本发明专利技术公开了一种加密文件系统的方法及挂载加密文件系统的方法,该加密文件系统的方法包括以下步骤:将记忆体技术装置内的文件系统复制到随机存取记忆体、格式化记忆体技术装置为闪存装置文件系统、挂载记忆体技术装置至第一目录、在第一目录创建镜像文件、连结镜像文件至循环设备、加密循环设备为加密的循环设备、挂载加密的循环设备至第二目录、从随机存取记忆体复制文件系统到第二目录。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种,该加密文件系统的方法包括以下步骤:将记忆体技术装置内的文件系统复制到随机存取记忆体、格式化记忆体技术装置为闪存装置文件系统、挂载记忆体技术装置至第一目录、在第一目录创建镜像文件、连结镜像文件至循环设备、加密循环设备为加密的循环设备、挂载加密的循环设备至第二目录、从随机存取记忆体复制文件系统到第二目录。【专利说明】
本专利技术是有关于一种加密文件系统的方法以及一种挂载加密文件系统的方法,特别是关于一种基于循环设备的文件系统加密方法。
技术介绍
随着科技发展,日常生活中嵌入式(embedded)设备已被广泛使用,例如常见于消费电子产品、家电用品、医疗设备等等。随着嵌入式设备的普及化,对于保护一些敏感或是机密的数据成为重要的议题,因此,对于嵌入式设备的文件系统加密是将来不可或缺的重要技术,以防止数据被其他用户或是外部攻击者未经授权而取得。
技术实现思路
本专利技术的目的在于加密文件系统以及挂载已加密的文件系统。 根据本专利技术的第一方面,提出一种加密文件系统的方法,包括以下步骤:将记忆体技术装置内的文件系统复制到随机存取记忆体、格式化记忆体技术装置为闪存装置文件系统、挂载记忆体技术装置至第一目录、在第一目录创建镜像文件、连结镜像文件至循环设备、加密循环设备为加密的循环设备、挂载加密的循环设备至第二目录、以及从随机存取记忆体复制文件系统到第二目录。 根据本专利技术的第二方面,提出一种挂载加密文件系统的方法,包括以下步骤:挂载记忆体技术装置至第一目录,第一目录包括一镜像文件,镜像文件包括加密文件系统、连结镜像文件至循环设备、解密循环设备、以及挂载循环设备至第二目录。 为了对本专利技术的上述及其他方面有更佳的了解,下文特举较佳实施例,并配合附图,作详细说明如下: 【专利附图】【附图说明】 图1绘示应用本专利技术方法的电子设备开机流程图。 图2绘示依据本专利技术的加密文件系统方法的流程图。 图3绘示依据本专利技术的挂载加密文件系统方法的流程图。 【具体实施方式】 对于嵌入式设备,开机程序以及主要程序一般储存于非挥发性(non-volatile)记忆体中,即使电源关闭时依然能够保存所储存的数据,例如以非挥发性记忆体中储存有产品主要程序的固件(firmware)。常用的非挥发性记忆体例如是闪存(flash memory),包括有NOR闪存以及NAND闪存。 本说明书中的嵌入式设备的操作系统以Linux作为例子说明。Linux系统对于文件系统(file system)的加密可以使用一种装置映射(device mapper)的方式,例如是透过dm_crypt或cryptsetup指令,将欲加密的装置映射至另一装置,像是在实际的装置之上添加一个加解密虚拟层,如此一来,经过这个虚拟层写入装置的数据皆会被加密,而从装置读取的数据经过这个虚拟层时会被解密,因此,装置内部储存的皆是加密后的数据。 嵌入式设备中的闪存储存有企业产品的宝贵数据(例如程序码),因此常需加密保护。以NAND闪存为例,由于在生产以及使用过程中可能会产生坏块(bad block),即数据无法成功编程或抹除的坏块,将dm_crypt程序应用于NAND闪存时,无法处理这些坏块,而会导致dm_crypt程序失败。 本专利技术提出一种能够对于NAND闪存装置所储存的文件系统进行加密的方法,以及一种能够挂载加密文件系统的方法,能够有效解决上述的问题。 图1绘示应用本专利技术方法的电子设备开机流程图。电子设备在开机时,会先载入内核(kernel),接着载入文件系统,例如是根文件系统(root file system)。