專利名稱:一種對硬盤分區(qū)進行加密的方法及裝置的制作方法
技術(shù)領域:
本發(fā)明涉及計算機領域,特別涉及一種對硬盤分區(qū)進行加密的方法及裝置����。
背景技術(shù):
隨著計算機技術(shù)的應用范圍日益廣泛,如何保證數(shù)據(jù)安全性也成為了用戶最為關(guān)心的問題�����。為了令數(shù)據(jù)安全性得到保證,通常使用加密技術(shù)對存儲的各類文件數(shù)據(jù)進行加密��。
目前�,通常使用的加密技術(shù)主要包括文件加密技術(shù)和磁盤加密技術(shù)兩種。首先��,先介紹文件加密技術(shù)����。所謂的文件加密技術(shù),其核心是基于應用進程來實現(xiàn)加密控制�,具有以下優(yōu)點1、部署簡單��,不需要改變用戶操作習慣�����,也不需要改變用戶的應用環(huán)境��;2�、技術(shù)簡單,僅涉及到進程文件關(guān)聯(lián)技術(shù)����、文件臨時重定向技術(shù)和上層Hook技術(shù)�����;3���、操作簡單����,比較容易被用戶理解和接受。但是�,文件加密技術(shù)的實現(xiàn)主要基于應用程序和文件的關(guān)聯(lián)關(guān)系,而安全系統(tǒng)與應用程序密切相關(guān)���,對于應用復雜的環(huán)境(例如���,制作設計和軟件設計行業(yè)),安全系統(tǒng)的可部署性非常差�����,常常由于用戶應用過于復雜���、應用程序的升級或者應用的增加而導致該類內(nèi)網(wǎng)的安全系統(tǒng)需要重新進行二次開發(fā)��,從而給用戶環(huán)境帶來極大的限制和不穩(wěn)定隱患����,進而影響文件加密技術(shù)的安全性。進一步地�����,由于文件加密技術(shù)采用了文件臨時重定向技術(shù)�,因此,會產(chǎn)生臨時緩存文件����,而臨時緩存文件在硬盤中是以明文狀態(tài)存在,這很容易被攻擊者使用公開的文件監(jiān)視工具獲取到�����,并通過復制該臨時緩存文件而造成文件加密機制的失效�����;并且����,使用臨時緩存文件�����,相當于文件要在硬盤中重復進行兩次讀寫操作����,這會造成系統(tǒng)使用效率的明顯下降���,(如,下降50% )����,尤其是針對大型文件進行加密時,對系統(tǒng)使用效率的影響更為明顯�����。另一方面���,由于應用程序中采用了眾多Hook技術(shù)���,因而很容易造成和防病毒等軟件的沖突,造成系統(tǒng)不穩(wěn)定�����,影響用戶的正常使用,同時Hook技術(shù)也容易造成使用系統(tǒng)使用效率下降�。其次,再介紹磁盤加密技術(shù)����。所謂的磁盤加密技術(shù),其核心是通過對做磁盤的扇區(qū)磁道等進行加密�,然后而對加密磁盤進行讀寫,具有以下優(yōu)點1��、與應用程序無關(guān)�����,能夠兼容各種復雜的應用環(huán)境���,支持應用程序的升級和變更���, 無需針對具體應用程序進行產(chǎn)品級的二次開發(fā),穩(wěn)定性和可用性得到保障�����。2、由于不采用文件臨時重定向技術(shù)����,因而文件讀寫次數(shù)不會增加,確保了系統(tǒng)使用效率不會明顯下降��。但是����,由于磁盤加密技術(shù)僅針對特定的文件存儲區(qū)域進行保護,缺乏對文件本身保密屬性的判斷能力�����,因此具有以下缺點采用磁盤加密技術(shù)需要對文件的存儲區(qū)域進行條件限制����,因此必然需要對使用環(huán)境進行調(diào)整以適應磁盤加密技術(shù)的�����。進一步地�,單一的磁盤加密技術(shù)無法防止通過網(wǎng)絡和其他途徑的文件泄密行為,而若要綜合網(wǎng)絡控制技術(shù)開發(fā)相應的網(wǎng)絡安全產(chǎn)品,則開發(fā)難度大����、周期長。另一方面����,目前的磁盤加密技術(shù)中沒有完整的密鑰管理機制,一旦出現(xiàn)密鑰忘記等情況��,沒有有效的恢復手段�。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種對硬盤分區(qū)進行加密的方法及裝置,用于防止硬盤數(shù)據(jù)泄露���,提高了硬盤數(shù)據(jù)的安全性��。本發(fā)明實施例提供的具體技術(shù)方案如下一種對硬盤分區(qū)進行加密的方法�,包括在操作系統(tǒng)啟動流程被觸發(fā)時���,根據(jù)用戶輸入的賬戶口令信息����,對該用戶進行 USBKEY身份驗證�����;確認用戶通過所述USBKEY身份驗證后,基于預設的安全傳輸協(xié)議從所述USBKEY 中獲取用于硬盤加密的加密密鑰�;將指定的硬盤分區(qū)作為加密分區(qū)進行掛載;采用所述加密密鑰�,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密。