TWI853649B - 設定程式及加密固態硬碟系統 - Google Patents
設定程式及加密固態硬碟系統 Download PDFInfo
- Publication number
- TWI853649B TWI853649B TW112126841A TW112126841A TWI853649B TW I853649 B TWI853649 B TW I853649B TW 112126841 A TW112126841 A TW 112126841A TW 112126841 A TW112126841 A TW 112126841A TW I853649 B TWI853649 B TW I853649B
- Authority
- TW
- Taiwan
- Prior art keywords
- hard disk
- password
- configuration program
- solid state
- drive
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本發明揭露一種設定程式及加密固態硬碟系統。設定程式能於電腦的作業系統中執行。當加密固態硬碟是利用USB連接埠與電腦連接,且使用者於設定程式的操作介面中,輸入正確的硬碟密碼時,設定程式將會把硬碟密碼與一硬碟資訊進行雜湊處理,以產生一密碼資料,且設定程式將傳遞包含密碼資料的IF-SEND指令至加密固態硬碟的自加密驅動器,而自加密驅動器則能依循TCG OPAL 2.0標準,利用密碼資料進行AES解鎖作業,並回傳IF-RECV指令至設定程式。若設定程式依據IF-RECV指令,判定加密固態硬碟已經成功解鎖時,設定程式將通過作業系統,使加密固態硬碟掛載於作業系統。
Description
本發明涉及一種設定程式及加密固態硬碟系統,特別是一種用來對符合TCG OPAL標準的加密固態硬碟進行設定的設定程式,及包含該設定程式的加密固態硬碟系統。
在現有技術中,使用者在電腦已經執行作業系統的情況下,才將符合TCG OPAL 2.0標準的加密固態硬碟與電腦連接,使用者於作業系統中會看到加密固態硬碟為未初始化的狀態,而使用者無法對該加密固態硬碟進行資料的存取。
在此情況下,使用者若欲存取加密固態硬碟中的資料,使用者必需依循幾個步驟:關閉電腦;將已經加密的加密固態硬碟通過電腦的SATA連接埠與電腦連接;重開機並進入電腦的BIOS系統中,並選擇該加密固態硬碟,而後,BIOS系統將會進入加密固態硬碟的PBA(Pre-Boot Authentication)系統,而PBA系統將會要求使用者輸入加密固態硬碟的密碼;使用者於PBA系統中,輸入正確的密碼(生產商於加密固態硬碟出廠時會預先設置密碼)後,加密固態硬碟才會被解鎖。加密固態硬碟被解鎖後,使用者才可以重新開機,而於作業系統中,對該加密固態硬碟進行存取。
依據現行的TCG OPAL 2.0標準,當使用者於電腦的BIOS系統中,輸入正確的密碼,而對加密固態硬碟的資料進行解鎖後,若使用者拔除加密固態硬碟與電腦的連接線,則加密固態硬碟將再次呈現為加密的狀
態,而使用者必需再次通過電腦的BIOS系統,才可以對加密固態硬碟的資料進行解鎖。
也就是說,在現有技術中,使用者利用電腦的BIOS系統對加密固態硬碟完成解鎖後,必需於BIOS系統中直接選擇重新開機,且不可拔除加密固態硬碟與電腦的連接,如此,使用者重新開機進入作業系統後,於相關磁碟管理頁面中,才可以看到可以進行存取的加密固態硬碟。
另外,由於各家電腦廠商的BIOS系統的介面設計不完全相同,且一般使用者很少會使用電腦的BIOS系統,因此,當使用者欲對符合TCG OPAL 2.0標準的加密固態硬碟進行解鎖,而進入電腦的BIOS系統中時,通常需要花一段時間,才可以順利地進入加密固態硬碟的PBA系統中。
依上所述,現有的符合TCG OPAL 2.0標準的加密固態硬碟,對於使用者在使用上有諸多不便。
本發明公開一種設定程式及加密固態硬碟系統,主要用以改善現有的符合TCG OPAL標準的加密固態硬碟,在使用上不方便的問題。
本發明的其中一實施例公開一種設定程式,其能於一電腦的一作業系統執行,作業系統是被電腦的一處理器所執行,設定程式包含一操作介面,操作介面用以提供使用者操作,以使設定程式對電腦所連接的符合TCG OPAL標準的一加密固態硬碟進行設定;設定程式於作業系統中被執行時,設定程式能通過作業系統,取得一連接埠資訊;若設定程式依據連接埠資訊,判定加密固態硬碟通過電腦的USB連接埠與電腦連接,設定程式將於操作介面中,顯示出一解鎖選項;其中,當解鎖選項被選擇,且操作介面被輸入一硬碟密碼時,設定程式能先後執行一雜湊程序及一傳遞程序,於雜湊程序中,設定程式是通過作業系統取得加密固態硬碟所對應的至少一筆硬碟
資料,並利用硬碟資料及硬碟密碼,進行雜湊(Hash)處理,以產生一密碼資料;於傳遞程序中,設定程式將通過作業系統的USB連接埠,向加密固態硬碟的一自加密驅動器(SED)傳遞一IF-SEND指令,於IF-SEND指令中包含有密碼資料;自加密驅動器(SED)接收IF-SEND指令,將依循TCG OPAL標準,利用密碼資料進行AES解鎖作業,並回傳一IF-RECV指令至設定程式;其中,設定程式接收IF-RECV指令後,設定程式將解析IF-RECV指令所包含一結果資料;若設定程式依據結果資料,判定加密固態硬碟已經成功解鎖時,設定程式將通知作業系統,以使加密固態硬碟被掛載於作業系統,而使用者則能於作業系統觀看到已經掛載且能進行資料存取的加密固態硬碟;其中,設定程式能於操作介面顯示出一硬碟列表,硬碟列表中顯示出多個硬碟選項,各個硬碟選項代表電腦當前所連接的其中一個硬碟;設定程式於顯示出硬碟列表之前,是先執行以下程序:一硬碟資料取得步驟:通過作業系統,取得當前與電腦連接的所有硬碟所分別對應的一硬碟資訊;一硬碟資訊判斷步驟:判斷各個硬碟資訊中是否包含一廠商預設資料;若判定硬碟資訊中包含廠商預設資料,則將硬碟資訊所對應的硬碟,作為硬碟列表中的其中一個硬碟選項。其中,當硬碟列表中的其中一個硬碟選項被選擇時,操作介面將於操作介面的一硬碟資訊欄位中顯示出相對應的硬碟資訊,且設定程式會依據被選擇的硬碟選項所對應的硬碟資訊,判斷相對應的硬碟是否支援TCG OPAL,若設定程式判定硬碟選單中,被選擇的硬碟選項所對應的硬碟,支援TCG OPAL,且設定程式判定被選擇的硬碟選項所對應的硬碟,是通過USB連接埠與電腦連接,設定程式將使解鎖選項呈現為能被選擇的狀態;若設定程式判定硬碟選單中被選擇的硬碟選項所對應的硬碟,不支援TCG OPAL,設定程式將使解鎖選項顯示為禁用。
