專利名稱：一種對硬盤分區進行加密的方法及裝置的制作方法
技術領域：
本發明涉及計算機領域，特別涉及一種對硬盤分區進行加密的方法及裝置。
背景技術：
隨著計算機技術的應用范圍日益廣泛，如何保證數據安全性也成為了用戶最為關心的問題。為了令數據安全性得到保證，通常使用加密技術對存儲的各類文件數據進行加密。
目前，通常使用的加密技術主要包括文件加密技術和磁盤加密技術兩種。首先，先介紹文件加密技術。所謂的文件加密技術，其核心是基于應用進程來實現加密控制，具有以下優點1、部署簡單，不需要改變用戶操作習慣，也不需要改變用戶的應用環境；2、技術簡單，僅涉及到進程文件關聯技術、文件臨時重定向技術和上層Hook技術；3、操作簡單，比較容易被用戶理解和接受。但是，文件加密技術的實現主要基于應用程序和文件的關聯關系，而安全系統與應用程序密切相關，對于應用復雜的環境(例如，制作設計和軟件設計行業)，安全系統的可部署性非常差，常常由于用戶應用過于復雜、應用程序的升級或者應用的增加而導致該類內網的安全系統需要重新進行二次開發，從而給用戶環境帶來極大的限制和不穩定隱患，進而影響文件加密技術的安全性。進一步地，由于文件加密技術采用了文件臨時重定向技術，因此，會產生臨時緩存文件，而臨時緩存文件在硬盤中是以明文狀態存在，這很容易被攻擊者使用公開的文件監視工具獲取到，并通過復制該臨時緩存文件而造成文件加密機制的失效；并且，使用臨時緩存文件，相當于文件要在硬盤中重復進行兩次讀寫操作，這會造成系統使用效率的明顯下降，(如，下降50% )，尤其是針對大型文件進行加密時，對系統使用效率的影響更為明顯。另一方面，由于應用程序中采用了眾多Hook技術，因而很容易造成和防病毒等軟件的沖突，造成系統不穩定，影響用戶的正常使用，同時Hook技術也容易造成使用系統使用效率下降。其次，再介紹磁盤加密技術。所謂的磁盤加密技術，其核心是通過對做磁盤的扇區磁道等進行加密，然后而對加密磁盤進行讀寫，具有以下優點1、與應用程序無關，能夠兼容各種復雜的應用環境，支持應用程序的升級和變更， 無需針對具體應用程序進行產品級的二次開發，穩定性和可用性得到保障。2、由于不采用文件臨時重定向技術，因而文件讀寫次數不會增加，確保了系統使用效率不會明顯下降。但是，由于磁盤加密技術僅針對特定的文件存儲區域進行保護，缺乏對文件本身保密屬性的判斷能力，因此具有以下缺點采用磁盤加密技術需要對文件的存儲區域進行條件限制，因此必然需要對使用環境進行調整以適應磁盤加密技術的。進一步地，單一的磁盤加密技術無法防止通過網絡和其他途徑的文件泄密行為，而若要綜合網絡控制技術開發相應的網絡安全產品，則開發難度大、周期長。另一方面，目前的磁盤加密技術中沒有完整的密鑰管理機制，一旦出現密鑰忘記等情況，沒有有效的恢復手段。

發明內容
本發明實施例提供一種對硬盤分區進行加密的方法及裝置，用于防止硬盤數據泄露，提高了硬盤數據的安全性。本發明實施例提供的具體技術方案如下一種對硬盤分區進行加密的方法，包括在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行 USBKEY身份驗證；確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY 中獲取用于硬盤加密的加密密鑰；將指定的硬盤分區作為加密分區進行掛載；采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。一種密鑰管理方法，包括在用戶終端上的操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端，令所述用戶終端在將指定的硬盤分區作為加密分區進行掛載，并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。一種對硬盤分區進行加密的裝置，包括登錄及資源管理模塊，用于在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；掛載模塊，用于確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取用于硬盤加密的加密密鑰，并將指定的硬盤分區作為加密分區進行掛載；文件系統驅動模塊，用于采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。