CN107315945B - 一种电子设备的磁盘解密方法和装置 - Google Patents
一种电子设备的磁盘解密方法和装置 Download PDFInfo
- Publication number
- CN107315945B CN107315945B CN201710562049.XA CN201710562049A CN107315945B CN 107315945 B CN107315945 B CN 107315945B CN 201710562049 A CN201710562049 A CN 201710562049A CN 107315945 B CN107315945 B CN 107315945B
- Authority
- CN
- China
- Prior art keywords
- trigger condition
- detection trigger
- disk
- electronic equipment
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供一种电子设备的磁盘解密方法和装置,用于在保证电子设备安全的前提下,简化磁盘解密所需的人工操作。该方法包括:在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息;将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息;获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
Description
技术领域
本申请涉及计算机及信息处理技术领域,尤其涉及一种电子设备的磁盘解密方法和装置。
背景技术
为了提高电子设备使用的安全性,避免电子设备内的存储的数据泄漏,用户通常会对电子设备的磁盘进行加密,使得电子设备每次开机时都需要进行磁盘解密之后才能够执行后续的操作。
目前,在进行磁盘解密时,一般是电子设备在开机启动时由用户手动输入密钥。当用户输入的密钥验证通过时,允许磁盘解密。但每次开启的时候都需要用户手动输入密钥等,使得磁盘解密过程变得比较繁琐,因此,有必要提供一种简单与安全并存的电子设备磁盘解密方案。
发明内容
本申请实施例提供一种电子设备的磁盘解密方法和装置,用于在保证电子设备安全的前提下,简化磁盘解密所需的人工操作。
本申请实施例采用下述技术方案:
一种电子设备的磁盘解密方法,包括:在检测触发条件的触发下,若检测到ukey设备连接,则生成对应于所述检测触发条件的认证信息,所述检测触发条件包括:电子设备的主操作系统启动时,和,虚拟机的子操作系统启动时,其中,所述虚拟机安装于所述电子设备的主操作系统中;所述认证信息包括随机数和时间戳;将生成的认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对生成的认证信息运算后生成校验信息;获取生成的校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
一种电子设备的磁盘解密方法,包括:在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息;将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息;获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
可选地,所述检测触发条件,包括:第一检测触发条件和第二检测触发条件;所述ukey设备中存储有:对应于第一检测触发条件的第一密钥,和,对应于第二检测触发条件的第二密钥;所述电子设备包括:对应于第一检测触发条件的第一磁盘,和,对应于第二检测触发条件的第二磁盘。
可选地,所述认证信息包括随机数和/或时间戳。
可选地,在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息,包括:在电子设备的主操作系统启动时,检测ukey设备是否连接;在检测到ukey设备连接时,生成对应于所述主操作系统的认证信息;在虚拟机的子操作系统启动时,检测ukey设备是否连接;在检测到ukey设备连接时,生成对应于所述子操作系统的认证信息,其中,所述虚拟机安装于所述电子设备的主操作系统中。
可选地,所述方法还包括:更新所述ukey设备中存储的对应于所述检测触发条件的密钥。
一种电子设备的磁盘解密方法,包括:接收电子设备发送的认证信息,其中,接收的认证信息,由电子设备在检测触发条件的触发下,检测到ukey设备连接后生成,且生成的认证信息与所述检测触发条件相对应;根据存储的对应于所述检测触发条件的密钥,对接收到的认证信息进行运算,生成校验信息;将生成的校验信息发送至所述电子设备,以便所述电子设备在所述校验信息验证验证正确时,解密对应于所述检测触发条件的磁盘。