本發明的其中一實施例公開一種加密固態硬碟系統,其包含:本發明的設定程式及符合TCG OPAL標準的一加密固態硬碟,所述加密固態硬碟出廠時,所述加密固態硬碟的一自加密驅動器(SED)的一影子MBR區域(Shadow MBR Region)中,未儲存一預啟動身份驗證映像檔(PBA image),且所述加密固態硬碟能通過所述USB連接埠與所述電腦連接。
綜上所述,本發明的設定程式及加密固態硬碟系統,可以讓使用者於電腦執行有作業系統的情況下,直接通過設定程式,對通過電腦的USB連接埠與電腦連接的符合TCG OPAL標準的加密固態硬碟,進行加密或解鎖的動作,而使用者利用設定程式對符合TCG OPAL標準的加密固態硬碟,完成設定(加密或解鎖)後,將可以直接於作業系統中,存取該加密固態硬碟中的資料。
為能更進一步瞭解本發明的特徵及技術內容,請參閱以下有關本發明的詳細說明與附圖,但是此等說明與附圖僅用來說明本發明,而非對本發明的保護範圍作任何的限制。
100:電腦
11:處理器
111:作業系統
112:設定程式
113:操作介面
1131:解鎖選項
1132:提示資訊
1133:硬碟密碼認證視窗
11331:硬碟密碼輸入框
11332:密碼確認選項
1134:密碼設定欄位
11341:密碼設定輸入框
11342:密碼確認選項
11343:密碼選項
1135:鎖定區域設定欄位
11351:鎖定區域選擇選項
11352:狀態選項
11353:磁區輸入框
11354:確認選項
1137:硬碟列表
11371:硬碟選項
1138:硬碟資訊欄位
1139:預啟動身份驗證欄位
11391:映像檔選擇輸入框
11392:映像檔載入選項
11393:路徑選擇選項
1140:重新設定欄位
11401:密碼輸入框
11402:重新設定選項
11403:確定選項
12:USB連接埠
13:SATA連接埠
200:加密固態硬碟
21:自加密驅動器
211:影子MBR區域
22:記憶體
300:加密固態硬碟系統
A:IF-SEND指令
A1:密碼資料
B:IF-RECV指令
B1:結果資料
C:預啟動身份驗證映像檔
圖1為安裝有本發明的設定程式的電腦及加密固態硬碟的方塊示意圖。
圖2為本發明的設定程式的操作介面的示意圖。
圖3為本發明的設定程式的操作介面顯示有硬碟密碼認證視窗的示意圖。
圖4為本發明的加密固態硬碟系統的方塊示意圖。
圖5為本發明的加密固態硬碟系統的設定程式的操作介面的示意圖。
圖6為本發明的加密固態硬碟系統的操作介面的另一實施例
的示意圖。
於以下說明中,如有指出請參閱特定圖式或是如特定圖式所示,其僅是用以強調於後續說明中,所述及的相關內容大部份出現於該特定圖式中,但不限制該後續說明中僅可參考所述特定圖式。
請參閱圖1至圖3,圖1為安裝有本發明的設定程式的電腦及加密固態硬碟的方塊示意圖,圖2為本發明的設定程式的操作介面的示意圖,圖3為本發明的設定程式的操作介面顯示有硬碟密碼認證視窗的示意圖。於以下說明中,是以TCG OPAL 2.0標準進行說明,但本發明不侷限於僅可應用於TCG OPAL 2.0標準,在TCG OPAL提出了新的規範標準的情況中,只要更新後標準中,仍然具備與以下說明書中所述的相關指令傳輸功能、密碼設定功能、初始化設定功能、恢復出廠設定功能等,本發明則仍可應用於更新後的TCG OPAL標準。同理,本發明基本上也可以應用於TCG OPAL 1.0標準中。
本發明的設定程式112能於一電腦100的一作業系統111執行,作業系統111是被電腦100的一處理器11所執行。在實際應用中,作業系統111例如是Windows作業系統、Linux作業系統等;電腦100例如是各式桌上型電腦、筆記型電腦等;所述處理器11為電腦100的中央處理器(CPU)。在實務中,使用者例如可以於Windows作業系統、Linux作業系統中,利用各式網頁瀏覽器,由開發本發明的設定程式112的廠商的官方網站,下載本發明的設定程式112,並於Windows作業系統、Linux作業系統中安裝所述設定程式112。
本發明的設定程式112包含一操作介面113,操作介面113用以提供使用者操作,以使設定程式112對電腦100所連接的符合TCG OPAL 2.0
標準的一加密固態硬碟200進行設定(例如對加密固態硬碟200進行AES加密作業、AES解鎖作業、資料抹除等)。
設定程式112於作業系統111中被執行時,設定程式112將執行一判斷程序:通過作業系統111取得一連接埠資訊,並依據連接埠資訊,判斷加密固態硬碟200是否通過電腦100的一USB連接埠12與電腦100連接;若設定程式112依據連接埠資訊,判定加密固態硬碟200通過電腦100的USB連接埠12與電腦100連接,則設定程式112將於操作介面113中,顯示出一解鎖選項1131。在其中一個具體實施例中,若設定程式112是安裝於Windows作業系統中,則設定程式112於判斷步驟中,例如可以是通過Windows Socket API取得所述連接埠資訊。
在其中一個實施例中,設定程式112可以是於操作介面113中,顯示出一提示資訊1132,以提示使用者其當前所選的硬碟是否是以USB連接埠12與電腦100連接。
相反地,若是設定程式112依據連接埠資訊,判定加密固態硬碟200不是通過電腦100的USB連接埠12與電腦100連接(例如加密固態硬碟200是通過SATA連接埠13與電腦100連接),則設定程式112將使操作介面113中解鎖選項1131呈現為禁用的狀態,而使用者無法點選操作介面113中的解鎖選項1131。
