CN102073597A - 一种基于用户身份认证的操作系统盘全盘加密方法 - Google Patents
一种基于用户身份认证的操作系统盘全盘加密方法 Download PDFInfo
- Publication number
- CN102073597A CN102073597A CN2010101223009A CN201010122300A CN102073597A CN 102073597 A CN102073597 A CN 102073597A CN 2010101223009 A CN2010101223009 A CN 2010101223009A CN 201010122300 A CN201010122300 A CN 201010122300A CN 102073597 A CN102073597 A CN 102073597A
- Authority
- CN
- China
- Prior art keywords
- operating system
- encryption
- disk
- dish
- overall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
随着国家和社会信息化过程的深入推进,信息系统中系统安全性以及防止数据泄密已经成为一个关注的焦点,系统磁盘尤其操作系统盘的全盘保护需要采取一些必要手段。本发明中使用一种对计算机资源进行访问控制的保护技术,建立用户对计算机系统资源的访问机制。该机制由操作系统内部采用,保护信息不被非法访问,用户数据的加密操作是透明的;本发明对客户端操作系统盘数据加密,加密后的系统盘与本机硬件信息绑定;加密盘只能在本机硬件环境下正常使用,非本机用户不能够访问系统盘上的数据;本发明的安全机制对系统完整性和系统数据安全的可信度进行衡量。
Description
技术领域
本发明对操作系统盘数据加密,加密后的数据不能被非法访问或带出。主要用于计算机信息安全领域。
背景技术
随着国家和社会信息化过程的深入推进,信息系统中操作系统盘安全性以及防止数据泄密已经成为一个关注的焦点,现在保障操作系统盘的安全性必须要做到的是:保证数据的完整性;防止数据被破坏或丢失;预防来自网络的恶意攻击等。操作系统盘下的系统文件存放了系统中的重要文件,从而保护系统重要文件,把普通文件改成受保护的保护文件成为一个极需攻克的技术难题。同时对系统完整性和系统数据安全的保护,还需要考虑系统运行的外部环境。
现有的操作系统盘保护方法技术,较常见的有卷影复制服务,可以为操作系统提供备份基础结构,此方法无需手动干预即可还原数据,能够为远程提供集中管理支持,这种方法是基于磁盘的备份和还原操作原理的基础上,实际只起到了系统遭到破坏后还原作用,没有起到即时保护操作系统的作用,而且需要部署一个数据库及其他软件,它们本身的安全问题都是操作系统的安全隐患;还有常用的本地数据保护技术,采取的是系统盘写保护和非系统盘加密的方式,这种方法基本解决了用户的客户端本地数据安全问题,但是系统盘写保护的方案有以下致命的弱点:无法更新补丁,无法保存用户环境,导致系统缓慢等。
本发明对系统数据进行加密,既能保证客户端系统盘数据的安全,又能避免系统盘写保护带来的问题。
专利发明内容
本发明中使用的保护技术是指一种用户对计算机系统资源的访问机制。该机制操作系统底层实现,保护操作系统数据不被非法访问,加密操作对用户是透明的。本发明实现客户端操作系统盘数据加密,加密后系统盘与本机硬件信息绑定,加密盘离开本机硬件环境后,无法正常使用,而且非客户端不能够访问系统盘上的数据。同时提供完善的恢复手段和灾备措施。
本系统设计分为二个模块:设置加密盘、恢复加密盘。二个模块共同实现了保存在操作系统盘上的信息不被破坏和非法访问,为加强资源使用的控制策略提供一种机制。实现操作系统访问控制机制的操作包括:密码应用、操作系统盘设置、操作系统全盘加密指令的执行。
1、设置系统加密盘、恢复系统加密盘
设置加密盘和恢复加密盘,管理员根据需要对系统盘执行加密工作,同时也可以执行解密系统盘操作,底层的实现过程是在驱动中做的。设置加密盘的流程图见附图1,恢复加密盘的流程图见附图2。
管理员对操作系统下发操作系统控制策略,即发出对操作系统的加密请求。驱动在接收到上层传来的加密请求后,首先校验参数是否合理,在通过校验之后,对HEAD扇区进行写入,卷偏移10个扇区。然后写入加了密的DBR扇区,DBR扇区用来控制该磁盘是设置成加密盘,还是解密盘。加密的DBR区域,加密范围是【1*512,9*512】,因为第10个扇区为HEAD,加密过程中驱动系统盘加密程序会做有效性验证。
HEAD表示硬盘的磁头数,用来标识该系统盘扇区为加密扇区。DBR(Dos Boot Record)是操作系统引导记录区的意思。它通常位于硬盘的0磁道1柱面1扇区,是操作系统可以直接访问的第一个扇区,它包括一个引导程序和一个被称为BPB(Bios Parameter Block)的本分区参数记录表。引导程序的主要任务是当MBR将系统控制权交给它时,判断本分区根目录前两个文件是不是操作系统的引导文件(以DOS为例,即是Io.sys和Msdos.sys)。如果确定存在,就把它读入内存,并把控制权交给该文件。BPB参数块记录着本分区的起始扇区、结束扇区、文件存储格式、硬盘介质描述符、根目录大小、FAT个数,分配单元的大小等重要参数。DBR是由高级格式化程序(即Format.com等程序)所产生的。引导程序或设备驱动程序根据这些信息将磁盘逻辑地址(DOS扇区号)转换成物理地址(绝对扇区号)。