可选地,所述检测触发条件,包括:第一检测触发条件和第二检测触发条件;所述ukey设备中存储有:对应于第一检测触发条件的第一密钥,和,对应于第二检测触发条件的第二密钥;所述电子设备包括:对应于第一检测触发条件的第一磁盘,和,对应于第二检测触发条件的第二磁盘。
一种电子设备的磁盘解密装置,包括:认证信息生成模块,用于在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息;认证信息发送模块,用于将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息;校验信息验证模块,用于获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
一种电子设备的磁盘解密装置,包括:接收模块,用于接收电子设备发送的认证信息,其中,接收的认证信息,由电子设备在检测触发条件的触发下,检测到ukey设备连接后生成,且接收的认证信息与所述检测触发条件相对应;校验信息生成模块,用于根据存储的对应于所述检测触发条件的密钥,对接收到的认证信息进行运算,生成校验信息;发送模块,用于将生成的校验信息发送至所述电子设备,以便所述电子设备在所述校验信息验证验证正确时,解密对应于所述检测触发条件的磁盘。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
在磁盘解密时,只需对应的ukey设备与电子设备保持连接状态,电子设备将会与ukey设备进行交互,并在ukey设备生成的校验信息验证正确时直接对磁盘进行解密,无需用户手动输入密钥,在保证安全的同时,简化磁盘解密所需的人工操作。
另外,本方案基于ukey设备安全性高、技术规范一致性强、操作系统兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高磁盘解密过程的安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请实施例1提供的电子设备的磁盘解密方法的流程示意图;
图2为本申请实施例2提供的电子设备的磁盘解密方法应用场景示意图;
图3为本申请实施例3提供的电子设备的磁盘解密方法的流程示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请提供一种电子设备的磁盘解密方法,用于在保证电子设备安全的前提下,简化磁盘解密所需的人工的操作,该实施例中的电子设备,可以具体为服务器、个人电脑等;该实施例中后续将要提到的ukey设备(Universal Key Device),可以是利用USB接口与电子设备相连的、具有密码验证功能的小型存储设备。
如图1所示,实施例1主要包括如下步骤:
步骤S11:在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息。
该步骤中的检测触发条件,可以包括:第一检测触发条件和第二检测触发条件,具体可以包括电子设备的主操作系统启动时,和,虚拟机的子操作系统启动时,其中,所述虚拟机安装于所述电子设备的主操作系统中。
该步骤中的认证信息,一般包括有检测触发条件的标识,当然还可以包括有其它类型的信息,如随机数,或,随机数加时间戳等,具体可以在电子设备与ukey设备之间的握手协议中定义。
在上述电子设备中通常安装有操作系统,例如,基于linux内核的Ubuntu系统、openSUSE系统或麒麟系统等,因此,该步骤的执行时机,可以是在电子设备中安装的操作系统启动时自动执行。
此外,在上述电子设备的主操作系统(为便于与后续中的子操作系统区分,因此称主操作系统)中还可以安装有多台虚拟机,这些虚拟机中还可以运行着子操作系统,因此,在其他一些实施方式中,该步骤的执行时机,还可以是在电子设备中安装的主操作系统启动时自动执行;以及在虚拟机中安装的子操作系统启动时自动执行。
通过使主操作系统启动时、以及虚拟机中安装的子操作系统启动时,分别生成不同的认证信息,并分别执行后续的步骤S12和步骤S13,通过验证ukey设备中的密钥来确定是否对对磁盘解密,相当于对电子设备中的磁盘实行双重加密,能够进一步提高电子设备中存储的数据的安全性。
步骤S12:将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息。
该实施例中的ukey设备中可以预先存储有多个,分别与不同的检测触发条件相对应的密钥,上述不同的密钥,可以是根据SM3(密码杂凑)算法、SM2(非对称密码)算法或SM4(对称密码)算法等得到。
该步骤中,ukey设备即可根据认证信息中的检测触发条件的标识,利用存储的对应于所述检测触发条件密钥,对接收到的认证信息进行计算,即可得出校验信息。
步骤S13:获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
步骤S12中ukey设备根据存储的密钥对认证信息运算后生成校验信息的同时,电子设备也可以利用电子设备中存储的密钥对上述认证信息进行计算,得到校验信息。其中,电子设备中存储的密钥和ukey设备中存储的密钥相对应,互相构成一个密钥对。