如圖2及圖3所示,當解鎖選項1131被選擇時,設定程式112將顯示出一硬碟密碼認證視窗1133,硬碟密碼認證視窗1133包含一硬碟密碼輸入框11331及一密碼確認選項11332。當硬碟密碼輸入框11331被使用者輸入硬碟密碼,且操作介面113的密碼確認選項11332被選擇時,設定程式112將會執行先後執行一雜湊程序及一傳遞程序,所述雜湊程序是:設定程式112通過作業系統111取得加密固態硬碟200所對應的至少一筆硬碟資料(例如加密固態硬碟的Model Name),並利用所述硬碟資訊中的所述硬碟資料與硬碟
密碼,進行雜湊(Hash)處理,以產生一密碼資料A1;所述傳遞程序是:設定程式112通過作業系統111的USB連接埠12,對加密固態硬碟200的一自加密驅動器(SED)21傳遞一IF-SEND指令A,於IF-SEND指令A中包含有密碼資料A1。自加密驅動器21是連接加密固態硬碟200內的多個記憶體22,關於自加密驅動器21及記憶體22的詳細連接及其作動方式,都是以符合符合TCG OPAL 2.0標準的方式進行設計,於此不再贅述。
在實際應用中,設定程式112通過作業系統111可以取得加密固態硬碟200所對應的一硬碟資訊,硬碟資訊中可以包含有多筆硬碟資料,例如:型號名稱(Model Name)、序號名稱(Serial Name)、韌體版本、TCG支援狀況(TCG Feature)等,設定程式112例如可以用硬碟資訊中具有唯一存在特性的硬碟資料(例如序號名稱),與硬碟密碼進行雜湊(Hash)處理,以產生出唯一存在的密碼資料A1。
通過上述雜湊程序的設計,即使有心人士於設定程式112執行傳遞程序時,擷取了設定程式112傳遞至加密固態硬碟200的IF-SEND指令A,而取得了IF-SEND指令A中的密碼資料A1,有心人士仍然難以知道使用者於硬碟密碼設定欄位1134中所輸入的硬碟密碼為何。
符合TCG OPAL 2.0標準的加密固態硬碟200的自加密驅動器21接收IF-SEND指令A後,自加密驅動器21將依循TCG OPAL 2.0標準,利用密碼資料A1對記憶體22中的資料進行AES解鎖作業,並回傳一IF-RECV指令B至設定程式112。具體來說,自加密驅動器21接收IF-SEND指令A後,將會把密碼資料A1作為認證密鑰(Authentication Key),並利用KDF(Key Derivation Function),產生出KEK(Key Encryption Key),再利用KEK解出MEK(Media Encryption Key),最後使AES引擎(AES Engine)利用MEK進行記憶體22中的資料解鎖;關於認證密鑰、KDF、KEK、MEK及AES引擎的相關作動流程及其實際執行的內容,都是依循TCG OPAL 2.0標準進行設計,於
此不再贅述。當自加密驅動器21利用密碼資料A1,對加密固態硬碟200的記憶體22中的資料,完成AES解鎖(或加密)作業後,自加密驅動器21將會通過USB連接埠12,回傳IF-RECV指令B至設定程式112。
當設定程式112接收IF-RECV指令B後,設定程式112將解析IF-RECV指令B所包含一結果資料B1;若設定程式112依據結果資料B1,判定加密固態硬碟200已經成功解鎖時,設定程式112將通知作業系統111,以使加密固態硬碟200被掛載於作業系統111,而讓使用者能於作業系統111觀看到已經掛載且能進行資料存取的加密固態硬碟200。關於結果資料B1具體的內容,可以是在依循TCG OPAL 2.0標準的情況下設計,於此不加以限制。更詳細來說,設定程式112依據結果資料B1,判定加密固態硬碟200已經成功解鎖時,利用C#寫成的設定程式112例如可以是通過WM_DEVICECHANGE等函式,向Windows窗口發送通知,而後,Windows PNP(Plug and Play)會重新掃描系統中的硬體設備,並於檔案總管中,顯示出已經被解鎖的加密固態硬碟200,如此,使用者即可於檔案總管等頁面中,觀看到已經被解鎖且可以被存取的加密固態硬碟200。
具體來說,當使用者於電腦100執行有作業系統111的情況下,連接一個已經加密(即,使用者已經設定硬碟密碼,或者,加密固態硬碟出廠時已經預設有硬碟密碼)的加密固態硬碟200時,使用者於作業系統111的相關磁碟管理的頁面(例如Windows作業系統中的我的電腦)中,將會看到類似「此硬碟未初始化」等提示文字,此時,使用者無法存取該加密固態硬碟200中的任何資料。
在使用者於作業系統111的相關磁碟管理的頁面中,看到類似「此硬碟未初始化」等提示文字的情況下,使用者可以於作業系統111中,開啟本發明的設定程式112,且使用者可以在加密固態硬碟200是通過USB連接埠12與電腦100連接的情況下,於操作介面113中,選擇解鎖選項1131,
如此,設定程式112即會執行前述雜湊程序及傳遞程序;若使用者選擇解鎖選項1131並輸入正確的硬碟密碼後,設定程式112將會使加密固態硬碟200解鎖,而使用者即可於電腦100的作業系統111的相關磁碟管理的頁面中,對該加密固態硬碟200進行存取的動作。
如圖2所示,在實際應用中,設定程式112的操作介面113還可以包含一密碼設定欄位1134,密碼設定欄位1134包含一密碼設定輸入框11341、一密碼確認選項11342及一密碼選項11343。密碼選項11343中例如包含三個選項,其分別為一初始化密碼、一SID密碼及一硬碟密碼。在加密固態硬碟200第一次通過電腦100的USB連接埠12與電腦100連接,且加密固態硬碟200是處於未被加密及初始化的情況下,使用者可以是先於密碼選項11343中,選擇初始化密碼的選項,再於密碼設定輸入框11341中輸入一初始化密碼,最後點選密碼確認選項11342。而後,設定程式112將會於判斷初始化密碼是否正確,若設定程式112判定初始化密碼正確後,設定程式112將依循TCG OPAL 2.0標準,通過USB連接埠12,傳遞一初始化指令至自加密驅動器21,以使自加密驅動器21完成TCG OPAL 2.0標準中的初始化設定。自加密驅動器21依循TCG OPAL 2.0標準完成初始化設定後,自加密驅動器21將會通過USB連接埠12,回傳相關資訊給設定程式112。關於傳入何種指令至自加密驅動器21,以使自加密驅動器21完成初始化設定的詳細流程,屬於TCG OPAL 2.0標準規範的標準流程,於此不再贅述。其中,所述初始化密碼是指加密固態硬碟200出廠預設的密碼(通常會記錄於廠商出版的該加密固態硬碟的操作手冊/使用說明書中)。
