本申请公开了一种磁盘数据保护的系统,包括:计算机,以及与计算机具备连接的密钥设备,第一密钥始终存储在密钥设备中,密钥设备根据第一密钥和扇区特征信息生成第二密钥,第二密钥用来对被保护的磁盘上的数据进行加解密,确保了存储在被保护的磁盘上的数据总是处于加密状态,只有当密钥设备、指定的计算机和指定的磁盘三者同时存在的情况下,被保护的数据才可用;第二密钥是参考具体扇区特征而运算得出的,因此每个被保护的扇区的密钥都不相同,避免了该密钥偶然泄露或被推断出来导致全部数据泄漏的可能,更大限度地提高了计算机使用过程中的安全性和易用性。本申请还公开了一种磁盘数据保护的方法。
【技术实现步骤摘要】
本申请涉及计算机数据保护
,特别涉及一种磁盘数据保护的方法及系统。
技术介绍
目前的磁盘数据保护技术大多采用访问控制模式,即硬件或驱动程序以进程等方式区分访问者的身份,然后将访问者身份与预先设定好的访问列表比对,以判断访问者是否有权限访问,而这种根据进程和访问列表的方式都存在被伪造和信息泄露的风险。而从需求上来说,该数据保护方法是基于一份数据多用户的情形,其中只有部分用户可以访问数据。现有技术中还存在使用单一的密钥对所有数据加密的磁盘数据保护技术,即不同的计算机、不同的用户之间,密钥有可能不同,但同一计算机、同一用户的所有加密数据所使用的密钥是相同的。考虑到性能和易用性,保护大量磁盘数据时,一般会采用高级加密标准(AES,Advanced Encryption Standard)之类的对称加密算法。对于有经验的攻击者,相对比较容易使用固定数据或者差异很小的数据直接推算出加密密钥。这样,无论产生密钥的过程是多么复杂,整个系统的安全性还是受到了损害和威胁。
技术实现思路
本申请提供了一种磁盘数据保护方法及系统,可以有效避免密钥偶然泄露或被推断出来导致数据泄露的可能,确保了存储在被保护磁盘上数据的安全性,提高计算机使用过程中的安全性和易用性。本申请实施例提供的一种磁盘数据保护的系统,包括计算机,以及与计算机具备·连接的密钥设备,密钥设备包括加密模块和存储模块;所述存储模块用于保存第一密钥,所述第一密钥预先写入到密钥设备中;所述加密模块用于保存加密算法,所述加密算法根据输入的磁盘扇区特征信息及第一密钥一起产生第二密钥;通过初始化过程设置计算机中的磁盘保护区域范围;所述计算机包括磁盘过滤驱动模块,运行在应用层和操作系统的磁盘驱动层之间,获取来自密钥设备的第二密钥,判断来自应用层的磁盘读写请求要访问的扇区是否处于被保护的磁盘区域范围,若是,如果磁盘读写请求是读请求,则利用第二密钥对磁盘驱动层读出的数据进行解密后传输至应用层;如果磁盘读写请求是写请求,则先利用第二密钥将要写入的数据加密,再将加密后的数据通过磁盘驱动层写入磁盘;否则按照通常的磁盘读写操作进行处理。较佳地,所述加密模块保存的加密算法包括但不限于对称加密算法或者非对称加密算法。较佳地,存储模块进一步保存计算机绑定信息;加密模块产生第二密钥的依据除了第一密钥和扇区特征之外,还包括计算机绑定信息,加密模块在产生第二密钥之前,判断密钥设备所连接的计算机的绑定信息与存储模块存储的绑定信息是否一致,若是则生成第二密钥,否则终止密钥产生过程。较佳地,所述密钥设备具有防复制功能,使存储在其内的计算机绑定信息和/或第一密钥不会被除所述磁盘过滤驱动模块之外的非授权程序非法获取。较佳地,所述磁盘保护区域范围信息保存在计算机的磁盘分区表中或密钥设备中。本申请实施例提供的一种磁盘数据保护的方法,包括A、通过初始化过程设置计算机中的磁盘保护区域范围;B、判断密钥设备是否存在并可以正常访问,若是继续执行步骤C,否则结束本流程; C、判断要访问的扇区是否在被保护的范围内,若是,继续执行步骤D,否则退出本流程;D、根据要访问的扇区的扇区特征以及密钥设备中存储的第一密钥产生第二密钥;E、判断来自应用层的磁盘读写请求是否是读请求,若是则跳转至步骤G,否则,继续步骤F ;F、利用第二密钥对数据进行加密,然后将写请求转交给磁盘驱动层处理,然后返回步骤E ;G、调用磁盘驱动层读出数据,对读出的数据用第二密钥进行解密,将解密的数据返回给应用层,然后返回步骤E。