CN102103551A - 一种存储设备数据的加解密方法、***及虚拟机监控器 - Google Patents
一种存储设备数据的加解密方法、***及虚拟机监控器 Download PDFInfo
- Publication number
- CN102103551A CN102103551A CN200910189226XA CN200910189226A CN102103551A CN 102103551 A CN102103551 A CN 102103551A CN 200910189226X A CN200910189226X A CN 200910189226XA CN 200910189226 A CN200910189226 A CN 200910189226A CN 102103551 A CN102103551 A CN 102103551A
- Authority
- CN
- China
- Prior art keywords
- data
- key
- read
- memory device
- data key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明适用于计算机技术领域,提供了一种存储设备数据的加解密方法、***及虚拟机监控器,所述方法包括下述步骤:虚拟机监控器对操作***的存储设备数据的读写操作请求进行监控;当监控到有读写操作请求时,从存储设备获取解密后第一数据密钥;根据解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作。在本发明实施例中,虚拟机监控器对操作***的存储设备的读写操作请求进行监控;当监控到有读写操作请求时,从存储设备读取解密后第一数据密钥;根据所述解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作,解决了存储设备数据被泄露的问题,保护了存储设备数据的安全。
Description
技术领域
本发明属于计算机技术领域,尤其涉及一种存储设备数据的加解密方法、***及虚拟机监控器。
背景技术
随着计算机普及率的提高,信息安全已经变得非常重要,因此,作为计算机***中的信息关键载体的存储设备,当其失窃或遗失后,存储在存储设备的数据就容易被窃取,导致数据的泄露,给存储设备用户带来损失。
发明内容
本发明实施例的目的在于提供一种存储设备数据的加解密方法,旨在解决现有技术的存储设备在失窃或遗失后,存储设备数据容易泄露的问题。
本发明实施例是这样实现的,一种存储设备数据的加解密方法,所述方法包括下述步骤:
虚拟机监控器对操作***的存储设备数据的读写操作请求进行监控;
当监控到有读写操作请求时,从存储设备获取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;
根据所述解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作。
本发明实施例的另一目的在于提供一种存储设备数据的加解密***,所述存储设备数据的加解密***内置于虚拟机监控器,所述***包括:
监控模块,用于对操作***的存储设备数据的读写操作请求进行监控;
第一数据密钥获取模块,用于当所述监控模块监控到有读写操作请求时,从存储设备获取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;以及
加解密操作控制模块,用于根据所述第一数据密钥获取模块获取到的解密后的第一数据密钥,控制对存储设备的读写操作数据进行加解密操作。
本发明实施例的另一目的在于提供一种包括存储设备数据的加解密***的虚拟机监控器。
在本发明实施例中,虚拟机监控器对操作***的存储设备的读写操作请求进行监控;当监控到有读写操作请求时,从存储设备读取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;根据所述解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作,解决了存储设备数据被泄露的问题,保护了存储设备数据的安全。
附图说明
图1是本发明实施例提供的存储设备数据的加解密方法的实现流程图;
图2是本发明实施例提供的存储设备数据的加解密***的结构框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,虚拟机监控器对操作***的存储设备的读写操作请求进行监控;当监控到有读写操作请求时,从存储设备读取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;根据所述解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作。
图1示出了本发明实施例提供的存储设备数据的加解密方法的实现流程图,其具体的步骤如下所述:
在步骤S101中,虚拟机监控器对操作***的存储设备的读写操作请求进行监控。
在本发明实施例中,虚拟机监控器在主机操作***启动之前被启动,当操作***启动后,虚拟机监控器处于后台监控位置,在此的后台监控是指对存储设备数据的读写操作请求的监控,当然,该虚拟机监控器可以对其他操作进行监控,在此不再赘述,但不用以限制本发明。