需說明的是,在加密固態硬碟200未依循TCG OPAL 2.0標準完成初始化設定的情況中,使用者是無法直接對加密固態硬碟200設定加密密碼,且使用者於電腦的Windows的作業系統中,在不使用設定程式112的
情況下,無法存取加密固態硬碟200,且無法對加密固態硬碟200進行硬碟密碼的設定。
當設定程式112接收到自加密驅動器21完成初始化設定後所回傳的相關資訊後,加密固態硬碟200的狀態將會轉換為可以被設定硬碟密碼的狀態,此時,使用者即可於操作介面113中的密碼設定欄位1134中的密碼選項中,先選擇硬碟密碼的選項,再於密碼設定輸入框11341中輸入所述硬碟密碼,最後點選密碼確認選項11342,而後,設定程式112將會利用硬碟密碼及加密固態硬碟200所對應的硬碟資訊中的至少一筆硬碟資料,進行雜湊(Hash)處理,以產生一設定密碼資料,且設定程式112將通過作業系統111的USB連接埠12對加密固態硬碟200傳遞一IF-SEND指令,於IF-SEND指令中包含有該設定密碼資料。加密固態硬碟200的自加密驅動器21接收IF-SEND指令後,將依循TCG OPAL 2.0標準,利用該設定密碼資料,對加密固態硬碟200的資料進行AES加密作業,以完成加密固態硬碟200的初始化作業,且自加密驅動器21會回傳一IF-RECV指令至設定程式112。
承上,設定程式112接收自加密驅動器21所回傳的IF-RECV指令後,設定程式112例如可以是顯示出一提示視窗,或者,於操作介面113中,顯示出類似「已經利用輸入的硬碟密碼,完成加密固態硬碟的加密」等提示文字,以告知使用者已經完成了加密固態硬碟200的加密。完成加密的加密固態硬碟200重新上電後,通過電腦100的USB連接埠12與電腦100連接時,使用者必需通過設定程式112,選擇解鎖選項1131,並輸入正確的硬碟密碼,才可以讓加密固態硬碟200解鎖。
如圖2所示,在實際應用中,在使用者於密碼設定欄位1134中完成硬碟密碼的設定後,設定程式112還可以是先要求使用者於操作介面113的一鎖定區域設定欄位1135中進行設定,待使用者完成鎖定區域設定欄位1135的設定後,設定程式112才執行前述產生設定密碼資料等後續程序。
鎖定區域設定欄位1135可以是包含有一鎖定區域選擇選項11351、三個狀態選項11352、兩磁區輸入框11353及一確認選項11354。鎖定區域選擇選項11351例如包含0、1兩個選項,且三個狀態選項11352可以分別是不加密(Unlock)、只可讀(ReadOnly)及加密(Lock)。當使用者於Windows作業系統中時,使用者可以是先選擇鎖定區域選擇選項11351中的0選項,再依據需求選擇不加密(Unlock)、只可讀(ReadOnly)或加密(Lock),最後,點選確認選項11354。相對地,當使用者於Linux系統中,使用者則可以是選擇鎖定區域選擇選項11351中的1選項,再依據需求選擇不加密(Unlock)、只可讀(ReadOnly)或加密(Lock),並依據需求於兩個磁區設定框11353中輸入磁碟的啟始位置及結束位置。
承上所述,使用者於密碼設定欄位1134中完成硬碟密碼的設定,並依據需求於鎖定區域設定欄位1135中,完成相關設定後,當使用者點選確認選項11354時,設定程式112將會執行前述說明的流程,以產生設定密碼資料,且設定程式112對加密固態硬碟200所傳遞的IF-SEND指令中,還會包含有使用者於鎖定區域設定欄位1135中所設定的相關資料(此部分的資料內容、格式都是依循TCG OPAL 2.0標準,於此不再贅述)。當自加密驅動器21收到所述IF-SEND指令時,自加密驅動器21將會依據IF-SEND指令中所包含的設定密碼資料及相關磁碟區域設定資料,以對相對應的磁區進行加密。舉例來說,若是使用者於Windows作業系統中時,於所述鎖定區域設定欄位1135中的選擇是:選擇鎖定區域選擇選項11351中的0選項,並選擇鎖定(Lock),則自加密驅動器21會對加密固態硬碟200的全碟進行加密。在另一個舉例中,若是使用者於Linux系統中,於所述鎖定區域設定欄位1135中的選擇是:選擇鎖定區域選擇選項11351中的1選項,再選擇鎖定(Lock),並於磁區輸入框11353中輸入磁碟的啟始位置及結束位置,則自加密驅動器21會對加密固態硬碟200的指定磁碟的啟始位置至結束位置進行加密。
如圖2所示,值得一提的是,在其中一變化實施例中,設定程式112於作業系統111中被執行時,設定程式112可以是於操作介面113中,顯示出一硬碟列表1137,硬碟列表1137中顯示出多個硬碟選項11371,各個硬碟選項11371代表電腦100當前所連接的其中一個硬碟。
當硬碟列表1137中的其中一個硬碟選項11371被選擇時,操作介面113將於操作介面113的一硬碟資訊欄位1138中顯示出相對應的硬碟資訊,且設定程式112會依據被選擇的硬碟選項11371所對應的硬碟資訊,判斷相對應的硬碟是否支援TCG OPAL 2.0,若設定程式112判定硬碟選單中被選擇的硬碟選項11371所對應的硬碟,支援TCG OPAL 2.0,且設定程式112判定該硬碟是通過USB連接埠與電腦連接,則設定程式112將使解鎖選項1131呈現為能被選擇的狀態,若設定程式112判定硬碟選單中被選擇的硬碟選項11371所對應的硬碟,不支援TCG OPAL 2.0,則設定程式112將使解鎖選項1131顯示為禁用。
