加密区域访问方法及装置与流程

本申请涉及设备安全领域，具体而言，涉及一种加密区域访问方法及装置。

背景技术：

随着技术的不断发展，对于设备内信息安全的要求越来越高。现有技术中，常常通过对终端设备本身进行加密的方式来保护终端设备内信息的安全。

然而在通常情况下，例如终端设备持有者遗失终端设备后，获得该终端设备的人员对该终端设备进行专门的解密破解，依然还是可以将终端设备破解成功并获得终端设备内的信息。

申请内容

有鉴于此，本申请实施例提供了一种加密区域访问方法及装置，以改善现有技术中对终端设备的数据的加密方法不完善的问题。

一方面，本申请实施例提供了一种加密区域访问方法，通过移动存储设备与所述终端设备连接来实现所述终端设备的安全启动，所述方法包括：所述移动存储设备获取所述终端设备的第一终端设备身份标识信息；将所述第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配；若所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功，控制所述终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息；获取所述第一用户身份验证信息，并将所述第一用户身份验证信息与第一预设用户身份验证信息进行匹配；若所述第一用户身份验证信息与所述第一预设用户身份验证信息匹配成功，发送启动信号至所述终端设备以使所述加密区域可以访问。

另一方面，本申请实施例还提供了一种加密区域访问装置，运行于移动存储设备，所述装置包括：终端设备身份获取模块，用于获取所述终端设备的第一终端设备身份标识信息；第一信息匹配模块，用于将所述第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配；身份验证接收模块，用于若所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功，控制所述终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息；第二信息匹配模块，用于获取所述第一用户身份验证信息，并将所述第一用户身份验证信息与第一预设用户身份验证信息进行匹配；安全启动模块，用于若所述第一用户身份验证信息与所述第一预设用户身份验证信息匹配成功，发送启动信号至所述终端设备以使所述加密区域可以访问。

本申请实施例提供的加密区域访问方法及装置的有益效果为：

通过本实施例提供的加密区域访问方法及装置，移动存储设备获取终端设备的第一终端设备身份标识信息，将第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配；若匹配成功，控制终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息，将第一用户身份验证信息与第一预设用户身份验证信息进行匹配；若再次匹配成功，则移动存储设备发送启动信号至该终端设备，以使该加密区域访问。先验证移动存储设备与终端设备是否是对应的，若是，则接收用户输入的身份验证信息，将身份验证信息与移动存储设备中的预先存储的身份信息比较，以实现再次匹配。当匹配成功后实现该终端设备的安全启动。本申请实施例提供的加密区域访问方法中，即使终端设备的持有者遗失了相应的终端设备，若未遗失与之相对应的移动存储设备，则其他用户无法开启该终端设备，更无法对其加密区域进行访问、解密或获取加密区域保存的敏感数据，从而保护了该终端设备的安全性。

附图说明

为了更清楚的说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请第一实施例提供的加密区域访问方法的流程图；

图2是本申请第一实施例提供的加密区域访问方法的一种具体实施方式的流程示意图；

图3是本申请第二实施例提供的加密区域访问装置的结构框图；

图4是本申请第二实施例提供的加密区域访问装置的一种具体实施方式的结构框图。

具体实施方式

第一实施例

请参见图1，图1示出了本申请第一实施例提供的加密区域访问方法的流程示意图，具体包括如下步骤：

步骤S110，获取所述终端设备的第一终端设备身份标识信息。

终端设备可以为电脑、手机等终端设备，第一终端设备身份标识信息可以为能够唯一标识该终端设备的标识信息。具体地，终端设备为电脑，而该终端设备的第一终端设备身份标识信息为电脑主板中BIOS的MAC码。

移动存储设备为一个便于携带的具有存储功能的移动设备，移动存储设备能够与终端设备进行通信，例如接收终端设备发送的第一终端设备身份标识信息，或发送控制指令至终端设备。可以进行无线通信，也可以进行有线通信，通信的具体方式不应该理解为是对本发明实施例的限制。

步骤S120，将所述第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配。

移动存储设备还可以对接收到的信息进行处理，例如将第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配。第一终端设备身份标识信息与第一移动存储设备身份标识信息存在对应的映射关系。

该映射关系可以存储在移动存储设备中，移动存储设备来判断两者是否相匹配，若是，则表明该移动存储设备与该终端设备对应。移动存储设备的第一移动存储设备身份标识信息具体可以为UUID，与电脑主板中BIOS的MAC码相对应。

