CN106919850A - 一种文件加密、解密方法和装置 - Google Patents
一种文件加密、解密方法和装置 Download PDFInfo
- Publication number
- CN106919850A CN106919850A CN201510992581.6A CN201510992581A CN106919850A CN 106919850 A CN106919850 A CN 106919850A CN 201510992581 A CN201510992581 A CN 201510992581A CN 106919850 A CN106919850 A CN 106919850A
- Authority
- CN
- China
- Prior art keywords
- file
- encryption
- key
- decryption
- catalogue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种文件加密、解密方法和装置;本发明实施例采用接收文件的存放请求,该存放请求指示所述文件需要存放的目标文件目录,然后,根据该存放请求获取该目标文件目录对应的密钥,采用该密钥对所述文件进行加密,以得到加密文件,将该加密文件存放至该目标文件目录;由于该方案仅对目标文件目录进行监控,在将文件存放到目标文件目录时对该文件进行加密,无需监控所有指定文件,缩小了透明加密的监控范围,所以,相对于现有技术而言,可以降低终端系统的消耗以及节省终端系统资源。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及一种文件加密、解密方法和装置。
背景技术
透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。目前透明加密技术已成为业内保护敏感文档和数据一大重要手段。
在现有技术中,所谓透明,是指对使用者来说是未知的。该透明加密方案具体为:监控终端所有指定文件的读写操作,当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。应用该透明加密方案可以使得文件在硬盘上是密文,在内存中是明文;一旦文件离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的效果。
在对现有技术的研究和实践过程中,本发明的发明人发现,现有透明加密方案需要监控终端所有指定文件的读写操作,由于指定文件分散,透明加密的监控范围比较广,终端系统消耗较大,同时,由于无法严格区分文件敏感度,其对存在无风险或低风险文档等均进行加密保护,会造成终端系统资源浪费。
发明内容
本发明实施例提供一种文件加密、解密方法和装置,可以降低终端系统的消耗以及节省终端系统资源。
本发明实施例提供一种文件加密方法,包括:
接收文件的存放请求,所述存放请求指示所述文件需要存放的目标文件目录;
根据所述存放请求获取所述目标文件目录对应的密钥;
采用所述密钥对所述文件进行加密,以得到加密文件;
将所述加密文件存放至所述目标文件目录。
相应的,本发明实施例还提供了一种文件解密方法,包括:
接收加密文件的读取请求,所述读取请求携带所述加密文件对应的加密属性信息;
根据所述加密属性信息确定所述加密文件对应的目标文件目录;所述目标文件目录为存放文件时需要对文件进行加密形成所述加密文件的文件目录;
获取所述目标文件目录对应的密钥;
采用所述密钥对所述加密文件进行解密,以得到解密文件。
相应的,本发明实施例还提供一种文件加密装置,包括:
接收模块,用于接收文件的存放请求,所述存放请求指示所述文件需要存放的目标文件目录;
密钥获取模块,用于根据所述存放请求获取所述目标文件目录对应的密钥;
加密模块,用于采用所述密钥对所述文件进行加密,以得到加密文件;
存放模块,用于将所述加密文件存放至所述目标文件目录。
相应的,本发明实施例还提供一种文件解密装置,包括:
请求接收模块,用于接收加密文件的读取请求,所述读取请求携带所述加密文件对应的加密属性信息;
确定模块,用于根据所述加密属性信息确定所述加密文件对应的目标文件目录;所述目标文件目录为存放文件时需要对文件进行加密形成所述加密文件的文件目录;
密钥获取模块,用于获取所述目标文件目录对应的密钥;
解密模块,用于采用所述密钥对所述加密文件进行解密,以得到解密文件。
本发明实施例采用接收文件的存放请求,该存放请求指示所述文件需要存放的目标文件目录,然后,根据该存放请求获取该目标文件目录对应的密钥,采用该密钥对所述文件进行加密,以得到加密文件,将该加密文件存放至该目标文件目录;由于该方案仅对目标文件目录进行监控,在将文件存放到目标文件目录时对该文件进行加密,无需监控所有指定文件,缩小了透明加密的监控范围,所以,相对于现有技术而言,可以降低终端系统的消耗以及节省终端系统资源。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的第一种文件加密方法的流程图;
图2是本发明实施例一提供的第二种文件加密方法的流程图;
图3是本发明实施例一提供的第三种文件加密方法的流程图;
