CN107273769A - 一种电子设备的保护方法和装置 - Google Patents
一种电子设备的保护方法和装置 Download PDFInfo
- Publication number
- CN107273769A CN107273769A CN201710562050.2A CN201710562050A CN107273769A CN 107273769 A CN107273769 A CN 107273769A CN 201710562050 A CN201710562050 A CN 201710562050A CN 107273769 A CN107273769 A CN 107273769A
- Authority
- CN
- China
- Prior art keywords
- file
- electronic equipment
- disk
- decryption
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种电子设备的保护方法,用于提高电子设备中存储的数据的安全性。该方法包括:对电子设备的磁盘加密;在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。本申请还公开了一种电子设备的保护装置。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种电子设备的保护方法和装置。
背景技术
磁盘是电子设备中重要的存储单元,因此,用户大多重要数据文件都存储在电子设备的磁盘中。随着云计算和虚拟机技术的应用,数据安全问题越来越受到用户的重视。为了提高电子设备使用的安全性,避免电子设备内的存储的数据泄漏,有必要对电子设备的磁盘中的数据进行保护。
发明内容
本申请实施例提供一种电子设备的保护方法和装置,用于提高电子设备中存储的数据的安全性。
本申请实施例采用下述技术方案:
一种电子设备的保护方法,其特征在于,包括:对电子设备的磁盘加密;在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密;对添加磁盘解密文件的初始根文件***文件加密;在加密的初始根文件***文件中***冗余代码,以修改***冗余代码的初始根文件***文件的文件幻数;在电子设备的内核文件中添加对应的解密文件,其中,所述内核文件用于引导执行所述***冗余代码的初始根文件***文件,所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
一种电子设备的保护方法,包括:对电子设备的磁盘加密;在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。
可选地,在电子设备内的初始根文件***文件内添加磁盘解密文件之后,所述方法还包括:对添加磁盘解密文件的初始根文件***文件加密,并在加密的初始根文件***文件中***冗余代码;在电子设备的内核文件中添加对应的解密文件,其中,所述内核文件用于引导执行所述***冗余代码的初始根文件***文件;所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
可选地,在电子设备的内核文件中添加对应的解密文件之后,所述方法还包括:禁用所述内核文件中的第一预设脚本文件,以限制所述电子设备的启动模式。
可选地,在电子设备的内核文件中添加对应的解密文件之后,所述方法还包括:禁用所述内核文件中的第二预设脚本文件,以关闭所述电子设备的单用户登录模式。
可选地,对电子设备的磁盘加密,具体包括:对电子设备的磁盘分区中存储文件数据的磁盘单元加密。
一种电子设备的保护装置,包括:磁盘加密模块,用于对电子设备的磁盘加密;文件添加模块,用于在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。
可选地,所述装置还包括有加密解密模块,其中,所述加密解密模块,用于对添加磁盘解密文件的初始根文件***文件加密,并在加密的初始根文件***文件中***冗余代码;以及,在电子设备的内核文件中添加对应的解密文件,其中,所述内核文件用于引导执行所述***冗余代码的初始根文件***文件;所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
可选地,所述装置还包括有第一脚本文件禁用模块和第二脚本文件禁用模块,其中,所述第一脚本文件禁用模块,用于禁用所述内核文件中的第一预设脚本文件,以限制所述电子设备的启动模式;所述第二脚本文件禁用模块,用于禁用所述内核文件中的第二预设脚本文件,以关闭所述电子设备的单用户登录模式。
可选地,所述磁盘加密模块,具体用于对电子设备的磁盘分区中存储文件数据的磁盘单元加密。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:通过对电子设备的磁盘进行加密,这样,只有拥有密钥权限的用户才能对磁盘进行解密,保证了电子设备的安全性。
另外,在电子设备内的初始根文件***文件内添加磁盘解密文件,使得电子设备内的操作***启动时通过执行磁盘解密文件,验证与电子设备连接的ukey设备中的密钥,根据验证结果,确定是否对所述磁盘解密,相对于采用手动输入密钥的方式,无需用户手动操作,在保证安全电子设备的数据安全同时,简化了用户的操作。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例1提供的电子设备的保护方法实现流程示意图;
