技術領域

本發明為一種實時數據保密方法，特別是涉及，在由文件夾加載的虛擬分割區中加入實時加解密與身份識別機制的數據保密方法。

背景技術

雖然計算機的發展帶給了我們極大的便利，但是由于其操作系統(operating?system)的設計并沒有特別對數據的保護作周詳的考慮，間接使得方便之余產生了種種的問題，包括其中重要數據可能遭遇竊取、竄改、冒名傳送等問題。

公知技術在數據保密上往往僅利用個人的賬號、密碼作為訪問被保護文件的方式，但用戶常會因為忘記賬號或密碼而造成訪問文件的困擾，并且，如此簡單的保密方式仍容易被破解。尤其是用于企業中對于敏感數據保密的要求，一般簡單的保護措施并無法確實防止數據被員工盜取或濫用。

為達到上述數據保密的目的，公知的計算機數據保密技術如中國臺灣專利第554268號所揭示的“數據存儲保密方法”，該案揭示利用計算機通過一特定驅動程序對計算機中數據存儲裝置進行數據的訪問，計算機會向上述數據存儲裝置提出數據讀取請求，其中驅動程序則根據此請求進行存儲位置的變換運算，并提供輸入加密值以保護該數據，因此在之后讀取該文件時，需要上述驅動程序與加密數據配合文件配置表(File?Allocation?Table)由實際存儲位置讀取。

除了上述針對單一文件進行加密的技術外，公知技術還有針對計算機磁盤驅動器(Disk)的加密技術，其為應用于硬盤(Hard?Disk)驅動器上，主要實施例是利用一磁盤驅動器加密軟件于硬盤驅動器上建立一文件，并將其加載(mount)為一經過編碼的虛擬盤(virtual?disk)驅動器，如虛擬成C槽、D槽以外的K槽(drive?K)，用戶可借由密碼的保護在上述虛擬盤驅動器上訪問文件。如，先利用上述加密軟件建立訪問該虛擬盤時的密碼，在存儲文件至該虛擬盤驅動器時，為一加密過程(encrypt)，而在虛擬盤驅動器中讀取時，為一解密過程(decrypt)，即利用上述密碼解密，之后才能正常讀取該文件，否則不能使用該文件。

公知在文件訪問到文件系統時進行加解密的技術可參閱美國專利第6,249,866號所揭示的一種加密文件的系統與方法(Encrypting?file?system?andmethod)，該案揭示利用公鑰(public?key)與私鑰(private?key)的方案完成文件系統中各文件的加解密，當用戶將文件存儲到硬盤中，即利用產生的數字鑰匙對(Key-Pair)中的公鑰進行加密，而用戶在之后使用時需用相對的私鑰進行解密。

請參閱圖1所示的示意圖，該案的實施例利用在NTFS(Windows?NT?FileSystem)文件系統12初始化時，加載一架構于文件系統12上的加密文件系統驅動程序(Encrypting?File?System?Driver)14，此驅動程序1?4則運作在此文件系統12中的特定存儲文件卷(volume)10上，當此NTFS文件系統12從計算機系統I/O(Input/Output)16接收輸入輸出請求(在此文件系統中建立文件或開啟文件)時，文件系統12通過加密文件系統驅動程序14運用加解密服務模塊18所提供的加解密服務，包括公鑰、私鑰的產生與應用，以進行文件訪問。

大致上，在上述特定存儲文件卷中進行文件訪問時，加密文件系統驅動程序會提供文件的元數據(metadata)給提供加解密服務的模塊中，其中包括加解密的數字鑰匙信息，可利用公鑰加密，在數字鑰匙改變時改寫元數據，或利用所對應的私鑰進行解密等。

上述利用建立虛擬盤驅動器的保密方式建立一文件加載(file?mount)的方法，將此文件加載為虛擬盤驅動器，然而文件加載的方式存在操作系統(Operating?System)中單一文件大小的限制，如在Windows操作系統的文件配置系統(FAT/FAT32)的單一文件限制為4G，另外，若需建立該單一文件并設定為一執行加解密的虛擬盤驅動器，即已占據硬盤驅動器一特定容量，并無法彈性運用于其它用途。

不同于公知技術數據加密的方法，本發明實時數據保密方法是利用建立磁盤驅動器中的文件夾(folder)加載為加密用的虛擬盤的方式，避免加密區域容量的限制，并且不會實際占據固定磁盤驅動器容量。

發明內容