多系统的数据加密传输方法及装置与流程

本发明涉及终端
技术领域：
，具体而言，本发明涉及一种多系统的数据加密传输方法及装置。
背景技术：
：目前，智能手机、平板电脑、智能穿戴设备、电子阅读器或行车记录仪等终端设备越来越普及。相当一部分数量的终端设备中安装了两个操作系统。每个操作系统的数据传输方法，包括：当用户通过应用输入数据并指示存储到指定文件中时，操作系统将输入的数据写入物理块存储设备中；当用户通过应用指示从指定文件中读取数据时，操作系统先从物理块存储设备中读取数据返回给应用，由应用向用户展示数据。然而，大量的隐私数据或文件，以明文(未加密)的形式存储在终端设备中的物理块存储设备上。不法分子通过非法手段获取终端设备后，可以读取该终端设备的物理块存在设备上的明文数据，很容易导致两个以上操作系统的终端设备中隐私数据的泄露，容易给用户带来损失，导致用户体验不佳。技术实现要素：本发明针对现有方式的缺点，提出一种多系统的数据加密传输方法及装置，用以解决现有技术存在具有两个以上操作系统的终端设备的数据容易泄露的问题。本发明的实施例根据一个方面，提供了一种多系统的数据加密传输方法，包括：基于确定出的每个操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备、所述物理块存储设备与逻辑块存储设备之间的映射关系、以及主密钥，生成所述逻辑块存储设备的创建请求进行发送；内核根据接收的所述逻辑块存储设备的创建请求，创建所述逻辑块存储设备；由所述逻辑块存储设备根据所述主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密后，在所述逻辑块存储设备所映射的物理块存储设备与所述应用之间进行传输。本发明的实施例根据另一个方面，还提供了一种多系统的数据加密传输装置，包括：两个以上操作系统和内核；每个操作系统包括：逻辑块存储设备请求模块，用于基于确定出的其所属操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备、所述物理块存储设备与逻辑块存储设备之间的映射关系、以及主密钥，生成所述逻辑块存储设备的创建请求进行发送；所述内核包括：逻辑块存储设备创建模块，用于根据接收的所述逻辑块存储设备的创建请求，创建所述逻辑块存储设备；逻辑块存储设备，用于根据所述主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密后，在所述逻辑块存储设备所映射的物理块存储设备与所述应用之间进行传输。较佳地，本发明实施例的多系统的数据加密传输装置，还包括：挂载模块，用于在由所述逻辑块存储设备根据所述主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密之前，将所述逻辑块存储设备挂载到相应的文件系统挂载点上。较佳地，所述挂载模块具体用于当接收到应用针对所述逻辑块存储设备的挂载请求时，所述内核检测发送所述挂载请求的应用所属的操作系统是否具有所述逻辑块存储设备的访问权限；若检测结果为是，则将所述逻辑块存储设备挂载到其所映射的物理块存储设备对应的文件系统挂载点上；否则拒绝挂载。较佳地，所述挂载模块具体用于根据预先确定的多个逻辑块存储设备与操作系统的访问权限的对应关系，确定出所述挂载请求的应用所属的操作系统是否具有所述逻辑块存储设备的访问权限。较佳地，所述逻辑块存储设备创建模块还用于通过下述方法预选确定所述多个逻辑块存储设备与操作系统的访问权限的对应关系：所述内核创建每个逻辑块存储设备时，确定出发送该逻辑块存储设备的创建请求的应用所属操作系统具有该逻辑块存储设备的访问权限；建立发送该逻辑块存储设备的创建请求的应用所属操作系统的所述访问权限，与该逻辑块存储设备的对应关系。较佳地，所述逻辑块存储设备具体用于当检测到应用向文件系统挂载点写入数据时，该文件系统挂载点所挂载的逻辑块存储设备根据该逻辑块存储设备的创建请求中的主密钥，对写入的数据进行加密后，存入该逻辑块存储设备所映射的物理块存储设备中；当检测到应用向文件系统挂载点发送数据读取请求时，该文件系统挂载点所挂载的逻辑块存储设备，从该逻辑块存储设备所映射的物理块存储设备中读取所述数据读取请求涉及的数据后，根据该逻辑块存储设备的创建请求中的主密钥，对读取的数据进行解密后返回发送所述数据读取请求的应用。较佳地，所述逻辑块存储设备请求模块还用于根据设备唯一号对确定出的所述主密钥进行加密，得到加密后的主密钥；以及所述逻辑块存储设备还用于根据所述设备唯一号对加密后的主密钥进行解密后，得到所述主密钥；根据所述主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密。本发明实施例中，由与物理块存储设备具有映射关系的逻辑块存储设备，来对数据进行加密或解密并传输。