識別碼內(nèi)容判斷使用者是否有權(quán)使用該數(shù)據(jù)處理裝置,若是,該基本輸出入系統(tǒng)才會繼續(xù)執(zhí)行后續(xù)的開機程序。另一種形式是使用者在進入操作系統(tǒng)后,依據(jù)個人所設(shè)定的作業(yè)環(huán)境或儲存的資料定義一個識別碼,由操作系統(tǒng)依據(jù)不同使用者所輸入的識別碼開放對應(yīng)識別碼的作業(yè)環(huán)境或儲存資料供使用者使用。
通過上述基本輸出入系統(tǒng)保護的方法,第三者僅需將主機板上的一基本輸出入系統(tǒng)重置端(BIOS Reset Jumper)短路,或是拆掉主機板上的電池后再接上,均可達到侵入該基本輸出入系統(tǒng)設(shè)定內(nèi)容的目的。后者通過操作系統(tǒng)保護的方式,在使用者通過其它方式開機后,如用軟盤或光盤開機,仍然能夠讀取硬盤中的資料。對于使用者而言均無法達到理想的保護目的。
發(fā)明內(nèi)容
為解決上述現(xiàn)有技術(shù)的缺點,本發(fā)明的主要目的在于提供一種儲存單元數(shù)據(jù)保護方法以及系統(tǒng),通過將分區(qū)表加密、隱藏,防止非法使用者進入操作系統(tǒng)以進行資料存取。
本發(fā)明的另一目的在于提供一種儲存單元數(shù)據(jù)保護方法以及系統(tǒng),通過軟件或韌體的程控機制,即可達到保護儲存單元數(shù)據(jù)的目的。
為達成以上所述的目的,本發(fā)明的儲存單元數(shù)據(jù)保護系統(tǒng)包括用以提供該儲存單元數(shù)據(jù)保護系統(tǒng)提取信號、編譯碼及執(zhí)行指令功能的中央處理單元;用以儲存該數(shù)據(jù)處理裝置的基本輸出入系統(tǒng)及其它軟件例程的記憶單元;用以提供該數(shù)據(jù)處理裝置儲存包括操作系統(tǒng)程序及其它程序或資料的儲存單元;常駐在該記憶單元中,用以將使用者設(shè)定的識別碼加以編碼加密,并儲存在該儲存單元中的特定位置;此外,還能夠分區(qū)表數(shù)據(jù)加以編碼加密,儲存在該儲存單元的特定位置,且在使用者重新開機輸入正確的識別碼時,自該儲存單元中取出該分區(qū)表數(shù)據(jù)加以譯碼還原后,覆蓋至該分區(qū)表正確位置,供該數(shù)據(jù)處理裝置繼續(xù)進行正常的開機作業(yè)程序的使用者識別模塊。
通過上述的儲存單元數(shù)據(jù)保護系統(tǒng),執(zhí)行儲存單元數(shù)據(jù)保護方法是預(yù)先將該使用者識別模塊安裝至該記憶單元中,接著進行如下的步驟首先,令該使用者識別模塊將使用者設(shè)定的識別碼進行編碼加密后,儲存至該儲存單元的特定位置中;其次,令該使用者識別模塊將分區(qū)表數(shù)據(jù)進行編碼加密后,并儲存至一指定的儲存單元位置;再者,令該使用者識別模塊將該分區(qū)表數(shù)據(jù)刪除;最后,令該使用者識別模塊在使用者重新開啟該數(shù)據(jù)處理裝置電源時,判斷使用者輸入的識別碼是否正確,若是,則將該編碼加密的分區(qū)表數(shù)據(jù)譯碼還原,并覆蓋至正確的分配表位置,進行正常的開機作業(yè);若否,則中止正常的開機作業(yè)程序。
與現(xiàn)有的儲存單元數(shù)據(jù)保護方法以及系統(tǒng)比較,本發(fā)明的儲存單元數(shù)據(jù)保護方法以及系統(tǒng),用以提供使用者僅通過在開機程序中執(zhí)行的使用者識別機制,就能夠防止不具有使用權(quán)限的使用者任意開啟該數(shù)據(jù)處理裝置并進行儲存單元中數(shù)據(jù)的存取。
