[发明专利]磁盘加密方法及实现该方法的磁盘加密系统

说明书

技术领域

本发明属于信息安全技术领域，涉及一种加密方法，尤其涉及一种磁盘加密方法；同时还涉及一种利用上述磁盘加密方法的磁盘加密系统。

背景技术

信息安全领域中，数据保护和加密技术尤为重要。目前都以文件加密方式来保护数据，这种数据保护是很有限的。因为加密解密进程在内存中进行，黑客容易通过某些手段轻松获取秘密。这使得很多个人隐私或者商业秘密等用户不想公开的信息被非法公开。

发明内容

本发明所要解决的技术问题是：提供一种可以有效对磁盘加密的方法。

另外，本发明还提供一种利用上述磁盘加密方法的磁盘加密系统。

为解决上述技术问题，本发明采用如下技术方案：

一种磁盘加密方法，所述磁盘包括一主引导记录，用以检查分区表是否正确以及确定磁盘的引导分区；该方法包括：

启动前认证步骤：把所述磁盘的引导分区设定至一加密模块，以使磁盘启动时进入该加密模块设定的流程，按照该设定的流程验证；

启动前解密步骤：控制硬盘的读写中断，对硬盘上已经加密的扇区进行解密，以使操作系统正常启动。

作为本发明的一种优选方案，所述方法还包括磁盘过滤驱动步骤：完成系统启动后的磁盘数据加解密操作；构造一个过滤模块，附着在目标设备上；在该过滤模块对应的过滤驱动程序中截取发送到目标设备的操作；在过滤操作中需要构造新的I/O请求包来驱动下层驱动程序，或需要为某个I/O请求包指定对应的完成例程，以便这个I/O请求包被下层驱动程序完成返回后调用。

作为本发明的一种优选方案，所述磁盘过滤驱动步骤还包括：操作系统的I/O管理器根据磁盘设备操作请求构造每个I/O请求包发到磁盘设备驱动程序，磁盘设备驱动程序把相应于文件系统的操作转换为相应于存储设备驱动程序的操作并通过I/O管理器来调用存储设备驱动程序；I/O管理器在发送操作请求到目标设备之前检查是否有其他的设备附着于目标设备对象之上；通过构造附加的设备对象附着在文件系统或者存储设备对象之上，并为该设备对象指定专门的驱动程序，I/O管理器就会把要发送到目标设备的请求先发到附加的过滤模块，在该设备对应的过滤驱动程序中对原始请求加入附加的处理来实现对文件系统操作的截取、监控甚至替换；

其方法如下：首先需要把过滤模块挂接在某个硬盘分区之上，可以在过滤驱动程序的DriverEntry例程或者应用程序中调用DeviceIoControl发送一个IOCTL请求驱动程序来挂接到硬盘上；该过程的函数调用过程为：由ZwCreateFile得到硬盘分区的设备句柄，再用ObReferenceByObjectHandle得到对应的FILE_OBJECT指针，调用IoGetRelatedObject得到硬盘分区设备对象指针；而后调用IoCreateDevice来构造代表过滤模块的一个设备并为它指定驱动程序也就是过滤驱动程序；最后调用IoAttachDeviceByPointer把该设备挂接在硬盘分区设备上。这样文件系统驱动程序发送到这个硬盘分区设备的所有请求都会先经过过滤模块。

作为本发明的一种优选方案，所述启动前认证步骤中，BIOS调用自举程序INT 19H将主硬盘的0柱面0磁头1扇区的主引导记录读入内存0000:7000H处执行，然后执行引导记录中的代码。

作为本发明的一种优选方案，所述加密模块的验证方法为用户进入系统前调用认证流程；该认证为用户通过输入密码来认证，或者所述密码信息封装于一USB KEY中，或者所述密码信息封装于一USB KEY中、同时需要对所述USB KEY进行进一步的密码验证。

一种实现上述磁盘加密方法的磁盘加密系统，该系统包括：

启动前认证模块，用以把所述磁盘的引导分区设定至一加密模块，以使磁盘启动时进入该加密模块设定的流程，按照该设定的流程验证；

启动前解密模块，用以控制硬盘的读写中断，对硬盘上已经加密的扇区进行解密，以使操作系统正常启动。

作为本发明的一种优选方案，所述方法还包括磁盘过滤驱动模块，附着在目标设备上；在该过滤模块对应的过滤驱动程序中截取发送到目标设备的操作；在过滤操作中需要构造新的I/O请求包来驱动下层驱动程序，或需要为某个I/O请求包指定对应的完成例程，以便这个I/O请求包被下层驱动程序完成返回后调用。