较佳地,生成第二密钥的加密算法为包括但不限于对称加密算法或者非对称加密算法。较佳地,步骤A进一步包括将计算机绑定信息保存在密钥设备中;步骤D为根据要访问的扇区的扇区特征以及密钥设备中存储的第一密钥和计算机绑定信息产生第二密钥。较佳地,步骤A进一步包括将计算机绑定信息保存在密钥设备中;步骤D之前,进一步包括判断密钥设备所连接的计算机的绑定信息与存储模块存储的绑定信息是否一致,若是执行步骤D,否则结束本流程。较佳地,所述磁盘保护区域范围信息保存在计算机的磁盘分区表中或密钥设备中。从以上技术方案可以看出,第一密钥始终存储在密钥设备中,密钥设备根据第一密钥和扇区特征信息生成第二密钥,第二密钥用来对被保护的磁盘上的数据进行加解密,确保了存储在被保护的磁盘上的数据总是处于加密状态,只有当密钥设备、指定的计算机和指定的磁盘三者同时存在的情况下,被保护的数据才可用;第二密钥是参考具体扇区特征而运算得出的,因此每个被保护的扇区的密钥都不相同,避免了该密钥偶然泄露或被推断出来导致全部数据泄漏的可能,更大限度地提高了计算机使用过程中的安全性和易用性。附图说明图I为本申请实施例提供的一种磁盘数据保护系统框图;图2为本申请实施例提供的基于图I所示系统的一种磁盘数据保护方法流程图;图3为本申请的一个应用实例提供的PDF应用程序使用时的处理流程图;图4为本申请的一个应用实例提供的使用保险箱程序的处理流程图。具体实施例方式本申请技术方案的基本思想在于,采用双重密钥实现磁盘数据保护,具体包括通过初始化过程将第一密钥写入密钥设备中,将驱动程序安装到需要被保护的计算机中;密钥设备根据被保护的计算机磁盘的扇区特征及第一密钥生成第二密钥;根据磁盘读写请求 通过第二密钥对扇区进行加解密操作。本申请实施例提供了一种磁盘数据保护系统,如图I所示,主要由密钥设备110和被保护的计算机120构成,其中,被保护的计算机通过安装专用驱动程序后,生成一磁盘过滤驱动模块121。在安装专用驱动程序的过程中需要对计算机120的磁盘进行初始化,通过初始化过程设置用户选定的磁盘保护区域范围。一旦初始化完成后,要保护的磁盘区域数据将全部丢失(用户应先做好备份),用户使用操作系统的格式化功能重建文件系统后,即可正常使用。磁盘保护区域范围可以是磁盘全部存储区域或者部分存储区域。在以后的使用中也可以根据用户的需要再次执行初始化过程。所述磁盘过滤驱动模块121,运行在应用层122和操作系统的磁盘驱动层123之间,获取来自密钥设备110的第二密钥,处理来自应用层的磁盘读写请求;磁盘过滤驱动模块121判断磁盘读写请求要访问的扇区是否处于被保护的磁盘区域范围,若是,则进一步进行如下判断,否则按照通常的磁盘读写操作进行处理(即将来自应用层122的读写请求直接交给磁盘驱动层123,或者将来自磁盘驱动层123的数据直接返回给应用层122):如果磁盘读写请求是读请求,则利用第二密钥对磁盘驱动层123读出的数据进行解密后传输至应用层122 ;如果磁盘读写请求是写请求,则先利用第二密钥将要写入的数据加密,再将加密后的数据通过磁盘驱动层123写入磁盘。由于第二密钥来自密钥设备110,如果密钥设备110不存在或者无法访问,则磁盘过滤驱动模块121无法取得解密密钥,读出的数据无法解LU O所述密钥设备110,是指一个能够连接到计算机上的硬件加密设备,如USB-Key,连接方式也不限于USB接口。密钥设备110包括加密模块111和存储模块112。所述存储模块112用于保存第一密钥。所述第一密钥预先写入到密钥设备110中。所述加密模块111用于保存加密算法,所述加密算法能够根据输入的磁盘扇区特征信息(如扇区在磁盘上的相对位置)及本文档来自技高网...
【技术保护点】
一种磁盘数据保护的系统,其特征在于,包括:计算机,以及与计算机具备连接的密钥设备,密钥设备包括:加密模块和存储模块;所述存储模块用于保存第一密钥,所述第一密钥预先写入到密钥设备中;所述加密模块用于保存加密算法,所述加密算法根据输入的磁盘扇区特征信息及第一密钥一起产生第二密钥;通过初始化过程设置计算机中的磁盘保护区域范围;所述计算机包括:磁盘过滤驱动模块,运行在应用层和操作系统的磁盘驱动层之间,获取来自密钥设备的第二密钥,判断来自应用层的磁盘读写请求要访问的扇区是否处于被保护的磁盘区域范围,若是,如果磁盘读写请求是读请求,则利用第二密钥对磁盘驱动层读出的数据进行解密后传输至应用层;如果磁盘读写请求是写请求,则先利用第二密钥将要写入的数据加密,再将加密后的数据通过磁盘驱动层写入磁盘;否则按照通常的磁盘读写操作进行处理。
【技术特征摘要】
1.一种磁盘数据保护的系统,其特征在于,包括计算机,以及与计算机具备连接的密钥设备, 密钥设备包括加密模块和存储模块; 所述存储模块用于保存第一密钥,所述第一密钥预先写入到密钥设备中; 所述加密模块用于保存加密算法,所述加密算法根据输入的磁盘扇区特征信息及第一密钥一起产生第二密钥; 通过初始化过程设置计算机中的磁盘保护区域范围;所述计算机包括 磁盘过滤驱动模块,运行在应用层和操作系统的磁盘驱动层之间,获取来自密钥设备的第二密钥,判断来自应用层的磁盘读写请求要访问的扇区是否处于被保护的磁盘区域范围,若是,如果磁盘读写请求是读请求,则利用第二密钥对磁盘驱动层读出的数据进行解密后传输至应用层;如果磁盘读写请求是写请求,则先利用第二密钥将要写入的数据加密,再将加密后的数据通过磁盘驱动层写入磁盘;否则按照通常的磁盘读写操作进行处理。2.根据权利要求I所述的系统,其特征在于,所述加密模块保存的加密算法包括但不限于对称加密算法或者非对称加密算法。3.根据权利要求I所述的系统,其特征在于,存储模块进一步保存计算机绑定信息; 加密模块产生第二密钥的依据除了第一密钥和扇区特征之外,还包括计算机绑定信息,加密模块在产生第二密钥之前,判断密钥设备所连接的计算机的绑定信息与存储模块存储的绑定信息是否一致,若是则生成第二密钥,否则终止密钥产生过程。4.根据权利要求3所述的系统,其特征在于,所述密钥设备具有防复制功能,使存储在其内的计算机绑定信息和/或第一密钥不会被除所述磁盘过滤驱动模块之外的非授权程序非法获取。5.根据权利要...
【专利技术属性】
技术研发人员:孙吉平,韩勇,
申请(专利权)人:北京深思洛克软件技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。