如果电子设备获取到的校验信息,与电子设备自身计算的到的校验信息相匹配时,即可确定对所述电子设备的磁盘进行解密;当然,在校验信息验证失败的情况下,还可以在显示“磁盘解密失败”的提示信息。
另外,对电子设备的磁盘进行解密时,具体可以对电子设备的磁盘分区中存储数据的磁盘单元进行解密,对电子设备的磁盘分区中没有存储数据的磁盘单元不执行解密操作。
该处磁盘单元可以包括若干个扇区,扇区为磁盘分区中最小的逻辑单位,其容量很小,而数据(文件数据)一般较大,因此,可以将多个扇区组成的磁盘单元作为一个基本的判断单位,来判断其中是否存储有文件数据,只有在判断出磁盘单元已经存储了文件数据的情况下,才会对该磁盘单元块进行解密处理,而对于没有存储文件数据的磁盘单元,可以不进行处理,从而缩短了解密时间,提高了处理效率。
采用实施例1提供的该方法,在磁盘解密时,只需对应的ukey设备与电子设备保持连接状态,电子设备将会与ukey设备进行交互,并在ukey设备生成的校验信息验证正确时直接对磁盘进行解密,无需用户手动输入密钥,在保证安全的同时,简化磁盘解密所需的人工操作。
另外,本实施例基于ukey设备安全性高、技术规范一致性强、操作系统兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高磁盘解密过程的安全性。
电子设备在与ukey交互的过程中,由于通过USB接口传输的只有认证信息和计算的到的校验信息。密钥既不在USB接口上传输也不在电子设备中显式存在,因此电子设备中的木马程序无法得到密钥。
同时,该实施例中的认证信息可以为随机数,这样,每次磁盘解密过程使用的认证信息和校验结果都不一样,即使在传输过程中认证信息或校验结果被截获,也无法逆推得到密钥。这就从根本上保证了密钥无法被仿冒。
该实施例中的认证信息可以包括有随机数加时间戳,通过添加时间戳,防止破解者进行重放攻击,进一步提高了磁盘解密过程的安全性。
在实施例1提供的磁盘解密方法中,电子设备除了可以通过ukey设备完成磁盘解密之外,电子设备还可以修改ukey设备中存储的对应于所述检测触发条件的密钥,这样,在步骤S12中,电子设备除了向ukey发送认证信息之外,还可以发送命令字,进而根据不同的命令字,以便ukey设备来判断是执行ukey磁盘解密操作,还是修改密钥等操作。若是修改密钥的操作,则电子设备即可修改ukey设备中存储的对应于所述检测触发条件的密钥。
实施例2
为详细说明实施例1提供的电子设备的磁盘解密方法,以下将结合一具体实施实例进行说明。该实施例中的电子设备具体为服务器,以下首先对本申请的一种适用场景作简要介绍。如图2所示,图2中的最外围为服务器10,在服务器10上安装有Ubuntu服务器系统20,通常可以在上述服务器10上模拟出多台虚拟机30(Virtual Box),即在该服务器10的磁盘上为每虚拟机30划分一段磁盘存储空间,虚拟机30中同样运行着Ubuntu系统40,一般在Ubuntu系统40中运行着服务程序(未图示),这些服务程序能够响应于客户端(未图示)的操作,为客户端提供服务。另外,ukey设备(未图示)可利用USB接口与上述服务器10连接。
在执行本实施例的电子设备的磁盘解密方法之前,首先需要做开发以及配置的准备工作,以下首先将从服务器中的1)磁盘加密、2)linxu内核改造和初始根文件系统文件改造、3)ukey固件开发等,对本实施例中的磁盘解密方法执行前所需的准备工作进行详细说明。
1)磁盘加密。
为保障服务器10的磁盘中的数据不被盗用或复制,该实施例可以对服务器磁盘进行加密。Ubuntu系统是Linux系统的发行版,因此,该实施例可以采用cryptsetup(Linux下的分区加密工具),在安装Ubuntu系统时对硬盘进行加密。
此外,该实施例不仅可以对Ubuntu服务器系统20对应的磁盘进行加密,还对虚拟机30中运行的Ubuntu系统40对应的磁盘进行加密,加密之后在ukey设备中配置对应的、后续用于解密的密钥。
2)linux内核改造以及初始根文件系统文件改造
该处执行linux内核改造和初始根文件系统文件改造,所要实现的主要目的是:实现Ubuntu服务器系统20以及虚拟机30中运行的Ubuntu系统40启动时,通过验证ukey设备中的密钥来确定是否对对磁盘解密,即执行磁盘解密的方案。以下将分两个部分对linux内核改造和初始根文件系统文件改造进行说明。
通过对Ubuntu的系统初始根文件系统文件initrd.img进行更新,实现Ubuntu服务器系统20以及虚拟机30中运行的Ubuntu系统40启动时,通过验证ukey设备中的密钥来确定是否对磁盘解密。
该实施例中的硬盘自动解密程序sec_boxOpen使用C语言开发实现(libUSB负责USB通信,libcryptsetup负责硬盘解密,主控程序sec_boxOpen实现自动从ukey获取校验信息然后对磁盘执行解密程序)。其中,磁盘解密过程发生在linux内核挂载文件系统之前,此时内核使用initrd.img作为临时文件系统,进行各硬件设备的引导和挂载。