一種密鑰管理方法��,包括在用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時����,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY身份驗證���;確認用戶通過所述USBKEY身份驗證后����,基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往所述用戶終端�,令所述用戶終端在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載���,并采用所述加密密鑰�����,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密��。一種對硬盤分區(qū)進行加密的裝置�,包括登錄及資源管理模塊,用于在操作系統(tǒng)啟動流程被觸發(fā)時����,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY身份驗證����;掛載模塊,用于確認用戶通過所述USBKEY身份驗證后�,基于預設的安全傳輸協(xié)議從所述USBKEY中獲取用于硬盤加密的加密密鑰,并將指定的硬盤分區(qū)作為加密分區(qū)進行掛載��;文件系統(tǒng)驅(qū)動模塊�����,用于采用所述加密密鑰�����,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密���。一種密鑰管理裝置�,包括口令認證模塊,用于在用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時����,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY身份驗證���;密鑰管理模塊��,用于在確認用戶通過所述USBKEY身份驗證后�����,基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往所述用戶終端����,令所述用戶終端在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載��,并采用所述加密密鑰���,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密。一種對硬盤分區(qū)進行加密的系統(tǒng)�,包括USBKEY�����,用于在確認用戶通過USBKEY身份驗證后����,基于預設的安全傳輸協(xié)議將用于硬盤加密的加密密鑰發(fā)送至用戶終端����;用戶終端,用于在操作系統(tǒng)啟動流程被觸發(fā)時��,根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證,并在確認用戶通過所述USBKEY身份驗證后�,基于預設的安全傳輸協(xié)議從所述USBKEY中獲取所述加密密鑰,以及將指定的硬盤分區(qū)作為加密分區(qū)進行掛載���,并采用所述加密密鑰��,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密�。綜上所述�����,本發(fā)明實施例中,基于操作系統(tǒng)驅(qū)動層技術(shù)動態(tài)地實施加解密技術(shù)���,通過文件系統(tǒng)驅(qū)動來實現(xiàn)對硬盤數(shù)據(jù)的掛載����、卸載及加解密讀寫��,從而保證對磁盤數(shù)據(jù)的實時加密和解密操作�����。具體為當用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時�����,經(jīng)過了 USBKEY 身份驗證后�,加密密鑰才會按照預設的安全傳輸機制,安全無誤地導入到操作系統(tǒng)內(nèi)暫時保存���,而在獲得加密密鑰后����,用戶終端才將指定的硬盤分區(qū)作為加密分區(qū)進行掛載,并按照獲得的加密密鑰對該加密分區(qū)的讀寫操作進行加解密操作����。這樣���,便在驅(qū)動層實現(xiàn)了對數(shù)據(jù)的動態(tài)讀寫加解密���,通過獨立的文件系統(tǒng)驅(qū)動杜絕了第三方對操作系統(tǒng)已有文件系統(tǒng)的 hook劫持,有效提高了數(shù)據(jù)安全性���,并且實現(xiàn)了加密分區(qū)的掛載與操作系統(tǒng)啟動流程的無縫集成�����,節(jié)省了硬盤加密流程的執(zhí)行效率�����,符合給用的日常使用習慣���,不會給用戶帶來額外的等待時間。
圖1為本發(fā)明實施例中用戶終端對硬盤分區(qū)進行加密流程圖���;圖2為本發(fā)明實施例中用戶終端功能結(jié)構(gòu)示意圖���;圖3為本發(fā)明實施例中USBKEY功能結(jié)構(gòu)示意圖�����。