圖1是一應(yīng)用架構(gòu)示意圖,用以顯示執(zhí)行本發(fā)明的儲存單元數(shù)據(jù)保護系統(tǒng)應(yīng)用于一個人計算機上的系統(tǒng)架構(gòu);圖2是一方塊示意圖,用以顯示本發(fā)明的儲存單元數(shù)據(jù)保護系統(tǒng)中單元與模塊間的相互關(guān)系;以及圖3(A)及圖3(B)是流程圖,用以顯示執(zhí)行本發(fā)明的儲存單元數(shù)據(jù)保護方法的流程步驟。
具體實施例方式
實施例請參與圖1,在以下實施例中,本發(fā)明的儲存單元數(shù)據(jù)保護方法以及系統(tǒng)100,是應(yīng)用在現(xiàn)有的個人計算機200架構(gòu)中,以下僅就與本發(fā)明的儲存單元數(shù)據(jù)保護方法以及系統(tǒng)100相關(guān)的單元與模塊加以敘述,至于其它諸如鍵盤或鼠標等輸入單元以及屏幕等顯示單元等,均不再說明。
請參閱圖2,該儲存單元數(shù)據(jù)保護系統(tǒng)100包括中央處理單元110、記憶單元120、儲存單元130以及使用者識別模塊140。
該中央處理單元110是用以提供該儲存單元數(shù)據(jù)保護系統(tǒng)100提取信號、編譯碼及執(zhí)行指令的功能,并能夠通過數(shù)據(jù)傳輸路徑如總線等,以自其它資源處傳遞及接收資料。
該記憶單元120是用以提供該儲存單元數(shù)據(jù)保護系統(tǒng)100儲存包括基本輸出入系統(tǒng)及其它軟件程序及/或例程。其性質(zhì)屬于不具有揮發(fā)性的記憶單元,也就是在該個人計算機200的工作電源切斷后,儲存在該記憶單元中的資料不會消失,在使用者激活該個人計算機200的工作電源時,能夠執(zhí)行諸如該基本輸出入系統(tǒng),完成該個人計算機200的開機程序。又該記憶單元120可以是電可抹除只讀存儲器(ElectricallyErasable Programmable Read Only Memory;EEPROM)或閃存(FlashMemory)。由于上述的存儲器均具有用程序可改寫的特性,能夠提供使用者視實際情況需要,更新其中諸如基本輸出入系統(tǒng)等的程序資料內(nèi)容。
該儲存單元130是用以提供該個人計算機200儲存包括操作系統(tǒng)程序及其它程序或資料。在本實施例中,該儲存單元130是硬盤(HardDisk),該儲存單元130的功能及架構(gòu)為現(xiàn)有技術(shù),不重復(fù)說明。
該使用者識別模塊140是常駐在該記憶單元中的軟件程序,用以通過該中央處理單元110,將使用者設(shè)定的識別碼加以編碼加密并儲存在該儲存單元130中的特定位置;此外,還能夠通過該中央處理單元110,將分區(qū)表資料加以編碼加密而儲存在該儲存單元130的特定位置;且在使用者重新開啟該個人計算機200的工作電源,執(zhí)行開機程序,并輸入正確的識別碼時,自該儲存單元130中取出該分區(qū)表資料,通過該中央處理單元110加以譯碼還原后覆蓋至該分區(qū)表正確位置,供該個人計算機200繼續(xù)進行正常的開機作業(yè)程序。
需特別說明的是,在本實施例中,該分區(qū)表是指該儲存單元130也就是硬盤的分區(qū)表,現(xiàn)有的硬盤是由多個磁柱(cluster)、磁頭(head)及扇區(qū)(sector)組成,每一扇區(qū)的容量為512個字節(jié)(byte)。其中,第0磁柱、第0磁頭的第1扇區(qū)是定義為分割扇區(qū),在該扇區(qū)中,前端是儲存主引導(dǎo)記錄(Master Boot Program;MBP);后端則是用以儲存分區(qū)表資料。