首先判断此文件系统是否已加密(步骤11),若是尚未加密,则执行本专利技术的加密文件系统的方法(步骤12);而若是已加密,则执行本专利技术的挂载加密文件系统的方法(步骤13)。 举例而言,当产品准备要出货前,产品更新了最新的数据(例如程序码),此时闪存中的程序码是未经加密的数据(明文),会执行步骤12将文件系统加密,使得闪存中的程序码成为密文,如此一来,即使产品中的闪存被第三方取得,由于数据经过加密,依然能够保有产品程序码的安全性。而当产品出货后被使用时,步骤11判断为已加密的文件系统,故执行步骤13,挂载已加密的文件系统,使得产品正常运作。关于步骤12以及步骤13详细说明如下。 图2绘示依据本专利技术的加密文件系统方法的流程图。步骤12包括以下步骤:将记忆体技术装置内的文件系统复制到随机存取记忆体(步骤121)、格式化记忆体技术装置为闪存装置文件系统(步骤122)、挂载记忆体技术装置至第一目录(步骤123)、在第一目录创建镜像文件(步骤124)、连结镜像文件至循环设备(步骤125)、加密循环设备为加密的循环设备(步骤126)、挂载加密的循环设备至第二目录(步骤127)、以及从随机存取记忆体复制文件系统到第二目录(步骤128)。 当判断为尚未加密的文件系统时,首先会将记忆体技术装置(memory technologydevice, MTD)内的文件系统复制到随机存取记忆体(random access memory, RAM)。MTD是Linux系统中装置文件系统的一个类别,是一种闪存转换层。举例而言,MTD的底层可以是NOR闪存或是NAND闪存。步骤121中,将MTD当中未经加密的明文数据先搬到RAM,以对MTD进行进一步的处理。 步骤122将MTD格式化为一种闪存装置文件系统,例如是UBIFS (Unsorted BlockImage File System)、JFFS2 (Journalling Flash File System Vers1n2)或 YAFFS2(YetAnother Flash File System Vers1n 2)等适用于闪存的文件系统,其中UBIFS在设计与效能上可能较YAFFS2、JFFS2更适合MLC (mult1-level cell) NAND闪存。使用这些文件系统能够有效处理NAND闪存当中的坏块,使得数据读写动作能够正常进行,并且能够执行后续的加密动作。步骤122例如可透过mkfs指令完成。 步骤123将MTD挂载至第一目录,第一目录例如是随机存取记忆磁盘(RAM Disk)中的一个目录。举例而言,在开机时首先执行的程序是bootloader,而后载入kernel并会在随机存取记忆体中取得一个区块以作为虚拟的块设备(block device)使用,以载A initrd(Initial Ram Disk)镜像文件到随机存取记忆体中,此虚拟的块设备即为RAMDisk。步骤123挂载MTD到RAM Disk中的一个目录,目录名称例如是/RAMDisk/FS,以能够对于MTD进行存取,此时MTD已是UBIFS、JFFS2或YFFS2格式。步骤123例如可透过mount指令完成,而步骤122及步骤123亦可透过一个mount指令(_t参数)完成。 接着,步骤124在第一目录(如前例中的/RAMDisk/FS)创建一镜像文件(imagefile),例如是开一个空的文件,其文件大小对应于MTD的大小设置。举例而言,MTD的大小是200MB,则创建的镜像文件大小可以是略小于本文档来自技高网...
【技术保护点】
一种加密文件系统的方法,其特征在于,包括:将一记忆体技术装置内的一文件系统复制到一随机存取记忆体;格式化该记忆体技术装置为一闪存装置文件系统;挂载该记忆体技术装置至一第一目录;在该第一目录创建一镜像文件;连结该镜像文件至一循环设备;加密该循环设备为一加密的循环设备;挂载该加密的循环设备至一第二目录;以及从该随机存取记忆体复制该文件系统到该第二目录。
【技术特征摘要】
【专利技术属性】
技术研发人员:顾剑波,臧炼锋,
申请(专利权)人:中怡苏州科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。