CN102508791B - 一种对硬盘分区进行加密的方法及装置 - Google Patents
一种对硬盘分区进行加密的方法及装置 Download PDFInfo
- Publication number
- CN102508791B CN102508791B CN201110300195.8A CN201110300195A CN102508791B CN 102508791 B CN102508791 B CN 102508791B CN 201110300195 A CN201110300195 A CN 201110300195A CN 102508791 B CN102508791 B CN 102508791B
- Authority
- CN
- China
- Prior art keywords
- user
- usbkey
- encryption key
- encryption
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及计算机领域,公开了一种对硬盘分区进行加密的方法及装置,用于防止硬盘数据泄露,提高了硬盘数据的安全性。该方法为:当用户终端上的操作***启动流程被触发时,经过USBKEY身份验证后,加密密钥才会按照预设的安全传输机制,导入到操作***内暂时保存,而在获得加密密钥后,用户终端才将指定的硬盘分区作为加密分区进行挂载,并按照获得的加密密钥对该加密分区的读写操作进行加解密操作。这样,便在驱动层实现了对数据的动态读写加解密,通过独立的文件***驱动杜绝了第三方对操作***已有文件***的hook劫持,有效提高了数据安全性,并且实现了加密分区的挂载与操作***启动流程的无缝集成,节省了硬盘加密流程的执行效率。
Description
技术领域
本发明涉及计算机领域,特别涉及一种对硬盘分区进行加密的方法及装置。
背景技术
随着计算机技术的应用范围日益广泛,如何保证数据安全性也成为了用户最为关心的问题。为了令数据安全性得到保证,通常使用加密技术对存储的各类文件数据进行加密。
目前,通常使用的加密技术主要包括文件加密技术和磁盘加密技术两种。
首先,先介绍文件加密技术。所谓的文件加密技术,其核心是基于应用进程来实现加密控制,具有以下优点:
1、部署简单,不需要改变用户操作习惯,也不需要改变用户的应用环境;
2、技术简单,仅涉及到进程文件关联技术、文件临时重定向技术和上层Hook技术;
3、操作简单,比较容易被用户理解和接受。
但是,文件加密技术的实现主要基于应用程序和文件的关联关系,而安全***与应用程序密切相关,对于应用复杂的环境(例如,制作设计和软件设计行业),安全***的可部署性非常差,常常由于用户应用过于复杂、应用程序的升级或者应用的增加而导致该类内网的安全***需要重新进行二次开发,从而给用户环境带来极大的限制和不稳定隐患,进而影响文件加密技术的安全性。进一步地,由于文件加密技术采用了文件临时重定向技术,因此,会产生临时缓存文件,而临时缓存文件在硬盘中是以明文状态存在,这很容易被攻击者使用公开的文件监视工具获取到,并通过复制该临时缓存文件而造成文件加密机制的失效;并且,使用临时缓存文件,相当于文件要在硬盘中重复进行两次读写操作,这会造成***使用效率的明显下降,(如,下降50%),尤其是针对大型文件进行加密时,对***使用效率的影响更为明显。另一方面,由于应用程序中采用了众多Hook技术,因而很容易造成和防病毒等软件的冲突,造成***不稳定,影响用户的正常使用,同时Hook技术也容易造成使用***使用效率下降。
其次,再介绍磁盘加密技术。所谓的磁盘加密技术,其核心是通过对做磁盘的扇区磁道等进行加密,然后而对加密磁盘进行读写,具有以下优点:
1、与应用程序无关,能够兼容各种复杂的应用环境,支持应用程序的升级和变更,无需针对具体应用程序进行产品级的二次开发,稳定性和可用性得到保障。
2、由于不采用文件临时重定向技术,因而文件读写次数不会增加,确保了***使用效率不会明显下降。
但是,由于磁盘加密技术仅针对特定的文件存储区域进行保护,缺乏对文件本身保密属性的判断能力,因此具有以下缺点:采用磁盘加密技术需要对文件的存储区域进行条件限制,因此必然需要对使用环境进行调整以适应磁盘加密技术的。进一步地,单一的磁盘加密技术无法防止通过网络和其他途径的文件泄密行为,而若要综合网络控制技术开发相应的网络安全产品,则开发难度大、周期长。另一方面,目前的磁盘加密技术中没有完整的密钥管理机制,一旦出现密钥忘记等情况,没有有效的恢复手段。
发明内容
本发明实施例提供一种对硬盘分区进行加密的方法及装置,用于防止硬盘数据泄露,提高了硬盘数据的安全性。
本发明实施例提供的具体技术方案如下:
一种对硬盘分区进行加密的方法,包括:
在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥;
将指定的硬盘分区作为加密分区进行挂载;
采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
一种密钥管理方法,包括:
在用户终端上的操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端,令所述用户终端在将指定的硬盘分区作为加密分区进行挂载,并采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
一种对硬盘分区进行加密的装置,包括:
登录及资源管理模块,用于在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
挂载模块,用于确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥,并将指定的硬盘分区作为加密分区进行挂载;
