则将内核文件写入请求返回失败(步骤S905),向应用层返回失败(步骤S906),此时应用软件写入文件提示失败。
[0080]下面通过对瘦终端的数据进行加密并执行读或写操作,对本发明实施例提供的技术方案进行描述。在本发明实施例中,对瘦终端的数据进行加密并执行读或写操作主要包括以下步骤:
[0081]步骤1:读取瘦终端特有的设备ID。根据设备ID创建内核加密模块(即上述的内核加密算法)并加装到系统内核层。
[0082]步骤2:创建内核解密模块(即上述的内核解密算法)并加载到系统内核层。
[0083]步骤3:根据用户设定的保护目录或文件或存储驱动器调用内核加密模块对数据进行初始化加密。
[0084]步骤4:设置内核文件read、write事件监控标志
[0085]步骤5:将内核文件过滤及加解密模块挂载到系统文件驱动上层
[0086]步骤6:启动read、write请求监控
[0087]步骤7:当过滤模块拦截内核的文件读取请求,根据当前设备ID判断是否是授权终端,如果是则执行内核解密模块,完成数据解密,解密后数据直接位于内核文件缓冲区,可以由应用层软件直接读取;如果设备ID非法,则拒绝解密,将内核读取请求返回失败,此时应用软件读取文件提示失败。
[0088]步骤8:过滤模块拦截内核的文件写入请求,根据当前设备ID是否为授权设备ID,如果是则调用内核加密模块执行数据加密,并将加密后数据写入文件;如果当前设备ID非法则将内核文件写入请求返回失败,此时应用软件写入文件提示失败。
[0089]从以上的描述中,可以看出,在本发明实施例中,根据终端的设备标识生成内核加密算法,在系统内核,通过内核加密算法对数据进行初始化加密,加密与特定终端绑定,实现了终端与数据的一一对应保护,即使将终端上的存储设备拆除下来放到别的机器上也无法进行解密,保证了数据的安全。并且,通过在系统内核而不是通过应用层软件对数据进行加密,不容易被破解,提升了数据的安全性。另外,本发明实施例的加解密操作在系统内核完成,从而可以自动对数据进行加解密,而不需要用户手动执行,从而提高了效率,也方便使用。
[0090]显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
[0091]以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1.一种加密方法,其特征在于,包括: 获取终端的设备标识; 根据所述设备标识,在系统内核生成内核加密算法; 在系统内核,调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。2.根据权利要求1所述的方法,其特征在于,调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密,包括: 根据设定的保护目录、保护文件或保护存储设备,调用所述内核加密算法,对所述终端中指定的保护目录、保护文件或保护存储设备的数据进行初始化加密。3.根据权利要求1或2所述的方法,其特征在于,在系统内核生成内核加密算法之后,所述方法还包括: 在系统内核生成与所述内核加密算法对应的内核解密算法。4.根据权利要求3所述的方法,其特征在于,调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密之后,所述方法还包括:在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求;在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端,如果不是,则拒绝所述操作请求,如果是,则执行所述操作请求。5.根据权利要求4所述的方法,其特征在于,执行所述操作请求包括: 如果所述操作请求为文件读取请求,则执行所述内核解密算法,对请求读取的文件数据进行解密,将解密后的数据存储在内核文件缓冲区; 如果所述操作请求为文件写入请求,则调用所述内核加密算法对待写入的文件数据进行加密,并将加密后的数据写入文件。6.—种内核加密数据的操作方法,其特征在于,包括: 在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求; 在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端,如果不是,则拒绝所述操作请求,如果是,则执行所述操作请求。7.根据权利要求6所述的方法,其特征在于,执行所述操作请求包括: 如果所述操作请求为文件写入请求,则在系统内核调用内核加密算法对待写入的数据进行加密,并将加密后的数据写入文件,其中,所述内核加密算法为在对所述数据进行初始化加密时,根据存储所述数据的终端的设备标识创建的; 如果所述操作请求为文件读取请求,则执行内核解密算法,对请求读取的数据进行解密,将解密后的数据存储在内核文件缓冲区,其中,所述内核解密算法与所述内核加密算法对应。8.根据权利要求6所述的方法,其特征在于,在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求包括: 在系统内核设置所述初始化加密后的数据的写事件及读事件监控标识; 根据所述写事件及读事件监控标识,在系统文件驱动上层启动写请求或读请求监控。9.一种加密装置,其特征在于,包括: 获取模块,用于获取终端的设备标识; 生成模块,用于根据所述设备标识,在系统内核生成内核加密算法; 加密模块,用于在系统内核,调用所述内核加密算法对所述终端中指定的数据文件进行初始化加密。10.根据权利要求9所述的装置,其特征在于,所述生成模块还用于在系统内核生成与所述内核加密算法对应的内核解密算法。11.根据权利要求10所述的装置,其特征在于,还包括: 监测模块,用于在内核文件驱动上层监测对初始化加密后的所述数据文件进行读或写的操作请求; 判断模块,用于在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端; 拒绝模块,用于在判断所述当前设备不是授权终端时,拒绝所述操作请求; 执行模块,用于在判断所述当前设备是授权终端时,执行所述操作请求。12.根据权利要求11所述的装置,其特征在于,所述执行模块包括: 操作请求识别单元,用于识别所述操作请求为文件读取请求还是文件写请求; 执行单元,用于在所述操作请求为读请求时,执行所述内核解密算法,对请求读取的文件数据进行解密,将解密后的数据存储在内核文件缓冲区,在所述操作请求为文件写入请求时,调用所述内核加密算法对待写入的文件数据进行加密,并将加密后的数据写入文件。13.一种内核加密数据的操作装置,其特征在于,包括: 监测模块,用于在内核文件驱动上层监测对初始化加密后的数据进行读或写的操作请求; 判断模块,用于在监测到所述操作请求时,根据执行所述操作请求的当前设备的设备标识,判断所述当前设备是否为授权终端; 拒绝模块,用于在判断所述当前设备不是授权终端时,拒绝所述操作请求; 执行模块,用于在判断所述当前设备是授权终端时,执行所述操作请求。14.根据权利要求13所述的装置,其特征在于,所述执行模块包括: 操作请求识别单元,用于识别所述操作请求为文件读取请求还是文件写请求; 执行单元,用于在所述操作请求为读请求时,执行内核解密算法,对请求读取的文件数据进行解密,将解密后的数据存储在内核文件缓冲区,在所述操作请求为文件写入请求时,调用内核加密算法对待写入的文件数据进行加密,并将加密后的数据写入文件,其中,所述内核加密算法为在对所述数据进行初始化加密时,根据存储所述数据的终端的设备标识创建的,所述内核解密算法与所述内核加密算法对应。15.根据权利要求13或14所述的装置,其特征在于,所述监测模块包括: 设置单元,用于在系统内核设置所述初始化加密后的数据的写事件及读事件监控标识; 监控单元,用于根据所述写事件及读事件监控标识,在系统文件驱动上层启动对写请求或读请求的监控。
【专利摘要】本发明公开了一种加密方法及装置、内核加密数据的操作方法及装置。其中,该加密方法包括:获取终端的设备标识;根据该设备标识,在系统内核生成内核加密算法;在系统内核,调用该内核加密算法对该终端中指定的数据文件进行初始化加密。
【IPC分类】G06F21/44, G06F21/62, G06F21/73
【公开号】CN105243332
【申请号】CN201410284426
【发明人】何伟
【申请人】中兴通讯股份有限公司
【公开日】2016年1月13日
【申请日】2014年6月23日
【公告号】WO2015196525A1