一種對磁盤進行保護的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種磁盤保護的方法及系統(tǒng)�����。該方法首先對保護裝置進行設(shè)置�,利用保護裝置對磁盤進行全盤加密���。加密后的磁盤啟動時,首先運行第一引導(dǎo)模塊�����,第一引導(dǎo)模塊對保護裝置進行校驗����,從保護裝置中讀取第二引導(dǎo)模塊的代碼�、啟動參數(shù)、密碼�����,把控制權(quán)交給第二引導(dǎo)模塊����。第二引導(dǎo)模塊替換掉磁盤讀寫中斷,對磁盤讀取時進行解密����,對磁盤寫入時進行加密,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄��,對讀取的引導(dǎo)記錄進行解密,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)����。操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動對讀操作進行解密,對寫操作進行加密����,從而完成磁盤的保護功能。
【專利說明】一種對磁盤進行保護的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】�����,特別涉及一種對磁盤進行保護的方法和系統(tǒng)�����。
【背景技術(shù)】
[0002]在信息安全領(lǐng)域中�,數(shù)據(jù)作為一種寶貴的財富,數(shù)據(jù)的安全性越來越受到單位����、企業(yè)和個人的關(guān)注。目前的數(shù)據(jù)的保護主要是基于文件的保護����,這用保護的方法很容易被破解�,并且伴隨文件的增多���,這種保護的方法也會非常繁瑣���。
[0003]Windows的啟動過程如下:操作系統(tǒng)上電后,BIOS根據(jù)用戶指定的啟動順序從軟���、光��、硬盤或其它存儲設(shè)備啟動���,同時讀取并執(zhí)行啟動盤上的主引導(dǎo)記錄����,硬盤將磁頭定位在物理扇O柱O面I扇上,接著先后讀取扇區(qū)結(jié)束標(biāo)志55AAH���、主引導(dǎo)記錄���、硬盤分區(qū)表,然后根據(jù)硬盤分區(qū)表提供的數(shù)據(jù)��,硬盤將磁頭定位在活動分區(qū)的引導(dǎo)扇區(qū)上,接著先后讀取扇區(qū)結(jié)束標(biāo)志55AAH和操作系統(tǒng)參數(shù)����。該過程將操作系統(tǒng)讀取到內(nèi)存中,然后將控制權(quán)交給操作系統(tǒng)����。
[0004]在Windows內(nèi)核中,驅(qū)動設(shè)計采用分層結(jié)構(gòu)設(shè)計��。磁盤過濾驅(qū)動位于在磁盤驅(qū)動程序上��,可以監(jiān)視����、攔截和修改操作系統(tǒng)發(fā)送給磁盤驅(qū)動程序的I/O請求包,從而達到修改操作系統(tǒng)執(zhí)行流程的目的�。
[0005]軟件保護裝置是一種通過計算機接口(包括但不限于并口或者USB接口)連接到計算機主機上的硬件設(shè)備。該設(shè)備內(nèi)部具有非易失性存儲空間可供讀寫��,通常還具有單片機或者微處理控制芯片等計算處理單元����。軟件開發(fā)者可以通過接口函數(shù)和軟件保護裝置進行數(shù)據(jù)交換(即對軟件保護裝置進行讀寫),來檢查軟件保護裝置是否插在接口上;或者直接用軟件保護裝置附帶的工具進行加密���。這樣�,軟件開發(fā)者可以在軟件中設(shè)置多處軟件鎖�,利用軟件保護裝置作為鑰匙來打開這些鎖;如果沒插軟件保護裝置或軟件保護裝置不對應(yīng)���,軟件將不能正常執(zhí)行�����。
[0006]此外�,軟件保護裝置內(nèi)部包含特定的功能����,例如一部分存儲空間、一些密碼算法或者一些用戶自定義的算法或者功能�。在軟件發(fā)行之前�����,軟件開發(fā)者修改自己的軟件代碼�,使得軟件在運行過程中需要使用到軟件保護裝置內(nèi)部的一些功能,這樣軟件離開軟件保護裝置之后就會無法運行,而軟件保護裝置作為一種硬件設(shè)備復(fù)制的難度較大����,從而起到防止盜版軟件非法傳播的作用。
[0007]當(dāng)前市場上主要的軟件保護裝置包括:美國SafeNet公司的Sentinel Superpro>以色列Aladdin公司的Hasp HL�、中國北京深思洛克軟件股份有限公司的精銳系列、德國W1-Bu公司的WIBU-Key等�。所有這些軟件保護裝置都提供了內(nèi)置的存儲空間、私有或公開的密碼算法���,當(dāng)軟件運行過程中可以調(diào)用這些功能來檢驗是否屬于正版�。這些軟件保護裝置采用了智能卡芯片作為硬件的基礎(chǔ)����,而且支持用戶將自己定義的功能寫入到軟件保護裝置內(nèi)部,甚至可以直接將軟件的部分功能移植到軟件保護裝置內(nèi)部完成����,從而大大提高了軟件被盜版的難度,通常稱這種將自己定義的功能或者軟件的部分功能移植到軟件保護裝置內(nèi)部的技術(shù)為代碼移植��。本發(fā)明人現(xiàn)在對應(yīng)網(wǎng)站為http://www.sense, com.cn/,其中詳細(xì)公開了本發(fā)明人開發(fā)的軟件保護裝置的具體參數(shù)性能和工作原理�����。
[0008]在現(xiàn)有技術(shù)中,磁盤本身在啟動過程中未進行加密����,因此目前的技術(shù)需求在于:操作系統(tǒng)對整個磁盤進行加密,并且操作系統(tǒng)的啟動流程保證加密后的操作系統(tǒng)只有擁有合法的軟件保護裝置(下文稱為保護裝置)才能進入操作系統(tǒng)�����,在進入操作系統(tǒng)后用戶對文件讀取時在內(nèi)存中解密�����,對文件寫入后進行加密保存在磁盤上�,使得磁盤上不會出現(xiàn)明文數(shù)據(jù)。
【發(fā)明內(nèi)容】
[0009]有鑒于此�,本發(fā)明對整個磁盤進行加密,并且修改了操作系統(tǒng)的啟動流程����,加密后的操作系統(tǒng)只有擁有合法的保護裝置才能進入操作系統(tǒng),進入操作系統(tǒng)后用戶對文件讀取時在內(nèi)存中解密���,對文件寫入后進行加密保存在磁盤上���。磁盤上永遠(yuǎn)不會出現(xiàn)明文數(shù)據(jù),從而達到保護磁盤的目的���。
[0010]本發(fā)明提供了一種磁盤保護的方法�����,以解決磁盤數(shù)據(jù)安全的問題���。
[0011]一種磁盤保護的方法,該方法具體步驟包括:
對保護裝置進行設(shè)置����,將第二引導(dǎo)模塊(第二引導(dǎo)模塊用于啟動操作系統(tǒng),該第二引導(dǎo)模塊位于保護裝置中�,操作系統(tǒng)啟動時由第一引導(dǎo)模塊讀入內(nèi)存并執(zhí)行,其作用在第二引導(dǎo)模塊部分有詳細(xì)描述)的代碼���、啟動參數(shù)���、密碼放入保護裝置;
將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)���;
對磁盤進行全盤加密,采用磁盤過濾驅(qū)動模塊(磁盤過濾驅(qū)動是掛載到操作系統(tǒng)的磁盤驅(qū)動程序上面的驅(qū)動程序�,該磁盤過濾驅(qū)動模塊位于磁盤上,該磁盤過濾驅(qū)動模塊的作用詳見磁盤過濾驅(qū)動模塊描述)對磁盤進行保護����,加密算法可以采用對稱加密算法或者非對稱加密算法;
加密后的磁盤啟動時���,首先運行第一引導(dǎo)模塊�����,第一引導(dǎo)模塊對保護裝置進行校驗���,從保護裝置中讀取第二引導(dǎo)模塊的代碼、啟動參數(shù)����、密碼,把控制權(quán)交給第二引導(dǎo)模塊��;
第二引導(dǎo)模塊替換掉磁盤讀寫中斷��,對磁盤讀取時進行解密���,對磁盤寫入時進行加密�,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄,對讀取的引導(dǎo)記錄進行解密�����,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)�����;
操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動模塊對讀操作進行解密�,對寫操作進行加密��,從而完成磁盤的保護功能�。
[0012]本發(fā)明還提供了一種對磁盤進行保護的操作系統(tǒng),所述操作系統(tǒng)包括:
保護裝置�����、裝置設(shè)置模塊�、全盤加密模塊、第一引導(dǎo)模塊��、第二引導(dǎo)模塊��、磁盤過濾驅(qū)動模塊����,其中���,只有第二引導(dǎo)模塊位于硬件形式的保護裝置中
所述保護裝置為具有智能卡芯片的信息安全設(shè)備,提供軟件���、數(shù)據(jù)保護功能����。根據(jù)一個【具體實施方式】���,所述保護裝置包括但不限于加密鎖�����。
[0013]所述保護裝置設(shè)置模塊����,用來對保護裝置進行設(shè)置�,將第二引導(dǎo)模塊的代碼、啟動參數(shù)�、密碼放入保護裝置,其中密碼由用戶自定義輸入�����;
所述全盤加密模塊,將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)��,對磁盤進行全盤加密���,采用磁盤過濾驅(qū)動對磁盤進行保護,加密算法可以采用對稱加密算法或者非對稱加密算法���。根據(jù)一個【具體實施方式】��,所述對稱加密算法包括AES��、DES���、TDES ;非對稱加密算法包括ECC、RSA���。
[0014]所述第一引導(dǎo)模塊�,對保護裝置進行校驗�,從保護裝置中讀取第二引導(dǎo)模塊的代碼、啟動參數(shù)�、密碼���,把控制權(quán)交給第二引導(dǎo)模塊;
所述第二引導(dǎo)模塊����,替換掉磁盤讀寫中斷,對磁盤讀取時進行解密���,對磁盤寫入時進行加密����,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄��,對讀取的引導(dǎo)記錄進行解密��,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)����;
所述磁盤過濾驅(qū)動模塊,用于對磁盤進行全盤保護��,保護后的磁盤���,操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動對讀取的數(shù)據(jù)在內(nèi)存中進行解密��,對寫入的數(shù)據(jù)進行加密后保存在磁盤上�。
[0015]根據(jù)本發(fā)明的一個方面,所述第一引導(dǎo)模塊對保護裝置進行校驗���,具體為通過校驗PIN碼�、保護裝置序列號等標(biāo)識信息對保護裝置進行身份認(rèn)證����。
[0016]根據(jù)本發(fā)明提供的方法���,所取得的有益效果在于:被保護的磁盤只有插入正確的保護裝置才能正常啟動操作系統(tǒng)���,操作系統(tǒng)啟動后,用戶對文件進行讀取時���,磁盤過濾驅(qū)動模塊會臨時在內(nèi)存中解密返回給用戶��,用戶寫入的數(shù)據(jù)會被加密后存入磁盤��,磁盤中的數(shù)據(jù)永遠(yuǎn)是加密的��,即使磁盤被非法獲取�,沒有正確的保護裝置無法進入操作系統(tǒng),也無法解密磁盤上的內(nèi)容����。
【專利附圖】
【附圖說明】
[0017]圖1為按照本發(fā)明的一優(yōu)選實施例的保護過程的流程示意圖。
[0018]圖2為按照本發(fā)明的一優(yōu)選實施例中的被保護后的磁盤運行時示意圖��。
【具體實施方式】
[0019]為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點更加清楚明白,以下參照附圖并舉實施例����,對本發(fā)明進一步詳細(xì)說明。
[0020]根據(jù)本發(fā)明的一個實施方式���,提供一種磁盤保護的方法�,具體包括:
1.對保護裝置進行設(shè)置�����,將第二引導(dǎo)模塊的代碼���、啟動參數(shù)���、密碼放入保護裝置��;
2.將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)�����;
3.對磁盤進行全盤加密�,采用磁盤過濾驅(qū)動對磁盤進行保護���,加密算法可以采用對稱加密算法或者非對稱加密算法�;
4.加密后的磁盤啟動時�,首先運行第一引導(dǎo)模塊,第一引導(dǎo)模塊對保護裝置進行校驗�����,從保護裝置中讀取第二引導(dǎo)模塊的代碼�、啟動參數(shù)����、密碼,把控制權(quán)交給第二引導(dǎo)模塊��;
5.第二引導(dǎo)模塊替換掉磁盤讀寫中斷,對磁盤讀取時進行解密����,對磁盤寫入時進行加密,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄�,對讀取的引導(dǎo)記錄進行解密,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)�;
6.操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動對讀取的數(shù)據(jù)在內(nèi)存中進行解密,對寫入的數(shù)據(jù)進打加S后保存在磁盤上�����,從而完成磁盤的保護功能��。
[0021]根據(jù)本發(fā)明的一個實施方式��,一種對磁盤進行保護的系統(tǒng)���,包括:
保護裝置����、保護裝置設(shè)置模塊�、全盤加密模塊、第一引導(dǎo)模塊��、第二引導(dǎo)模塊、磁盤過濾驅(qū)動模塊�。其中, 所述保護裝置為具有智能卡芯片的信息安全設(shè)備�����,提供軟件�����、數(shù)據(jù)保護功能�����。根據(jù)一個【具體實施方式】���,所述保護裝置包括但不限于加密鎖����。
[0022]所述保護裝置設(shè)置模塊�����,用來對保護裝置進行設(shè)置���,將第二引導(dǎo)模塊的代碼��、啟動參數(shù)�、密碼放入保護裝置�����,其中密碼由用戶自定義輸入���。
[0023]所述全盤加密模塊����,將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)���,對磁盤進行全盤加密���,采用磁盤過濾驅(qū)動對磁盤進行保護,加密算法可以采用對稱加密算法或者非對稱加密算法���。
[0024]所述第一引導(dǎo)模塊�����,對保護裝置進行校驗���,從保護裝置中讀取第二引導(dǎo)模塊的代碼���、啟動參數(shù)、密碼����,把控制權(quán)交給第二引導(dǎo)模塊。根據(jù)一個【具體實施方式】����,所述校驗包括通過校驗PIN碼、保護裝置序列號等標(biāo)識信息進行身份認(rèn)證���。
[0025]所述第二引導(dǎo)模塊�����,替換掉磁盤讀寫中斷����,對磁盤讀取時進行解密�����,對磁盤寫入時進行加密��,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄����,此時會對讀取的引導(dǎo)記錄進行解密,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)���。
[0026]所述磁盤過濾驅(qū)動模塊�����,用于對磁盤進行全盤保護�,保護后的磁盤��,操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動對讀取的數(shù)據(jù)在內(nèi)存中進行解密��,對寫入的數(shù)據(jù)進行加密后保存在磁盤上����。
[0027]根據(jù)本發(fā)明的一個實施方式,下面給出一個實施例來說明本發(fā)明。
[0028]實施例1
該實施例以保護安裝有微軟Wind0ws7 32位操作系統(tǒng)的磁盤為例��,來描述根據(jù)本申請一個具體實施例實現(xiàn)磁盤保護的具體過程����。
[0029]保護裝置為加密鎖,提供數(shù)據(jù)安全保護功能���。
[0030]保護裝置設(shè)置模塊��,對保護裝置進行設(shè)置���,將第二引導(dǎo)模塊的代碼、啟動參數(shù)����、密碼放入保護裝置,其中密碼的長度為64字節(jié)��,其中密碼由用戶自定義輸入�����,密碼相同的鎖可以互相啟動加密后的磁盤���;
全盤加密模塊�����,首先在操作系統(tǒng)上安裝磁盤過濾驅(qū)動模塊��,并把過濾驅(qū)動設(shè)置為隨操作系統(tǒng)啟動而啟動����,將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)�,利用磁盤過濾驅(qū)動對磁盤進行加密保護,此處的加密算法采用AES算法���,加密密鑰隨機生成�;
如圖1所示��,對磁盤進行保護的詳細(xì)步驟為:
1.插入保護裝置�����;
2.用戶輸入自定義的密碼����;
3.將第二引導(dǎo)模塊的代碼、啟動參數(shù)、密碼放入保護裝置�����;
4.在磁盤上安裝過濾驅(qū)動模塊���;
5.將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)���;
6.對磁盤進行全盤加密。
[0031]在受保護裝置保護的磁盤啟動時:
第一引導(dǎo)模塊��,首先對保護裝置進行校驗�����,利用特定的命令����,從保護裝置中讀取第二引導(dǎo)模塊的代碼、啟動參數(shù)���、密碼��,把控制權(quán)交給第二引導(dǎo)模塊����。
[0032]第二引導(dǎo)模塊,替換掉磁盤讀寫中斷���,根據(jù)本發(fā)明的一個實施例�����,替換掉int 13中斷,當(dāng)寄存器AH的值為02時���,為讀操作�,當(dāng)寄存器AH的值為03時為寫操作���。讀寫中斷被替換后���,對磁盤進行讀取時進行解密,對磁盤進行寫入時進行加密����,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄,此時會對讀取的引導(dǎo)記錄進行解密��,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)。
[0033]磁盤過濾驅(qū)動模塊����,保護后的磁盤操作系統(tǒng)啟動后,通過磁盤過濾驅(qū)動對讀磁盤操作進行解密�����,對寫磁盤操作進行加密����。
[0034]首先,如圖2所示�,加密后的磁盤運行時,包括如下步驟:
1.插入保護裝置����;
2.對保護裝置進行校驗,校驗通過則執(zhí)行步驟3��,否則提示錯誤信息����;
3.從保護裝置中讀取第二引導(dǎo)模塊的代碼、啟動參數(shù)��、密碼;
4.替換磁盤的int13讀寫中斷���;
5.讀取活動分區(qū)的引導(dǎo)記錄�����,對引導(dǎo)記錄進行解密��;
6.執(zhí)行引導(dǎo)記錄�,啟動操作系統(tǒng)�;
7.對讀磁盤操作在內(nèi)存中進行解密,對寫磁盤操作進行加密后寫入磁盤�。
[0035]以上所述僅為本發(fā)明的較佳實施例而已�,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換以及改進等���,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)���。
【權(quán)利要求】
1.一種通過保護裝置對磁盤進行保護的系統(tǒng)���,所述保護裝置為具有智能卡芯片的信息安全設(shè)備,提供軟件���、數(shù)據(jù)保護功能�����,其特征在于�,所述保護裝置還包括: 保護裝置設(shè)置模塊��、全盤加密模塊���、第一引導(dǎo)模塊����、第二引導(dǎo)模塊��、磁盤過濾驅(qū)動模塊�����;其中���, 所述保護裝置設(shè)置模塊�����,用于對所述保護裝置進行設(shè)置���,將第二引導(dǎo)模塊的代碼�、啟動參數(shù)�����、密碼放入所述保護裝置����; 所述全盤加密模塊,將第一引導(dǎo)模塊寫入磁盤的前63個扇區(qū)��,對磁盤進行全盤加密���,采用磁盤過濾驅(qū)動模塊對磁盤進行保護; 所述第一引導(dǎo)模塊��,對保護裝置進行校驗��,從保護裝置中讀取第二引導(dǎo)模塊的代碼、啟動參數(shù)��、密碼���,把控制權(quán)交給第二引導(dǎo)模塊����; 所述第二引導(dǎo)模塊�,替換掉磁盤讀寫中斷,對磁盤讀取時進行解密�,對磁盤寫入時進行加密,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄��,此時對讀取的引導(dǎo)記錄進行解密����,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng); 所述磁盤過濾驅(qū)動模塊���,用于對磁盤進行全盤保護��;其中���,操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動對讀取的數(shù)據(jù)在內(nèi)存中進行解密�,對寫入的數(shù)據(jù)進行加密后保存在磁盤上���。
2.根據(jù)權(quán)利要求1所述的通過保護裝置對磁盤進行保護的系統(tǒng)�,其特征在于�,所述加密算法采用對稱加密算法或者非對稱加密算法。
3.根據(jù)權(quán)利要求1所述的通過保護裝置對磁盤進行保護的系統(tǒng)��,其特征在于���,所述校驗包括通過校驗PIN碼��、保護裝置序列號等標(biāo)識信息進行身份認(rèn)證����。
4.根據(jù)權(quán)利要求1-3所述的通過保護裝置對磁盤進行保護的系統(tǒng)�,其特征在于,其中密碼由用戶自定義輸入�。
5.一種通過權(quán)利要求1-4所述的保護裝置對磁盤進行保護的方法,其特征在于��,所述方法包括: 對保護裝置進行設(shè)置�����,將第二引導(dǎo)模塊的代碼����、啟動參數(shù)、密碼放入保護裝置�; 將第一引導(dǎo)模塊寫入磁盤; 對磁盤進行全盤加密���,采用磁盤過濾驅(qū)動模塊對磁盤進行保護��; 在磁盤上安裝過濾驅(qū)動模塊�。
6.根據(jù)權(quán)利要求5所述保護裝置對磁盤進行保護的方法����,其特征在于,所述方法還包括: 加密后的磁盤啟動時�,首先運行第一引導(dǎo)模塊,第一引導(dǎo)模塊對保護裝置進行校驗��,從保護裝置中讀取第二引導(dǎo)模塊的代碼�、啟動參數(shù)、密碼�,把控制權(quán)交給第二引導(dǎo)模塊; 第二引導(dǎo)模塊替換掉磁盤讀寫中斷,對磁盤讀取時進行解密�,對磁盤寫入時進行加密,第二引導(dǎo)模塊讀取活動分區(qū)的引導(dǎo)記錄����,對讀取的引導(dǎo)記錄進行解密,解密后執(zhí)行活動分區(qū)的引導(dǎo)記錄從而啟動操作系統(tǒng)����; 操作系統(tǒng)啟動后通過磁盤過濾驅(qū)動模塊對讀操作進行解密,對寫操作進行加密��。
7.根據(jù)權(quán)利要求5或6所述的保護裝置對磁盤進行保護的方法���,其特征在于��,在將第二引導(dǎo)模塊的代碼��、啟動參數(shù)���、密碼放入保護裝置的步驟中,密碼由用戶輸入����。
【文檔編號】G06F21/80GK103870770SQ201410057761
【公開日】2014年6月18日 申請日期:2014年2月20日 優(yōu)先權(quán)日:2014年2月20日
【發(fā)明者】孫吉平, 韓勇 申請人:北京深思數(shù)盾科技有限公司