CN101763319A - 一种磁盘全盘加密系统及方法 - Google Patents
一种磁盘全盘加密系统及方法 Download PDFInfo
- Publication number
- CN101763319A CN101763319A CN201010019425A CN201010019425A CN101763319A CN 101763319 A CN101763319 A CN 101763319A CN 201010019425 A CN201010019425 A CN 201010019425A CN 201010019425 A CN201010019425 A CN 201010019425A CN 101763319 A CN101763319 A CN 101763319A
- Authority
- CN
- China
- Prior art keywords
- disk
- file
- encrypting
- data
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种磁盘全盘加密系统及方法,涉及计算机系统安全领域,用以解决现有计算机系统的保密措施只是限制了其他用户使用计算机,却无法防止存储在该计算机上的数据泄密的问题。系统包括:拦截单元,获取单元,加密解密单元,数据存取单元。方法包括:拦截步骤,获取步骤,加密解密步骤,存取步骤。由于本发明提出了拦截对本地磁盘读写请求的机制,并在拦截后,通过用户提供的验证物对读取的文件解密,以及对写入的文件加密,从而实现本地磁盘的全盘加密,进而防止了本地磁盘数据的泄露。
Description
技术领域
本发明涉及计算机系统安全领域,特别是涉及一种磁盘全盘加密系统及方法。
背景技术
目前,为了提高计算机系统的安全性,许多计算机厂家均推出了带有各种安全措施的电脑产品,如指纹锁等,这些保密措施的原理参见图1所示,主要由用户提供验证物(密码、指纹锁等),之后系统验证验证物是否正确,若正确,则继续执行,否则提示用户重新提供验证物。由于这些保密措施一般只是验证用户提供的验证物是否正确,因而,其安全性非常有限。对于这种类型的保密措施,只需简单地修改系统运行流程即可实现破解,其原理参见图2所示,破解后可跳过由用户提供验证物(密码、指纹锁等)以及系统验证验证物是否正确的步骤,直接继续执行。
因此,这些安全措施虽然能够增加一定的安全性,但很容易被破解,即使这些安全措施能够做到其他用户无法破解(从理论上看,根本无法做到),这些安全措施也有其致命弱点,即只能保证在没有合法授权(如没有合法的指纹输入等)的情况下,其他用户无法启动计算机,但无法防止存储在磁盘上的数据不被泄密,其他用户只需将该计算机上的磁盘挂到其它计算机上,即可轻易拷贝其中的数据。这些安全措施只是限制了其他用户使用该计算机,却无法防止存储在该计算机上数据的泄密。
发明内容
本发明提供了一种磁盘全盘加密系统及方法,用以解决现有计算机系统的保密措施只是限制了其他用户使用计算机,却无法防止存储在该计算机上的数据泄密的问题。
本发明的磁盘全盘加密系统,包括:拦截单元,用于拦截对本地磁盘的数据读写请求;获取单元,用于获取用户提供的验证物;加密解密单元,用于通过验证物对所述读请求指向的文件解密,以及对所述写请求指向的文件加密;数据存取单元,用于从本地磁盘读取所述读请求指向的未解密文件,并交由加密解密单元解密;以及向本地磁盘写入所述写请求指向的经加密解密单元加密后的文件。
本发明的磁盘全盘加密方法,包括下列步骤:拦截步骤:拦截对本地磁盘的数据读写请求;获取步骤:获取用户提供的验证物;加密解密步骤:通过验证物对所述读请求指向的文件解密,以及对所述写请求指向的文件加密;存取步骤:从本地磁盘读取所述读请求指向的未解密文件;以及向本地磁盘写入所述写请求指向的经加密后的文件。
本发明有益效果如下:
由于本发明提出了拦截对本地磁盘读写请求的机制,并在拦截后,通过用户提供的验证物对读取的文件解密,以及对写入的文件加密,从而实现本地磁盘的全盘加密,进而防止了本地磁盘数据的泄露。
附图说明
图1为现有计算机保密措施的原理图;
图2为现有破解计算机保密措施的原理图;
图3为本发明实施例1的系统结构示意图;
图4为本发明实施例4的步骤流程图;
图5为本发明实施例5的流程图;
图6为本发明实施例6的流程图。
具体实施方式
为了防止存储在计算机上的数据泄密,本发明提供了一种磁盘全盘加密系统及方法,主要原理是通过拦截操作系统或应用软件等对磁盘数据的读写请求,实现对磁盘数据的实时加密和解密操作,当系统向磁盘写入数据时,首先获得控制权,以用户输入的密码或其它验证物对要写入的数据进行加密操作,然后将加密后的数据写入磁盘的指定位置,反之,当程序读取磁盘数据时,同样能够获得优先控制权,到磁盘的指定位置读取加密数据并根据用户输入的密码或其它验证物进行解密操作,然后将解密后的数据提交给相应的程序。这样,在操作系统或应用软件看来,磁盘上存储的数据和未加密时的数据完全一样,能够以正常的方式直接使用。同样,用户也感觉不到本发明系统及方法的存在,可以不改变任何习惯而直接使用计算机。以下通过若干实施例详细说明。