其次,該個人計算機200的開機程序大約略下由該記憶單元120的內(nèi)存地址0FFFF0H開始執(zhí)行,也就是(CS=FFFF、IP=0000)。該個人計算機的基本輸出入系統(tǒng)在該0FFFF0H地址上的程序內(nèi)容是「FFFF0JMPSTART」跳到START之后,該記憶單元120的基本輸出入系統(tǒng)(ROMBIOS)首先會做一些初始的檢查工作,例如檢查隨機存取內(nèi)存、鍵盤、屏幕、磁盤驅(qū)動器等。然后會讀入主引導(dǎo)記錄,基本輸出入系統(tǒng)會將控制權(quán)交給主引導(dǎo)記錄繼續(xù)執(zhí)行下去。換言之,可分為以下幾個步驟1.計算機開機時,先執(zhí)行基本輸出入系統(tǒng),將該儲存單元130第一個扇區(qū)的主引導(dǎo)記錄(Master Boot Record;MBR)寫入隨機存取內(nèi)存中,再轉(zhuǎn)移控制權(quán)至主引導(dǎo)記錄中的程序代碼。
2.主引導(dǎo)記錄程序代碼掃描整個主磁盤分區(qū)表,并在第一個分割區(qū)放置一個旗標(flag),并將該分割區(qū)標示為可開機。接著寫入隨機存取內(nèi)存,并將控制權(quán)傳給這個分割區(qū)里的程序代碼。
3.經(jīng)由激活程序?qū)⒋疟P中的系統(tǒng)文件(如MS-DOS的IO.SYS及MSDOS.SYS)加載到隨機存取內(nèi)存,再將控制權(quán)交給加載的系統(tǒng)文件。
承上所述,在該個人計算機200的開機程序中,該分區(qū)表資料具有不可或缺的重要性,若無該分區(qū)表資料則系統(tǒng)無法得知該儲存單元130的分割狀況,也無法得知諸如視窗XP或LINUX等操作系統(tǒng)的儲存位置,當(dāng)然無法順利完成開機程序。
因此,該使用者識別模塊140即依據(jù)上述分區(qū)表的特性,通過刪除分區(qū)表資料以阻斷不具有使用權(quán)限的使用者完成開機程序,進而達到保護該個人計算機200的儲存單元130中儲存資料的目的。
請參閱圖3(A),其中顯示本發(fā)明的儲存單元數(shù)據(jù)保護方法在執(zhí)行儲存單元130數(shù)據(jù)保護的流程步驟。預(yù)先令使用者在該個人計算機200的正常操作系統(tǒng)下,安裝該使用者識別模塊140至該記憶單元120中,隨即進行步驟S301。
在步驟S301中,令該使用者識別模塊140將使用者設(shè)定的識別碼進行編碼加密后,儲存至該儲存單元130的特定位置中。在本實施例中,在該使用者識別模塊140安裝至該記憶單元120后,該使用者識別模塊140會要求使用者設(shè)定一個識別碼作為身分辨識之用,該識別碼可以包括任何數(shù)字、文字與符號的組合。在使用者完成識別碼設(shè)定后,該使用者識別模塊140隨即將該識別碼編碼加密備份至該儲存單元130中的特定位置,接著進行步驟S302。
在步驟S302中,令該使用者識別模塊140將分區(qū)表數(shù)據(jù)進行編碼加密,并儲存至一指定的儲存單元130位置。在本實施例中,該使用者識別模塊140在執(zhí)行完識別碼加密備份的步驟后,隨即將該分割扇區(qū)中該分區(qū)表數(shù)據(jù)加以編碼加密,并在編碼加密完成后,將該加密數(shù)據(jù)儲存至該儲存單元130中的另一指定位置,隨即進行步驟S303。
