技術領域

本發明涉及計算機系統本地數據安全存儲技術，特別是指一種基于虛擬化技術的數據安全存儲的方法及裝置。

背景技術

目前，解決計算機系統本地數據安全存儲的方法主要分為加密和數據隱藏兩類，本發明屬于數據隱藏類。

傳統的數據隱藏方法分為文件隱藏和分區隱藏兩種。但是這兩種隱藏方法都是只針對用戶的隱藏方法，數據實際上仍然存儲在于BIOS和操作系統可以訪問的硬盤區域中，容易被發現。

當前較為普遍的數據安全存儲方法有以下3種：

HPA(Host?Protection?Area)方法——通過硬盤指令使硬盤的高端區域對BIOS和操作系統不可見。存取數據時，通過硬盤指令對這段區域解鎖，解鎖成功后，用戶可直接在該區域進行數據存取。

雙操作系統(OS，Operating?System)隔離方法——利用虛擬化技術，同時運行兩個相互獨立的操作系統。其中，一個操作系統用于日常應用，另一個操作系統用于實現數據安全存儲。

采用固件(Firmware)對硬盤區域進行管理的方法——該方法由虛擬機管理器(VMM，Virtual?Machine?Manager)限制用戶操作系統不能看到隱藏的硬盤區域。只有Firmware通過虛擬機管理器才能實現對隱藏數據區的訪問。

采用固件(Firmware)對硬盤區域進行管理的方法的數據存取實施步驟如下：

1.應用程序向驅動程序發出數據讀寫請求，驅動程序將請求傳遞給Firmware；

2.Firmware根據接收到的請求訪問受保護區域中的數據；

3.Firmware把受保護區域中數據信息提供給設備驅動；

4.設備驅動顯示受保護區域數據信息給用戶；

5.用戶以訪問正常區域的方式對受保護區域中的數據進行讀寫，讀寫操作由設備管理器通過Firmware對受保護區域進行讀寫；

6.用戶操作完成后，發送讀寫完成消息給驅動程序，由驅動程序將消息傳遞給Firmware；

7.Firmware接到消息后停止訪問受保護區域。

現有的幾種數據安全存儲方法都還不夠完善，難以滿足不斷發展的數據安全存儲的需要。HPA方法讓BIOS和操作系統對加鎖的硬盤區域無法訪問，但是獨立于BIOS的軟件仍然能夠發現這一區域，如軟件DM。另外，當用戶存取數據時，HPA區域必須處于解鎖狀態，此時HPA區域不再隱藏，存儲于該隱藏區域內的數據將完全暴露給用戶。對于雙操作系統隔離方法，由于運行一個操作系統對硬盤、內存、CPU資源的消耗巨大，如果額外增加一個操作系統，僅僅用于數據的安全存儲，往往造成資源的浪費。另外，當用于數據安全存儲的操作系統同時運行其它安全應用程序時，其它安全應用程序可能會給數據存儲造成不安全、不穩定的影響。例如將安全支付的應用程序和支付相關的數據放在同一地方，如果應用程序出現問題，則可能影響到所保護的數據而破壞了該數據的安全性。采用固件(Firmware)對硬盤區域進行管理的方法只有Firmware通過VMM才能直接訪問受保護區域，當Firmware成功訪問受保護區域時，受保護區域不再受到保護，用戶對受保護區域的讀寫與對非保護區域的讀寫一樣，這種情況下，一旦用戶對保護區域內的數據進行誤操作，則無法修復因誤操作導致的數據更改。

發明內容

有鑒于此，本發明的目的在于提供一種數據安全存儲的方法，提高計算機系統對受保護數據讀取和存儲的安全性和可靠性。

基于上述目的，本發明提供了一種數據安全存儲的方法，包括：

在用戶系統中設置前端虛擬設備，在用戶系統外設置后端服務程序，并設置前端虛擬設備和后端服務程序都可訪問的臨時存儲單元；

當需要對受保護區域中的受保護數據進行存儲時，前端虛擬設備接收到對數據的存儲請求后，將請求存儲的數據讀寫到所述臨時存儲單元中，并向所述后端服務程序發送通知；

后端服務程序將臨時存儲單元中的數據讀出保存到預先配置的受保護區域中；

當需要對受保護區域中的受保護數據進行讀取時，前端虛擬設備接收到對受保護數據讀取的請求后，向所述后端服務程序發送包含有被請求數據索引信息的讀取請求；

后端服務程序根據所述請求中的索引信息從所述受保護區域中找出被請求的數據，并讀取到所述臨時存儲單元中，向前端虛擬設備發送通知；

前端虛擬設備從所述臨時存儲單元讀出被請求數據提供給用戶。

該方法進一步包括：設置用戶密碼；