文件***驱动模块,用于采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
一种密钥管理装置,包括:
口令认证模块,用于在用户终端上的操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
密钥管理模块,用于在确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端,令所述用户终端在将指定的硬盘分区作为加密分区进行挂载,并采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
一种对硬盘分区进行加密的***,包括:
USBKEY,用于在确认用户通过USBKEY身份验证后,基于预设的安全传输协议将用于硬盘加密的加密密钥发送至用户终端;
用户终端,用于在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证,并在确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议从所述USBKEY中获取所述加密密钥,以及将指定的硬盘分区作为加密分区进行挂载,并采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
综上所述,本发明实施例中,基于操作***驱动层技术动态地实施加解密技术,通过文件***驱动来实现对硬盘数据的挂载、卸载及加解密读写,从而保证对磁盘数据的实时加密和解密操作。具体为:当用户终端上的操作***启动流程被触发时,经过了USBKEY身份验证后,加密密钥才会按照预设的安全传输机制,安全无误地导入到操作***内暂时保存,而在获得加密密钥后,用户终端才将指定的硬盘分区作为加密分区进行挂载,并按照获得的加密密钥对该加密分区的读写操作进行加解密操作。这样,便在驱动层实现了对数据的动态读写加解密,通过独立的文件***驱动杜绝了第三方对操作***已有文件***的hook劫持,有效提高了数据安全性,并且实现了加密分区的挂载与操作***启动流程的无缝集成,节省了硬盘加密流程的执行效率,符合给用的日常使用习惯,不会给用户带来额外的等待时间。
附图说明
图1为本发明实施例中用户终端对硬盘分区进行加密流程图;
图2为本发明实施例中用户终端功能结构示意图;
图3为本发明实施例中USBKEY功能结构示意图。
具体实施方式
为了防止硬盘数据泄露,提高数据安全性,本发明实施例中,设计了一种全新的对硬盘分区进行加密的方法,具体为:在操作***启动的过程中,在***挂载各硬盘分区之前,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证,确认用户通过该USBKEY身份验证后,从USBKEY中获取预设的加密密钥,并将指定的硬盘分区作为加密分区进行挂载,接着,采用获得的加密密钥,对在上述加密分区中执行的读写操作进行加解密。
这样,可以在***驱动层实现对数据的动态读写加解密,从而有效地提高了数据安全性。
较佳的,本发明实施例适用于Windows操作***,而其他类型的操作***也可以基于本发明的思想对本发明实施例进行改进后实现对硬盘分区的加解密,在此不再赘述。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图1所示,本发明实施例中,用户终端对硬盘分区进行加密的详细流程如下:
步骤100:用户终端在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证。
本发明实施例中,较佳的,用户可以将USBKEY***用户终端的USB接口后,再启动用户终端以触发操作***的启动;而在操作***启动流程被触发后,用户终端可以先根据用户输入的用户名和密码对用户进行操作***登录认证,待登录成功后,再执行步骤200中记载的USBKEY身份验证流程,或者,也可以先根据用户输入的账户口令信息进行USBKEY身份验证,待验证通过后,再执行操作***登录认证。
进一步地,较佳的,为了节省用户的操作时间,可以将用户登录操作***时输入的用户名和密码与用户进行USBKEY身份验证时使用的账户口令信息设置为相同内容,这样,用户仅需输入一次用户名和密码即可以完成USBKEY身份验证和操作***的登录,从而有效提高了***使用效率。
另一方面,用户终端根据用户输入的账户口令信息,对该用户进行USBKEY身份验证时,可以根据用户输入的账户口令信息在本地进行USBKEY身份验证,也可以将用户输入的账户口令信息发往USBKEY进行USBKEY身份验证,并根据USBKEY的反馈确认验证通过。
步骤110:用户终端确认用户通过USBKEY身份验证后,基于预设的安全传输协议从USBKEY中获取用于硬盘加密的加密密钥。
本发明实施例中,步骤110的具体执行方式如下:
步骤A:用户终端接收从USBKEY传送的传输密钥密文,并按照与USBKEY约定的方式对该传输密钥密文进行解密,获得相应的传输密钥。
步骤B:用户终端接收从USBKEY传送的加密密钥密文,并按照获得的传输密钥对该加密密钥密文进行解密,获得相应的加密密钥。
例如,假设将USBKEY与用户终端约定的一对初始传输密钥分别称为密钥A和密钥B,则USBKEY基于密钥A生成相应的第一传输密钥,称为密钥A1,然后,USBKEY采用密钥A1对本地预先设置的加密密钥(称为密钥X)进行加密,生成加密密钥密文x1以及相应的验证码x11(验证码x11由密钥X、加密密钥密文x1和密钥A1经加密生成,具体方式在此不再赘述);接着,USBKEY采用密钥A对密钥A1进行加密,生成传输密钥密文a1以及相应的验证码a11(验证码a11由密钥A1、传输密钥密文a1和密钥A经加密生成,具体方式在此不再赘述);