一種密鑰管理裝置，包括口令認證模塊，用于在用戶終端上的操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；密鑰管理模塊，用于在確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端，令所述用戶終端在將指定的硬盤分區作為加密分區進行掛載，并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。一種對硬盤分區進行加密的系統，包括USBKEY，用于在確認用戶通過USBKEY身份驗證后，基于預設的安全傳輸協議將用于硬盤加密的加密密鑰發送至用戶終端；用戶終端，用于在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證，并在確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取所述加密密鑰，以及將指定的硬盤分區作為加密分區進行掛載，并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。綜上所述，本發明實施例中，基于操作系統驅動層技術動態地實施加解密技術，通過文件系統驅動來實現對硬盤數據的掛載、卸載及加解密讀寫，從而保證對磁盤數據的實時加密和解密操作。具體為當用戶終端上的操作系統啟動流程被觸發時，經過了 USBKEY 身份驗證后，加密密鑰才會按照預設的安全傳輸機制，安全無誤地導入到操作系統內暫時保存，而在獲得加密密鑰后，用戶終端才將指定的硬盤分區作為加密分區進行掛載，并按照獲得的加密密鑰對該加密分區的讀寫操作進行加解密操作。這樣，便在驅動層實現了對數據的動態讀寫加解密，通過獨立的文件系統驅動杜絕了第三方對操作系統已有文件系統的 hook劫持，有效提高了數據安全性，并且實現了加密分區的掛載與操作系統啟動流程的無縫集成，節省了硬盤加密流程的執行效率，符合給用的日常使用習慣，不會給用戶帶來額外的等待時間。


圖1為本發明實施例中用戶終端對硬盤分區進行加密流程圖；圖2為本發明實施例中用戶終端功能結構示意圖；圖3為本發明實施例中USBKEY功能結構示意圖。
具體實施例方式為了防止硬盤數據泄露，提高數據安全性，本發明實施例中，設計了一種全新的對硬盤分區進行加密的方法，具體為在操作系統啟動的過程中，在系統掛載各硬盤分區之前，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證，確認用戶通過該 USBKEY身份驗證后，從USBKEY中獲取預設的加密密鑰，并將指定的硬盤分區作為加密分區進行掛載，接著，采用獲得的加密密鑰，對在上述加密分區中執行的讀寫操作進行加解密。這樣，可以在系統驅動層實現對數據的動態讀寫加解密，從而有效地提高了數據安全性。較佳的，本發明實施例適用于Windows操作系統，而其他類型的操作系統也可以基于本發明的思想對本發明實施例進行改進后實現對硬盤分區的加解密，在此不再贅述。下面結合附圖對本發明優選的實施方式進行詳細說明。參閱圖1所示，本發明實施例中，用戶終端對硬盤分區進行加密的詳細流程如下步驟100 用戶終端在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證。本發明實施例中，較佳的，用戶可以將USBKEY插入用戶終端的USB接口后，再啟動用戶終端以觸發操作系統的啟動；而在操作系統啟動流程被觸發后，用戶終端可以先根據用戶輸入的用戶名和密碼對用戶進行操作系統登錄認證，待登錄成功后，再執行步驟200 中記載的USBKEY身份驗證流程，或者，也可以先根據用戶輸入的賬戶口令信息進行USBKEY 身份驗證，待驗證通過后，再執行操作系統登錄認證。進一步地，較佳的，為了節省用戶的操作時間，可以將用戶登錄操作系統時輸入的用戶名和密碼與用戶進行USBKEY身份驗證時使用的賬戶口令信息設置為相同內容，這樣， 用戶僅需輸入一次用戶名和密碼即可以完成USBKEY身份驗證和操作系統的登錄，從而有效提高了系統使用效率。另一方面，用戶終端根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證時，可以根據用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證，也可以將用戶輸入的賬戶口令信息發往USBKEY進行USBKEY身份驗證，并根據USBKEY的反饋確認驗證通過。步驟110 用戶終端確認用戶通過USBKEY身份驗證后，基于預設的安全傳輸協議從USBKEY中獲取用于硬盤加密的加密密鑰。本發明實施例中，步驟110的具體執行方式如下步驟A 用戶終端接收從USBKEY傳送的傳輸密鑰密文，并按照與USBKEY約定的方式對該傳輸密鑰密文進行解密，獲得相應的傳輸密鑰。步驟B 用戶終端接收從USBKEY傳送的加密密鑰密文，并按照獲得的傳輸密鑰對該加密密鑰密文進行解密，獲得相應的加密密鑰。例如，假設將USBKEY與用戶終端約定的一對初始傳輸密鑰分別稱為密鑰A和密鑰 B，則USBKEY基于密鑰A生成相應的第一傳輸密鑰，稱為密鑰Al，然后，USBKEY采用密鑰Al 對本地預先設置的加密密鑰(稱為密鑰X)進行加密，生成加密密鑰密文xl以及相應的驗證碼xll (驗證碼xll由密鑰X、加密密鑰密文xl和密鑰Al經加密生成，具體方式在此不再贅述)；接著，USBKEY采用密鑰A對密鑰Al進行加密，生成傳輸密鑰密文al以及相應的驗證碼all (驗證碼all由密鑰Al、傳輸密鑰密文al和密鑰A經加密生成，具體方式在此不再贅述)；用戶終端從USBKEY讀取其生成的傳輸密鑰密文al和驗證碼all，并在根據驗證碼all確認USBKEY的身份合法后，采用與USBKEY約定的密鑰B對傳輸密鑰密文al進行解密，從而獲得密鑰Al ；接，用戶終端從USBKEY讀取其生成的加密密鑰密文xl和驗證碼xll， 并在根據驗證碼xll確認USBKEY的身份合法后，采用已獲得的密鑰Al對加密密鑰密文al 進行解密，從而獲得密鑰X。當然，若操作系統再次啟動，則在第二次進行加密密鑰安全傳輸時，USBKEY可以采用基于初始傳輸密鑰A生成的第二傳輸密鑰A2 (密鑰A2)對加密密鑰X進行加密，并采用初始傳輸密鑰A或上一次使用的密鑰Al對密鑰A2進行加密，以完成加密密鑰的安全傳輸， 以此類推，后續流程均按照此種方法對加密密鑰進行加密和傳輸，將不再贅述。可見，本實施例中，用戶終端采用雙加密的方式來實現加密密鑰的安全傳輸(即加密密鑰由傳輸密鑰加密、傳輸密鑰由初始傳輸密鑰或上一次使的傳輸密鑰加密)，從而有效防止了加密密鑰的泄露，進一步提高了數據安全性。另一方面，USBKEY中預設的加密密鑰，可以由USBKEY預先采用離散算法基于一個隨機數(如，用戶終端的機器編號)生成；而進行USBKEY身份時驗證的賬戶口令信息可以由用戶定期更新。步驟120 用戶終端將指定的硬盤分區作為加密分區進行掛載。若用戶將登錄操作系統時使用的用戶名和密碼，與進行USBKEY身份驗證時使用的賬戶口令信息設置為相同內容，則在執行步驟120之前，具體可以是執行步驟100之前， 也可以是執行步驟100之后且執行步驟110之前，還可以是執行步驟110之后且執行步驟
8120之前，用戶終端可以根據用戶輸入的賬戶口令信息登錄操作系統，從而在執行步驟120 時，用戶終端可以開始進行硬盤分區的掛載和其他系統資源的加載。在執行步驟120時，用戶終端將指定的至少一個硬盤分區記為加密分區，并為其分配相應的盤符，以及將分配的盤符映射至資源管理器進行注冊保存，加密分區的數目可以為一個或多個，具體由用戶設置。接著，用戶終端可以將其他非指定的硬盤分區作為普通分區進行掛載，為其分配相應的盤符，并將各盤符映射至資源管理器進行注冊保存，在此不再贅述。將各硬盤分區掛載完畢后，用戶終端可以繼續對操作系統啟動時所需的各類程序進行加載，以完成操作系統的啟動流程。步驟130 用戶終端采用獲得的加密密鑰，對在上述加密分區中執行的讀寫操作進行加解密。本實施例中，用戶終端既可以是在執行步驟120后，在加載操作系統啟動時所需的各類程序的過程中，采用獲得的加密密鑰，對在上述加密分區中執行的讀寫操作進行加解密；也可以是在操作系統啟動完成后，根據用戶的相關操作，采用獲得的加密密鑰，對在上述加密分區中執行的讀寫操作進行加解密。具體為針對在上述加密分區中執行的寫操作，采用所述加密密鑰進行加密，以及針對在上述加密分區中執行的讀操作，采用所述加密密鑰進行解密。另一方面，基于上述實施例，當用戶終端檢測到USBKEY被拔出、用戶的賬戶口令信息驗證失敗次數達到設定閾值(如，10次)、用戶指示注銷操作系統賬戶、用戶指示關機等等意外情況中的任意一種或多種組合時，需要將加密分區進行卸載，如，將加密分區的盤符從資源管理器中刪除，以保證加密分區的數據安全。其中，當用戶的賬戶口令信息驗證失敗次數達到設定閾值時，若USBKEY驗證操作由用戶終端完成，則用戶終端還需要指示上述USBKEY將其本地進行鎖定，而若USBKEY驗證操作由USBKEY完成，則USBKEY直接將本地進行鎖定，鎖定操作具體為=USBKEY需要將原生成的加密密鑰進行刪除，并停止加密密鑰的生成和傳輸；直到用戶執行了合法的解鎖操作后，USBKEY再根據預設方式生成新的加密密鑰，如，采用離散算法基于用戶終端機器編號生成相應的加密密鑰。基于上述實施例，本發明實施例提供的安全系統內，用戶終端需要基于USBKEY提供的加密密鑰對硬盤分區進行加密，具體為參閱圖2所示，用戶終端中至少包括登錄及資源管理模塊20和掛載模塊21和文件系統驅動模塊22，其中登錄及資源管理模塊20，用于在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；具體為根據用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證；或者，將用戶輸入的賬戶口令信息發往USBKEY進行USBKEY身份驗證。掛載模塊21，用于確認用戶通過USBKEY身份驗證后，基于預設的安全傳輸協議從 USBKEY中獲取用于硬盤加密的加密密鑰，并將指定的硬盤分區作為加密分區進行掛載；其中，在獲得加密密鑰時，加載模塊21先接收USBKEY發送的傳輸密鑰密文，并按照與USBKEY約定的方式對傳輸密鑰密文進行解密，獲得傳輸密鑰，再接收USBKEY發送的加密密鑰密文，并按照傳輸密鑰對加密密鑰密文進行解密，獲得相應的加密密鑰。文件系統驅動模塊22，用于采用獲得的加密密鑰，對在上述加密分區中執行的讀寫操作進行加解密；具體為針對在上述加密分區中執行的寫操作，采用獲得的加密密鑰進行加密，以及針對在上述加密分區中執行的讀操作，采用獲得的加密密鑰進行解密。另一方面，在掛載模塊21將指定的硬盤分區作為加密分區進行掛載之前，登錄及資源管理模塊20還可以根據用戶輸入的賬戶口令信息，對用戶進行操作系統登錄認證；而在掛載模塊21將指定的硬盤分區作為加密分區進行掛載之后，登錄及資源管理模塊20還可以對操作系統啟動時所需的各類程序進行加載，以完成操作系統啟動流程。而登錄及資源管理模塊20確定用戶通過USBKEY身份驗證后，可以對文件系統驅動模塊22進行加載， 這樣，掛載模塊21將指定的硬盤分區作為加密分區進行掛載時，可以通過文件系統驅動模塊22，將指定的至少一個的硬盤分區記為加密分區，并為其分配相應的盤符，以及將分配的盤符映射至資源管理器進行注冊保存。如圖2所示，在用戶終端中進一步設置有卸載模塊23，用于在檢測到USBKEY被拔出、用戶的賬戶口令信息驗證失敗次數達到設定閾值、用戶指示注銷操作系統賬戶和用戶指示關機這幾種情況中的任意一種或多種組合時，將已掛載的加密分區進行卸載；其中，若檢測到用戶的賬戶口令信息驗證失敗次數達到設定閾值，則卸載模塊23還需要在對加密分區進行卸載的同時，指示USBKEY進行鎖定。如圖2所示，登錄及資源管理模塊20、掛載模塊21和卸載模塊23可以作為用戶終端中一個獨立的應用功能存在，用以實現硬盤的分區管理，可以將其組合稱為硬盤分區管理單元。而文件系統驅動模塊22則也可以視為用戶終端中一個獨立的應用功能存在，用以實現操作系統的文件驅動，如，在驅動層便以動態形式對硬盤中的加密分區進行傳輸數據的加解密。參閱圖3所示，本發明實施例中，USBKEY中至少包括口令認證模塊30和密鑰管理模塊31，其中，口令認證模塊30，用于在用戶終端上的操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；密鑰管理模塊31，用于在確認用戶通過USBKEY身份驗證后，基于預設的安全傳輸協議將本地預設的加密密鑰發往用戶終端，令用戶終端在將指定的硬盤分區作為加密分區進行掛載，并采用獲得的加密密鑰，對在上述加密分區中執行的讀寫操作進行加解密。其中，在口令認證模塊30根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證之前，密鑰管理模塊31先根據預設方式生成用于進行硬盤加密的加密密鑰，并采用本地生成的傳輸密鑰對所述加密密鑰進行加密，生成相應的加密密鑰密文，以及采用與用戶終端約定的方式對所述傳輸密鑰進行加密，生成相應的傳輸密鑰密文；而密鑰管理模塊 31基于預設的安全傳輸協議將本地預設的加密密鑰發往用戶終端時，先將生成的傳輸密鑰密文發往用戶終端，令用戶終端采用與本地約定的方式對傳輸密鑰密文進行解密，以獲得相應的傳輸密鑰，再將生成的加密密鑰密文發往用戶終端，令用戶終端采用已解密的傳輸密鑰對加密密鑰密文進行解密，以獲得相應的加密密鑰。
如圖3所示，在USBKEY中，進一步包括鎖定解鎖模塊32，用于在檢測到用戶的賬戶口令信息驗證失敗次數達到設定閾值時，將本地進行鎖定，以及在確定用戶執行了合法的解鎖操作時，指示密鑰模塊管塊31根據預設方式重新生成相應的加密密鑰。當然，鎖定解鎖模塊32還可以根據應用環境來調整USBKEY的安全等級，以指示口令認證模塊30是否需要對用戶進行USBKEY身份驗證。綜上所述，本發明實施例中，基于操作系統驅動層技術動態地實施加解密技術，通過文件系統驅動來實現對硬盤數據的掛載、卸載及加解密讀寫，從而保證對磁盤數據的實時加密和解密操作。具體為當用戶終端上的操作系統啟動流程被觸發時，經過了 USBKEY 身份驗證后，加密密鑰才會按照預設的安全傳輸機制，安全無誤地導入到操作系統內暫時保存，而在獲得加密密鑰后，用戶終端才將指定的硬盤分區作為加密分區進行掛載，并按照獲得的加密密鑰對該加密分區的讀寫操作進行加解密操作。這樣，便在驅動層實現了對數據的動態讀寫加解密，通過獨立的文件系統驅動杜絕了第三方對操作系統已有文件系統的 hook劫持，有效提高了數據安全性，并且實現了加密分區的掛載與操作系統啟動流程的無縫集成，節省了硬盤加密流程的執行效率，符合給用的日常使用習慣，不會給用戶帶來額外的等待時間。進一步地，用戶終端還可以根據USBKEY的插入拔出情況及驅動層的掛載嘗試次數等策略隨時選擇掛載、卸載加密分區，從而可以迅速檢測到攻擊，實施有效地主動防御， 顯然，這進一步防止了數據的泄露，增強了數據安全性。而在用戶注銷操作系統賬戶或關機的情況下，USBKEY可以從用戶終端拔出，從而在用戶終端內不存儲任何密鑰信息，徹底防止了黑客破解加密密鑰的可能，顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和范圍。這樣，倘若本發明的這些修改和變型屬于本發明權利要求及其等同技術的范圍之內，則本發明也意圖包含這些改動和變型在內。
1權利要求
1.一種對硬盤分區進行加密的方法，其特征在于，包括在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY 身份驗證；確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取用于硬盤加密的加密密鑰；將指定的硬盤分區作為加密分區進行掛載；采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。
2.如權利要求1所述的方法，其特征在于，所述根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證，包括根據用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證；或者，將用戶輸入的賬戶口令信息發往USBKEY進行USBKEY身份驗證。
3.如權利要求1所述的方法，其特征在于，所述基于預設的安全傳輸協議從所述 USBKEY中獲取用于硬盤加密的加密密鑰，包括接收所述USBKEY發送的傳輸密鑰密文，并按照與所述USBKEY約定的方式對所述傳輸密鑰密文進行解密，獲得所述傳輸密鑰；接收所述USBKEY發送的加密密鑰密文，并按照所述傳輸密鑰對所述加密密鑰密文進行解密，獲得所述加密密鑰。
4.如權利要求1所述的方法，其特征在于，在將指定的硬盤分區作為加密分區進行掛載之前，根據所述用戶輸入的賬戶口令信息，對用戶進行操作系統登錄認證；而在將指定的硬盤分區作為加密分區進行掛載之后，對操作系統啟動時所需的各類程序進行加載，以完成操作系統啟動流程。
5.如權利要求1-4任一項所述的方法，其特征在于，將指定的硬盤分區作為加密分區進行掛載，包括將指定的至少一個的硬盤分區記為加密分區，并為其分配相應的盤符，以及將分配的盤符映射至資源管理器進行注冊保存。
6.如權利要求1-4任一項所述的方法，其特征在于，采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密，包括針對在所述加密分區中執行的寫操作，采用所述加密密鑰進行加密，以及針對在所述加密分區中執行的讀操作，采用所述加密密鑰進行解Γ t [ O
7.如權利要求1-4任一項所述的方法，其特征在于，在檢測到所述USBKEY被拔出、用戶的賬戶口令信息驗證失敗次數達到設定閾值、用戶指示注銷操作系統賬戶和用戶指示關機這幾種情況中的任意一種或多種組合時，將所述加密分區進行卸載。
8.如權利要求7所述的方法，其特征在于，若檢測到用戶的賬戶口令信息驗證失敗次數達到設定閾值，則在對加密分區進行卸載的同時，指示鎖定所述USBKEY。
9.一種密鑰管理方法，其特征在于，包括在用戶終端上的操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端，令所述用戶終端在將指定的硬盤分區作為加密分區進行掛載，并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。
10.如權利要求9所述的方法，其特征在于，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證之前，包括根據預設方式生成用于進行硬盤加密的加密密鑰；采用本地生成的傳輸密鑰對所述加密密鑰進行加密，生成相應的加密密鑰密文；采用與用戶終端約定的方式對所述傳輸密鑰進行加密，生成相應的傳輸密鑰密文。
11.如權利要求10所述的方法，其特征在于，基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端，包括將所述傳輸密鑰密文發往所述用戶終端，令所述用戶終端采用與本地約定的方式對所述傳輸密鑰密文進行解密，以獲得相應的傳輸密鑰；將所述加密密鑰密文發往所述用戶終端，令所述用戶終端采用所述傳輸密鑰對所述加密密鑰密文進行解密，以獲得相應的加密密鑰。
12.如權利要求9、10或11所述的方法，其特征在于，在檢測到用戶的賬戶口令信息驗證失敗次數達到設定閾值時，將本地進行鎖定，以及在確定用戶執行了合法的解鎖操作時， 根據預設方式重新生成相應的加密密鑰。
13.—種對硬盤分區進行加密的裝置，其特征在于，包括登錄及資源管理模塊，用于在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；掛載模塊，用于確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取用于硬盤加密的加密密鑰，并將指定的硬盤分區作為加密分區進行掛載；文件系統驅動模塊，用于采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。
14.如權利要求13所述的裝置，其特征在于，所述登錄及資源管理模塊根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證時，根據用戶輸入的賬戶口令信息在本地進行USBKEY身份驗證；或者，將用戶輸入的賬戶口令信息發往USBKEY進行USBKEY身份驗證。
15.如權利要求13所述的裝置，其特征在于，所述掛載模塊基于預設的安全傳輸協議從所述USBKEY中獲取用于硬盤加密的加密密鑰時，先接收所述USBKEY發送的傳輸密鑰密文，并按照與所述USBKEY約定的方式對所述傳輸密鑰密文進行解密，獲得所述傳輸密鑰， 再接收所述USBKEY發送的加密密鑰密文，并按照所述傳輸密鑰對所述加密密鑰密文進行解密，獲得所述加密密鑰。
16.如權利要求13所述的裝置，其特征在于，所述掛載模塊在將指定的硬盤分區作為加密分區進行掛載之前，所述登錄及資源管理模塊在將指定的硬盤分區作為加密分區進行掛載之前，根據所述用戶輸入的賬戶口令信息，對用戶進行操作系統登錄認證；而在所述掛載模塊將指定的硬盤分區作為加密分區進行掛載之后，，所述登錄及資源管理模塊對操作系統啟動時所需的各類程序進行加載，以完成操作系統啟動流程。
17.如權利要求13-16任一項所述的裝置，其特征在于，所述登錄及資源管理模塊確定所述用戶通過USBKEY身份驗證后，加載所述文件系統驅動模塊，所述掛載模塊將指定的硬盤分區作為加密分區進行掛載時，通過所述文件系統驅動模塊，將指定的至少一個的硬盤分區記為加密分區，并為其分配相應的盤符，以及將分配的盤符映射至資源管理器進行注冊保存。
18.如權利要求13-16任一項所述的裝置，其特征在于，所述文件系統驅動模塊采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密時，針對在所述加密分區中執行的寫操作，采用所述加密密鑰進行加密，以及針對在所述加密分區中執行的讀操作，采用所述加密密鑰進行解密。
19.如權利要求13-16任一項所述的裝置，其特征在于，進一步包括卸載模塊，用于在檢測到所述USBKEY被拔出、用戶的賬戶口令信息驗證失敗次數達到設定閾值、用戶指示注銷操作系統賬戶和用戶指示關機這幾種情況中的任意一種或多種組合時，將所述加密分區進行卸載。
20.如權利要求19所述的裝置，其特征在于，若檢測到用戶的賬戶口令信息驗證失敗次數達到設定閾值，則所述卸載在對加密分區進行卸載的同時，指示鎖定所述USBKEY。
21.一種密鑰管理裝置，其特征在于，包括口令認證模塊，用于在用戶終端上的操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；密鑰管理模塊，用于在確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端，令所述用戶終端在將指定的硬盤分區作為加密分區進行掛載，并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。
22.如權利要求21所述的裝置，其特征在于，在所述口令認證模塊根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證之前，所述密鑰管理模塊根據預設方式生成用于進行硬盤加密的加密密鑰，并采用本地生成的傳輸密鑰對所述加密密鑰進行加密，生成相應的加密密鑰密文，以及采用與用戶終端約定的方式對所述傳輸密鑰進行加密，生成相應的傳輸密鑰密文。
23.如權利要求21所述的裝置，其特征在于，所述密鑰管理模塊基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端時，先將所述傳輸密鑰密文發往所述用戶終端，令所述用戶終端采用與本地約定的方式對所述傳輸密鑰密文進行解密，以獲得相應的傳輸密鑰，再將所述加密密鑰密文發往所述用戶終端，令所述用戶終端采用所述傳輸密鑰對所述加密密鑰密文進行解密，以獲得相應的加密密鑰。
24.如權利要求21、22或23所述的裝置，其特征在于，進一步包括鎖定解鎖模塊，用于在檢測到用戶的賬戶口令信息驗證失敗次數達到設定閾值時，將本地進行鎖定，以及在確定用戶執行了合法的解鎖操作時，指示所述密鑰模塊管塊根據預設方式重新生成相應的加密密鑰。
25.—種對硬盤分區進行加密的系統，其特征在于，包括USBKEY，用于在確認用戶通過USBKEY身份驗證后，基于預設的安全傳輸協議將用于硬盤加密的加密密鑰發送至用戶終端；用戶終端，用于在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證，并在確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取所述加密密鑰，以及將指定的硬盤分區作為加密分區進行掛載， 并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。
全文摘要
本發明涉及計算機領域，公開了一種對硬盤分區進行加密的方法及裝置，用于防止硬盤數據泄露，提高了硬盤數據的安全性。該方法為當用戶終端上的操作系統啟動流程被觸發時，經過USBKEY身份驗證后，加密密鑰才會按照預設的安全傳輸機制，導入到操作系統內暫時保存，而在獲得加密密鑰后，用戶終端才將指定的硬盤分區作為加密分區進行掛載，并按照獲得的加密密鑰對該加密分區的讀寫操作進行加解密操作。這樣，便在驅動層實現了對數據的動態讀寫加解密，通過獨立的文件系統驅動杜絕了第三方對操作系統已有文件系統的hook劫持，有效提高了數據安全性，并且實現了加密分區的掛載與操作系統啟動流程的無縫集成，節省了硬盤加密流程的執行效率。
文檔編號H04L9/08GK102508791SQ20111030019
公開日2012年6月20日 申請日期2011年9月28日 優先權日2011年9月28日
發明者梁守龍 申請人:梁守龍