密钥保护实现方法、装置及电子设备

技术领域

本申请主要涉及数据保护应用领域，更具体地说是涉及一种密钥保护实现方法、装置及电子设备。

背景技术

电子设备通常会利用安装的如BitLocker数据保护应用，来实现对电子设备的操作系统和用户数据等重要数据的加密保护。其中，BitLocker可以通过加密整个驱动器卷上存储的所有数据，来更好地保护电子设备的重要数据，而该BitLocker的加密密钥Key，通常是存储在电子设备的硬盘或USB闪存设备中，以便在后续访问BitLocker加密数据的磁盘时，可以查看所存储的加密密钥Key。

然而，在电子设备的硬件变更或更新系统配置数据等场景下，因电子设备的操作系统无法运行，导致无法执行对硬盘的读取操作，也就无法查看该硬盘所存储的加密密钥Key；而对于使用USB闪存设备存储加密密钥Key的方案，因USB闪存设备的存储内容很容易丢失，无法保证BitLocker的加密密钥Key的存储安全性。

发明内容

有鉴于此，本申请提供了以下技术方案：

一方面，本申请提出了一种密钥保护实现方法，所述方法包括：

第一控制器获取密钥信息，其中，所述密钥信息是在电子设备的操作系统运行期间，第二控制器响应针对所述电子设备的磁盘加密启动请求，触发数据保护应用运行而得到的；所述第一控制器用于在对所述电子设备进行系统上电自检通过的情况下，引导所述操作系统启动运行；

将所述密钥信息发送至所述第一控制器的第一存储空间进行存储。

在一些实施例中，所述密钥信息的得到过程包括：

所述第二控制器响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，生成磁盘加密密钥，并输出密钥安全存储提示信息；其中，所述密钥安全存储提示信息用于提醒用户是否将所述磁盘加密密钥存储至第一控制器的第一存储空间；

所述第二控制器响应于对所述密钥安全存储提示信息的确认操作，获得包含所述磁盘加密密钥的密钥信息。

在一些实施例中，所述方法还包括：

响应于对所述电子设备的系统配置操作，输出系统配置页面；其中，所述系统配置页面包含有针对磁盘加密密钥的密钥查询项；

响应于对所述密钥查询项展示的目标密钥标识的确认查询操作，生成针对所述目标密钥标识的目标密钥查询事件；

执行所述目标密钥查询事件，获取所述第一存储空间中与所述目标密钥标识关联的目标磁盘加密密钥；

输出所述目标磁盘加密密钥。

在一些实施例中，所述获得包含所述磁盘加密密钥的密钥信息，包括：

所述第二控制器输出针对所述磁盘加密密钥的查询加密界面；

所述第二控制器响应于对所述查询加密界面的输入操作，得到所述磁盘加密密钥的密钥标识及解密认证信息；

所述第二控制器利用所述解密认证信息对所述磁盘加密密钥进行加密处理，由加密后的磁盘加密密钥、所述密钥标识及所述解密认证信息构成密钥信息。

在一些实施例中，所述执行所述目标密钥查询事件，获取所述第一存储空间中与所述目标密钥标识关联的目标磁盘加密密钥，包括：

执行所述目标密钥查询事件，获取针对所述目标密钥标识的待认证信息以及目标解密认证信息；

对所述待认证信息与所述目标解密认证信息进行匹配对比；

若所述待认证信息与所述目标解密认证信息匹配，获取所述第一存储空间中由所述目标认证信息加密的目标磁盘加密密钥。

在一些实施例中，所述响应于对所述密钥查询项展示的目标密钥标识的确认查询操作，生成针对所述目标密钥标识的目标密钥查询事件，包括：

响应于对所述密钥查询项的触发操作，输出密钥查询页面，其中，所述密钥查询页面包含有在所述第一存储空间存储的各磁盘加密密钥对应的密钥标识；

响应于对所述密钥查询页面的密钥标识选择操作，确定待查询磁盘加密密钥的目标密钥标识，生成包含所述目标密钥标识的目标密钥查询事件。

在一些实施例中，所述执行所述目标密钥查询事件，获取针对所述目标密钥标识的待认证信息以及目标解密认证信息，包括：

执行所述目标密钥查询事件，读取所述第一存储空间中与所述目标密钥标识关联的目标解密认证信息，并输出密钥查询认证页面；

响应于对所述密钥查询认证页面的输入操作，得到针对目标密钥标识的待认证信息。

又一方面，本申请还提出了一种密钥保护实现装置，所述装置包括位于第一控制器中的以下模块，所述第一控制器用于在对电子设备进行系统上电自检通过的情况下，引导所述电子设备的操作系统启动运行：