在步驟S303中,令該使用者識別模塊140將該分區(qū)表數(shù)據(jù)刪除。在本實施例中,當(dāng)該使用者識別模塊140完成分配表數(shù)據(jù)加密儲存的步驟后,隨即將該分配表數(shù)據(jù)自該記憶單元120中刪除。由于該分配表資料已自該記憶單元120中刪除,在使用者重新開啟該個人計算機200的工作電源,并執(zhí)行開機程序的過程中,若無法輸入正確的識別碼,則該使用者識別模塊140不會將該分配表資料還原覆蓋在正確的分配表扇區(qū),該個人計算機200即無法完成正常開機程序,也無法進入操作系統(tǒng)。
實際操作步驟則如下所述。請參閱圖3(B),顯示當(dāng)該完成數(shù)據(jù)保護設(shè)定程序的個人計算機200,是使用者重新開啟工作電源,以執(zhí)行驗證保護階段的流程步驟。
在步驟S311中,令該使用者識別模塊140在開機程序中要求使用者輸入識別碼,接著進行步驟S312。
在步驟S312中,令該使用者識別模塊140判斷使用者輸入的識別碼是否與儲存在該儲存單元130中的識別碼相同,若是,則進行步驟S313;若否則進至步驟S315。
在步驟S313中,令該使用者識別模塊140將儲存在該儲存單元130中的分區(qū)表數(shù)據(jù)讀出,并覆蓋至正確的分區(qū)表資料扇區(qū),接著進行步驟S314。
在步驟S314中,令該個人計算機200依據(jù)正常的開機程序進入操作系統(tǒng),供有權(quán)限的使用者進行該儲存單元130中資料的存取。
在步驟S315中,因使用者無法輸入正確的識別碼,則該使用者識別模塊140不會執(zhí)行分區(qū)表數(shù)據(jù)覆蓋的步驟,相對的,該儲存單元130中的扇區(qū)分割及操作系統(tǒng)資料無法被該程序所提取,故無法執(zhí)行正常的開機作業(yè)程序,達到防止無權(quán)限使用者存取該儲存單元130中的資料。
綜上所述,本發(fā)明的儲存單元數(shù)據(jù)保護方法以及系統(tǒng),用以提供使用者僅通過在開機程序中執(zhí)行的使用者識別機制,就能夠防止不具有使用權(quán)限的使用者任意開啟該個人計算機200并進行儲存單元130中資料的存取。即使該儲存單元130被不知道識別碼的使用者拆除,仍無法通過其它的計算機裝置進行資料的存取,借以確實達到數(shù)據(jù)保護的目的。
權(quán)利要求
1.一種儲存單元數(shù)據(jù)保護方法,應(yīng)用在具有儲存單元的數(shù)據(jù)處理裝置上,其特征在于,該儲存單元數(shù)據(jù)保護方法包括令使用者識別模塊將使用者設(shè)定的識別碼進行編碼加密后,儲存至該儲存單元的特定位置;令該使用者識別模塊將分區(qū)表數(shù)據(jù)進行編碼加密并儲存至指定的儲存單元位置;令該使用者識別模塊將儲存在記憶單元的分區(qū)表數(shù)據(jù)刪除;以及令該使用者識別模塊在使用者重新開啟該數(shù)據(jù)處理裝置電源時,判斷使用者輸入的識別碼是否正確,若是,則將該編碼加密的分區(qū)表數(shù)據(jù)譯碼還原、并覆蓋至正確的分配表位置,進行正常的開機作業(yè);若否,則中止正常的開機作業(yè)程序。
2.如權(quán)利要求1所述的方法,其特征在于,該儲存單元可以是內(nèi)置式硬盤、外接式硬盤及抽取式硬盤中的任一個。
3.如權(quán)利要求1所述的方法,其特征在于,該數(shù)據(jù)處理裝置可以是個人計算機、筆記本型計算機、平板計算機、液晶計算機、服務(wù)器及工作站中的任一個。
