一种基于系统加密的数据保护方法与装置与流程

本申请涉及信息安全领域，尤其涉及一种基于系统加密的数据保护方法与装置。

背景技术：

随着信息化时代的到来，数据的安全性问题，越来越受到人们的重视。

在实际应用中，用户一般会对本地数据进行加密，来保护本地数据，避免本地数据被他人窃取，比如通过压缩工具软件提供口令认证保护压缩包内的数据，或者，使用加密软件对本地数据进行加密保护等。

但是上述数据保护方法安全性较差，比如，当不法份子入侵本地数据所在的终端设备后，不法份子通过解密软件针对加密后的数据进行跟踪、反编译等操作，便可能破解加密的数据，或者，不法份子入侵本地数据所在的终端设备后，能够随意删除被加密的数据，再或者，加密后的数据可能被木马或病毒破坏等。

因此，目前，亟需一种数据保护方法，用于解决现有技术中数据保护方法存在的安全性较差的问题。

技术实现要素：

本申请实施例提供一种基于系统加密的数据保护方法与装置，用以解决现有技术中数据保护方法存在的安全性较差的问题。

本申请实施例采用下述技术方案：

一种基于系统加密的数据保护方法，所述方法包括：

接收用户输入的访问密码；

判断所述用户输入的访问密码是否为终端设备的第一操作系统对应的访问密码，其中，所述第一操作系统未保存需要保护的本地数据；

若判断出所述用户输入的访问密码为所述第一操作系统对应的访问密码，则根据所述用户输入的访问密码，登录所述第一操作系统；

若判断出所述用户输入的访问密码不为所述第一操作系统对应的访问密码，则判断所述终端设备是否连接预设的硬件认证设备，其中，所述预设的硬件认证设备中包含认证信息以及文件加解密信息；

若判断出所述终端设备未连接所述预设的硬件认证设备，则输出用于提醒所述用户输入的访问密码错误的信息；

若判断出所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

若身份认证未通过，则输出用于提醒所述用户输入的访问密码错误的信息；

若身份认证通过，则根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间；

根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密，登录所述终端设备的第二操作系统，其中，所述第二操作系统安装在所述加密隐藏虚拟磁盘空间中，所述第二操作系统中保存有需要保护的本地数据。

一种基于系统加密的数据保护装置，所述装置包括：

接收模块，用于接收用户输入的访问密码；

判断模块，用于判断所述用户输入的访问密码是否为终端设备的第一操作系统对应的访问密码，其中，所述第一操作系统未保存需要保护的本地数据；

登录模块，用于在所述判断模块判断出所述用户输入的访问密码为所述第一操作系统对应的访问密码时，根据所述用户输入的访问密码，登录所述第一操作系统；

所述判断模块，还用于在所述判断模块判断出所述用户输入的访问密码不为所述第一操作系统对应的访问密码时，判断所述终端设备是否连接预设的硬件认证设备，其中，所述预设的硬件认证设备中包含认证信息以及文件加解密信息；

输出模块，用于在所述判断模块判断出所述终端设备未连接所述预设的硬件认证设备时，输出用于提醒所述用户输入的访问密码错误的信息；

认证模块，用于在所述判断模块判断出所述终端设备连接所述预设的硬件认证设备，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

所述输出模块，还用于在所述认证模块获取到身份认证未通过的结果时，输出用于提醒所述用户输入的访问密码错误的信息；

解密模块，用于在所述认证模块获取到身份认证通过的结果时，根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间；

所述解密模块，还用于根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密，则登录模块，还用于登录所述终端设备的第二操作系统，其中，所述第二操作系统安装在所述加密隐藏虚拟磁盘空间中，所述第二操作系统中保存有需要保护的本地数据。