用户终端从USBKEY读取其生成的传输密钥密文a1和验证码a11,并在根据验证码a11确认USBKEY的身份合法后,采用与USBKEY约定的密钥B对传输密钥密文a1进行解密,从而获得密钥A1;接,用户终端从USBKEY读取其生成的加密密钥密文x1和验证码x11,并在根据验证码x11确认USBKEY的身份合法后,采用已获得的密钥A1对加密密钥密文a1进行解密,从而获得密钥X。
当然,若操作***再次启动,则在第二次进行加密密钥安全传输时,USBKEY可以采用基于初始传输密钥A生成的第二传输密钥A2(密钥A2)对加密密钥X进行加密,并采用初始传输密钥A或上一次使用的密钥A1对密钥A2进行加密,以完成加密密钥的安全传输,以此类推,后续流程均按照此种方法对加密密钥进行加密和传输,将不再赘述。
可见,本实施例中,用户终端采用双加密的方式来实现加密密钥的安全传输(即加密密钥由传输密钥加密、传输密钥由初始传输密钥或上一次使的传输密钥加密),从而有效防止了加密密钥的泄露,进一步提高了数据安全性。
另一方面,USBKEY中预设的加密密钥,可以由USBKEY预先采用离散算法基于一个随机数(如,用户终端的机器编号)生成;而进行USBKEY身份时验证的账户口令信息可以由用户定期更新。
步骤120:用户终端将指定的硬盘分区作为加密分区进行挂载。
若用户将登录操作***时使用的用户名和密码,与进行USBKEY身份验证时使用的账户口令信息设置为相同内容,则在执行步骤120之前,具体可以是执行步骤100之前,也可以是执行步骤100之后且执行步骤110之前,还可以是执行步骤110之后且执行步骤120之前,用户终端可以根据用户输入的账户口令信息登录操作***,从而在执行步骤120时,用户终端可以开始进行硬盘分区的挂载和其他***资源的加载。
在执行步骤120时,用户终端将指定的至少一个硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存,加密分区的数目可以为一个或多个,具体由用户设置。
接着,用户终端可以将其他非指定的硬盘分区作为普通分区进行挂载,为其分配相应的盘符,并将各盘符映射至资源管理器进行注册保存,在此不再赘述。
将各硬盘分区挂载完毕后,用户终端可以继续对操作***启动时所需的各类程序进行加载,以完成操作***的启动流程。
步骤130:用户终端采用获得的加密密钥,对在上述加密分区中执行的读写操作进行加解密。
本实施例中,用户终端既可以是在执行步骤120后,在加载操作***启动时所需的各类程序的过程中,采用获得的加密密钥,对在上述加密分区中执行的读写操作进行加解密;也可以是在操作***启动完成后,根据用户的相关操作,采用获得的加密密钥,对在上述加密分区中执行的读写操作进行加解密。具体为:针对在上述加密分区中执行的写操作,采用所述加密密钥进行加密,以及针对在上述加密分区中执行的读操作,采用所述加密密钥进行解密。
另一方面,基于上述实施例,当用户终端检测到USBKEY被拔出、用户的账户口令信息验证失败次数达到设定阈值(如,10次)、用户指示注销操作***账户、用户指示关机等等意外情况中的任意一种或多种组合时,需要将加密分区进行卸载,如,将加密分区的盘符从资源管理器中删除,以保证加密分区的数据安全。
其中,当用户的账户口令信息验证失败次数达到设定阈值时,若USBKEY验证操作由用户终端完成,则用户终端还需要指示上述USBKEY将其本地进行锁定,而若USBKEY验证操作由USBKEY完成,则USBKEY直接将本地进行锁定,锁定操作具体为:USBKEY需要将原生成的加密密钥进行删除,并停止加密密钥的生成和传输;直到用户执行了合法的解锁操作后,USBKEY再根据预设方式生成新的加密密钥,如,采用离散算法基于用户终端机器编号生成相应的加密密钥。
基于上述实施例,本发明实施例提供的安全***内,用户终端需要基于USBKEY提供的加密密钥对硬盘分区进行加密,具体为:
参阅图2所示,用户终端中至少包括登录及资源管理模块20和挂载模块21和文件***驱动模块22,其中
登录及资源管理模块20,用于在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
具体为:根据用户输入的账户口令信息在本地进行USBKEY身份验证;或者,将用户输入的账户口令信息发往USBKEY进行USBKEY身份验证。
挂载模块21,用于确认用户通过USBKEY身份验证后,基于预设的安全传输协议从USBKEY中获取用于硬盘加密的加密密钥,并将指定的硬盘分区作为加密分区进行挂载;
其中,在获得加密密钥时,加载模块21先接收USBKEY发送的传输密钥密文,并按照与USBKEY约定的方式对传输密钥密文进行解密,获得传输密钥,再接收USBKEY发送的加密密钥密文,并按照传输密钥对加密密钥密文进行解密,获得相应的加密密钥。
文件***驱动模块22,用于采用获得的加密密钥,对在上述加密分区中执行的读写操作进行加解密;
具体为:针对在上述加密分区中执行的写操作,采用获得的加密密钥进行加密,以及针对在上述加密分区中执行的读操作,采用获得的加密密钥进行解密。
另一方面,在挂载模块21将指定的硬盘分区作为加密分区进行挂载之前,登录及资源管理模块20还可以根据用户输入的账户口令信息,对用户进行操作***登录认证;而在挂载模块21将指定的硬盘分区作为加密分区进行挂载之后,登录及资源管理模块20还可以对操作***启动时所需的各类程序进行加载,以完成操作***启动流程。而登录及资源管理模块20确定用户通过USBKEY身份验证后,可以对文件***驱动模块22进行加载,这样,挂载模块21将指定的硬盘分区作为加密分区进行挂载时,可以通过文件***驱动模块22,将指定的至少一个的硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存。
