[发明专利]一种基于Linux操作系统的用户数据加密隔离方法及系统

权利要求书

1.一种基于Linux操作系统的用户数据加密隔离方法，其特征在于，所述方法包括步骤：

判断用户是否登录；

若是，判断所述用户是否首次登陆；

若是，创建与所述用户对应且唯一的用户数据镜像文件并挂载至用户主目录下；

若否，搜寻与所述用户对应且唯一的所述用户数据镜像文件并挂载至所述用户主目录下；

若否，搜寻并卸载所述用户主目录下与所述用户对应且唯一的所述用户数据镜像文件。

2.根据权利要求1所述的基于Linux操作系统的用户数据加密隔离方法，其特征在于，所述判断用户是否登录包括步骤：

获取所述用户于Linux操作系统中的操作动作；

所述Linux操作系统中的PAM模块判断所述操作动作是否与预设登录动作相同；

若是，判断所述用户登录所述Linux操作系统；

若否，判断所述用户登出所述Linux操作系统。

3.根据权利要求1所述的基于Linux操作系统的用户数据加密隔离方法，其特征在于，所述判断所述用户是否首次登陆包括步骤：

获取所述用户于Linux操作系统中输入的同户名；

所述Linux操作系统中的PAM模块判断所述Linux操作系统中是否预存储有所述同户名；

若是，判断所述用户非首次登陆所述Linux操作系统；

若否，判断所述用户首次登陆所述Linux操作系统。

4.根据权利要求1所述的基于Linux操作系统的用户数据加密隔离方法，其特征在于，所述创建与所述用户对应且唯一的用户数据镜像文件并挂载至用户主目录下包括步骤：

获取所述用户于Linux操作系统中输入的同户名；

所述Linux操作系统中的PAM模块创建与所述用户名对应且唯一的用户数据镜像文件和用户数据密钥；

将所述用户数据镜像文件挂载至空闲Loop设备上；

将所述用户数据密钥存放至TPM芯片上；

从所述TPM芯片上读取所述用户数据密钥；

使用所述用户数据密钥对所述Loop设备进行LUKS加密；

使用所述用户数据密钥对所述Loop设备上的所述用户数据镜像文件解密；

将所述用户数据镜像文件挂载至用户主目录下。

5.根据权利要求1所述的基于Linux操作系统的用户数据加密隔离方法，其特征在于，所述搜寻与所述用户对应且唯一的所述用户数据镜像文件并挂载至所述用户主目录下包括步骤：

获取所述用户于Linux操作系统中输入的同户名；

所述Linux操作系统中的PAM模块搜寻与所述用户名对应且唯一的用户数据镜像文件；

将所述用户数据镜像文件挂载至空闲Loop设备上；

从TPM芯片上读取用户数据密钥；

使用所述用户数据密钥对所述Loop设备上的所述用户数据镜像文件解密；

将所述用户数据镜像文件挂载至用户主目录下。

6.根据权利要求1所述的基于Linux操作系统的用户数据加密隔离方法，其特征在于，所述搜寻并卸载所述用户主目录下与所述用户对应且唯一的所述用户数据镜像文件包括步骤：

获取所述用户于Linux操作系统中输入的同户名；

所述Linux操作系统中的PAM模块搜寻用户主目录下与所述用户名对应且唯一的用户数据镜像文件；

卸载所述用户主目录下与所述用户对应且唯一的所述用户数据镜像文件；

从TPM芯片上读取用户数据密钥；

使用所述用户数据密钥对所述Loop设备上的所述用户数据镜像文件加密。

7.一种基于Linux操作系统的用户数据加密隔离系统，其特征在于，所述系统包括：

判断模块，用于判断用户是否登录，以及判断所述用户是否首次登陆；

执行模块，用于根据所述判断模块的判断结果执行预设操作；

其中，当判断用户登录Linux操作系统和判断所述用户首次登陆所述Linu操作系统均为是时，所述执行模块创建与所述用户对应且唯一的用户数据镜像文件并挂载至用户主目录下；

当判断用户登录Linux操作系统为是且判断所述用户首次登陆所述Linux操作系统为否时，所述执行模块搜寻与所述用户对应且唯一的所述用户数据镜像文件并挂载至所述用户主目录下；

当判断用户登录Linux操作系统为否时，所述执行模块搜寻并卸载所述用户主目录下与所述用户对应且唯一的所述用户数据镜像文件。