一种基于身份认证的数据保护方法与装置与流程

本申请涉及信息安全领域，尤其涉及一种基于身份认证的数据保护方法与装置。

背景技术：

随着信息化时代的到来，数据的安全性问题，越来越受到人们的重视。

在实际应用中，用户一般会对本地数据进行加密，来保护本地数据，避免本地数据被他人窃取，比如通过压缩工具软件提供口令认证保护压缩包内的数据，或者，使用加密软件对本地数据进行加密保护等。

但是上述数据保护方法安全性较差，比如，当不法份子入侵本地数据所在的终端设备后，不法份子通过解密软件针对加密后的数据进行跟踪、反编译等操作，便可能破解加密的数据，或者，不法份子入侵本地数据所在的终端设备后，能够随意删除被加密的数据，再或者，加密后的数据可能被木马或病毒破坏等。

因此，目前，亟需一种数据保护方法，用于解决现有技术中数据保护方法存在的安全性较差的问题。

技术实现要素：

本申请实施例提供一种基于身份认证的数据保护方法与装置，用以解决现有技术中数据保护方法存在的安全性较差的问题。

本申请实施例采用下述技术方案：

一种基于身份认证的数据保护方法，所述方法包括：

监测终端设备是否连接预设的硬件认证设备，所述预设的硬件认证设备中包含认证信息及文件加解密信息；

若监测到所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

若身份认证通过，则根据所述文件加解密信息显示对应的本地加密空间，所述本地加密空间用于存储需要保护的本地数据，所述需要保护的本地数据为加密后的需要保护的本地数据。

一种基于身份认证的数据保护装置，所述装置包括：

监测模块，用于监测终端设备是否连接预设的硬件认证设备，所述预设的硬件认证设备中包含认证信息及文件加解密信息；

身份认证模块，用于所述监测模块在监测到所述终端设备连接所述预设的硬件认证设备时，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

显示模块，用于在所述身份认证模块获取到身份认证通过的结果时，根据所述文件加解密信息显示对应的本地加密空间，所述本地加密空间用于存储需要保护的本地数据，所述需要保护的本地数据为加密后的需要保护的本地数据。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

采用本申请实施例提供的基于身份认证的数据保护方法，监测终端设备是否连接预设的硬件认证设备，若监测到所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证，若身份认证通过，则根据所述文件加解密信息显示对应的本地加密空间，其中，所述预设的硬件认证设备中包含认证信息及文件加解密信息，所述本地加密空间用于存储需要保护的本地数据，所述需要保护的本地数据为加密后的需要保护的本地数据，通过软硬件结合的方法来保护数据，与现有技术中仅仅采用加密软件对数据进行加密的方法相比，提高了数据保护方法的安全性。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种基于身份认证的数据保护方法的实现流程示意图；

图2为本申请实施例提供的一种基于身份认证的数据保护装置的具体结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

为了解决现有技术中数据保护方法存在的安全性较差的问题，本申请实施例提供一种基于身份认证的数据保护方法。本申请实施例中，执行主体可以为但不限于个人电脑、平板电脑和手机等设备等，或者这些设备上运行的应用(application，app)。其中可以理解，该方法的执行主体为以上设备或应用只是一种示例性的说明，并不应理解为对该方法的限定。该方法的具体流程示意图如图1所示，包括下述步骤：

步骤101，监测终端设备是否连接预设的硬件认证设备，所述预设的硬件认证设备中包含认证信息及文件加解密信息。

若未监测到所述终端设备连接所述预设的硬件认证设备，则执行步骤104；若监测到所述终端设备连接所述预设的硬件认证设备，则执行步骤102。

其中，上述终端设备，包括能够与外部设备进行连接的接口，如usb接口等。上述预设的硬件认证设备，可以为能够通过终端设备上的接口与终端设备建立数据连接的硬件设备，比如可以为u盘或者usbkey等硬件设备。

一般情况下，若终端设备上未连接硬件设备，终端设备便不会监测到硬件设备，若终端设备连接上了硬件设备，那么终端设备便会监测到终端设备自身连接上了硬件设备。当终端设备监测到终端设备自身连接上了硬件设备之后，如何确定连接上的硬件设备是否是预设的硬件认证设备，可通过下述方法来确定：

在一般情况下，硬件设备自身均具备身份标识，当硬件设备连接上终端设备时，终端设备便可获取到该硬件设备的身份标识。那么在本申请实施例中，可以事先为预设的硬件认证设备设置身份标识，并事先将该身份标识保存在终端设备本地。当终端设备监测到终端设备自身连接上硬件设备后，可获取该硬件设备的身份标识，若该身份标识与事先保存在终端设备本地的身份标识相同，便可确定该硬件设备为预设的硬件认证设备。

步骤102，根据所述认证信息，对所述预设的硬件认证设备进行身份认证。若身份认证通过，则执行步骤103；若身份认证未通过，则执行步骤105。

对预设的硬件认证设备进行身份认证的方式可以如下：

在监测到终端设备连接上预设的硬件认证设备后，终端设备便弹出pin码认证窗口，该认证窗口中包括供用户输入pin码的输入框，用户在该输入框中输入pin码后，终端设备可以将用户输入的pin码与认证信息中包括的pin进行比较，若不相同，则判定身份认证未通过；若相同，则根据所述认证信息中包括的数字证书对所述预设的硬件认证设备进行身份认证，进而判断身份认证通过或未通过。