其中,本发明实施例中的存储设备可以是指计算机存储设备,即硬盘,当然也可以是其他存储设备,在此不用以限制本发明。
在步骤S102中,判断虚拟机监控器是否监控到对存储设备数据的读写操作请求,是则执行步骤S103,否则结束。
在步骤S103中,当监控到有读写操作请求时,取出存储在存储设备中以密文的方式存储的第一数据密钥,以及对所述第一数据密钥进行加密的第二密钥。
在本发明实施例中,上述第一数据密钥是指对存储设备数据进行加解密的密钥,该第一数据密钥由随机数生成种子,经过加密算法函数变换,转换成长度固定的密钥;而第二密钥是指对该第一数据密钥进行加解密的密钥,该第二密钥由***ID和随机数组成,经过变换函数进行变换得到。
在此,第一数据密钥和第二密钥可以采用其他命名方式,但不用以限制本发明。
第一数据密钥和第二密钥存储在存储设备的数据存储区的特殊位置,其中,第一数据密钥以密文的方式存储,其加密密钥为该第二密钥。
在步骤S104中,根据第二密钥对以密文的方式存储的第一数据密钥进行解密,获取解密后的第一数据密钥。
在本发明实施例中,当虚拟机监控器监控到对操作***的存储设备的读写操作请求时,根据取出的第二密钥对取出的以密文方式存储的第一数据密钥进行解密,得到明文方式存在的第一数据密钥。
在步骤S105中,根据解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作。
在本发明实施例中,根据解密后的第一数据密钥,对存储设备的读写操作的明文数据进行加密,或,对存储设备的读写操作的密文数据进行解密。
在本发明实施例中,存储设备数据的加密过程为:读取以密文方式存在的第一数据密钥,然后通过第二密钥对以密文方式存在的第一数据密钥进行解密,得到以明文方式存在的第一数据密钥,然后根据以明文方式存在的第一数据密钥对明文数据进行加密,并将加密后的存储设备数据存储在存储设备的用户存储区;
存储设备数据的解密过程为:读取以密文方式存在的第一数据密钥,然后通过第二密钥对以密文方式存在的第一数据密钥进行解密,得到以明文方式存在的第一数据密钥,然后根据以明文方式存在的第一数据密钥对密文数据进行解密,并控制将解密后的存储设备数据读出。
上述仅为本发明的一个具体实施例,但不用以限制本发明。
在本发明实施例中,上述第一数据密钥和第二密钥都是在***部署时生成并保存在存储设备中,所以在后续存储设备数据的读取时,只需要确认用户身份后获取一次以明文方式存在的第一数据密钥即可,因此,保证了数据的读取的安全性以及***的损耗。
作为本发明的一个实施例,为保证存储设备数据的加解密方案的安全性,在加解密过程中,需要控制禁止对控制存储设备数据加解密操作代码的静态分析和动态跟踪,其中,该控制存储设备数据加解密操作代码属于虚拟机监控器代码一部分,下述以虚拟机监控器代码(VMM代码)为例进行说明。
禁止对VMM代码的静态分析的实施具体为:
1.VMM中的主要代码研所存放在UEFI ROM中,UEFI\BIOS把VMM代码加载到内存之后,VMM代码的解压程序根据代码运行的需要,分步解压主要的代码。
2.VMM代码解压缩代码本身加入了花指令和自生成代码,以增加VMM代码的伪装性。
3.VMM代码中对字符串信息做编码转换,在静态代码中不能看到字符串的信息,预防通过字符串信息对代码处理的分析。
禁止对VMM代码的动态跟踪的具体实施为:
1.由于VMM代码本身包含一个微内核,对计算机硬件进行管理,不要求操作***的支持,也无法在操作***环境中运行,通用的调试跟踪软件无法对VMM代码进行动态跟踪。
2.同时VMM代码在运行过程中,对自身代码进行校验,防止对代码的非法修改。
上述禁止对VMM代码的静态分析和动态跟踪的描述仅为本发明的一个具体实施例,但不用以限制本发明。
图2示出了本发明实施例提供的存储设备数据的加解密***的结构框图,为了便于说明,图中仅给出了与本发明实施例相关的部分,该存储设备数据的加解密***内置于虚拟机监控器的软件单元。
监控模块11对操作***的存储设备数据的读写操作请求进行监控;当所述监控模块11监控到有读写操作请求时,读取模块12取出存储在存储设备中以密文的方式存储的第一数据密钥,以及对所述第一数据密钥进行加密的第二密钥,第一数据密钥获取模块13根据所述第二密钥,从存储设备获取解密后第一数据密钥,第一数据密钥以密文的方式存储在存储设备;加解密操作控制模块14根据第一数据密钥获取模块13获取到的解密后的第一数据密钥,控制对存储设备的读写操作数据进行加解密操作。
在本发明实施例中,加解密操作控制模块14的具体实现流程为:根据解密后的第一数据密钥(明文方式存在的第一数据密钥),对存储设备的读写操作的明文数据进行加密,或,对存储设备的读写操作的密文数据进行解密,在此不用以限制本发明。
在本发明实施例中,第一控制模块15控制禁止对控制存储设备数据加解密操作代码的静态分析,第二控制模块16控制禁止对控制存储设备数据加解密操作代码的动态跟踪,其具体的实现如上述实施例所述,在此不再赘述,但不用以限制本发明。
