CN109033869A - 加密文件系统挂载方法及装置 - Google Patents
加密文件系统挂载方法及装置 Download PDFInfo
- Publication number
- CN109033869A CN109033869A CN201810723541.5A CN201810723541A CN109033869A CN 109033869 A CN109033869 A CN 109033869A CN 201810723541 A CN201810723541 A CN 201810723541A CN 109033869 A CN109033869 A CN 109033869A
- Authority
- CN
- China
- Prior art keywords
- key
- file system
- environmental parameter
- encrypted file
- carry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Abstract
本申请适用于文件挂载领域,提供了加密文件系统挂载方法及装置,其方法包括:在启动系统后,从存储的配置文件提取预存环境参数;判断启动系统的环境参数是否与所述预存环境参数匹配;若与所述预存环境参数匹配,则解密第一密钥;根据所述第一密钥解密并挂载加密文件系统。本申请可保护加密文件系统的数据安全,同时保证加密文件系统无人为干预下正常运行,减少运营成本。
Description
技术领域
本申请属于文件挂载领域,尤其涉及一种加密文件系统挂载方法、加密文件系统挂载装置、终端设备及计算机可读存储介质。
背景技术
现有的一些企业运营的数据安装在第三方的服务器上。然而这些数据的安全完全由第三方提供。安全性过分依赖第三方。特别的,当该系统与供应商有利益冲突时,系统中存储的核心文件或核心代码将存在较高的泄露风险。
现有的加密文件系统,包括针对整个硬盘或分区加密的系统,如LUKS(LinuxUnified Key Setup,Linux统一密钥配置),BitLocker(一种磁盘加密工具)等,或者针对目录的加密覆盖文件系统,比如Encfs(免费的、开源的、基于GPL的、FUSE级别的加密文件系统)。然而此类方案都是基于人机交互的,需要用户参与才可执行。例如,用户在登录系统后,需要输入密码,解密加密分区或文件。这对于自启动的服务器而言,是一种无法接受的缺陷。
发明内容
有鉴于此,本申请实施例提供了加密文件系统挂载方法及装置,以解决服务器上的数据安全问题。
本申请实施例的第一方面提供了一种加密文件系统挂载方法,包括:
在启动系统后,从存储的配置文件提取预存环境参数;
判断启动系统的环境参数是否与所述预存环境参数匹配;
若与所述预存环境参数匹配,则解密第一密钥;
根据所述第一密钥解密并挂载加密文件系统。
本申请实施例的第二方面提供了一种加密文件系统挂载装置,包括:
提取模块,用于在启动系统后,从存储的配置文件提取预存环境参数;
判断模块,用于判断启动系统的环境参数是否与所述预存环境参数匹配;
第一解密模块,用于若与所述预存环境参数匹配,则解密第一密钥;
第二解密模块,用于根据所述第一密钥解密并挂载加密文件系统。
本申请实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述加密文件系统挂载方法的步骤。
本申请实施例的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述加密文件系统挂载方法的步骤。
本申请实施例与现有技术相比存在的有益效果是:在加密文件系统被挂载前,检测启动系统的环境参数,当检测到的环境参数不与预存环境参数匹配,停止挂载加密文件系统,保证了加密文件系统的数据安全性;当检测到的环境参数与预存环境参数匹配,先解密第一密钥,再使用第一密钥解密并挂载加密文件系统,无需人为干预,减少运营成本。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的加密文件系统挂载方法的流程示意图;
图2是本申请实施例提供的加密文件系统挂载装置的结构示意图;
图3是是本申请实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
为了说明本申请所述的技术方案,下面通过具体实施例来进行说明。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
另外,在本申请的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例一:
请参照图1,本申请实施例提出了一种加密文件系统挂载方法,包括:
S10、在启动系统后,从存储的配置文件提取预存环境参数。
本实施例中,加密文件系统包括加密后的核心数据和非加密数据。其中,核心数据包括但不限于保密数据、核心代码;非加密数据包括配置文件。上述配置文件包括记录的预存环境参数以及经加密后的第一密钥。环境参数指的是根据系统获取的硬件环境信息和/或软件环境信息生成的一组校验数据。特别的,该组校验数据可以仅包含一个校验数值。预存环境参数指的是根据加密文件系统初始化时获取的硬件环境信息和/或软件环境信息生成的校验数据。本实施例所提供的加密文件系统可挂载于运行Linux或Unix的服务器上。
步骤S10中,在启动系统后,服务器从配置文件中提取预存环境参数。
S20、判断启动系统的环境参数是否与所述预存环境参数匹配。
步骤S20中,服务器判断启动系统的环境参数是否与预存环境参数匹配。若环境参数和预存环境参数仅包含一个校验数值,则环境参数与预存环境参数匹配的条件是两者相等。而当环境参数和预存环境参数包含多个校验数值,可以设置各个校验数值的权重,判断环境参数中的各个校验数值是否与预存环境参数中对应的校验数值相等,统计相等的校验数值的个数,计算加权结果。然后判断加权结果是否大于或等于预设匹配度阈值,若大于或等于,则判定环境参数与预存环境参数匹配。例如,环境参数包括a、b、c、d,其权重分别为0.5、0.2、0.2、0.1;预存环境参数包括A、B、C、D,预设匹配度阈值为0.8。若a=A、b=B、c=C、d≠D,则其加权结果为0.9,0.9>0.8,判定此时的环境参数与预存环境参数匹配。
S30、若与所述预存环境参数匹配,则解密第一密钥。
步骤S30中,若环境参数与预存环境参数匹配,则使用第二密钥解密第一密钥。在一实例中,第一密钥通过公钥加密技术加密,则该第二密钥为由公钥基础设施(PKI)的公钥加密算法随机生成私钥。PKI是Public Key Infrastructure的缩写,是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。对应地,公钥加密算法随机生成的公钥用于加密第一密钥。进一步地,为了保证私钥的安全性,可将私钥内嵌在文件中。具体地,在初始化过程中,将生成的私钥编译在加密文件系统的build版本中。同时,将生成的公钥发送给授权的用户,以便用户用于加密第一密钥。同样的,在初始化过程中,可随机生成第一密钥。第一密钥可根据对称算法生成。
S40、根据所述第一密钥解密并挂载加密文件系统。
步骤S40中,在解密第一密钥之后,使用第一密钥解密加密文件系统。加密文件系统被解密后,可正常挂载。在正常挂载之后,还可设置不同的访问权限,对应不同的访问账号。
可选的,在所述根据所述系统加密密钥解密并挂载加密文件系统之后,还包括:
监测实时的设备操作输入;
判断所述实时的设备操作输入是否与预设设备操作输入匹配;
若所述实时的设备操作输入与预设设备操作输入匹配,则停止挂载所述加密文件系统。
本实施例中,为防止加密文件系统保护的数据因非法的设备操作输入而导致数据被盗用,还可添加监控进程,检测设备操作输入。预设设备操作输入包括但不限于修改账号密码、接入新的存储设备,如接入新的U盘。在一实例中,当服务器插入U盘时,监控进程监测到该设备操作输入,立即停止挂载(英文为:unmount)加密文件系统。当加密文件系统停止挂载时,在系统上存储的数据将不会被盗用。
可选的,在所述从存储的配置文件提取预存环境参数之前,还包括:
检查系统启动时间;
在所述系统启动时间的指定时间内未完成挂载加密文件系统或存在账号登陆时,停止挂载所述加密文件系统。
本实施例中,采取检查系统启动时间及检查是否存在账号登陆的事件,主要目的在于防止攻击者在服务器端绕过硬件检测,进而窃取加密文件系统的数据。其中,账号登录事件包括使用启动盘启动系统的事件。在一实例中,攻击者使用启动盘启动系统,加载硬盘系统,读取并备份想要改动的文件(比如修改账号密码:/etc/shadow)的所有参数,这些参数包括HASH值、MTIME(内容修改时间)、CTIME(状态修改时间)等,然后修改系统帐号;再重启硬盘系统,并使用修改后的系统帐号登录重启后的硬盘系统,加密文件系统虽然无法加载,但在硬盘系统登录后,杀死监控进程,恢复所有被修改的文件,并更改恢复的文件的属性,然后手动加载加密文件系统。此时加密文件系统被破坏,无法起到保护作用。在添加检查系统启动时间及检查是否存在账号登陆的措施后,攻击者就算使用修改后密码登陆成功并用技术手段恢复了所有修改文件的所有状态,加密文件系统也会因为监测到有登陆用户且超过1个给定的加载时间点而不会加载加密文件系统,从而保证了加密文件系统的数据安全。
因而加密文件系统的挂载必须确保在系统启动后的指定时间内且在没有存在指定事件,也就是说在系统启动后的指定时间内,若未完成挂载加密文件,或者存在账号登陆时,则停止挂载加密文件系统。指定时间可根据实际需要进行设定,如设为10s或15s。
可选的,在所述判断启动系统的环境参数是否与所述预存环境参数匹配之后,还包括:
若所述启动系统的环境参数与所述预存环境参数不匹配,则停止挂载所述加密文件系统。
本实施例中,若启动系统的环境参数与预存环境参数不匹配,则停止挂载加密文件系统。在一实例中,若硬件环境发生变化,则停止挂载加密文件系统。攻击者无法通过复制磁盘的方式盗取加密文件系统中保护的数据。
可选的,在所述停止挂载所述文件系统之后,还包括:
获取用于加密第一密钥的公钥;
根据所述公钥以及更新的环境参数建立第二系统快照数据;
移除所述公钥后重启系统,解密并挂载加密文件系统。
本实施例中,当用户需要更新加密文件系统,或者软硬件环境的变化将导致加密文件系统挂载失败时,用户需提供公钥,然后重新建立快照并更新初始配置文件。在上述操作后,移除公钥,然后重启系统,此时加密文件系统将自动解密并挂载。
可选的,在所述在启动系统后,从存储的配置文件提取预存环境参数之前,包括:
生成第一密钥和第二密钥;
根据所述第二密钥加密所述第一密钥;
生成第一系统快照数据,所述第一系统快照数据包括系统配置、硬件信息、二进制库、可执行文件和内核中的至少一种;
计算所述第一系统快照数据的Hash值并使用所述第二密钥加密所述Hash值;
将加密后的Hash值写入所述配置文件;
根据所述第一密钥加密文件系统,生成所述加密文件系统。
本实施例涉及加密文件系统的初始化过程。在一初始化过程中,首先生成第一密钥和第二密钥。
具体的,所述生成第一密钥和第二密钥,包括:
根据PKI算法生成所述第二密钥,所述第二密钥包括公钥和私钥;
根据AES算法生成第一密钥,所述第一密钥包括AES密钥、密钥向量和Salt。
可根据PKI算法生成第二密钥,具体包括公钥和私钥。公钥用于加密第一密钥,同时还将发送给授权的用户。私钥则用于解密经公钥加密的第一密钥。
根据AES算法生成第一密钥,第一密钥包括AES密钥、密钥向量(IV)和Salt。其中,在密码学中,Salt(盐)是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。在AES密钥的基础上,增加密钥向量(IV)和Salt,有利于防止加密文件系统被破解。
具体的,所述根据PKI算法生成所述第二密钥,所述第二密钥包括公钥和私钥之后,还包括:
将所述私钥处理成私钥字节数组;
将所述私钥字节数组通过异或移位处理编译入预设程序。
本实施例中,为了防止私钥被盗用,私钥将内嵌于加密文件系统的预设程序内。具体方式为,初始化过程中,将私钥处理成私钥字节数组,然后通过异或移位的方式编译入预设程序中。在加密文件系统的版本发生更新时,预设程序中也将加入新生成的私钥。在挂载加密文件系统,当环境参数与预存环境参数匹配,将调用预设程序中的私钥,使用私钥解密加密后的第一密钥。
根据所述第二密钥加密所述第一密钥;
生成第一系统快照数据,所述第一系统快照数据包括系统配置、硬件信息、二进制库、可执行文件和内核中的至少一种;
计算所述第一系统快照数据的Hash值并使用所述第二密钥加密所述Hash值;
将加密后的Hash值写入所述配置文件;
根据所述第一密钥加密文件系统,生成所述加密文件系统。
在生成第一密钥和第二密钥之后,使用第二密钥中的私钥加密第一密钥。然后生成当前系统的第一系统快照数据。第一系统快照数据包括系统配置、硬件信息、二进制库、可执行文件和内核中的至少一种。快照(Snapshot)是关于指定数据集合的一个完全可用拷贝,该拷贝包括相应数据在某个时间点(拷贝开始的时间点)的映像。同时,快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品,或者指向保存在存储设备中的数据的引用标记或指针。
生成第一快照数据之后,计算第一快照数据的Hash值。Hash值将用于检验系统的完整性。在一实例中,使用第二密钥中的公钥加密上述Hash值。然后将加密后的Hash值写入所述配置文件。使用第一密钥的AES密钥、密钥向量(IV)和Salt加密当前的文件系统,然后置入配置文件,可生成完整的加密文件系统。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
实施例二:
请参照图2,本发明还提出了一种加密文件系统挂载装置,包括:
提取模块10,用于在启动系统后,从存储的配置文件提取预存环境参数;
判断模块20,用于判断启动系统的环境参数是否与所述预存环境参数匹配;
第一解密模块30,用于若与所述预存环境参数匹配,则解密第一密钥;
第二解密模块40,用于根据所述第一密钥解密并挂载加密文件系统。
可选的,加密文件系统挂载装置还包括:
监测模块,用于监测实时的设备操作输入;
输入判断模块,用于判断所述实时的设备操作输入是否与预设设备操作输入匹配;
第一停止挂载模块,用于若所述实时的设备操作输入与预设设备操作输入匹配,则停止挂载所述加密文件系统。
可选的,加密文件系统挂载装置还包括:
检测模块,用于检查系统启动时间;
第二停止挂载模块,用于在所述系统启动时间的指定时间内未完成挂载加密文件系统或存在账号登陆时,停止挂载所述加密文件系统。
可选的,加密文件系统挂载装置还包括:
第三停止挂载模块,用于若所述启动系统的环境参数与所述预存环境参数不匹配,则停止挂载所述加密文件系统。
可选的,加密文件系统挂载装置还包括:
获取公钥模块,用于获取用于加密第一密钥的公钥;
建立快照模块,用于根据所述公钥以及更新的环境参数建立第二系统快照数据;
解密挂载模块,用于移除所述公钥后重启系统,解密并挂载加密文件系统。
可选的,加密文件系统挂载装置还包括初始化模块,所述初始化模块包括:
密钥生成单元,用于生成第一密钥和第二密钥;
密钥加密单元,用于根据所述第二密钥加密所述第一密钥;
生成快照单元,用于生成第一系统快照数据,所述第一系统快照数据包括系统配置、硬件信息、二进制库、可执行文件和内核中的至少一种;
计算Hash值单元,用于计算所述第一系统快照数据的Hash值并使用所述第二密钥加密所述Hash值;
Hash值写入单元,用于将加密后的Hash值写入所述配置文件;
加密系统单元,用于根据所述第一密钥加密文件系统,生成所述加密文件系统。
可选的,密钥生成单元包括:
第二密钥生成单元,用于根据PKI算法生成所述第二密钥,所述第二密钥包括公钥和私钥;
第一密钥生成单元,用于根据AES算法生成第一密钥,所述第一密钥包括AES密钥、密钥向量和Salt。
可选的,初始化模块包括:
私钥处理单元,用于将所述私钥处理成私钥字节数组;
私钥编译单元,用于将所述私钥字节数组通过异或移位处理编译入预设程序。
实施例三:
图3是本申请一实施例提供的终端设备的示意图。如图3所示,该实施例的终端设备3包括:处理器33、存储器31以及存储在所述存储器31中并可在所述处理器33上运行的计算机程序32,例如加密文件系统挂载程序。所述处理器33执行所述计算机程序32时实现上述各个加密文件系统挂载方法实施例中的步骤,例如图1所示的步骤S10至S40。或者,所述处理器33执行所述计算机程序32时实现上述各装置实施例中各模块/单元的功能,例如图2所示模块10至40的功能。
示例性的,所述计算机程序32可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器31中,并由所述处理器33执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序32在所述终端设备3中的执行过程。例如,所述计算机程序32可以被分割成提取模块、判断模块、第一解密模块、第二解密模块(虚拟装置中的模块),各模块具体功能如下:
提取模块,用于在启动系统后,从存储的配置文件提取预存环境参数;
判断模块,用于判断启动系统的环境参数是否与所述预存环境参数匹配;
第一解密模块,用于若与所述预存环境参数匹配,则解密第一密钥;
第二解密模块,用于根据所述第一密钥解密并挂载加密文件系统。
所述终端设备3可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器33、存储器31。本领域技术人员可以理解,图3仅仅是终端设备3的示例,并不构成对终端设备3的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器33可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器31可以是所述终端设备3的内部存储单元,例如终端设备3的硬盘或内存。所述存储器31也可以是所述终端设备3的外部存储设备,例如所述终端设备3上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器31还可以既包括所述终端设备3的内部存储单元也包括外部存储设备。所述存储器31用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器31还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (10)
1.一种加密文件系统挂载方法,其特征在于,包括:
在启动系统后,从存储的配置文件提取预存环境参数;
判断启动系统的环境参数是否与所述预存环境参数匹配;
若与所述预存环境参数匹配,则解密第一密钥;
根据所述第一密钥解密并挂载加密文件系统。
2.根据权利要求1所述的加密文件系统挂载方法,其特征在于,在所述根据所述系统加密密钥解密并挂载加密文件系统之后,还包括:
监测实时的设备操作输入;
判断所述实时的设备操作输入是否与预设设备操作输入匹配;
若所述实时的设备操作输入与预设设备操作输入匹配,则停止挂载所述加密文件系统。
3.根据权利要求1所述的加密文件系统挂载方法,其特征在于,在所述从存储的配置文件提取预存环境参数之前,还包括:
检查系统启动时间;
在所述系统启动时间的指定时间内未完成挂载加密文件系统或存在账号登陆时,停止挂载所述加密文件系统。
4.根据权利要求1所述的加密文件系统挂载方法,其特征在于,在所述判断启动系统的环境参数是否与所述预存环境参数匹配之后,还包括:
若所述启动系统的环境参数与所述预存环境参数不匹配,则停止挂载所述加密文件系统。
5.根据权利要求2-4任意一项所述的加密文件系统挂载方法,其特征在于,在所述停止挂载所述文件系统之后,还包括:
获取用于加密第一密钥的公钥;
根据所述公钥以及更新的环境参数建立第二系统快照数据;
移除所述公钥后重启系统,解密并挂载加密文件系统。
6.根据权利要求1所述的加密文件系统挂载方法,其特征在于,在所述在启动系统后,从存储的配置文件提取预存环境参数之前,包括:
生成第一密钥和第二密钥;
根据所述第二密钥加密所述第一密钥;
生成第一系统快照数据,所述第一系统快照数据包括系统配置、硬件信息、二进制库、可执行文件和内核中的至少一种;
计算所述第一系统快照数据的Hash值并使用所述第二密钥加密所述Hash值;
将加密后的Hash值写入所述配置文件;
根据所述第一密钥加密文件系统,生成所述加密文件系统。
7.根据权利要求6所述的加密文件系统挂载方法,其特征在于,所述生成第一密钥和第二密钥,包括:
根据PKI算法生成所述第二密钥,所述第二密钥包括公钥和私钥;
根据AES算法生成第一密钥,所述第一密钥包括AES密钥、密钥向量和Salt。
8.一种加密文件系统挂载装置,其特征在于,包括:
提取模块,用于在启动系统后,从存储的配置文件提取预存环境参数;
判断模块,用于判断启动系统的环境参数是否与所述预存环境参数匹配;
第一解密模块,用于若与所述预存环境参数匹配,则解密第一密钥;
第二解密模块,用于根据所述第一密钥解密并挂载加密文件系统。
9.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810723541.5A CN109033869A (zh) | 2018-07-04 | 2018-07-04 | 加密文件系统挂载方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810723541.5A CN109033869A (zh) | 2018-07-04 | 2018-07-04 | 加密文件系统挂载方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109033869A true CN109033869A (zh) | 2018-12-18 |
Family
ID=65521720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810723541.5A Pending CN109033869A (zh) | 2018-07-04 | 2018-07-04 | 加密文件系统挂载方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109033869A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110289957A (zh) * | 2019-07-03 | 2019-09-27 | 山东浪潮通软信息科技有限公司 | 一种通用的系统间文件交互加解密方法 |
| CN110457083A (zh) * | 2019-07-04 | 2019-11-15 | 深圳市中易通安全芯科技有限公司 | 一种芯片文件系统的启动方法及装置 |
| CN111400735A (zh) * | 2020-03-17 | 2020-07-10 | 北京百度网讯科技有限公司 | 数据传输方法、装置、电子设备及计算机可读存储介质 |
| CN112950199A (zh) * | 2021-02-04 | 2021-06-11 | 中国联合网络通信集团有限公司 | 通信标识的防盗用方法和服务器 |
| CN113094107A (zh) * | 2021-03-18 | 2021-07-09 | 深圳市道通智能汽车有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113239378A (zh) * | 2021-05-17 | 2021-08-10 | 中国电子科技集团公司第三十研究所 | BitLocker加密卷的口令恢复方法、设备及介质 |
| CN113407504A (zh) * | 2021-06-15 | 2021-09-17 | 中科曙光国际信息产业有限公司 | 一种数据处理方法、用户空间文件系统以及存储介质 |
| CN113806787A (zh) * | 2021-11-19 | 2021-12-17 | 苏州浪潮智能科技有限公司 | 一种arm平台自动解密的方法、装置、设备及可读介质 |
| CN113839773A (zh) * | 2021-08-17 | 2021-12-24 | 厦门市美亚柏科信息股份有限公司 | 一种luks密钥离线提取方法、终端设备及存储介质 |
| CN116975896A (zh) * | 2023-09-21 | 2023-10-31 | 深圳市英洛迪科技有限公司 | 一种用于硬盘数据加密的安全存储系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护系统及方法 |
| CN103198262A (zh) * | 2013-03-28 | 2013-07-10 | 厦门亿联网络技术股份有限公司 | 一种嵌入式设备flash文件系统加密方法 |
| CN103823692A (zh) * | 2013-12-31 | 2014-05-28 | 北京华虹集成电路设计有限责任公司 | 一种计算机操作系统启动方法 |
| CN104216743A (zh) * | 2014-08-27 | 2014-12-17 | 中国船舶重工集团公司第七0九研究所 | 可配置的虚拟机启动完整性维护的方法及系统 |
| CN105488418A (zh) * | 2015-11-24 | 2016-04-13 | 航天恒星科技有限公司 | 一种虚拟化平台服务器的可信启动方法及系统 |
| CN106919811A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN107315945A (zh) * | 2017-07-11 | 2017-11-03 | 北京洋浦伟业科技发展有限公司 | 一种电子设备的磁盘解密方法和装置 |
| CN107451138A (zh) * | 2016-05-30 | 2017-12-08 | 中兴通讯股份有限公司 | 一种分布式文件系统存储方法和系统 |
-
2018
- 2018-07-04 CN CN201810723541.5A patent/CN109033869A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101901313A (zh) * | 2010-06-10 | 2010-12-01 | 中科方德软件有限公司 | 一种Linux文件保护系统及方法 |
| CN103198262A (zh) * | 2013-03-28 | 2013-07-10 | 厦门亿联网络技术股份有限公司 | 一种嵌入式设备flash文件系统加密方法 |
| CN103823692A (zh) * | 2013-12-31 | 2014-05-28 | 北京华虹集成电路设计有限责任公司 | 一种计算机操作系统启动方法 |
| CN104216743A (zh) * | 2014-08-27 | 2014-12-17 | 中国船舶重工集团公司第七0九研究所 | 可配置的虚拟机启动完整性维护的方法及系统 |
| CN105488418A (zh) * | 2015-11-24 | 2016-04-13 | 航天恒星科技有限公司 | 一种虚拟化平台服务器的可信启动方法及系统 |
| CN106919811A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN107451138A (zh) * | 2016-05-30 | 2017-12-08 | 中兴通讯股份有限公司 | 一种分布式文件系统存储方法和系统 |
| CN107315945A (zh) * | 2017-07-11 | 2017-11-03 | 北京洋浦伟业科技发展有限公司 | 一种电子设备的磁盘解密方法和装置 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110289957A (zh) * | 2019-07-03 | 2019-09-27 | 山东浪潮通软信息科技有限公司 | 一种通用的系统间文件交互加解密方法 |
| CN110457083A (zh) * | 2019-07-04 | 2019-11-15 | 深圳市中易通安全芯科技有限公司 | 一种芯片文件系统的启动方法及装置 |
| CN111400735A (zh) * | 2020-03-17 | 2020-07-10 | 北京百度网讯科技有限公司 | 数据传输方法、装置、电子设备及计算机可读存储介质 |
| CN112950199A (zh) * | 2021-02-04 | 2021-06-11 | 中国联合网络通信集团有限公司 | 通信标识的防盗用方法和服务器 |
| CN112950199B (zh) * | 2021-02-04 | 2023-06-23 | 中国联合网络通信集团有限公司 | 通信标识的防盗用方法和服务器 |
| CN113094107A (zh) * | 2021-03-18 | 2021-07-09 | 深圳市道通智能汽车有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113094107B (zh) * | 2021-03-18 | 2023-12-22 | 深圳市塞防科技有限公司 | 数据保护方法、装置、设备及计算机存储介质 |
| CN113239378B (zh) * | 2021-05-17 | 2022-03-18 | 中国电子科技集团公司第三十研究所 | BitLocker加密卷的口令恢复方法、设备及介质 |
| CN113239378A (zh) * | 2021-05-17 | 2021-08-10 | 中国电子科技集团公司第三十研究所 | BitLocker加密卷的口令恢复方法、设备及介质 |
| CN113407504B (zh) * | 2021-06-15 | 2023-05-23 | 中科曙光国际信息产业有限公司 | 一种数据处理方法、用户空间文件系统以及存储介质 |
| CN113407504A (zh) * | 2021-06-15 | 2021-09-17 | 中科曙光国际信息产业有限公司 | 一种数据处理方法、用户空间文件系统以及存储介质 |
| CN113839773A (zh) * | 2021-08-17 | 2021-12-24 | 厦门市美亚柏科信息股份有限公司 | 一种luks密钥离线提取方法、终端设备及存储介质 |
| CN113806787A (zh) * | 2021-11-19 | 2021-12-17 | 苏州浪潮智能科技有限公司 | 一种arm平台自动解密的方法、装置、设备及可读介质 |
| CN116975896A (zh) * | 2023-09-21 | 2023-10-31 | 深圳市英洛迪科技有限公司 | 一种用于硬盘数据加密的安全存储系统 |
| CN116975896B (zh) * | 2023-09-21 | 2023-11-24 | 深圳市英洛迪科技有限公司 | 一种用于硬盘数据加密的安全存储系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109033869A (zh) | 加密文件系统挂载方法及装置 | |
| US7870399B2 (en) | Software trusted platform module and application security wrapper | |
| CN106687980B (zh) | 管理程序和虚拟机保护 | |
| CN107003866A (zh) | 来自加密模板的加密虚拟机的安全创建 | |
| EP1542112A1 (en) | Open type general-purpose attack-resistant cpu, and application system thereof | |
| CN105740725B (zh) | 一种文件保护方法与系统 | |
| US11831753B2 (en) | Secure distributed key management system | |
| WO2019229234A1 (en) | Shared secret establishment | |
| CN112257086B (zh) | 一种用户隐私数据保护方法及电子设备 | |
| CN113722683B (zh) | 模型保护方法、装置、设备、系统以及存储介质 | |
| CN111191195A (zh) | 一种用于保护apk的方法和装置 | |
| JP7256862B2 (ja) | 保護されたコンテナ間のセキュア通信方法およびそのシステム | |
| CN115580413B (zh) | 一种零信任的多方数据融合计算方法和装置 | |
| EP4319041A1 (en) | Cipher card and root key protection method therefor, and computer readable storage medium | |
| CN108898008B (zh) | 应用程序的运行方法和装置 | |
| CN107133512A (zh) | Pos终端控制方法和装置 | |
| CN107315945B (zh) | 一种电子设备的磁盘解密方法和装置 | |
| CN102004887A (zh) | 程序保护方法和装置 | |
| CN107257282A (zh) | 一种基于rc4算法的代码全包加密方法 | |
| CN112866216B (zh) | 一种用于对文件加密的方法及系统 | |
| CN110932853B (zh) | 一种基于可信模块的密钥管理装置和密钥管理方法 | |
| CN110619194B (zh) | 一种升级包加密、解密方法及装置 | |
| EP2517140B1 (en) | Securing execution of computational resources | |
| Mohammad et al. | Required policies and properties of the security engine of an SoC | |
| CN112825093B (zh) | 安全基线检查方法、主机、服务器、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181218 |