具体可以是开发完成了上述磁盘自动解密程序sec_boxOpen之后,将修改前的initrd.img文件(cpio格式)解压,把磁盘自动解密程序sec_boxOpen添加到initrd.img文件中(还可以修改相关脚本以关闭debug信息,禁止单用户登录模式等,后续介绍),最终重新打包上述修改后的initrd.img文件。
最终对内核文件vmlinuz进行修改,使修改后的vmlinuz文件能够识别修改后的initrd.img文件,并将修改后的initrd.img文件加载到内存中执行进而使使Ubuntu服务器系统20以及虚拟机30中运行的Ubuntu系统40启动时,通过验证ukey设备中的密钥来确定是否对对磁盘解密
3)ukey固件开发
该实施例中采用的ukey设备,其芯片的具体型号可以为市场上华大信安公司的IS8U192A,可以有效防止固件被非法获取和逆向。
Ukey固件开发可以使用集成开发环境Keil,通过配置ukey设备中的固件,使ukey设备与服务器主机之间通过USB通信,并实现如下功能:ukey设备配置为HID免驱模式;实现服务器与ukey设备之间通过USB通信的数据的加密与解密;自定义加密与解密时的安全握手协议;ukey设备中的密钥可以配置管理等。
通过上述准备工作,后续在服务器上电启动时,即可执行以下方法步骤,以对电子设备的磁盘解密进行解密,执行的步骤具体包括:
在服务器上电后,服务器中的主操作系统(图2中的Ubuntu服务器系统20)启动时,检测到ukey设备连接时,生成对应于所述主操作系统的认证信息;将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述主操作系统的密钥对所述认证信息运算后生成校验信息;获取所述校验信息,并在所述校验信息验证正确时,确定对所述电子设备的对应于所述主操作系统的磁盘进行解密。
此外,在服务器的虚拟机中安装的子系统(图2中的Ubuntu系统40)启动时,同样执行检测到ukey设备连接时,生成对应于所述子操作系统的认证信息;将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述子操作系统的密钥对所述认证信息运算后生成校验信息;获取所述校验信息,并在所述校验信息验证正确时,确定对所述电子设备的对应于所述子操作系统的磁盘进行解密。其中,对Ubuntu系统40对应的磁盘进行解密时的密钥,可以是不同于对Ubuntu服务器系统20对应的磁盘进行解密时的密钥。
通过使服务器10中的Ubuntu服务器系统20以及虚拟机30中运行的Ubuntu系统40启动时,分别通过验证ukey设备中的密钥来确定是否对对磁盘解密,相当于对服务器中的磁盘实行双重加密,进一步提高了服务器磁盘中存储的数据的安全性。
采用实施例2提供的该方法,在服务器中安装的系统启动时,通过验证ukey设备中的密钥来确定是否对对磁盘解密,相对于采用手动输入密钥的方式,无需用户手动操作,在保证安全电子设备的同时,简化了用户的操作。
由于服务器中的虚拟机数量通常较多,每个虚拟机中的Ubuntu系统(或者说是为每个虚拟机中的Ubuntu系统所分配的磁盘)对应不同的密钥,避免服务器上电启动后,需要用户多次、手动输入密钥对每个虚拟机中的系统对应的磁盘进行解密。
另外,本实施例基于ukey设备安全性高、技术规范一致性强、操作系统兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高登录ubuntu服务器系统的安全性。
实施例3
实施例1提供的磁盘解密方法在电子设备中执行,在ukey设备一侧同样执行磁盘解密的方案,基于此,本实施例3提供一种电子设备的磁盘解密方法,应用在ukey设备端,如图3所示,具体包括如下步骤:
步骤S31:接收电子设备发送的认证信息,其中,接收的认证信息,由电子设备在检测触发条件的触发下,检测到ukey设备连接后生成,且生成的认证信息与所述检测触发条件相对应。
该步骤中的检测触发条件,包括:第一检测触发条件和第二检测触发条件;ukey设备中存储有:对应于第一检测触发条件的第一密钥,和,对应于第二检测触发条件的第二密钥;电子设备包括:对应于第一检测触发条件的第一磁盘,和,对应于第二检测触发条件的第二磁盘。
步骤S32:根据存储的对应于所述检测触发条件的密钥,对接收到的认证信息进行运算,生成校验信息。
步骤S33:将生成的校验信息发送至所述电子设备,以便所述电子设备在所述校验信息验证验证正确时,解密对应于所述检测触发条件的磁盘。
采用实施例3提供的该方法,在磁盘解密时,只需对应的ukey设备与电子设备保持连接状态,电子设备将会与ukey设备进行交互,并在ukey设备生成的校验信息验证正确时直接对磁盘进行解密,无需用户手动输入密钥,在保证安全的同时,简化磁盘解密所需的人工操作。
另外,本实施例基于ukey设备安全性高、技术规范一致性强、操作系统兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高磁盘解密过程的安全性。