其中，需要说明的是，根据预设的硬件认证设备中的数字证书对预设的硬件认证设备进行身份认证，进而判断身份认证通过或未通过的方法，为现有技术，此处不再进行赘述。

步骤103，根据所述文件加解密信息显示对应的本地加密空间。

为了使读者更容易理解本申请实施例提供的数据保护方法，在详细阐述步骤103之前，下面先介绍创建本地加密空间的方法，包括下述步骤：

步骤a，终端设备监测终端设备自身是否连接预设的硬件认证设备，若监测到终端设备连接预设的硬件认证设备，则执行步骤b；若未监测到终端设备连接预设的硬件认证设备，则执行步骤e。

终端设备监测终端设备自身是否连接预设的硬件认证设备的方法可参见步骤101，此处不再进行赘述。

步骤b，根据认证信息，对预设的硬件认证设备进行身份认证，若身份认证通过，则执行步骤c；若身份认证未通过，则执行步骤f。

终端设备根据认证信息，对预设的硬件认证设备进行身份认证的方法可参见步骤102，此处不再进行赘述。

步骤c，在本地已有磁盘空间中创建加密文件夹，通过虚拟磁盘映射技术，将加密文件夹映射成加密虚拟磁盘空间。

终端设备在已有磁盘空间中创建加密文件夹时，终端设备可以在已有磁盘空间中创建文件夹，然后根据文件加解密信息中包括的加密算法，对该文件夹进行加密，便创建出加密文件夹。

需要说明的是，上述文件夹的大小可为用户指定大小。终端设备在已有磁盘空间中创建文件夹时，终端设备可以弹出创建窗口，该创建窗口中包括供用户输入表示文件夹大小的数据的输入框，用户可根据自身需求，在输入框中输入相应的数据。终端设备便会根据用户输入的数据，创建出大小为用户输入的数据大小的文件夹。

虚拟磁盘映射技术为现有技术，此处不再进行赘述。

步骤d，根据文件加解密信息对虚拟磁盘空间对应的磁盘驱动文件进行加密，将加密虚拟磁盘空间确定为所述本地加密空间。

根据文件加解密信息中包括的加密算法对虚拟磁盘空间对应的磁盘驱动文件进行加密，将加密虚拟磁盘空间确定为所述本地加密空间。

其中，加密文件夹对应的解密密码与本地加密空间对应的解密密码相同。上述文件夹的大小与本地加密空间的大小相同，本地加密空间的大小为可为用户指定大小。

步骤e，结束。

步骤f，结束。

通过上述创建方法创建出来的本地加密空间，用于存储需要保护的本地数据，需要保护的本地数据为加密后的需要保护的本地数据。加密后的需要保护的本地数据可通过下述方法获取：终端设备根据所述文件加解密信息中包括的加密算法对所述本地加密空间中存储的需要保护的本地数据进行加密。

在本申请实施例中，文件加解密信息中可以包括至少一种加密算法，终端设备在对文件夹进行加密时使用的加密算法，在对磁盘驱动文件进行加密时使用的加密算法，以及对本地数据进行加密时使用的加密算法，可以相同，也可以不同，本申请实施例对此不进行任何限定。

需要特别说明的是，通过上述创建方法创建出的本地加密空间，在终端设备未连接预设的硬件认证设备时，或者终端设备连接上预设的硬件认证设备，但是该预设的硬件认证设备身份认证未通过时，一直处于隐藏状态，应用层用户使用任何手段都无法发现本地加密空间，黑客、病毒或木马等均无法获取或破坏本地加密空间中存储的需要保护的本地数据，这便可以很好保护本地加密空间中的存储的需要保护的本地数据。

当终端设备连接上预设的硬件认证设备，且该预设的硬件认证设备身份认证通过时，终端设备可以根据文件加解密信息，对加密的磁盘驱动文件进行解密，得到解密后的磁盘驱动文件，根据所述解密后的磁盘驱动文件，显示对应的虚拟磁盘空间。其中，虚拟磁盘空间便为本地加密空间。

具体的，文件加解密信息中包括加密的磁盘驱动文件对应的解密密码，终端设备可以根据文件加解密信息，获取加密的磁盘驱动文件对应的解密密码，然后根据获取到的密码，对加密的磁盘驱动文件进行解密，得到解密后的磁盘驱动文件。在获取到解密后的磁盘驱动文件后，便可根据解密后磁盘驱动文件，显示对应的虚拟磁盘空间。

文件加解密信息中，还可以包括本地加密空间对应的密码，在执行完毕步骤103后，终端设备还可以根据文件加解密信息，获取本地加密空间对应的密码，然后根据获取到的本地加密空间对应的密码，对本地加密空间进行解密，打开本地加密空间，供用户访问本地加密空间中存储的加密的需要保护的本地数据。

若终端设备接收到用户访问本地加密空间中存储的加密的需要保护的本地数据的访问请求，终端设备可以弹出密码认证窗口，该密码认证窗口可包括供用户输入密码的输入框，用户在输入框中输入密码后，终端设备可以提取用户输入的密码，并将提取的用户输入的密码与文件加解密信息中包括的解密密码进行比较，若相同，则响应上述访问请求；若不相同，则输出提醒信息，该提醒信息用于提醒用户密码错误。

当终端设备显示出本地加密空间后，若预设的硬件认证设备与终端设备断开连接，那么已经显示出来的本地加密空间便会隐藏起来，用户便无法看到该本地加密空间。

步骤104，结束。

步骤105，结束。

在一种实施场景中，当身份认证未通过时，终端设备还可以输出提醒信息，用于提醒用户预设的硬件认证设备身份认证未通过，然后再执行结束操作。

采用本申请实施例提供的基于身份认证的数据保护方法，监测终端设备是否连接预设的硬件认证设备，若监测到所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证，若身份认证通过，则根据所述文件加解密信息显示对应的本地加密空间，其中，所述预设的硬件认证设备中包含认证信息及文件加解密信息，所述本地加密空间用于存储需要保护的本地数据，所述需要保护的本地数据为加密后的需要保护的本地数据，通过软硬件结合的方法来保护数据，与现有技术中仅仅采用加密软件对数据进行加密的方法相比，提高了数据保护方法的安全性。

需要说明的是，在本申请实施例中，在使用预设的硬件认证设备前，可以将该预设的硬件认证设备初始化，使得该预设的硬件认证设备具备本申请实施例中提及的预设的硬件认证设应该具备的功能。

另外，在本申请实施例中，为了提高存储在本地加密空间中的、加密后的需要保护的本地数据的安全性，在执行步骤102根据所述认证信息对所述预设的硬件认证设备进行身份认证，最终身份认证通过后，在根据所述文件加解密信息显示并打开对应的本地加密空间前，终端设备还可以执行下述操作：

采集终端设备的当前使用者的人脸信息，和/或指纹信息，和/或音频信息，确定出采集到的终端设备的当前使用者的人脸信息与终端设备中预存的人脸信息的人脸相似度大于第一预设相似度阈值，和/或确定出采集到的指纹信息与终端设备中预存的指纹信息的指纹相似度大于第二预设相似度阈值，和/或确定出采集到的终端设备的当前使用者的音频信息对应的音频特征与终端设备中预存的音频特征相同。

其中，第一预设相似度阈值以及第二预设相似度阈值可以根据实际情况设置，这里不再进行赘述。

以上为本申请实施例提供的基于身份认证的数据保护方法，基于同样的思路，本申请还提供一种基于身份认证的数据保护装置。

如图2所示，为本申请实施例提供的一种基于身份认证的数据保护装置的结构示意图，主要包括下述装置：

监测模块21，用于监测终端设备是否连接预设的硬件认证设备，所述预设的硬件认证设备中包含认证信息及文件加解密信息；

身份认证模块22，用于所述监测模块21在监测到所述终端设备连接所述预设的硬件认证设备时，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

显示模块23，用于在所述身份认证模块22获取到身份认证通过的结果时，根据所述文件加解密信息显示对应的本地加密空间，所述本地加密空间用于存储需要保护的本地数据，所述需要保护的本地数据为加密后的需要保护的本地数据。

在一种实施场景中，所述装置还包括：

采集模块，用于所述身份认证模块22获取到身份认证通过的结果后，在显示模块根据所述文件加解密信息显示并打开对应的本地加密空间前，采集所述终端设备的当前使用者的人脸信息，和/或指纹信息，和/或音频信息；则

在一种实施场景中，所述装置还包括：

确定模块，用于确定出采集到的所述终端设备的当前使用者的人脸信息与所述终端设备中预存的人脸信息的人脸相似度大于第一预设相似度阈值，和/或确定出采集到的所述指纹信息与所述终端设备中预存的指纹信息的指纹相似度大于第二预设相似度阈值，和/或确定出采集到的所述终端设备的当前使用者的音频信息对应的音频特征与所述终端设备中预存的音频特征相同。

在一种实施场景中，所述显示模块，用于：

根据所述文件加解密信息，对加密的磁盘驱动文件进行解密，得到解密后的磁盘驱动文件；

根据所述解密后的磁盘驱动文件，显示对应的虚拟磁盘空间。

采用本申请实施例提供的基于身份认证的数据保护方法，监测终端设备是否连接预设的硬件认证设备，若监测到所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证，若身份认证通过，则根据所述文件加解密信息显示对应的本地加密空间，其中，所述预设的硬件认证设备中包含认证信息及文件加解密信息，所述本地加密空间用于存储需要保护的本地数据，所述需要保护的本地数据为加密后的需要保护的本地数据，通过软硬件结合的方法来保护数据，与现有技术中仅仅采用加密软件对数据进行加密的方法相比，提高了数据保护方法的安全性。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。