步骤S130，若所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功，控制所述终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息。

当第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功时，移动存储设备可以发送控制指令至终端设备，使终端设备弹出第一对话框，第一对话框用于接收用户输入的第一用户身份验证信息。

第一用户身份验证信息是能够表征该用户身份的验证信息，具体的可以是用户名信息和密码信息，也可以为该用户的生物识别信息，例如指纹信息、面容信息等。

在一种具体实施方式中，若所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功，移动存储设备控制所述终端设备弹出第一对话框以接收用户输入的第一用户名信息和第一密码信息。

步骤S140，获取所述第一用户身份验证信息，并将所述第一用户身份验证信息与第一预设用户身份验证信息进行匹配。

在完成移动存储设备与终端设备的匹配以后，还需要进行用户身份验证，用户在第一对话框输入了身份验证信息后，终端设备可以把第一身份验证信息发送给移动存储设备，以便与移动存储设备内存储的第一预设用户身份验证信息进行比较。具体地，移动存储设备将所述第一用户名信息与第一预设用户名信息进行匹配，并将所述第一密码信息与所述第一预设密码信息进行匹配。

第一预设用户身份验证信息存储在移动存储设备中而不是存储在终端设备中，可以较好的实现对终端设备的保护。例如若移动存储设备或终端设备两者遗失其一，就无法完成用户的身份验证过程，从而能够较好的实现对终端设备的保护。

步骤S150，若所述第一用户身份验证信息与所述第一预设用户身份验证信息匹配成功，发送启动信号至所述终端设备以使所述加密区域访问。

具体地，若所述第一用户名信息与所述第一预设用户名信息匹配成功，且所述第一密码信息与所述第一预设密码信息匹配成功，发送启动信号至所述终端设备以使所述加密区域访问。

当分别完成了移动存储设备与终端设备的匹配以及用户的身份验证两次匹配时，才真正完成了安全验证，移动存储设备可以发送启动信号至终端设备，以使加密区域可以访问。

请参见图2，图2示出了本申请第一实施例提供的加密区域访问方法的一种具体实施方式，具体包括如下步骤：

步骤S110，获取所述终端设备的第一终端设备身份标识信息。

步骤S120，将所述第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配。

步骤S130，若所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功，控制所述终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息。

步骤S140，获取所述第一用户身份验证信息，并将所述第一用户身份验证信息与第一预设用户身份验证信息进行匹配。

步骤S150，若所述第一用户身份验证信息与所述第一预设用户身份验证信息匹配成功，发送启动信号至所述终端设备以使所述加密区域可以访问。

图2示出的步骤S110至步骤S150与图1示出的步骤S110至步骤S150相同，在此便不再赘述。

步骤S160，接收用户输入的加密区域访问请求。

终端设备的存储器可以包括普通区域和加密区域两种，具体地，对于电脑来说，可以将电脑或笔记本电脑中的任意一个硬盘分区或整个硬盘进行加密，并且将需要保密的一些应用程序和敏感文件放入该被加密的分区中。

当未接收到加密区域访问请求时，终端设备可以只呈现未加密的普通区域的文件。当接收到加密区域访问请求时，终端设备将该加密区域访问请求转发给移动存储设备。

具体地，可以对加密区域采用AES256位加密算法进行加密，也可以以其他的加密算法对加密区域进行加密，例如RSA1024位或2048位加密算法，加密算法的具体类型及密钥长度不应该理解为是对本发明的限制。

步骤S170，控制所述终端设备弹出第二对话框以接收用户输入的第二用户身份验证信息。

移动存储设备可以控制终端设备弹出第二对话框以接收用户输入的第二用户身份验证信息，具体地，可以接收用户输入的第二密码信息。第二用户身份验证信息可以与第一用户身份验证信息不同，也可以相同。

步骤S180，获取所述第二用户身份验证信息，并将所述第二用户身份验证信息与第二预设用户身份验证信息进行匹配。

用户在终端设备的第二对话框输入第二用户身份验证信息后，终端设备将第二用户身份验证信息发送给移动存储设备，以使移动存储设备利用自身存储的第二预设用户身份验证信息与接收到的第二用户身份验证信息进行匹配，具体地，将所述第二密码信息与所述第二预设密码信息进行匹配。

步骤S190，若所述第二用户身份验证信息与所述第二预设用户身份验证信息匹配成功，利用预先存储的密钥对所述加密区域解密。

若所述第二密码信息与所述第二预设密码信息匹配成功，移动存储设备可以利用预先存储的密钥对所述加密区域解密。密钥存储在移动存储设备中，当第二用户身份验证信息与所述第二预设用户身份验证信息匹配成功时，才会对加密区域进行解密。

本申请第一实施例提供的加密区域访问方法中，先验证移动存储设备与终端设备是否是对应的，若是，则接收用户输入的身份验证信息，将身份验证信息与移动存储设备中的预先存储的身份信息比较，以实现再次匹配。当匹配成功后实现该终端设备的安全启动。本申请实施例提供的加密区域访问方法中，即使终端设备的持有者遗失了相应的终端设备，若未遗失与之相对应的移动存储设备，则其他用户无法开启该终端设备，更无法对其加密区域进行访问、解密或获取加密区域保存的敏感数据，从而保护了该终端设备的安全性。

第二实施例

请参见图3，图3示出了本申请第二实施例提供的加密区域访问装置，该装置300包括：

终端设备身份获取模块310，用于获取所述终端设备的第一终端设备身份标识信息。

第一信息匹配模块320，用于将所述第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配。

身份验证接收模块330，用于若所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功，控制所述终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息。

所述身份验证接收模块330包括第一接收子模块，所述第一接收子模块用于在所述第一终端设备身份标识信息与所述第一移动存储设备身份标识信息匹配成功时，控制所述终端设备弹出第一对话框以接收用户输入的第一用户名信息和第一密码信息。

第二信息匹配模块340，用于获取所述第一用户身份验证信息，并将所述第一用户身份验证信息与第一预设用户身份验证信息进行匹配。

第二信息匹配模块340包括第一匹配子模块，所述第一匹配子模块用于将所述第一用户名信息与第一预设用户名信息进行匹配，并将所述第一密码信息与所述第一预设密码信息进行匹配。

安全启动模块350，用于若所述第一用户身份验证信息与所述第一预设用户身份验证信息匹配成功，发送启动信号至所述终端设备以使所述加密区域可以访问。

所述安全启动模块350包括第一启动子模块，用于在所述第一用户名信息与所述第一预设用户名信息匹配成功，且所述第一密码信息与所述第一预设密码信息匹配成功时，发送启动信号至所述终端设备以使所述加密区域可以访问。

请参见图4，图4示出了本申请第二实施例提供的加密区域访问装置的一种具体实施方式，除了上述的模块以外，该装置300还包括：

加密区域访问模块360，用于接收用户输入的加密区域访问请求。

对话框弹出模块370，用于控制所述终端设备弹出第二对话框以接收用户输入的第二用户身份验证信息。

所述对话框弹出模块370包括密码信息子模块，所述密码信息子模块用于控制所述终端设备弹出第二对话框以接收用户输入的第二密码信息。

第三信息匹配模块380，用于获取所述第二用户身份验证信息，并将所述第二用户身份验证信息与第二预设用户身份验证信息进行匹配。

所述第三信息匹配模块包括匹配接收子模块，所述匹配接收子模块用于将所述第二密码信息与所述第二预设密码信息进行匹配。

解密模块390，用于若所述第二用户身份验证信息与所述第二预设用户身份验证信息匹配成功，利用预先存储的密钥对所述加密区域解密。

所述解密模块390包括解密子模块，所述解密子模块用于若所述第二密码信息与所述第二预设密码信息匹配成功时，利用预先存储的密钥对所述加密区域解密。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法中的对应过程，在此不再过多赘述。

通过本实施例提供的加密区域访问方法及装置，移动存储设备获取终端设备的第一终端设备身份标识信息，将第一终端设备身份标识信息与自身的第一移动存储设备身份标识信息进行匹配；若匹配成功，控制终端设备弹出第一对话框以接收用户输入的第一用户身份验证信息，将第一用户身份验证信息与第一预设用户身份验证信息进行匹配；若再次匹配成功，则移动存储设备发送启动信号至该终端设备，以使该加密区域访问。先验证移动存储设备与终端设备是否是对应的，若是，则接收用户输入的身份验证信息，将身份验证信息与移动存储设备中的预先存储的身份信息比较，以实现再次匹配。当匹配成功后实现该终端设备的安全启动。本申请实施例提供的加密区域访问方法中，即使终端设备的持有者遗失了相应的终端设备，若未遗失与之相对应的移动存储设备，则其他用户无法开启该终端设备，更无法对其加密区域进行访问、解密或获取加密区域保存的敏感数据，从而保护了该终端设备的安全性。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。