加密方法及装置、内核加密数据的操作方法及装置的制造方法

加密方法及装置、内核加密数据的操作方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机及通信技术领域，具体而言，涉及一种加密方法及装置、内核加密数据的操作方法及装置。
【背景技术】
[0002]在云计算系统中，瘦终端本地的存储设备上会存储用户的一部分数据，当部分数据文件被拷贝到别的终端或个人电脑(PC)、以及非法用户将瘦终端的存储设备直接拆除到别的终端时，这些数据信息将可以被直接读取，从而存在信息被泄露的风险。
[0003]目前，瘦终端上的数据保护主要通过以下两种方式进行:
[0004]一、通过远程管理中心对瘦终端进行权限控制的方式。但这种方法主要存在以下缺点:1)对于将瘦终端上的数据文件直接拷贝到别的机器上不能进行保护；2)对于将瘦终端上的存储设备拆除下来放到别的机器上也无法进行保护。
[0005]二、通过加密软件对目标文件进行手动加密，但这种方法存在以下缺点:1)由于这些加密软件都是通过应用层软件对文件本身进行加密，所以容易被破解，安全级别不够；2)加密不能跟特定终端绑定，不能满足终端与数据的一一对应保护；3)在第三方软件要使用加密过的文件时，还需要用户提前手工解密后才能被第三方软件读取，效率较低，使用不方便，特别是对于一些由操作系统和第三方软件自动读写的文件，由于这些操作可能是后台进行读写，用户也无法在中间插入手工解密的过程。
[0006]针对相关技术存在的瘦终端上的数据保护存在的上述问题，目前尚未提出有效的解决方案。

【发明内容】

[0007]针对相关技术中加密不能跟特定终端绑定，不能满足终端与数据的一一对应保护的问题，本发明提供了一种加密方法及装置、内核加密数据的操作方法及装置，以至少解决上述问题。
[0008]根据本发明的一个方面，提供了一种加密方法，包括:获取终端的设备标识；根据所述设备标识，在系统内核生成内核加密算法；在系统内核，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。
[0009]可选地，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密，包括:根据设定的保护目录、保护文件或保护存储设备，调用所述内核加密算法，对所述终端中指定的保护目录、保护文件或保护存储设备的数据进行初始化加密。
[0010]可选地，在系统内核生成内核加密算法之后，所述方法还包括:在系统内核生成与所述内核加密算法对应的内核解密算法。
[0011]可选地，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密之后，所述方法还包括:在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求；在监测到所述操作请求时，根据执行所述操作请求的当前设备的设备标识，判断所述当前设备是否为授权终端，如果不是，则拒绝所述操作请求，如果是，则执行所述操作请求。
[0012]可选地，执行所述操作请求包括:如果所述操作请求为文件读取请求，则执行所述内核解密算法，对请求读取的文件数据进行解密，将解密后的数据存储在内核文件缓冲区；如果所述操作请求为文件写入请求，则调用所述内核加密算法对待写入的文件数据进行加密，并将加密后的数据写入文件。
[0013]根据本发明的另一个方面，提供了一种内核加密数据的操作方法，包括:在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求；在监测到所述操作请求时，根据执行所述操作请求的当前设备的设备标识，判断所述当前设备是否为授权终端，如果不是，则拒绝所述操作请求，如果是，则执行所述操作请求。
[0014]可选地，执行所述操作请求包括:如果所述操作请求为文件写入请求，则在系统内核调用内核加密算法对待写入的数据进行加密，并将加密后的数据写入文件，其中，所述内核加密算法为在对所述数据进行初始化加密时，根据存储所述数据的终端的设备标识创建的；如果所述操作请求为文件读取请求，则执行内核解密算法，对请求读取的数据进行解密，将解密后的数据存储在内核文件缓冲区，其中，所述内核解密算法与所述内核加密算法对应。
[0015]可选地，在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求包括:在系统内核设置所述初始化加密后的数据的写事件及读事件监控标识；根据所述写事件及读事件监控标识，在系统文件驱动上层启动写请求或读请求监控。
[0016]根据本发明的又一个方面提供了一种加密装置，包括:获取模块，用于获取终端的设备标识；生成模块，用于根据所述设备标识，在系统内核生成内核加密算法；加密模块，用于在系统内核，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。
[0017]可选地，所述生成模块还用于在系统内核生成与所述内核加密算法对应的内核解密算法。
[0018]可选地，还包括:监测模块，用于在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求；判断模块，用于在监测到所述操作请求时，根据执行所述操作请求的当前设备的设备标识，判断所述当前设备是否为授权终端；拒绝模块，用于在判断所述当前设备不是授权终端时，拒绝所述操作请求；执行模块，用于在判断所述当前设备是授权终端时，执行所述操作请求。
[0019]可选地，所述执行模块包括:操作请求识别单元，用于识别所述操作请求为文件读取请求还是文件写请求；执行单元，用于在所述操作请求为读请求时，执行所述内核解密算法，对请求读取的文件数据进行解密，将解密后的数据存储在内核文件缓冲区，在所述操作请求为文件写入请求时，调用所述内核加密算法对待写入的文件数据进行加密，并将加密后的数据写入文件。
[0020]根据本发明的又一个方面，提供了一种内核加密数据的操作装置，包括:监测模块，用于在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求；判断模块，用于在监测到所述操作请求时，根据执行所述操作请求的当前设备的设备标识，判断所述当前设备是否为授权终端；拒绝模块，用于在判断所述当前设备不是授权终端时，拒绝所述操作请求；执行模块，用于在判断所述当前设备是授权终端时，执行所述操作请求。
[0021]可选地，所述执行模块包括:操作请求识别单元，用于识别所述操作请求为文件读取请求还是文件写请求；执行单元，用于在所述操作请求为读请求时，执行内核解密算法，对请求读取的文件数据进行解密，将解密后的数据存储在内核文件缓冲区，在所述操作请求为文件写入请求时，调用内核加密算法对待写入的文件数据进行加密，并将加密后的数据写入文件，其中，所述内核加密算法为在对所述数据进行初始化加密时，根据存储所述数据的终端的设备标识创建的，所述内核解密算法与所述内核加密算法对应。
[0022]可选地，所述监测模块包括:设置单元，用于在系统内核设置所述初始化加密后的数据的写事件及读事件监控标识；监控单元，用于根据所述写事件及读事件监控标识，在系统文件驱动上层启动对写请求或读请求的监控。
[0023]通过本发明，根据终端的设备标识生成内核加密算法，在系统内核，通过内核加密算法对数据进行初始化加密，加密与特定终端绑定，实现了终端与数据的一一对应保护，即使将终端上的存储设备拆除下来放到别的机器上也无法进行解密，保证了数据的安全。并且，通过在系统内核而不是通过应用层软件对数据进行加密，不容易被破解，提升了数据的安全性。
【附图说明】
[0024]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0025]图1是根据本发明实施例的加密方法的流程图；
[0026]图2是根据本发明实施例的加密装置的结构示意图；
[0027]图3是根据本发明可选实施例的加密装置的结构示意图；
[0028]图4是根据本发明实施例的内核加密数据的操作方法流程图；
[0029]图5是根据本发明实施例的内核加密数据的操作装置的结构示意图；
[0030]图6是初始化内核加解密模块以及对数据进行初始化加密的流程图；
[0031]图7是内核文件驱动读写过滤及加解密模块初始化过程的流程图；
[0032]图8是文件读取的解密操作的流程图；
[0033]图9是文件写入的加密操作的流程图。
【具体实施方式】
[0034]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。
[0035]图1是根据本发明实施例的加密方法的流程图，如图1所示，该加密方法主要包括以下步骤(步骤S102-步骤S106):
[0036]步骤S102，获取终端的设备标识。
[0037]在具体实施过程中，终端的设备标识是唯一的，通过终端的设备标识，可以区分不同的终端。
[0038]步骤S104,根据所述设备标识，在系统内核生成内核加密算法。
[0039]在本发明实施例中，根据终端的设备标识生成内核加密算法(也可以