用户的隐私数据也会被加密，即使非法分子通过恶意软件等方式窃取了用户终端设备中加密后的数据，也难以破解得到数据，从而可以防止终端设备中数据泄露，提升用户的数据的安全性。本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。附图说明本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：图1为本发明实施例的终端设备的内部结构的框架示意图；图2a为本发明实施例的逻辑块存储设备创建和挂载方法的流程示意图；图2b为本发明实施例的将逻辑块存储设备挂载到相应的文件系统挂载点上的具体方法的流程示意图；图2c为本发明实施例的挂载了逻辑块存储设备的文件系统的示意图；图3为本发明实施例的基于逻辑块存储设备的多系统的数据加密传输方法的流程示意图；图4为本发明实施例的多系统的数据加密传输装置的内部结构的框架示意图。具体实施方式下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。本
技术领域：
技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。本
技术领域：
技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。本
技术领域：
技术人员可以理解，这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备，其仅具备无发射能力的无线信号接收器的设备，又包括接收和发射硬件的设备，其具有能够在双向通信链路上，进行双向通信的接收和发射硬件的设备。这种设备可以包括：蜂窝或其他通信设备，其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备；PCS(PersonalCommunicationsService，个人通信系统)，其可以组合语音、数据处理、传真和/或数据通信能力；PDA(PersonalDigitalAssistant，个人数字助理)，其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(GlobalPositioningSystem，全球定位系统)接收器；常规膝上型和/或掌上型计算机或其他设备，其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的，或者适合于和/或配置为在本地运行，和/或以分布形式，运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端，例如可以是PDA、MID(MobileInternetDevice，移动互联网设备)和/或具有音乐/视频播放功能的移动电话，也可以是智能电视、机顶盒等设备。本发明的发明人注意到，透明加密技术是近年来针对单个操作系统的终端设备的数据保密需求应运而生的一种文件加密技术。单操作系统的数据加密传输方法，包括：当用户通过应用输入数据并指示存储到指定文件中时，操作系统对输入的数据进行加密处理，然后将加密后数据写入物理块存储设备中；当用户通过应用指示从指定文件中读取数据时，操作系统先从物理块存储设备中读取加密的数据，然后对数据进行解密处理，最后返回给应用，由应用向用户展示数据。用户的数据(包括隐私数据)以密文的形式存放在物理块存储设备中，因此即使不法分子获取了终端设备的物理块存储设备中存储的加密后的数据，也无法破解加密后的数据。然而，上述单操作系统的数据加密传输方法，无法直接应用到具有两个以上操作系统的终端设备中。目前，两个以上操作系统的终端设备仍然缺乏有效的数据加密传输方法，来保护用户的隐私数据；导致两个以上操作系统的终端设备中的隐私数据容易泄露，容易给用户带来损失，导致用户体验不佳。本发明实施例中，基于确定出的每个操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备、物理块存储设备与逻辑块存储设备之间的映射关系、以及主密钥，生成逻辑块存储设备的创建请求进行发送；内核根据接收的逻辑块存储设备的创建请求，创建逻辑块存储设备；由逻辑块存储设备根据主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密后，在逻辑块存储设备所映射的物理块存储设备与应用之间进行传输。可见，本发明实施例中，由与物理块存储设备具有映射关系的逻辑块存储设备，来对数据进行加密或解密并传输。用户的隐私数据也会被加密，即使非法分子通过恶意软件等方式窃取了用户终端设备中加密后的数据，也难以破解得到数据，从而可以防止终端设备中数据泄露，提升用户的数据的安全性。下面结合附图具体介绍本发明实施例的技术方案。本发明实施例的终端设备的内部结构的框架示意图如图1所示，包括：内核和两个以上操作系统。其中，两个以上操作系统包括第一操作系统、第二操作系统、……、第N操作系统。N为2以上的正整数。本发明实施例的操作系统包括容器系统。本发明实施例中的操作系统，是设置在以Linuxcontainer(容器)虚拟化技术创建的容器中的操作系统。操作系统可以为传统意义上的Linux操作系统或Unix操作系统，也可以是基于Linux操作系统衍生出来的Android系统或Ubuntu系统等，还可以为以Windows平台为基础的windows系统等等。实际上，本发明中的操作系统不限于前述例举的操作系统，可以涵盖所有能够在容器中运行的操作系统。为便于描述，下面以Android系统作为操作系统为例阐述本发明的技术方案。较佳地，本发明实施例的操作系统包括：主控系统。本发明实施例的终端设备中，还包括主控系统，该主控系统可以是上述传统的操作系统，也可以是对传统的操作系统进行改进得到的操作系统。内核为kernel，或者在kernel基础上增加功能模块之后得到的增强型kernel。较佳地，主控系统可以包括内核；上述操作系统通过主控系统调用或访问内核以实现各种功能。或者，操作系统和主控系统共享内核；本发明的操作系统和主控系统包含现有操作系统中kernel之外的部分，例如框架层和应用层的部分；操作系统和主控系统都可以独立调用或访问内核以实现各种功能。主控系统主要用于对多个操作系统进行前后台管理，与各操作系统进行交互等。较佳地，主控系统可以通过容器通道与操作系统进行通信。同理，操作系统之间可以通过容器通道进行通信。进一步，容器通道可以是socket(套接字)通道。本发明实施例的多系统的数据加密传输方法，包括：逻辑块存储设备创建和挂载方法、以及基于逻辑块存储设备的多系统的数据加密传输方法。本发明实施例中，逻辑块存储设备创建和挂载方法的流程示意图如图2a所示，包括下述步骤：S201：确定出每个操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备、物理块存储设备与逻辑块存储设备之间的映射关系、以及主密钥。本领域技术人员可以理解，Linux系统或其衍生系统中，物理块存储设备等硬件实体被抽象成对应的设备文件，挂载到文件系统中，供系统或应用调用。为便于理解，将挂载到文件系统中的物理块存储设备文件，仍旧称为物理块存储设备。逻辑块存储设备同理，不再赘述。物理块存储设备文件在文件系统中的挂载之处即为挂载点，即每个文件系统挂载点对应一个物理块存储设备。对于每个操作系统中的应用，当检测到该应用产生数据需要存储、或者需要读取已存储的数据时，确定出作为该应用的数据读写接口的该应用涉及的文件系统挂载点，进而确定出该文件系统挂载点对应的物理块存储设备。确定出该应用对应的逻辑块存储设备的参数、以及物理块存储设备与逻辑块存储设备之间的映射关系。逻辑块存设备的参数包括：逻辑块存储设备的标识、起始地址、和终止地址等。较佳地，可以利用Device-Mapper(设备映射)机制确定出物理块存储设备与逻辑块存储设备之间的映射关系。Device-Mapper机制是Linux内核的一个特性，作为一个块设备驱动被注册。它包含三个重要的对象概念：mappeddevice(映射设备)、映射表、targetdevice(目标设备)。mappeddevice是一个逻辑抽象，可以理解成为内核向外提供的逻辑设备，它通过映射表描述的映射关系和targetdevice建立映射。本发明实施例中的逻辑块存储设备可以具体为mappeddevice，物理块存储设备可以具体为targetdevice。mappeddevice有很多种类，每一种mappeddevice可实现不同的功能；例如mappeddevice中的dm-crypt(devicemapper-cryptograghy，设备映射密码系统)设备可以实现对物理块存储设备中的数据的加解密。通过终端设备或操作系统的随机数产生模块，为每一个逻辑块存储设备产生一个随机数作为主密钥。本领域技术人员可以根据实验数据、历史数据、经验数据和/或实际情况，确定该主密钥的长度；例如将主密钥的长度设置为128bit(位)。较佳地，根据设备唯一号对确定出的主密钥进行加密，得到加密后的主密钥。较佳地，根据设备唯一号，可以利用下述至少一项加密算法对确定出的主密钥进行加密，得到加密后的主密钥：对称加密算法、非对称加密算法。进一步，对主密钥进行加密的外层密钥，可以是固化在CPU(中央处理器)中的串号。由于移动终端中每个CPU中的串号是唯一的，因此该CPU的串号可以作为该移动终端的设备唯一号。该串号不同于IMEI(InternationalMobileEquipmentIdentity，移动设备国际身份码)或MAC(MediaAccessControl，媒体访问控制)地址等对所有应用都可见、且有的不是设备唯一的号码；比如IMEI号，可以被修改。应用层中预先获得授权的应用或者服务可以通过调用内核，由内核通过CPU相关驱动获取该串号；应用层中的其它应用或服务无法获取该串号。因此，由于恶意程序未获授权，无法获取到该串号；从而可以防止恶意程序冒充应用获取串号，提升串号充当的外层密钥的安全性，从而提升被外层密钥加密的主密钥的安全性，从而可以提升利用主密钥加密的数据的安全性。进一步，可以将主密钥和/或加密后的主密钥，存储在终端设备的可信存储区中、或预先指定的物理块存储设备中。可信存储区具体可以是终端设备内部的加密的存储区域；例如，符合trustzone(信任区)架构的加密的存储区域。可信存储区具体可以是终端设备外部的加密的存储区域；例如，通过有线或无线方式连接于终端设备的移动存储器中的加密的存储区域。S202：基于每个操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备、物理块存储设备与逻辑块存储设备之间的映射关系、以及主密钥，生成逻辑块存储设备的创建请求进行发送。将上述步骤中确定出的每个操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备的路径、物理块存储设备与逻辑块存储设备之间的映射关系、逻辑块存储设备的参数、以及主密钥，携带到逻辑块存储设备的创建请求中后，向内核进行发送。较佳地，调用内核提供的Device-Mapper机制相关的API(ApplicationProgrammingInterface，应用程序编程接口)，将逻辑块存储设备的创建请求通过该API向内核发送。S203：内核根据接收的逻辑块存储设备的创建请求，创建逻辑块存储设备。内核接收到应用发送的逻辑块存储设备的创建请求后，根据该创建请求中的逻辑块设备的参数，创建逻辑块存储设备，为逻辑块存储设备分配路径，并为创建的逻辑块存储设备编号。将逻辑块存储设备的编号向发送该创建请求的应用返回。较佳地，内核将创建的逻辑块存储设备的编号和句柄向发送该逻辑块存储设备的创建请求的应用返回。根据该创建请求中的物理块存储设备与逻辑块存储设备的映射关系，建立该逻辑块存储设备的路径，与该创建请求中的物理块存储设备的路径之间的映射关系。较佳地，内核接收到应用发送的逻辑块存储设备的创建请求时，通过下述方法预选确定多个逻辑块存储设备与操作系统的访问权限的对应关系：内核创建每个逻辑块存储设备时，确定出发送该逻辑块存储设备的创建请求的应用所属操作系统具有该逻辑块存储设备的访问权限；建立发送该逻辑块存储设备的创建请求的应用所属操作系统的访问权限，与该逻辑块存储设备的对应关系。具体地，内核创建每个逻辑块存储设备时，确定出发送该逻辑块存储设备的创建请求的应用所属操作系统的标识，并确定出该操作系统具有访问该逻辑块存储设备的权限，进而确定出该操作系统针对该逻辑块存储设备的访问权限。可以理解，实际上操作系统的访问权限与逻辑块存储设备的对应关系，包括：发送创建逻辑块存储设备的请求的应用所属的操作系统，具有访问该逻辑块存储设备的权限。也就是说，操作系统拥有访问自身(间接)创建的逻辑块存储设备的权限，而没有访问其他操作系统创建的逻辑块存储设备的权限。例如，下表1示出了多个逻辑块存储设备与操作系统的访问权限的对应关系的一个实例。表1dm-crypt设备编号第一操作系统第二操作系统dm-0可见，可访问不可见，不可访问dm-1可见，可访问不可见，不可访问………dm-M可见，可访问不可见，不可访问dm-(M+1)不可见，不可访问可见，可访问dm-(M+2)不可见，不可访问可见，可访问………dm-N不可见，不可访问可见，可访问上述表1中dm为dm-crypt的缩写，表示逻辑块存储设备；N和M都为正整数，且127>＝N>M>0；dm-0表示编号为0的逻辑块存储设备；dm-0至dm-M为第一操作系统间接创建的，因此可见并可访问dm-0至dm-M所表示的逻辑块存储设备；然而第二操作系统并未创建dm-0至dm-M，因此第二操作系统不可见且不可访问dm-0至dm-M所表示的逻辑块存储设备。由于dm-(M+1)至dm-N为第二操作系统创建的，因此第二操作系统可见并可访问dm-(M+1)至dm-N所表示的逻辑块存储设备。S204：将逻辑块存储设备挂载到相应的文件系统挂载点上。较佳地，内核根据应用的请求，将逻辑块存储设备挂载到相应的文件系统挂载点上。上述步骤S204中，将逻辑块存储设备挂载到相应的文件系统挂载点上的具体方法的流程示意图如图2b所示，包括下述步骤：S2041：内核接收应用针对逻辑块存储设备的挂载请求。应用接收到针对其发送的创建请求返回的逻辑块存设备的编号后，向内核发送针对逻辑块存储设备的挂载请求。较佳地，应用通过mount(挂载)系统调用功能，向内核发送针对逻辑块存储设备的挂载请求。S2042：内核检测发送挂载请求的应用所属的操作系统是否具有逻辑块存储设备的访问权限；若检测结果为是，则执行步骤S2043；否则拒绝挂载。内核确定出挂载请求所涉及的逻辑存储设备的编号、以及发送该挂载请求的应用所属的操作系统的标识。根据预先确定的多个逻辑块存储设备与操作系统的访问权限的对应关系，确定出挂载请求的应用所属的操作系统是否具有逻辑块存储设备的访问权限；若检测结果为是，则执行步骤S2043；若检测结果为否，则拒绝挂载，并向发送挂载请求的应用返回相应的错误码。S2043：将逻辑块存储设备挂载到其所映射的物理块存储设备对应的文件系统挂载点上。内核将上述挂载请求所涉及的逻辑块存储设备，挂载到其所映射的物理块存储设备对应的文件系统挂载点上。例如，内核根据应用的挂载请求，将作为逻辑块存储设备的dm-crypt设备的路径(即/dev/blocl/dm-x，x为该设备的编号)挂载到作为相应挂载点的/data分区上。图2c示出了一个挂载了逻辑块存储设备的文件系统的示意图。基于上述逻辑块存储设备，本发明实施例的基于逻辑块存储设备的多系统的数据加密传输方法的流程示意图如图3所示，包括：S301：逻辑块存储设备检测是否有应用向相应的文件系统挂载点写入数据或发送数据读取请求。逻辑块存储设备通过其对应的文件系统挂载点检测，是否有应用向该文件系统挂载点写入数据或发送数据读取请求。S302：当检测到应用向文件系统挂载点写入数据时，逻辑块存储设备根据其创建请求中的主密钥，对写入的数据进行加密后，存入其所映射的物理块存储设备中。当检测到应用向文件系统挂载点写入数据时，该文件系统挂载点所挂载的逻辑块存储设备根据该逻辑块存储设备的创建请求中的主密钥，对写入的数据进行加密后，存入该逻辑块存储设备所映射的物理块存储设备中。较佳地，根据终端设备的设备唯一号，对加密后的主密钥进行解密后，得到主密钥；根据主密钥，对应用通过文件系统挂载点传输(输入)的数据进行加密后，存入该逻辑块存储设备所映射的物理块存储设备中。S303：当检测到应用向文件系统挂载点发送数据读取请求时，逻辑块存储设备从其所映射的物理块存储设备中读取相应的数据后，根据其创建请求中的主密钥，对读取的数据进行解密后返回应用。容易理解中，本发明实施例的终端设备的物理块存储设备中存储的数据，都为经过主密钥加密后的数据。当检测到应用向文件系统挂载点发送数据读取请求时，该文件系统挂载点所挂载的逻辑块存储设备，从该逻辑块存储设备所映射的物理块存储设备中读取数据读取请求涉及的数据后，根据该逻辑块存储设备的创建请求中的主密钥，对读取的数据进行解密后返回发送数据读取请求的应用。较佳地，根据终端设备的设备唯一号对加密后的主密钥进行解密后，得到主密钥；根据主密钥，对应用通过文件系统挂载点传输的数据进行解密。具体地，逻辑块存储设备根据终端设备的设备唯一号对加密后的主密钥进行解密后，得到主密钥；根据主密钥，对从该逻辑块存储设备所映射的物理块存储设备中读取的数据进行解密后，返回发送数据读取请求的应用。基于上述多系统的数据加密传输方法，本发明实施例还提供了一种多系统的数据加密传输装置，该装置设置于本发明实施例的终端设备中，该装置的内部结构的框架示意图如图4所示，包括：两个以上操作系统和内核。其中，每个操作系统包括：逻辑块存储设备请求模块411。逻辑块存储设备请求模块411用于基于确定出的其所属操作系统中的应用涉及的文件系统挂载点对应的物理块存储设备、物理块存储设备与逻辑块存储设备402之间的映射关系、以及主密钥，生成逻辑块存储设备402的创建请求进行发送。内核包括：逻辑块存储设备创建模块401和逻辑块存储设备402。逻辑块存储设备创建模块401用于根据接收的逻辑块存储设备402的创建请求，创建逻辑块存储设备402。逻辑块存储设备402用于根据主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密后，在逻辑块存储设备402所映射的物理块存储设备与应用之间进行传输。更优的，如图4所示，本发明实施例的多系统的数据加密传输装置还包括：挂载模块403。挂载模块403用于在由逻辑块存储设备402根据主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密之前，将逻辑块存储设备402挂载到相应的文件系统挂载点上。较佳地，挂载模块403具体用于当接收到应用针对逻辑块存储设备402的挂载请求时，内核检测发送挂载请求的应用所属的操作系统是否具有逻辑块存储设备402的访问权限；若检测结果为是，则将逻辑块存储设备402挂载到其所映射的物理块存储设备对应的文件系统挂载点上；否则拒绝挂载。较佳地，挂载模块403具体用于根据预先确定的多个逻辑块存储设备402与操作系统的访问权限的对应关系，确定出挂载请求的应用所属的操作系统是否具有逻辑块存储设备402的访问权限。较佳地，逻辑块存储设备创建模块401还用于通过下述方法预选确定多个逻辑块存储设备402与操作系统的访问权限的对应关系：内核创建每个逻辑块存储设备402时，确定出发送该逻辑块存储设备402的创建请求的应用所属操作系统具有该逻辑块存储设备402的访问权限；建立发送该逻辑块存储设备402的创建请求的应用所属操作系统的访问权限，与该逻辑块存储设备402的对应关系。较佳地，逻辑块存储设备402具体用于当检测到应用向文件系统挂载点写入数据时，该文件系统挂载点所挂载的逻辑块存储设备402根据该逻辑块存储设备402的创建请求中的主密钥，对写入的数据进行加密后，存入该逻辑块存储设备402所映射的物理块存储设备中；当检测到应用向文件系统挂载点发送数据读取请求时，该文件系统挂载点所挂载的逻辑块存储设备402，从该逻辑块存储设备402所映射的物理块存储设备中读取数据读取请求涉及的数据后，根据该逻辑块存储设备402的创建请求中的主密钥，对读取的数据进行解密后返回发送数据读取请求的应用。进一步，逻辑块存储设备请求模块411还用于根据设备唯一号对确定出的主密钥进行加密，得到加密后的主密钥。以及，逻辑块存储设备402还用于根据设备唯一号对加密后的主密钥进行解密后，得到主密钥；根据主密钥，对应用通过文件系统挂载点传输的数据进行加密或解密。上述操作系统中的逻辑块存储设备请求模块411、内核中的逻辑块存储设备创建模块401、逻辑块存储设备402和挂载模块403功能的实现方法，可以参考如上述图2a、图2b和图3的流程步骤的具体内容，此处不再赘述。本发明实施例中，由与物理块存储设备具有映射关系的逻辑块存储设备，来对数据进行加密或解密并传输。用户的隐私数据也会被加密，即使非法分子通过恶意软件等方式窃取了用户终端设备中加密后的数据，也难以破解得到数据，从而可以防止终端设备中数据泄露，提升用户的数据的安全性。而且，本发明实施例中，通过建立多个逻辑块存储设备与操作系统的访问权限之间的对应关系，使得操作系统仅拥有自身创建的逻辑块存储设备的访问权限，且没有其他操作系统创建的逻辑块存储设备的访问权限。从而在逻辑块存储设备层次上实现了操作系统之间的隔离，即使其中一个操作系统被恶意程序入侵，该恶意程序也无法通过逻辑块存储设备侵入其他操作系统，从而限制了恶意程序侵入范围，提升了其它操作系统中的数据的安全性，从而整体上提升了多个操作系统中包含用户隐私数据在内的数据的安全性。进一步，本发明实施例中，根据作为外层密钥的设备唯一号对主密钥进行了加密，可以大大降低加密后的主密钥被破解的几率，提升加密后主密钥的安全性，根据更加安全的主密钥加密数据，并将加密后的数据存储于物理块存储设备中，从而提升了物理块存储设备中数据的安全性。本
技术领域：
技术人员可以理解，本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造，或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序，这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如，计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中，所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-OnlyMemory，只读存储器)、RAM(RandomAccessMemory，随即存储器)、EPROM(ErasableProgrammableRead-OnlyMemory，可擦写可编程只读存储器)、EEPROM(ElectricallyErasableProgrammableRead-OnlyMemory，电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是，可读介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。本
技术领域：
技术人员可以理解，可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本
技术领域：
技术人员可以理解，可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现，从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。本
技术领域：
技术人员可以理解，本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地，具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地，现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。以上所述仅是本发明的部分实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页1 2 3