实施例4
与实施例1提供的电子设备的磁盘解密方法对应,本申请还提供一种磁盘解密装置,可以应用在电子设备端,用于在保证电子设备安全的前提下,简化磁盘解密所需的人工的操作,该装置可以包括:
认证信息生成模块,用于在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息;
认证信息发送模块,用于将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息;
校验信息验证模块,用于获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
采用实施例4提供的该装置,在磁盘解密时,只需对应的ukey设备与电子设备保持连接状态,电子设备将会与ukey设备进行交互,并在ukey设备生成的校验信息验证正确时直接对磁盘进行解密,无需用户手动输入密钥,在保证安全的同时,简化磁盘解密所需的人工操作。
另外,本实施例基于ukey设备安全性高、技术规范一致性强、操作系统兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高磁盘解密过程的安全性。
实施例5
与实施例3提供的方法对应,本实施例提供一种磁盘解密装置,包括:
接收模块,用于接收电子设备发送的认证信息,其中,接收的认证信息,由电子设备在检测触发条件的触发下,检测到ukey设备连接后生成,且接收的认证信息与所述检测触发条件相对应;
校验信息生成模块,用于根据存储的对应于所述检测触发条件的密钥,对接收到的认证信息进行运算,生成校验信息;
发送模块,用于将生成的校验信息发送至所述电子设备,以便所述电子设备在所述校验信息验证验证正确时,解密对应于所述检测触发条件的磁盘。
采用实施例5提供的该装置,在磁盘解密时,只需对应的ukey设备与电子设备保持连接状态,电子设备将会与ukey设备进行交互,并在ukey设备生成的校验信息验证正确时直接对磁盘进行解密,无需用户手动输入密钥,在保证安全的同时,简化磁盘解密所需的人工操作。
另外,本实施例基于ukey设备安全性高、技术规范一致性强、操作系统兼容性好、携带使用灵活等特点,更大限度地规避因泄密等引发的安全问题,提高磁盘解密过程的安全性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种电子设备的磁盘解密方法,其特征在于,包括:
在检测触发条件的触发下,若检测到ukey设备连接,则生成对应于所述检测触发条件的认证信息,所述检测触发条件包括:电子设备的主操作系统启动时,和,虚拟机的子操作系统启动时,其中,所述虚拟机安装于所述电子设备的主操作系统中;所述认证信息包括随机数和时间戳;
将生成的认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对生成的认证信息运算后生成校验信息;
获取生成的校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
2.一种电子设备的磁盘解密方法,其特征在于,包括:
在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息;
将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息;
获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
3.根据权利要求2所述的方法,其特征在于,
所述检测触发条件,包括:第一检测触发条件和第二检测触发条件;
所述ukey设备中存储有:对应于第一检测触发条件的第一密钥,和,对应于第二检测触发条件的第二密钥;
所述电子设备包括:对应于第一检测触发条件的第一磁盘,和,对应于第二检测触发条件的第二磁盘。
4.根据权利要求3所述的方法,其特征在于,所述认证信息包括随机数和/或时间戳。
5.根据权利要求3所述的方法,其特征在于,在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息,包括:
在电子设备的主操作系统启动时,检测ukey设备是否连接;在检测到ukey设备连接时,生成对应于所述主操作系统的认证信息;
在虚拟机的子操作系统启动时,检测ukey设备是否连接;在检测到ukey设备连接时,生成对应于所述子操作系统的认证信息,其中,所述虚拟机安装于所述电子设备的主操作系统中。
6.根据权利要求2至5任一项所述的方法,其特征在于,所述方法还包括:
更新所述ukey设备中存储的对应于所述检测触发条件的密钥。
7.一种电子设备的磁盘解密方法,其特征在于,包括:
接收电子设备发送的认证信息,其中,接收的认证信息,由电子设备在检测触发条件的触发下,检测到ukey设备连接后生成,且生成的认证信息与所述检测触发条件相对应;
根据存储的对应于所述检测触发条件的密钥,对接收到的认证信息进行运算,生成校验信息;
