CN110188555B - 一种磁盘数据保护方法、系统及相关组件 - Google Patents
一种磁盘数据保护方法、系统及相关组件 Download PDFInfo
- Publication number
- CN110188555B CN110188555B CN201910451945.8A CN201910451945A CN110188555B CN 110188555 B CN110188555 B CN 110188555B CN 201910451945 A CN201910451945 A CN 201910451945A CN 110188555 B CN110188555 B CN 110188555B
- Authority
- CN
- China
- Prior art keywords
- file
- encryption
- initramfs
- disk
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请公开了一种磁盘数据保护方法,所述磁盘数据保护方法包括查询目标数据所在的磁盘分区,并通过预设加密方式对磁盘分区执行加密操作;确定加密后的磁盘分区对应的密钥文件;将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。本方法能够避免密钥文件被窃取,提高磁盘数据的安全性。本申请还公开了一种磁盘数据保护系统、一种计算机可读存储介质及一种电子设备,具有以上有益效果。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种磁盘数据保护方法、系统、一种计算机可读存储介质及一种电子设备。
背景技术
数据安全的目的是通过数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
目前,黑客为了获取虚拟机的权限、敏感程序或数据,往往通过虚拟机iso等镜像的救援(rescue)功能来获取和操作虚拟机镜像中的文件,或者通过修改认证文件和添加程序来获取虚拟机系统权限。相关技术中,为了保证磁盘中数据的安全,通过直接对磁盘数据进行加密处理以提高数据的安全性。但是,仅仅通过相关技术中的加密手段,黑客可以通过虚拟机iso等镜像救援功能获取密钥文件,进而获取磁盘中的数据。
因此,如何避免密钥文件被窃取,提高磁盘数据的安全性是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种磁盘数据保护方法、系统、一种计算机可读存储介质及一种电子设备,能够避免密钥文件被窃取,提高磁盘数据的安全性。
为解决上述技术问题,本申请提供一种磁盘数据保护方法,该磁盘数据保护方法包括:
查询目标数据所在的磁盘分区,并通过预设加密方式对磁盘分区执行加密操作;
确定加密后的磁盘分区对应的密钥文件;
将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。
可选的,在生成新的临时文件系统Initramfs之后,还包括:
按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件。
可选的,在按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件之后,还包括:
对合并文件执行加密操作。
可选的,预设加密方式包括LUKS加密、Ecryptfs加密、EncFS加密、loop-AES加密和Truecrypt加密中的任意一种。
可选的,该磁盘数据保护方法还包括:
记录文件修改信息并根据所述文件修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作;其中,所述文件修改信息为所述临时文件系统Initramfs更新为所述新的临时文件系统Initramfs的过程中系统文件的修改内容。
本申请还提供了一种磁盘数据保护系统,该磁盘数据保护系统包括:
磁盘加密模块,用于查询目标数据所在的磁盘分区,并通过预设加密方式对磁盘分区执行加密操作;
密钥确定模块,用于确定加密后的磁盘分区对应的密钥文件;
密钥隐藏模块,用于将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。
可选的,该磁盘数据保护系统还包括:
文件合并模块,用于在生成新的临时文件系统Initramfs之后,按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件。
可选的,该磁盘数据保护系统还包括:
文件加密模块,用于在按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件之后,对合并文件执行加密操作。
可选的,该磁盘数据保护系统预设加密方式包括LUKS加密、Ecryptfs加密、EncFS加密、loop-AES加密和Truecrypt加密中的任意一种。
可选的,该磁盘数据保护系统还包括:
