專利名稱:一種實現數據存儲安全性的方法和電子設備的制作方法
技術領域:
本發(fā)明涉及數據安全技術��,特別是指一種實現數據存儲安全性的方法和電子設備���。
背景技術:
電子設備-特別是智能移動終端得到了廣泛的應用�,很多個人隱私數據都會存儲在電子設備內;移動互聯網技術普及之后���,電子設備的安全性顯得尤為重要?����,F有對于電子設備的數據進行安全保護的技術中�����,對數據的加密幾乎都是在應用層實現的?����,F有技術存在如下問題:對數據的加密幾乎都是在應用層實現����,而對于的應用層進行安全性攻擊是一個技術相對簡單且普遍存在的問題�����,因此數據的安全性和完整性得不到保證����。
發(fā)明內容
本發(fā)明要解決的技術問題是提供一種實現數據存儲安全性的方法和電子設備���,用于解決現有技術中,對數據的加密幾乎都是在應用層實現��,無法有效防范網絡攻擊���,數據的安全性和完整性得不到保證的缺陷。為解決上述技術問題����,本發(fā)明的實施例提供一種實現數據存儲安全性的方法,應用于電子設備��,所述電子設備中包括:一內核單元��,是所述電子設備的操作系統的一部分�����,為運行于所述電子設備上的應用程序提供對電子設備硬件的安全訪問����,以及,支持至少一個文件系統驅動模塊運行����;所述文件系統驅動模塊支持以對應的數據組織格式存取數據����;方法包括:檢測到有一文件系統驅動模塊調用數據����;查詢所述調用對應的調用類型;所述調用類型至少包括存放數據和提取數據���,所述存放數據對應一加密操作���,所述提取數據對應一解密操作;根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理�����。所述的方法中�����,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理����,具體包括:在所述加密操作中�����,接收所述應用程序傳輸來的明文數據�����,調用一加密算法�,對所述明文數據進行加密后生成密文數據�����,將所述密文數據存放到所述應用程序對應的存儲單元中����。所述的方法中�����,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理�,具體包括:在所述解密操作中,找到所述應用程序對應的存儲單元��,并調用所述存儲單元中的密文數據��,調用一解密算法,對所述密文數據進行解密后生成明文數據�;通知所述應用程序處理所述明文數據。所述的方法中��,檢測到有一文件系統驅動模塊調用數據��,之前還包括:在所述電子設備上電啟動之后�����,當處于BOOT LOADER階段時���,接收輸入的密鑰���,所述密鑰是所述加密操作的加密密鑰,以及解密操作的解密密鑰����。
所述的方法中,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理���,具體包括:檢測到當前沒有可以使用的密鑰�����,提示需要通過電子設備接口接收來自一 SIM卡的密鑰�。所述的方法中,查詢所述調用對應的調用類型還包括:當查詢調用的數據是系統數據時���,不執(zhí)行后續(xù)步驟�,當查詢調用的數據是應用程序的應用數據時�,執(zhí)行后續(xù)步驟。一種電子設備��,具有一操作系統�����,包括:內核單元��,是所述操作系統的一部分��,為運行于所述電子設備上的應用程序提供對電子設備硬件的安全訪問��,以及��,支持至少一個文件系統驅動模塊運行����;文件系統驅動模塊,用于支持以對應的數據組織格式存取數據�����;檢測單元����,用于檢測到有一文件系統驅動模塊調用數據;查詢所述調用對應的調用類型�����;所述調用類型至少包括存放數據和提取數據����,所述存放數據對應一加密操作,所述提取數據對應一解密操作����;數據安全單元,用于根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理���。所述的電子設備中���,所述數據安全單元包括:加密模塊���,用于在所述加密操作中,接收所述應用程序傳輸來的明文數據���,調用一加密算法���,對所述明文數據進行加密后生成密文數據,將所述密文數據存放到所述應用程序對應的存儲單元中����。所述的電子設備中,所述數據安全單元包括:解密模塊�,用于在所述解密操作中,找到所述應用程序對應的存儲單元����,并調用所述存儲單元中的密文數據����,調用一解密算法,對所述密文數據進行解密后生成明文數據�;通知所述應用程序處理所述明文數據。所述的電子設備中,還包括:BOOT單元���,用于在所述電子設備上電啟動之后�����,當處于BOOT LOADER階段時�����,接收輸入的密鑰�,所述密鑰是所述加密操作的加密密鑰�,以及解密操作的解密密鑰。本發(fā)明的上述技術方案的有益效果如下:在內核支持一文件系統驅動模塊對數據進行調用的過程中���,在內核中實現對數據的加密解密操作���,且這一加密解密操作對于用戶是不可見的,在不影響使用電子設備的其他功能的同時����,提高了數據安全性。