密钥信息获取模块，用于获取密钥信息，其中，所述密钥信息是在电子设备的操作系统运行期间，第二控制器响应针对所述电子设备的磁盘加密启动请求，启动数据保护应用而得到的；

密钥信息传输模块，用于将所述密钥信息发送至所述第一控制器的第一存储空间进行存储。

在一些实施例中，所述装置还包括位于所述第二控制器中的以下模块：

密钥生成模块，用于响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，生成磁盘加密密钥；

密钥存储提示模块，用于输出密钥安全存储提示信息；其中，所述密钥安全存储提示信息用于提醒用户是否将所述磁盘加密密钥存储至第一控制器的第一存储空间；

密钥信息获得模块，用于响应于对所述密钥安全存储提示信息的确认操作，获得包含所述磁盘加密密钥的密钥信息。

又一方面，本申请还提出了一种电子设备，所述电子设备包括：

主板；

设置于所述主板中的第一控制器和第二控制器，所述第一控制器用于在对所述电子设备进行系统上电自检通过的情况下，引导所述电子设备的操作系统启动运行；

所述第二控制器，用于在电子设备的操作系统运行期间，响应针对所述电子设备的磁盘加密启动请求，触发数据保护应用运行，得到相应的密钥信息；

所述第一控制器，用于获取所述密钥信息，将所述密钥信息发送至第一存储空间进行存储。

由此可见，本申请提供了一种密钥保护实现方法、装置及电子设备，在电子设备操作系统运行期间，为了实现对电子设备数据的加密保护，在启动电子设备的数据保护应用，得到用于对电子设备数据进行加密处理的密钥信息后，本申请实施例是将该密钥信息发送至第一控制器的第一存储空间进行存储，由于该第一控制器属于电子设备内的组件，不会像USB闪存设备一样因丢失而造成密钥信息的丢失；且由于该第一控制器是在对电子设备进行系统上电自检通过的情况下，引导操作系统启动运行的控制器，提高了密钥信息存储安全性，且便于在操作启动前查看所存储的密钥信息，解决了硬盘存储密钥信息应用中，无法在操作系统正常启动查看所存储的密钥信息，进而导致用户无法正确输入密钥信息，进一步查看磁盘数据的技术问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请提出的密钥保护实现方法的一可选示例的信令流程示意图；

图2为本申请提出的密钥保护实现方法的又一可选示例的信令流程示意图；

图3为本申请提出的密钥保护实现方法的又一可选示例的信令流程示意图；

图4为本申请提出的密钥保护实现装置的一可选示例的结构示意图；

图5为本申请提出的密钥保护实现装置的又一可选示例的结构示意图；

图6为本申请提出的密钥保护实现装置的又一可选示例的结构示意图；

图7为适用于本申请提出的密钥保护实现方法和装置的电子设备的一可选示例的硬件结构示意图。

具体实施方式

针对背景技术部分描述的技术问题，在电子设备使用BitLocker数据保护应用的情况下，对于该BitLocker针对本电子设备生成的加密密钥Key，希望存储在本电子设备中，以解决存储至如USB闪存设备等移动存储设备中，容易丢失的问题；同时，本申请为了解决直接将该加密密钥Key写入硬盘存储，在本电子设备的操作系统未运行之前，因无法读取硬盘上的数据，导致无法查询硬盘所存储的加密密钥Key的技术问题，本申请进一步提出将该加密密钥Key存储至不用启动操作系统也能够进行数据读写操作的存储空间内。

基于上述考虑，结合电子设备的各配置组件的应用情况，提出利用在电子设备的操作系统启动之前，先进入运行状态的第一控制器，将BitLocker生成的加密密钥Key存储至其预设的第一存储空间，如将该加密密钥Key写入BIOS(Basic Input Output System，基本输入输出系统)SPI(Service Provider Interface，服务提供商接口，如满足某服务标准的应用程序接口，本申请中可以是BIOS芯片的一种接口类型，但并不局限于这种接口类型)ROM的第一存储空间进行存储。结合BIOS的工作原理可知，本申请这种密钥存储方式解决了上述移动存储设备或硬盘存储加密密钥Key所存在的技术问题。

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

应当理解，本申请中使用的“系统”、“装置”、“单元”和/或“模块”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而，如果其他词语可实现相同的目的，则可通过其他表达来替换该词语。

如本申请和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其它的步骤或元素。由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

其中，在本申请实施例的描述中，除非另有说明，“/”表示或的意思，例如，A/B可以表示A或B；本文中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，在本申请实施例的描述中，“多个”是指两个或多于两个。以下术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。