2、系统启动后进行加解密
本系统中用户启动操作系统后会先执行启动进行加解密。这段程序启动时会进行校验,用来检查系统盘硬盘磁道是否被其他程序修改过。还会对机器上所有系统盘和加密硬盘进行授权检验,如果任何一个系统盘加密硬盘的加密密钥和本机密钥都不相同,本程序都会停止运行。系统启动进行加密的工作流程图见附图3,系统启动进行解密的工作流程图见附图4.
在设置好加密操作系统盘,系统启动后驱动首先检查是否是加了密的系统盘,如果是将继续检查加密密钥是否和本机密钥一致,如果不一致将禁用该分区。在启动加密的过程中,用户写入保护的操作系统的数据将被透明加密,用户写时是明文,但非法手段获取操作系统的数据将无法正常读取。同时对于解密,在设置完解密的操作系统,系统启动后通过底层驱动的验证后,先清空HEAD扇区,然后写入解了密的DBR扇区,该操作系统变成普通的系统盘,写入的数据读取时不受加密限制。
本发明的核心关键技术是系统盘驱动加解密技术。当系统上层接收到加密请求和解密请求时,该技术会根据校验参数是否合理作出反应,当校验合理后,对应的硬盘磁头数和操作系统引导记录区进行加解密工作,检查加/解密密钥是否和本机密钥一致,用来检验该操作系统盘是否是和绑定时的机器硬件信息吻合,从而实现操作系统盘的全盘加密,即便是恶意盗取硬盘安装在其他机器上,操作系统文件仍旧是加密的。未通过身份认证或授权的用户无法获取操作系统盘的信息。
本发明系统同时提供异常恢复,系统启动后驱动首先检查是否是加了密的系统盘,如果是将继续检查加密密钥是否和本机密钥一致,如果不一致将禁用该分区。对于解密,先清空HEAD扇区,然后写入解了密的DBR扇区。判断当前系统盘加密驱动是否正在运行,如果运行中,写入的明文,到了驱动就成了密文了;提供写入数据提示(Y/N),并提示具体写入的硬盘位置,盘符等信息,以确认用户的最终指令。
本发明还有一个主要的安全问题是验证,最常用的方法是使用用户名和密码,用户的身份决定了他们访问计算机资源的级别,提高安全性采用加密密码。我们指定了进程可以访问的资源保护域,一个保护域是一个访问权限的集合,每一个访问权限是一个有序对,权限集合表示在该对象上可以执行什么操作。一个进程在所给域中的操作只能访问域所列出的对象,只能使用为每个对象所指定的权限。
本发明系统具有良好的兼容性,可兼容各种操作系统,多硬盘,多操作系统(2k,2k3,xp,vista,linux等),各类杀毒软件,及分区软件等。并良好的稳定性,可灵活应对应用程序异常,数据破坏等情况;可对系统盘数据加密,在没有安装客户端的计算机上无法读取系统盘上数据;加密后系统盘与本机bios信息绑定,加密盘其他型号的主板上,无法正常使用。
附图说明
图1设置加密盘流程图;
图2恢复加密盘流程图;
图3系统启动后加密流程图;
图4系统启动后解密流程图。
具体实施方式
1、设置加密系统盘;
驱动中接收上层传过来的加密请求,校验参数的合理性后,先写入HEAD扇区,然后写入加了密的DBR扇区。
2、系统启动后全盘加密操作系统;
系统启动后驱动首先检查是否是加了密的系统盘,如果是将继续检查加密密钥是否和本机密钥一致,如果不一致将禁用该分区。
3、恢复加密系统盘;
驱动中接受上层传过来的解密请求,校验参数的合理性后,先清空HEAD扇区,然后写入解了密的DBR扇区。
4、系统启动后全盘解密操作系统;
系统启动后驱动首先检查是否是解了密的系统盘,如果是将继续检查解密密钥是否和本机密钥一致,如果不一致将禁用该分区。解密过程先清空HEAD扇区,然后写入解了密的DBR扇区。
5、异常恢复操作系统盘
系统提供命令用来备份和恢复系统盘。由于这两个命令的使用具有一定的风险,故使用时需要考虑以下情况:
1)当前系统盘加密驱动是否正在运行,如果运行中,写入的明文到了驱动就转化成为密文。
2)写入数据提示(Y/N),并提示具体写入的硬盘位置,盘符等信息,用来再次确认用户加解密的命令。
Claims (7)
1.一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:对操作系统盘进行全盘加解密。有验证客户端用户身份,查找客户端用户相应的网络资源密钥;在驱动层采用全盘加密保护技术实现操作系统盘数据的加解密操作,加密后的系统盘与本机硬件信息绑定。
有操作系统全盘加密保护技术控制用户对计算机系统资源的访问权限,用户数据的加解密操作是透明的。
有加密的操作系统盘接入其他环境中无法正常读取。
2.如权利要求1所述的一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:当操作系统上层接受到加密请求和解密请求时,全盘加密保护技术判断校验参数是否合理,将对应的硬盘磁头数和操作系统引导记录区进行加解密工作,检查加/解密密钥是否和本机密钥一致;未通过身份认证或授权的用户无法获取操作系统盘的信息。
