技術領域

本發明涉及數據安全領域，尤其涉及一種終端數據保護方法及終端。

背景技術

隨著信息技術的發展，電子設備在人們的生活和工作中扮演著越來越重要的角色，如計算機，目前，普遍利用操作系統的身份識別體系來限制非法用戶進入計算機的操作系統，但是，這種方法并不能有效的保障計算機內數據的安全，因為非法用戶可以將設有密碼的計算機上的硬盤取下，掛接在另一計算機上，同樣能夠打開和讀取該硬盤中所存儲的數據，因此，現有技術中無法有效的保障終端數據的安全。

發明內容

本發明提供一種終端數據保護方法及終端，解決現有技術中無法有效的保障終端數據安全的問題。

為解決上述技術問題，本發明采用以下技術方案：

一種終端數據保護方法，包括：

將第一終端的存儲模塊中的引導扇區、磁盤分區表信息和操作系統啟動扇區加密后保存在第二終端的可信計算模塊；將所述磁盤分區表和操作系統啟動扇區設置為未知系統狀態；

所述第一終端每次加電開機時，啟動所述第二終端，從所述第二終端的可信計算模塊中解密所述引導扇區、磁盤分區表信息和操作系統啟動扇區；將解密后的引導扇區、磁盤分區表信息和操作系統啟動扇區還原到所述第一終端的存儲模塊并用于啟動所述第一終端的操作系統；在所述第一終端操作系統啟動完成前，重新將所述磁盤分區表和操作系統啟動扇區設置為未知系統狀態。

將第一終端的存儲模塊中的引導扇區、磁盤分區表信息和操作系統啟動扇區加密后保存在第二終端的可信計算模塊的非易失性存儲空間。

還包括：將所述第二終端的所述可信計算模塊產生的消息摘要和使用PEK或PIK證書對所述消息摘要進行簽名后的簽名信息保存到所述第一終端的所述存儲模塊的指定扇區，并隱藏所述指定扇區；將所述指定扇區的扇區位置信息寫入所述可信計算模塊的非易失性存儲空間；

所述第一終端每次加電開機時，啟動所述第二終端的過程包括：利用新引導程序，從所述非易失性存儲空間中讀取所述扇區位置信息；根據所述扇區位置信息到所述指定扇區讀取所述消息摘要和所述簽名信息；利用所述PEK或PIK證書驗證所述簽名信息；簽名信息驗證通過后，啟動所述第二終端。

還包括：設置用戶口令，所述用戶口令作為所述可信計算模塊的所有者授權數據；

簽名信息驗證通過后，輸入用戶口令，驗證所述可信計算模塊的所有者授權數據，口令驗證通過后，啟動所述第二終端。

還包括：將所述引導扇區的原始引導程序寫入所述第二終端的所述可信計算模塊的非易失性存儲空間；利用所述原始引導程序將所述解密后的引導扇區、磁盤分區表信息和操作系統啟動扇區用于啟動所述第一終端的操作系統。

將第一終端的存儲模塊中的引導扇區、磁盤分區表信息和操作系統啟動扇區加密后保存在第二終端的可信計算模塊的過程具體為：

利用所述可信計算模塊產生的加密密鑰，加密所述存儲模塊中的引導扇區、磁盤分區表信息和操作系統啟動扇區；

將加密后的引導扇區、磁盤分區表信息和操作系統啟動扇區保存在所述第二終端的所述可信計算模塊的非易失性存儲空間；并將所述加密密鑰寫入所述非易失性存儲空間；

從所述非易失性存儲空間解密所述引導扇區、磁盤分區表信息和操作系統啟動扇區的過程具體為：

利用所述可信計算模塊的所有者授權數據從所述非易失性存儲空間獲取所述加密密鑰；

利用所述加密密鑰解密所述引導扇區、磁盤分區表信息和操作系統啟動扇區。

一種終端，包括數據復制模塊和數據恢復模塊，其中，

所述數據復制模塊用于將存儲模塊中的引導扇區、磁盤分區表信息和操作系統啟動扇區加密后保存在第二終端的可信計算模塊；將所述磁盤分區表和操作系統啟動扇區設置為未知系統狀態；

所述數據恢復模塊用于在所述終端每次加電開機時，啟動所述第二終端，從所述第二終端的可信計算模塊中解密所述引導扇區、磁盤分區表信息和操作系統啟動扇區；將解密后的引導扇區、磁盤分區表信息和操作系統啟動扇區還原到所述存儲模塊并用于啟動操作系統；在操作系統啟動完成前，重新將所述磁盤分區表和操作系統啟動扇區設置為未知系統狀態。

所述數據復制模塊還用于將所述可信計算模塊產生的消息摘要和使用PEK或PIK證書對所述消息摘要進行簽名后的簽名信息保存到所述存儲模塊的指定扇區，并隱藏所述指定扇區；將所述指定扇區的扇區位置信息寫入所述第二終端的所述可信計算模塊的非易失性存儲空間；