在本发明实施例中,虚拟机监控器对操作***的存储设备的读写操作请求进行监控;当监控到有读写操作请求时,从存储设备读取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;根据所述解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作,解决了存储设备数据被泄露的问题,保护了存储设备数据的安全;同时,采用禁止对代码的静态分析和动态跟踪的方式,有效保证了存储设备数据的安全。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种存储设备数据的加解密方法,其特征在于,所述方法包括下述步骤:
虚拟机监控器对操作***的存储设备数据的读写操作请求进行监控;
当监控到有读写操作请求时,从存储设备获取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;
根据所述解密后的第一数据密钥,对存储设备的读写操作数据进行加解密操作。
2.如权利要求1所述的方法,其特征在于,所述当监控到有读写操作请求时,从存储设备读取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备的步骤具体还包括:
当监控到有读写操作请求时,取出存储在存储设备中以密文的方式存储的第一数据密钥,以及对所述第一数据密钥进行加密的第二密钥;
根据所述第二密钥对所述以密文的方式存储的第一数据密钥进行解密,获取解密后的第一数据密钥。
3.如权利要求2所述的方法,其特征在于,所述根据所述解密后的第一数据密钥,控制对存储设备的读写操作数据进行加解密操作的步骤具体包括:
根据解密后的第一数据密钥,对存储设备的读写操作的明文数据进行加密;
根据解密后的第一数据密钥,对存储设备的读写操作的密文数据进行解密。
4.如权利要求1所述的方法,其特征在于,所述方法还包括下述步骤:
控制禁止对控制存储设备数据加解密操作代码的静态分析。
5.如权利要求1所述的方法,其特征在于,所述方法还包括下述步骤:
控制禁止对控制存储设备数据加解密操作代码的动态跟踪。
6.一种存储设备数据的加解密***,其特征在于,所述存储设备数据的加解密***内置于虚拟机监控器,所述***包括:
监控模块,用于对操作***的存储设备数据的读写操作请求进行监控;
第一数据密钥获取模块,用于当所述监控模块监控到有读写操作请求时,从存储设备获取解密后第一数据密钥,所述第一数据密钥以密文的方式存储在存储设备;以及
加解密操作控制模块,用于根据所述第一数据密钥获取模块获取到的解密后的第一数据密钥,控制对存储设备的读写操作数据进行加解密操作。
7.如权利要求6所述的***,其特征在于,所述***还包括:
读取模块,用于当监控到有读写操作请求时,取出存储在存储设备中以密文的方式存储的第一数据密钥,以及对所述第一数据密钥进行加密的第二密钥。
8.如权利要求6所述的***,其特征在于,所述方***还包括:
第一控制模块,用于控制禁止对控制存储设备数据加解密操作代码的静态分析。
9.如权利要求6所述的***,其特征在于,所述***还包括:
第二控制模块,用于控制禁止对控制存储设备数据加解密操作代码的动态跟踪。
10.一种包括权利要求6至9任一项所述的存储设备数据的加解密***的虚拟机监控器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910189226XA CN102103551A (zh) | 2009-12-22 | 2009-12-22 | 一种存储设备数据的加解密方法、***及虚拟机监控器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910189226XA CN102103551A (zh) | 2009-12-22 | 2009-12-22 | 一种存储设备数据的加解密方法、***及虚拟机监控器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102103551A true CN102103551A (zh) | 2011-06-22 |
Family
ID=44156338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910189226XA Pending CN102103551A (zh) | 2009-12-22 | 2009-12-22 | 一种存储设备数据的加解密方法、***及虚拟机监控器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102103551A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110457924A (zh) * | 2019-08-12 | 2019-11-15 | 南京芯驰半导体科技有限公司 | 存储数据保护方法及装置 |
| CN114244515A (zh) * | 2022-02-25 | 2022-03-25 | 中瓴智行(成都)科技有限公司 | 基于Hypervisor的虚拟机通信方法、装置、可读存储介质及电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787431A (zh) * | 2004-12-09 | 2006-06-14 | 国际商业机器公司 | 用于存储数据的透明端到端安全的设备、***和方法 |
| CN101587524A (zh) * | 2009-06-23 | 2009-11-25 | 上海北大方正科技电脑***有限公司 | 一种基于虚拟***的数据存储设备加密方法 |
-
2009
- 2009-12-22 CN CN200910189226XA patent/CN102103551A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1787431A (zh) * | 2004-12-09 | 2006-06-14 | 国际商业机器公司 | 用于存储数据的透明端到端安全的设备、***和方法 |
| CN101587524A (zh) * | 2009-06-23 | 2009-11-25 | 上海北大方正科技电脑***有限公司 | 一种基于虚拟***的数据存储设备加密方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110457924A (zh) * | 2019-08-12 | 2019-11-15 | 南京芯驰半导体科技有限公司 | 存储数据保护方法及装置 |
| CN114244515A (zh) * | 2022-02-25 | 2022-03-25 | 中瓴智行(成都)科技有限公司 | 基于Hypervisor的虚拟机通信方法、装置、可读存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102884535B (zh) | 受保护装置管理 | |
| CN104951409B (zh) | 一种基于硬件的全盘加密***及加密方法 | |
| US8315394B2 (en) | Techniques for encrypting data on storage devices using an intermediate key | |
| US8510552B2 (en) | System and method for file-level data protection | |
| CN102136048B (zh) | 基于手机蓝牙的计算机环绕智能防护装置及方法 | |
| EP3667535B1 (en) | Storage data encryption and decryption device and method | |
| CN101441601B (zh) | 一种硬盘ata指令的加密传输的方法及*** | |
| CN103154963A (zh) | 对地址的加扰和对需存储于存储设备中的写入数据的加密 | |
| US8539250B2 (en) | Secure, two-stage storage system | |
| US10680814B2 (en) | Device key security | |
| CN112269547B (zh) | 无需操作***的、主动、可控硬盘数据删除方法及装置 | |
| TW200947202A (en) | System and method for providing secure access to system memory | |
| CN102053925A (zh) | 硬盘数据加密实现方法 | |
| Yu et al. | Mobihydra: Pragmatic and multi-level plausibly deniable encryption storage for mobile devices | |
| CN103294969A (zh) | 文件***挂载方法和装置 | |
| CN101123507A (zh) | 一种存储装置上数据信息的保护方法和存储装置 | |
| CN109643344A (zh) | 用于共享安全性元数据存储器空间的方法和装置 | |
| CN114785503B (zh) | 密码卡及其根密钥保护方法、计算机可读存储介质 | |
| CN111177773B (zh) | 一种基于网卡rom的全盘加解密方法及*** | |
| CN101464934B (zh) | 一种计算机平台与存储设备相互绑定、认证方法及计算机 | |
| Türpe et al. | Attacking the BitLocker boot process | |
| CN102662874A (zh) | 双界面加密存储卡及其中的数据管理方法和*** | |
| US20100241870A1 (en) | Control device, storage device, data leakage preventing method | |
| CN103177224A (zh) | 用于终端的外接存储卡数据保护的方法及装置 | |
| CN111159726B (zh) | 一种基于uefi环境变量的全盘加解密方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110622 |