实施例1:本实施例提供的系统,参见图3所示,包括:拦截单元、获取单元、加密解密单元和数据存取单元。
拦截单元,用于拦截对本地磁盘的数据读写请求。
获取单元,用于获取用户提供的验证物。
加密解密单元,用于通过验证物对读请求指向的文件解密,以及对写请求指向的文件加密。
数据存取单元,用于从本地磁盘读取读请求指向的未解密文件,并交由加密解密单元解密;以及向本地磁盘写入写请求指向的经加密解密单元加密后的文件。
实施例2:基于上述实施例1,以流程的方式详述在计算机启动过程中,各个单元的处理过程。
首先、在计算机启动后,会加载操作系统程序,即向本地磁盘发出读请求,指向操作系统文件。此时拦截单元会拦截该读请求,并提示用户输入密码,在密码输入阶段,虽然类似于现有技术的表象,但其验证密码的主要目的并不是阻止其他人使用该计算机,而是将该密码作为验证物用于后续的解密过程。
其次,用户输入密码后,获取单元获取该密码并作为验证物。
其后,数据存取单元从本地磁盘读取未解密的操作系统文件,并交由加密解密单元解密。
之后,加密解密单元对获取单元获取的验证物作单向散列运算,得到散列值。并用该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未解密的操作系统文件进行解密。
最后,若用户输入的密码与最初加密操作系统文件所用密码一致(即散列值一致),则可完整还原操作系统文件,进而成功加载操作系统,实现计算机正常开机;否则,由于密码不一致,还原的操作系统文件为乱码(或不可用),导致无法正常开机。
实施例3、接续实施例2,在计算机正常启动后,用户向本地磁盘存储影音文件时各个单元的处理过程。
首先、用户向本地磁盘拷贝影音文件,此时拦截单元会拦截该写请求。
其次,获取单元以正常启动计算机时用户提供的密码作为验证物。
其后,加密解密单元对该验证物作单向散列运算,得到散列值。并用该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未加密的影音文件进行加密。
之后,数据存取单元向本地磁盘的指定位置写入经由加密解密单元加密后的影音文件。
最后,本地磁盘存储加密后的影音文件,以备后续调用。
实施例4、本实施例的方法,参见图4所示,包括下列主要步骤:
S1、拦截对本地磁盘的数据读写请求。
S2、获取用户提供的验证物。
S3、通过验证物对读请求指向的文件解密,以及对写请求指向的文件加密。
S4、从本地磁盘读取读请求指向的未解密文件;以及向本地磁盘写入所述写请求指向的经加密后的文件。
实施例5、基于上述实施例4,以流程的方式详述计算机启动过程。
在计算机上安装了本发明的系统后,会执行本发明方法的流程,相应的计算机的启动过程会被改变,本实施例中称本发明系统为Disk Lock。参见图5所示,计算机的实际启动过程如下:
首先、在启动计算机的初始阶段,即在调用操作系统文件之前,先执行Disk Lock。
其次、Disk Lock要求用户输入密码。在密码输入阶段,虽然类似于现有技术的表象,但其验证密码的主要目的并不是阻止其他人使用该计算机,而是将该密码作为验证物用于后续的解密过程。
其后、将用户输入的密码作单向散列运算,得到散列值。
之后,判断上述得到散列值与本地磁盘存储的散列值是否相同。如果相同,则读取未解密的操作系统文件后,用该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未解密的操作系统文件进行解密,可完整还原操作系统文件,进而成功加载操作系统,实现计算机正常开机,用户可正常使用该计算机;如果不同,则读取未解密的操作系统文件后,用该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未解密的操作系统文件进行解密,还原的操作系统文件为乱码(或不可用),导致无法正常开机,用户只能重新启动计算机,重复上述步骤。
实施例6、接续实施例5,在计算机正常启动后,用户向本地磁盘读写纯文本文件时的过程。
在计算机上安装了本发明的系统后,会执行本发明方法的流程,相应的本地磁盘读写过程会被改变,本实施例中称本发明系统为Disk Lock。参见图6所示,读写过程如下:
首先、用户通过应用程序向本地磁盘拷贝纯文本文件。
其次,上述纯文本文件作为明文数据,经操作系统处理后,提交写入本地磁盘的请求。
其后,Disk Lock拦截上述写入请求,以正常启动计算机时用户输入的密码作为验证物,并对该验证物作单向散列运算,得到散列值。用该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未加密的纯文本文件进行加密,得到密文数据。
之后,向本地磁盘的指定位置写入上述密文数据。
最后,本地磁盘存储该密文数据,以备后续调用上述纯文本文件。
读取纯文本文件的流程与上述内容相应,包括:读取密文数据;拦截并解密为明文数据;经由操作系统处理后,由应用软件向用户提供纯文本文件的过程。在此不再赘述。
