[发明专利]一种对硬盘分区进行加密的方法及装置

说明书

技术领域

本发明涉及计算机领域，特别涉及一种对硬盘分区进行加密的方法及装置。

背景技术

随着计算机技术的应用范围日益广泛，如何保证数据安全性也成为了用户最为关心的问题。为了令数据安全性得到保证，通常使用加密技术对存储的各类文件数据进行加密。

目前，通常使用的加密技术主要包括文件加密技术和磁盘加密技术两种。

首先，先介绍文件加密技术。所谓的文件加密技术，其核心是基于应用进程来实现加密控制，具有以下优点：

1、部署简单，不需要改变用户操作习惯，也不需要改变用户的应用环境；

2、技术简单，仅涉及到进程文件关联技术、文件临时重定向技术和上层Hook技术；

3、操作简单，比较容易被用户理解和接受。

但是，文件加密技术的实现主要基于应用程序和文件的关联关系，而安全系统与应用程序密切相关，对于应用复杂的环境(例如，制作设计和软件设计行业)，安全系统的可部署性非常差，常常由于用户应用过于复杂、应用程序的升级或者应用的增加而导致该类内网的安全系统需要重新进行二次开发，从而给用户环境带来极大的限制和不稳定隐患，进而影响文件加密技术的安全性。进一步地，由于文件加密技术采用了文件临时重定向技术，因此，会产生临时缓存文件，而临时缓存文件在硬盘中是以明文状态存在，这很容易被攻击者使用公开的文件监视工具获取到，并通过复制该临时缓存文件而造成文件加密机制的失效；并且，使用临时缓存文件，相当于文件要在硬盘中重复进行两次读写操作，这会造成系统使用效率的明显下降，(如，下降50％)，尤其是针对大型文件进行加密时，对系统使用效率的影响更为明显。另一方面，由于应用程序中采用了众多Hook技术，因而很容易造成和防病毒等软件的冲突，造成系统不稳定，影响用户的正常使用，同时Hook技术也容易造成使用系统使用效率下降。

其次，再介绍磁盘加密技术。所谓的磁盘加密技术，其核心是通过对做磁盘的扇区磁道等进行加密，然后而对加密磁盘进行读写，具有以下优点：

1、与应用程序无关，能够兼容各种复杂的应用环境，支持应用程序的升级和变更，无需针对具体应用程序进行产品级的二次开发，稳定性和可用性得到保障。

2、由于不采用文件临时重定向技术，因而文件读写次数不会增加，确保了系统使用效率不会明显下降。

但是，由于磁盘加密技术仅针对特定的文件存储区域进行保护，缺乏对文件本身保密属性的判断能力，因此具有以下缺点：采用磁盘加密技术需要对文件的存储区域进行条件限制，因此必然需要对使用环境进行调整以适应磁盘加密技术的。进一步地，单一的磁盘加密技术无法防止通过网络和其他途径的文件泄密行为，而若要综合网络控制技术开发相应的网络安全产品，则开发难度大、周期长。另一方面，目前的磁盘加密技术中没有完整的密钥管理机制，一旦出现密钥忘记等情况，没有有效的恢复手段。

发明内容

本发明实施例提供一种对硬盘分区进行加密的方法及装置，用于防止硬盘数据泄露，提高了硬盘数据的安全性。

本发明实施例提供的具体技术方案如下：

一种对硬盘分区进行加密的方法，包括：

在操作系统启动流程被触发时，根据用户输入的账户口令信息，对该用户进行USBKEY身份验证；

确认用户通过所述USBKEY身份验证后，基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥；

将指定的硬盘分区作为加密分区进行挂载；

采用所述加密密钥，对在所述加密分区中执行的读写操作进行加解密。

一种密钥管理方法，包括：

在用户终端上的操作系统启动流程被触发时，根据用户输入的账户口令信息，对该用户进行USBKEY身份验证；

确认用户通过所述USBKEY身份验证后，基于预设的安全传输协议将本地预设的加密密钥发往所述用户终端，令所述用户终端在将指定的硬盘分区作为加密分区进行挂载，并采用所述加密密钥，对在所述加密分区中执行的读写操作进行加解密。

一种对硬盘分区进行加密的装置，包括：

登录及资源管理模块，用于在操作系统启动流程被触发时，根据用户输入的账户口令信息，对该用户进行USBKEY身份验证；

挂载模块，用于确认用户通过所述USBKEY身份验证后，基于预设的安全传输协议从所述USBKEY中获取用于硬盘加密的加密密钥，并将指定的硬盘分区作为加密分区进行挂载；

文件系统驱动模块，用于采用所述加密密钥，对在所述加密分区中执行的读写操作进行加解密。