4.如權(quán)利要求1所述的方法,其特征在于,該使用者識別模塊是軟件程序,在安裝至該記憶單元后,常駐在該記憶單元,并在該數(shù)據(jù)處理裝置執(zhí)行開機程序時進行使用者的識別工作。
5.如權(quán)利要求1所述的方法,其特征在于,該記憶單元可以是電可抹除只讀存儲器及閃存中的任一個。
6.如權(quán)利要求1所述的方法,其特征在于,該識別碼可以是文字、數(shù)字、符號、文字與數(shù)字、文字與符號、符號與數(shù)字及文字、符號與數(shù)字中的任一種所組成的內(nèi)容。
7.一種儲存單元數(shù)據(jù)保護系統(tǒng),應(yīng)用具有儲存單元的數(shù)據(jù)處理裝置上,其特征在于,該儲存單元數(shù)據(jù)保護系統(tǒng)包括中央處理單元,用以提供該儲存單元數(shù)據(jù)保護系統(tǒng)提取信號、編譯碼及執(zhí)行指令功能;記憶單元,用以儲存該數(shù)據(jù)處理裝置的基本輸出入系統(tǒng)及其它軟件程序;儲存單元,用以提供該數(shù)據(jù)處理裝置儲存包括操作系統(tǒng)程序及其它程序或資料的;以及使用者識別模塊,常駐在該記憶單元中,用以將使用者所設(shè)定識別碼加以編碼加密后,儲存在該儲存單元中的特定位置;此外,還能夠?qū)⒎謪^(qū)表數(shù)據(jù)加以編碼加密,儲存在該儲存單元的特定位置,且在使用者重新開機輸入正確的識別碼時,自該儲存單元中取出該分區(qū)表數(shù)據(jù)加以譯碼還原后,覆蓋至該分區(qū)表正確位置;其中,該使用者識別模塊是軟件程序,在安裝至該記憶單元后常駐在該記憶單元,并在該數(shù)據(jù)處理裝置執(zhí)行開機程序時進行使用者的識別工作。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,該儲存單元可以是內(nèi)置式硬盤、外接式硬盤及抽取式硬盤中的任一個。
9.如權(quán)利要求7所述的系統(tǒng),其特征在于,該數(shù)據(jù)處理裝置可以是個人計算機、筆記本型計算機、平板計算機、液晶計算機、服務(wù)器及工作站中的任一個。
10.如權(quán)利要求7所述的系統(tǒng),其特征在于,該識別馬可為文字、數(shù)字、符號、文字與數(shù)字、文字與符號、符號與數(shù)字及文字、符號與數(shù)字中的任一種所組成的內(nèi)容。
全文摘要
一種儲存單元數(shù)據(jù)保護方法以及系統(tǒng),預(yù)先令使用者于一數(shù)據(jù)處理裝置的正常操作系統(tǒng)下安裝一使用者識別模塊至一記憶單元中;接著令該使用者識別模塊將使用者設(shè)定的識別碼進行編碼加密后儲存至一儲存單元中;其次,令該使用者識別模塊將分區(qū)表數(shù)據(jù)進行編碼加密并儲存至一指定的儲存單元位置;再者,令該使用者識別模塊將該分區(qū)表數(shù)據(jù)刪除;最后,令該使用者識別模塊于使用者重新開啟該數(shù)據(jù)處理裝置電源時,判斷使用者所輸入識別碼是否正確,若是,則將該編碼加密的分區(qū)表數(shù)據(jù)譯碼還原并覆蓋至正確的分配表位置,進行正常的開機作業(yè);若否,則中止正常的開機作業(yè)程序。
文檔編號G06F12/16GK1517888SQ0310047
公開日2004年8月4日 申請日期2003年1月15日 優(yōu)先權(quán)日2003年1月15日
發(fā)明者吳坤燦, 游榮勛, 盛裕程 申請人:挹光科技股份有限公司