技術領域

本發明涉及一種基于修改MBR的SSD分區加密方案的實現方法。

背景技術

目前，分區加密旨在保護SSD存儲設備的部分存儲區域，達到對其內部存儲資料的訪問進行權限控制。當前的SSD分區加密方案，加密分區一直可見，容易發生采用非法篡改MBR分區表的方式來實現加密分區的破解，數據安全性不高。

發明內容

為解決以上技術上的不足，本發明提供了一種基于修改MBR的SSD分區加密方案的實現方法，可以實現加密分區動態可見，即登錄后加密分區可見，登出后加密分區不可見。同時配合固件進行權限訪問控制來到達安全的SSD分區加密的目的，實現更高的安全控制以及更好的用戶體驗。

本發明是通過以下措施實現的：

本發明的一種基于修改MBR的SSD分區加密方案的實現方法，包括以下步驟：

步驟1，host端軟件每次訪問SSD時，固件判斷是否存在加密分區，若否，則host端軟件允許訪問任意LBA地址并允許進行任意的讀寫操作；若是，則進行步驟2；

步驟2，固件判斷加密分區是否已登錄，若已登錄，除LBA0不允許寫操作外，host端軟件允許對其它任意LBA地址進行讀寫訪問；若未登陸，則進行步驟3；其中LBA0代表MBR位于邏輯地址0處；

步驟3，對于讀操作，若host端軟件訪問LBA0，則清除RAM中的MBR關于加密分區的數據段的值后，再將修改后的MBR的發送給host端軟件；若host端軟件訪問的地址位于加密分區，則直接返回讀錯誤；若host端軟件訪問的地址位于公開區，則允許任意訪問；對于寫操作，若host端軟件訪問的LBA地址位于公開區，則允許進行寫操作，否則直接返回寫錯誤。

本發明的有益效果是：本發明的分區加密控制屬于硬件層面的，比傳統的操作系統層面的方案更安全更難破解；通過修改MBR的值SSD的加密分區模式，可以實現host端加密分區的動態顯示，固件的讀寫訪問權限控制，可以有效防止非法篡改MBR分區表的方式，來實現加密分區的破解。基于本方案SSD加密分區具有更高的數據安全性。

具體實施方式

本發明的一種基于修改MBR的SSD分區加密方案的實現方法，其中主引導記錄（MBR，Main Boot Record）是位于磁盤最前邊的一段引導代碼。它負責磁盤操作系統對磁盤進行讀寫時分區合法性的判別、分區引導信息的定位，它由磁盤操作系統在對硬盤進行初始化時產生的。本專利通過修改SSD LBA0（MBR位于邏輯地址0處）處存儲的MBR的值實現加密分區的是否可見。在SSD存在加密分區時，只允許對LBA0的讀操作，禁止寫操作，即MBR在加密模式下為只讀的，分區屬性不可更改。加密分區未登錄時，若Host訪問設備時，固件從SSD中讀取MBR至RAM中，并對MBR中關于加密分區的數據清零后返給host。此時host讀取到的MBR信息中只有普通分區的數據無其他分區屬性。加密分區未登錄時，固件檢測host訪問的LBA地址，若該地址位于加密分區，則禁止讀寫。加密分區登錄后，除LBA0不允許寫操作外，host訪問其他LBA無任何限制。包括以下步驟：

步驟1，host端軟件每次訪問SSD時，固件判斷是否存在加密分區，若否，則host端軟件允許訪問任意LBA地址并允許進行任意的讀寫操作；若是，則進行步驟2；

步驟2，固件判斷加密分區是否已登錄，若已登錄，除LBA0不允許寫操作外，host端軟件允許對其它任意LBA地址進行讀寫訪問；若未登陸，則進行步驟3；

步驟3，對于讀操作，若host端軟件訪問LBA0，則清除RAM中的MBR關于加密分區的數據段的值后，再將修改后的MBR的發送給host端軟件；若host端軟件訪問的地址位于加密分區，則直接返回讀錯誤；若host端軟件訪問的地址位于公開區，則允許任意訪問；對于寫操作，若host端軟件訪問的LBA地址位于公開區，則允許進行寫操作，否則直接返回寫錯誤。

以上所述僅是本專利的優選實施方式，應當指出，對于本技術領域的普通技術人員來說，在不脫離本專利技術原理的前提下，還可以做出若干改進和替換，這些改進和替換也應視為本專利的保護范圍。