CN103870769B - 一种对磁盘进行保护的方法及*** - Google Patents
一种对磁盘进行保护的方法及*** Download PDFInfo
- Publication number
- CN103870769B CN103870769B CN201410057760.6A CN201410057760A CN103870769B CN 103870769 B CN103870769 B CN 103870769B CN 201410057760 A CN201410057760 A CN 201410057760A CN 103870769 B CN103870769 B CN 103870769B
- Authority
- CN
- China
- Prior art keywords
- disk
- module
- protection device
- filter drive
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing For Digital Recording And Reproducing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种磁盘保护及还原的方法及***。对磁盘进行保护时首先设置保护装置,在磁盘上备份磁盘前63个扇区的代码,利用保护装置对磁盘进行加密。加密后的磁盘启动时,首先运行第一引导模块,第一引导模块对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块。第二引导模块替换磁盘读写中断,读取磁盘时解密,写入磁盘时加密,第二引导模块读取活动分区的引导记录,对引导记录进行解密,执行引导记录从而启动操作***。操作***启动后通过磁盘过滤驱动模块对读操作解密,对写操作加密,完成磁盘的保护。对磁盘进行还原时,对整个磁盘进行解密,将前63个扇区原始数据进行还原。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种对磁盘进行保护的方法和***。
背景技术
在信息安全领域中,数据作为一种宝贵的财富,数据的安全性越来越受到单位、企业和个人的关注。目前的数据的保护主要是基于文件的保护,这用保护的方法很容易被破解,并且伴随文件的增多,这种保护的方法也会非常繁琐。
本发明对整个磁盘进行加密,并且修改了***的启动流程,加密后的***只有拥有合法的保护装置才能进入***,进入***后用户对文件读取时在内存中解密,对文件写入后进行加密保存在磁盘上。磁盘上永远不会出现明文数据,从而达到保护磁盘的目的。
另外本发明为了方便用户可以对保护后的磁盘进行还原,只要用户***合法的保护装置,进入保护后的磁盘的***后,可以对整个磁盘进行还原至未保护前的状态。
Windows的启动过程如下:***上电后,BIOS根据用户指定的启动顺序从软、光、硬盘或其它存储设备启动,同时读取并执行启动盘上的主引导记录,硬盘将磁头定位在物理扇0柱0面1扇上,接着先后读取扇区结束标志55AAH、主引导记录、硬盘分区表,然后根据硬盘分区表提供的数据,硬盘将磁头定位在活动分区的引导扇区上,接着先后读取扇区结束标志55AAH和操作***参数。该过程将操作***读取内存中,然后将控制权交给操作***。
在Windows内核中,驱动设计采用分层结构设计。磁盘过滤驱动模块是位于在磁盘驱动程序上,可以监视,拦截和修改***发送给磁盘驱动的I/O请求包,从而达到修改***执行流程的目的。
软件保护装置是一种通过计算机接口(包括但不限于并口或者USB接口)连接到计算机主机上的硬件设备。该设备内部具有非易失性存储空间可供读写,通常还具有单片机或者微处理控制芯片等计算处理单元。软件开发者可以通过接口函数和软件保护装置进行数据交换(即对软件保护装置进行读写),来检查软件保护装置是否插在接口上;或者直接用软件保护装置附带的工具进行加密。这样,软件开发者可以在软件中设置多处软件锁,利用软件保护装置作为钥匙来打开这些锁;如果没插软件保护装置或软件保护装置不对应,软件将不能正常执行。
此外,软件保护装置内部包含特定的功能,例如一部分存储空间、一些密码算法或者一些用户自定义的算法或者功能。在软件发行之前,软件开发者修改自己的软件代码,使得软件在运行过程中需要使用到软件保护装置内部的一些功能,这样软件离开软件保护装置之后就会无法运行,而软件保护装置作为一种硬件设备复制的难度较大,从而起到防止盗版软件非法传播的作用。
当前市场上主要的软件保护装置包括:美国SafeNet公司的Sentinel Superpro、以色列Aladdin公司的Hasp HL、中国北京深思洛克软件股份有限公司的精锐系列、德国Wi-Bu公司的WIBU-Key等。所有这些软件保护装置都提供了内置的存储空间、私有或公开的密码算法,当软件运行过程中可以调用这些功能来检验是否属于正版。这些软件保护装置采用了智能卡芯片作为硬件的基础,而且支持用户将自己定义的功能写入到软件保护装置内部,甚至可以直接将软件的部分功能移植到软件保护装置内部完成,从而大大提高了软件被盗版的难度,通常称这种将自己定义的功能或者软件的部分功能移植到软件保护装置内部的技术为代码移植。本发明人现在对应网站为http://www.sense.com.cn/,其中详细公开了本发明人开发的软件保护装置的具体参数性能和工作原理。