参照图1，为本申请提出的密钥保护实现方法的一可选示例的信令流程示意图，该方法可以应用于电子设备，该电子设备可以包括但并不局限于：平板电脑、个人计算机(personal computer，PC)、上网本、机器人、台式计算机等，本申请对该计算机设备的产品类型不做限制，可视情况而定。在本申请实施例中，该电子设备具有第一控制器和第二控制器，该第一控制器用于在对电子设备进行系统上电自检通过的情况下，引导操作系统启动运行，如上述BIOS芯片等。

如图1所示，本申请实施例提出的密钥保护实现方法可以包括：

步骤S11，第二控制器响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，得到密钥信息；

在本实施例的实际应用中，电子设备的操作系统运行期间，如用户正常使用电子设备过程中，希望对电子设备存储的重要数据(如操作系统数据、用户数据等)进行加密保护，不被外人轻易查看，可以触发该电子设备安装的数据保护应用运行，如启用电子设备的BitLocker驱动器加密服务。

具体的，可以按照预设的启动方式，对电子设备的进行磁盘加密启动操作，以生成相应的磁盘加密启动请求，由电子设备响应该磁盘加密启动请求，启用BitLocker驱动器加密服务，得到相应的密钥信息，即针对请求加密保护磁盘的访问操作的访问密钥，与此同时，该数据保护应用运行后，会利用该密钥信息实现对该磁盘的加密处理。这样，后续访问该磁盘时，需要输入相应的密钥才能够成功访问磁盘中的数据，提高了磁盘存储的各数据的安全性。

示例性的，在电子设备的操作系统成功启动运行过程中，用户可以打开电子设备的控制面板，在组件服务的本地服务中，查找到用于实现相应磁盘数据加密保护的BitLocker驱动器服务，经过双击进入其配置界面，将其启动类型从禁用更改为启用，以生成相应的磁盘加密启动请求，控制BitLocker启动运行，通过BitLocker驱动器加密服务，实现对磁盘数据的加密处理。但并不局限于本实施例描述的这种数据保护应用的工作过程。

需要说明，对于启动电子设备的数据保护应用运行后，所得到的密钥信息，至少包含有该数据保护应用启动后所生成的密钥，如BitLocker驱动器加密服务启动后，所生成的BitLocker加密密钥Key，但并不局限于这一信息内容，可以根据实际应用需求确定，本申请实施例在此不做详述。

步骤S12，第一控制器获取第二控制器所得到的密钥信息；

步骤S13，第一控制器将该密钥信息发送至其第一存储空间进行存储。

本申请实施例中，第二控制器按照上述方式得到密钥信息后，可以主动将该密钥信息写入第一控制器的第一存储空间进行存储；或者是电子设备确定由第一控制器的第一存储空间，对启动数据保护应用所得到的密钥信息进行存储的情况下，由第一控制器主动检测第二控制器是否得到该密钥信息，若确定第二控制器得到该密钥信息，第一控制器可以主动从第二控制器的缓存空间中读取该密钥信息，写入其预设的第一存储空间进行存储等，本申请对步骤S12的具体实现方法不做详述。

示例性的，若第一控制器为BIOS芯片，第二控制器为CPU，第一控制器的第一存储空间可以是BIOS ROM，该ROM具体可以是PROM(ProgrammableROM，可编程ROM)、EPROM(Electrically Erasable Programmable ROM，电可擦除可编程ROM)等，本申请对该第一存储空间的存储类型及其存储原理不做详述。结合BIOS刷新、升级的工作原理，CPU可以调用预设的用于向BIOS ROM写数据的应用程序接口，来实现本申请密钥信息的存储。

具体以BIOS SPI ROM的第一存储空间存储密钥信息的场景为例，可以通过系统平台(如Intel平台)上的PlatformController Hub(PCH)中的SPI控制器，将得到的密钥信息写入BIOS寄存器，即BIOS SPI ROM的预设存储地址对应的第一存储空间进行存储，本申请对启用BIOS ROM写入操作，完成密钥信息写入BIOS ROM的具体实现过程不做限制，包括但并不局限于上文描述的操作方式。

在一些实施例中，为了进一步提高密钥信息的存储安全性，根据实际需求，还可以完成密钥信息的写入操作后，对该BIOS ROM执行写保护操作。关于该写保护操作的具体实现过程本申请不做详述。

综上所述，电子设备操作系统运行期间，为了实现对电子设备数据的加密保护，在启动电子设备的数据保护应用，得到用于对电子设备数据进行加密处理的密钥信息后，本申请实施例是将该密钥信息发送至第一控制器的第一存储空间进行存储，由于该第一控制器属于电子设备内的组件，不会像USB闪存设备一样因丢失而造成密钥信息的丢失；且由于该第一控制器是在对电子设备进行系统上电自检通过的情况下，引导操作系统启动运行的控制器，提高了密钥信息存储安全性，且便于在操作启动前查看所存储的密钥信息，解决了硬盘存储密钥信息应用中，无法在操作系统正常启动查看所存储的密钥信息，进而导致用户无法正确输入密钥信息，进一步查看磁盘数据的技术问题。