圖1表示一種實現數據存儲安全性的方法流程示意圖���;圖2表示電子設備內部功能邏輯分布示意圖��;圖3表示一種電子設備的內部結構示意圖�。
具體實施例方式為使本發(fā)明要解決的技術問題、技術方案和優(yōu)點更加清楚�,下面將結合附圖及具體實施例進行詳細描述。操作系統(Operating System, OS)是管理電子設備硬件與程序的系統級程序,其管理配置內存���,決定系統資源供需的優(yōu)先次序���,控制輸入與輸出,管理網絡與文件系統����,提供與系統交互的接口等。內核是操作系統的核心部分����,由于直接對硬件操作是非常復雜的,所以內核通常提供一種硬件抽象的方法來完成這些操作����,這種硬件抽象隱藏了硬件操作的復雜性��,為應用程序和硬件之間提供了簡潔統一的接口,使設計應用程序更為簡單�����;內核包括管理存儲器��、文件系統��、外設和系統資源的各個功能部分����,提供硬件抽象層、磁盤及文件系統控制����、多任務并行處理等功能;內核支持運行進程�,并提供進程間的通信,為應用程序提供對計算機硬件的安全訪問��,這種安全訪問是有限訪問�,并且內核決定一個應用程序在什么時候對某個硬件操作多長時間。內核不是完整的操作系統��,一個基于Linux內核的操作系統稱為Linux操作系統或是GNU/Linux����。本發(fā)明實施例提供一種實現數據存儲安全性的方法�����,應用于電子設備��,如圖1所示�,電子設備中包括:一內核單元��,是所述電子設備的操作系統的一部分���,為運行于所述電子設備上的應用程序提供對電子設備硬件的安全訪問��,以及�����,支持至少一個文件系統驅動模塊運行�����;所述文件系統驅動模塊支持以對應的數據組織格式存取數據����;方法包括:步驟101,檢測到有一文件系統驅動模塊調用數據�;步驟102��,查詢所述調用對應的調用類型���;所述調用類型至少包括存放數據和提取數據����,所述存放數據對應一加密操作���,所述提取數據對應一解密操作���;步驟103,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行加密或者解密���。應用所提供的技術方案���,在內核支持一文件系統驅動模塊對數據進行調用的過程中,在內核中實現對數據的加密解密操作����,且這一加密解密操作對于用戶是不可見的�����,在不影響使用電子設備的其他功能的同時��,提高了數據安全性����。電子設備涉及的數據包括:應用數據和系統數據����,應用數據中包括Cache數據,應用程序使用的數據����,以及用戶數據;系統數據是系統程序-例如操作系統使用的數據����,主要記錄了電子設備的各種狀態(tài)參數的值;其中�����,未加密的應用數據稱為明文數據,加密后的應用數據稱為密文數據�。文件系統驅動模塊支持以對應的數據組織格式存取應用數據和系統數據。在一個優(yōu)選實施例中����,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行加密或者解密,具體包括:在所述加密操作中��,接收所述應用程序傳輸來的明文數據����,調用一加密算法�,對所述明文數據進行加密后生成密文數據,將所述密文數據存放到所述應用程序對應的存儲單元中�����。在一個優(yōu)選實施例中���,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行加密或者解密����,具體包括:在所述解密操作中�����,找到所述應用程序對應的存儲單元,并調用所述存儲單元中的密文數據���,調用一解密算法��,對所述密文數據進行解密后生成明文數據��;通知所述應用程序處理所述明文數據����。在一個優(yōu)選實施例中���,查詢所述調用對應的調用類型還包括:當查詢調用的數據是系統數據時����,不執(zhí)行后續(xù)步驟���;當查詢調用的數據是應用程序的應用數據時�����,執(zhí)行后續(xù)步驟����。在電子設備中,存儲單元包括若干個分區(qū)��,其中����,有的分區(qū)存放應用數據,有的分區(qū)存放系統數據�。