在现有技术中,磁盘本身在启动过程中未进行加密,因此目前的技术需求在于:操作***对整个磁盘进行加密,并且操作***的启动流程保证加密后的操作***只有拥有合法的软件保护装置(下文称为保护装置)才能进入操作***,在进入操作***后用户对文件读取时在内存中解密,对文件写入后进行加密保存在磁盘上,使得磁盘上不会出现明文数据。
发明内容
有鉴于此,本发明提供了一种磁盘保护和还原的方法,以解决磁盘数据安全的问题。
根据本发明的一个方面,提供一种通过保护装置对磁盘进行保护的***,所述保护装置为具有智能卡芯片的信息安全设备,提供软件、数据保护功能,所述保护装置还包括:
保护装置设置模块、全盘加密模块、第一引导模块、第二引导模块、磁盘过滤驱动模块;其中,所述第二引导模块位于所述保护装置中;
所述保护装置设置模块,用于对所述保护装置进行设置,将第二引导模块的代码、启动参数、密码放入所述保护装置;
所述全盘加密模块,将第一引导模块写入磁盘的前63个扇区,对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护;
所述第一引导模块,对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
所述第二引导模块,替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,此时对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
所述磁盘过滤驱动模块,用于对磁盘进行全盘保护;其中,操作***启动后通过磁盘过滤驱动模块对读取的数据在内存中进行解密,对写入的数据进行加密后保存在磁盘上。
根据本发明的一个方面,提供一种通过保护装置对磁盘进行保护的***,所述保护装置为具有智能卡芯片的信息安全设备,提供软件、数据保护功能,所述保护装置还包括:
保护装置设置模块、全盘加密模块、第一引导模块、第二引导模块、磁盘还原模块;其中,所述第二引导模块位于所述保护装置中;
所述保护装置设置模块,用于对所述保护装置进行设置,将第二引导模块的代码、启动参数、密码放入所述保护装置,其中所述密码由用户输入;
所述全盘加密模块,将第一引导模块写入磁盘的前63个扇区,对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护;
所述第一引导模块,对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
所述第二引导模块,替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,此时对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
所述磁盘还原模块,包括应用层程序和磁盘过滤驱动模块;
其中,所述应用层程序首先读取整个磁盘的最大扇区数,然后依次向所述磁盘过滤驱动模块发送还原命令及需要还原的扇区号;
其中,所述磁盘过滤驱动模块,用于对磁盘进行全盘保护;其中,操作***启动后通过磁盘过滤驱动模块对读取的数据在内存中进行解密,对写入的数据进行加密后保存在磁盘上;所述磁盘过滤驱动模块对磁盘上的加密后的数据进行还原时,读取磁盘上的加密数据,对加密的数据在内存中解密,将解密后的数据写入磁盘;
所述磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,将解密后的数据写入磁盘上的扇区;
其中,磁盘上的所有扇区解密完成后,所述应用层程序向所述磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令,磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块;应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
根据本发明的一个方面,所述加密算法采用对称加密算法或者非对称加密算法。
根据本发明的一个方面,所述校验包括通过校验PIN码、保护装置序列号等标识信息进行身份认证。
根据本发明的一个方面,其中密码由用户自定义输入。
根据本发明的一个方面,提供一种通过所述的保护装置对磁盘进行保护的方法,所述方法包括:
对保护装置进行设置,将第二引导模块的代码、启动参数、密码放入保护装置;
将第一引导模块写入磁盘;
对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护;
在磁盘上安装磁盘过滤驱动模块。
根据本发明的一个方面,所述方法还包括:
加密后的磁盘启动时,首先运行第一引导模块,第一引导模块对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
第二引导模块替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
操作***启动后通过磁盘过滤驱动模块对读操作进行解密,对写操作进行加密。
根据本发明的一个方面,所述方法还包括:
对加密后的磁盘进行还原时,***所述保护装置,启动加密后的磁盘,用户选择对加密后的磁盘进行还原的操作;