如图2所示,在用户终端中进一步设置有卸载模块23,用于在检测到USBKEY被拔出、用户的账户口令信息验证失败次数达到设定阈值、用户指示注销操作***账户和用户指示关机这几种情况中的任意一种或多种组合时,将已挂载的加密分区进行卸载;其中,若检测到用户的账户口令信息验证失败次数达到设定阈值,则卸载模块23还需要在对加密分区进行卸载的同时,指示USBKEY进行锁定。
如图2所示,登录及资源管理模块20、挂载模块21和卸载模块23可以作为用户终端中一个独立的应用功能存在,用以实现硬盘的分区管理,可以将其组合称为硬盘分区管理单元。
而文件***驱动模块22则也可以视为用户终端中一个独立的应用功能存在,用以实现操作***的文件驱动,如,在驱动层便以动态形式对硬盘中的加密分区进行传输数据的加解密。
参阅图3所示,本发明实施例中,USBKEY中至少包括口令认证模块30和密钥管理模块31,其中,
口令认证模块30,用于在用户终端上的操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
密钥管理模块31,用于在确认用户通过USBKEY身份验证后,基于预设的安全传输协议将本地预设的加密密钥发往用户终端,令用户终端在将指定的硬盘分区作为加密分区进行挂载,并采用获得的加密密钥,对在上述加密分区中执行的读写操作进行加解密。
其中,在口令认证模块30根据用户输入的账户口令信息,对该用户进行USBKEY身份验证之前,密钥管理模块31先根据预设方式生成用于进行硬盘加密的加密密钥,并采用本地生成的传输密钥对所述加密密钥进行加密,生成相应的加密密钥密文,以及采用与用户终端约定的方式对所述传输密钥进行加密,生成相应的传输密钥密文;而密钥管理模块31基于预设的安全传输协议将本地预设的加密密钥发往用户终端时,先将生成的传输密钥密文发往用户终端,令用户终端采用与本地约定的方式对传输密钥密文进行解密,以获得相应的传输密钥,再将生成的加密密钥密文发往用户终端,令用户终端采用已解密的传输密钥对加密密钥密文进行解密,以获得相应的加密密钥。
如图3所示,在USBKEY中,进一步包括锁定解锁模块32,用于在检测到用户的账户口令信息验证失败次数达到设定阈值时,将本地进行锁定,以及在确定用户执行了合法的解锁操作时,指示密钥模块管块31根据预设方式重新生成相应的加密密钥。当然,锁定解锁模块32还可以根据应用环境来调整USBKEY的安全等级,以指示口令认证模块30是否需要对用户进行USBKEY身份验证。
综上所述,本发明实施例中,基于操作***驱动层技术动态地实施加解密技术,通过文件***驱动来实现对硬盘数据的挂载、卸载及加解密读写,从而保证对磁盘数据的实时加密和解密操作。具体为:当用户终端上的操作***启动流程被触发时,经过了USBKEY身份验证后,加密密钥才会按照预设的安全传输机制,安全无误地导入到操作***内暂时保存,而在获得加密密钥后,用户终端才将指定的硬盘分区作为加密分区进行挂载,并按照获得的加密密钥对该加密分区的读写操作进行加解密操作。这样,便在驱动层实现了对数据的动态读写加解密,通过独立的文件***驱动杜绝了第三方对操作***已有文件***的hook劫持,有效提高了数据安全性,并且实现了加密分区的挂载与操作***启动流程的无缝集成,节省了硬盘加密流程的执行效率,符合给用的日常使用习惯,不会给用户带来额外的等待时间。
进一步地,用户终端还可以根据USBKEY的***拔出情况及驱动层的挂载尝试次数等策略随时选择挂载、卸载加密分区,从而可以迅速检测到攻击,实施有效地主动防御,显然,这进一步防止了数据的泄露,增强了数据安全性。而在用户注销操作***账户或关机的情况下,USBKEY可以从用户终端拔出,从而在用户终端内不存储任何密钥信息,彻底防止了黑客破解加密密钥的可能,
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (23)
1.一种对硬盘分区进行加密的方法,其特征在于,包括:
在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥;
将指定的硬盘分区作为加密分区进行挂载,具体包括:将指定的至少一个硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存;
采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
2.如权利要求1所述的方法,其特征在于,所述根据用户输入的账户口令信息,对该用户进行USBKEY身份验证,包括:
根据用户输入的账户口令信息在本地进行USBKEY身份验证;或者,将用户输入的账户口令信息发往USBKEY进行USBKEY身份验证。
3.如权利要求1所述的方法,其特征在于,所述基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥,包括:
接收所述USBKEY发送的传输密钥密文,并按照与所述USBKEY约定的方式对所述传输密钥密文进行解密,获得所述传输密钥;
接收所述USBKEY发送的加密密钥密文,并按照所述传输密钥对所述加密密钥密文进行解密,获得所述加密密钥。
4.如权利要求1所述的方法,其特征在于,在将指定的硬盘分区作为加密分区进行挂载之前,根据所述用户输入的账户口令信息,对用户进行操作***登录认证;而在将指定的硬盘分区作为加密分区进行挂载之后,对操作***启动时所需的各类程序进行加载,以完成操作***启动流程。