图2为本申请实施例2提供的电子设备的保护方法应用场景示意图;
图3为本申请实施例3提供的电子设备的保护装置结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
实施例1
实施例1提供了一种电子设备的保护方法,用于提高电子设备中存储的数据的安全性。该方法的具体流程示意图如图1所示,包括下述步骤:
步骤S11:对电子设备的磁盘加密。
该实施例中的电子设备,可以具体为服务器、个人电脑等。在这些电子设备中通常安装有操作***,例如,基于linux内核的Ubuntu***、openSUSE***或麒麟***等。
该步骤中对电子设备的磁盘进行加密时,可以选取与电子设备的操作***相匹配的加密工具,例如,电子设备的操作***为Ubuntu***时,可以采用加密工具cryptsetup对电子设备的磁盘进行加密,具体操作时,可以在电子设备中安装Ubuntu***时,启用cryptsetup工具以对硬盘加密。
另外,对电子设备的磁盘进行加密时,具体可以对电子设备的磁盘分区中存储数据的磁盘单元进行加密,对电子设备的磁盘分区中没有存储数据的磁盘单元不执行加密操作。
该处磁盘单元可以包括若干个扇区,扇区为磁盘分区中最小的逻辑单位,其容量很小,而数据(文件数据)一般较大,因此,可以将多个扇区组成的磁盘单元作为一个基本的判断单位,来判断其中是否存储有文件数据,只有在判断出磁盘单元已经存储了文件数据的情况下,才会对该磁盘单元块进行加密处理,而对于没有存储文件数据的磁盘单元,可以不进行加密处理,从而不需要对整个电子设备的所有磁盘单元进行加密,大大缩短了加密时间,提高了处理效率。
步骤S12:在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。
该实施例中的ukey设备(Universal Key Device),可以是利用USB(通用串行总线)接口与电子设备相连的、具有密码验证功能的小型存储设备。
如前所述,电子设备内一般安装有操作***,为了使电子设备上电时挂载初始根文件***文件、进而引导操作***启动,电子设备中通常还嵌入有内核文件,具体如vmlinuz文件。
上述内核文件启动时,一般会先执行初始根文件***文件,完成加载驱动模块等任务,该处的初始根文件***文件,可以具体为initrd.img文件。
一般而言,在电子设备中还可以安装多台虚拟机,这些虚拟机中还可以运行着操作***,因此,该步骤中的电子设备内的操作***,可以是电子设备中的主操作***,还可以是虚拟机中安装的子操作***程序,其中,所述虚拟机安装于所述电子设备的主操作***中。
该实施例中,在电子设备内的初始根文件***文件内添加磁盘解密文件,主要作用是在电子设备内的操作***启动时,由内核文件控制,将添加磁盘解密文件的初始根文件***文件加载到内存中,完成加载USB驱动、与ukey设备进行通信等任务,最终通过验证ukey设备中的密钥来确定是否对磁盘解密。
其中,ukey设备与电子设备之间可以是通过USB连接。具体验证ukey设备中的密钥时,例如,当ukey设备中的密钥验证通过时,对磁盘进行解密,操作***将继续启动;当ukey设备中的密钥未验证通过或者是未检测到ukey设备时,不对磁盘解密,操作***将无法继续启动。
采用实施例1提供的该方法,通过对电子设备的磁盘进行加密,这样,只有拥有密钥权限的用户才能对磁盘进行解密,保证了电子设备的安全性。
另外,在电子设备内的初始根文件***文件内添加磁盘解密文件,使得电子设备内的操作***启动时通过执行磁盘解密文件,验证与电子设备连接的ukey设备中的密钥,根据验证结果,确定是否对所述磁盘解密,相对于采用手动输入密钥的方式,无需用户手动操作,在保证安全电子设备的数据安全同时,简化了用户的操作。
该实施例选择对电子设备的磁盘进行加密,使电子设备内的操作***启动时,通过验证与电子设备连接的ukey设备中的密钥来确定是否对磁盘解密,相对于***加密(如,电子设备开机时输入用户名和密码的登录认证方法)的方法,还可以避免电子设备磁盘被拆解后安装到其它电子设备上而造成数据泄露的风险。
实施例1的步骤S12中,在电子设备内的初始根文件***文件内添加磁盘解密文件之后,还可以对添加磁盘解密文件的初始根文件***文件加密,并在加密的初始根文件***文件中***冗余代码;***冗余代码的作用有:一、修改***冗余代码的初始根文件***文件的文件幻数,使该文件与原始文件看起来相似,以迷惑破解者;二、内核文件挂载***冗余代码的初始根文件***文件时,能够自动跳过冗余代码,即使破解者获破解(解密)了初始根文件***文件,也无法运行或导致运行出错。
在加密的初始根文件***文件中***冗余代码之后,还可以在电子设备的内核文件中添加对应的解密文件,其中,所述内核文件用于引导执行所述***冗余代码的初始根文件***文件;所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
此外,在电子设备的内核文件中添加对应的解密文件之后,还可以禁用所述内核文件中的第一预设脚本文件,以限制所述电子设备的启动模式,因为电子设备的***一般预留多种启动模式,如安全模式、带网络连接的安全模式、最后一次正确的配置模式等,通过上述禁用第一预设脚本文件的操作,只保留一种启动模式,防止非法用户通过其它启动模式,跳过密钥解密磁盘的步骤而成功启动服务器。
在电子设备的内核文件中添加对应的解密文件之后,还可以禁用所述内核文件中的第二预设脚本文件,以关闭所述电子设备的单用户登录模式,因为在单用户模式下,用户有可能可以免密钥登录。
实施例2
为详细说明实施例1提供的电子设备保护方法,以下将结合一具体实施实例进行说明。
该实施例中的电子设备具体为服务器,以下首先对本申请的一种适用场景作简要介绍。如图2所示,图2中的最***为服务器10,在服务器10上安装有Ubuntu服务器***20,通常可以在上述服务器10上模拟出多台虚拟机30(Virtual Box),即在该服务器10的磁盘上为每虚拟机30划分一段存储空间,虚拟机30中同样运行着Ubuntu***40,一般在Ubuntu***40中运行着服务程序(未图示),这些服务程序能够响应于客户端的操作,为客户端提供服务。另外,ukey设备(未图示)可利用USB接口与上述服务器10连接。
现有技术中并未对服务器10的磁盘进行加密,如果这些磁盘被非法获取,则安装在磁盘上服务程序中的程序代码以及数据等则面临着泄漏的风险。因此,该实施例从以下两个维度对服务器磁盘中的数据进行保护:
1)对服务器中的磁盘进行加密;
2)通过验证ukey设备中的密钥来确定是否对磁盘解密。由于服务器中的虚拟机数量通常较多,每个虚拟机中的Ubuntu***(或者说是为每个虚拟机中的Ubuntu***所分配的磁盘)对应不同的密钥,避免服务器上电启动后,需要用户多次、手动输入密钥对每个虚拟机中的***对应的磁盘进行解密。
以下将从服务器中的1)磁盘加密、2)linxu内核改造和初始根文件***文件改造、3)ukey固件开发等,对本实施例中的服务器保护方法进行详细说明。
1)磁盘加密(对应于实施例1中的步骤S11)。
为保障服务器10的磁盘中的数据不被盗用或复制,该实施例可以对服务器磁盘进行加密。Ubuntu***是Linux***的发行版,因此,该实施例可以采用cryptsetup(Linux下的分区加密工具),在安装Ubuntu***时对硬盘进行加密。
此外,该实施例不仅可以对Ubuntu服务器***20对应的磁盘进行加密,还对虚拟机30中运行的Ubuntu***40对应的磁盘进行加密,加密之后在ukey设备中配置对应的密钥。
2)linux内核改造以及初始根文件***文件改造(对应于实施例1中的步骤S12,该处主要对内核文件vmlinuz,以及初始根文件***文件initrd.img进行修改)。
该处执行linux内核改造和初始根文件***文件改造,所要实现的主要目的有两个,一、实现Ubuntu服务器***20以及虚拟机30中运行的Ubuntu***40启动时,通过验证ukey设备中的密钥来确定是否对磁盘解密;二、使Ubuntu服务器***20以及Ubuntu***40均在安全、可信的环境中运行,进一步保证电子设备中存储的数据的安全性。以下将分两个部分对linux内核改造和初始根文件***文件改造进行说明。
一、硬盘自动解密程序。通过对Ubuntu的***初始根文件***文件initrd.img进行更新,实现Ubuntu服务器***20以及虚拟机30中运行的Ubuntu***40启动时,通过验证ukey设备中的密钥来确定是否对磁盘解密。
该实施例中的硬盘自动解密程序sec_boxOpen使用C语言开发实现(libUSB负责USB通信,libcryptsetup负责硬盘解密,主控程序sec_boxOpen实现自动从ukey获取密钥然后对磁盘执行解密程序)。其中,磁盘解密过程发生在linux内核挂载文件***之前,此时内核使用initrd.img作为临时文件***,进行各硬件设备的引导和挂载。
具体可以是开发完成了上述磁盘自动解密程序sec_boxOpen之后,将修改前的initrd.img文件(cpio格式)解压,把磁盘自动解密程序sec_boxOpen添加到initrd.img文件中(还可以修改相关脚本以关闭debug信息,禁止单用户登录模式等,后续介绍),最终重新打包上述修改后的initrd.img文件。
最终对内核文件vmlinuz进行修改,使修改后的vmlinuz文件能够识别修改后的initrd.img文件,并将修改后的initrd.img文件加载到内存中执行进而使使Ubuntu服务器***20以及虚拟机30中运行的Ubuntu***40启动时,通过验证ukey设备中的密钥来确定是否对磁盘解密
二、使服务器***启动及磁盘解密都在可信环境下运行,具体包括:
对内核文件vmlinuz进行修改,具体可以是关闭linux-source-3.13.0/init/main.c文件中的不安全初始化脚本,只保留/sbin/init***初始化脚本。因为linux内核***预留多种启动模式,如安全模式、带网络连接的安全模式、最后一次正确的配置模式等,通过上述关闭不安全初始化脚本的操作,只保留一种启动模式,防止非法用户通过其它启动模式,跳过密钥解密磁盘的步骤而成功启动服务器。
对添加磁盘自动解密程序后的initrd.img文件进行修改,具体可以是关闭debug信息,在init脚本中设置quiet=y可以隐藏控制台调试信息。关闭服务器的单用户登录模式,因为在单用户模式下,用户有可能可以免密钥登录。
然后对经上述操作后的initrd.img文件进行加密,具体可以采用rc4加密算法,并添加冗余前缀构造假的magic number,让initrd.img文件看起来还像添加磁盘自动解密程序之前未进行任何改造的initrd.img文件。在***内核vmlinuz文件的linux-source-3.13.0/init/initramfs.c中添加initrd.img文件解密程序,使initrd.img文件执行时,跳过initrd.img中的冗余前缀,执行rc4解密。通过上述操作,可以防止攻击者篡改initrd.img改变脚本,控制磁盘解密流程,这样Linux内核文件vmlinuz,以及初始根文件***文件initrd.img被篡改后将不会成功启动***并解密磁盘。
3)ukey固件开发
该实施例中采用的ukey设备,其芯片的具体型号可以为市场上华大信安公司的IS8U192A,可以有效防止固件被非法获取和逆向。
Ukey固件开发可以使用集成开发环境Keil,通过配置ukey设备中的固件,使ukey设备与服务器主机之间通过USB通信,并实现如下功能:ukey设备配置为HID免驱模式;实现服务器与ukey设备之间通过USB通信的数据的加密与解密;自定义加密与解密时的安全握手协议;ukey设备中的密钥可以配置管理等。
采用实施例2提供的该方法,在服务器中安装的***启动时,通过验证ukey设备中的密钥来确定是否对磁盘解密,相对于采用手动输入密钥的方式,无需用户手动操作,在保证安全电子设备的同时,简化了用户的操作。
另外,通过使服务器10中的Ubuntu服务器***20以及虚拟机30中运行的Ubuntu***40启动时,分别通过验证ukey设备中的密钥来确定是否对磁盘解密,相当于对服务器中的磁盘实行双重加密,进一步提高了服务器磁盘中存储的数据的安全性。
另外,本实施例基于ukey设备安全性高、技术规范一致性强、操作***兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高服务器磁盘数据的安全性。
实施例3
与实施例1提供的方法对应,本申请还提供一种电子设备的保护装置300实施例,用于提高电子设备中存储的数据的安全性。该装置的具体结构示意图如图3所示,包括:
磁盘加密模块31,可以用于对电子设备的磁盘加密。具体可以用于对电子设备的磁盘分区中存储文件数据的磁盘单元加密。
文件添加模块32,可以用于在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。
如图3所示,上述装置还可以包括有加密解密模块33,其中,所述加密解密模块33,用于对添加磁盘解密文件的初始根文件***文件加密,并在加密的初始根文件***文件中***冗余代码;以及,在电子设备的内核文件中添加对应的解密文件,其中,所述内核文件用于引导执行所述***冗余代码的初始根文件***文件;所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
上述装置还包括第一脚本文件禁用模块和第二脚本文件禁用模块,其中,所述第一脚本文件禁用模块,可以用于禁用所述内核文件中的第一预设脚本文件,以限制所述电子设备的启动模式;所述第二脚本文件禁用模块,可以用于禁用所述内核文件中的第二预设脚本文件,以关闭所述电子设备的单用户登录模式。
采用实施例3提供的该装置,通过对电子设备的磁盘进行加密,这样,只有拥有密钥权限的用户才能对磁盘进行解密,保证了电子设备的安全性。
另外,在电子设备内的初始根文件***文件内添加磁盘解密文件,使得电子设备内的操作***启动时通过执行磁盘解密文件,验证与电子设备连接的ukey设备中的密钥,根据验证结果,确定是否对所述磁盘解密,相对于采用手动输入密钥的方式,无需用户手动操作,在保证安全电子设备的数据安全同时,简化了用户的操作。
该实施例选择对电子设备的磁盘进行加密,使电子设备内的操作***启动时,通过验证ukey设备中的密钥来确定是否对磁盘解密,相对于***加密(如,电子设备开机时输入用户名和密码的登录认证方法)的方法,还可以避免电子设备磁盘被拆解后安装到其它电子设备上而造成数据泄露的风险。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种电子设备的保护方法,其特征在于,包括:
对电子设备的磁盘加密;
在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥,根据验证结果,确定是否对所述磁盘解密;
对添加磁盘解密文件的初始根文件***文件加密;
在加密的初始根文件***文件中***冗余代码,以修改***冗余代码的初始根文件***文件的文件幻数;
在电子设备的内核文件中添加对应的解密文件,其中,所述内核文件用于引导执行所述***冗余代码的初始根文件***文件,所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
2.一种电子设备的保护方法,其特征在于,包括:
对电子设备的磁盘加密;
在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:
验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。
3.根据权利要求2所述的方法,其特征在于,在电子设备内的初始根文件***文件内添加磁盘解密文件之后,所述方法还包括:
对添加磁盘解密文件的初始根文件***文件加密,并在加密的初始根文件***文件中***冗余代码;
在电子设备的内核文件中添加对应的解密文件,其中,
所述内核文件用于引导执行所述***冗余代码的初始根文件***文件;所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
4.根据权利要求3所述的方法,其特征在于,在电子设备的内核文件中添加对应的解密文件之后,所述方法还包括:
禁用所述内核文件中的第一预设脚本文件,以限制所述电子设备的启动模式。
5.根据权利要求3所述的方法,其特征在于,在电子设备的内核文件中添加对应的解密文件之后,所述方法还包括:
禁用所述内核文件中的第二预设脚本文件,以关闭所述电子设备的单用户登录模式。
6.根据权利要求2至5任一项所述的方法,其特征在于,对电子设备的磁盘加密,具体包括:
对电子设备的磁盘分区中存储文件数据的磁盘单元加密。
7.一种电子设备的保护装置,其特征在于,包括:
磁盘加密模块,用于对电子设备的磁盘加密;
文件添加模块,用于在电子设备内的初始根文件***文件内添加磁盘解密文件,以使得所述电子设备内的操作***启动时通过执行所述磁盘解密文件,完成下述操作:验证与所述电子设备连接的ukey设备中的密钥;根据验证结果,确定是否对所述磁盘解密。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括有加密解密模块,其中,
所述加密解密模块,用于对添加磁盘解密文件的初始根文件***文件加密,并在加密的初始根文件***文件中***冗余代码;以及,
在电子设备的内核文件中添加对应的解密文件,其中,
所述内核文件用于引导执行所述***冗余代码的初始根文件***文件;所述解密文件执行时,用于对***冗余代码的初始根文件***文件进行解密。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括有第一脚本文件禁用模块和第二脚本文件禁用模块,其中,
所述第一脚本文件禁用模块,用于禁用所述内核文件中的第一预设脚本文件,以限制所述电子设备的启动模式;
所述第二脚本文件禁用模块,用于禁用所述内核文件中的第二预设脚本文件,以关闭所述电子设备的单用户登录模式。
10.根据权利要求7至9任一项所述的装置,其特征在于,所述磁盘加密模块,具体用于对电子设备的磁盘分区中存储文件数据的磁盘单元加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710562050.2A CN107273769A (zh) | 2017-07-11 | 2017-07-11 | 一种电子设备的保护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710562050.2A CN107273769A (zh) | 2017-07-11 | 2017-07-11 | 一种电子设备的保护方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107273769A true CN107273769A (zh) | 2017-10-20 |
Family
ID=60072012
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710562050.2A Pending CN107273769A (zh) | 2017-07-11 | 2017-07-11 | 一种电子设备的保护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107273769A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108287988A (zh) * | 2017-12-25 | 2018-07-17 | 武汉华工安鼎信息技术有限责任公司 | 用于移动终端文件的安全管理***及方法 |
| CN110188555A (zh) * | 2019-05-28 | 2019-08-30 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、***及相关组件 |
| CN110196718A (zh) * | 2018-05-10 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 脚本混淆方法 |
| CN110457920A (zh) * | 2019-07-30 | 2019-11-15 | 苏州赛器信息安全科技有限公司 | 一种数据加密方法及加密装置 |
| CN110874467A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置、***以及处理器、存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104636685A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种龙芯硬件平台上的linux操作***保护方法 |
| CN104871174A (zh) * | 2012-12-14 | 2015-08-26 | 国际商业机器公司 | 用于“自带”管理的引导机制 |
-
2017
- 2017-07-11 CN CN201710562050.2A patent/CN107273769A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104871174A (zh) * | 2012-12-14 | 2015-08-26 | 国际商业机器公司 | 用于“自带”管理的引导机制 |
| CN104636685A (zh) * | 2015-02-25 | 2015-05-20 | 山东超越数控电子有限公司 | 一种龙芯硬件平台上的linux操作***保护方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108287988A (zh) * | 2017-12-25 | 2018-07-17 | 武汉华工安鼎信息技术有限责任公司 | 用于移动终端文件的安全管理***及方法 |
| CN110196718A (zh) * | 2018-05-10 | 2019-09-03 | 腾讯科技(深圳)有限公司 | 脚本混淆方法 |
| CN110874467A (zh) * | 2018-08-29 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置、***以及处理器、存储介质 |
| CN110874467B (zh) * | 2018-08-29 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 信息处理方法、装置、***以及处理器、存储介质 |
| CN110188555A (zh) * | 2019-05-28 | 2019-08-30 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、***及相关组件 |
| CN110188555B (zh) * | 2019-05-28 | 2023-09-05 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、***及相关组件 |
| CN110457920A (zh) * | 2019-07-30 | 2019-11-15 | 苏州赛器信息安全科技有限公司 | 一种数据加密方法及加密装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107273769A (zh) | 一种电子设备的保护方法和装置 | |
| CN102208000B (zh) | 为虚拟机镜像提供安全机制的方法和*** | |
| CN111723383B (zh) | 数据存储、验证方法及装置 | |
| CN103843006B (zh) | 用于向用户终端配备操作***的方法和设备 | |
| CN103748594B (zh) | 针对arm*trustzonetm实现的基于固件的可信平台模块 | |
| CN109313690A (zh) | 自包含的加密引导策略验证 | |
| CN104462965B (zh) | 应用程序完整性验证方法及网络设备 | |
| US8171275B2 (en) | ROM BIOS based trusted encrypted operating system | |
| CN102624699B (zh) | 一种保护数据的方法和*** | |
| CN107679393B (zh) | 基于可信执行环境的Android完整性验证方法和装置 | |
| US9720721B2 (en) | Protected guests in a hypervisor controlled system | |
| CA2618544C (en) | Rom bios based trusted encrypted operating system | |
| CN109669734A (zh) | 用于启动设备的方法和装置 | |
| CN106778283A (zh) | 一种***分区关键数据的保护方法及*** | |
| CN105308610A (zh) | 用于设备上的平台和用户应用安全性的方法和*** | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| CN107315945B (zh) | 一种电子设备的磁盘解密方法和装置 | |
| CN104794394A (zh) | 一种虚拟机启动校验的方法及装置 | |
| CN103970540B (zh) | 关键函数安全调用方法及装置 | |
| CN107092838A (zh) | 一种硬盘的安全访问控制方法及一种硬盘 | |
| CN106557682B (zh) | 加密狗的授权验证方法及装置 | |
| CN104504309A (zh) | 应用程序数据加密的方法及终端 | |
| CN111310173A (zh) | 一种可信芯片的终端虚拟机身份认证方法及*** | |
| CN111400771A (zh) | 目标分区的校验方法及装置、存储介质、计算机设备 | |
| CN114816549B (zh) | 一种保护bootloader及其环境变量的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100083 Beijing, Haidian District Xueyuan Road 30 days building A 20 floor Applicant after: Beijing Bang Bang Safety Technology Co. Ltd. Address before: 100083 Beijing, Haidian District Xueyuan Road 30 days building A 20 floor Applicant before: Yangpuweiye Technology Limited |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171020 |