应用层程序首先读取整个磁盘的最大扇区数,然后依次向磁盘过滤驱动模块发送还原命令及需要还原的扇区号,所述磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,将解密后的数据写入磁盘上的扇区;
磁盘上的所有扇区解密完成后,应用层程序向磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令,磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块;
应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
根据本发明的一个方面,在将第二引导模块的代码、启动参数、密码放入保护装置的步骤中,密码由用户输入。
一种磁盘保护的方法,该方法具体步骤包括:
对保护装置进行设置,将第二引导模块(第二引导模块用于启动操作***,该第二引导模块位于保护装置中,操作***启动时由第一引导模块读入内存并执行,其作用在第二引导模块部分有详细描述)的代码、启动参数、密码放入保护装置;
对磁盘的前63个扇区的数据进行备份,其中数据直接备份到磁盘上;
将第一引导模块写入磁盘的前63个扇区;
对磁盘进行全盘加密,采用磁盘过滤驱动模块(磁盘过滤驱动模块是挂载到操作***的磁盘驱动程序上面的驱动程序,该磁盘过滤驱动模块位于磁盘上,该磁盘过滤驱动模块的作用详见磁盘过滤驱动模块描述)对磁盘进行保护,加密算法可以采用对称加密算法或者非对称加密算法;
加密后的磁盘启动时,首先运行第一引导模块,第一引导模块对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
第二引导模块替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
操作***启动后通过磁盘过滤驱动模块对读操作进行解密,对写操作进行加密,从而完成磁盘的保护功能。
对加密后的磁盘进行还原时,需要***正确的保护装置,启动加密后的磁盘,用户选择对加密后的磁盘进行还原的操作,此时由存储在磁盘上的磁盘还原模块利用磁盘过滤驱动模块对整个磁盘上加密的数据进行解密,解密时采用的算法和对磁盘加密时使用的算法一致,将解密后的数据写入磁盘,解密完成后,卸载磁盘过滤驱动模块(其中,根据本发明的一个实施例,由磁盘还原模块中的应用层程序向磁盘过滤驱动模块发送卸载命令,磁盘过滤驱动模块的卸载例程完成自身的卸载),将磁盘的前63个扇区的内容恢复为没有保护前的数据。
本发明还提供了一种对磁盘进行保护的***,所述***包括:
保护装置、装置设置模块、全盘加密模块、第一引导模块、第二引导模块、磁盘过滤驱动模块、磁盘还原模块;其中,所述第二引导模块位于所述保护装置中;
所述保护装置为具有智能卡芯片的信息安全设备,提供软件、数据保护功能。根据一个具体实施方式,所述保护装置包括但不限于加密锁。
所述保护装置设置模块,用来对保护装置进行设置,将第二引导模块的代码、启动参数、密码放入保护装置,其中密码由用户自定义输入;
所述全盘加密模块,对磁盘的前63个扇区数据进行备份,将第一引导模块写入磁盘的前63个扇区,对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护,加密算法可以采用对称加密算法或者非对称加密算法。根据一个具体实施方式,所述对称加密算法包括AES、DES、TDES;非对称加密算法包括ECC、RSA。
所述第一引导模块,对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
所述第二引导模块,替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
所述磁盘过滤驱动模块,用于对磁盘进行全盘保护,保护后的磁盘,操作***启动后通过磁盘过滤驱动模块对读取的数据在内存中进行解密,对写入的数据进行加密后保存在磁盘上,磁盘过滤驱动模块对磁盘上的加密后的数据进行还原时,读取磁盘上的加密数据,对加密的数据在内存中解密,将解密后的数据写入磁盘。
所述磁盘还原模块,由应用层程序和磁盘过滤驱动模块两部分组成,应用层程序首先读取整个磁盘的最大扇区数,然后依次向磁盘过滤驱动模块发送还原命令及需要还原的扇区号,所述磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,解密时采用的算法和对磁盘保护时所用的算法一致,将解密后的数据写入磁盘上的扇区。磁盘上的所有扇区解密完成后,应用层程序向磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令,磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块。应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
根据本发明的一个方面,所述第一引导模块对保护装置进行校验,具体为通过校验PIN码、保护装置序列号等标识信息对保护装置进行身份认证。
根据本发明提供的方法,所取得的有益效果在于:被保护的磁盘只有***正确的保护装置才能正常启动***,***启动后,用户对文件进行读取时,磁盘过滤驱动模块会临时在内存中解密返回给用户,用户写入的数据会被加密后存入磁盘,磁盘中的数据永远是加密的,即使磁盘被非法获取,没有正确的保护装置无法进入***,也无法解密磁盘上的内容。
为了方便用户可以对保护后的磁盘进行还原,只要用户***合法的保护装置,进入保护后的磁盘的***后,可以对整个磁盘进行还原至未保护前的状态。
附图说明
图1为按照本发明的一优选实施例的保护过程的流程示意图。
图2为按照本发明的一优选实施例中的被保护后的磁盘运行时示意图。
图3为按照本发明的一优选实施例中的对保护后的磁盘进行还原时的示意图。
图4为按照本发明的一优选实施例中的磁盘还原模块的结构图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
根据本发明的一个实施方式,提供一种磁盘保护及还原的方法,具体包括:
1.对保护装置进行设置,将第二引导模块的代码、启动参数、密码放入保护装置;
2.将磁盘的前63个扇区的数据进行备份;
3.将第一引导模块写入磁盘的前63个扇区;
4.对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护,加密算法可以采用对称加密算法或者非对称加密算法;
5.加密后的磁盘启动时,首先运行第一引导模块,第一引导模块对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
6.第二引导模块替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
7.操作***启动后通过磁盘过滤驱动模块对读取的数据在内存中进行解密,对写入的数据进行加密后保存在磁盘上,从而完成磁盘的保护功能。
8.对磁盘进行还原时,需要***正确的保护装置,启动加密后的磁盘,用户选择对加密后的磁盘进行还原的操作,此时磁盘还原模块利用磁盘过滤驱动模块对整个磁盘上加密的数据进行解密,解密时采用的算法和对磁盘加密时使用的算法一致,将解密后的数据写入磁盘,解密完成后,卸载磁盘过滤驱动模块,将磁盘的前63个扇区的内容恢复为没有保护前的数据。
根据本发明的一个实施方式,一种对磁盘进行保护的***,包括:
保护装置、保护装置设置模块、全盘加密模块、第一引导模块、第二引导模块、磁盘过滤驱动模块,磁盘还原模块,其中,
所述保护装置为具有智能卡芯片的信息安全设备,提供软件、数据保护功能。根据一个具体实施方式,所述保护装置包括但不限于加密锁。
所述保护装置设置模块,用来对保护装置进行设置,将第二引导模块的代码、启动参数、密码放入保护装置,其中密码由用户自定义输入。
所述全盘加密模块,对磁盘的前63个扇区数据进行备份,将第一引导模块写入磁盘的前63个扇区,对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护,加密算法可以采用对称加密算法或者非对称加密算法。
所述第一引导模块,对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块。根据一个具体实施方式,所述校验包括通过校验PIN码、保护装置序列号等标识信息进行身份认证。
所述第二引导模块,替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,此时会对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***。
所述磁盘过滤驱动模块,用于对磁盘进行全盘保护,保护后的磁盘,操作***启动后通过磁盘过滤驱动模块对读取的数据在内存中进行解密,对写入的数据进行加密后保存在磁盘上,磁盘过滤驱动模块对磁盘上的加密后的数据进行还原时,读取磁盘上的加密数据,对加密的数据在内存中解密,将解密后的数据写入磁盘。
所述磁盘还原模块由应用层程序和磁盘过滤驱动模块两部分组成,应用层程序首先读取整个磁盘的最大扇区数,然后依次向磁盘过滤驱动模块发送还原命令及需要还原的扇区号,所述磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,将解密后的数据写入磁盘上的扇区。磁盘上的所有扇区解密完成后,应用层程序向磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令,磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块。应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
根据本发明的一个实施方式,下面给出一个实施例来说明本发明。
实施例1
该实施例以保护安装有微软Windows 7 32位***的磁盘为例,来描述根据本申请一个具体实施例实现磁盘保护的具体过程。
保护装置为加密锁,提供数据安全保护功能。
保护装置设置模块,对保护装置进行设置,将第二引导模块的代码、启动参数、密码放入保护装置,其中密码的长度为64字节,其中密码由用户自定义输入,密码相同的锁可以互相启动加密后的磁盘;
全盘加密模块,首先将磁盘的前63个扇区的数据进行备份,在***上安装磁盘过滤驱动模块,并把过滤驱动设置为随操作***启动而启动,将第一引导模块写入磁盘的前63个扇区,利用磁盘过滤驱动模块对磁盘进行加密保护,此处的加密算法采用AES算法,加密密钥随机生成;