5.如权利要求1-4任一项所述的方法,其特征在于,采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密,包括:针对在所述加密分区中执行的写操作,采用所述加密密钥进行加密,以及针对在所述加密分区中执行的读操作,采用所述加密密钥进行解密。
6.如权利要求1-4任一项所述的方法,其特征在于,在检测到所述USBKEY被拔出、用户的账户口令信息验证失败次数达到设定阈值、用户指示注销操作***账户和用户指示关机这几种情况中的任意一种或多种组合时,将所述加密分区进行卸载。
7.如权利要求6所述的方法,其特征在于,若检测到用户的账户口令信息验证失败次数达到设定阈值,则在对加密分区进行卸载的同时,指示锁定所述USBKEY。
8.一种密钥管理方法,其特征在于,包括:
在用户终端上的操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端,令所述用户终端将指定的硬盘分区作为加密分区进行挂载,并采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密,其中,将指定的硬盘分区作为加密分区进行挂载,具体包括:将指定的至少一个硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存。
9.如权利要求8所述的方法,其特征在于,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证之前,包括:
根据预设方式生成用于进行硬盘加密的加密密钥;
采用本地生成的传输密钥对所述加密密钥进行加密,生成相应的加密密钥密文;
采用与用户终端约定的方式对所述传输密钥进行加密,生成相应的传输密钥密文。
10.如权利要求9所述的方法,其特征在于,基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端,包括:
将所述传输密钥密文发往所述用户终端,令所述用户终端采用与本地约定的方式对所述传输密钥密文进行解密,以获得相应的传输密钥;
将所述加密密钥密文发往所述用户终端,令所述用户终端采用所述传输密钥对所述加密密钥密文进行解密,以获得相应的加密密钥。
11.如权利要求8、9或10所述的方法,其特征在于,在检测到用户的账户口令信息验证失败次数达到设定阈值时,将本地进行锁定,以及在确定用户执行了合法的解锁操作时,根据预设方式重新生成相应的加密密钥。
12.一种对硬盘分区进行加密的装置,其特征在于,包括:
登录及资源管理模块,用于在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
挂载模块,用于确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥,并将指定的硬盘分区作为加密分区进行挂载,具体包括:通过文件***驱动模块,将指定的至少一个硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存;
文件***驱动模块,用于采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密。
13.如权利要求12所述的装置,其特征在于,所述登录及资源管理模块根据用户输入的账户口令信息,对该用户进行USBKEY身份验证时,根据用户输入的账户口令信息在本地进行USBKEY身份验证;或者,将用户输入的账户口令信息发往USBKEY进行USBKEY身份验证。
14.如权利要求12所述的装置,其特征在于,所述挂载模块基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥时,先接收所述USBKEY发送的传输密钥密文,并按照与所述USBKEY约定的方式对所述传输密钥密文进行解密,获得所述传输密钥,再接收所述USBKEY发送的加密密钥密文,并按照所述传输密钥对所述加密密钥密文进行解密,获得所述加密密钥。
15.如权利要求12所述的装置,其特征在于,所述挂载模块在将指定的硬盘分区作为加密分区进行挂载之前,所述登录及资源管理模块根据所述用户输入的账户口令信息,对用户进行操作***登录认证;而在所述挂载模块将指定的硬盘分区作为加密分区进行挂载之后,所述登录及资源管理模块对操作***启动时所需的各类程序进行加载,以完成操作***启动流程。
16.如权利要求12-15任一项所述的装置,其特征在于,所述文件***驱动模块采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密时,针对在所述加密分区中执行的写操作,采用所述加密密钥进行加密,以及针对在所述加密分区中执行的读操作,采用所述加密密钥进行解密。
17.如权利要求13-15任一项所述的装置,其特征在于,进一步包括:
卸载模块,用于在检测到所述USBKEY被拔出、用户的账户口令信息验证失败次数达到设定阈值、用户指示注销操作***账户和用户指示关机这几种情况中的任意一种或多种组合时,将所述加密分区进行卸载。
18.如权利要求17所述的装置,其特征在于,若检测到用户的账户口令信息验证失败次数达到设定阈值,则所述卸载模块在对加密分区进行卸载的同时,指示锁定所述USBKEY。
19.一种密钥管理装置,其特征在于,包括:
口令认证模块,用于在用户终端上的操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证;
密钥管理模块,用于在确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端,令所述用户终端将指定的硬盘分区作为加密分区进行挂载,并采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密,其中,将指定的硬盘分区作为加密分区进行挂载,具体包括:将指定的至少一个硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存。
20.如权利要求19所述的装置,其特征在于,在所述口令认证模块根据用户输入的账户口令信息,对该用户进行USBKEY身份验证之前,所述密钥管理模块根据预设方式生成用于进行硬盘加密的加密密钥,并采用本地生成的传输密钥对所述加密密钥进行加密,生成相应的加密密钥密文,以及采用与用户终端约定的方式对所述传输密钥进行加密,生成相应的传输密钥密文。
21.如权利要求19所述的装置,其特征在于,所述密钥管理模块基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端时,先将所述传输密钥密文发往所述用户终端,令所述用户终端采用与本地约定的方式对所述传输密钥密文进行解密,以获得相应的传输密钥,再将所述加密密钥密文发往所述用户终端,令所述用户终端采用所述传输密钥对所述加密密钥密文进行解密,以获得相应的加密密钥。
22.如权利要求19、20或21所述的装置,其特征在于,进一步包括:
锁定解锁模块,用于在检测到用户的账户口令信息验证失败次数达到设定阈值时,将本地进行锁定,以及在确定用户执行了合法的解锁操作时,指示所述密钥模块管块根据预设方式重新生成相应的加密密钥。
23.一种对硬盘分区进行加密的***,其特征在于,包括:
USBKEY,用于在确认用户通过USBKEY身份验证后,基于预设的安全传输协议将用于硬盘加密的加密密钥发送至用户终端;
用户终端,用于在操作***启动流程被触发时,根据用户输入的账户口令信息,对该用户进行USBKEY身份验证,并在确认用户通过所述USBKEY身份验证后,基于预设的安全传输协议从所述USBKEY中获取所述加密密钥,以及将指定的硬盘分区作为加密分区进行挂载,并采用所述加密密钥,对在所述加密分区中执行的读写操作进行加解密,其中,将指定的硬盘分区作为加密分区进行挂载,具体包括:将指定的至少一个硬盘分区记为加密分区,并为其分配相应的盘符,以及将分配的盘符映射至资源管理器进行注册保存。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110300195.8A CN102508791B (zh) | 2011-09-28 | 2011-09-28 | 一种对硬盘分区进行加密的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110300195.8A CN102508791B (zh) | 2011-09-28 | 2011-09-28 | 一种对硬盘分区进行加密的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102508791A CN102508791A (zh) | 2012-06-20 |
| CN102508791B true CN102508791B (zh) | 2015-05-13 |
Family
ID=46220882
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110300195.8A Expired - Fee Related CN102508791B (zh) | 2011-09-28 | 2011-09-28 | 一种对硬盘分区进行加密的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102508791B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110221990B (zh) * | 2019-04-26 | 2021-10-08 | 奇安信科技集团股份有限公司 | 数据的存储方法及装置、存储介质、计算机设备 |
Families Citing this family (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103198263B (zh) * | 2012-10-26 | 2016-07-06 | 高榕科技(深圳)有限公司 | 借助个人计算机的外设密钥建立加/解密存储空间的方法 |
| CN104217166A (zh) * | 2013-05-30 | 2014-12-17 | 鈊象电子股份有限公司 | ***执行环境的验证方法 |
| CN103294969B (zh) * | 2013-06-21 | 2016-09-14 | 福建伊时代信息科技股份有限公司 | 文件***挂载方法和装置 |
| CN103944721A (zh) * | 2014-04-14 | 2014-07-23 | 天津艾宝卓越科技有限公司 | 一种基于web的保护终端数据安全的方法和装置 |
| CN105095701A (zh) * | 2014-05-06 | 2015-11-25 | 黄熙镜 | 一种用户认证的方法、装置和终端设备 |
| CN104346556A (zh) * | 2014-09-26 | 2015-02-11 | 中国航天科工集团第二研究院七〇六所 | 基于无线安全认证的硬盘安全防护*** |
| US9805199B2 (en) * | 2015-03-12 | 2017-10-31 | International Business Machines Corporation | Securely booting a computer from a user trusted device |
