[发明专利]加密方法及装置、内核加密数据的操作方法及装置

说明书

技术领域

本发明涉及计算机及通信技术领域，具体而言，涉及一种加密方法及装置、内核加密数据的操作方法及装置。

背景技术

在云计算系统中，瘦终端本地的存储设备上会存储用户的一部分数据，当部分数据文件被拷贝到别的终端或个人电脑(pc)、以及非法用户将瘦终端的存储设备直接拆除到别的终端时，这些数据信息将可以被直接读取，从而存在信息被泄露的风险。

目前，瘦终端上的数据保护主要通过以下两种方式进行：

一、通过远程管理中心对瘦终端进行权限控制的方式。但这种方法主要存在以下缺点：1)对于将瘦终端上的数据文件直接拷贝到别的机器上不能进行保护；2)对于将瘦终端上的存储设备拆除下来放到别的机器上也无法进行保护。

二、通过加密软件对目标文件进行手动加密，但这种方法存在以下缺点：1)由于这些加密软件都是通过应用层软件对文件本身进行加密，所以容易被破解，安全级别不够；2)加密不能跟特定终端绑定，不能满足终端与数据的一一对应保护；3)在第三方软件要使用加密过的文件时，还需要用户提前手工解密后才能被第三方软件读取，效率较低，使用不方便，特别是对于一些由操作系统和第三方软件自动读写的文件，由于这些操作可能是后台进行读写，用户也无法在中间插入手工解密的过程。

针对相关技术存在的瘦终端上的数据保护存在的上述问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中加密不能跟特定终端绑定，不能满足终端与数据的一一对应保护的问题，本发明提供了一种加密方法及装置、内核加密数据的操作方法及装置，以至少解决上述问题。

根据本发明的一个方面，提供了一种加密方法，包括：获取终端的设备标识；根据所述设备标识，在系统内核生成内核加密算法；在系统内核，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。

可选地，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密，包括：根据设定的保护目录、保护文件或保护存储设备，调用所述内核加密算法，对所述终端中指定的保护目录、保护文件或保护存储设备的数据进行初始化加密。

可选地，在系统内核生成内核加密算法之后，所述方法还包括：在系统内核生成与所述内核加密算法对应的内核解密算法。

可选地，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密之后，所述方法还包括：在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求；在监测到所述操作请求时，根据执行所述操作请求的当前设备的设备标识，判断所述当前设备是否为授权终端，如果不是，则拒绝所述操作请求，如果是，则执行所述操作请求。

可选地，执行所述操作请求包括：如果所述操作请求为文件读取请求，则执行所述内核解密算法，对请求读取的文件数据进行解密，将解密后的数据存储在内核文件缓冲区；如果所述操作请求为文件写入请求，则调用所述内核加密算法对待写入的文件数据进行加密，并将加密后的数据写入文件。

根据本发明的另一个方面，提供了一种内核加密数据的操作方法，包括：在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求；在监测到所述操作请求时，根据执行所述操作请求的当前设备的设备标识，判断所述当前设备是否为授权终端，如果不是，则拒绝所述操作请求，如果是，则执行所述操作请求。

可选地，执行所述操作请求包括：如果所述操作请求为文件写入请求，则在系统内核调用内核加密算法对待写入的数据进行加密，并将加密后的数据写入文件，其中，所述内核加密算法为在对所述数据进行初始化加密时，根据存储所述数据的终端的设备标识创建的；如果所述操作请求为文件读取请求，则执行内核解密算法，对请求读取的数据进行解密，将解密后的数据存储在内核文件缓冲区，其中，所述内核解密算法与所述内核加密算法对应。

可选地，在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求包括：在系统内核设置所述初始化加密后的数据的写事件及读事件监控标识；根据所述写事件及读事件监控标识，在系统文件驱动上层启动写请求或读请求监控。

根据本发明的又一个方面提供了一种加密装置，包括：获取模块，用于获取终端的设备标识；生成模块，用于根据所述设备标识，在系统内核生成内核加密算法；加密模块，用于在系统内核，调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。

可选地，所述生成模块还用于在系统内核生成与所述内核加密算法对应的内核解密算法。