具體實施例方式為了防止硬盤數(shù)據(jù)泄露��,提高數(shù)據(jù)安全性��,本發(fā)明實施例中�,設計了一種全新的對硬盤分區(qū)進行加密的方法�,具體為在操作系統(tǒng)啟動的過程中,在系統(tǒng)掛載各硬盤分區(qū)之前�,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY身份驗證�,確認用戶通過該 USBKEY身份驗證后,從USBKEY中獲取預設的加密密鑰�����,并將指定的硬盤分區(qū)作為加密分區(qū)進行掛載���,接著���,采用獲得的加密密鑰��,對在上述加密分區(qū)中執(zhí)行的讀寫操作進行加解密�����。這樣,可以在系統(tǒng)驅(qū)動層實現(xiàn)對數(shù)據(jù)的動態(tài)讀寫加解密����,從而有效地提高了數(shù)據(jù)安全性。較佳的��,本發(fā)明實施例適用于Windows操作系統(tǒng)�����,而其他類型的操作系統(tǒng)也可以基于本發(fā)明的思想對本發(fā)明實施例進行改進后實現(xiàn)對硬盤分區(qū)的加解密����,在此不再贅述。下面結(jié)合附圖對本發(fā)明優(yōu)選的實施方式進行詳細說明���。參閱圖1所示�����,本發(fā)明實施例中���,用戶終端對硬盤分區(qū)進行加密的詳細流程如下步驟100 用戶終端在操作系統(tǒng)啟動流程被觸發(fā)時�,根據(jù)用戶輸入的賬戶口令信息��,對該用戶進行USBKEY身份驗證�。本發(fā)明實施例中,較佳的���,用戶可以將USBKEY插入用戶終端的USB接口后�����,再啟動用戶終端以觸發(fā)操作系統(tǒng)的啟動����;而在操作系統(tǒng)啟動流程被觸發(fā)后���,用戶終端可以先根據(jù)用戶輸入的用戶名和密碼對用戶進行操作系統(tǒng)登錄認證�,待登錄成功后���,再執(zhí)行步驟200 中記載的USBKEY身份驗證流程�,或者,也可以先根據(jù)用戶輸入的賬戶口令信息進行USBKEY 身份驗證���,待驗證通過后�,再執(zhí)行操作系統(tǒng)登錄認證�����。進一步地�����,較佳的���,為了節(jié)省用戶的操作時間,可以將用戶登錄操作系統(tǒng)時輸入的用戶名和密碼與用戶進行USBKEY身份驗證時使用的賬戶口令信息設置為相同內(nèi)容���,這樣���, 用戶僅需輸入一次用戶名和密碼即可以完成USBKEY身份驗證和操作系統(tǒng)的登錄,從而有效提高了系統(tǒng)使用效率����。另一方面�����,用戶終端根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證時����,可以根據(jù)用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證,也可以將用戶輸入的賬戶口令信息發(fā)往USBKEY進行USBKEY身份驗證���,并根據(jù)USBKEY的反饋確認驗證通過��。步驟110 用戶終端確認用戶通過USBKEY身份驗證后���,基于預設的安全傳輸協(xié)議從USBKEY中獲取用于硬盤加密的加密密鑰。本發(fā)明實施例中����,步驟110的具體執(zhí)行方式如下步驟A 用戶終端接收從USBKEY傳送的傳輸密鑰密文,并按照與USBKEY約定的方式對該傳輸密鑰密文進行解密���,獲得相應的傳輸密鑰�����。步驟B 用戶終端接收從USBKEY傳送的加密密鑰密文����,并按照獲得的傳輸密鑰對該加密密鑰密文進行解密,獲得相應的加密密鑰�����。例如�����,假設將USBKEY與用戶終端約定的一對初始傳輸密鑰分別稱為密鑰A和密鑰 B���,則USBKEY基于密鑰A生成相應的第一傳輸密鑰,稱為密鑰Al���,然后��,USBKEY采用密鑰Al 對本地預先設置的加密密鑰(稱為密鑰X)進行加密����,生成加密密鑰密文xl以及相應的驗證碼xll (驗證碼xll由密鑰X、加密密鑰密文xl和密鑰Al經(jīng)加密生成����,具體方式在此不再贅述);接著��,USBKEY采用密鑰A對密鑰Al進行加密���,生成傳輸密鑰密文al以及相應的驗證碼all (驗證碼all由密鑰Al�����、傳輸密鑰密文al和密鑰A經(jīng)加密生成�����,具體方式在此不再贅述)���;用戶終端從USBKEY讀取其生成的傳輸密鑰密文al和驗證碼all,并在根據(jù)驗證碼all確認USBKEY的身份合法后�����,采用與USBKEY約定的密鑰B對傳輸密鑰密文al進行解密���,從而獲得密鑰Al �;接,用戶終端從USBKEY讀取其生成的加密密鑰密文xl和驗證碼xll��, 并在根據(jù)驗證碼xll確認USBKEY的身份合法后���,采用已獲得的密鑰Al對加密密鑰密文al 進行解密�����,從而獲得密鑰X��。當然�����,若操作系統(tǒng)再次啟動����,則在第二次進行加密密鑰安全傳輸時�����,USBKEY可以采用基于初始傳輸密鑰A生成的第二傳輸密鑰A2 (密鑰A2)對加密密鑰X進行加密����,并采用初始傳輸密鑰A或上一次使用的密鑰Al對密鑰A2進行加密,以完成加密密鑰的安全傳輸���, 以此類推��,后續(xù)流程均按照此種方法對加密密鑰進行加密和傳輸���,將不再贅述?����?梢?���,本實施例中,用戶終端采用雙加密的方式來實現(xiàn)加密密鑰的安全傳輸(即加密密鑰由傳輸密鑰加密�����、傳輸密鑰由初始傳輸密鑰或上一次使的傳輸密鑰加密)�,從而有效防止了加密密鑰的泄露,進一步提高了數(shù)據(jù)安全性。另一方面�,USBKEY中預設的加密密鑰,可以由USBKEY預先采用離散算法基于一個隨機數(shù)(如���,用戶終端的機器編號)生成�����;而進行USBKEY身份時驗證的賬戶口令信息可以由用戶定期更新���。步驟120 用戶終端將指定的硬盤分區(qū)作為加密分區(qū)進行掛載。若用戶將登錄操作系統(tǒng)時使用的用戶名和密碼���,與進行USBKEY身份驗證時使用的賬戶口令信息設置為相同內(nèi)容�,則在執(zhí)行步驟120之前�,具體可以是執(zhí)行步驟100之前, 也可以是執(zhí)行步驟100之后且執(zhí)行步驟110之前��,還可以是執(zhí)行步驟110之后且執(zhí)行步驟