参照图2，为本申请提出的密钥保护实现方法的又一可选示例的信令流程示意图，本实施例可以对上述密钥信息的得到过程进行细化描述，但并不局限于这种细化实现方式，且对所存储的密钥信息的查询应用过程进行描述，并不局限于本实施例描述的这种密钥查询实现方式，该密钥查询实现方式也可以应用于上述实施例描述的密钥数据实现方法中，得到又一可选示例，实现过程可以参照本实施例的描述，本申请不做一一详述。

如图2所示，本申请实施例提出的密钥保护实现方法可以包括：

步骤S21，第二控制器响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，生成磁盘加密密钥，并输出密钥安全存储提示信息；

其中，密钥安全存储提示信息可以用于提醒用户，是否将磁盘加密密钥存储至第一控制器的第一存储空间，本申请对该密钥安全存储提示信息所包含的内容及其输出方式不做显示。

在一种可能的实现方式中，第二控制器可以在触发数据保护应用成功启动运行时，或在生成磁盘加密密钥的过程中，在当前显示页面展示密钥安全存储提示窗口，通过该密钥安全存储提示窗口展示密钥安全存储提示信息，如在该密钥安全存储提示窗口中呈现，“密钥安全存储到第一控制器的第一存储空间”以及供用户选择的“是”、“否”两个功能按钮，用户可以依据实际需求选择相应的功能按钮。需要说明，对于密钥安全存储提示信息的输出方式并不局限于这一种实现方式，可依据实际需求进行确定，本申请不做一一列举。

步骤S22，第二控制器响应于对密钥安全存储提示信息的确认操作，获得包含磁盘加密密钥的密钥信息；

继上文描述的可选示例，用户可以在输出的密钥安全存储提示窗口中，选择“是”这一功能按钮，即对密钥安全存储提示信息进行确认操作，以使得电子设备的第二控制器侦测到这一功能按钮的选择操作，即对密钥安全存储提示信息的确认操作，确定后续对所得到的用于磁盘加密的密钥信息的存储路径，即将所得到的磁盘加密的密钥信息写入第一控制器的第一存储空间进行存储的存储路径，具体可以依据第一控制器的第一存储空间的数据写入存储的实现方式确定，本申请实施例不做详述。

需要说明，本申请可以在获得对密钥安全存储提示信息的确认操作之后，再获得包含磁盘加密密钥的密钥信息，如自动读取所生成的磁盘加密密钥，并由此生成相应的密钥信息等；当然，也可以在获得包含磁盘加密密钥的密钥信息后，执行存储操作之前，输出密钥安全存储提示信息，再按照上述方式确定该密钥信息的存储路径，本申请对获取密钥信息和输出密钥安全存储提示信息的执行顺序不做限制，可视情况而定。

步骤S23，第二控制器将该密钥信息发送至第一控制器的第一存储空间进行存储；

关于步骤S23的具体实现过程，可以参照上述实施例相应部分的描述，本申请实施例在此不做赘述。

步骤S24，第一控制器响应于对电子设备的系统配置操作，输出系统配置页面；

在实际应用中，当需要查看上述利用密钥信息所加密的磁盘中的数据，用户需要先获得用以加密该磁盘的密钥信息，具体为磁盘加密密钥。如上述描述，该密钥信息是在第一控制器的第一存储空间存储，结合上文对第一控制器的应用过程的相关描述，可以进入第一控制器的系统配置页面，如进入BIOS工作模式，输出BIOS系统配置页面，这种情况下，上述对电子设备的系统配置操作具体可以指对BIOS工作模式的启动操作，本申请对该启动操作的具体实现方法不做详述，可依据BIOS的工作原理确定。

因此，在本申请实施例中，无论是在电子设备运行过程中，还是在电子设备上电启动过程中，都可以进入BIOS工作模式，输出BIOS系统配置页面，以实现对BIOS ROM存储的密钥信息的查询。本申请对如何进入BIOS工作模式的实现方法不做一一详述。

如上述分析，本申请输出的系统配置页面可以包含有针对磁盘加密密钥的密钥查询项，但对该密钥查询项的具体表示方式不做限制。可选的，该密钥查询项可以是系统配置页面中展示的一功能按钮；也可以是该系统配置页面中查询菜单中的一下级菜单选项等，可依据实际情况确定其在系统配置页面中的部署关系，本申请不做一一列举。