更進一步來說,設定程式112於顯示出硬碟列表1137之前,是先執行以下程序:一硬碟資料取得步驟:通過作業系統111,取得當前與電腦100連接的所有硬碟的所分別對應的一硬碟資訊;一硬碟資訊判斷步驟:判斷各個硬碟資訊中是否包含一廠商預設資料;若判定硬碟資訊中包含廠商預設資料,則將硬碟資訊所對應的硬碟,作為硬碟列表1137中的其中一個硬碟選項11371。
通過上述硬碟列表1137等設計,使用者僅可利用設定程式112,對特定廠商所生產的加密固態硬碟200進行設定。也就是說,若是使用者購買其他廠商所生產的加密固態硬碟,使用者仍然必需以傳統的操作,使加密固態硬碟通過SATA連接埠與電腦連接,並通過BIOS系統對該加密固態硬碟進行設定。
綜上所述,本發明的設定程式112可以讓使用者在電腦已經執行作業系統,且加密固態硬碟200通過電腦100的USB連接埠12與電腦100連接的情況下,直接通過設定程式112,對加密固態硬碟200進行加密或解鎖。
請一併參閱圖4及圖5,圖4為本發明的加密固態硬碟系統的方塊示意圖,圖5為本發明的加密固態硬碟系統的設定程式的操作介面的示意圖。本發明的加密固態硬碟系統300包含本發明的設定程式112及符合TCG OPAL 2.0標準的一加密固態硬碟200。
所述加密固態硬碟200出廠時,加密固態硬碟200的自加密驅動器(SED)的一影子MBR區域(Shadow MBR Region)211中,未儲存一預啟動身份驗證映像檔(PBA Image)C,且加密固態硬碟200能通過USB連接埠12與電腦100連接。在其中一個具體實施例中,加密固態硬碟200本身可以是不具有USB介面,而加密固態硬碟200可以是通過相關的USB轉接卡,將加密固態硬碟200原本的SATA介面轉換為USB介面,並利用該USB介面與電腦100的USB連接埠12連接。
本發明的加密固態硬碟系統300的加密固態硬碟200於出廠時,由於未儲存預啟動身份驗證映像檔C,因此,使用者購入該加密固態硬碟200後,使該加密固態硬碟200通過電腦100的SATA連接埠13與電腦100連接時,使用者於電腦100的BIOS系統中,將因為該加密固態硬碟200中沒有儲存預啟動身份驗證映像檔C,而無法對該加密固態硬碟200進行設定。
需特別強調的是,現有市面上常見的各式符合TCG OPAL 2.0標準的加密固態硬碟出廠時,其內部的影子MBR區域(Shadow MBR Region),都會儲存有預啟動身份驗證映像檔(PBA Image),而消費者購買該加密固態硬碟後,將必需利用電腦的BIOS系統,啟動該加密固態硬碟中預存的預啟動身份驗證映像檔(PBA Image),以進入PBA(Pre-Boot Authentication)系統,從而進行加密固態硬碟的設定。
於本實施例中所述的設定程式112,可以執行前述實施例的所有程序,且本實施例的設定程式112,執行前述的判斷程序時,若依據連接埠資訊,判定加密固態硬碟200不是通過USB介面連接至電腦100,設定程式112將於操作介面113中,使解鎖選項1131呈現為禁用的狀態,並於操作介面113中顯示出一預啟動身份驗證欄位1139。預啟動身份驗證欄位1139包含一映像檔選擇輸入框11391、一映像檔載入選項11392及一路徑選擇選項11393。
當映像檔選擇輸入框11391被輸入一預設路徑,且映像檔載入選項11392被選擇時,設定程式112將執行一映像檔載入程序:將儲存於電腦100的預設路徑中的一預啟動身份驗證映像檔C,儲存於加密固態硬碟200的自加密驅動器(SED)的影子MBR區域211。關於設定程式112通過電腦100的SATA連接埠13,將預啟動身份驗證映像檔C儲存於加密固態硬碟200的自加密驅動器21的影子MBR區域211的具體執行方式,是依循TCG OPAL 2.0的規範進行設計,於此不再贅述。
在實際應用中,使用者也可以是通過點選路徑選擇選項11393,以使設定程式112顯示出一檔案選擇視窗(例如是Windows的檔案選擇的資料夾),而使用者可以通過操作檔案選擇視窗,以選擇已經儲存於Windows中的預啟動身份驗證映像檔C;使用者通過操作檔案選擇視窗,而選取特定的預啟動身份驗證映像檔C後,設定程式112將可取得該預啟動身份驗證映像檔C,儲存於作業系統111中的路徑,並將該路徑作為所述預設路徑。
設定程式112將預啟動身份驗證映像檔C儲存於加密固態硬碟200的影子MBR區域211後,設定程式112例如可以是顯示出一提示視窗,而使用者例如可以是於提示視窗中觀看到類似「請重新啟動電腦,並於BIOS系統中執行預啟動身份驗證映像檔,以進入PBA系統」等提示文字。當使用者重新開機,並通過電腦的BIOS系統,進入該加密固態硬碟200的PBA系統
後,使用者即可於PBA系統中,對該加密固態硬碟200進行相關設定,舉例來說,使用者可以於PBA系統中進行設定,而使加密固態硬碟200作為系統碟(即,加密固態硬碟中儲存有作業系統)。
值得一提的是,使用者通過設定程式112,將預啟動身份驗證映像檔C儲存於加密固態硬碟200的影子MBR區域211後,利用電腦的BIOS系統進入加密固態硬碟200的PBA系統中時,PBA系統將會要求使用者輸入硬碟密碼,若是使用者正確地輸入硬碟密碼,使用者才可以通過PBA系統,對加密固態硬碟200中的資料進行相關設定。需說明的是,PBA系統中所要求輸入的硬碟密碼,是使用者利用設定程式112,於硬碟密碼設定輸入框11341中所輸入的密碼,或者,是加密固態硬碟200原本預設的硬碟密碼。
在實際應用中,當映像檔載入選項11392被選擇後,設定程式112在執行映像檔載入程序之前,設定程式112可以是先執行一身份認證程序。設定程式112執行身份驗證程序時,將執行以下步驟:一密碼輸入要求步驟:於操作介面113中,要求使用者輸入硬碟密碼;一判斷步驟:判斷使用者輸入的硬碟密碼是否正確;若判定使用者輸入的硬碟密碼正確,則執行映像檔載入程序;若判斷使用者輸入的密碼不正確,則不執行映像檔載入程序。
也就是說,使用者必需先輸入正確的硬碟密碼,設定程式112才會執行映像檔載入程序,而將使用者指定的預設路徑中的預啟動身份驗證映像檔C,儲存於加密固態硬碟200的影子MBR區域211中,反之,設定程式112則不會將預啟動身份驗證映像檔C儲存於加密固態硬碟200的影子MBR區域211。如此設計,可以確保具有硬碟密碼的使用者,才可以將預啟動身份驗證映像檔C載入加密固態硬碟200中,而沒有硬碟密碼的使用者將無法將預啟動身份驗證映像檔C載入加入加密固態硬碟200中。
值得一提的是,本實施例的設定程式112於作業系統111中被執行時,設定程式112將會於操作介面113中,先顯示出前述硬碟列表1137。關於硬碟列表1137的說明,請參閱前述實施例,於此不再贅述。通過硬碟列表1137等設計,使用者將僅可利用設定程式112,對特定廠商所生產的加密固態硬碟200進行映像檔載入程序,如此,可以避免使用者通過設定程式112,不小心將預啟動身份驗證映像檔C,存入其他廠商所生產的加密固態硬碟中,從而可能導致該加密固態硬碟發生錯誤。
請參閱圖6,其為本發明的加密固態硬碟系統的操作介面的另一實施例的示意圖。在實際應用中,操作介面113還可以是包含有一重新設定欄位1140,重新設定欄位1140中,可以是包含有一密碼輸入框11401、一重新設定選項11402及一確定選項11403。重新設定選項11402例如可以是一個下拉式選單,該下拉式選單中可以是包含有三個選項,其分別為PSID(Physical Security ID)、清除密碼設定及恢復出廠設定。使用者若是忘記了記硬碟密碼,且欲使加密固態硬碟200恢復至出廠狀態時,使用者可以是於重新設定選項11402中,選擇PSID的選項,並於密碼輸入框11401中,輸入加密固態硬碟200的PSID(Physical Security ID)後,設定程式112則可以是向自加密驅動器21發送IF-SEND指令,於IF-SEND指令中,則包含了PSID及一恢復出廠設定資料,而自加密驅動器21接收該指令後,將會讓加密固態硬碟200恢復至出廠狀態,亦即,加密固態硬碟200中資料都會被刪除,且加密固態硬碟200的硬碟密碼會被重新設定為出廠設定。其中,一般來說,加密固態硬碟200的PSID通常是印刷於加密固態硬碟200的標籤上或是機殼上,加密固態硬碟200的預設硬碟密碼通常會顯示於說明書或是加密固態硬碟200的標籤、機殼上等。關於恢復出廠設定資料具體包含的內容,是依循TCG OPAL 2.0標準的規範,於此不再贅述。
在當使用者記得硬碟密碼,但使用者欲刪除加密固態硬碟200中的密碼設定,並保留資料的情況中,使用者例如可以是於選擇重新設定選項11402中,選擇「清除密碼設定」的選項,並於密碼輸入框11401中,輸入硬碟密碼後,設定程式112將向自加密驅動器21發送則可以傳遞IF-SEND指令,於至自加密驅動器21,該IF-SEND指令中,則會包含了一清除密碼資料,而自加密驅動器21接收該指令後,將會刪除加密固態硬碟200中的密碼設定,但不會刪除記憶體中的資料,而後,使用者則可以通過設定程式112,再次對加密固態硬碟200重新進行硬碟密碼的設定。
請復參圖2,在實際應用中,操作介面113的密碼設定欄位1134中,使用者還可以先於密碼選項11343中,選擇SID密碼的選項,再於密碼設定輸入框11341中輸入一SID密碼(使用者自行填寫的密碼),最後點選密碼確認選項11342,而後,設定程式112將會儲存使用者所輸入的SID密碼。如圖6所示,在使用者欲使加密固態硬碟200恢復至出廠狀態,且使用者已經設定過SID密碼的情況中,使用者則可以是於重新設定選項11402中,選擇「恢復出廠設定」的選項,並於密碼輸入框11401中,輸入SID密碼後,設定程式112即會向自加密驅動器21發送相對應的IF-SEND指令;當自加密驅動器21接收該IF-SEND指令後,自加密驅動器21則會讓加密固態硬碟200恢復至出廠狀態。
依上所述,使用者欲讓加密固態硬碟200恢復至出廠設定時,使用者可以是依據需求,於設定程式112的操作介面113的重新設定欄位1140中選擇相對應的重新設定選項11402,並於密碼輸入框11401中輸入相對應的密碼。
綜上所述,本發明的加密固態硬碟系統,通過設定程式及加密固態硬碟的設計,讓使用者購買加密固態硬碟後,無論是要將加密固態硬碟作為系統碟還是資料碟,使用者都可以直接於電腦執行有作業系統的情況
下,使加密固態硬碟通過連接埠與電腦連接後,直接利用設定程式,對加密固態硬碟進行硬碟密碼的設定,如此設計可以讓使用者簡單地完成加密固態硬碟的設定。
以上所述僅為本發明的較佳可行實施例,非因此侷限本發明的專利範圍,故舉凡運用本發明說明書及圖式內容所做的等效技術變化,均包含於本發明的保護範圍內。
100:電腦
11:處理器
111:作業系統
112:設定程式
113:操作介面
12:USB連接埠
13:SATA連接埠
200:加密固態硬碟
21:自加密驅動器
22:記憶體
A:IF-SEND指令
A1:密碼資料
B:IF-RECV指令
B1:結果資料
Claims (6)
- 一種設定程式,其能於一電腦的一作業系統執行,所述作業系統是被所述電腦的一處理器所執行,所述設定程式包含一操作介面,所述操作介面用以提供使用者操作,以使所述設定程式對所述電腦所連接的符合TCG OPAL標準的一加密固態硬碟進行設定;所述設定程式於所述作業系統中被執行時,所述設定程式能通過所述作業系統,取得一連接埠資訊;若所述設定程式依據所述連接埠資訊,判定所述加密固態硬碟通過所述電腦的所述USB連接埠與所述電腦連接,所述設定程式將於所述操作介面中,顯示出一解鎖選項;其中,當所述解鎖選項被選擇,且所述操作介面被輸入一硬碟密碼時,所述設定程式能先後執行一雜湊程序及一傳遞程序,於所述雜湊程序中,所述設定程式是通過所述作業系統取得所述加密固態硬碟所對應的至少一筆硬碟資料,並利用所述硬碟資料及所述硬碟密碼,進行雜湊(Hash)處理,以產生一密碼資料;於所述傳遞程序中,所述設定程式將通過所述作業系統的所述USB連接埠,向所述加密固態硬碟的一自加密驅動器(SED)傳遞一IF-SEND指令,於所述IF-SEND指令中包含有所述密碼資料;所述自加密驅動器(SED)接收所述IF-SEND指令,將依循TCG OPAL標準,利用所述密碼資料進行AES解鎖作業,並回傳一IF-RECV指令至所述設定程式;其中,所述設定程式接收所述IF-RECV指令後,所述設定程式將解析所述IF-RECV指令所包含一結果資料;若所述設定程式依據所述結果資料,判定所述加密固態硬碟已經成功解鎖時,所述設定程式將通知所述作業系統,以使 所述加密固態硬碟被掛載於所述作業系統,而使用者則能於所述作業系統觀看到已經掛載且能進行資料存取的所述加密固態硬碟;其中,所述設定程式能於所述操作介面顯示出一硬碟列表,所述硬碟列表中顯示出多個硬碟選項,各個所述硬碟選項代表所述電腦當前所連接的其中一個硬碟;所述設定程式於顯示出所述硬碟列表之前,是先執行以下程序:一硬碟資料取得步驟:通過所述作業系統,取得當前與所述電腦連接的所有硬碟所分別對應的一硬碟資訊;一硬碟資訊判斷步驟:判斷各個所述硬碟資訊中是否包含一廠商預設資料;若判定所述硬碟資訊中包含所述廠商預設資料,則將所述硬碟資訊所對應的硬碟,作為所述硬碟列表中的其中一個所述硬碟選項;其中,當所述硬碟列表中的其中一個所述硬碟選項被選擇時,所述操作介面將於所述操作介面的一硬碟資訊欄位中顯示出相對應的所述硬碟資訊,且所述設定程式會依據被選擇的所述硬碟選項所對應的所述硬碟資訊,判斷相對應的硬碟是否支援TCG OPAL,若所述設定程式判定所述硬碟選單中,被選擇的所述硬碟選項所對應的硬碟,支援所述TCG OPAL,且所述設定程式判定被選擇的所述硬碟選項所對應的硬碟,是通過所述USB連接埠與所述電腦連接,所述設定程式將使所述解鎖選項呈現為能被選擇的狀態;若所述設定程式判定所述硬碟選單中被選擇的所述硬碟選項所對應的硬碟,不支援所述TCG OPAL,所述設定程式將使所述解鎖選項顯示為禁用。
- 如請求項1所述的設定程式,其中,所述設定程式的所述操作介面還包含一硬碟密碼設定輸入框,所述硬碟密碼設 定輸入框用以提供使用者設定所述硬碟密碼;當所述硬碟密碼設定輸入框被使用者輸入所述硬碟密碼,且所述操作介面相對應的一密碼確認選項被選擇時,所述設定程式將會利用所述硬碟密碼及所述加密固態硬碟所對應的至少一筆硬碟資料,進行雜湊(Hash)處理,以產生一設定密碼資料,且所述設定程式將通過所述作業系統的所述USB連接埠對所述加密固態硬碟傳遞一IF-SEND指令,於所述IF-SEND指令中包含有所述設定密碼資料;所述加密固態硬碟的所述自加密驅動器接收所述IF-SEND指令後,將依循TCG OPAL標準,利用所述設定密碼資料,對所述加密固態硬碟中的資料進行AES加密作業,並回傳一IF-RECV指令至所述設定程式。
- 如請求項2所述的設定程式,其中,所述設定程式執行所述判斷程序,並依據所述連接埠資訊,判定所述加密固態硬碟不是通過USB介面連接至所述電腦時,所述設定程式將於所述操作介面中,使所述解鎖選項呈現為禁用的狀態,並於所述操作介面中顯示出一映像檔載入選項;當所述映像檔載入選項被選擇時,所述設定程式將執行一映像檔載入程序:將儲存於所述電腦的一預設路徑中的一預啟動身份驗證映像檔(PBA image),儲存於所述加密固態硬碟的所述自加密驅動器的一影子MBR區域(Shadow MBR Region)。
- 如請求項3所述的設定程式,其中,所述設定程式執行所述映像檔載入程序之前,所述設定程式將會先執行一身份認證程序,所述設定程式執行所述身份驗證程序時,將執行以下步驟:一密碼輸入要求步驟:於所述操作介面中,要求使用者輸 入所述硬碟密碼;一判斷步驟:判斷使用者輸入的所述硬碟密碼是否正確;若判定使用者輸入的所述硬碟密碼正確,則執行所述映像檔載入程序;若判斷使用者輸入的密碼不正確,則不執行所述映像檔載入程序。
- 如請求項1所述的設定程式,其中,所述設定程式第一次於所述作業系統中執行時,所述設定程式將要求使用者於所述操作介面中輸入一初始化密碼;當所述初始化密碼輸入框被輸入所述初始化密碼,且所述操作介面相對應的一密碼確認選項被選擇時,所述設定程式判定所述初始化密碼正確後,所述設定程式將依循TCG OPAL標準傳遞一初始化指令至所述自加密驅動器,以使所述自加密驅動器完成TCG OPAL標準中的初始化設定;所述設定程式能於所述自加密驅動器完成TCG OPAL標準中的初始化設定後,提供使用者設定一SID密碼及所述硬碟密碼;所述SID密碼被設定完成後,所述設定程式能於所述使用者在所述操作介面輸入正確的所述SID密碼後,依循TCG OPAL標準傳遞一刪除設定指令至所述自加密驅動器,以使所述自加密驅動器清除初始化設定,而所述加密固態硬碟將呈現為未加密的狀態;所述設定程式能於所述硬碟密碼被設定的過程中,提供使用者設定一硬碟鎖定區域;當所述硬碟密碼及所述硬碟鎖定區域被設定完成後,所述設定程式將依循TCG OPAL標準傳遞一設定指令至所述自加密驅動器,以使所述自加密驅動器依據所述密碼資料及所述硬碟鎖定驅動,對所述加密固態硬碟的至少一部分的磁碟區域進行加密。
- 一種加密固態硬碟系統,其包含:如請求項1至5其中任 一項所述的設定程式及符合TCG OPAL標準的一加密固態硬碟,所述加密固態硬碟出廠時,所述加密固態硬碟的一自加密驅動器(SED)的一影子MBR區域(Shadow MBR Region)中,未儲存一預啟動身份驗證映像檔(PBA image),且所述加密固態硬碟能通過所述USB連接埠與所述電腦連接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112126841A TWI853649B (zh) | 2023-07-19 | 2023-07-19 | 設定程式及加密固態硬碟系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112126841A TWI853649B (zh) | 2023-07-19 | 2023-07-19 | 設定程式及加密固態硬碟系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI853649B true TWI853649B (zh) | 2024-08-21 |
| TW202505406A TW202505406A (zh) | 2025-02-01 |
Family
ID=93284353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112126841A TWI853649B (zh) | 2023-07-19 | 2023-07-19 | 設定程式及加密固態硬碟系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI853649B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113642050A (zh) * | 2021-10-13 | 2021-11-12 | 联芸科技(杭州)有限公司 | 自配置加密硬盘及其配置方法、系统及系统的启动方法 |
-
2023
- 2023-07-19 TW TW112126841A patent/TWI853649B/zh active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113642050A (zh) * | 2021-10-13 | 2021-11-12 | 联芸科技(杭州)有限公司 | 自配置加密硬盘及其配置方法、系统及系统的启动方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202505406A (zh) | 2025-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI763780B (zh) | 儲存裝置 | |
| JP5017462B2 (ja) | 情報処理装置及びリムーバブルメディア管理方法 | |
| CN100555298C (zh) | 虚拟个人办公环境的方法和设备 | |
| US7865659B2 (en) | Removable storage device | |
| US10181041B2 (en) | Methods, systems, and apparatuses for managing a hard drive security system | |
| US8566603B2 (en) | Managing security operating modes | |
| US8060735B2 (en) | Portable device and method for externally generalized starting up of a computer system | |
| US20090046858A1 (en) | System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key | |
| JP5349114B2 (ja) | 記憶装置 | |
| US20050144443A1 (en) | Apparatus, system, and method for secure mass storage backup | |
| JP5689429B2 (ja) | 認証装置、および、認証方法 | |
| JP2011210129A (ja) | 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム | |
| US11960737B2 (en) | Self-deploying encrypted hard disk, deployment method thereof, self-deploying encrypted hard disk system and boot method thereof | |
| US10698838B2 (en) | Data storage apparatus | |
| US11354259B1 (en) | Computer system configurations based on accessing data elements presented by baseboard management controllers | |
| US20150319147A1 (en) | System and method for file encrypting and decrypting | |
| US20090307451A1 (en) | Dynamic logical unit number creation and protection for a transient storage device | |
| JP4793949B2 (ja) | コンピュータ情報処理装置および情報管理プログラム | |
| JP2009026031A (ja) | シンクライアントシステム、情報処理方法、及び、情報処理プログラム | |
| US20050193195A1 (en) | Method and system for protecting data of storage unit | |
| CN109033848B (zh) | 存储数据安全运行方法及系统 | |
| US8190813B2 (en) | Terminal apparatus with restricted non-volatile storage medium | |
| TWI853649B (zh) | 設定程式及加密固態硬碟系統 | |
| CN100416517C (zh) | 用于管理存储装置与主机设备间数据访问的方法 | |
| JP4561213B2 (ja) | ハードディスクセキュリティ管理システムおよびその方法 |