专利名称:一种磁盘全盘加密系统及方法
技术领域:
本发明涉及计算机系统安全领域,特别是涉及一种磁盘全盘加密系统及方法。
背景技术:
目前,为了提高计算机系统的安全性,许多计算机厂家均推出了带有各种安全措 施的电脑产品,如指纹锁等,这些保密措施的原理参见图l所示,主要由用户提供验证物 (密码、指纹锁等),之后系统验证验证物是否正确,若正确,则继续执行,否则提示用户重 新提供验证物。由于这些保密措施一般只是验证用户提供的验证物是否正确,因而,其安全 性非常有限。对于这种类型的保密措施,只需简单地修改系统运行流程即可实现破解,其原 理参见图2所示,破解后可跳过由用户提供验证物(密码、指纹锁等)以及系统验证验证物 是否正确的步骤,直接继续执行。 因此,这些安全措施虽然能够增加一定的安全性,但很容易被破解,即使这些安全 措施能够做到其他用户无法破解(从理论上看,根本无法做到),这些安全措施也有其致命 弱点,即只能保证在没有合法授权(如没有合法的指纹输入等)的情况下,其他用户无法启 动计算机,但无法防止存储在磁盘上的数据不被泄密,其他用户只需将该计算机上的磁盘 挂到其它计算机上,即可轻易拷贝其中的数据。这些安全措施只是限制了其他用户使用该 计算机,却无法防止存储在该计算机上数据的泄密。
发明内容
本发明提供了一种磁盘全盘加密系统及方法,用以解决现有计算机系统的保密措 施只是限制了其他用户使用计算机,却无法防止存储在该计算机上的数据泄密的问题。
本发明的磁盘全盘加密系统,包括拦截单元,用于拦截对本地磁盘的数据读写请 求;获取单元,用于获取用户提供的验证物;加密解密单元,用于通过验证物对所述读请求 指向的文件解密,以及对所述写请求指向的文件加密;数据存取单元,用于从本地磁盘读取 所述读请求指向的未解密文件,并交由加密解密单元解密;以及向本地磁盘写入所述写请 求指向的经加密解密单元加密后的文件。
本发明的磁盘全盘加密方法,包括下列步骤拦截步骤拦截对本地磁盘的数据 读写请求;获取步骤获取用户提供的验证物;加密解密步骤通过验证物对所述读请求指 向的文件解密,以及对所述写请求指向的文件加密;存取步骤从本地磁盘读取所述读请 求指向的未解密文件;以及向本地磁盘写入所述写请求指向的经加密后的文件。
本发明有益效果如下 由于本发明提出了拦截对本地磁盘读写请求的机制,并在拦截后,通过用户提供 的验证物对读取的文件解密,以及对写入的文件加密,从而实现本地磁盘的全盘加密,进而 防止了本地磁盘数据的泄露。
图1为现有计算机保密措施的原理图; 图2为现有破解计算机保密措施的原理图; 图3为本发明实施例1的系统结构示意图; 图4为本发明实施例4的步骤流程图; 图5为本发明实施例5的流程图; 图6为本发明实施例6的流程图。
具体实施例方式
为了防止存储在计算机上的数据泄密,本发明提供了一种磁盘全盘加密系统及方 法,主要原理是通过拦截操作系统或应用软件等对磁盘数据的读写请求,实现对磁盘数据 的实时加密和解密操作,当系统向磁盘写入数据时,首先获得控制权,以用户输入的密码或 其它验证物对要写入的数据进行加密操作,然后将加密后的数据写入磁盘的指定位置,反 之,当程序读取磁盘数据时,同样能够获得优先控制权,到磁盘的指定位置读取加密数据并 根据用户输入的密码或其它验证物进行解密操作,然后将解密后的数据提交给相应的程 序。这样,在操作系统或应用软件看来,磁盘上存储的数据和未加密时的数据完全一样,能 够以正常的方式直接使用。同样,用户也感觉不到本发明系统及方法的存在,可以不改变任 何习惯而直接使用计算机。以下通过若干实施例详细说明。 实施例1 :本实施例提供的系统,参见图3所示,包括拦截单元、获取单元、加密解 密单元和数据存取单元。 拦截单元,用于拦截对本地磁盘的数据读写请求。
获取单元,用于获取用户提供的验证物。 加密解密单元,用于通过验证物对读请求指向的文件解密,以及对写请求指向的 文件加密。 数据存取单元,用于从本地磁盘读取读请求指向的未解密文件,并交由加密解密
单元解密;以及向本地磁盘写入写请求指向的经加密解密单元加密后的文件。
实施例2 :基于上述实施例1,以流程的方式详述在计算机启动过程中,各个单元
的处理过程。 首先、在计算机启动后,会加载操作系统程序,即向本地磁盘发出读请求,指向操 作系统文件。此时拦截单元会拦截该读请求,并提示用户输入密码,在密码输入阶段,虽然 类似于现有技术的表象,但其验证密码的主要目的并不是阻止其他人使用该计算机,而是 将该密码作为验证物用于后续的解密过程。 其次,用户输入密码后,获取单元获取该密码并作为验证物。 其后,数据存取单元从本地磁盘读取未解密的操作系统文件,并交由加密解密单 元解密。 之后,加密解密单元对获取单元获取的验证物作单向散列运算,得到散列值。并用 该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未解密的操作系统文 件进行解密。 最后,若用户输入的密码与最初加密操作系统文件所用密码一致(即散列值一致),则可完整还原操作系统文件,进而成功加载操作系统,实现计算机正常开机;否则,由
于密码不一致,还原的操作系统文件为乱码(或不可用),导致无法正常开机。 实施例3、接续实施例2,在计算机正常启动后,用户向本地磁盘存储影音文件时
各个单元的处理过程。 首先、用户向本地磁盘拷贝影音文件,此时拦截单元会拦截该写请求。 其次,获取单元以正常启动计算机时用户提供的密码作为验证物。 其后,加密解密单元对该验证物作单向散列运算,得到散列值。并用该散列值以预
设的加密解密策略(即磁盘级或文件级的解密方式)对未加密的影音文件进行加密。 之后,数据存取单元向本地磁盘的指定位置写入经由加密解密单元加密后的影音文件。 最后,本地磁盘存储加密后的影音文件,以备后续调用。
实施例4、本实施例的方法,参见图4所示,包括下列主要步骤
Sl、拦截对本地磁盘的数据读写请求。
S2 、获取用户提供的验证物。 S3、通过验证物对读请求指向的文件解密,以及对写请求指向的文件加密。 S4、从本地磁盘读取读请求指向的未解密文件;以及向本地磁盘写入所述写请求
指向的经加密后的文件。 实施例5、基于上述实施例4,以流程的方式详述计算机启动过程。
在计算机上安装了本发明的系统后,会执行本发明方法的流程,相应的计算机的 启动过程会被改变,本实施例中称本发明系统为Disk Lock。参见图5所示,计算机的实际 启动过程如下 首先、在启动计算机的初始阶段,即在调用操作系统文件之前,先执行Disk Lock。
其次、Disk Lock要求用户输入密码。在密码输入阶段,虽然类似于现有技术的表 象,但其验证密码的主要目的并不是阻止其他人使用该计算机,而是将该密码作为验证物 用于后续的解密过程。 其后、将用户输入的密码作单向散列运算,得到散列值。 之后,判断上述得到散列值与本地磁盘存储的散列值是否相同。如果相同,则读取 未解密的操作系统文件后,用该散列值以预设的加密解密策略(即磁盘级或文件级的解密 方式)对未解密的操作系统文件进行解密,可完整还原操作系统文件,进而成功加载操作 系统,实现计算机正常开机,用户可正常使用该计算机;如果不同,则读取未解密的操作系 统文件后,用该散列值以预设的加密解密策略(即磁盘级或文件级的解密方式)对未解密 的操作系统文件进行解密,还原的操作系统文件为乱码(或不可用),导致无法正常开机, 用户只能重新启动计算机,重复上述步骤。 实施例6、接续实施例5,在计算机正常启动后,用户向本地磁盘读写纯文本文件 时的过程。 在计算机上安装了本发明的系统后,会执行本发明方法的流程,相应的本地磁盘 读写过程会被改变,本实施例中称本发明系统为Disk Lock。参见图6所示,读写过程如下
首先、用户通过应用程序向本地磁盘拷贝纯文本文件。 其次,上述纯文本文件作为明文数据,经操作系统处理后,提交写入本地磁盘的请求。
其后,Disk Lock拦截上述写入请求,以正常启动计算机时用户输入的密码作为验
证物,并对该验证物作单向散列运算,得到散列值。用该散列值以预设的加密解密策略(即
磁盘级或文件级的解密方式)对未加密的纯文本文件进行加密,得到密文数据。 之后,向本地磁盘的指定位置写入上述密文数据。 最后,本地磁盘存储该密文数据,以备后续调用上述纯文本文件。
读取纯文本文件的流程与上述内容相应,包括读取密文数据;拦截并解密为明
文数据;经由操作系统处理后,由应用软件向用户提供纯文本文件的过程。在此不再赘述。 上述各个实施例中涉及的加密算法,有多种加密算法供用户选择,根据现代密码
学的原理我们可知,在没有密钥的情况下,即使破解者在知道加密算法等各种前提下,要想
解密加密后的数据,也是非常困难的,当用户设置的密钥长度达到16个字符以上时,在现
有计算机运算速度的条件下,从理论上分析,要想解密加密后的数据,所需的时间也是以
百万年为计数单位的。所以本发明可确保本地磁盘的读写安全。 上述各个实施例中对磁盘数据的加密,从加密的层次上来划分,有磁盘级(扇区 级)加密方法和文件级加密方法两大类。各实施例优选磁盘级的加密,这一级别的加密方 法与文件级别的加密方式相比,主要优点是加密强度高,安全性好。由于这一级别的加 密方式直接对磁盘物理扇区进行加密,不考虑文件等存储数据的逻辑概念,在这种加密方 式下,任何存储在磁盘上的数据均是加密的。操作系统一般会在临时目录等地方临时存储 这些文件的备份文件,虽然一般情况下,这些临时文件在使用后均会被删除,但由于各种原 因,系统在创建临时文件后,有可能会遗漏临时文件而没有及时删除这些临时文件。另外, 从理论上来说,即使临时文件被删除,只要这些临时文件存储的数据区没有被覆盖或做过 加密处理等操作,就能容易地通过反删除等手段重新获得,因此,采用磁盘级的加密方式要 较文件级的加密方式安全。 综上,在密码输入阶段,虽然提供了类似于现有技术的表象,但其验证密码的主要 目的并不是想阻止其他人使用该计算机。即使其他用户通过修改计算机启动流程,实现了 不需输入密码即可继续执行的目的,但由于没有正确的密码,系统会用不正确的密码去解 密磁盘数据,在这种情况下,"解密"后的数据只会更混乱(因为用不正确的密码去解密相当 于用这个不正确的密码去加密),因此,通过修改流程的方法是无法破解的。
由于磁盘数据被加密,要想使用磁盘数据,必须对其进行解密操作,为方便用户操 作和不改变用户的计算机使用习惯,本发明采用的是动态加密和解密的方法。在具体实现 中,在操作系统和磁盘之间安装了一个数据加密和解密程序,该程序不需要用户的干预,自 动对存储到磁盘的数据作加密运算,对从磁盘读取的数据做解密操作,用户在正常使用计 算机的时候,根本感觉不到异常。 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精 神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围 之内,则本发明也意图包含这些改动和变型在内。
权利要求
一种磁盘全盘加密系统,其特征在于,包括拦截单元,用于拦截对本地磁盘的数据读写请求;获取单元,用于获取用户提供的验证物;加密解密单元,用于通过验证物对所述读请求指向的文件解密,以及对所述写请求指向的文件加密;数据存取单元,用于从本地磁盘读取所述读请求指向的未解密文件,并交由加密解密单元解密;以及向本地磁盘写入所述写请求指向的经加密解密单元加密后的文件。
2. 如权利要求1所述的磁盘全盘加密系统,其特征在于,加密解密单元对写入本地磁 盘的数据进行磁盘级或文件级的加密;相应的,加密解密单元对读出本地磁盘的数据进行 磁盘级或文件级的解密。
3. 如权利要求1所述的磁盘全盘加密系统,其特征在于,加密解密单元对获取单元获 取的验证物作单向散列运算,并以得到的散列值进行加密解密操作。
4. 如权利要求1所述的磁盘全盘加密系统,其特征在于,获取单元获取的验证物是在 系统启动时由用户提供。
5. —种磁盘全盘加密方法,其特征在于,包括下列步骤 拦截步骤拦截对本地磁盘的数据读写请求; 获取步骤获取用户提供的验证物;加密解密步骤通过验证物对所述读请求指向的文件解密,以及对所述写请求指向的 文件加密;存取步骤从本地磁盘读取所述读请求指向的未解密文件;以及向本地磁盘写入所述 写请求指向的经加密后的文件。
6. 如权利要求1所述的磁盘全盘加密方法,其特征在于,加密解密步骤中,对写入本地 磁盘的数据进行磁盘级或文件级的加密;相应的,对读出本地磁盘的数据进行磁盘级或文 件级的解密。
7. 如权利要求1所述的磁盘全盘加密方法,其特征在于,加密解密步骤中,对所述获取 的验证物作单向散列运算,并以得到的散列值进行加密解密操作。
8. 如权利要求1所述的磁盘全盘加密方法,其特征在于,获取步骤中,所述获取的验证 物是在系统启动时由用户提供。
全文摘要
本发明公开了一种磁盘全盘加密系统及方法,涉及计算机系统安全领域,用以解决现有计算机系统的保密措施只是限制了其他用户使用计算机,却无法防止存储在该计算机上的数据泄密的问题。系统包括拦截单元,获取单元,加密解密单元,数据存取单元。方法包括拦截步骤,获取步骤,加密解密步骤,存取步骤。由于本发明提出了拦截对本地磁盘读写请求的机制,并在拦截后,通过用户提供的验证物对读取的文件解密,以及对写入的文件加密,从而实现本地磁盘的全盘加密,进而防止了本地磁盘数据的泄露。
文档编号G06F12/14GK101763319SQ20101001942
公开日2010年6月30日 申请日期2010年1月15日 优先权日2010年1月15日
发明者柯宗庆, 柯宗贵 申请人:蓝盾信息安全技术股份有限公司