當查詢調用的數據是系統數據時,不對系統數據進行加密或者解密�����;當查詢調用的數據是應用程序的應用數據時���,如果是存放應用數據,則進行加密操作����,如果是提取應用數據,則進行解密操作���。在一個優(yōu)選實施例中����,檢測到有一文件系統驅動模塊調用數據,之前還包括:在所述電子設備上電啟動之后�,當處于BOOT LOADER階段時,接收輸入的密鑰�,所述密鑰是加密操作的加密密鑰,以及解密操作的解密密鑰���。在一個優(yōu)選實施例中����,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行加密或者解密�,具體包括:檢測到當前沒有可以使用的密鑰,提示需要通過電子設備接口接收來自一 SM卡的密鑰���。在電子設備中�,如圖2所不�,電子設備內部的用戶區(qū)中運行應用程序,不同的應用程序可能使用到不同的文件系統驅動模塊,例如FAT文件系統���、YAFFS文件系統�����、EXT文件系統和NTFS文件系統等�����。不同的文件系統驅動模塊均處于內核單元中運行��,加密操作或者解密操作也處于內核單元中運行����,即,在內核單元中執(zhí)行加密操作或者解密操作�����,文件系統驅動模塊均支持加密操作或者解密操作��;當應用程序需要存取應用數據時�,會調用處于內核單元中的文件系統驅動模塊���,任何一個文件系統驅動模塊在進行數據存取的過程中���,可以對明文數據執(zhí)行加密操作,或者對密文數據執(zhí)行解密操作�����。在一個應用場景中,電子設備具體是移動終端����,移動終端上電后的工作流程包括:步驟201,移動終端上電���,電源開始向主板和其它器件供電����,由于此時電壓不穩(wěn)定����,主板上的控制芯片組會向CPU發(fā)出并保持一個重置(RESET)信號,讓CPU自動恢復到初始狀態(tài)���,但CPU此刻不會馬上執(zhí)行指令���。步驟202,系統引導加載(BOOT LOADER)首先進行CPU����、內存�、存儲控制器等的關鍵設備初始化操作���。其中����,BOOT LOADER是在操作系統內核運行之前運行的一段小程序�����,這一段小程序可以初始化硬件設備�����、建立內存空間的映射圖��,從而將系統的軟硬件環(huán)境帶到一個合適的狀態(tài)��,以便為最終調用操作系統內核準備好正確的環(huán)境��。步驟203��,系統BOOT LOADER��,初始化顯卡�、顯示屏及觸摸屏設備,此時顯卡都會在屏幕上顯示出一些初始化廠商LOGO�����。并且���,處于這一BOOT LOADER階段時�,顯示一輸入密鑰的界面��,提示用戶輸入密鑰�;移動終端接收輸入的密鑰,所述密鑰是所述加密操作的加密密鑰�,解密操作的解密密鑰。步驟205��,系統BOOT LOADER加載操作系統的內核單元���,準備將移動終端的控制權移交給操作系統�����;具體包括:系統BOOT LOADER更新傳給操作系統內核單元的信息����,包括設備信息、內存大小���、分區(qū)信息等��,這些信息通過參數傳給內核單元�。步驟206�,系統BOOT LOADER的啟動代碼最后將跳轉到內核單元,完成控制權的出讓�,即將控制權移交給操作系統。步驟207���,操作系統初始化一些重要的系統數據����,然后顯示出操作系統的界面�,并繼續(xù)進行圖形用戶界面(GUI)部分的引導和初始化工作。步驟208����,啟動一個或者多個應用程序,查詢所述調用對應的調用類型��,該應用程序的調用類型具體是調用應用數據�。步驟209,在解密操作中��,找到應用程序對應的存儲單元的用戶區(qū)���,并調用用戶區(qū)中的密文數據�,調用一解密算法��,對所述密文數據進行解密后生成明文數據�;其中,所采用的密鑰來自步驟203中在BOOT LOADER階段由用戶輸入的密鑰�����;通知應用程序處理所述明文數據���。步驟210���,執(zhí)行加密操作,在加密操作中�,接收所述應用程序傳輸來的明文數據,調用一加密算法�����,對明文數據進行加密后生成密文數據,存放到存儲單元的用戶區(qū)�����。本發(fā)明實施例提供的技術方案���,不僅可以應用在移動終端�,還可以應用在臺式的電子設備中����,例如計算機等設備中均可以對應用數據進行加密操作或者解密操作,在一個應用場景中����,計算機的工作流程包括:步驟301,電子設備上電��,電源開始向主板和其它設備供電��,由于此時電壓不穩(wěn)定��,主板上的控制芯片組會向CPU發(fā)出并保持一個重置(RESET)信號����,讓CPU自動恢復到初始狀態(tài)�,但CPU此刻不會馬上執(zhí)行指令�。步驟302,系統BIOS的啟動代碼進行上電后自檢(POST)����,POST的主要檢測電子設備中一些如內存和顯卡等的關鍵設備是否存在和正常工作����。步驟303,系統BIOS查找顯卡B10S�,例如存放顯卡BIOS的ROM芯片的起始地址通常設在C0000H處,系統BIOS在這個起始地址找到顯卡BIOS之后就調用它的初始化代碼����,由顯卡BIOS來初始化顯卡,此時顯卡都會在屏幕上顯示出一些初始化信息���,介紹生產廠商���、圖形芯片類型等內容。并且���,處于這一 BIOS階段時���,顯示一輸入密鑰的界面�����,提示用戶輸入密鑰��;電子設備接收輸入的密鑰���,所述密鑰是所述加密操作的加密密鑰,解密操作的解密密鑰���。步驟304�����,系統BIOS檢測和顯示CPU的類型和工作頻率�,直至所有硬件都已經檢測配置完畢�。步驟305,系統BIOS與操作系統的內核單元進行交互����,準備將電子設備的控制權移交給操作系統����;具體包括:系統BIOS 更新擴展系統配置數據(ESQ), Extended System ConfigurationData)��,ES⑶是系統BIOS用來與操作系統交換硬件配置信息的一種手段����,這些數據被存放在CMOS之中。步驟306�,系統BIOS的啟動代碼將進行最后一項工作���,即根據指定的啟動順序從USB�����、硬盤或光驅啟動�。步驟307�,操作系統首先初始化一些重要的系統數據,然后顯示出操作系統的界面����,并繼續(xù)進行圖形用戶界面(GUI)部分的引導和初始化工作。步驟308��,啟動一個或者多個應用程序,查詢所述調用對應的調用類型���,該應用程序的調用類型具體是調用應用數據����。步驟309�����,在解密操作中�����,找到應用程序對應的存儲單元的用戶區(qū)�,并調用用戶區(qū)中的密文數據,調用一解密算法�,對密文數據進行解密后生成明文數據;其中���,所采用的密鑰來自步驟303中在BIOS階段由用戶輸入的密鑰����;通知應用程序處理明文數據����。步驟310�����,執(zhí)行加密操作���,在加密操作中,接收應用程序傳輸來的明文數據��,調用一加密算法��,對明文數據進行加密后生成密文數據�,存放到存儲單元的用戶區(qū)��。本發(fā)明實施例提供一種電子設備�����,如圖3所示�,具有一操作系統,包括:內核單元01�,是所述操作系統的一部分,為運行于所述電子設備上的應用程序提供對電子設備硬件的安全訪問��,以及,支持至少一個文件系統驅動模塊02運行��;文件系統驅動模塊02�����,在所述內核單元01中運行�,用于支持所述應用程序的數據以對應的數據組織格式進行存取��;檢測單元03��,用于檢測到有一文件系統驅動模塊02調用數據����;查詢所述調用對應的調用類型;所述調用類型至少包括存放數據和提取數據����,所述存放數據對應一加密操作,所述提取數據對應一解密操作��;數據安全單元04���,在所述內核單元01中運行�,用于根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊02當前調用的數據進行處理。在一個優(yōu)選實施例中����,電子設備中的數據安全單元04包括:加密模塊041,用于在所述加密操作中���,接收所述應用程序傳輸來的明文數據�,調用一加密算法�,對所述明文數據進行加密后生成密文數據,將所述密文數據存放到所述應用程序對應的存儲單元05中���。在一個優(yōu)選實施例中����,數據安全單元04包括:解密模塊042����,用于在所述解密操作中�,找到所述應用程序對應的存儲單元05,并調用所述存儲單元05中的密文數據�,調用一解密算法,對所述密文數據進行解密后生成明文數據;通知所述應用程序處理所述明文數據��。BOOT單元�����,用于在所述電子設備上電啟動之后�,當處于BOOT LOADER階段時,接收輸入的密鑰��,所述密鑰是所述加密操作的加密密鑰�����,以及解密操作的解密密鑰�����。采用本方案之后的優(yōu)勢是:對電子設備涉及的數據的加解密均在內核中實現����,力口解密操作對于用戶是不可見的,所有的讀寫數據均由內核中的加解密過濾驅動完成��,并且該技術可選的加密應用數據�,對于系統數據不進行加解密,在不影響用戶使用電子設備的其他體驗的同時,提高了數據安全性�����。以上所述是本發(fā)明的優(yōu)選實施方式�����,應當指出����,對于本技術領域的普通技術人員來說,在不脫離本發(fā)明所述原理的前提下�����,還可以作出若干改進和潤飾�,這些改進和潤飾也應視為本發(fā)明的保護范圍。
權利要求
1.一種實現數據存儲安全性的方法��,應用于電子設備�����,其特征在于���,所述電子設備中包括: 一內核單元��,是所述電子設備的操作系統的一部分�����,為運行于所述電子設備上的應用程序提供對電子設備硬件的安全訪問�����, 以及���,支持至少一個文件系統驅動模塊運行;所述文件系統驅動模塊支持以對應的數據組織格式存取數據���; 方法包括: 檢測到有一文件系統驅動模塊調用數據��; 查詢所述調用對應的調用類型����;所述調用類型至少包括存放數據和提取數據���,所述存放數據對應一加密操作�����,所述提取數據對應一解密操作�; 根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理。