步骤S25，第一控制器响应于对密钥查询项展示的目标密钥标识的确认查询操作，生成针对目标密钥标识的目标密钥查询事件；

继上文描述，在电子设备输出系统配置页面后，选择其包含的密钥查询项，可以展示各种加密密钥的密钥标识，如在生成各加密密钥过程中，所配置的密钥名称等，本申请对该密钥标识的内容不做限制，通常情况下，该密钥标识的内容可以直接表征对应的加密密钥是哪个服务的加密密码，以方便用户依据展示的各密钥标识的内容，直接确定出所要查询的目标磁盘加密密钥的，密钥标识，将其确定为目标密钥标识。

需要说明，本申请对密钥查询项中包含的密钥标识的数量、内容及其展示方式不做限制，可以依据实际需求进行配置，如列表方式展示各密钥标识，用户查看各密钥标识的内容，从中选择出所需查询的目标密钥对应的目标密钥标识，如点击所显示的目标密钥标识，实现对目标密钥标识的确认查询操作，但并不局限于这种确认查询操作。

在用户对密钥查询项展示的目标密钥标识进行确认查询操作时，电子设备中的第一控制器会检测到这一确认查询操作，生成针对目标密钥标识的目标密钥查询事件，该目标密钥查询事件可以是一控制指令或请求查询目标磁盘加密密钥的请求等，本申请对该目标密钥查询事件的表示形式不做限制，可视情况而定。

步骤S26，第一控制器执行该目标密钥查询事件，获取第一存储空间中与目标密钥标识关联的目标磁盘加密密钥；

步骤S27，第一控制器输出目标磁盘加密密钥。

按照上述方式确定要查询的目标磁盘加密密钥的目标密钥标识后，第一控制器执行相应的目标密钥查询事件，可以从其第一存储空间中，查询与该目标密钥标识关联的目标磁盘加密密钥，具体查询方式本申请在此不做详述。对于查询到的目标磁盘加密密钥，可以直接在系统配置页面进行展示，如生成密钥展示窗口，并在该密钥展示窗口中，输出所查询到的目标磁盘加密密钥，以使用户能够直观看到该目标磁盘加密密钥并记录下。

之后，在访问利用该目标磁盘加密密钥所加密的磁盘数据，输出密钥输入窗口，用户可以直接将预先查询并记录下的目标磁盘加密密钥，输入至该密钥输入窗口中的相应位置，经过验证合格后，实现对该磁盘数据的成功访问。当然，对于成功查询到的目标磁盘加密密钥后，也可以在输出密钥输入窗口时，将查询到的该密钥输入窗口自动输入至密钥输入窗口中的相应位置，无需用户记录并手动输入等。

可见，上述步骤S24可以是由第一控制器直接输出所查询到的目标磁盘加密密钥；根据应用需求，第一控制器也可以将其发送至相应的应用程序进行展示，本申请对步骤S24的具体实现方法不做限制，并不局限于本申请描述的输出实现方式。

综上，在本申请实施例中，电子设备操作系统运行期间，启动电子设备的数据保护应用，得到用于对电子设备数据进行加密处理的密钥信息后，本申请可以提示用户是否需要将该密钥信息包含的磁盘加密密钥，发送至第一控制器的第一存储空间进行存储，以提高磁盘加密密钥的存储安全性，此时，用户可以根据实际对密钥存储的安全性要求，选择是或否，如在选择是时，将得到的包含磁盘加密密钥的密钥信息发送至第一控制器的第一存储空间进行存储，从而解决了移动存储设备存储该磁盘加密密钥容易丢失或删除的技术问题。

且在需要查看该磁盘加密密钥的情况下，由于本申请是将磁盘加密密钥写入第一控制器的第一存储空间存储，该第一控制器可以在操作系统启动之前运行，读取其第一存储空间所存储的数据，所以，当需要在在启动操作系统之前查看该磁盘加密密钥时，本申请可以进入第一控制器的系统配置页面，在该系统配置页面的密钥查询项中，选择所要查询的磁盘加密密钥对应的目标密钥标识，从而使该第一控制器执行由此生成的目标密钥查询事件，从其第一存储空间中查询目标磁盘加密密钥并输出，从而解决了电子设备的硬盘或独立的移动存储设备存储磁盘加密密钥，在操作系统未成功启动运行之前，无法进行数据读取操作，也就无法查看所需目标磁盘加密密钥的技术问题。

参照图3，为本申请提出的密钥保护实现方法的又一可选示例的信令流程示意图，本实施例可以是对上述实施例描述的密钥保护实现方法的又一可选细化实现方法，但并不局限于本实施例描述的这种细化实现方法，对于喜欢的磁盘加密密钥存储和查询两个阶段各自所执行的步骤，可以依据本申请提出的相应技术构思，进行适应性调整，具体调整实现过程本申请不做详述。