本申请实施例采用的上述至少一个技术方案能够达到以下有益效果：

采用本申请实施例提供的基于系统加密的数据保护方法，在终端设备中安装两个操作系统，即第一操作系统以及第二操作系统，第一操作系统中不存在需要保护的本地数据，第二操作系统中保存有需要保护的本地，其中，终端设备被开启后，在登录第一操作系统以及第二操作系统之前，第一操作系统能够被感知到，但是第二操作系统却无法被感知到，只有在软硬件相结合的方式，即只有在用户输入的访问密码不为第一操作对应的访问密码、终端设备连接上预设的硬件认证设备且该预设的硬件认证设备身份认证通过后，才能够根据预设的硬件认证设备中包括的文件加解密信息，使得第二操作系统由无法被感知到的状态转变为能够被感知到的状态。

一方面，不法份子会误认为终端设备中仅仅存在第一操作系统，即便不法份子入侵到第一操作系统中，由于第一操作系统中不存在需要保护的本地数据，不法份子也无法窃取或破坏需要保护的本地数据，并且电脑病毒或木马也无法感知到第二操作系统的存在，电脑病毒或木马也无法破坏需要保护的数据，从而提高了现有技术中数据保护方法的安全性；

另外一方面，将第二操作系统由无法被感知到的状态转变为能够被感知到的状态，需要满足的条件较复杂，其中该条件中不仅包括软件条件，还包括硬件条件，即便不法份子获知终端设备中存在第二操作系统，不法份子也较难将第二操作系统由无法被感知到的状态转变为能够被感知到的状态，从而提高了现有技术中数据保护方法的安全性。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种基于系统加密的数据保护方法的实现流程示意图；

图2为本申请实施例提供的一种基于系统加密的数据保护装置的具体结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本申请各实施例提供的技术方案。

为了解决现有技术中数据保护方法存在的安全性较差的问题，申请实施例提供一种基于系统加密的数据保护方法。本申请实施例中，执行主体可以为但不限于个人电脑、平板电脑或手机等设备等，或者这些设备上运行的应用(application，app)。其中可以理解，该方法的执行主体为以上设备或应用只是一种示例性的说明，并不应理解为对该方法的限定。为便于描述，本申请实施例以该方法的执行主体为终端设备为例，对该方法的实施方式进行介绍。

该方法的具体流程示意图如图1所示，包括下述步骤：

步骤101，接收用户输入的访问密码。

终端设备在开机之后，终端设备并非直接登录操作系统，而是首先要对用户身份进行认证，待用户身份认证通过后，再执行后续相应操作步骤，这样可以在一定程度上防止不法份子使用终端设备。

具体的，终端设备在开机之后，便弹出一个用户界面，该用户界面中可以包括供用户输入访问密码的输入框，以及确定控件，用户在输入访问密码后，点击确定控件，终端设备便可接收到用户输入的访问密码。

上述终端设备可以为任意终端设备，比如个人电脑、平板电脑或手机等终端设备，只要该终端设备可以实现本申请实施例提供的基于系统加密的数据保护方法即可。

步骤102，判断所述用户输入的访问密码是否为终端设备的第一操作系统对应的访问密码，其中，所述第一操作系统中未保存需要保护的本地数据。

若判断出所述用户输入的访问密码为所述第一操作系统对应的访问密码，则执行步骤107；若判断出所述用户输入的访问密码不为所述第一操作系统对应的访问密码，则执行步骤103。

在本申请实施例中，可以事先在终端设备中保存第一操作系统对应的访问密码，当终端设备接收到用户输入的访问密码后，终端设备便可将该访问密码，和事先保存在本地的第一操作系统对应的访问密码进行比较，若相同，则判定用户输入的访问密码为第一操作系统对应的访问密码；否则，则判定用户输入的访问密码不为第一操作系统对应的访问密码。

步骤103，判断所述终端设备是否连接预设的硬件认证设备，其中，所述预设的硬件认证设备中包含认证信息以及文件加解密信息。

若判断出所述终端设备未连接所述预设的硬件认证设备，则执行步骤108；若判断出所述终端设备连接所述预设的硬件认证设备，则执行步骤104。

其中，上述终端设备，包括可以与外部设备进行连接的接口，如usb接口等。上述预设的硬件认证设备，可以为能够通过终端设备上的接口与终端设备建立数据连接的硬件设备，比如可以为u盘或者usbkey等硬件设备。

在本申请实施例中，终端设备可以先判断终端设备是否连接上了硬件设备，若判断出终端设备连接上了硬件设备，再判断该硬件设备是否为预设的硬件认证设备，若判断出该硬件设备为预设的硬件认证设备，则判定终端设备连接上了预设的硬件认证设备。

具体的，一般情况下，终端设备具备监测终端设备是否连接上硬件设备的能力，当终端设备未监测到终端设备连接上硬件设备时，便判断出该终端设备未连接上硬件设备；当终端设备监测到终端设备连接上硬件设备时，便判断出该终端设备连接上硬件设备。

在判断出该终端设备连接上硬件设备后，终端设备可通过下述方法来判断连接上的硬件设备是否是预设的硬件认证设备：

硬件设备自身均具备身份标识，当硬件设备连接上终端设备时，终端设备便可获取到该硬件设备的身份标识。那么在本申请实施例中，可以事先为预设的硬件认证设备设置身份标识，并事先将该身份标识保存在终端设备本地。当终端设备监测到终端设备自身连接上硬件设备后，可获取该硬件设备的身份标识，若该身份标识与事先保存在终端设备本地的身份标识相同，便可判断出该硬件设备为预设的硬件认证设备，否则，便判断出该硬件设备不为预设的硬件认证设备。

当判断出终端设备连接的硬件设备为预设的硬件认证设备时，便判断出终端设备连接上了预设的硬件认证设备；当判断出终端设备连接的硬件设备不为预设的硬件认证设备时，便判断出终端设备未连接上预设的硬件认证设备。

步骤104，根据所述认证信息，对所述预设的硬件认证设备进行身份认证。

若身份认证未通过，则执行步骤108；若身份认证通过，则执行步骤105。

对预设的硬件认证设备进行身份认证的方式可以如下：

当判断出终端设备连接上预设的硬件认证设备后，终端设备可弹出pin码认证窗口，该认证窗口中可包括供用户输入pin码的输入框，用户在该输入框中输入pin码后，终端设备可以将用户输入的pin码与认证信息中包括的pin进行比较，若不相同，则判定身份认证未通过；若相同，则根据所述认证信息中包括的数字证书对所述预设的硬件认证设备进行身份认证，进而判断身份认证通过或未通过。

其中，需要说明的是，根据预设的硬件认证设备中的数字证书对预设的硬件认证设备进行身份认证，进而判断身份认证通过或未通过的方法，为现有技术，此处不再进行赘述。

步骤105，根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间。

步骤106，根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密，登录终端设备的第二操作系统，其中，所述第二操作系统安装在所述加密隐藏虚拟磁盘空间中，所述第二操作系统中保存有需要保护的本地数据。

为了使得读者容易理解为何本申请实施例提供的基于系统加密的数据保护方法可解决现有技术中数据保护方法存在的安全性较低的问题，下面先介绍加密虚拟隐藏磁盘空间、第一操作系统以及第二操作系统的创建方法：

(1)可根据下述方法创建加密虚拟隐藏磁盘空间：

在所述终端设备中未安装所述第一操作系统和第二操作系统时，登录所述终端设备当前安装的第三操作系统，其中，所述第三操作系统安装在系统磁盘空间，判断所述终端设备是否连接预设的硬件认证设备，若判断出所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证，若身份认证通过，则在所述系统磁盘空间之外的任意一个本地磁盘空间中创建加密文件夹，通过虚拟磁盘映射技术，将所述加密文件夹映射成加密虚拟磁盘空间，根据所述文件加解密信息，对所述加密虚拟磁盘空间对应的磁盘驱动文件进行加密，将加密后的所述磁盘驱动文件对应的加密虚拟磁盘空间确定为所述加密虚拟隐藏磁盘空间。

其中，文件加解密信息中可包括既用于加密又用于解密的密钥，和/或非对称密钥。可根据实际情况，选择是使用既用于加密又用于解密的密钥，还是非对称密钥中的公钥，对上述磁盘驱动文件进行加密。若是使用的既用于加密又用于解密的密钥对上述磁盘驱动文件进行的加密，那么在对上述磁盘驱动文件进行解密时，便可使用该既用于加密又用于解密的密钥对对上述磁盘驱动文件进行解密；若是使用的非对称密钥中的公钥对上述磁盘驱动文件进行的加密，那么在对上述磁盘驱动文件进行解密时，便可使用上述公钥对应的私钥对上述磁盘驱动文件进行解密。另外，上述虚拟磁盘映射技术为现有技术，此处不再进行赘述。

(2)可根据下述方法创建第二操作系统：

将加密后的所述磁盘驱动文件对应的加密虚拟磁盘空间确定为所述加密虚拟隐藏磁盘空间之后，将所述第三操作系统对应的第三操作系统安装文件克隆至所述加密虚拟隐藏磁盘空间，重启所述终端设备，登录所述第三操作系统，判断所述终端设备是否连接预设的硬件认证设备，若判断出所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证，若身份认证通过，则根据所述文件加解密信息，对所述加密虚拟隐藏磁盘空间对应的磁盘驱动文件进行解密，获取所述加密虚拟隐藏磁盘空间，根据所述文件加解密信息，对所述加密虚拟隐藏磁盘空间进行解密，根据克隆至所述加密虚拟隐藏磁盘空间的所述第三操作系统安装文件，在所述加密虚拟隐藏磁盘空间中安装第四操作系统，断开所述终端设备与所述预设的硬件认证设备的连接，擦除所述第三操作系统，将所述第四操作系统确定为所述第二操作系统。

其中，上述第三操作系统与第四操作系统是相同的操作系统，只不过上述两种操作系统安装在不同的磁盘空间中，为了对这两个操作系统加以区分，便将安装在加密虚拟隐藏磁盘空间中的操作系统命名为第四操作系统。

根据上文可知，文件加解密信息中可包括既用于加密又用于解密的密钥，和/或非对称密钥。可根据实际情况，选择是使用既用于加密又用于解密的密钥，还是非对称密钥中的公钥，对上述加密虚拟隐藏磁盘空间进行加密。若是使用的既用于加密又用于解密的密钥对上述加密虚拟隐藏磁盘空间进行的加密，那么在对上述加密虚拟隐藏磁盘空间进行解密时，便可使用该既用于加密又用于解密的密钥对对上述加密虚拟隐藏磁盘空间进行解密；若是使用的非对称密钥中的公钥对上述加密虚拟隐藏磁盘空间进行的加密，那么在对上述加密虚拟隐藏磁盘空间进行解密时，便可使用上述公钥对应的私钥对上述加密虚拟隐藏磁盘空间进行解密。

在本申请实施例中，对终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件，以及加密隐藏虚拟磁盘空间进行加密时，可以根据实际情况，确定是使用相同的密钥对上述磁盘驱动文件，以及加密隐藏虚拟磁盘空间进行加密，还是使用不同的密钥对上述磁盘驱动文件，以及加密隐藏虚拟磁盘空间进行加密，本申请实施例对此不进行任何限定。

在创建出第二操作系统后，为了进一步提高第二操作系统中保存的需要保护的本地数据的安全性，还可以设置第二操作系统对应的访问密码，以使得第二操作系统更难被开启。那么，在执行本申请提供的数据保护方法中的步骤102时，若判断出所述用户输入的访问密码不为所述第一操作系统对应的访问密码，在执行步骤103以及后续步骤前，还可判断用户输入的访问密码是否为第二操作系统对应的访问密码。若判断出用户输入的访问密码为第二操作系统对应的访问密码，则执行步骤103以及后续步骤；若判断出用户输入的访问密码不为第二操作系统对应的访问密码，则执行步骤108。这里需要特别说明的是，由于对第二操作系统设置了对应的访问密码，所以执行登录第二操作系统的操作时不能按照上文提及的步骤106来执行，可在根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密后，根据用户输入的访问密码登录终端设备的第二操作系统。另外，第二操作系统对应的访问密码与第一操作系统对应的访问密码应不同，否则，终端设备便始终无法执行步骤103以及后续相关步骤，便无法登录第二操作系统，导致无法将需要保护的本地数据保存在第二操作系统中，进而便无法保护需要保护的本地数据。

另外，为了进一步增强保存在第二操作系统中的需要保护的本地数据的安全性，可使用文件加解密信息中的包括的既用于加密又用于解密的密钥，或非对称密钥密钥，对保存在第二操作系统中的需要保护的本地数据进行加密，在登录第二操作系统后，终端设备便根据文件加解密信息中包括的相应的密钥对上述需要保护的本地数据进行解密。

(3)可根据下述方法创建第一操作系统：

将所述第四操作系统确定为所述第二操作系统之后，重启所述终端设备，判断所述终端设备是否连接预设的硬件认证设备，若判断出所述终端设备连接所述预设的硬件认证设备，则根据所述认证信息，对所述预设的硬件认证设备进行身份认证，若身份认证通过，则根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间，根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密，登录终端设备的第二操作系统，在所述系统磁盘空间中安装第五操作系统，将所述第五操作系统确定为所述第一操作系统。

为了增强第一操作系统的安全性，在将所述第五操作系统确定为所述第一操作系统之前，还可对所述第五操作系统进行透明加密。其中透明加密为现有技术，此处不再进行任何赘述。

其中，上述第五操作系统可以与第一操作系统以及第二操作系统相同，也可以不同，本申请对此不进行任何限定。另外，上文中提及的任何一个操作系统可以为任意类型的操作系统，本申请对此也不进行任何限定。

在介绍完毕加密虚拟隐藏磁盘空间、第一操作系统以及第二操作系统的创建方法后，下面便介绍为何本申请实施例提供的基于系统加密的数据保护方法可解决现有技术中的数据保护方法存在的安全性较低的问题：

第一，在将终端设备开启后，且并未登录终端设备中的第一操作系统以及第二操作系统时，由于加密虚拟隐藏磁盘空间对应的磁盘驱动文件处于加密状态，那么加密虚拟隐藏磁盘空间、第二操作系统以及保存在第二操作系统中的需要保护的数据，均也处于无法被感知的状态；而系统磁盘空间对应的磁盘驱动文件并未被加密，那么上述系统磁盘空间以及第一操作系统处于可以被感知到的状态。由于只能感知到第一操作系统，便会导致不法份子误认为终端设备中仅仅存在一个操作系统，即第一操作系统，那么即便不法份子入侵了第一操作系统，由于第一操作系统中不存在需要保护的本地数据，因此，不法份子便无法窃取或损坏需要保护的数据，另外，即便电脑病毒或木马入侵了终端设备，由于第二操作系统以及需要保护的本地数据无法被感知到，所以电脑病毒或木马也只能对第一操作系统中的数据进行窃取或损坏，并不能窃取或损坏第二操作系统中保存的需要保护的本地数据。

第二，需要在软硬件条件均满足的情况下，才可以将第二操作系统由无法被感知到的状态，转变为可以被感知到的状态，即便不法份子获知终端设备中存在两个操作系统，即存在第一操作系统和第二操作系统，由于将第二操作系统由无法被感知到的状态，转变为可以被感知到的状态的条件较复杂，因此，不法份子入侵第二操作系统进而窃取或损坏需要保护的本地数据的可能性较低。

因此，本申请实施例提供的数据保护方法可解决现有技术中的数据保护方法存在的安全性较低的问题。

步骤107，根据所述用户输入的访问密码，登录所述第一操作系统。

步骤108，输出用于提醒所述用户输入的访问密码错误的信息。

其中，终端设备在输出用于提醒用户输入的访问密码错误的信息时，可以以图像或声音等任意形式输出用于提醒用户输入的访问的信息。

采用本申请实施例提供的基于系统加密的数据保护方法，在终端设备中安装两个操作系统，即第一操作系统以及第二操作系统，第一操作系统中不存在需要保护的本地数据，第二操作系统中保存有需要保护的本地，其中，终端设备被开启后，在登录第一操作系统以及第二操作系统之前，第一操作系统能够被感知到，但是第二操作系统却无法被感知到，只有在软硬件相结合的方式，即只有在用户输入的访问密码不为第一操作对应的访问密码、终端设备连接上预设的硬件认证设备且该预设的硬件认证设备身份认证通过后，才能够根据预设的硬件认证设备中包括的文件加解密信息，使得第二操作系统由无法被感知到的状态转变为能够被感知到的状态；

一方面，不法份子会误认为终端设备中仅仅存在第一操作系统，即便不法份子入侵到第一操作系统中，由于第一操作系统中不存在需要保护的本地数据，不法份子也无法窃取或破坏需要保护的本地数据，并且电脑病毒或木马也无法感知到第二操作系统的存在，电脑病毒或木马也无法破坏需要保护的数据，从而提高了现有技术中数据保护方法的安全性；

另外一方面，将第二操作系统由无法被感知到的状态转变为能够被感知到的状态，需要满足的条件较复杂，其中该条件中不仅包括软件条件，还包括硬件条件，即便不法份子获知终端设备中存在第二操作系统，不法份子也较难将第二操作系统由无法被感知到的状态转变为能够被感知到的状态，从而提高了现有技术中数据保护方法的安全性。

以上为本申请实施例提供的基于系统加密的数据保护方法，基于同样的思路，本申请还提供一种基于系统加密的数据保护装置。

如图2所示，为本申请实施例提供的一种基于系统加密的数据保护装置的结构示意图，主要包括下述装置：

接收模块21，用于接收用户输入的访问密码。

判断模块22，用于判断所述用户输入的访问密码是否为终端设备的第一操作系统对应的访问密码，其中，所述第一操作系统未保存需要保护的本地数据。

登录模块23，用于在所述判断模块判断出所述用户输入的访问密码为所述第一操作系统对应的访问密码时，根据所述用户输入的访问密码，登录所述第一操作系统。

所述判断模块22，还用于在所述判断模块判断出所述用户输入的访问密码不为所述第一操作系统对应的访问密码时，判断所述终端设备是否连接预设的硬件认证设备，其中，所述预设的硬件认证设备中包含认证信息以及文件加解密信息。

输出模块24，用于在所述判断模块判断出所述终端设备未连接所述预设的硬件认证设备时，输出用于提醒所述用户输入的访问密码错误的信息。

认证模块25，用于在所述判断模块判断出所述终端设备连接所述预设的硬件认证设备，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

所述输出模块24，还用于在所述认证模块获取到身份认证未通过的结果时，输出用于提醒所述用户输入的访问密码错误的信息。

解密模块26，用于在所述认证模块获取到身份认证通过的结果时，根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间。

所述解密模块26，还用于根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密，则登录模块，还用于登录终端设备的第二操作系统，其中，所述第二操作系统安装在所述加密隐藏虚拟磁盘空间中，所述第二操作系统中保存有需要保护的本地数据。

在一种实施场景中，所述登录模块23，还用于在所述终端设备中未安装所述第一操作系统和第二操作系统时，登录所述终端设备当前安装的第三操作系统，其中，所述第三操作系统安装在系统磁盘空间；则

所述判断模块22，用于判断所述终端设备是否连接预设的硬件认证设备；则

所述身份认证25，用于在所述判断模块22判断出所述终端设备连接所述预设的硬件认证设备时，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；则

所述装置还包括：

创建模块，用于在所述身份认证模块25获取到身份认证通过的结果时，在所述系统磁盘空间之外的任意一个本地磁盘空间中创建加密文件夹；

映射模块，用于通过虚拟磁盘映射技术，将所述加密文件夹映射成加密虚拟磁盘空间；

加密模块，用于根据所述文件加解密信息，对所述加密虚拟磁盘空间对应的磁盘驱动文件进行加密；

确定模块，用于将加密后的所述磁盘驱动文件对应的加密虚拟磁盘空间确定为所述加密虚拟隐藏磁盘空间。

在一种实施场景中，所述装置还包括：

克隆模块，用于在所述确定模块将加密后的所述磁盘驱动文件对应的加密虚拟磁盘空间确定为所述加密虚拟隐藏磁盘空间之后，将所述第三操作系统对应的第三操作系统安装文件克隆至所述加密虚拟隐藏磁盘空间；则

所述登录模块23，还用于重启所述终端设备，登录所述第三操作系统；

所述判断模块22，用于判断所述终端设备是否连接预设的硬件认证设备；则

所述身份认证25，用于在所述判断模块22判断出所述终端设备连接所述预设的硬件认证设备时，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

所述解密模块26，用于在所述认证模块25获取到身份认证通过的结果时，根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间；

所述解密模块26，还用于根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密；则

所述装置还包括：

安装模块，用于根据克隆至所述加密虚拟隐藏磁盘空间的所述第三操作系统安装文件，在所述加密虚拟隐藏磁盘空间中安装第四操作系统；

断开模块，用于断开所述终端设备与所述预设的硬件认证设备的连接；

擦除模块，用于擦除所述第三操作系统；则

所述确定模块，还用于将所述第四操作系统确定为所述第二操作系统。

在一种实施场景中，所述判断模块22，还用于在所述确定模块将所述第四操作系统确定为所述第二操作系统之后，重启所述终端设备，判断所述终端设备是否连接预设的硬件认证设备；

所述身份认证25，用于在所述判断模块22判断出所述终端设备连接所述预设的硬件认证设备时，根据所述认证信息，对所述预设的硬件认证设备进行身份认证；

所述解密模块26，用于在所述认证模块25获取到身份认证通过的结果时，根据所述文件加解密信息，对所述终端设备中的加密隐藏虚拟磁盘空间对应的磁盘驱动文件进行解密，获取所述加密隐藏虚拟磁盘空间；

所述解密模块26，还用于根据所述文件加解密信息，对所述加密隐藏虚拟磁盘空间进行解密，则

所述登录模块22，用于登录所述第二操作系统；

所述安装模块，用于在所述系统磁盘空间中安装第五操作系统；

所述确定模块，还用于将所述第五操作系统确定为所述第一操作系统。

在一种实施场景中，所述加密模块26，还用于在所述确定模块将所述第五操作系统确定为所述第一操作系统之前，对所述第五操作系统进行透明加密。

在一种实施场景中，所述预设的硬件认证设备为usbkey。

采用本申请实施例提供的基于系统加密的数据保护装置，在终端设备中安装两个操作系统，即第一操作系统以及第二操作系统，第一操作系统中不存在需要保护的本地数据，第二操作系统中保存有需要保护的本地，其中，终端设备被开启后，在登录第一操作系统以及第二操作系统之前，第一操作系统能够被感知到，但是第二操作系统却无法被感知到，只有在软硬件相结合的方式，即只有在用户输入的访问密码不为第一操作对应的访问密码、终端设备连接上预设的硬件认证设备且该预设的硬件认证设备身份认证通过后，才能够根据预设的硬件认证设备中包括的文件加解密信息，使得第二操作系统由无法被感知到的状态转变为能够被感知到的状态；

一方面，不法份子会误认为终端设备中仅仅存在第一操作系统，即便不法份子入侵到第一操作系统中，由于第一操作系统中不存在需要保护的本地数据，不法份子也无法窃取或破坏需要保护的本地数据，并且电脑病毒或木马也无法感知到第二操作系统的存在，电脑病毒或木马也无法破坏需要保护的数据，从而提高了现有技术中数据保护方法的安全性；

另外一方面，将第二操作系统由无法被感知到的状态转变为能够被感知到的状态，需要满足的条件较复杂，其中该条件中不仅包括软件条件，还包括硬件条件，即便不法份子获知终端设备中存在第二操作系统，不法份子也较难将第二操作系统由无法被感知到的状态转变为能够被感知到的状态，从而提高了现有技术中数据保护方法的安全性。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。