[发明专利]文件系统挂载方法和装置

说明书

技术领域

本申请涉及系统安全领域，具体而言，涉及文件系统挂载方法和装置。

背景技术

电子盘具有性能稳定、工作环境强、耗电低、寿命高、体积小等特点，它克服了机械硬盘的弊病，被广泛用于工业控制、公共安全、电信、军工、航空等高可靠性需求的数据领域，常作为专用机和工业控制机的操作系统存储介质。

但普通的电子盘没有加密保护措施，内部的操作系统可能被外部读取，导致商业机密的泄露；如果用在政府、军工、银行等重要领域，一旦敏感信息被不非分子窃取，将会带来不可预估的灾难。

相关技术中采用了下列方法对电子盘的操作系统进行保护：

1、采用带硬件加密功能的电子盘。这种带硬件加密功能的电子盘价格昂贵，不利于企业压缩成本，提高利润；并且，还需要为操作系统安装厂商专用驱动与管理软件才能使用。

2、使用分区加密软件。采用该方法需要在非加密分区中安装加密软件，存放加密密钥，从而给黑客创造了破解的机会。

3、修改硬盘分区表信息，让分区无法被正常识别到，只有对应的引导程序、驱动可以识别到。这种保护措施在有经验的黑客面前形同虚设，对操作系统的保护效果十分有限。

4、不加密分区，而对整个文件系统的镜像文件进行加密。这种系统多数只能用于只读的环境中，而且操作系统的性能会有较大幅度的降低，并且采用该方法的升级维护比较复杂。

因此，提供一种通用的、安全的、不影响系统应用服务的电子盘系统保密方法具有重大而紧迫的现实意义。

针对相关技术中对电子盘的操作系统保护的安全性能低的问题，目前尚未提出有效的解决方案。

发明内容

本申请提供了一种文件系统挂载方法和装置，以至少解决相关技术中存在的上述问题。

根据本申请的一个方面，提供了一种文件系统挂载方法，包括：在系统启动时，加载引导分区中的系统内核和加密的初始化镜像；根据所述系统内核中的第一加密信息，解密所述初始化镜像；获取解密的所述初始化镜像中的第二加密信息；根据所述第二加密信息将系统分区映射为解密的虚拟分区，并将所述虚拟分区挂载为文件系统。

优选地，在加载所述系统内核和所述初始化镜像之前，所述方法还包括：加载主引导记录中的引导程序，其中，所述主引导记录包括所述引导分区的信息和所述系统分区的信息；其中，加载所述系统内核和所述初始化镜像包括：所述引导程序根据所述系统分区的信息加载所述系统内核和所述初始化镜像。

优选地，在解密所述初始化镜像之后，所述方法还包括：根据解密的所述初始化镜像加载驱动；其中，将所述系统分区映射为解密的虚拟分区，并将所述虚拟分区挂载为文件系统包括：通过所述驱动将所述系统分区映射为解密的虚拟分区，并将所述虚拟分区挂载为文件系统。

优选地，在加载所述系统内核和所述初始化镜像之前，所述方法还包括：加载所述驱动；打包并压缩所述驱动和所述第二加密信息，得到未加密的初始化镜像；根据所述第一加密信息加密未加密的初始化镜像，得到所述初始化镜像。

优选地，加密所述未加密的初始化镜像包括：使用密码分组链接模式的对称加密算法加密所述未加密的初始化镜像。

优选地，在加载所述系统内核和所述初始化镜像之前，所述方法还包括：将所述第一加密信息编译到所述系统内核中，其中，所述第一加密信息包括：解密算法和解密密钥。

根据本申请的另一个方面，还提供了一种文件系统挂载装置，包括：第一加载模块，用于在系统启动的情况下，加载引导分区中的系统内核和加密的初始化镜像；解密模块，用于根据所述系统内核中的第一加密信息，解密所述初始化镜像；获取模块，用于获取解密的所述初始化镜像中的第二加密信息；处理模块，用于根据所述第二加密信息将系统分区映射为解密的虚拟分区，并将所述虚拟分区挂载为文件系统。

优选地，所述装置还包括：第二加载模块，用于根据解密的所述初始化镜像加载驱动；其中，所述处理模块，用于通过所述驱动将所述系统分区映射为解密的虚拟分区，并将所述虚拟分区挂载为文件系统。

优选地，所述装置还包括：第三加载模块，用于加载所述驱动；打包模块，用于打包并压缩所述驱动和所述第二加密信息，得到未加密的初始化镜像；加密模块，用于根据所述第一加密信息加密未加密的初始化镜像，得到所述初始化镜像。

优选地，所述装置还包括：编译模块，用于将所述第一加密信息编译到所述系统内核中，其中，所述第一加密信息包括：解密算法和解密密钥。