开机引导修改模块,用于记录文件修改信息并根据所述文件修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作;其中,所述文件修改信息为所述临时文件系统Initramfs更新为所述新的临时文件系统Initramfs的过程中系统文件的修改内容。
本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序执行时实现上述磁盘数据保护方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时实现上述磁盘数据保护方法执行的步骤。
本申请提供了一种磁盘数据保护方法,包括查询目标数据所在的磁盘分区,并通过预设加密方式对磁盘分区执行加密操作;确定加密后的磁盘分区对应的密钥文件;将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。
本申请首先对目标数据所在的磁盘分区执行加密操作,并通过将加密后的磁盘分区对应的密钥文件获取路径添加至解压后的临时文件系统Initramfs的方式实现隐藏密钥文件。由于在加载过程中,磁盘只有boot分区和initramfs可用,其它磁盘还未加载。但是放在boot分区会存在黑客通过虚拟机iso镜像救援功能实现boot分区内容的获取,而临时文件系统initramfs由于自身特性无法被获取内容,故将密钥文件隐藏至临时文件系统Initramfs能够避免密钥文件的被窃取。因此,本申请能够避免密钥文件被窃取,提高磁盘数据的安全性。本申请同时还提供了一种磁盘数据保护系统、一种计算机可读存储介质和一种电子设备,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种磁盘数据保护方法的流程图;
图2为本申请实施例所提供的一种虚拟机镜像文件的保护方法的流程图;
图3为本申请实施例所提供的一种磁盘数据加密流程示意图;
图4为本申请实施例所提供的一种磁盘数据保护系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种磁盘数据保护方法的流程图。
具体步骤可以包括:
S101:查询目标数据所在的磁盘分区,并通过预设加密方式对磁盘分区执行加密操作;
其中,本步骤的目的在于对目标数据所在的磁盘分区进行加密处理,在本步骤之前可以存在接收到数据加密指令的操作,在接收到数据加密指令后根据数据加密指令确定目标数据及该目标数据所在的磁盘分区。本实施例本限定目标数据的大小及份数,也不限定磁盘分区的大小及份数。当存在多个磁盘分区时,可以采用多种预设加密方式对磁盘分区执行加密操作。
具体的预设加密方式可以包括LUKS加密、Ecryptfs加密、EncFS加密、loop-AES加密和Truecrypt加密中的任意一种。其中,LUKS(Linux Unified Key Setup)加密是Linux硬盘加密的标准,这种加密方式可以通过提供标准的磁盘格式,它不仅可以促进发行版之间的兼容性,还可以提供对多个用户密码的安全管理。LUKS将所有必要的设置信息存储在分区信息首部中,使用户能够无缝传输或迁移其数据,具有较好的安全性和稳定性。Ecryptfs加密是一个强大的本地加密软件,其支持的文件粒度为加密到每一个文件。EncFS加密是一个加密传递的文件系统,可以运行于Linux的用户空间并使用FUSE内核模块,所有写入该文件系统的文件都将被加密。Truecrypt加密可以支持Windows、Mac OS X和Linux系统。不同的加密方式均有其对应的特性,可以根据具体应用场景选择适当的加密方式,此处不进行具体的限定。
LUKS为Linux硬盘加密提供了一种标准,它不仅能通用于不同的Linux发行版本,还支持多用户/口令,因此作为一种可行的实施方式,可以选择LUKS加密的方式对磁盘分区执行加密操作。
加密后的磁盘分区被加载后,该磁盘分区上的数据无法被直接读取。本步骤在一定程度上提高了磁盘数据的安全性,能够防御一部分对于磁盘数据的窃取行为。
S102:确定加密后的磁盘分区对应的密钥文件;
其中,在对磁盘分区加密后,当需要使用该磁盘分区中的数据时,需要先对其进行解密,否则无法正常读取磁盘数据。由于S101存在对磁盘分区执行加密操作,因此本步骤确定的密钥文件是S101中预设加密方式相对应的密钥文件,通过该密钥文件对应的密钥文件能够对加密后的磁盘分区进行解密。
S103:将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。
其中,本步骤的目的是将密钥文件隐藏至临时文件系统Initramfs中,在本步骤之前可以存在解压临时文件系统Initramfs的操作得到临时文件系统Initramfs的解压文件,可以将密钥文件获取方式添加至解压后的临时文件系统Initramfs的解压文件(即相当于将密钥文件添加至解压后的临时文件系统Initramfs),可以对添加密钥文件之后的解压文件执行编译等操作得到新的临时文件系统Initramfs。需要说明的是,未解压的临时文件系统Initramfs作为一个整体的文件无法将密钥文件添加至其中,需要在本步骤之前执行解压临时文件系统Initramfs的操作才能向临时文件系统Initramfs中添加密钥文件。新的临时文件系统Initramfs中存在有密钥文件,无论S101中对于磁盘分区执行怎样的加密操作,都可以根据新的临时文件系统Initramfs获取密钥文件,进而实现对磁盘数据的解密。
相对于相关技术中将密钥文件存储至boot分区的方法,破解者无法通过虚拟机iso镜像救援的方式获取临时文件系统Initramfs中隐藏的密钥文件,进而保证的磁盘分区中目标数据的安全性。
作为一种可行的实施方式,在执行S103的过程中可以存在以下操作:记录文件修改信息并根据所述文件修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作;其中,所述文件修改信息为所述临时文件系统Initramfs更新为所述新的临时文件系统Initramfs的过程中系统文件的修改内容。也就是说,文件修改信息记录了原临时文件系统Initramfs发生了怎么样的变化得到了新的临时文件系统,在本实施例中文件修改信息具体指将密钥文件添加至临时文件系统Initramfs这一过程。因此,通过利用文件修改信息修改内核加载工具,可以使内核加载工具在执行系统引导加工操作时利用新的临时文件系统Initramfs的系统文件中获取密钥文件,进而利用密钥文件对磁盘分区执行相应的解密操作。
本实施例首先对目标数据所在的磁盘分区执行加密操作,并通过将加密后的磁盘分区对应的密钥文件获取路径添加至解压后的临时文件系统Initramfs的方式实现隐藏密钥文件。由于在加载过程中,磁盘只有boot分区和initramfs可用,其它磁盘还未加载。但是放在boot分区会存在黑客通过虚拟机iso镜像救援功能实现boot分区内容的获取,而临时文件系统initramfs由于自身特性无法被获取内容,故将密钥文件隐藏至临时文件系统Initramfs能够避免密钥文件的被窃取。因此,本实施例能够避免密钥文件被窃取,提高磁盘数据的安全性。
作为对于图1对应的实施例的进一步补充,在S103在生成新的临时文件系统Initramfs之后,还可以包括按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件。当目标数据为开机启动时需要调用的数据时,可以将开机启动时需要的内核文件和Initramfs的系统文件通过自定义的编码格式合并为一个合并文件。由于将内核文件与临时文件系统Initramfs的系统文件进行了合并,破解者无法确定内核文件和临时文件系统Initramfs的系统文件,因此通过上述文件合并的方式能够进一步提升目标数据的安全性。作为一种可行的实施方式,在按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件之后,还可以对合并文件执行加密操作,以便进一步提升安全性。新的临时文件系统Initramfs的系统文件中已经添加有密钥文件,通过将新的临时文件系统Initramfs的系统文件与内核文件合并得到合并文件能够提高非法窃取密钥文件的难度。新的临时文件系统Initramfs指对添加有密钥文件的临时文件系统Initramfs的解压文件进行压缩后得到的文件系统。也就是说,上述对于图1对应实施例的补充在已经将密钥文件添加至临时文件系统Initramfs的系统文件基础上,进一步将临时文件系统Initramfs的系统文件与内核文件进行合并得到合并文件,相当于密钥文件存在于最终得到的合并文件中。
作为对于图1对应的实施例的进一步补充,当目标数据为系统启动时需要的数据时,对启动文件执行上述修改(如密钥隐藏、文件合并、合并文件加密等)后系统无法识别,因此可以记录系统启动文件的修改信息并根据修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作。系统启动文件包括临时文件系统Initramfs的系统文件和内核文件。上述补充相当于是在对系统启动文件进行修改之后,对系统引导加载流程执行的适应性调整。例如,在执行图1对应的实施例和上述补充之前,可以直接获取boot分区的密钥文件实现目标数据解密操作,而在执行上述操作之后,若想解密目标数据需要先利用密钥KEY对合并文件解密,再按照预设编码格式进行解码得到临时文件系统Initramfs,利用临时文件系统Initramfs中隐藏的密钥文件获取密钥文件,最终实现解密磁盘分区得到目标数据。
下面通过在实际应用中虚拟机镜像文件保护方法说明上述实施例描述的流程,目前虚拟机镜像面临的安全问题主要是两种,一种是攻击者可以获取虚拟机的权限,如root权限,另一种是攻击者可以直接读取虚拟机中的敏感程序或者数据。破解者达到以上两种目的的方式可以包括以下三种:(1)通过grub的edit功能(single模式)对虚拟机进行权限破解,直接获取root权限;(2)直接加载虚拟机的vmdk文件,从而获取其中的敏感程序和数据;(3)通过虚拟机iso等镜像的救援(rescue)功能来获取和操作虚拟机镜像中的文件,也可以修改认证文件和添加程序来获取系统权限。请参见图2,图2为本申请实施例所提供的一种虚拟机镜像文件的保护方法的流程图。
S201:查询虚拟机镜像文件所在的磁盘分区,并通过LUKS加密方式对磁盘分区执行加密操作;
其中,本实施例中的虚拟机操作系统可以为Linux系统,本步骤首先将Linux系统需要保护的各磁盘分区通过LUKS进行加密,加密后的磁盘分区被加载后,数据无法被直接读取。
S202:确定加密后的磁盘分区对应的密钥文件;
在S201对磁盘加密后,需要在开机时能够解密,因此需要对系统启动时用到的文件做修改,在本步骤中确定了磁盘分区对应的密钥文件,系统启动时用到的文件可以包括临时文件系统Initramfs的系统文件和内核文件。
S203:将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。
在虚拟机开机启动时,可以通过输入密码或密钥文件的当时解密磁盘,但是由于输入密码非常麻烦且容易被盗,因此本实施例采用密钥文件解密磁盘。需要说明的是密钥文件存放在boot分区中的情况下,破解者可以通过虚拟机iso等镜像的救援(rescue)功能获取到boot分区的内容,拿到密钥文件后就可以手动解密磁盘。所以,本实施例通过临时文件系统Initramfs将密钥文件隐藏起来。本实施例可以先解压临时文件系统Initramfs,然后添加脚本修改密钥文件的获取方式,再重新制作Initramfs。这样就可以将密钥文件隐藏在Initramfs中。Initramfs是一个临时文件系统,它在启动阶段被Linux内核调用。
S204:按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件。
其中,本步骤为了提升安全性将开机启动时需要的内核文件和临时文件系统Initramfs的系统文件通过自定义的编码格式合并为了一个文件。
S205:对合并文件执行加密操作。
为了进一步提升安全性,本实施例又对合并后的文件进行了加密。加密后没有key就无法拆分合并的文件。经过上述这些修改后,密钥文件极其安全,提升了非法获取的难度。具体的,可以利用异或加密算法对合并文件进行加密。
S206:记录系统启动文件的修改信息,并根据修改信息修改内核加载工具grub2,以便利用修改后的内核加载工具grub2执行系统引导加载操作。
由于本实施例对启动文件进行了上述修改,系统可能存在无法识别的状况,因而不能正常开机启动。本实施例进一步通过对grub2的源码进行定制修改:加载内核文件和临时文件系统Initramfs的系统文件时,先对合并后的文件进行解密,再按自定义的编码格式解码,把解码后的文件当作常规的内核文件和临时文件系统Initramfs的系统文件进行处理。对grub2做以上修改后,重新编译,用编译后的可执行文件进行系统的引导加载。其中,内核加载工具grub2起到BootLoader的作用,BootLoader是加载内核的重要工具,没有BootLoader,内核无法被载入系统。请参见图3,图3为本申请实施例所提供的一种磁盘数据加密流程示意图,图3中initrd相当于上述提到的临时文件系统Initramfs,kernel为内核文件,随着加密流程的执行,磁盘中数据的安全等级逐步提高。图3中的五角星越多代表安全等级越高。
上述实施例针对普通虚拟机镜像容易被破解的现状,提出了一种虚拟机镜像保护方案。首先通过LUKS对磁盘进行加密,又对系统启动时用到的文件做了加密,还修改了开机启动时内核的引导加载过程。通过对系统运行的各个阶段进行防护,从而极大提升了镜像的安全性,可以对虚拟机进行有效的保护。
请参见图4,图4为本申请实施例所提供的一种磁盘数据保护系统的结构示意图;
该磁盘数据保护系统可以包括:
磁盘加密模块100,用于查询目标数据所在的磁盘分区,并通过预设加密方式对磁盘分区执行加密操作;
密钥确定模块200,用于确定加密后的磁盘分区对应的密钥文件;
密钥隐藏模块300,用于将密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs。
本实施例首先对目标数据所在的磁盘分区执行加密操作,并通过将加密后的磁盘分区对应的密钥文件获取路径添加至解压后的临时文件系统Initramfs的方式实现隐藏密钥文件。由于在加载过程中,磁盘只有boot分区和initramfs可用,其它磁盘还未加载。但是放在boot分区会存在黑客通过虚拟机iso镜像救援功能实现boot分区内容的获取,而临时文件系统initramfs由于自身特性无法被获取内容,故将密钥文件隐藏至临时文件系统Initramfs能够避免密钥文件的被窃取。因此,本实施例能够避免密钥文件被窃取,提高磁盘数据的安全性。
进一步的,还包括:
文件合并模块,用于在生成新的临时文件系统Initramfs之后,按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件。
进一步的,还包括:
文件加密模块,用于在按照预设编码格式将新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件之后,对合并文件执行加密操作。
进一步的,预设加密方式包括LUKS加密、Ecryptfs加密、EncFS加密、loop-AES加密和Truecrypt加密中的任意一种。
进一步的,还包括:
开机引导修改模块,用于记录文件修改信息并根据所述文件修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作;其中,所述文件修改信息为所述临时文件系统Initramfs更新为所述新的临时文件系统Initramfs的过程中系统文件的修改内容。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种计算机可读存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (8)
1.一种磁盘数据保护方法,其特征在于,包括:
查询目标数据所在的磁盘分区,并通过预设加密方式对所述磁盘分区执行加密操作;
确定加密后的所述磁盘分区对应的密钥文件;
将所述密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs;
按照预设编码格式将所述新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件;
记录文件修改信息并根据所述文件修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作;其中,所述文件修改信息为所述临时文件系统Initramfs更新为所述新的临时文件系统Initramfs的过程中系统文件的修改内容。
2.根据权利要求1所述磁盘数据保护方法,其特征在于,在按照预设编码格式将所述新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件之后,还包括:
对所述合并文件执行加密操作。
3.根据权利要求1所述磁盘数据保护方法,其特征在于,所述预设加密方式包括LUKS加密、Ecryptfs加密、EncFS加密、loop-AES加密和Truecrypt加密中的任意一种。
4.一种磁盘数据保护系统,其特征在于,包括:
磁盘加密模块,用于查询目标数据所在的磁盘分区,并通过预设加密方式对所述磁盘分区执行加密操作;
密钥确定模块,用于确定加密后的所述磁盘分区对应的密钥文件;
密钥隐藏模块,用于将所述密钥文件添加至解压后的临时文件系统Initramfs,并生成新的临时文件系统Initramfs;
文件合并模块,用于按照预设编码格式将所述新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件;
开机引导修改模块,用于记录文件修改信息并根据所述文件修改信息修改内核加载工具,以便利用修改后的内核加载工具执行系统引导加载操作;其中,所述文件修改信息为所述临时文件系统Initramfs更新为所述新的临时文件系统Initramfs的过程中系统文件的修改内容。
5.根据权利要求4所述磁盘数据保护系统,其特征在于,还包括:
文件加密模块,用于在按照预设编码格式将所述新的临时文件系统Initramfs的系统文件与内核文件合并为一个合并文件之后,对所述合并文件执行加密操作。
6.根据权利要求4所述磁盘数据保护系统,其特征在于,所述预设加密方式包括LUKS加密、Ecryptfs加密、EncFS加密、loop-AES加密和Truecrypt加密中的任意一种。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述磁盘数据保护方法的步骤。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述磁盘数据保护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910451945.8A CN110188555B (zh) | 2019-05-28 | 2019-05-28 | 一种磁盘数据保护方法、系统及相关组件 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910451945.8A CN110188555B (zh) | 2019-05-28 | 2019-05-28 | 一种磁盘数据保护方法、系统及相关组件 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110188555A CN110188555A (zh) | 2019-08-30 |
| CN110188555B true CN110188555B (zh) | 2023-09-05 |
Family
ID=67718303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910451945.8A Active CN110188555B (zh) | 2019-05-28 | 2019-05-28 | 一种磁盘数据保护方法、系统及相关组件 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110188555B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855434B (zh) * | 2019-11-14 | 2023-04-07 | Oppo广东移动通信有限公司 | 一种密钥处理方法、装置、终端设备及存储介质 |
| CN111695166B (zh) * | 2020-06-11 | 2023-06-06 | 阿波罗智联(北京)科技有限公司 | 磁盘加密保护方法及装置 |
| CN112270002B (zh) * | 2020-10-26 | 2024-03-22 | 北京指掌易科技有限公司 | 全盘加密方法、系统运行方法和电子设备 |
| CN112926101B (zh) * | 2021-03-31 | 2024-04-05 | 完美世界控股集团有限公司 | 磁盘分区加密方法、系统、设备,以及计算机可读介质 |
| CN113485757A (zh) * | 2021-07-22 | 2021-10-08 | 北京青云科技股份有限公司 | 一种系统启动过程中的解密方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103777953A (zh) * | 2014-01-26 | 2014-05-07 | 宝龙计算机系统(湖南)有限公司 | 一种制作类Unix操作系统升级包的方法和装置 |
| CN104809414A (zh) * | 2015-05-04 | 2015-07-29 | 深圳市创世达实业有限公司 | 一种防止冷启动攻击的u盘加密密钥存放方法 |
| US9305182B1 (en) * | 2011-08-22 | 2016-04-05 | Cloudflare, Inc. | Managing distribution of sensitive information |
| CN107025388A (zh) * | 2016-02-02 | 2017-08-08 | 上海格尔软件股份有限公司 | 一种基于tpm芯片实现系统盘与机器绑定的方法 |
| CN107273769A (zh) * | 2017-07-11 | 2017-10-20 | 北京洋浦伟业科技发展有限公司 | 一种电子设备的保护方法和装置 |
| CN107315945A (zh) * | 2017-07-11 | 2017-11-03 | 北京洋浦伟业科技发展有限公司 | 一种电子设备的磁盘解密方法和装置 |
| CN107679425A (zh) * | 2017-09-26 | 2018-02-09 | 天津麒麟信息技术有限公司 | 一种基于固件和USBkey的联合全盘加密的可信启动方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8566574B2 (en) * | 2010-12-09 | 2013-10-22 | International Business Machines Corporation | Secure encrypted boot with simplified firmware update |
| US20160063187A1 (en) * | 2014-08-29 | 2016-03-03 | Atigeo Corporation | Automated system for handling files containing protected health information |
| US10389693B2 (en) * | 2016-08-23 | 2019-08-20 | Hewlett Packard Enterprise Development Lp | Keys for encrypted disk partitions |
| US10909248B2 (en) * | 2017-06-29 | 2021-02-02 | Microsoft Technology Licensing, Llc | Executing encrypted boot loaders |
-
2019
- 2019-05-28 CN CN201910451945.8A patent/CN110188555B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9305182B1 (en) * | 2011-08-22 | 2016-04-05 | Cloudflare, Inc. | Managing distribution of sensitive information |
| CN103777953A (zh) * | 2014-01-26 | 2014-05-07 | 宝龙计算机系统(湖南)有限公司 | 一种制作类Unix操作系统升级包的方法和装置 |
| CN104809414A (zh) * | 2015-05-04 | 2015-07-29 | 深圳市创世达实业有限公司 | 一种防止冷启动攻击的u盘加密密钥存放方法 |
| CN107025388A (zh) * | 2016-02-02 | 2017-08-08 | 上海格尔软件股份有限公司 | 一种基于tpm芯片实现系统盘与机器绑定的方法 |
| CN107273769A (zh) * | 2017-07-11 | 2017-10-20 | 北京洋浦伟业科技发展有限公司 | 一种电子设备的保护方法和装置 |
| CN107315945A (zh) * | 2017-07-11 | 2017-11-03 | 北京洋浦伟业科技发展有限公司 | 一种电子设备的磁盘解密方法和装置 |
| CN107679425A (zh) * | 2017-09-26 | 2018-02-09 | 天津麒麟信息技术有限公司 | 一种基于固件和USBkey的联合全盘加密的可信启动方法 |
Non-Patent Citations (1)
| Title |
|---|
| 郭玉东 等编著.《Linux 原理与结构》.西安电子科技大学出版社,2012,第79-80页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110188555A (zh) | 2019-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110188555B (zh) | 一种磁盘数据保护方法、系统及相关组件 | |
| US20210294879A1 (en) | Securing executable code integrity using auto-derivative key | |
| RU2295834C2 (ru) | Инициализация, поддержание, обновление и восстановление защищенного режима работы интегрированной системы, использующей средство управления доступом к данным | |
| US9300640B2 (en) | Secure virtual machine | |
| KR102433011B1 (ko) | Apk 파일 보호 방법, 이를 수행하는 apk 파일 보호 시스템, 및 이를 저장하는 기록매체 | |
| EP3103048B1 (en) | Content item encryption on mobile devices | |
| US8281115B2 (en) | Security method using self-generated encryption key, and security apparatus using the same | |
| US20070074038A1 (en) | Method, apparatus and program storage device for providing a secure password manager | |
| CN107679370B (zh) | 一种设备标识生成方法及装置 | |
| EP2907071A1 (en) | Secure data handling by a virtual machine | |
| CN108134673B (zh) | 一种生成白盒库文件的方法及装置 | |
| US9292708B2 (en) | Protection of interpreted source code in virtual appliances | |
| KR20160117183A (ko) | Dll 파일 암호화 방법, 이를 수행하는 dll 파일 암호화 시스템, 및 이를 저장하는 기록매체 | |
| JP2007515723A (ja) | アクティブなエンティティを使用するソフトウェア実行保護 | |
| CN111159726B (zh) | 一种基于uefi环境变量的全盘加解密方法及系统 | |
| KR101405915B1 (ko) | 데이터의 암호화 저장 방법 및 암호화된 데이터의 판독방법 | |
| EP2341459A1 (en) | Method and device for detecting if a computer file has been copied and method and device for enabling such detection | |
| CN110674525A (zh) | 一种电子设备及其文件处理方法 | |
| KR101604892B1 (ko) | 안드로이드 기반 어플리케이션의 부정사용 방지 방법 및 장치 | |
| CN107688729B (zh) | 基于可信主机的应用程序保护系统及方法 | |
| JP6047718B2 (ja) | ライセンス管理システム、方法及びモジュール | |
| KR102326100B1 (ko) | 안전한 안드로이드 앱 생성 및 안드로이드 플랫폼에서의 앱 설치/실행을 위한 시스템 및 방법 | |
| KR102177920B1 (ko) | 원본코드 패킹장치 및 원본코드 패킹방법 | |
| Sonnleitner et al. | Indirect Data Representation Via Offset Vectoring: A Code-integrity-driven In-memory Data Regeneration Scheme. | |
| CN115114654A (zh) | 一种保护本地数字资源的方法、介质和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |