一种操作分系统的隐藏方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种操作分系统的隐藏方法、装置、设备及介质。

背景技术

操作系统是计算机系统中的一种软件。是具有特定功能的程序模块的集合，能有效管理软硬件资源，合理组织工作流程，向用户提供服务，使用户方便地使用计算机，使整个计算机系统能高效运行。一个计算机可以同时安装多个操作系统或分系统，他们之前可以有主次也可以没有主次之分，有默认启动系统，用户可以根据自己需要设置默认启动的操作系统。目前的分系统作为操作系统中一个分区，任何文件对操作系统都是可见的；由于分系统的可见性，导致分系统的安全性比较差，不能使分系统的需要操作的工作进行有效保密。

发明内容

有鉴于此，本发明提供了操作分系统的隐藏方法，可以实现分系统的可隐藏，不可访问，高安全性，以解决现有技术中的分系统的安全性比较差，不能使分系统的需要操作的工作进行有效保密的缺点。

本发明提供了一种操作分系统的隐藏方法，所述方法涉及辅助认证设备Ukey和安全ssd固件，所述方法包括：

在操作系统A中安装驱动程序safeA，所述驱动程序safeA用于与辅助认证设备Ukey以及安全ssd固件进行交互；

在操作系统A中通过预装的UI界面程序SafeC创建一个加密分区，在创建加密分区时生成第一密钥，当辅助认证设备Ukey插入计算机设备时，通过驱动程序safeA及第一密钥对辅助认证设备Ukey与安全ssd固件间进行安全验证，验证通过后对安全ssd固件中存储的数据进行存取；

在加密分区处于解密状态时，在加密分区内安装一个分系统B，分系统B安装完成后拔出辅助认证设备Ukey，驱动程序safeA从引导加载程序中将分系统相关的引导文件、配置文件以及其他关键信息，复制到引导加载程序中引导文件所在位置；

辅助认证设备Ukey拔出时，分系统B所在分区自动隐藏，驱动程序safeA删除分系统B对应的引导文件及其他分系统启动所需的关键信息，计算机启动时自动进入默认的操作系统A；

辅助认证设备Ukey插入后，驱动程序safeA自动解锁加密分区，并显示加密分区，驱动程序safeA自动将加密分区中的系统B的引导文件、配置文件以及其他关键信息，复制到引导加载程序中引导文件所在位置；

辅助认证设备Ukey存在时，重启计算机后，在启动时，引导加载程序启动系统引导界面出现系统A和系统B两个系统，用户根据需要选择进入的系统；

用户选择进入分系统B并进行分系统B相关的操作，基于预设操作结束触发条件，通过分系统B中预装好的程序safeB删除当前系统B的引导文件、配置文件以及其他关键信息，拔出辅助认证设备Ukey将并重启电脑，分系统B自动隐藏不可见。

本实施例提供的操作分系统的隐藏方法，通过插拔Ukey即可实现加密分区显示及隐藏，使用简单方便，通过驱动程序safeA、Ukey与安全SSD固件交互，实现自动识别，自动显示分系统，当Ukey不存在时，分系统不可见，安全性高。

在一种可选的实施方式中，所述通过驱动程序safeA及第一密钥对辅助认证设备Ukey与安全ssd固件间进行安全验证，验证通过后对安全ssd固件中存储的数据进行存取的过程，包括：

当辅助认证设备Ukey插入计算机设备时，所述驱动程序safeA向辅助认证设备Ukey请求验证身份；

辅助认证设备Ukey向安全ssd固件发送验证请求，安全ssd固件根据预设挑战算法计算挑战值，并将挑战值发送到辅助认证设备Ukey，辅助认证设备Ukey根据基于所述挑战值及预设挑战算法计算得到响应值；

辅助认证设备Ukey根据密钥验证信息通过第一预设算法计算出第一密钥值，并发送所述响应值、第一密钥值到安全ssd固件；

安全ssd固件基于接收的响应值和第一密钥值，根据预设挑战算法及挑战值计算出第一验证值，根据第一预设算法计算出第二验证值；将第一验证值与响应值对比，第二验证值与之前保存的密钥验证信息对比，当两者对比结果都一致时，对安全ssd固件中存储的数据进行存取。

本发明实施例通过当辅助认证设备Ukey插入计算机设备时，在辅助认证设备Ukey与安全ssd固件进行数据交互时采用多种相应的算法进行安全验证，保证了操作的安全性。

在一种可选的实施方式中，还包括：辅助认证设备Ukey与安全ssd固件之间进行数据传输时，利用第二预设算法对两者之间的通信数据进行加解密。

在一种可选的实施方式中，所述第一预设算法和第二预设算法相同或不同，包括：逻辑计算、随机数计算、加密计算、解密计算、签名计算、验签计算、哈希计算、哈希计算消息认证码HMAC计算、密钥派生计算中的一种或几种算法的组合。

在一种可选的实施方式中，所述安全ssd固件根据预设挑战算法计算挑战值的过程，包括：安全ssd固件利用随机数生成器产生的随机数，或利用不可复制功能技术生成的任意信息值。

本发明实施例辅助认证设备Ukey与安全ssd固件之间进行数据传输时，将每个进行交互的数据均通过加解密的过程，进一步提高了数据的安全性。

在一种可选的实施方式中，所述安全ssd固件为支持国密SM4算法的硬件级加解密模块芯片。

本发明实施例中的安全ssd固件为支持国密SM4算法的硬件级加解密模块芯片，安全级别高。

在一种可选的实施方式中，所述引导加载程序包括：Windows系统的引导管理器、Linux系统的GRUB或LILO。

本发明实施例根据具体操作系统的不同进行适应性的选择引导加载程序。

在一种可选的实施方式中，辅助认证设备Ukey与安全ssd固件间进行安全验证不通过时，则对安全ssd固件中的数据不解密，加密分区不显示。

本发明实施例只有当辅助认证设备Ukey与安全ssd固件间进行安全验证通过时，才能读取安全ssd固件中的数据，对加密分区进行显示，保证了加密分区的安全性。

在一种可选的实施方式中，所述预设操作结束触发条件，包括：触发操作结束指示按钮或辅助认证设备Ukey被拔出。

本发明实施例通设置不同的操作结束触发条件，可以使电脑及时识别当前用户退出分系统，保证分系统的数据操作的安全性。

在一种可选的实施方式中，所述拔出辅助认证设备Ukey将并重启电脑，分系统B自动隐藏不可见的步骤之后，还包括：

若下次启动分系统B，通过插入辅助认证设备Ukey并使用程序safeB设置系统B的引导相关设置后，重复所述通过驱动程序safeA及第一密钥对辅助认证设备Ukey与安全ssd固件间进行安全验证，验证通过后对安全ssd固件中存储的数据进行存取的过程。

本发明实施例在每次用户想进入加密分区的分系统时，均需要进行安全验证的过程，保证了加密分区数据的安全性。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的操作分系统的隐藏方法的一示例的流程示意图；

图2是本发明实施例提供的辅助认证设备Ukey与安全ssd固件间进行安全验证过程的流程示意图；

图3是根据本发明实施例的操作分系统的隐藏方法的另一示例的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本实施例中提供了一种操作分系统的隐藏方法，由基于智能密码钥匙的辅助认证设备(简称Ukey)、安全ssd固件、驱动程序safeA及UI界面程序SafeC，UI界面程序SafeC用于与用户交互的程序，比如首次开启加密分区、关闭加密分区，重置密钥等等，驱动程序SafeA的运行由操作系统触发；Ukey可以通过驱动程序safeA将分区所在系统隐藏及显示，插入Ukey后，驱动程序safeA、安全ssd固件与Ukey进行数据交互进行安全验证，验证通过后，由驱动程序SafeA自动完成解密加密分区，并显示加密分区，将其中的分系统引导文件及分系统所在分区信息及启动文件路径配置到引导管理器的配置项中，重启电脑，就可以看到分系统选择界面，从而进入分系统。

图1是根据本发明实施例的操作分系统的隐藏方法的流程图，如图1所示，该流程包括如下步骤：

步骤S1，在操作系统A中安装驱动程序safeA，所述驱动程序safeA用于与辅助认证设备Ukey以及安全ssd固件进行交互。

本发明实施例中的安全ssd(Solid State Disk或Solid State Drive，固态硬盘)固件为支持国密SM4算法的硬件级加解密模块芯片，安全级别高；辅助认证设备Ukey为类似于U盘的智能密码钥匙，仅作为示例，不以此为限。

步骤S2，在操作系统A中通过预装的UI界面程序SafeC创建一个加密分区，在创建加密分区时生成第一密钥，当辅助认证设备Ukey插入计算机设备时，通过驱动程序safeA及第一密钥对辅助认证设备Ukey与安全ssd固件间进行安全验证，验证通过后对安全ssd固件中存储的数据进行存取。

本发明实施例中的第一密钥即安全SSD固件进行加解密的密钥，可以由安全SSD固件等存储设备生成，或可以由Ukey认证设备生产，也可由其他第三方密钥管理设备生成，在此不做具体限定。

步骤S3，在加密分区处于解密状态时，在加密分区内安装一个分系统B，分系统B安装完成后拔出辅助认证设备Ukey，驱动程序safeA从引导加载程序中将分系统相关的引导文件、配置文件以及其他关键信息，复制到引导加载程序中引导文件所在位置。

本发明实施例中驱动程序safeA从引导管理器(Windows Boot Manager或UEFI分区)或GRUB(Linux通常用GRand Unified Bootloader)或LILO(Linux Loader)中将系统引导文件及启动配置文件以及分系统所在分区信息等分系统相关的关键信息存储到安全加密分区中。实际应用中，根据具体操作系统的不同进行适应性的选择引导加载程序。

步骤S4，辅助认证设备Ukey拔出时，分系统B所在分区自动隐藏，safeA删除分系统B对应的引导文件及其他分系统启动所需的关键信息，计算机启动时自动进入默认的操作系统A。

实际应用中，在正常情况下系统的引导文件、启动配置文件及分系统所在分区等信息是存放在引导加载程序中，只有把这些信息从默认位置移除后，系统才会无法引导分系统B。

步骤S5，辅助认证设备Ukey插入后，驱动程序safeA自动解锁加密分区，并显示加密分区，驱动程序safeA自动将加密分区中的系统B的引导文件、配置文件以及其他关键信息，复制到引导加载程序中引导文件所在位置。

本发明实施例中，当Ukey通过usb-c、usb等接口插入到计算机设备后，基于之前的创建加密分区及安全验证的过程，驱动程序safeA自动解锁加密分区，并显示加密分区。

步骤S6，辅助认证设备Ukey存在时，重启计算机后，在启动时，引导加载程序启动系统引导界面出现系统A和系统B两个系统，用户根据需要选择进入的系统；

步骤S7，用户选择进入分系统B并进行分系统B相关的操作，基于预设操作结束触发条件，通过分系统B中预装好的程序safeB删除当前系统B的引导文件、配置文件以及其他关键信息，拔出辅助认证设备Ukey将并重启电脑，分系统B自动隐藏不可见。

本发明实施例中其他关键信息包括分区信息及启动文件路径等。预设操作结束触发条件，包括：触发操作结束指示按钮或辅助认证设备Ukey被拔出，其触发操作结束指示按钮可以是在操作界面上设置一关闭按钮，用于用户在系统B中进行相应的操作结束后点击该关闭按钮表示要退出系统B。

本发明实施例提供的操作分系统的隐藏方法，通过插拔Ukey即可实现加密分区显示及隐藏，使用简单方便，通过驱动程序safeA、Ukey与安全SSD固件交互，实现自动识别，自动显示分系统，当Ukey不存在时，分系统不可见，安全性高。

在一具体实施例中，如图2所示，步骤S2中通过驱动程序safeA及第一密钥对辅助认证设备Ukey与安全ssd固件间进行安全验证，验证通过后对安全ssd固件中存储的数据进行存取的过程，包括：

步骤S21：当辅助认证设备Ukey插入计算机设备时，所述驱动程序safeA向辅助认证设备Ukey请求验证身份；

步骤S22：辅助认证设备Ukey向安全ssd固件发送验证请求，安全ssd固件根据预设挑战算法计算挑战值，并将挑战值发送到辅助认证设备Ukey，辅助认证设备Ukey根据基于所述挑战值及预设挑战算法计算得到响应值；

步骤S23：辅助认证设备Ukey根据密钥验证信息通过第一预设算法计算出第一密钥值，并发送所述响应值、第一密钥值到安全ssd固件；

步骤S24：安全ssd固件基于接收的响应值和第一密钥值，根据预设挑战算法及挑战值计算出第一验证值，根据第一预设算法计算出第二验证值；将第一验证值与响应值对比，第二验证值与之前保存的密钥验证信息对比，当两者对比结果都一致时，对安全ssd固件中存储的数据进行存取。如果任一个对比不通过，则对安全SSD固件中数据不解密，加密分区不显示。

在一实施例中，辅助认证设备Ukey与安全ssd固件之间进行数据传输时，利用第二预设算法对两者之间的通信数据进行加解密。本发明实施例中的第一预设算法和第二预设算法相同或不同，包括：逻辑计算、随机数计算、加密计算、解密计算、签名计算、验签计算、哈希计算、哈希计算消息认证码HMAC计算、密钥派生计算中的一种或几种算法的组合，即根据需求采用上述算法中的一种或多种组合。

在一实施例中安全ssd固件根据预设挑战算法计算挑战值的过程，包括：安全ssd固件利用随机数生成器产生的随机数，或利用不可复制功能(PUF)技术生成的任意信息值，仅作为示例，不以此为限。

本发明实施例通过当辅助认证设备Ukey插入计算机设备时，在辅助认证设备Ukey与安全ssd固件进行数据交互时采用多种相应的算法进行安全验证，保证了操作的安全性。且在辅助认证设备Ukey与安全ssd固件之间进行数据传输时，将每个进行交互的数据均通过加解密的过程，进一步提高了数据的安全性。

在一个可选的实施例中，如图3所示，上述操作分系统的隐藏方法的还包括：

步骤S8，若下次启动分系统B，通过插入辅助认证设备Ukey并使用程序safeB设置系统B的引导相关设置后，重复所述通过驱动程序safeA及第一密钥对辅助认证设备Ukey与安全ssd固件间进行安全验证，验证通过后对安全ssd固件中存储的数据进行存取的过程。

本发明实施例在每次用户想进入加密分区的分系统时，均需要进行安全验证的过程，保证了加密分区数据的安全性。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。