| CN104951409B (zh) * | 2015-06-12 | 2019-03-08 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密***及加密方法 |
| CN105406963B (zh) * | 2015-12-09 | 2019-02-15 | 中国联合网络通信集团有限公司 | 用户账户的加密方法、加密装置以及解密方法、解密装置 |
| CN106911467A (zh) * | 2015-12-23 | 2017-06-30 | 北京握奇智能科技有限公司 | 一种数据保密存储及传输的方法 |
| CN105760789A (zh) * | 2016-02-19 | 2016-07-13 | 山东超越数控电子有限公司 | 一种加密移动固态硬盘加密密钥的保护方法 |
| CN106845261A (zh) * | 2017-04-18 | 2017-06-13 | 广东浪潮大数据研究有限公司 | 一种销毁ssd硬盘数据的方法及装置 |
| TWI644229B (zh) * | 2017-05-04 | 2018-12-11 | 慧榮科技股份有限公司 | 採加密技術之數據中心與數據中心操作方法 |
| CN107315945B (zh) * | 2017-07-11 | 2019-08-23 | 北京梆梆安全科技有限公司 | 一种电子设备的磁盘解密方法和装置 |
| CN109840435A (zh) * | 2017-11-27 | 2019-06-04 | 深圳市朗科科技股份有限公司 | 一种存储设备的数据保护方法 |
| CN108171086B (zh) * | 2017-12-26 | 2021-08-10 | 普华基础软件股份有限公司 | 一种基于硬件加密卡的硬盘分区加密方法 |
| CN109583242A (zh) * | 2018-11-22 | 2019-04-05 | 郑州云海信息技术有限公司 | 一种k-ux***下硬盘分区加密的方法和*** |
| CN109977663A (zh) * | 2019-03-14 | 2019-07-05 | 四川长虹电器股份有限公司 | 防止Android智能终端设备被恶意root提权的方法 |
| CN110581764A (zh) * | 2019-09-16 | 2019-12-17 | 杭州华澜微电子股份有限公司 | 一种硬盘分区加解密***、方法和装置 |
| CN111737771A (zh) * | 2020-06-17 | 2020-10-02 | 山东大学 | 一种基于安卓Android双***可信运行架构的监管场所警务终端*** |
| CN112035885B (zh) * | 2020-08-26 | 2023-03-28 | 山谷网安科技股份有限公司 | 基于minifilter和usbkey的透明加解密文件驱动的方法 |
| CN112131550B (zh) * | 2020-09-30 | 2024-05-10 | 深圳软牛科技有限公司 | 一种Windows***解锁方法、装置、电子设备及计算机可读介质 |
| CN112560058B (zh) * | 2020-12-17 | 2022-12-30 | 山东华芯半导体有限公司 | 基于智能密码钥匙的ssd分区加密存储***及其实现方法 |
| CN113938278B (zh) * | 2021-10-25 | 2024-03-15 | 北京计算机技术及应用研究所 | 一种加密硬盘的密钥管理和保护方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725196A (zh) * | 2005-06-06 | 2006-01-25 | 付爱香 | 一种计算机数据的加密保护及读写控制方法 |
| CN101408916A (zh) * | 2008-08-27 | 2009-04-15 | 上海第二工业大学 | 一种互联网软件上网隐私保护方法 |
| CN101562040A (zh) * | 2008-04-15 | 2009-10-21 | 航天信息股份有限公司 | 高安全性移动存储器及其数据处理方法 |
| CN101788959A (zh) * | 2010-02-03 | 2010-07-28 | 武汉固捷联讯科技有限公司 | 一种固态硬盘安全加密*** |
-
2011
- 2011-09-28 CN CN201110300195.8A patent/CN102508791B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725196A (zh) * | 2005-06-06 | 2006-01-25 | 付爱香 | 一种计算机数据的加密保护及读写控制方法 |
| CN101562040A (zh) * | 2008-04-15 | 2009-10-21 | 航天信息股份有限公司 | 高安全性移动存储器及其数据处理方法 |
| CN101408916A (zh) * | 2008-08-27 | 2009-04-15 | 上海第二工业大学 | 一种互联网软件上网隐私保护方法 |
| CN101788959A (zh) * | 2010-02-03 | 2010-07-28 | 武汉固捷联讯科技有限公司 | 一种固态硬盘安全加密*** |
Non-Patent Citations (1)
| Title |
|---|
| 基于USBKey的可信安全增强***的研究与实现;阮洪升;《万方学位论文数据库》;20110920;第33-35页、第47-51页 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110221990B (zh) * | 2019-04-26 | 2021-10-08 | 奇安信科技集团股份有限公司 | 数据的存储方法及装置、存储介质、计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102508791A (zh) | 2012-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102508791B (zh) | 一种对硬盘分区进行加密的方法及装置 | |
| US20210344669A1 (en) | Secure authorization systems and methods | |
| US11784823B2 (en) | Object signing within a cloud-based architecture | |
| US20190050598A1 (en) | Secure data storage | |
| US8103883B2 (en) | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption | |
| CN112042151B (zh) | 使用单调计数器的机密密钥的安全分发 | |
| US9921978B1 (en) | System and method for enhanced security of storage devices | |
| US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
| CN112513857A (zh) | 可信执行环境中的个性化密码安全访问控制 | |
| WO2020192406A1 (zh) | 数据存储、验证方法及装置 | |
| CN112074836A (zh) | 通过可信执行环境保护数据的设备和方法 | |
| KR20210132216A (ko) | 동작 동안 긴급 차량의 아이덴티티 검증 | |
| US20080181406A1 (en) | System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key | |
| CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
| CN101589398A (zh) | 升级存储卡使其具有防止拷贝安全内容和应用程序的安全性机制 | |
| CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
| JP2007335962A (ja) | センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード | |
| CN103970540A (zh) | 关键函数安全调用方法及装置 | |
| CN103592927A (zh) | 一种通过license绑定产品服务器及业务功能的方法 | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| US10311240B1 (en) | Remote storage security | |
| CN109889334A (zh) | 嵌入式固件加密方法、装置、wifi设备及存储介质 | |
| CN110659522B (zh) | 存储介质安全认证方法、装置、计算机设备和存储介质 | |
| US11601285B2 (en) | Securely authorizing service level access to a backup system using a specialized access key | |
| JP2007179357A (ja) | コンピュータプログラムのインストール方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: LIAOYUAN HUANYU JIAXUN COMMUNICATION TECHNOLOGY CO Free format text: FORMER OWNER: LIANG SHOULONG Effective date: 20121115 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100085 HAIDIAN, BEIJING TO: 136200 LIAOYUAN, JILIN PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20121115 Address after: 136200 Beihai pharmacy, Liaoyuan, Jilin province (north of gymnasium Road) Applicant after: LIAOYUAN HUANYU JIAXUN COMMUNICATION TECHNOLOGY CO., LTD. Address before: 100085 Beijing City, Haidian District Renhe malianwa apartment A223 Applicant before: Liang Shoulong |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150513 Termination date: 20180928 |