WO2013040915A1 - 文件加密方法和装置、文件解密方法和装置 - Google Patents

Abstract

本发明公开了一种文件加密方法和装置、文件解密方法和装置。其中，文件加密方法包括：创建虚拟磁盘；所述虚拟磁盘接收来自文件系统的写请求，对写请求携带的数据进行加密，并通知文件系统将加密后的数据写入至对应的物理磁盘，以使文件系统接收到来自虚拟磁盘的通知后将加密后的数据写入至对应的物理磁盘。本发明的文件加密方法和装置、文件解密方法和装置利用虚拟磁盘对写请求中的数据进行加密、以及利用虚拟磁盘对读请求所请求的数据进行解密，可以实现可靠、安全、有效的文件加密。

Description

文件加密方法和装置、 文件解密方法和装置 本申请要求于 2011 年 9 月 22 日提交中国专利局、 申请号为 2011102838965、 发明名称为 "数据加密方法和装置、 数据解密方法和装置" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及数据处理技术， 特别涉及文件加密方法和装置、 文件解密方 法和装置。 背景技术

目前， 比较常用的文件加密技术主要有： 直接加密、 文件透明加密和系 统自带加密。 这三种加密技术虽然都能实现加密， 但都有各自的缺点， 下面 一一描述：

直接加密， 其用于直接对磁盘中的文件进行加密， 代表软件为 WinRar。 但是， 该直接加密的缺点是： 每次使用文件前进行手工解密， 使用完毕后再 手工进行加密， 非常依赖于手工操作， 比较复杂、 繁瑣。

文件透明加密， 其使用 Windows过滤驱动对文件进行动态加密、 解密， 克服了直接加密需要手工加密解密的缺点。 但是， 该文件透明加密具有以下 缺点： 由于使用的 Windows过滤驱动处于 Windows文件系统驱动之上， 因 此，使用 Windows过滤驱动之后还需要对所有文件操作进行大规模的过滤操 作， 严重影响系统性能。

基于上面描述可以看出， 一种可靠、 安全、 有效的文件加密方法是当前 亟待解决的技术问题。 发明内容

本发明的目的是提供一种文件加密方法和装置， 以实现可靠、 安全、 有 效的文件加密。 本发明的另一目的是提供一种与上述文件加密方法和装置对应的文件 解密方法和装置，以实现利用虚拟磁盘进行文件解密，不影响文件的读性能。

本发明的目的是通过以下技术方案实现的：

一种文件加密方法， 包括： 创建虚拟磁盘； 该方法还包括：

所述虚拟磁盘接收来自文件系统的写请求， 对写请求携带的数据进行加 密， 并通知文件系统将加密后的数据写入至对应的物理磁盘， 以使文件系统 接收到来自虚拟磁盘的通知后将加密后的数据写入至对应的物理磁盘。

一种文件解密方法， 包括： 创建虚拟磁盘； 该方法还包括：

A, 所述虚拟磁盘将接收的来自文件系统的读请求重定向至物理磁盘， 以使文件系统从所述物理磁盘中获取所述读请求所请求的数据；

B , 所述虚拟磁盘接收文件系统从所述物理磁盘获取的数据， 并对接收 的数据进行解密， 将解密后的数据发送给文件系统， 由文件系统提供解密后 的数据给用户端。

一种文件加密装置， 包括：

虚拟磁盘创建单元， 用于创建虚拟磁盘；

虚拟磁盘驱动单元， 用于接收来自文件系统的写请求， 对写请求携带的 数据进行加密， 并通知文件系统将加密后的数据写入至对应的物理磁盘， 以 使文件系统接收到来自虚拟磁盘的通知后将加密后的数据写入至对应的物 理磁盘。

一种文件解密装置， 包括：

虚拟磁盘创建单元， 用于创建虚拟磁盘；

虚拟磁盘驱动单元， 包括： 重定向模块和解密模块； 其中，

所述重定向模块， 用于将接收的来自文件系统的读请求重定向至物理磁 盘， 以使文件系统从所述物理磁盘中获取所述读请求所请求的数据；

解密模块， 用于接收文件系统从所述物理磁盘获取的数据， 并对接收的 数据进行解密， 将解密后的数据发送给文件系统， 由文件系统提供解密后的 数据给用户端。 由以上技术方案可以看出， 本发明中， 利用虚拟磁盘对写请求中的数据 进行加密、 以及利用虚拟磁盘对读请求所请求的数据进行解密， 提高了文件 加密的可靠性、 安全性和有效性。 附图概述

为了更清楚地说明本发明实施例的技术方案， 下面将对实施例描述中所 需要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图仅仅是本发 明的一些实施例， 对于本领域的普通技术人员来讲， 在不付出创造性劳动的 前提下， 还可以根据这些附图获得其他附图。

图 1为本发明实施例提供的虚拟磁盘建立方法流程图；

图 2为本发明实施例 1提供的基本流程图；

图 3为本发明实施例 1提供的详细流程图；

图 4为本发明实施例 1提供的装置结构图；

图 5为本发明实施例 2提供的基本流程图；

图 6为本发明实施例 2提供的详细流程图；

图 7为本发明实施例 2提供的装置结构图。

本发明的较佳实施方式

下面结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不 是全部的实施例。 基于本发明的实施例， 本领域普通技术人员在没有做出创 造性劳动前提下所获得的所有其他实施例， 都属于本发明的保护范围。

下面将结合附图对本发明实施例作进一步地详细描述。

本发明提供的文件加密方法和装置、 文件解密方法和装置均基于 Windows虚拟磁盘， 其中， 所谓虚拟磁盘其实质与现有的物理磁盘类似， 其 指 Windows里面的卷（ Volume ) , 与至少一个设备对应。

在描述本发明提供的文件加密方法和装置、 文件解密方法和装置之前， 先描述如何建立虚拟磁盘：

参见图 1 , 图 1为本发明实施例提供的虚拟磁盘建立方法流程图。 如图 1所示， 该流程可包括以下步骤：

步骤 101 , 对待建立的虚拟磁盘所对应的物理磁盘的文件进行初始化。 本步骤 101中， 虚拟磁盘所对应的物理磁盘的文件可由人工预先配置， 其具体为后缀为 "*.qbox" 的文件， 用于存放向该虚拟磁盘写入的数据。 也 就是说， 当向虚拟磁盘写入数据时， 需要将该数据重定向至该虚拟磁盘对应 的物理磁盘的文件； 当向该虚拟磁盘发送读请求以读取数据时， 需要将该读 请求重定向至该虚拟磁盘对应的物理磁盘的文件， 以获取该读请求所请求的 数据。

步骤 102, 在建立所述虚拟磁盘时， 要求用户提供使用所述物理磁盘文 件的密钥， 并验证用户提供的密钥， 如果验证通过， 则执行步骤 103 , 否贝' J , 返回步骤 102, 或者结束当前流程。

步骤 103 , 创建所述虚拟磁盘。

本步骤 103在具体实现时， 可包括以下步骤：

步骤 1 , 初始化运行在内核的驱动， 以使该驱动后续作为虚拟磁盘的驱 动， 来处理针对该虚拟磁盘的读请求、 写请求。 这里， 该驱动可为： Windows 可执行程序文件的一种， 后缀名为 ".sys" 。

步骤 2, 初始化内核加密、 解密线程。

这里， 线程为 Windows任务调度的基本单位， 内核加密线程为运行在系 统内核空间用于加密的线程， 内核解密线程为运行在系统内核空间用于解密 的线程。

需要说明的是，步骤 1和步骤 2仅是 Windows下创建虚拟磁盘所需要的 初始化工作的一种举例，在不同的 Windows环境中，该创建虚拟磁盘所需要 的初始化工作不同， 本发明并不具体限定。

步骤 3 , 使用用于创建虚拟磁盘的控件创建虚拟磁盘。

本步骤 3 中， 用于创建虚拟磁盘的控件具体实现时可为 Windows下的 IoCteateDevice控件。 另外， 本步骤 3 创建的虚拟磁盘具有唯一的标识， 比如为 \Device\HarddiskVolume2 , 也 具有 对应 的 设备类 型 ， 比 如 为 FILE_DEVICE_DISK, 用于表示是磁盘设备。

如此， 通过上述步骤 1至步骤 3 , 能够实现步骤 103创建虚拟磁盘的操 作。

优选地， 本发明中， 为了使该虚拟磁盘在用户态可见， 可使用盘符分配 控件比如 Windows下的 IoCreateSymbolicLink为虚拟磁盘分配盘符。 并且， 为了在 Windows的 "我的电脑"里面能够看到该分配的盘符， 本发明还需要 给这个设备安排一个符号连接。

至此， 涉及虚拟磁盘创建的主要工作已经执行。 但是， 考虑到本发明提 供的虚拟磁盘的即插即用特性，还需要通知所述虚拟磁盘至 Windows下的磁 盘挂载管理模块（MountManger ) ； 和 /或， 使用广播消息通知所述虚拟磁盘 至 Windows下的资源管理模块（Explorer ) , 以使所述资源管理模块重新枚 举该虚拟磁盘。

如此， 之后用户可按照类似对普通物理磁盘的读写操作对该虚拟磁盘执 行读写操作， 只不过在对该虚拟磁盘执行读写操作时， 该虚拟磁盘会将该读 写操作重定向至其对应的物理磁盘文件， 具体在下文实施例 1和实施例 2进 行描述。

实施例 1 :

本实施例 1基于上面描述的虚拟磁盘来描述文件加密方法。

参见图 2, 图 2为本发明实施例 1提供的基本流程图。 如图 2所示， 该 流程可包括以下步骤：

步骤 201 , 虚拟磁盘接收来自文件系统的写请求， 对写请求携带的数据 进行加密。

步骤 202, 虚拟磁盘通知文件系统将加密后的数据写入至对应的物理磁 盘， 以使文件系统接收到来自虚拟磁盘的通知后将加密后的数据写入至对应 的物理磁盘。

为使图 2所示的流程更加清楚， 下面通过图 3对图 2所示流程进行详细 描述：

参见图 3 , 图 3为本发明实施例 1提供的详细流程图。 如图 3所示， 该 流程可包括以下步骤：

步骤 301 , 用户使用如 WriteFile等用于发出写请求的控件在用户态发出 写请求。

该写请求携带了虚拟磁盘的标识， 以及向虚拟磁盘写入的数据。

其中，所述用户态用于表示步骤 301中发出写请求是在用户空间执行的。 步骤 302, 文件系统在内核态接收来自用户态的写请求， 发现所述写请 求携带了所述虚拟磁盘的标识， 则向虚拟磁盘发送该写请求。

具体地， 本实施例 1中的文件系统可为文件系统驱动 （FSD )或者其他 具有类似功能的模块。

其中， 所述内核态用于表示步骤 302中文件系统接收写请求是在内核空 间执行的。

步骤 303, 虚拟磁盘接收来自文件系统的写请求， 对写请求携带的数据 进行加密。

本步骤 303具体由虚拟磁盘的驱动执行的。

另外， 在 Windows系统下， 磁盘的读写始终是以簇为单位的， 一个簇的 大小大于 512字节且小于 64k字节， 并且为 2的 N次幂。 在 Windows系统 下 NTFS文件系统的默认簇大小是 4096字节， FAT32文件系统的默认簇大 小是 512字节。 因为磁盘的这个特性， 可以很方便的使用目前的各种主流算 法来对数据进行加密。

其中， 目前主流的加密算法主要分为流加密算法和块加密算法， 相比于 流加密算法， 块加密算法有最小加密长度和对齐要求， 其最小加密长度通常 是 2的 N次幂， 比如 8字节或 16字节或 32字节， 这样磁盘的最小读写单位 刚好可以保证边界是对齐的， 不需要为了使用块加密而增加无效数据。 而通 常透明加密里面为了使用块加密算法不得不在后面追写一些无效数据来实 现边界对齐。 优选地， 考虑到数据的安全性， 本发明实施例可使用块加密算 法中安全级别较高的 AES加密算法进行数据加密。 步骤 304 , 虚拟磁盘确定自身对应的物理磁盘中的文件， 用确定的物理 磁盘文件的标识替换写请求中虚拟磁盘的标识， 之后发送写请求至文件系 统。

本步骤 304确定的物理磁盘文件， 即为上述步骤 101所述的经过初始化 的文件。

另外， 本步骤 304具体是由虚拟磁盘的驱动执行的。 其中， 发送写请求 至文件系统， 是由该虚拟磁盘驱动使用如 ZWWriteFile等用于发出写请求的 控件实现的。

步骤 305 , 文件系统接收到来自虚拟磁盘的写请求后， 将该写请求中加 密后的数据写入至写请求中物理磁盘文件标识对应的物理磁盘文件。

至此， 即完成图 3所示的流程。

由于虚拟磁盘仅在内核态可见， 因此， 本实施例 1利用内核态的虚拟磁 盘对数据加密， 是用户态中的用户看不到的， 这样， 即使用户登录 Windows 也不可以随意读取， 实现了可靠的加密效果。

另外， 本实施例 1中， 仅利用虚拟磁盘对数据加密， 不影响普通的读写 性能， 对系统性能几乎无影响。

至此， 完成实施例 1提供的方法描述。 对应该实施例 1提供的方法， 本 实施例 1还提供了文件加密装置。

参见图 4, 图 4为本发明实施例 1提供的装置结构图。 如图 4所示， 该 装置包括：

虚拟磁盘创建单元， 用于创建虚拟磁盘；

虚拟磁盘驱动单元， 用于接收来自文件系统的写请求， 对写请求携带的 数据进行加密， 并通知文件系统将加密后的数据写入至对应的物理磁盘， 以 使文件系统接收到来自虚拟磁盘的通知后将加密后的数据写入至对应的物 理磁盘。

其中， 所述虚拟磁盘在内核态可见， 具有唯一的标识； 并且， 优选地， 如图 4所示， 该装置进一步包括：

虚拟磁盘通知单元， 用于在所述虚拟磁盘创建单元创建虚拟磁盘之后、 且在虚拟磁盘驱动单元接收写请求之前，通知所述虚拟磁盘至 Windows下的 磁盘挂载管理模块； 和 /或， 使用广播消息通知所述虚拟磁盘至 Windows下 的资源管理模块 Explorer, 以使所述资源管理模块重新枚举该虚拟磁盘。

本实施例 1中， 所述虚拟磁盘驱动单元包括：

接收模块， 用于接收来自文件系统的写请求；

加密模块， 用于对写请求携带的数据进行加密；

重定向模块， 用于确定所述虚拟磁盘对应的物理磁盘中的文件， 用确定 的物理磁盘文件的标识替换写请求中虚拟磁盘的标识， 之后发送写请求至文 件系统， 以使所述文件系统接收到来自虚拟磁盘的写请求后， 将该写请求中 加密后的数据写入至写请求中物理磁盘文件标识对应的物理磁盘文件。

本实施例中， 所述虚拟磁盘创建单元包括： 初始化模块、 处理模块和虚 拟磁盘建立模块； 其中，

初始化模块， 用于对所述虚拟磁盘所对应的物理磁盘中的文件进行初始 化；

处理模块， 用于在触发所述虚拟磁盘建立模块创建所述虚拟磁盘时， 要 求用户提供使用所述物理磁盘文件的密钥， 并验证用户提供的密钥， 如果验 证通过， 则触发所述初始化模块继续执行创建所述虚拟磁盘所需要的初始化 工作， 在检测到所述初始化模块完成所述初始化工作后， 触发所述虚拟磁盘 建立模块创建所述虚拟磁盘；

虚拟磁盘建立模块， 用于在所述处理模块的触发下创建所述虚拟磁盘。 至此， 完成实施例 1提供的装置描述。

下面对实施例 2进行描述：

实施例 2:

本实施例 2基于上面描述的虚拟磁盘来描述文件解密方法。

参见图 5 , 图 5为本发明实施例 2提供的基本流程图。 如图 5所示， 该 流程可包括以下步骤：

步骤 501 ,虚拟磁盘将接收的来自文件系统的读请求重定向至物理磁盘， 以使文件系统从所述物理磁盘中获取所述读请求所请求的数据。 步骤 502, 虚拟磁盘接收文件系统从所述物理磁盘获取的数据， 并对接 收的数据进行解密， 将解密后的数据发送给文件系统， 由文件系统提供解密 后的数据给用户端。

为使图 5所示的流程更加清楚， 下面通过图 6对图 5所示流程进行详细 描述：

参见图 6, 图 6为本发明实施例 2提供的详细流程图。 如图 6所示， 该 流程可包括以下步骤：

步骤 601 , 用户使用如 ReadFile等用于发出读请求的控件在用户态发出 读请求。

该读请求携带了虚拟磁盘的标识。

步骤 602, 文件系统在内核态接收来自用户态的读请求， 判断出所述读 请求携带了所述虚拟磁盘的标识， 则将所述读请求发送至所述虚拟磁盘。

具体地，本实施例 2中的文件系统可为 FSD或者其他具有类似功能的模 块。

步骤 603, 虚拟磁盘接收到来自文件系统的读请求后， 确定自身对应的 物理磁盘中的文件。

本步骤 603确定的物理磁盘文件， 即为上述步骤 101所述的经过初始化 的文件。

另外， 本步骤 603具体是由虚拟磁盘的驱动执行的。

步骤 604, 虚拟磁盘用确定的物理磁盘文件的标识替换读请求中虚拟磁 盘的标识， 并发送该读请求至文件系统。

本步骤 604的发送可由虚拟磁盘驱动使用如 ZWReadFile等用于发出读 请求的控件实现的。

步骤 605, 文件系统接收到来自虚拟磁盘的读请求后， 向与该读请求携 带的物理磁盘文件标识对应的物理磁盘文件发送读请求， 以从该物理磁盘文 件中获取所述读请求所请求的数据。 基于实施例 1的描述可以知道， 本步骤 605中， 文件系统获取的数据为 加密的数据。

步骤 606, 虚拟磁盘接收文件系统从所述物理磁盘获取的数据， 并对接 收的数据进行解密， 将解密后的数据发送给文件系统。

本步骤 606中实现解密的算法与实施例 1中的加密算法对应， 比如也可 为安全级别较高的 AES解密算法。

步骤 607, 文件系统提供解密后的数据给用户端。

至此， 完成图 6所示的流程。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储于 一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（ Read-Only Memory, ROM )或随机存^ ^己忆体 ( Random Access Memory, RAM )等。

下面对本实施例 2中提供的文件解密装置的结构进行描述。

参见图 7 , 图 7为本发明实施例 2提供的装置结构图。 如图 7所示， 该 装置包括：

虚拟磁盘创建单元， 用于创建虚拟磁盘；

虚拟磁盘驱动单元， 包括： 重定向模块和解密模块； 其中，

所述重定向模块， 用于将接收的来自文件系统的读请求重定向至物理磁 盘， 以使文件系统从所述物理磁盘中获取所述读请求所请求的数据；

解密模块， 用于接收文件系统从所述物理磁盘获取的数据， 并对接收的 数据进行解密， 将解密后的数据发送给文件系统， 由文件系统提供解密后的 数据给用户端。

其中， 所述虚拟磁盘在内核态可见， 具有唯一的标识； 并且， 如图 7所 示， 所述装置进一步包括：

虚拟磁盘通知单元， 用于在所述虚拟磁盘创建单元创建虚拟磁盘之后、 且在虚拟磁盘驱动单元接收读请求之前，通知所述虚拟磁盘至 Windows下的 磁盘挂载管理模块； 和 /或， 使用广播消息通知所述虚拟磁盘至 Windows下 的资源管理模块， 以使所述资源管理模块重新枚举该虚拟磁盘。

另外， 优选地， 如图 7所示， 所述重定向模块可包括：

确定子模块，用于接收到读请求后，确定自身对应的物理磁盘中的文件； 重定向子模块， 用于用确定的物理磁盘文件的标识替换读请求中虚拟磁 盘的标识， 并发送该读请求至文件系统， 以使文件系统接收到来自虚拟磁盘 的读请求后， 向与该读请求携带的物理磁盘文件标识对应的物理磁盘文件发 送读请求， 以从该物理磁盘文件中获取所述读请求所请求的数据。

本实施例中， 所述虚拟磁盘创建单元包括： 初始化模块、 处理模块和虚 拟磁盘建立模块； 其中，

初始化模块， 用于对所述虚拟磁盘所对应的物理磁盘中的文件进行初始 化；

处理模块， 用于在触发所述虚拟磁盘建立模块创建所述虚拟磁盘时， 要 求用户提供使用所述物理磁盘文件的密钥， 并验证用户提供的密钥， 如果验 证通过， 则触发所述初始化模块继续执行创建所述虚拟磁盘所需要的初始化 工作， 在检测到所述初始化模块完成所述初始化工作后， 触发所述虚拟磁盘 建立模块创建所述虚拟磁盘；

虚拟磁盘建立模块， 用于在所述处理模块的触发下创建所述虚拟磁盘。 至此， 完成实施例 2提供的装置描述。

由以上技术方案可以看出， 本发明中， 利用虚拟磁盘对写请求中的数据 进行加密、 以及利用虚拟磁盘对读请求所请求的数据进行解密， 提高了文件 加密的可靠性、 安全性和有效性。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围并不 局限于此， 任何熟悉本技术领域的技术人员在本发明披露的技术范围内， 可 轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明 的保护范围应该以权利要求书的保护范围为准。

工业实用性 本发明文件加密方法和装置、 文件解密方法和装置， 利用虚拟磁盘对写 请求中的数据进行加密、 以及利用虚拟磁盘对读请求所请求的数据进行解 密， 提高了文件加密的可靠性、 安全性和有效性。

Claims

权 利 要 求 书

1、 一种文件加密方法， 其特征在于， 创建虚拟磁盘； 该方法还包括： 所述虚拟磁盘接收来自文件系统的写请求， 对写请求携带的数据进行加 密， 并通知文件系统将加密后的数据写入至对应的物理磁盘， 以使文件系统 接收到来自虚拟磁盘的通知后将加密后的数据写入至对应的物理磁盘。

2、 根据权利要求 1 所述的方法， 其特征在于， 所述虚拟磁盘在内核态 可见， 具有唯一的标识；

在创建虚拟磁盘之后、 且在虚拟磁盘接收来自文件系统的写请求之前进 一步包括：

通知所述虚拟磁盘至 Windows下的磁盘挂载管理模块； 和 /或， 使用广播消息通知所述虚拟磁盘至 Windows下的资源管理模块，以使所 述资源管理模块重新枚举该虚拟磁盘。

3、 根据权利要求 2所述的方法， 其特征在于， 所述文件系统通过以下 步骤发送写请求给虚拟磁盘包括：

文件系统在内核态接收来自用户态的写请求， 判断出所述写请求携带了 所述虚拟磁盘的标识， 则将所述写请求发送至所述虚拟磁盘。

4、 根据权利要求 2所述的方法， 其特征在于， 所述虚拟磁盘通知文件 系统将加密后的数据写入至对应的物理磁盘包括： 所述虚拟磁盘确定自身对 应的物理磁盘中的文件， 用确定的物理磁盘文件的标识替换写请求中虚拟磁 盘的标识， 之后发送写请求至文件系统；

所述文件系统接收到来自虚拟磁盘的通知后将加密后的数据写入至对 应的物理磁盘包括： 所述文件系统接收到来自虚拟磁盘的写请求后， 将该写 请求中加密后的数据写入至写请求中物理磁盘文件标识对应的物理磁盘文 件。

5、 根据权利要求 1至 4任一所述的方法， 其特征在于， 所述创建虚拟 磁盘包括：

对所述虚拟磁盘所对应的物理磁盘中的文件进行初始化； 在创建所述虚拟磁盘时， 要求用户提供使用所述物理磁盘文件的密钥， 并验证用户提供的密钥， 如果验证通过， 则执行创建所述虚拟磁盘所需要的 初始化工作， 在完成初始化后使用用于创建虚拟磁盘的控件创建虚拟磁盘。

6、 一种文件解密方法， 其特征在于， 创建虚拟磁盘； 该方法包括： A, 所述虚拟磁盘将接收的来自文件系统的读请求重定向至物理磁盘， 以使文件系统从所述物理磁盘中获取所述读请求所请求的数据；

B , 所述虚拟磁盘接收文件系统从所述物理磁盘获取的数据， 并对接收 的数据进行解密， 将解密后的数据发送给文件系统， 由文件系统提供解密后 的数据给用户端。

7、 根据权利要求 6所述的方法， 其特征在于， 所述虚拟磁盘在内核态 可见， 具有唯一的标识；

在创建虚拟磁盘之后、 且在执行步骤 A之前进一步包括：

通知所述虚拟磁盘至 Windows下的磁盘挂载管理模块； 和 /或， 使用广播消息通知所述虚拟磁盘至 Windows下的资源管理模块，以使所 述资源管理模块重新枚举该虚拟磁盘。

8、 根据权利要求 7所述的方法， 其特征在于， 步骤 A中， 文件系统通 过以下步骤发送读请求至虚拟磁盘：

文件系统在内核态接收来自用户态的读请求， 判断出所述读请求携带了 所述虚拟磁盘的标识， 则将所述读请求发送至所述虚拟磁盘。

9、 根据权利要求 7所述的方法， 其特征在于， 步骤 A包括：

所述虚拟磁盘接收到读请求后， 确定自身对应的物理磁盘中的文件， 用 确定的物理磁盘文件的标识替换读请求中虚拟磁盘的标识， 并发送该读请求 至文件系统；

所述文件系统接收到来自虚拟磁盘的读请求后， 向与该读请求携带的物 理磁盘文件标识对应的物理磁盘文件发送读请求， 以从该物理磁盘文件中获 取所述读请求所请求的数据。

10、 根据权利要求 6至 9任一所述的方法， 其特征在于， 所述创建虚拟 磁盘包括：

对所述虚拟磁盘所对应的物理磁盘中的文件进行初始化；

在建立所述虚拟磁盘时， 要求用户提供使用所述物理磁盘文件的密钥， 并验证用户提供的密钥， 如果验证通过， 则执行创建所述虚拟磁盘所需要的 初始化工作， 在完成初始化后使用用于创建虚拟磁盘的控件创建虚拟磁盘。

11、 一种文件加密装置， 其特征在于， 该装置包括：

虚拟磁盘创建单元， 用于创建虚拟磁盘；

虚拟磁盘驱动单元， 用于接收来自文件系统的写请求， 对写请求携带的 数据进行加密， 并通知文件系统将加密后的数据写入至对应的物理磁盘， 以 使文件系统接收到来自虚拟磁盘的通知后将加密后的数据写入至对应的物 理磁盘。

12、 根据权利要求 11 所述的装置， 其特征在于， 所述虚拟磁盘在内核 态可见， 具有唯一的标识； 该装置进一步包括：

虚拟磁盘通知单元， 用于在所述虚拟磁盘创建单元创建虚拟磁盘之后、 且在虚拟磁盘驱动单元接收写请求之前，通知所述虚拟磁盘至 Windows下的 磁盘挂载管理模块； 和 /或， 使用广播消息通知所述虚拟磁盘至 Windows下 的资源管理模块， 以使所述资源管理模块重新枚举该虚拟磁盘。

13、 根据权利要求 12所述的装置， 其特征在于， 所述虚拟磁盘驱动单 元包括：

接收模块， 用于接收来自文件系统的写请求；

加密模块， 用于对写请求携带的数据进行加密；

重定向模块， 用于确定所述虚拟磁盘对应的物理磁盘中的文件， 用确定 的物理磁盘文件的标识替换写请求中虚拟磁盘的标识， 之后发送写请求至文 件系统， 以使所述文件系统接收到来自虚拟磁盘的写请求后， 将该写请求中 加密后的数据写入至写请求中物理磁盘文件标识对应的物理磁盘文件。

14、 根据权利要求 11至 13任一所述的装置， 其特征在于， 所述虚拟磁 盘创建单元包括： 初始化模块、 处理模块和虚拟磁盘建立模块； 其中， 初始化模块， 用于对所述虚拟磁盘所对应的物理磁盘中的文件进行初始 化；

处理模块， 用于在触发所述虚拟磁盘建立模块创建所述虚拟磁盘时， 要 求用户提供使用所述物理磁盘文件的密钥， 并验证用户提供的密钥， 如果验 证通过， 则触发所述初始化模块继续执行创建所述虚拟磁盘所需要的初始化 工作， 在检测到所述初始化模块完成所述初始化工作后， 触发所述虚拟磁盘 建立模块创建所述虚拟磁盘；

虚拟磁盘建立模块， 用于在所述处理模块的触发下创建所述虚拟磁盘。

15、 一种文件解密装置， 其特征在于， 该装置包括：

虚拟磁盘创建单元， 用于创建虚拟磁盘；

虚拟磁盘驱动单元， 包括： 重定向模块和解密模块； 其中，

所述重定向模块， 用于将接收的来自文件系统的读请求重定向至物理磁 盘， 以使文件系统从所述物理磁盘中获取所述读请求所请求的数据；

解密模块， 用于接收文件系统从所述物理磁盘获取的数据， 并对接收的 数据进行解密， 将解密后的数据发送给文件系统， 由文件系统提供解密后的 数据给用户端。

16、 根据权利要求 15 所述的装置， 其特征在于， 所述虚拟磁盘在内核 态可见， 具有唯一的标识； 所述装置进一步包括：

虚拟磁盘通知单元， 用于在所述虚拟磁盘创建单元创建虚拟磁盘之后、 且在虚拟磁盘驱动单元接收读请求之前，通知所述虚拟磁盘至 Windows下的 磁盘挂载管理模块； 和 /或， 使用广播消息通知所述虚拟磁盘至 Windows下 的资源管理模块， 以使所述资源管理模块重新枚举该虚拟磁盘。

17、 根据权利要求 15所述的装置， 其特征在于， 所述重定向模块包括： 确定子模块，用于接收到读请求后，确定自身对应的物理磁盘中的文件； 重定向子模块， 用于用确定的物理磁盘文件的标识替换读请求中虚拟磁 盘的标识， 并发送该读请求至文件系统， 以使文件系统接收到来自虚拟磁盘 的读请求后， 向与该读请求携带的物理磁盘文件标识对应的物理磁盘文件发 送读请求， 以从该物理磁盘文件中获取所述读请求所请求的数据。

18、 根据权利要求 15至 17任一所述的装置， 其特征在于， 所述虚拟磁 盘创建单元包括： 初始化模块、 处理模块和虚拟磁盘建立模块； 其中， 初始化模块， 用于对所述虚拟磁盘所对应的物理磁盘中的文件进行初始 化；

处理模块， 用于在触发所述虚拟磁盘建立模块创建所述虚拟磁盘时， 要 求用户提供使用所述物理磁盘文件的密钥， 并验证用户提供的密钥， 如果验 证通过， 则触发所述初始化模块继续执行创建所述虚拟磁盘所需要的初始化 工作， 在检测到所述初始化模块完成所述初始化工作后， 触发所述虚拟磁盘 建立模块创建所述虚拟磁盘；

虚拟磁盘建立模块， 用于在所述处理模块的触发下创建所述虚拟磁盘。