如图1所示,对磁盘进行保护的详细步骤为:
1.***保护装置;
2.用户输入自定义的密码;
3.将第二引导模块的代码、启动参数、密码放入保护装置;
4.将磁盘的前63个扇区的数据进行备份;
5.在磁盘上安装磁盘过滤驱动模块;
6.将第一引导模块写入磁盘的前63个扇区;
7.对磁盘进行全盘加密。
在受保护装置保护的磁盘启动时:
第一引导模块,首先对保护装置进行校验,利用特定的命令,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块。
第二引导模块,替换掉磁盘读写中断,根据本发明的一个实施例,替换掉 int 13中断,当寄存器AH的值为02时,为读操作,当寄存器AH的值为03时为写操作。读写中断被替换后,对磁盘进行读取时进行解密,对磁盘进行写入时进行加密,第二引导模块读取活动分区的引导记录,此时会对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***。
磁盘过滤驱动模块,保护后的磁盘操作***启动后,通过磁盘过滤驱动模块对读磁盘操作进行解密,对写磁盘操作进行加密,磁盘过滤驱动模块对磁盘上的加密后的数据进行还原时,读取磁盘上的加密数据,对加密的数据在内存中解密,将解密后的数据写入磁盘。
如图2所示,加密后的磁盘运行时,包括如下步骤:
1.***保护装置;
2.对保护装置进行校验,校验通过则执行步骤3,否则提示错误信息;
3.从保护装置中读取第二引导模块的代码、启动参数、密码;
4.替换磁盘的int 13读写中断;
5.读取活动分区的引导记录,对引导记录进行解密;
6.执行引导记录,启动操作***;
7.对读磁盘操作在内存中进行解密,对写磁盘操作进行加密后写入磁盘。
在对保护后磁盘进行还原时,磁盘还原模块利用磁盘过滤驱动模块对整个磁盘上加密的数据进行解密,将解密后的数据写入磁盘,卸载磁盘过滤驱动模块,将磁盘的前63个扇区的内容恢复为没有保护前的数据。
如图3所示,对保护后的磁盘进行还原时的步骤如下:
1.***保护装置;
2.启动保护后的磁盘,详细启动步骤参见图2;
3.用户选择对磁盘进行还原;
4.对磁盘上的加密的数据进行解密,解密后写入磁盘,此处解密算法采用AES算法;
5.卸载磁盘过滤驱动模块;
6.将磁盘的前63个扇区的内容恢复为没有保护前的数据。
磁盘还原模块由应用层程序和磁盘过滤驱动模块两部分组成,其工作流程如图4所示。
如图4所示,应用层程序向磁盘过滤驱动模块发送还原扇区的命令及需要还原的扇区号;
磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,将解密后的数据写入磁盘上的扇区;
磁盘上的所有扇区解密完成后,应用层程序向磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令;
磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块;
应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种通过保护装置对磁盘进行保护的***,所述保护装置为具有智能卡芯片的信息安全设备,提供软件、数据保护功能,其特征在于,所述保护装置还包括:
保护装置设置模块、全盘加密模块、第一引导模块、第二引导模块、磁盘过滤驱动模块、磁盘还原模块;其中,所述第二引导模块位于所述保护装置中;
所述保护装置设置模块,用于对所述保护装置进行设置,将第二引导模块的代码、启动参数、密码放入所述保护装置;
所述全盘加密模块,将第一引导模块写入磁盘的前63个扇区,对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护;
所述第一引导模块,对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
所述第二引导模块,替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,此时对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
所述磁盘还原模块,包括应用层程序;
其中,所述应用层程序首先读取整个磁盘的最大扇区数,然后依次向所述磁盘过滤驱动模块发送还原命令及需要还原的扇区号;
其中,所述磁盘过滤驱动模块,用于对磁盘进行全盘保护;其中,操作***启动后通过磁盘过滤驱动模块对读取的数据在内存中进行解密,对写入的数据进行加密后保存在磁盘上;所述磁盘过滤驱动模块对磁盘上的加密后的数据进行还原时,读取磁盘上的加密数据,对加密的数据在内存中解密,将解密后的数据写入磁盘;
所述磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,将解密后的数据写入磁盘上的扇区;
其中,磁盘上的所有扇区解密完成后,所述应用层程序向所述磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令,磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块;应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
2.根据权利要求1所述的通过保护装置对磁盘进行保护的***,其特征在于,所述加密算法采用对称加密算法或者非对称加密算法。
3.根据权利要求1所述的通过保护装置对磁盘进行保护的***,其特征在于,所述校验包括通过校验PIN码、保护装置序列号标识信息进行身份认证。
4.根据权利要求1所述的通过保护装置对磁盘进行保护的***,其特征在于,其中密码由用户自定义输入。
5.一种通过权利要求1-4之一所述的***对磁盘进行保护的方法,其特征在于,所述方法包括:
对保护装置进行设置,将第二引导模块的代码、启动参数、密码放入保护装置;
将第一引导模块写入磁盘;
对磁盘进行全盘加密,采用磁盘过滤驱动模块对磁盘进行保护;
在磁盘上安装磁盘过滤驱动模块。
6.根据权利要求5所述的***对磁盘进行保护的方法,其特征在于,所述方法还包括:
加密后的磁盘启动时,首先运行第一引导模块,第一引导模块对保护装置进行校验,从保护装置中读取第二引导模块的代码、启动参数、密码,把控制权交给第二引导模块;
第二引导模块替换掉磁盘读写中断,对磁盘读取时进行解密,对磁盘写入时进行加密,第二引导模块读取活动分区的引导记录,对读取的引导记录进行解密,解密后执行活动分区的引导记录从而启动操作***;
操作***启动后通过磁盘过滤驱动模块对读操作进行解密,对写操作进行加密。
7.根据权利要求6所述的***对磁盘进行保护的方法,其特征在于,所述方法还包括:
对加密后的磁盘进行还原时,***所述保护装置,启动加密后的磁盘,用户选择对加密后的磁盘进行还原的操作;
应用层程序首先读取整个磁盘的最大扇区数,然后依次向磁盘过滤驱动模块发送还原命令及需要还原的扇区号,所述磁盘过滤驱动模块读取特定扇区的内容,并对读取的内容进行解密,将解密后的数据写入磁盘上的扇区;
磁盘上的所有扇区解密完成后,应用层程序向磁盘过滤驱动模块发送卸载磁盘过滤驱动模块的命令,磁盘过滤驱动模块调用自身的卸载例程卸载磁盘过滤驱动模块;
应用层程序将磁盘的前63个扇区的内容恢复为没有保护前的数据。
8.根据权利要求7所述的***对磁盘进行保护的方法,其特征在于,在将第二引导模块的代码、启动参数、密码放入保护装置的步骤中,密码由用户输入。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410057760.6A CN103870769B (zh) | 2014-02-20 | 2014-02-20 | 一种对磁盘进行保护的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410057760.6A CN103870769B (zh) | 2014-02-20 | 2014-02-20 | 一种对磁盘进行保护的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103870769A CN103870769A (zh) | 2014-06-18 |
| CN103870769B true CN103870769B (zh) | 2017-02-15 |
Family
ID=50909291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410057760.6A Active CN103870769B (zh) | 2014-02-20 | 2014-02-20 | 一种对磁盘进行保护的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103870769B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103870770A (zh) * | 2014-02-20 | 2014-06-18 | 北京深思数盾科技有限公司 | 一种对磁盘进行保护的方法及*** |
| CN111552974B (zh) * | 2020-03-19 | 2023-12-05 | 三六零数字安全科技集团有限公司 | 一种基于Windows操作***的U盘加密及解密方法 |
| CN112257122B (zh) * | 2020-10-22 | 2024-06-28 | 深圳软牛科技有限公司 | 基于t2芯片的数据处理方法、装置、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101517587A (zh) * | 2006-09-26 | 2009-08-26 | 惠普开发有限公司 | 持久安全***及方法 |
| CN102646077A (zh) * | 2012-03-28 | 2012-08-22 | 山东超越数控电子有限公司 | 一种基于可信密码模块的全盘加密的方法 |
-
2014
- 2014-02-20 CN CN201410057760.6A patent/CN103870769B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101517587A (zh) * | 2006-09-26 | 2009-08-26 | 惠普开发有限公司 | 持久安全***及方法 |