将生成的校验信息发送至所述电子设备,以便所述电子设备在所述校验信息验证验证正确时,解密对应于所述检测触发条件的磁盘。
8.根据权利要求6所述的方法,其特征在于,
所述检测触发条件,包括:第一检测触发条件和第二检测触发条件;
ukey设备中存储有:对应于第一检测触发条件的第一密钥,和,对应于第二检测触发条件的第二密钥;
所述电子设备包括:对应于第一检测触发条件的第一磁盘,和,对应于第二检测触发条件的第二磁盘。
9.一种电子设备的磁盘解密装置,其特征在于,包括:
认证信息生成模块,用于在检测触发条件的触发下,检测到ukey设备连接时,生成对应于所述检测触发条件的认证信息;
认证信息发送模块,用于将所述认证信息发送至所述ukey设备,以便所述ukey设备根据存储的对应于所述检测触发条件的密钥,对所述认证信息运算后生成校验信息;
校验信息验证模块,用于获取所述校验信息,并在所述校验信息验证正确时,解密对应于所述检测触发条件的磁盘。
10.一种电子设备的磁盘解密装置,其特征在于,包括:
接收模块,用于接收电子设备发送的认证信息,其中,接收的认证信息,由电子设备在检测触发条件的触发下,检测到ukey设备连接后生成,且接收的认证信息与所述检测触发条件相对应;
校验信息生成模块,用于根据存储的对应于所述检测触发条件的密钥,对接收到的认证信息进行运算,生成校验信息;
发送模块,用于将生成的校验信息发送至所述电子设备,以便所述电子设备在所述校验信息验证验证正确时,解密对应于所述检测触发条件的磁盘。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710562049.XA CN107315945B (zh) | 2017-07-11 | 2017-07-11 | 一种电子设备的磁盘解密方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710562049.XA CN107315945B (zh) | 2017-07-11 | 2017-07-11 | 一种电子设备的磁盘解密方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107315945A CN107315945A (zh) | 2017-11-03 |
| CN107315945B true CN107315945B (zh) | 2019-08-23 |
Family
ID=60177632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710562049.XA Active CN107315945B (zh) | 2017-07-11 | 2017-07-11 | 一种电子设备的磁盘解密方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107315945B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109033869A (zh) * | 2018-07-04 | 2018-12-18 | 深圳虚觅者科技有限公司 | 加密文件系统挂载方法及装置 |
| CN110188555B (zh) * | 2019-05-28 | 2023-09-05 | 深信服科技股份有限公司 | 一种磁盘数据保护方法、系统及相关组件 |
| CN112131549A (zh) * | 2020-09-28 | 2020-12-25 | 山东超越数控电子股份有限公司 | 一种用于计算机平台的身份识别方法、装置、设备、介质 |
| CN112926101B (zh) * | 2021-03-31 | 2024-04-05 | 完美世界控股集团有限公司 | 磁盘分区加密方法、系统、设备,以及计算机可读介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102508791A (zh) * | 2011-09-28 | 2012-06-20 | 梁守龙 | 一种对硬盘分区进行加密的方法及装置 |
| CN104572093A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 使用usb控制器实现终端设备双操作系统启动的方法 |
| CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
-
2017
- 2017-07-11 CN CN201710562049.XA patent/CN107315945B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102508791A (zh) * | 2011-09-28 | 2012-06-20 | 梁守龙 | 一种对硬盘分区进行加密的方法及装置 |
| CN104572093A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 使用usb控制器实现终端设备双操作系统启动的方法 |