8120之前���,用戶終端可以根據(jù)用戶輸入的賬戶口令信息登錄操作系統(tǒng)�,從而在執(zhí)行步驟120 時���,用戶終端可以開始進行硬盤分區(qū)的掛載和其他系統(tǒng)資源的加載�����。在執(zhí)行步驟120時���,用戶終端將指定的至少一個硬盤分區(qū)記為加密分區(qū),并為其分配相應的盤符����,以及將分配的盤符映射至資源管理器進行注冊保存,加密分區(qū)的數(shù)目可以為一個或多個���,具體由用戶設置���。接著,用戶終端可以將其他非指定的硬盤分區(qū)作為普通分區(qū)進行掛載���,為其分配相應的盤符���,并將各盤符映射至資源管理器進行注冊保存,在此不再贅述�����。將各硬盤分區(qū)掛載完畢后,用戶終端可以繼續(xù)對操作系統(tǒng)啟動時所需的各類程序進行加載���,以完成操作系統(tǒng)的啟動流程��。步驟130 用戶終端采用獲得的加密密鑰���,對在上述加密分區(qū)中執(zhí)行的讀寫操作進行加解密。本實施例中���,用戶終端既可以是在執(zhí)行步驟120后����,在加載操作系統(tǒng)啟動時所需的各類程序的過程中��,采用獲得的加密密鑰�����,對在上述加密分區(qū)中執(zhí)行的讀寫操作進行加解密�;也可以是在操作系統(tǒng)啟動完成后,根據(jù)用戶的相關(guān)操作��,采用獲得的加密密鑰,對在上述加密分區(qū)中執(zhí)行的讀寫操作進行加解密����。具體為針對在上述加密分區(qū)中執(zhí)行的寫操作��,采用所述加密密鑰進行加密�����,以及針對在上述加密分區(qū)中執(zhí)行的讀操作����,采用所述加密密鑰進行解密。另一方面���,基于上述實施例����,當用戶終端檢測到USBKEY被拔出���、用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值(如��,10次)�、用戶指示注銷操作系統(tǒng)賬戶、用戶指示關(guān)機等等意外情況中的任意一種或多種組合時�,需要將加密分區(qū)進行卸載,如���,將加密分區(qū)的盤符從資源管理器中刪除�,以保證加密分區(qū)的數(shù)據(jù)安全�����。其中���,當用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值時���,若USBKEY驗證操作由用戶終端完成,則用戶終端還需要指示上述USBKEY將其本地進行鎖定���,而若USBKEY驗證操作由USBKEY完成���,則USBKEY直接將本地進行鎖定,鎖定操作具體為=USBKEY需要將原生成的加密密鑰進行刪除�����,并停止加密密鑰的生成和傳輸;直到用戶執(zhí)行了合法的解鎖操作后���,USBKEY再根據(jù)預設方式生成新的加密密鑰��,如�����,采用離散算法基于用戶終端機器編號生成相應的加密密鑰?����;谏鲜鰧嵤├?,本發(fā)明實施例提供的安全系統(tǒng)內(nèi),用戶終端需要基于USBKEY提供的加密密鑰對硬盤分區(qū)進行加密�����,具體為參閱圖2所示����,用戶終端中至少包括登錄及資源管理模塊20和掛載模塊21和文件系統(tǒng)驅(qū)動模塊22,其中登錄及資源管理模塊20�,用于在操作系統(tǒng)啟動流程被觸發(fā)時�,根據(jù)用戶輸入的賬戶口令信息����,對該用戶進行USBKEY身份驗證;具體為根據(jù)用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證���;或者��,將用戶輸入的賬戶口令信息發(fā)往USBKEY進行USBKEY身份驗證��。掛載模塊21����,用于確認用戶通過USBKEY身份驗證后�����,基于預設的安全傳輸協(xié)議從 USBKEY中獲取用于硬盤加密的加密密鑰����,并將指定的硬盤分區(qū)作為加密分區(qū)進行掛載;其中�,在獲得加密密鑰時,加載模塊21先接收USBKEY發(fā)送的傳輸密鑰密文�����,并按照與USBKEY約定的方式對傳輸密鑰密文進行解密,獲得傳輸密鑰���,再接收USBKEY發(fā)送的加密密鑰密文����,并按照傳輸密鑰對加密密鑰密文進行解密��,獲得相應的加密密鑰��。文件系統(tǒng)驅(qū)動模塊22�����,用于采用獲得的加密密鑰����,對在上述加密分區(qū)中執(zhí)行的讀寫操作進行加解密���;具體為針對在上述加密分區(qū)中執(zhí)行的寫操作��,采用獲得的加密密鑰進行加密���,以及針對在上述加密分區(qū)中執(zhí)行的讀操作����,采用獲得的加密密鑰進行解密���。