技術領域

本發明涉及計算機領域，特別涉及一種對硬盤分區進行加密的方法及裝置。

背景技術

隨著計算機技術的應用范圍日益廣泛，如何保證數據安全性也成為了用戶最為關心的問題。為了令數據安全性得到保證，通常使用加密技術對存儲的各類文件數據進行加密。

目前，通常使用的加密技術主要包括文件加密技術和磁盤加密技術兩種。

首先，先介紹文件加密技術。所謂的文件加密技術，其核心是基于應用進程來實現加密控制，具有以下優點：

1、部署簡單，不需要改變用戶操作習慣，也不需要改變用戶的應用環境；

2、技術簡單，僅涉及到進程文件關聯技術、文件臨時重定向技術和上層Hook技術；

3、操作簡單，比較容易被用戶理解和接受。

但是，文件加密技術的實現主要基于應用程序和文件的關聯關系，而安全系統與應用程序密切相關，對于應用復雜的環境(例如，制作設計和軟件設計行業)，安全系統的可部署性非常差，常常由于用戶應用過于復雜、應用程序的升級或者應用的增加而導致該類內網的安全系統需要重新進行二次開發，從而給用戶環境帶來極大的限制和不穩定隱患，進而影響文件加密技術的安全性。進一步地，由于文件加密技術采用了文件臨時重定向技術，因此，會產生臨時緩存文件，而臨時緩存文件在硬盤中是以明文狀態存在，這很容易被攻擊者使用公開的文件監視工具獲取到，并通過復制該臨時緩存文件而造成文件加密機制的失效；并且，使用臨時緩存文件，相當于文件要在硬盤中重復進行兩次讀寫操作，這會造成系統使用效率的明顯下降，(如，下降50％)，尤其是針對大型文件進行加密時，對系統使用效率的影響更為明顯。另一方面，由于應用程序中采用了眾多Hook技術，因而很容易造成和防病毒等軟件的沖突，造成系統不穩定，影響用戶的正常使用，同時Hook技術也容易造成使用系統使用效率下降。

其次，再介紹磁盤加密技術。所謂的磁盤加密技術，其核心是通過對做磁盤的扇區磁道等進行加密，然后而對加密磁盤進行讀寫，具有以下優點：

1、與應用程序無關，能夠兼容各種復雜的應用環境，支持應用程序的升級和變更，無需針對具體應用程序進行產品級的二次開發，穩定性和可用性得到保障。

2、由于不采用文件臨時重定向技術，因而文件讀寫次數不會增加，確保了系統使用效率不會明顯下降。

但是，由于磁盤加密技術僅針對特定的文件存儲區域進行保護，缺乏對文件本身保密屬性的判斷能力，因此具有以下缺點：采用磁盤加密技術需要對文件的存儲區域進行條件限制，因此必然需要對使用環境進行調整以適應磁盤加密技術的。進一步地，單一的磁盤加密技術無法防止通過網絡和其他途徑的文件泄密行為，而若要綜合網絡控制技術開發相應的網絡安全產品，則開發難度大、周期長。另一方面，目前的磁盤加密技術中沒有完整的密鑰管理機制，一旦出現密鑰忘記等情況，沒有有效的恢復手段。

發明內容

本發明實施例提供一種對硬盤分區進行加密的方法及裝置，用于防止硬盤數據泄露，提高了硬盤數據的安全性。

本發明實施例提供的具體技術方案如下：

一種對硬盤分區進行加密的方法，包括：

在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；

確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取用于硬盤加密的加密密鑰；

將指定的硬盤分區作為加密分區進行掛載；

采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。

一種密鑰管理方法，包括：

在用戶終端上的操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；

確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議將本地預設的加密密鑰發往所述用戶終端，令所述用戶終端在將指定的硬盤分區作為加密分區進行掛載，并采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。

一種對硬盤分區進行加密的裝置，包括：

登錄及資源管理模塊，用于在操作系統啟動流程被觸發時，根據用戶輸入的賬戶口令信息，對該用戶進行USBKEY身份驗證；

掛載模塊，用于確認用戶通過所述USBKEY身份驗證后，基于預設的安全傳輸協議從所述USBKEY中獲取用于硬盤加密的加密密鑰，并將指定的硬盤分區作為加密分區進行掛載；

文件系統驅動模塊，用于采用所述加密密鑰，對在所述加密分區中執行的讀寫操作進行加解密。