如图3所示，本实施例提出的密钥保护实现方法可以包括：

步骤S31，第二控制器响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，生成磁盘加密密钥，并输出密钥安全存储提示信息；

关于步骤S31的具体实现过程，可以参照上述实施例相应部分的描述，本实施例在此不做赘述。

步骤S32，第二控制器响应于对密钥安全存储提示信息的确认操作，输出针对磁盘加密密钥的查询加密界面；

步骤S33，第二控制器响应于对查询加密界面的输入操作，得到磁盘加密密钥的密钥标识及解密认证信息；

结合上述实施例相应部分的描述，本申请实施例为了进一步提高磁盘加密密钥的存储安全性，提出先对其进行加密后再发送至第一控制器的第一存储空间进行存储。

基于此，在电子设备的操作系统运行过程中，如在Windows OS操作系统下，用户启动BitLocker后，可以提示用户是否将BitLocker生成的磁盘加密密钥Key，存储至第一控制器的第一存储空间，选择是的情况下，电子设备的显示界面可以输出针对磁盘加密密钥的查询加密界面，供用户输入对该磁盘加密密钥的密钥标识和解码认证信息，如Key的名称和加密密码，本申请对密钥标识和解码认证信息各自的内容及其输入方式不做限制，可视情况而定。

在一些实施例中，上述解码认证信息可以是由数字、字母、符号、文字等字符组成的信息，也可以是用户的如面部图像、声纹、指纹等生理特征构成，可视情况而定，本申请在此不做一一详述。

步骤S34，第二控制器利用解密认证信息对磁盘加密密钥进行加密处理，由加密后的磁盘加密密钥、密钥标识及解密认证信息构成密钥信息；

在本实施例实际应用中，可以使用Bitlocker这种加密工具，利用预设的解密认证信息，完成对磁盘加密密钥的加密处理；当然，也可以采用其他加密应用工具，实现对磁盘加密密钥的加密处理，本申请对步骤S34的具体加密处理过程不做限制，可视情况而定。

步骤S35，第二控制器将该密钥信息发送至第一控制器的第一存储空间进行存储；

步骤S36，第一控制器响应于对电子设备的系统配置操作，输出系统配置页面；

如上述分析，本实施例的系统配置页面可以包含有针对磁盘加密密钥的密钥查询项，但对该密钥查询项的具体输出方式不做限制。

步骤S37，第一控制器响应于对密钥查询项的触发操作，输出密钥查询页面；

结合上文实施例对磁盘加密密钥查询过程的相关描述，本申请可以在电子设备上电，引导操作系统启动之前，由第一控制器查询其第一存储空间所存储的目标磁盘加密密钥。

具体的，以第一控制器为BIOS芯片为例，在想要查询目标磁盘加密密钥的情况下，可以进入BIOS Steup，输出系统配置页面，展示所能够查询的各加密密钥对应的密钥标识，本实施例可以在输出的密钥查询页面进行展示，即该密钥查询页面可以包含有在第一存储空间存储的各磁盘加密密钥对应的密钥标识，具体实现过程可以参照上述实施例相应部分的描述。

步骤S38，第一控制器响应于对密钥查询页面的密钥标识选择操作，确定待查询磁盘加密密钥的目标密钥标识，生成包含目标密钥标识的目标密钥查询事件；

步骤S39，第一控制器执行目标密钥查询事件，获取针对所述目标密钥标识的待认证信息以及目标解密认证信息；

在本实施例中，由于是先对磁盘加密密钥进行加密处理后才发送至第一控制器的第一存储空间存储，在需要查询该磁盘加密密钥时，需要先对其进行解密后，才能够读取到该磁盘加密密钥。所以，在选择查询的磁盘加密密钥的目标密钥标识，执行生成的相应目标密钥查询事件后，需要用户先输入用于实现对目标磁盘加密密钥加密处理的解密密钥，即待认证信息。

在一种可能的实现方式中，第一控制器可以读取第一存储空间中与目标密钥标识关联的目标解密认证信息，输出密钥查询认证页面，以使用户在该密钥查询认证页面完成上述待认证信息的输入操作，第一控制器可以响应于对密钥查询认证页面的输入操作，得到针对目标密钥标识的待认证信息，但并不局限于这种待认证信息获取方式。

对于上述目标解密认证信息获取过程，可以从第一控制器的第一存储空间中，查询与目标密钥标识对应的解密认证信息，为了方便描述本申请将其记为目标解密认证信息。

步骤S310，第一控制器对待认证信息与目标解密认证信息进行匹配对比；

步骤S311，第一控制器在确定待认证信息与目标解密认证信息匹配的情况下，获取第一存储空间中由目标认证信息加密的目标磁盘加密密钥；

步骤S312，第一控制器输出该目标磁盘加密密钥。

本申请实施例中，对于步骤S310的具体匹配对比方式，可以依据预设的解密认证信息的内容确定，对于字符构成的解密认证信息，可以将待认证信息与目标解密认证信息各自包含的信息内容，按照顺序进行一一对比，若比对结果(包括各字符内容及其排序)一致，可以认为待认证信息与目标解密认证信息相匹配；反之，可以认为两者不匹配，此时可以提示用户重新输入正确的解密认证信息，具体提示实现方法不做限制。

对于其他内容的解密认证信息，所采用的匹配对比方式可能不同，确定是否匹配的条件可能不同，本申请对此不做限制，可视情况而定。如生理特征信息，可以利用预设的识别模型，实现对用户的身份认证，以确定是否允许该用户查询本电子设备的第一控制器的第一存储空间所存储的磁盘加密密钥，具体实现过程本申请不做详述。

综上所述，本申请实施例中，相对于上文实施例描述的密钥保护实现方法，在将数据保护应用(如Bitlocker)所生成的磁盘加密密钥发送至第一控制器存储之前，为了进一步提高其存储安全性，避免无关人员查询，会先对其进行加密处理，同时，为了方便后续查询该磁盘加密密钥，可以配置对应的密钥标识，由得到的加密后的磁盘加密密钥、密钥标识及解密认证信息，以及三者之间的关联关系，构成一密钥信息，再发送至第一控制器的第一存储空间进行存储。

这样，在查询本电子设备的磁盘加密密钥时，需要用户输入解密密钥即待认证信息，对所存储的密钥信息中的磁盘加密密钥进行解密，确定输入的待认证信息与相应的目标解密认证信息相匹配后，将成功读取到该目标磁盘加密密钥并输出，以满足用户对该目标磁盘加密密钥的查看需求，同时解决了电子设备硬盘或独立的移动存储设备存储磁盘加密密钥所存在的技术问题。

参照图4，为本申请提出的密钥保护实现装置的一可选示例的结构示意图，结合上文描述的密钥保护实现方法的方案描述内容可知，本实施例提出的密钥保护实现装置可以包括位于第一控制器410中的以下模块，如上述分析，该第一控制器410可以用于在对电子设备进行系统上电自检通过的情况下，引导电子设备的操作系统启动运行，如BIOS芯片等：

密钥信息获取模块411，用于获取密钥信息；

其中，如图4所示，该密钥信息可以是在电子设备的操作系统运行期间，由第二控制器420响应针对电子设备的磁盘加密启动请求，启动数据保护应用而生成的，具体获得过程本申请在此不做详述。

密钥信息存储模块412，用于将该密钥信息发送至第一控制器的第一存储空间进行存储。

以第一控制器为BIOS芯片为例，其第一存储空间可以是BIOS ROM中的预设存储空间，本申请对该第一存储空间的创建过程不做限制，可视情况而定。

在一些实施例中，第二控制器为了获得密钥信息，如图5所示，本申请提出的密钥保护实现装置还可以包括：位于第二控制器420中的以下功能模块：

密钥生成模块421，用于响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，生成磁盘加密密钥；

密钥存储提示模块422，用于输出密钥安全存储提示信息；其中，所述密钥安全存储提示信息用于提醒用户是否将所述磁盘加密密钥存储至第一控制器的第一存储空间；

密钥信息获得模块423，用于响应于对所述密钥安全存储提示信息的确认操作，获得包含所述磁盘加密密钥的密钥信息。

基于上述实施例描述的密钥保护实现装置的组成结构，为了查询所存储的目标磁盘加密密钥Key，如图6所示，上述第一控制器410还可以包括：

系统配置页面输出模块413，用于响应于对所述电子设备的系统配置操作，输出系统配置页面；

其中，所述系统配置页面包含有针对磁盘加密密钥的密钥查询项。

目标密钥查询事件生成模块414，用于响应于对所述密钥查询项展示的目标密钥标识的确认查询操作，生成针对所述目标密钥标识的目标密钥查询事件；

目标磁盘加密密钥获取模块415，用于执行所述目标密钥查询事件，获取所述第一存储空间中与所述目标密钥标识关联的目标磁盘加密密钥；

目标磁盘加密密钥输出模块416，用于输出所述目标磁盘加密密钥。

基于此，上述实施例中，第二控制器中的密钥信息获得模块423具体可以包括：

查询加密界面输出单元，用于输出针对所述磁盘加密密钥的查询加密界面；

信息得到单元，用于响应于对所述查询加密界面的输入操作，得到所述磁盘加密密钥的密钥标识及解密认证信息；

密钥信息构成单元，用于利用所述解密认证信息对所述磁盘加密密钥进行加密处理，由加密后的磁盘加密密钥、所述密钥标识及所述解密认证信息构成密钥信息。

相应地，在一种可能的实现方式中，上述目标磁盘加密密钥获取模块415可以包括：

认证信息获取单元，用于执行所述目标密钥查询事件，获取针对所述目标密钥标识的待认证信息以及目标解密认证信息；

匹配比对单元，用于对所述待认证信息与所述目标解密认证信息进行匹配对比；

目标磁盘加密密钥获取单元，用于在匹配比对单元的匹配比对结果为匹配的情况下，获取所述第一存储空间中由所述目标认证信息加密的目标磁盘加密密钥。

在又一些实施例中，上述目标密钥查询事件生成模块414可以包括：

密钥查询页面输出单元，用于响应于对所述密钥查询项的触发操作，输出密钥查询页面；

其中，所述密钥查询页面包含有在所述第一存储空间存储的各磁盘加密密钥对应的密钥标识。

目标密钥查询事件生成单元，用于响应于对所述密钥查询页面的密钥标识选择操作，确定待查询磁盘加密密钥的目标密钥标识，生成包含所述目标密钥标识的目标密钥查询事件。

相应地，上述认证信息获取单元可以包括：

目标解密认证信息读取单元，用于执行所述目标密钥查询事件，读取所述第一存储空间中与所述目标密钥标识关联的目标解密认证信息；

密钥查询认证页面输出单元，用于输出密钥查询认证页面；

待认证信息得到单元，用于响应于对所述密钥查询认证页面的输入操作，得到针对目标密钥标识的待认证信息。

需要说明的是，关于上述各装置实施例中的各种模块、单元等，均可以作为程序模块存储在存储器中，由处理器执行存储在存储器中的上述程序模块，以实现相应的功能，关于各程序模块及其组合所实现的功能，以及达到的技术效果，可以参照上述方法实施例相应部分的描述，本实施例不再赘述。

本申请还提供了一种存储介质，其上可以存储计算机程序，该计算机程序可以被处理器调用并加载，以实现上述实施例描述的密钥保护实现方法的各个步骤。

参照图7，为适用于本申请提出的密钥保护实现方法和装置的电子设备的一可选示例的硬件结构示意图，该电子设备可以包括：主板710，以及设置在主板710中的第一控制器720和第二控制器730，该第一控制器720用于在对电子设备进行系统上电自检通过的情况下，引导电子设备的操作系统启动运行，如BIOS芯片等。

结合上文实施例描述的密钥保护实现方法和装置的方案描述，第二控制器730用于在电子设备的操作系统运行期间，响应针对电子设备的磁盘加密启动请求，触发数据保护应用运行，得到相应的密钥信息，具体实现过程可以参照但并不局限于上文方法实施例相应部分的描述，本实施例不做赘述。

而上述第一控制器720具体可以用于获取上述密钥信息，将该密钥信息发送至第一存储空间进行存储；且在响应于对电子设备的系统配置操作，输出系统配置页面后，能够响应于对该系统配置页面中密钥查询项展示的目标密钥标识的确认查询操作，生成针对目标密钥标识的目标密钥查询事件；执行目标密钥查询事件，获取第一存储空间中与所述目标密钥标识关联的目标磁盘加密密钥；输出该目标磁盘加密密钥。关于磁盘加密密钥的存储和查询实现过程，可以参照但并不局限于上文方法实施例相应部分的描述，本实施例不做赘述。

在一些实施例中，第一控制器720可以通过调用预设的第一程序，来实现上述方法实施例描述的第一控制器720执行的密钥保护方法的各步骤，此时，该第一程序是指实现上述方法实施例描述的第一控制器720执行的密钥保护方法的程序；同理，第二控制器730可以通过调用预设的第二程序，来实现上述方法实施例描述的第二控制器730执行的密钥保护方法的各步骤，此时，该第二程序是指实现上述方法实施例描述的第二控制器730执行的密钥保护方法的程序。

可以理解，图7所示的电子设备的结构并不构成对本申请实施例中电子设备的限定，在实际应用中，电子设备可以包括比图7所示的更多或更少的部件，或者组合某些部件，如各种通信接口；如感应触摸显示面板上的触摸事件的触摸感应单元、键盘、鼠标、摄像头、拾音器等至少一个输入组件；如显示器、扬声器、振动机构、灯等至少一个输出组件；电源管理模组；各种传感器等，本申请在此不做一一列举，可视情况而定。

最后，需要说明，本说明书中各个实施例采用递进或并列的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置和电子设备而言，由于其与实施例公开的方法对应，所以描述的比较简单，相关之处参见方法部分说明即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。