称为内核加密模块),由于设备标识是唯一的,因此,根据终端的设备标识生成的内核加密算法可以实现终端与数据的一一对应保护。
[0040]步骤S106,在系统内核,调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。
[0041]在具体实施过程中,用户可以设定的保护目录、保护文件或保护存储设备,S卩,可以直接将整个目录中的数据进行保护,也可以保护指定的单个文件,也可以设定需要保护某个存储设备,即保护该存储设备中存储的所有数据,根据用户的设定,调用上述内核加密算法,对终端中指定的数据进行初始化加密。
[0042]采用本发明实施例提供的上述方法进行加密,可以实现存储设备或数据在脱离原终端的情况下无法被读写的安全保护功能。
[0043]在本发明实施例的可选实施方案中,在系统内核生成内核加密算法之后,还可以在系统内核生成与所述内核加密算法对应的内核解密算法。从而可以对初始化加密的数据进行解密。
[0044]在本发明实施例的可选实施方案中,在调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密之后,所述方法还包括:在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求;在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端,如果不是,则拒绝所述操作请求,如果是,则执行所述操作请求。
[0045]可选地,执行所述操作请求可以包括:如果所述操作请求为文件读取请求,则执行所述内核解密算法,对请求读取的文件数据进行解密,将解密后的数据存储在内核文件缓冲区;如果所述操作请求为文件写入请求,则调用所述内核加密算法对待写入的文件数据进行加密,并将加密后的数据写入文件。
[0046]通过本发明实施例提供的技术方案采用结合终端独有设备ID对指定数据进行自动加解密的方法实现数据安全保护,特别是当数据文件或存储设备被非法用户获取后也能实现脱机保护的作用,能针对高安全要求的用户提供终端本地数据的额外保护。
[0047]与上述加密方法对应,本发明实施例还提供了一种加密装置,该装置可以位于终端,或者,也可以作为与终端连接的第三方设备。
[0048]图2为根据本发明实施例的加密装置的结构示意图,如图2所示,主要包括:获取模块20,用于获取终端的设备标识;生成模块22,与获取模块20连接,用于根据所述设备标识,在系统内核生成内核加密算法;加密模块24,与生成模块22连接,用于在系统内核,调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。
[0049]在本发明实施例的一个可选实施方案中,所述生成模块22还用于在系统内核生成与所述内核加密算法对应的内核解密算法。
[0050]在本发明实施例的一个可选实施方式中,如图3所示,该装置还可以包括:监测模块30,用于在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求;判断模块32,用于在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端;拒绝模块34,用于在判断所述当前设备不是授权终端时,拒绝所述操作请求;执行模块36,用于在判断所述当前设备是授权终端时,执行所述操作请求。
[0051]进一步,在本发明实施例可选实施方式中,所述执行模块36可以包括:操作请求识别单元,用于识别所述操作请求为文件读取请求还是文件写请求;执行单元,用于在所述操作请求为读请求时,执行所述内核解密算法,对请求读取的文件数据进行解密,将解密后的数据存储在内核文件缓冲区,在所述操作请求为文件写入请求时,调用所述内核加密算法对待写入的文件数据进行加密,并将加密后的数据写入文件。
[0052]与上述加密方法对应,本发明实施例还提供了一种内核加密数据的操作方法,用于对经上述加密方法进行加密的数据进行操作。
[0053]图4为根据本发明实施例的内核加密数据的操作方法流程图,如图4所示,主要包括以下步骤(步骤S402-步骤S408):
[0054]步骤S402,在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求。
[0055]在本发明实施例中,可以通过对初始化加密后的数据设置写事件及读事件监控标识,然后根据所述写事件及读事件监控标识,在系统文件驱动上层启动写请求或读请求监控。
[0056]步骤S404,在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端,如果不是,则执行步骤S406,否则,执行步骤S408o
[0057]步骤S406,拒绝所述操作请求。
[0058]步骤S408,执行所述操作请求。
[0059]在本发明实施例的一个可选实施方式中,执行所述操作请求包括:如果所述操作请求为文件写入请求,则在系统内核调用内核加密算法对待写入的数据进行加密,并将加密后的数据写入文件,其中,所述内核加密算法为在对所述数据进行初始化加密时,根据存储所述数据的终端的设备标识创建的;如果所述操作请求为文件读取请求,则执行内核解密算法,对请求读取的数据进行解密,将解密后的数据存储在内核文件缓冲区,其中,所述内核解密算法与所述内核加密算法对应。
[0060]根据本发明实施例,还提供一种内核加密数据的操作装置,用于实现上述内核加密数据的操作方法。
[0061]图5为根据本发明实施例的内核加密数据的操作装置的结构示意图,如图5所示,主要包括:监测模块50,用于在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求;判断模块52,用于在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端;拒绝模块54,用于在判断所述当前设备不是授权终端时,拒绝所述操作请求;执行模块56,用于在判断所述当前设备是授权终端时,执行所述操作请求。
[0062]可选地,所述执行模块可以包括:操作请求识别单元,用于识别所述操作请求为文件读取请求还是文件写请求;执行单元,用于在所述操作请求为读请求时,执行内核解密算法,对请求读取的文件数据进行解密,将解密后的数据存储在内核文件缓冲区,在所述操作请求为文件写入请求时,调用内核加密算法对待写入的文件数据进行加密,并将加密后的数据写入文件,其中,所述内核加密算法为在对所述数据进行初始化加密时,根据存储所述数据的终端的设备标识创建的,所述内核解密算法与所述内核加密算法对应。
[0063]可选地,所述监测模块可选包括:设置单元,用于在系统内核设置所述初始化加密后的数据的写事件及读事件监控标识;监控单元,用于根据所述写事件及读事件监控标识,在系统文件驱动上层启动对写请求或读请求的监控。
[0064]下面以瘦终端为例,对本发明实施例提供的技术方案进行说明。
[0065]根据本发明实施例提供的技术方案,可以在瘦终端中实现用户敏感数据脱机安全的方法,该方法可以包括以下步骤:
[0066]1、初始化内核加解密模块(即内核加解算法),对数据进行初始化加密,如图6所示,其可以包括以下4个步骤:
[0067]步骤S601,自动读取瘦终端特有的设备ID。
[0068]步骤S602,根据设备ID创建内核加密模块。
[0069]步骤S603,创建内核解密模块。
[0070]步骤S604,根据用户设定的文件或目录或存储驱动器调用内核加密模块进行初始化加密。
[0071]2、内核文件驱动读写过滤及加解密模块初始化过程,如图7所示,其可以包括以下步骤:
[0072]步骤S701,设置内核文件read事件监控标志。
[0073]步骤S702,设置内核文件write事件监控标志。
[0074]步骤S703,将内核文件过滤及加解密模块挂载到系统文件驱动上层。
[0075]步骤S704,启动read、write请求监控。
[0076]3、对内核文件进行读写操作,调用内核文件驱动读写过滤模块及加解密模块,其可以包括以下步骤:
[0077]1)初始化内核文件驱动读写过滤模块,并挂接到内核文件驱动上层。
[0078]2)对于文件读取的解密操作,如图8所示,内核文件驱动读写过滤模块拦截内核的文件读取请求(步骤S801),根据当前设备ID判断是否是授权终端(步骤S802),如果是则执行内核解密模块,完成数据解密(步骤S803),解密后数据直接位于内核文件缓冲区,可以由应用层软件直接读取也可以向应用层返回解密后的数据(步骤S804);如果设备ID非法,则拒绝解密,将内核读取请求返回失败(步骤S805),向应用层返回失败(步骤S806),此时应用软件读取文件提示失败。
[0079]3)对于文件写入的加密操作,如图9所示,内核文件驱动读写过滤模块拦截内核的文件写入请求(步骤S901),根据当前设备ID是否为授权设备ID (步骤S902),如果是则调用内核加密模块执行数据加密(步骤S903),并将加密后数据写入文件(步骤S904);如果当前设备ID非法