| CN104951409A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种基于硬件的全盘加密系统及加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107315945A (zh) | 2017-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240146545A1 (en) | Unified programming environment for programmable devices | |
| CN109313690B (zh) | 自包含的加密引导策略验证 | |
| Santos et al. | {Policy-Sealed} Data: A New Abstraction for Building Trusted Cloud Services | |
| CN107315945B (zh) | 一种电子设备的磁盘解密方法和装置 | |
| Bertholon et al. | Certicloud: a novel tpm-based approach to ensure cloud iaas security | |
| KR100737628B1 (ko) | 고정형 토큰 및 이동형 토큰 모두를 이용한 어테스테이션 | |
| CN105391717B (zh) | 一种apk签名认证方法及其系统 | |
| CN105956456B (zh) | 一种对Android系统进行四重联合签名验证的实现方法 | |
| CN107003866A (zh) | 来自加密模板的加密虚拟机的安全创建 | |
| US20120260345A1 (en) | Trust verification of a computing platform using a peripheral device | |
| US9152770B2 (en) | Content reproduction system, information processing terminal, media server, secure device, and server secure device | |
| WO2015042981A1 (zh) | 加解密处理方法、装置和设备 | |
| CN107294710B (zh) | 一种vTPM2.0的密钥迁移方法及装置 | |
| CN104462965A (zh) | 应用程序完整性验证方法及网络设备 | |
| CN109284585B (zh) | 一种脚本加密方法、脚本解密运行方法和相关装置 | |
| CN102833745B (zh) | 一种软件安全升级的方法、通信设备和通信系统 | |
| EP3316160A1 (en) | Authentication method and apparatus for reinforced software | |
| CN109033869A (zh) | 加密文件系统挂载方法及装置 | |
| CN110414248B (zh) | 一种调试微处理器的方法及微处理器 | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| CN107209838A (zh) | 便携式安全设备 | |
| WO2015084144A1 (en) | A system and method to secure virtual machine images in cloud computing | |
| CN107273769A (zh) | 一种电子设备的保护方法和装置 | |
| KR20170089352A (ko) | 가상화 시스템에서 수행하는 무결성 검증 방법 | |
| CN108170461A (zh) | 差分升级包生成方法、差分升级方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100083 Beijing, Haidian District Xueyuan Road 30 days building A 20 floor Applicant after: Beijing Bang Bang Safety Technology Co. Ltd. Address before: 100083 Xueyuan Road, Haidian District, Haidian District, Beijing, Haidian District, Beijing Applicant before: Yangpuweiye Technology Limited |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |