[发明专利]一种数据加密方法及加密装置

说明书

本发明公开了一种数据加密方法及加密装置，所述方法通过运行于云端或虚拟机上的加密服务器实现对数据进行加密，所述方法包括以下步骤：客户端主机发送加密盘解锁请求；所述加密服务器验证加密盘解锁请求，打开存储设备内的加密盘；应用程序对盘内数据进行访问；访问前，加密服务器对访问的应用程序实施访问控制许可；对存盘数据进行加密，并写入存储设备；客户端主机发送关闭加密盘请求，加密盘关闭。本发明中加密方法不需要修改客户端操作系统，降低软件复杂性，增强可靠性；兼容性佳，无惧操作系统升级。客户端上的任何恶意软件无法危害加密服务器。加密服务器可以校验客户端软件是否经过恶意修改，以保证客户端软件的决策可靠。

技术领域

本发明属于信息安全领域，具体涉及一种数据加密方法及加密装置。

背景技术

随着信息时代和网络时代的到来，人们每天需要使用各类信息系统来处理生 活中的事物，人们处于永远“在线”的状态，时刻将生活方方面面的信息数字化 并通过网络传输出去。然而，人们在享受现代信息技术的同时，频发的网络泄密 事件也引起了人们对个人隐私的普遍担心。多家大型网站都出现了服务器遭受攻 击，用户密码泄露的情况，甚至有些网站的用户信用卡信息也发生了泄露，这让 我们意识到服务提供商在攻击面前也未必可靠。而棱镜事件的曝光更让我们发现 很多大型服务提供商也是不可信的，我们的电子邮件、传输的文档、视频、语音 交流、银行账户等信息都毫无保留地暴露在外。而广泛使用的OpenSSL协议的 漏洞威胁到了各大网站，说明网络信道也充满了危险。信息时代，隐私已经成为 一个非常重要的课题，很好的保护隐私才能保护个人、团体的名誉、财产及安全。

现有常见的加密形式为在客户端主机上安装操作系统内核底层驱动，来查验 和控制对文件的访问。主要流程为：首先，通过设置的文件系统文件访问过滤功 能，得到访问文件的进程号及名字；其次，根据文件访问规则，判断该进程访问 是否合法。

但是，上述技术方案并不是理想的方案，主要有以下原因：

1)任何对操作系统内核层的修改都是非常复杂且极易出错的，尤其是在最 普遍的Windows操作系统上；

2)多平台支持差，因为必须为不同的操作系统提供不同的内核驱动。实际 上，国内常见的几款数据加密软件都只支持Windows客户端；

3)即使同一个客户端平台上，如果操作系统的升级带来了操作系统内核改 动，就有可能导致之前版本的内核驱动无法运行或出现异常，最可怕的是“无察 觉的数据损坏”；

4)一个数据保护软件的所有模块都运行在客户端上，这些软件模块就有可 能被恶意软件或病毒破坏、失效，从而彻底丧失对数据的保护。

为了解决上述结束问题，发明人之前的发明专利(CN109643281A)公开了 一种数据加密和解密的系统和方法。上述专利提供独立于主机以外的数据加密和 解密的系统和方法。上述专利中主机不需要将大量的计算资源转移到数据加密和 解密活动中去；数据加密和解密活动受主机限制较少，不需要在主机上安装重量 级加密和解密软件；用户数据以加密格式存储在主机上，与其他小工具相比，主 机通常配备有更多的存储空间；数据安全性得到增强，因为甚至主机的超级用户 可能也无法访问存储在主机上的数据；数据加密和加密对于访问数据的用户来说 可以是透明的，从而减少用户管理和控制数据安全性所需的努力。但是，上述专 利仍然存在如下技术缺陷：1)其加密和解密系统和设备应用于局域网内，没有 涉及云端部署；2)其数据加密平台是独立于客户端之外的物理机，没有提出用虚拟机实现加密平台；3)上述专利主要涉及数据加解密，即被动防御，对于主 动防御(例如：对加密盘中已解锁的加密数据的保护)并未涉及；4)其数据加 密平台存在部署成本高、主动防御功能弱的缺陷。

因此，为解决上述问题，设计一款能够有效解决在云环境中，尤其是公有云 平台上的数据安全问题，并加强对已解锁的加密数据主动保护的数据加密方法和 加密装置就显的尤为必要。

发明内容