2.根據權利要求1所述的方法�����,其特征在于�,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理,具體包括: 在所述加密操作中�,接收所述應用程序傳輸來的明文數據, 調用一加密算法��,對所述明文數據進行加密后生成密文數據����, 將所述密文數據存放到所述應用程序對應的存儲單元中。
3.根據權利要求1所述的方法��,其特征在于���,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理��,具體包括: 在所述解密操作中�,找到所述應用程序對應的存儲單元,并調用所述存儲單元中的密文數據�����, 調用一解密算法��,對所述密文數據進行解密后生成明文數據����; 通知所述應用程序處理所述明文數據��。
4.根據權利要求1所述的方法�,其特征在于,檢測到有一文件系統驅動模塊調用數據�����,之前還包括: 在所述電子設備上電啟動之后����,當處于BOOT LOADER階段時,接收輸入的密鑰��,所述密鑰是所述加密操作的加密密鑰����,以及解密操作的解密密鑰����。
5.根據權利要求1所述的方法��,其特征在于�,根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理,具體包括: 檢測到當前沒有可以使用的密鑰��, 提示需要通過電子設備接口接收來自一 SM卡的密鑰�。
6.根據權利要求1所述的方法,其特征在于����,查詢所述調用對應的調用類型還包括: 當查詢調用的數據是系統數據時,不執(zhí)行后續(xù)步驟�����, 當查詢調用的數據是應用程序的應用數據時�,執(zhí)行后續(xù)步驟。
7.一種電子設備��,其特征在于,具有一操作系統���,包括: 內核單元����,是所述操作系統的一部分�,為運行于所述電子設備上的應用程序提供對電子設備硬件的安全訪問��,以及���,支持至少一個文件系統驅動模塊運行�; 文件系統驅動模塊�,用于支持以對應的數據組織格式存取數據; 檢測單元�,用于檢測到有一文件系統驅動模塊調用數據; 查詢所述調用對應的調用類型�����;所述調用類型至少包括存放數據和提取數據��,所述存放數據對應一加密操作����,所述提取數據對應一解密操作����; 數據安全單元�����,用于根據所述調用類型對應的加密操作或者解密操作對所述文件系統驅動模塊當前調用的數據進行處理���。
8.根據權利要求7所述的電子設備�,其特征在于��,所述數據安全單元包括: 加密模塊��,用于在所述加密操作中��,接收所述應用程序傳輸來的明文數據�, 調用一加密算法,對所述明文數據進行加密后生成密文數據�, 將所述密文數據存放到所述應用程序對應的存儲單元中。
9.根據權利要求7所述的電子設備�,其特征在于,所述數據安全單元包括: 解密模塊�,用于在所述解密操作中,找到所述應用程序對應的存儲單元,并調用所述存儲單元中的密文數據�, 調用一解密算法,對所述密文數據進行解密后生成明文數據����; 通知所述應用程序處理所述明文數據。
10.根據權利要求7所述的電子設備���,其特征在于�,還包括: BOOT單元���,用于在所述電子設備上電啟動之后,當處于BOOT LOADER階段時�,接收輸入的密鑰,所述密鑰是所述加密 操作的加密密鑰���,以及解密操作的解密密鑰���。
全文摘要
本發(fā)明實施例提供一種實現數據存儲安全性的方法和電子設備,方法應用于電子設備����,電子設備中包括內核單元,為運行于電子設備上的應用程序提供對電子設備硬件的安全訪問,支持文件系統驅動模塊�����;文件系統驅動模塊支持存取數據�����;檢測到有一文件系統驅動模塊調用數據��;查詢調用對應的調用類型�;調用類型中,存放數據對應一加密操作�����,提取數據對應一解密操作���;根據調用類型對應的加密操作或者解密操作對文件系統驅動模塊當前調用的數據進行處理�。在內核支持一文件系統驅動模塊對數據進行調用的過程中���,在內核中實現對數據的加密解密操作�����,且這一加密解密操作對于用戶是不可見的�,在不影響使用電子設備的其他功能的同時,提高了數據安全性�。
文檔編號G06F21/62GK103164659SQ20111041516
公開日2013年6月19日 申請日期2011年12月13日 優(yōu)先權日2011年12月13日
發(fā)明者宋祎斐, 彭紹平, 楊建起 申請人:聯想(北京)有限公司