上述各个实施例中涉及的加密算法,有多种加密算法供用户选择,根据现代密码学的原理我们可知,在没有密钥的情况下,即使破解者在知道加密算法等各种前提下,要想解密加密后的数据,也是非常困难的,当用户设置的密钥长度达到16个字符以上时,在现有计算机运算速度的条件下,从理论上分析,要想解密加密后的数据,所需的时间也是以百万年为计数单位的。所以本发明可确保本地磁盘的读写安全。
上述各个实施例中对磁盘数据的加密,从加密的层次上来划分,有磁盘级(扇区级)加密方法和文件级加密方法两大类。各实施例优选磁盘级的加密,这一级别的加密方法与文件级别的加密方式相比,主要优点是:加密强度高,安全性好。由于这一级别的加密方式直接对磁盘物理扇区进行加密,不考虑文件等存储数据的逻辑概念,在这种加密方式下,任何存储在磁盘上的数据均是加密的。操作系统一般会在临时目录等地方临时存储这些文件的备份文件,虽然一般情况下,这些临时文件在使用后均会被删除,但由于各种原因,系统在创建临时文件后,有可能会遗漏临时文件而没有及时删除这些临时文件。另外,从理论上来说,即使临时文件被删除,只要这些临时文件存储的数据区没有被覆盖或做过加密处理等操作,就能容易地通过反删除等手段重新获得,因此,采用磁盘级的加密方式要较文件级的加密方式安全。
综上,在密码输入阶段,虽然提供了类似于现有技术的表象,但其验证密码的主要目的并不是想阻止其他人使用该计算机。即使其他用户通过修改计算机启动流程,实现了不需输入密码即可继续执行的目的,但由于没有正确的密码,系统会用不正确的密码去解密磁盘数据,在这种情况下,“解密”后的数据只会更混乱(因为用不正确的密码去解密相当于用这个不正确的密码去加密),因此,通过修改流程的方法是无法破解的。
由于磁盘数据被加密,要想使用磁盘数据,必须对其进行解密操作,为方便用户操作和不改变用户的计算机使用习惯,本发明采用的是动态加密和解密的方法。在具体实现中,在操作系统和磁盘之间安装了一个数据加密和解密程序,该程序不需要用户的干预,自动对存储到磁盘的数据作加密运算,对从磁盘读取的数据做解密操作,用户在正常使用计算机的时候,根本感觉不到异常。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种磁盘全盘加密系统,其特征在于,包括:
拦截单元,用于拦截对本地磁盘的数据读写请求;
获取单元,用于获取用户提供的验证物;
加密解密单元,用于通过验证物对所述读请求指向的文件解密,以及对所述写请求指向的文件加密;
数据存取单元,用于从本地磁盘读取所述读请求指向的未解密文件,并交由加密解密单元解密;以及向本地磁盘写入所述写请求指向的经加密解密单元加密后的文件。
2.如权利要求1所述的磁盘全盘加密系统,其特征在于,加密解密单元对写入本地磁盘的数据进行磁盘级或文件级的加密;相应的,加密解密单元对读出本地磁盘的数据进行磁盘级或文件级的解密。
3.如权利要求1所述的磁盘全盘加密系统,其特征在于,加密解密单元对获取单元获取的验证物作单向散列运算,并以得到的散列值进行加密解密操作。
4.如权利要求1所述的磁盘全盘加密系统,其特征在于,获取单元获取的验证物是在系统启动时由用户提供。
5.一种磁盘全盘加密方法,其特征在于,包括下列步骤:
拦截步骤:拦截对本地磁盘的数据读写请求;
获取步骤:获取用户提供的验证物;
加密解密步骤:通过验证物对所述读请求指向的文件解密,以及对所述写请求指向的文件加密;
存取步骤:从本地磁盘读取所述读请求指向的未解密文件;以及向本地磁盘写入所述写请求指向的经加密后的文件。
6.如权利要求1所述的磁盘全盘加密方法,其特征在于,加密解密步骤中,对写入本地磁盘的数据进行磁盘级或文件级的加密;相应的,对读出本地磁盘的数据进行磁盘级或文件级的解密。
7.如权利要求1所述的磁盘全盘加密方法,其特征在于,加密解密步骤中,对所述获取的验证物作单向散列运算,并以得到的散列值进行加密解密操作。
8.如权利要求1所述的磁盘全盘加密方法,其特征在于,获取步骤中,所述获取的验证物是在系统启动时由用户提供。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010019425A CN101763319A (zh) | 2010-01-15 | 2010-01-15 | 一种磁盘全盘加密系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010019425A CN101763319A (zh) | 2010-01-15 | 2010-01-15 | 一种磁盘全盘加密系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101763319A true CN101763319A (zh) | 2010-06-30 |
Family
ID=42494486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010019425A Pending CN101763319A (zh) | 2010-01-15 | 2010-01-15 | 一种磁盘全盘加密系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101763319A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104881613A (zh) * | 2014-02-27 | 2015-09-02 | 中国科学院声学研究所 | 一种磁盘全局数据加密系统及方法 |
| CN107517268A (zh) * | 2017-09-05 | 2017-12-26 | 郑州云海信息技术有限公司 | 一种基于san存储的数据操作方法、装置及系统 |
-
2010
- 2010-01-15 CN CN201010019425A patent/CN101763319A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104881613A (zh) * | 2014-02-27 | 2015-09-02 | 中国科学院声学研究所 | 一种磁盘全局数据加密系统及方法 |
| CN107517268A (zh) * | 2017-09-05 | 2017-12-26 | 郑州云海信息技术有限公司 | 一种基于san存储的数据操作方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11263020B2 (en) | System and method for wiping encrypted data on a device having file-level content protection | |
| US10348497B2 (en) | System and method for content protection based on a combination of a user pin and a device specific identifier | |
| JP6055988B1 (ja) | コンピュータプログラム、秘密管理方法及びシステム | |
| US8433901B2 (en) | System and method for wiping encrypted data on a device having file-level content protection | |
| US8412934B2 (en) | System and method for backing up and restoring files encrypted with file-level content protection | |
| US8589680B2 (en) | System and method for synchronizing encrypted data on a device having file-level content protection | |
| CN100585608C (zh) | 一种数据文件的安全处理方法及系统 | |
| US8891773B2 (en) | System and method for key wrapping to allow secure access to media by multiple authorities with modifiable permissions | |
| CN116594567A (zh) | 信息管理方法、装置和电子设备 | |
| CN112688999B (zh) | 云存储模式下基于TrustZone的密钥使用次数管理方法及系统 | |
| CN101604296A (zh) | 磁盘数据扇区级加密方法 | |
| CN101763319A (zh) | 一种磁盘全盘加密系统及方法 | |
| TW202036349A (zh) | 電腦系統及其虛擬硬碟的加解密方法 | |
| JP4979601B2 (ja) | 電子データ原本管理システムおよび電子データ原本管理システム用プログラム | |
| CN115712927A (zh) | 一种加密盘密钥管理方法 | |
| Park et al. | SPECS: smart partial enciphering service for accessing encrypted files with efficient and transparent | |
| JP2013074386A (ja) | 携帯端末用情報漏洩防止システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Bluedon Information Safety Technology Co., Ltd. Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: the First Notification of an Office Action |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100630 |