| CN102646077A (zh) * | 2012-03-28 | 2012-08-22 | 山东超越数控电子有限公司 | 一种基于可信密码模块的全盘加密的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103870769A (zh) | 2014-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104951409B (zh) | 一种基于硬件的全盘加密***及加密方法 | |
| CN103065102B (zh) | 基于虚拟磁盘的数据加密移动存储管理方法 | |
| CN100449558C (zh) | 休眠保护 | |
| CN102254119B (zh) | 一种基于指纹u盘和虚拟机的安全可移动数据存储方法 | |
| US8281388B1 (en) | Hardware secured portable storage | |
| US20070101158A1 (en) | Security region in a non-volatile memory | |
| CN100552690C (zh) | 数据管理方法 | |
| US8503674B2 (en) | Cryptographic key attack mitigation | |
| US20050108532A1 (en) | Method and system to provide a trusted channel within a computer system for a SIM device | |
| US7818567B2 (en) | Method for protecting security accounts manager (SAM) files within windows operating systems | |
| WO2010039667A2 (en) | External encryption and recovery management with hardware encrypted storage devices | |
| CN109614799B (zh) | 一种信息权鉴方法 | |
| JP2008072717A (ja) | 埋込認証を有するハードディスク・ストリーミング暗号操作 | |
| TW201535145A (zh) | 使用保護讀取儲存器安全地儲存韌體數據之系統及方法 | |
| TW200404209A (en) | Protection against memory attacks following reset | |
| CN103020493A (zh) | 一种防拷贝的软件保护与运行装置及方法 | |
| CN102150391A (zh) | 用于提供对***存储器的安全访问的***和方法 | |
| CN105678173B (zh) | 基于硬件事务内存的vTPM安全保护方法 | |
| CN101334827A (zh) | 磁盘加密方法及实现该方法的磁盘加密*** | |
| CN103870769B (zh) | 一种对磁盘进行保护的方法及*** | |
| CN108038385A (zh) | 一种数据处理方法、移动终端及计算机可读介质 | |
| CN102930223A (zh) | 一种磁盘数据保护方法和*** | |
| CN105303093A (zh) | 智能密码钥匙密码验证方法 | |
| CN103617127A (zh) | 带分区的存储装置及存储器分区的方法 | |
| CN202217282U (zh) | 一种基于指纹u盘和虚拟机的安全数据存储*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Applicant after: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. Address before: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Applicant before: BEIJING SHENSI SHUDUN TECHNOLOGY Co.,Ltd. |
|
| COR | Change of bibliographic data | ||
| CB02 | Change of applicant information |
Address after: 100193 Beijing, Haidian District, East West Road, No. 10, East Hospital, building No. 5, floor 5, layer 510 Applicant after: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. Address before: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Applicant before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |