WO2013107362A1

WO2013107362A1 - 一种保护数据的方法和系统

Info

Publication number: WO2013107362A1
Application number: PCT/CN2013/070599
Authority: WO
Inventors: 姜斌斌
Original assignee: 歌尔声学股份有限公司
Priority date: 2012-01-19
Filing date: 2013-01-17
Publication date: 2013-07-25
Also published as: CN102624699A; JP2015504222A; CN102624699B; US20150012748A1; JP6275653B2

Abstract

本发明公开了一种保护数据的方法和系统。本发明实施例提供的一种保护数据的方法包括：在数据所在的设备一次初始化过程中，根据安全环境下设备的环境信息获取环境因子，以及，利用安全环境下的环境因子对设备中的敏感数据进行加密，并在确认加密成功后，销毁所述环境因子。在每次启动所述设备时，根据当前环境下设备的环境信息获取环境因子，然后利用当前环境下的环境因子对所述设备中已加密的敏感数据进行解密，当解密成功时，允许访问所述设备中的数据，当解密失败时，拒绝访问所述设备中的数据。本方案所需的硬件成本较小且能够大大降低数据泄露的风险。

Description

一种保护数据的方法和系统

技术领域本发明涉及数据安全技术领域，特别涉及一种保护数据的方法和系统。背景技术随着信息载体设备的普及，越来越多的自动控制、信息处理系统釆用嵌入式架构，个人、企业等社会组织对于信息载体设备的依赖程度也越来越高。嵌入式设备是一种常用的信息载体设备，嵌入式设备的普及一方面提高了社会的生产效率、便利了对生产的控制，另一方面也对系统中的各种信息记录提出了安全保护上的具体要求。

近年来，很多的信息安全厂商在数据保护技术上的研究和开发主要局限于如何保护嵌入式设备的数据在网络中的安全，比如对网络中的数据库、本地文件等数据的保护。而作为信息存储和管理载体的嵌入式设备自身的数据安全 (特别是设备的物理安全）却往往被忽视，导致数据泄漏的风险较高，难以实现真正的安全可靠。特别是对于嵌入式移动设备，一旦遗失或被恶意盗取后，设备中的数据极易泄露，导致企业核心数据的丟失、给企业技术和商业机密造成了损失。

目前很多研发者和用户开始意识到数据的商业价值和在企业价值链中的意义，针对上述问题，提出了釆用可信计算理论体系对信息载体设备进行保护。在硬件上，增加加密的硬件设备，如可信赖平台模块（Trusted Platform Module, TPM )芯片和 USB-key等；在逻辑上，设置一个可信的安全根，该安全根可以视为安全系统中信任关系的 "根" ，安全系统中所有相互信任或授权的活动都以安全才艮为基础。

现有的数据保护方案至少存在如下缺陷：

现有的可信计算理论体系解决方案，需要在计算平台上额外增设加密硬件设备，如 TPM芯片或 USB-key等，硬件成本过高，大多数的用户都难以接受；且现有安全保护体系的实施和部署的操作复杂，专业性过强，普通的 IT管理人员通常难以独立完成系统的配置和维护，而一旦配置出现差错，可能会导致整个系统无法使用或者整个系统的安全性大大降低。发明内容本发明提供了一种保护数据的方法和系统，以解决现有方案硬件成本过高、专业性过强的问题。

为达到上述目的，本发明实施例釆用了如下技术方案：

本发明一个实施例提供了一种保护数据的方法，在数据所在的设备一次初始化过程中，根据安全环境下设备的环境信息获取环境因子，以及，利用安全环境下的环境因子对设备中的敏感数据进行加密，并在确认加密成功后，销毁所述环境因子；

在每次启动所述设备时，根据当前环境下设备的环境信息获取环境因子，然后利用当前环境下的环境因子对所述设备中已加密的敏感数据进行解密，当解密成功时，允许访问所述设备中的数据，当解密失败时，拒绝访问所述设备中的数据。本发明另一个实施例还提供了一种保护数据的系统，所述系统包括数据所在的设备，所述设备包括初始化单元、引导控制单元、环境因子获取单元和加解密单元，其中，

所述初始化单元在所述设备一次初始化过程中，通过环境因子获取单元根据安全环境下设备的环境信息获取环境因子，通过加解密单元利用所述环境因子对所述设备中的敏感数据进行加密；在确认加密成功后，所述初始化单元销毁所述环境因子；所述引导控制单元在每次启动所述设备时，通过环境因子获取单元根据当前环境下设备的环境信息获取环境因子，通过加解密单元利用当前环境下的环境因子对所述已加密的敏感数据进行解密；当解密成功时，所述引导控制单元允许访问所述设备中的数据，否则拒绝访问所述设备中的数据。本发明实施例的有益效果是：

本发明实施例通过在安全环境中提取安全环境因子并利用安全环境因子对设备中的非易失性敏感数据加密，从而能够将设备中的敏感数据与工作环境绑定，不同的工作环境将提取出不同的环境因子，因此一旦设备移出安全的工作环境，由于无法得到一致的环境因子而造成解密失败，进而通过拒绝访问设备中的数据降低数据泄露的风险。由于本方案无需增设额外的加密硬件设备，通过与环境绑定的加解密机制实现对设备中的非易失性敏感数据的保护，所以硬件成本较小，另外实施和部署本数据保护方案的操作也相对简单，专业性要求较低，降低了系统实施和部署的工作量及对人力资源的要求。附图说明图 1为本发明一个实施例提供的一种保护数据的方法流程图；

图 2为本发明另一个实施例提供的环境因子获取单元的工作方式示意图；图 3为本发明又一个实施例提供的保护数据的系统的工作方式示意图；图 4为本发明又一个实施例提供的与环境绑定的双系统设备启动的一种工作方式示意图；

图 5为本发明又一个实施例提供的一种双系统操作机制示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地佯细描述。本发明一个实施例提供了一种保护数据的方法，参见图 1 , 具体包括：

11 : 提取安全环境下设备的环境信息（简称为安全环境信息），并艮据安全环境信息获取环境因子。

上述设备为需要保护的数据所在的设备。

12: 利用安全环境因子对设备中的敏感数据进行加密，并在确认加密成功后，销毁环境因子。

上述安全环境可以为设备初次安装时的工作环境，则步骤 11和 12的操作可以在设备的第一次初始化过程中执行，或者，上述安全环境可以为设备在初次安装运行后根据实际需要所设定的工作环境，步骤 11和 12的操作在设备的一次初始化过程中完成。

上述敏感数据为访问设备在安全环境下的数据所必须的唯一性数据，该敏感数据为非易失性数据，例如，上述敏感数据可以为启动设备在安全环境下的操作系统所必须的唯一性非易失性数据。

13 : 在每次启动设备时，提取出当前环境下设备的环境信息（简称为当前环境信息），根据当前环境信息获取环境因子。

本实施例中当利用安全环境因子对非易失性敏感数据加密之后，再次启动时，需要对当前的工作环境进行识别，提取当前的环境因子。

要求通过同样的工作环境所提取的环境因子一致（或误差在一定的容忍度范围内），而在不同的工作环境下所提取的环境因子不同。对非易失性敏感数据加密和解密时的环境因子需要保持一致。

14: 利用当前环境因子对已加密的敏感数据进行解密，判断解密是否成功，当解密成功时，执行步骤 15 , 当解密失败时，执行步骤 16。

15: 解密成功时，允许访问设备中的数据。

例如，允许启动并运行设备在安全环境下的操作系统，实现对设备中数据的正常访问。

16: 解密失败时，拒绝访问设备中的数据。

例如，禁止启动设备在安全环境下的操作系统，从而阻止了对该操作系统下数据的访问。

进一步的，本实施例还提供了一种环境与设备双向认证的机制，包括：环境监控服务器预先釆集设备在安全环境下的身份信息，在每次启动设备之前，环境监控服务器釆集设备在当前环境下的身份信息，根据安全环境下设备的身份信息验证当前环境下设备的身份信息，并根据验证结果判断设备是否为合法设备，若是，允许设备接入安全环境，若否，禁止设备接入安全环境。本方法实施例中相关步骤的具体执行方式参见本发明系统实施例中的相关内容。

本发明另一个实施例以一种保护数据的系统为例来说明本方案提供的数据保护机制。本实施例提供的保护数据的系统包括数据所在的设备，该设备包括初始化单元、引导控制单元、环境因子获取单元和加解密单元。

初始化单元，在设备一次初始化过程中，通过环境因子获取单元根据安全环境下设备的环境信息获取环境因子，通过加解密单元利用环境因子对设备中的敏感数据进行加密；在确认加密成功后，初始化单元销毁所述环境因子。

引导控制单元，在每次启动设备时，通过环境因子获取单元根据当前环境下设备的环境信息获取环境因子，通过加解密单元利用当前环境下的环境因子对已加密的敏感数据进行解密；当解密成功时，引导控制单元允许访问设备中的数据，否则拒绝访问设备中的数据。上述安全环境可以为设备初次安装时的工作环境，或者，上述安全环境可以为设备在初次安装运行后根据实际需要所设定的工作环境。本实施例中以安全环境选定为设备初次安装时的工作环境为例进行说明。上述设备包括但不局限于各种嵌入式设备，如嵌入式存储设备、嵌入式手持终端（手机、掌上电脑

Pad ), 嵌入式工业控制计算机等。环境因子的提取

上述环境因子的提取是指被保护的设备（如嵌入式设备）通过环境信息提取单元按照一定的逻辑与其工作环境（包括自然环境、设备物理环境、服务器及软件环境）进行交互，从环境信息中完成特征提取，最终生成一定长度的数据串作为环境因子的过程。所识别的环境因素不同，则环境信息提取单元与环境交互的方式也不同，可以釆用的交互方式至少包括：温度环境精确测量、光照强度测量、视频监控拍摄的物理环境的图像、生物特征的测量、网络环境的测量、数据的扫描、釆用挑战 -响应（Challenge-Response )认证机制与互联网络交互获取密钥等。这些因素的任意其一或者任意数量的组合相互作用最终形成系统对环境认知的环境因子。参见图 2,环境因子获取单元 110与用来提取环境信息的外部设备 112至 115 进行交互，该外部设备 112至 115为环境信息提取单元。图像釆集器 112 能够釆集设备的物理环境对应的物理环境图像信息，所提取的环境信息包括该物理环境图像信息。温湿度釆集设备 113 (如温度釆集器）能够对设备的温度环境进行测量得到温度环境信息，所提取的环境信息包括该温度环境信息。温湿度釆集设备 113 (如湿度釆集器 )还能够对设备的湿度环境进行测量得到湿度环境信息，所提取的环境信息包括该湿度环境信息。图像釆集器 112、温湿度釆集设备 113都可以通过直接的数据接口进行数据釆集，然后通过数据的误差消除机制得到一个稳定可信的数值作为环境因子或参与生成环境因子。网络探测服务器 114 能够釆集设备的网络环境的网络环境信息，所提取的环境信息包括该网络环境信息。网络探测服务器 114 由集成在嵌入式设备内部的功能子模块实现或者由设置在嵌入式设备外部的设备实现。釆集的网络环境信息主要包括网络的拓朴结构、网络中的各种服务器或特定主机的指紋信息 ( FingerPrint ), 如媒体接入控制（MAC )地址信息等，将这些信息抽象后生成环境因子或参与生成环境因子。认证服务器 115 与设备进行双向身份认证，在认证通过后，认证服务器生成一个作为双向身份认证信息的数据块，将该数据块发送至设备，则所提取的环境信息包括该数据块。例如，认证服务器 115 与嵌入式设备直接可以通过挑战 -响应的非对称加密方法进行通道双向的认证，同时让认证服务器和嵌入式设备确认对方的身份，然后在该非对称加密数据通道中，由认证服务器向嵌入式设备颁发一个数据块，将该数据块作为环境因子或参与生成环境因子。其中，挑战-响应认证机制是一种身份认证的方式，该方式下每次认证时认证服务器端都给客户端发送一个不同的 "挑战"字串，客户端收到这个"挑战"字串后，做出相应的 "应答"，以实现双方身份的确认。进一步的，除了对上述环境因素的测量之外，本系统还可以利用光照釆集器对设备的光照环境进行测量得到光照强度信息，所提取的环境信息包括该光照强度信息；或者，利用生物特征釆集器釆集设备使用者的生物特征信息（如指紋、虹膜等），所提取的环境信息包括该生物特征信息等。环境因子获取单元 110 直接将提取到的一种或多种环境信息作为所获取到的环境因子，或者，环境因子获取单元利用提取到的一种或多种环境信息生成环境因子，如环境因子获取单元对一种或多种环境信息进行特征提取，并按照预定算法生成一定长度的数据串，将该数据串作为环境因子。生成的方式例如可以是通过对环境信息中环境变量具体数据进行特征提取，屏蔽微观可变因素后形成特征字串，将所有参与运算的各个环境变量数据对应的特征字串进行杂凑运算，最终得到环境因子，或者，也可以是通过对特征字串的取模运算等方法最终得到环境因子。环境因子获取单元 110将该环境因子传递至加解密单元 120, 加解密单元 120将环境因子作为加密或解密非易失性敏感数据的密钥。

初始化单元

上述初始化单元主要完成设备初次安装时对环境信息的确认和环境信息的提取，形成环境因子，并通过这个 "环境因子" 作为初始化密钥对系统非易失性存储介质上的敏感数据进行加密。该非易失性敏感数据为访问设备在安全环境下的数据所必须的唯一性数据，例如，上述非易失性敏感数据可以为启动设备在安全环境下的操作系统所必须的唯一性数据。对嵌入式设备时，所选取的非易失性敏感数据为内核和镜像文件数据 ( Ramdisk内存盘中的数据）。而对设备中非易失性存储介质上的其他数据，在操作系统层面，釆用环境因子按照预共享密钥的方式实现加密处理，完成可信性的传递。

初始化单元在逻辑上可以处在系统的应用层，在系统初次启动的时候工作，分别操作环境因子获取单元和加解密单元完成系统的初次运行配置，配置过程并不生成一个可保存的配置文件或数据，而是通过提取环境数据特征的结果得到环境因子，将环境因子作为密钥直接加密需要保护的系统内核和镜像文件，加密成功后，不保存该环境因子。该初始化的结果不可以直接提取和逆向分析。

本实施例中初始化单元具有一种自毁功能，在确认加密成功后，销毁安全环境因子，删除设备中存储的未加密的所述非易失性敏感数据并禁止加密功能。在系统的存储介质上对初始化单元所占用的数据存储空间进行数据擦除操作。擦除的方法包括全零填充、全 1 填充、随机数填充等。自毁过程的最后阶段将对引导控制单元配置文件进行修改，去掉与初始化单元相关的信息，并重新启动设备。

引导控制单元引导控制单元主要完成系统启动前的环境确认，在嵌入式设备的操作系统内核引导之前执行环境确认动作，避免设备在没有安全保护体系的环境中启动 (如设备移出指定的运行环境）。所以引导控制单元可以通过调用上述相同的环境因子获取单元实现环境因子的生成。同样，产生的输出结果（环境因子）仅仅是一次性使用的解密密钥，并不会在系统中进行保存。首先环境因子获取单元根据获取到的环境信息提取一个环境因子，用以解密存储在设备非易失性存储介质上的操作系统内核及其对应的镜像文件

( Ramdisk )„ 如果设备的工作环境发生变化，将无法生成正确的环境因子，也就无法对存储在非易失性存储介质上的数据进行明文的提取操作。在同样的环境下环境因子获取单元所提取的环境因子应完全一致，且环境因子只在系统加载或启动时产生作用，一旦系统完成加载或启动，它将不存在于系统的任何一个易失或非易失性存储介质之中。

参见图 3 ,显示了本发明又一个实施例提供的保护数据的系统的工作方式示意图。

本实施例中以需要保护的设备为嵌入式设备，安全环境为设备的初次安装环境的场景为例进行说明。在初始化过程中，提取环境信息并生成环境因子，在初始化过程中利用环境因子生成密文的内核和镜像文件。因此，初始化过程必须是一次性的，并且是不可逆的，初始化单元在系统第一次加电的时候完成操作，操作过后必须进行自毁，以确保初始化过程的不可逆性。系统初次启动时，引导控制单元可以根据系统的配置文件检查系统是否第一次启动，若是，执行步骤 210。

210: 启动系统的初始化单元 200。初始化单元 200调用环境因子获取单元 100进行环境信息的釆集，生成环境因子，并将环境因子输入至加解密单元 201。步骤 213: 加解密单元 201对非易失性存储介质 300上的内核文件、镜像文件进行加密处理。本实施例中釆用按位对称算法对设备中所选取的非易失性敏感数据进行加密。由于是按位操作，原始数据经过加密处理后其长度不发生任何变化，所以对原来的文件长度并没有任何的影响，保证了操作系统的稳定性，提高了设备的兼容性。加解密单元 201 完成加密操作之后会对已经加密的内核文件和镜像文件进行校验，校验完成，确认加密成功后，通知初始化单元 100进入下一步动作 215。步骤 215: 初始化单元 200进行自毁操作。自毁操作具体可以是，将初始化单元 200原有的数据存储空间进行数据擦除操作。

删除数据的方法包括全零填充、全 1 填充、随机数填充等。自毁过程的最后阶段是将对引导控制单元配置文件进行修改，去掉初始化单元 200 的相关信息，至此完成设备初始化过程。图 3 中虚线所示的步骤为设备初始化时所需执行的步骤。完成系统的初始化之后，再次加电启动设备，执行图 3中实线所示的步骤。步骤 216: 引导控制单元进入正常的启动过程，完成 BIOS加载后直接调用环境因子获取单元 100。步骤 217: 环境因子获取单元 100生成当前环境下的环境因子，输入至加解密单元 201。步骤 218:加解密单元 201利用当前环境下的环境因子对密文的内核和镜像文件进行解密加载，当解密成功时，允许访问设备中的数据，当解密失败时，拒绝访问设备中的数据。本实施例中当设备脱离安全环境启动后，可以釆用多种相关操作，如利用报警通讯模块发送报警信息，报警信息可以为 GPS信息、短信、彩信等多种信息，并可以通过各种网络通讯方式将报警信息传输出去；利用删除模块销毁所述敏感数据以禁止访问设备中的数据；或者，利用禁止启动模块，阻止设备启动安全环境下的操作系统，以拒绝访问设备中的数据；以及，利用允许启动模块，在加解密单元解密失败时，允许设备启动非安全环境下的操作系统，该非安全环境下的操作系统对所述敏感数据是无法访问的。

本发明又一个实施例中，还提供了一种根据环境因素选择不同操作系统进行启动的双系统设备。即在系统中设置至少两种操作系统，将其中一种操作系统与环境因子绑定，而另一种操作系统不与环境绑定的操作系统，可以根据需要，在不同操作系统中进行灵活切换。参见图 4, 在釆用环境因子对设备中的非易失性敏感数据加密后，本发明实施例提供的双系统设备启动的一种工作流程主要包括：

步骤 41：设备加电后，主引导程序（ Master Boot Record , MBR )运行。步骤 42: 主引导程序启动引导控制单元。主引导程序将引导控制单元的数据从非易失性存储介质中加载到内存并开始执行。步骤 43: 引导控制单元将根据系统配置文件确定是否需要执行环境判定过程，若否，执行步骤 44, 若是，执行步骤 45。步骤 44: 在不需要执行环境判定过程时，启动不与环境绑定的第一操作系统（表示为 0S1 )。该第一操作系统不需要访问已加密的非易失性敏感数据，即该第一操作系统的启动和运行不需要上述已加密的非易失性敏感数据。步骤 45: 在需要执行环境判定过程时，启动环境因子获取单元。环境因子获取单元会根据获取到的环境信息产生环境因子。

步骤 46: 加解密单元根据环境因子执行对密文的内核文件和镜像文件的解密操作，当确认解密成功后，执行步骤 49, 加载解密后的内核文件和镜像文件，启动与环境因素相绑定的第二操作系统（表示为 OS2 )。当解密失败后，执行步骤 47。步骤 47: 判断是否需要报警操作，若是，执行步骤 48。必要时，还可以破坏上述的非易失性敏感数据，保证设备不会在与环境绑定的操作系统下启动，以拒绝访问设备在该操作系统下的数据。步骤 48: 启动报警通讯模块，发送报警信息。

上述报警通讯模块可以为短信卡、彩信卡或全球定位系统 ( GPS )芯片中的一种或多种。

本实施例提供的一种双系统操作机制还可以如图 5所示。在初始化过程中，由初始化单元 200在设备所支持的两种操作系统中选取一种操作系统与环境因素绑定，如将操作系统 OS2与环境相绑定。

当再次启动设备时，引导控制单元直接经环境确认过程判断设备是否工作在安全的环境中，若是，启动安全环境下的操作系统（OS2 ), 若否，则启动另一个未与环境相绑定的操作系统（OSl )。

进一步的，本实施例还提供了一种环境与设备双向认证的机制，以保证系统具有更高的安全性。一方面利用环境因子将设备与环境绑定，要求设备在安全的环境中启动，另一方面，环境也可以对工作于其中的设备身份进行识别，仅允许合法身份的设备工作在该环境下。这时，本系统还包括环境监控服务器，该环境监控服务器预先釆集合法设备在安全环境下的身份信息并保存。

在每次启动当前设备之前，该环境监控服务器釆集设备在当前环境下的身份信息，根据安全环境下所述设备的身份信息判断当前设备是否为合法设备，若是，允许设备接入安全环境，若否，禁止设备接入安全环境。该环境监控服务器可由单独的服务器设备实现，也可以集成在嵌入式设备中实现。

上述处理方式不仅仅要求被保护的嵌入式设备通过一定的方式确认自己处在安全环境之中，也允许被定义的安全环境通过一定的方法（如双向认证、设备视频监控等方式）确保存在于环境中的设备都是经过环境许可的设备，而不是被任意植入或者侵入的其他设备或逻辑单元。环境监控服务器和嵌入式设备之间可以釆用公钥基础设施（Public Key Infrastructure, PKI )认证机制。 ΡΚΙ 机制是一种遵循既定标准的密钥管理技术，是一种能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。环境监控服务器和嵌入式设备双方相互认证对方的证书是否有效，如果一方认证失败，那么即可认为嵌入式设备不是合法的安全设备，不进行允许该嵌入式设备的运行。

本方案中上述的初始化单元、引导控制单元、环境因子获取单元、加解密单元和报警通讯模块等都可以硬件设备的方式实现，本方案只是釆用了 "单元" "模块" 作为硬件设备的命名方式，以涵盖能够用以实现这些单元和模块的多种硬件设备，例如，本方案中的加解密单元可以为由加解密芯片实现，如宏思 HS32U1 系统级加密芯片，本方案中的 ·艮警通讯模块釆用 GPS "^艮警方式时可以由 SiRF III GPS芯片实现，釆用短信报警方式时可以釆用 WAVECOM的型号为 M 1206B 的短信卡实 i¾ 由上所述，本发明实施例通过在安全环境中提取安全环境因子并利用安全环境因子对设备中的非易失性敏感数据加密，从而能够将设备中的敏感数据与工作环境绑定，不同的工作环境将提取出不同的环境因子，因此一旦设备移出安全的工作环境，由于无法得到一致的环境因子而造成解密失败，进而通过拒绝访问设备中的数据降低数据泄露的风险。由于本方案无需增设额外的加密硬件设备，通过与环境绑定的加解密机制实现对设备中的非易失性敏感数据的保护，所以硬件成本较小，另外实施和部署本数据保护方案的操作也相对简单，专业性要求较低，降低了系统实施和部署的工作量及对人力资源的要求。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

权利要求书

1、一种保护数据的方法，其中，在数据所在的设备一次初始化过程中，根据安全环境下设备的环境信息获取环境因子，以及，利用安全环境下的环境因子对设备中的敏感数据进行加密，并在确认加密成功后，销毁所述环境因子；在每次启动所述设备时，根据当前环境下设备的环境信息获取环境因子，然后利用当前环境下的环境因子对所述设备中已加密的敏感数据进行解密，当解密成功时，允许访问所述设备中的数据，当解密失败时，拒绝访问所述设备中的数据。

2、根据权利要求 1所述的方法，其中，所述环境信息包括如下至少一种：设备的温度环境信息、设备的湿度环境信息、设备的光照环境信息、设备使用者的生物特征信息、设备的物理环境图像信息、设备的网络环境信息、设备与认证服务器进行双向身份认证的双向身份认证信息；

根据环境信息获取环境因子包括：将所提取到的环境信息作为环境因子；或者，利用所提取到的环境信息生成环境因子。

3、根据权利要求 1所述的方法，其中，

所述利用安全环境下的环境因子对设备中的敏感数据进行加密包括：利用安全环境下的环境因子，釆用按位对称算法对设备中的敏感数据进行加密；所述利用当前环境下的环境因子对所述设备中已加密的敏感数据进行解密包括：利用当前环境下的环境因子，釆用与加密时相同的按位对称算法对所述已加密的敏感数据进行解密。

4、根据权利要求 1所述的方法，其中，所述当解密失败时，拒绝访问所述设备中的数据包括：

通过销毁所述敏感数据以拒绝访问所述设备中的数据；或者，

通过阻止所述设备启动安全环境下的操作系统以拒绝访问所述设备中的数据。

5、根据权利要求 4所述的方法，其中，在拒绝访问所述设备中的数据时，所述方法还包括：

发送报警信息；和 /或

允许所述设备启动非安全环境下的操作系统，所述非安全环境下的操作系统对所述敏感数据是无法访问的。

6、根据权利要求 1 所述的方法，其中，环境监控服务器预先釆集所述设备在安全环境下的身份信息，在每次启动所述设备之前，环境监控服务器釆集所述设备在当前环境下的身份信息，根据安全环境下所述设备的身份信息验证当前环境下所述设备的身份信息，并根据验证结果判断所述设备是否为合法设备，若是，允许所述设备接入安全环境，若否，禁止所述设备接入安全环境。

7、根据权利要求 1至 6任一项所述的方法，其中，所述设备为嵌入式设备时，所述敏感数据为内核和镜像文件数据。

8、一种保护数据的系统，其中，所述系统包括数据所在的设备，所述设备包括初始化单元、引导控制单元、环境因子获取单元和加解密单元，其中，所述初始化单元在所述设备一次初始化过程中，通过环境因子获取单元根据安全环境下设备的环境信息获取环境因子，通过加解密单元利用所述环境因子对所述设备中的敏感数据进行加密；在确认加密成功后，所述初始化单元销毁所述环境因子；所述引导控制单元在每次启动所述设备时，通过环境因子获取单元根据当前环境下设备的环境信息获取环境因子，通过加解密单元利用当前环境下的环境因子对所述已加密的敏感数据进行解密；当解密成功时，所述引导控制单元允许访问所述设备中的数据，否则拒绝访问所述设备中的数据。

9、根据权利要求 8所述的系统，其中，所述系统还包括环境信息提取单元，所述环境信息提取单元包括如下至少一种：提取设备的温度环境信息的温度釆集器、提取设备的湿度环境信息的湿度釆集器、提取设备的光照环境信息的光照釆集器、提取设备使用者的生物特征信息的生物特征釆集器、提取设备的物理环境图像信息的图像釆集器、提取设备的网络环境信息的网络探测服务器、提取设备与认证服务器的双向身份认证信息的认证服务器；

所述环境因子获取单元，将所述环境信息提取单元提取到的环境信息作为环境因子；或者，利用所述环境信息提取单元提取到的环境信息生成环境因子。

10、根据权利要求 8或 9所述的系统，其中，所述系统还包括环境监控服务器，

所述环境监控服务器，预先釆集所述设备在安全环境下的身份信息，在每次启动所述设备之前，釆集所述设备在当前环境下的身份信息，根据安全环境下所述设备的身份信息验证当前环境下所述设备的身份信息，并根据验证结果判断所述设备是否为合法设备，若是，允许所述设备接入安全环境，若否，禁止所述设备接入安全环境。