3.如权利要求2所述的一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:操作系统驱动层接收到来自应用层的加解密请求,将操作系统盘加解密。
4.如权利要求2所述的一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:系统提供异常恢复机制。操作系统全盘加密启动后驱动首先检查是否是解了密的系统盘,如果是将继续检查解密密钥是否和本机密钥一致,如果不一致将禁用该分区。
5.如权利要求3所述的一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:驱动系统盘加密程序具有验证有效性的特征,用来判断加密区域能不能加密。其中HEAD表示硬盘的磁头数,用来标识该系统盘扇区为加密扇区;DBR(Dos Boot Record)表示操作系统引导记录区。
6.如权利要求5所述的一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:驱动中接受上层传过来的加密请求,校验参数的合理性后,先写HEAD扇区,然后写入加了密的DBR扇区。
7.如权利要求5所述的一种基于用户身份认证的操作系统盘全盘加密方法,其特征在于:驱动中接受上层传过来的解密请求,校验参数的合理性后,先清空HEAD扇区,然后写入解了密的DBR扇区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010122300.9A CN102073597B (zh) | 2009-11-19 | 2010-03-11 | 一种基于用户身份认证的操作系统盘全盘加密方法 |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102239069 | 2009-11-19 | ||
| CN200910223906.9 | 2009-11-19 | ||
| CN200910223906 | 2009-11-19 | ||
| CN201010122300.9A CN102073597B (zh) | 2009-11-19 | 2010-03-11 | 一种基于用户身份认证的操作系统盘全盘加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102073597A true CN102073597A (zh) | 2011-05-25 |
| CN102073597B CN102073597B (zh) | 2016-04-13 |
Family
ID=44032143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010122300.9A Active CN102073597B (zh) | 2009-11-19 | 2010-03-11 | 一种基于用户身份认证的操作系统盘全盘加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102073597B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103729310A (zh) * | 2014-01-14 | 2014-04-16 | 北京深思数盾科技有限公司 | 一种硬盘数据的保护方法 |
| CN103870770A (zh) * | 2014-02-20 | 2014-06-18 | 北京深思数盾科技有限公司 | 一种对磁盘进行保护的方法及系统 |
| CN104077243A (zh) * | 2014-07-10 | 2014-10-01 | 王爱华 | Sata硬盘设备加密方法及系统 |
| CN105022950A (zh) * | 2014-04-17 | 2015-11-04 | 中兴通讯股份有限公司 | 信息处理方法及电子设备 |
| CN106776161A (zh) * | 2016-11-18 | 2017-05-31 | 广东欧珀移动通信有限公司 | 一种防止掉电数据丢失的方法、装置及移动终端 |
| CN109495444A (zh) * | 2018-09-30 | 2019-03-19 | 北京工业职业技术学院 | 一种加密请求处理方法 |
| CN110287718A (zh) * | 2019-06-28 | 2019-09-27 | 北京明朝万达科技股份有限公司 | 一种基于u锁绑定的加密数据处理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6658573B1 (en) * | 1997-01-17 | 2003-12-02 | International Business Machines Corporation | Protecting resources in a distributed computer system |
| CN1702591A (zh) * | 2005-04-29 | 2005-11-30 | 西安三茗科技有限责任公司 | 一种基于usb密钥设备的硬盘加锁解锁控制方案 |
| CN101458755A (zh) * | 2007-12-13 | 2009-06-17 | 中国长城计算机深圳股份有限公司 | 一种数据加密方法、系统及计算机 |
-
2010
- 2010-03-11 CN CN201010122300.9A patent/CN102073597B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6658573B1 (en) * | 1997-01-17 | 2003-12-02 | International Business Machines Corporation | Protecting resources in a distributed computer system |
| CN1702591A (zh) * | 2005-04-29 | 2005-11-30 | 西安三茗科技有限责任公司 | 一种基于usb密钥设备的硬盘加锁解锁控制方案 |
| CN101458755A (zh) * | 2007-12-13 | 2009-06-17 | 中国长城计算机深圳股份有限公司 | 一种数据加密方法、系统及计算机 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103729310A (zh) * | 2014-01-14 | 2014-04-16 | 北京深思数盾科技有限公司 | 一种硬盘数据的保护方法 |
| CN103870770A (zh) * | 2014-02-20 | 2014-06-18 | 北京深思数盾科技有限公司 | 一种对磁盘进行保护的方法及系统 |
| CN105022950A (zh) * | 2014-04-17 | 2015-11-04 | 中兴通讯股份有限公司 | 信息处理方法及电子设备 |
| CN104077243A (zh) * | 2014-07-10 | 2014-10-01 | 王爱华 | Sata硬盘设备加密方法及系统 |
| CN106776161A (zh) * | 2016-11-18 | 2017-05-31 | 广东欧珀移动通信有限公司 | 一种防止掉电数据丢失的方法、装置及移动终端 |
| CN109495444A (zh) * | 2018-09-30 | 2019-03-19 | 北京工业职业技术学院 | 一种加密请求处理方法 |
| CN109495444B (zh) * | 2018-09-30 | 2022-02-22 | 北京工业职业技术学院 | 一种加密请求处理方法 |
| CN110287718A (zh) * | 2019-06-28 | 2019-09-27 | 北京明朝万达科技股份有限公司 | 一种基于u锁绑定的加密数据处理方法及装置 |
| CN110287718B (zh) * | 2019-06-28 | 2020-11-27 | 北京明朝万达科技股份有限公司 | 一种基于u锁绑定的加密数据处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102073597B (zh) | 2016-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102084373B (zh) | 备份存储在安全存储设备中的数字内容 | |
| JP4089171B2 (ja) | 計算機システム | |
| KR100359885B1 (ko) | 컴퓨터 시스템 및 콘텐츠 보호 방법 | |
| JP4610557B2 (ja) | データ管理方法、そのプログラム及びプログラムの記録媒体 | |
| US10592641B2 (en) | Encryption method for digital data memory card and assembly for performing the same | |
| CN102073597B (zh) | 一种基于用户身份认证的操作系统盘全盘加密方法 | |
| US20080082447A1 (en) | Portable Mass Storage Device With Virtual Machine Activation | |
| CN102884535A (zh) | 受保护装置管理 | |
| EP2264640B1 (en) | Feature specific keys for executable code | |
| EP2264639B1 (en) | Securing executable code integrity using auto-derivative key | |
| CN102948114A (zh) | 用于访问加密数据的单次使用认证方法 | |
| US20070022285A1 (en) | Administration of data encryption in enterprise computer systems | |
| US20080016127A1 (en) | Utilizing software for backing up and recovering data | |
| EP1365306A2 (en) | Data protection system | |
| JP2008072717A (ja) | 埋込認証を有するハードディスク・ストリーミング暗号操作 | |
| US8195724B2 (en) | Providing a virtual binding for a worm storage system on rewritable media | |
| KR20140051350A (ko) | 디지털 서명 권한자 의존형 플랫폼 기밀 생성 기법 | |
| EP2049991A2 (en) | Portable mass storage with virtual machine activation | |
| CN114662164A (zh) | 基于加密硬盘的身份认证与访问控制系统、方法和设备 | |
| CN108363912B (zh) | 一种程序代码的密保方法及装置 | |
| CN101236532A (zh) | Windows环境下基于USB设备的硬盘加密方法 | |
| CN100410831C (zh) | 随机捆绑软件安装方法 | |
| CN101236535B (zh) | Windows环境下基于光盘的硬盘加密方法 | |
| JPS63127334A (ja) | 保護されたアプリケーションの実行権に条件を付ける方法 | |
| CN101236534A (zh) | Windows环境下基于PCI卡的硬盘加密方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Beijing Wonder-soft Co., Ltd. Document name: Notification of before Expiration of Request of Examination as to Substance |
|
| DD01 | Delivery of document by public notice |
Addressee: Beijing Wonder-soft Co., Ltd. Document name: Notification that Application Deemed to be Withdrawn |
|
| C10 | Entry into substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100085 Beijing city Haidian District Zhichun Road Tai Yue Park 3 Building 6 layer Applicant after: Beijing Wonder-soft Co., Ltd. Address before: 100085 Beijing city Haidian District anningzhuang West Road No. 9 Building 10 Jintai Fortune Institute Applicant before: Beijing Wonder-soft Co., Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Zhou Yuxiu Document name: Notification of Passing Examination on Formalities |
|
| CB02 | Change of applicant information |
Address after: 100097 Beijing city Haidian District landianchang Road No. 25 North International Building Jiayou two layer Applicant after: Beijing Mingchaowanda Technology Co., Ltd. Address before: 100085 Beijing city Haidian District Zhichun Road Tai Yue Park 3 Building 6 layer Applicant before: Beijing Wonder-soft Co., Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Peng Hongtao Inventor after: Yu Bo Inventor after: Li Zhitao Inventor after: Wang Zhihai Inventor after: Gu Fei Inventor before: Yu Bo Inventor before: Li Zhitao Inventor before: Wang Zhihai Inventor before: Gu Fei |