另一方面�����,在掛載模塊21將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之前����,登錄及資源管理模塊20還可以根據(jù)用戶輸入的賬戶口令信息���,對用戶進行操作系統(tǒng)登錄認證��;而在掛載模塊21將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之后��,登錄及資源管理模塊20還可以對操作系統(tǒng)啟動時所需的各類程序進行加載�,以完成操作系統(tǒng)啟動流程��。而登錄及資源管理模塊20確定用戶通過USBKEY身份驗證后,可以對文件系統(tǒng)驅(qū)動模塊22進行加載�����, 這樣��,掛載模塊21將指定的硬盤分區(qū)作為加密分區(qū)進行掛載時��,可以通過文件系統(tǒng)驅(qū)動模塊22���,將指定的至少一個的硬盤分區(qū)記為加密分區(qū)��,并為其分配相應的盤符����,以及將分配的盤符映射至資源管理器進行注冊保存����。如圖2所示��,在用戶終端中進一步設置有卸載模塊23����,用于在檢測到USBKEY被拔出、用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值、用戶指示注銷操作系統(tǒng)賬戶和用戶指示關(guān)機這幾種情況中的任意一種或多種組合時�,將已掛載的加密分區(qū)進行卸載;其中���,若檢測到用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值�,則卸載模塊23還需要在對加密分區(qū)進行卸載的同時�,指示USBKEY進行鎖定。如圖2所示��,登錄及資源管理模塊20���、掛載模塊21和卸載模塊23可以作為用戶終端中一個獨立的應用功能存在��,用以實現(xiàn)硬盤的分區(qū)管理��,可以將其組合稱為硬盤分區(qū)管理單元���。而文件系統(tǒng)驅(qū)動模塊22則也可以視為用戶終端中一個獨立的應用功能存在,用以實現(xiàn)操作系統(tǒng)的文件驅(qū)動����,如,在驅(qū)動層便以動態(tài)形式對硬盤中的加密分區(qū)進行傳輸數(shù)據(jù)的加解密�。參閱圖3所示����,本發(fā)明實施例中��,USBKEY中至少包括口令認證模塊30和密鑰管理模塊31�,其中,口令認證模塊30���,用于在用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時�����,根據(jù)用戶輸入的賬戶口令信息�����,對該用戶進行USBKEY身份驗證����;密鑰管理模塊31�����,用于在確認用戶通過USBKEY身份驗證后����,基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往用戶終端,令用戶終端在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載�,并采用獲得的加密密鑰,對在上述加密分區(qū)中執(zhí)行的讀寫操作進行加解密�。其中,在口令認證模塊30根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證之前,密鑰管理模塊31先根據(jù)預設方式生成用于進行硬盤加密的加密密鑰����,并采用本地生成的傳輸密鑰對所述加密密鑰進行加密,生成相應的加密密鑰密文���,以及采用與用戶終端約定的方式對所述傳輸密鑰進行加密���,生成相應的傳輸密鑰密文;而密鑰管理模塊 31基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往用戶終端時�����,先將生成的傳輸密鑰密文發(fā)往用戶終端����,令用戶終端采用與本地約定的方式對傳輸密鑰密文進行解密��,以獲得相應的傳輸密鑰��,再將生成的加密密鑰密文發(fā)往用戶終端���,令用戶終端采用已解密的傳輸密鑰對加密密鑰密文進行解密,以獲得相應的加密密鑰�����。
如圖3所示�,在USBKEY中,進一步包括鎖定解鎖模塊32����,用于在檢測到用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值時,將本地進行鎖定��,以及在確定用戶執(zhí)行了合法的解鎖操作時�,指示密鑰模塊管塊31根據(jù)預設方式重新生成相應的加密密鑰。當然���,鎖定解鎖模塊32還可以根據(jù)應用環(huán)境來調(diào)整USBKEY的安全等級����,以指示口令認證模塊30是否需要對用戶進行USBKEY身份驗證��。綜上所述�,本發(fā)明實施例中���,基于操作系統(tǒng)驅(qū)動層技術(shù)動態(tài)地實施加解密技術(shù),通過文件系統(tǒng)驅(qū)動來實現(xiàn)對硬盤數(shù)據(jù)的掛載����、卸載及加解密讀寫�����,從而保證對磁盤數(shù)據(jù)的實時加密和解密操作�。具體為當用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時���,經(jīng)過了 USBKEY 身份驗證后����,加密密鑰才會按照預設的安全傳輸機制,安全無誤地導入到操作系統(tǒng)內(nèi)暫時保存��,而在獲得加密密鑰后,用戶終端才將指定的硬盤分區(qū)作為加密分區(qū)進行掛載,并按照獲得的加密密鑰對該加密分區(qū)的讀寫操作進行加解密操作�����。這樣,便在驅(qū)動層實現(xiàn)了對數(shù)據(jù)的動態(tài)讀寫加解密,通過獨立的文件系統(tǒng)驅(qū)動杜絕了第三方對操作系統(tǒng)已有文件系統(tǒng)的 hook劫持���,有效提高了數(shù)據(jù)安全性��,并且實現(xiàn)了加密分區(qū)的掛載與操作系統(tǒng)啟動流程的無縫集成�����,節(jié)省了硬盤加密流程的執(zhí)行效率,符合給用的日常使用習慣�,不會給用戶帶來額外的等待時間�����。進一步地�,用戶終端還可以根據(jù)USBKEY的插入拔出情況及驅(qū)動層的掛載嘗試次數(shù)等策略隨時選擇掛載���、卸載加密分區(qū),從而可以迅速檢測到攻擊�����,實施有效地主動防御���, 顯然���,這進一步防止了數(shù)據(jù)的泄露,增強了數(shù)據(jù)安全性��。而在用戶注銷操作系統(tǒng)賬戶或關(guān)機的情況下�����,USBKEY可以從用戶終端拔出���,從而在用戶終端內(nèi)不存儲任何密鑰信息�,徹底防止了黑客破解加密密鑰的可能�����,顯然,本領域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)����,則本發(fā)明也意圖包含這些改動和變型在內(nèi)��。
1權(quán)利要求
1.一種對硬盤分區(qū)進行加密的方法���,其特征在于��,包括在操作系統(tǒng)啟動流程被觸發(fā)時�,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY 身份驗證���;確認用戶通過所述USBKEY身份驗證后�����,基于預設的安全傳輸協(xié)議從所述USBKEY中獲取用于硬盤加密的加密密鑰;將指定的硬盤分區(qū)作為加密分區(qū)進行掛載��;采用所述加密密鑰���,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密。
2.如權(quán)利要求1所述的方法,其特征在于��,所述根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證,包括根據(jù)用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證;或者���,將用戶輸入的賬戶口令信息發(fā)往USBKEY進行USBKEY身份驗證。
3.如權(quán)利要求1所述的方法,其特征在于�,所述基于預設的安全傳輸協(xié)議從所述 USBKEY中獲取用于硬盤加密的加密密鑰��,包括接收所述USBKEY發(fā)送的傳輸密鑰密文�����,并按照與所述USBKEY約定的方式對所述傳輸密鑰密文進行解密���,獲得所述傳輸密鑰����;接收所述USBKEY發(fā)送的加密密鑰密文�,并按照所述傳輸密鑰對所述加密密鑰密文進行解密�����,獲得所述加密密鑰。
4.如權(quán)利要求1所述的方法��,其特征在于�����,在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之前��,根據(jù)所述用戶輸入的賬戶口令信息���,對用戶進行操作系統(tǒng)登錄認證;而在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之后,對操作系統(tǒng)啟動時所需的各類程序進行加載�����,以完成操作系統(tǒng)啟動流程���。
5.如權(quán)利要求1-4任一項所述的方法��,其特征在于��,將指定的硬盤分區(qū)作為加密分區(qū)進行掛載,包括將指定的至少一個的硬盤分區(qū)記為加密分區(qū),并為其分配相應的盤符���,以及將分配的盤符映射至資源管理器進行注冊保存�����。
6.如權(quán)利要求1-4任一項所述的方法��,其特征在于�����,采用所述加密密鑰,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密����,包括針對在所述加密分區(qū)中執(zhí)行的寫操作�,采用所述加密密鑰進行加密����,以及針對在所述加密分區(qū)中執(zhí)行的讀操作,采用所述加密密鑰進行解Γ t [ O
7.如權(quán)利要求1-4任一項所述的方法����,其特征在于�,在檢測到所述USBKEY被拔出�、用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值��、用戶指示注銷操作系統(tǒng)賬戶和用戶指示關(guān)機這幾種情況中的任意一種或多種組合時�����,將所述加密分區(qū)進行卸載��。
8.如權(quán)利要求7所述的方法��,其特征在于,若檢測到用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值���,則在對加密分區(qū)進行卸載的同時����,指示鎖定所述USBKEY。
9.一種密鑰管理方法���,其特征在于,包括在用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時�,根據(jù)用戶輸入的賬戶口令信息�����,對該用戶進行USBKEY身份驗證�;確認用戶通過所述USBKEY身份驗證后����,基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往所述用戶終端,令所述用戶終端在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載,并采用所述加密密鑰,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密���。
10.如權(quán)利要求9所述的方法,其特征在于,根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證之前�,包括根據(jù)預設方式生成用于進行硬盤加密的加密密鑰���;采用本地生成的傳輸密鑰對所述加密密鑰進行加密���,生成相應的加密密鑰密文;采用與用戶終端約定的方式對所述傳輸密鑰進行加密����,生成相應的傳輸密鑰密文。
11.如權(quán)利要求10所述的方法��,其特征在于�,基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往所述用戶終端,包括將所述傳輸密鑰密文發(fā)往所述用戶終端��,令所述用戶終端采用與本地約定的方式對所述傳輸密鑰密文進行解密�,以獲得相應的傳輸密鑰����;將所述加密密鑰密文發(fā)往所述用戶終端��,令所述用戶終端采用所述傳輸密鑰對所述加密密鑰密文進行解密��,以獲得相應的加密密鑰�����。
12.如權(quán)利要求9��、10或11所述的方法���,其特征在于����,在檢測到用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值時��,將本地進行鎖定��,以及在確定用戶執(zhí)行了合法的解鎖操作時, 根據(jù)預設方式重新生成相應的加密密鑰��。
13.—種對硬盤分區(qū)進行加密的裝置��,其特征在于��,包括登錄及資源管理模塊���,用于在操作系統(tǒng)啟動流程被觸發(fā)時��,根據(jù)用戶輸入的賬戶口令信息�����,對該用戶進行USBKEY身份驗證��;掛載模塊,用于確認用戶通過所述USBKEY身份驗證后����,基于預設的安全傳輸協(xié)議從所述USBKEY中獲取用于硬盤加密的加密密鑰����,并將指定的硬盤分區(qū)作為加密分區(qū)進行掛載;文件系統(tǒng)驅(qū)動模塊��,用于采用所述加密密鑰�����,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密�。
14.如權(quán)利要求13所述的裝置,其特征在于,所述登錄及資源管理模塊根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證時,根據(jù)用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證��;或者����,將用戶輸入的賬戶口令信息發(fā)往USBKEY進行USBKEY身份驗證�����。
15.如權(quán)利要求13所述的裝置�,其特征在于,所述掛載模塊基于預設的安全傳輸協(xié)議從所述USBKEY中獲取用于硬盤加密的加密密鑰時�,先接收所述USBKEY發(fā)送的傳輸密鑰密文�����,并按照與所述USBKEY約定的方式對所述傳輸密鑰密文進行解密,獲得所述傳輸密鑰�, 再接收所述USBKEY發(fā)送的加密密鑰密文�,并按照所述傳輸密鑰對所述加密密鑰密文進行解密�����,獲得所述加密密鑰�。
16.如權(quán)利要求13所述的裝置��,其特征在于,所述掛載模塊在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之前,所述登錄及資源管理模塊在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之前�,根據(jù)所述用戶輸入的賬戶口令信息�,對用戶進行操作系統(tǒng)登錄認證�����;而在所述掛載模塊將指定的硬盤分區(qū)作為加密分區(qū)進行掛載之后,�����,所述登錄及資源管理模塊對操作系統(tǒng)啟動時所需的各類程序進行加載,以完成操作系統(tǒng)啟動流程�����。
17.如權(quán)利要求13-16任一項所述的裝置�����,其特征在于,所述登錄及資源管理模塊確定所述用戶通過USBKEY身份驗證后�����,加載所述文件系統(tǒng)驅(qū)動模塊,所述掛載模塊將指定的硬盤分區(qū)作為加密分區(qū)進行掛載時�,通過所述文件系統(tǒng)驅(qū)動模塊,將指定的至少一個的硬盤分區(qū)記為加密分區(qū)�,并為其分配相應的盤符��,以及將分配的盤符映射至資源管理器進行注冊保存�。
18.如權(quán)利要求13-16任一項所述的裝置���,其特征在于����,所述文件系統(tǒng)驅(qū)動模塊采用所述加密密鑰����,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密時�����,針對在所述加密分區(qū)中執(zhí)行的寫操作���,采用所述加密密鑰進行加密,以及針對在所述加密分區(qū)中執(zhí)行的讀操作����,采用所述加密密鑰進行解密。
19.如權(quán)利要求13-16任一項所述的裝置�,其特征在于,進一步包括卸載模塊����,用于在檢測到所述USBKEY被拔出、用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值�����、用戶指示注銷操作系統(tǒng)賬戶和用戶指示關(guān)機這幾種情況中的任意一種或多種組合時���,將所述加密分區(qū)進行卸載���。
20.如權(quán)利要求19所述的裝置����,其特征在于,若檢測到用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值�����,則所述卸載在對加密分區(qū)進行卸載的同時��,指示鎖定所述USBKEY����。
21.一種密鑰管理裝置���,其特征在于,包括口令認證模塊��,用于在用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時����,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY身份驗證��;密鑰管理模塊�,用于在確認用戶通過所述USBKEY身份驗證后,基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往所述用戶終端�,令所述用戶終端在將指定的硬盤分區(qū)作為加密分區(qū)進行掛載,并采用所述加密密鑰��,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密�。
22.如權(quán)利要求21所述的裝置,其特征在于���,在所述口令認證模塊根據(jù)用戶輸入的賬戶口令信息�,對該用戶進行USBKEY身份驗證之前�,所述密鑰管理模塊根據(jù)預設方式生成用于進行硬盤加密的加密密鑰,并采用本地生成的傳輸密鑰對所述加密密鑰進行加密,生成相應的加密密鑰密文���,以及采用與用戶終端約定的方式對所述傳輸密鑰進行加密,生成相應的傳輸密鑰密文���。
23.如權(quán)利要求21所述的裝置��,其特征在于�,所述密鑰管理模塊基于預設的安全傳輸協(xié)議將本地預設的加密密鑰發(fā)往所述用戶終端時�,先將所述傳輸密鑰密文發(fā)往所述用戶終端,令所述用戶終端采用與本地約定的方式對所述傳輸密鑰密文進行解密�,以獲得相應的傳輸密鑰,再將所述加密密鑰密文發(fā)往所述用戶終端�,令所述用戶終端采用所述傳輸密鑰對所述加密密鑰密文進行解密,以獲得相應的加密密鑰��。
24.如權(quán)利要求21�、22或23所述的裝置,其特征在于�,進一步包括鎖定解鎖模塊,用于在檢測到用戶的賬戶口令信息驗證失敗次數(shù)達到設定閾值時���,將本地進行鎖定��,以及在確定用戶執(zhí)行了合法的解鎖操作時�,指示所述密鑰模塊管塊根據(jù)預設方式重新生成相應的加密密鑰。
25.—種對硬盤分區(qū)進行加密的系統(tǒng)���,其特征在于�,包括USBKEY�,用于在確認用戶通過USBKEY身份驗證后,基于預設的安全傳輸協(xié)議將用于硬盤加密的加密密鑰發(fā)送至用戶終端�;用戶終端,用于在操作系統(tǒng)啟動流程被觸發(fā)時����,根據(jù)用戶輸入的賬戶口令信息,對該用戶進行USBKEY身份驗證���,并在確認用戶通過所述USBKEY身份驗證后����,基于預設的安全傳輸協(xié)議從所述USBKEY中獲取所述加密密鑰����,以及將指定的硬盤分區(qū)作為加密分區(qū)進行掛載, 并采用所述加密密鑰����,對在所述加密分區(qū)中執(zhí)行的讀寫操作進行加解密���。
全文摘要
本發(fā)明涉及計算機領域,公開了一種對硬盤分區(qū)進行加密的方法及裝置��,用于防止硬盤數(shù)據(jù)泄露�,提高了硬盤數(shù)據(jù)的安全性�����。該方法為當用戶終端上的操作系統(tǒng)啟動流程被觸發(fā)時��,經(jīng)過USBKEY身份驗證后����,加密密鑰才會按照預設的安全傳輸機制,導入到操作系統(tǒng)內(nèi)暫時保存�,而在獲得加密密鑰后,用戶終端才將指定的硬盤分區(qū)作為加密分區(qū)進行掛載����,并按照獲得的加密密鑰對該加密分區(qū)的讀寫操作進行加解密操作。這樣��,便在驅(qū)動層實現(xiàn)了對數(shù)據(jù)的動態(tài)讀寫加解密,通過獨立的文件系統(tǒng)驅(qū)動杜絕了第三方對操作系統(tǒng)已有文件系統(tǒng)的hook劫持���,有效提高了數(shù)據(jù)安全性����,并且實現(xiàn)了加密分區(qū)的掛載與操作系統(tǒng)啟動流程的無縫集成��,節(jié)省了硬盤加密流程的執(zhí)行效率��。
文檔編號H04L9/08GK102508791SQ20111030019
公開日2012年6月20日 申請日期2011年9月28日 優(yōu)先權(quán)日2011年9月28日
發(fā)明者梁守龍 申請人:梁守龍