图4为本发明实施例二提供的第一种文件解密方法的流程图;
图5为本发明实施例二提供的第二种文件解密方法的流程图;
图6为本发明实施例二提供的第三种文件解密方法的流程图;
图7a为本发明实施例三提供的第一种文件加密装置的结构示意图;
图7b为本发明实施例三提供的第二种文件加密装置的结构示意图;
图7c为本发明实施例三提供的第三种文件加密装置的结构示意图;
图8a为本发明实施例四提供的第一种文件解密装置的结构示意图;
图8b为本发明实施例四提供的第二种文件解密装置的结构示意图;
图8c为本发明实施例四提供的第三种文件解密装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种文件加密、解密方法和装置。以下将分别进行详细说明。
实施例一、
本实施例将从加密装置的角度进行描述,该加密装置具体可以集成在终端或其他需要进行文件加密的设备中。
该加密装置集成在终端上的方式有多种,比如,以客户端或其他软体形式安装在终端中。
一种文件加密方法,其特征在于,包括:接收文件的存放请求,该存放请求指示所述文件需要存放的目标文件目录,根据该存放请求获取该目标文件目录对应的密钥,采用该密钥对所述文件进行加密,以得到加密文件,将该加密文件存放至该目标文件目录。
如图1所示,该文件加密的具体流程可以如下:
101、接收文件的存放请求,该存放请求指示所述文件需要存放的目标文件目录。
比如,终端检测到文件被移动到目标文件目录,或者复制到目标文件目录时,终端会触发生成该文件的存放请求,其中,该存放请求可以携带目标文件目录的标识,该标识用于指示该文件需要存放的目标文件目录,该文件的类型可以有多种,例如可以为word文件、代码文件等等。。
其中,目标文件目录为预先指定的需要对存放在其内的文件进行加密的文件目录。比如,可以预先创建需要对存放文件进行加密的文件目录,也即,在在接收到存放请求之前,本实施例方法还可以包括:
接收文件目录创建请求;
根据该文件目录创建请求,创建需要对存放文件进行加密的文件目录。
又比如,可以在将预本创建的文件目录指定为需要对存放文件进行加密的文件目录,也即,在接收到存放请求之前,本实施例方法还可以包括:
接收针对文件目录的加密指定请求,并根据所述加密指定请求将该文件目录设置为需要对存放文件加密的文件目录。具体地,创建或者指定需要对存放文件进行加密的文件目录的数量可以根据实际需求设定。
102、根据该存放请求获取该目标文件目录对应的密钥。
本实施例获取目标文件对应的密钥的方式有多种,例如,预先获取并保存目标文件目录对应的密钥情况下,可以从本地存储中获取该目标文件目录对应的密钥,具体地,在接收文件的存放请求之前,本实施例方法还可以包括:
向密钥管理服务器发送该目标文件目录的密钥获取请求;
接收该密钥管理服务器根据该密钥获取请求返回的该目标文件目录对应的密钥,并保存该密钥;
此时,步骤“根据该存放请求获取目标文件目录对应的密钥”可以包括:根据存放请求在本地存储中获取该目标文件目录对应的密钥。比如,根据目标文件目录的标识在本地存储中查找对应的密钥。
又例如,本实施例中可以在接收到存放请求之后,向密钥管理服务器发送目标文件目录的密钥获取请求,以获取目标文件目录对应的密钥。具体获取密钥的方式可以根据实际需求进行选择。
103、采用该密钥对该文件进行加密,以得到加密文件。
比如,可以读取文件的内容,并根据该密钥对文件的内容进行加密等,具体的加密算法可以选择目前透明加密技术所采用的加密算法。本实施例中在加密文件移出该目标文件目录时,不对该加密文件进行解密,
104、将该加密文件存放至目标文件目录。
可选地,为方便用户自定义敏感数据,可以创建或者指定需要对存放文件进行加密的公共文件目录和个人文件目录,不同的文件采用不同的密钥进行加密。其中,该公共目录用于存放允许某个范围内(比如某个公司内)所有终端均可解密的文件,比如用于存放工作文件,此时,对存放至公共文件目录的文件采用公共密钥进行加密,这样可以使得其他终端均可采用公共密钥对公共文件目录中的文件进行解密,该公共密钥为某个范围内所有终端均使用的统一密钥。
其中,该个人目录用于存放只有加密终端可以解密的文件,或者被加密终端授权的终端可以解密的文件,比如存放个人隐私文件;此时,对存放至个人文件目录的文件采用个人密钥进行加密,该个人密钥为用户个人设置的密钥或者向密钥管理服务器请求的个人密钥,其他用户不知晓,这样可保证个人文件目录中的文件只有加密终端或者在被加密终端授权的终端可以对个人文件目录下的文件进行解密。
以公共文件目录为例,本实施例的文件加密方法,参考图2,具体流程可以如下:
201、终端接收密钥管理服务器发送的公共密钥,并保存该公共密钥。
比如接收到密钥管理服务器向所有终端群发的公共密钥,或者向密钥管理服务器发送公共密钥获取请求,接收密钥管理服务器根据该请求返回的公共密钥。
202、终端创建该公共密钥对应的公共文件目录。
比如,新建一个需要对存放文件采用公共密钥进行加密的文件目录,该文件目录即为公共文件目录。
203、终端接收文件的存放请求,该存放请求指示该文件需要存放到该公共文件目录。
比如,该存放请求携带该公共文件目录的目录标识,该目录标识指示该文件需要存放至该公共文件目录。比如,该文件可以为工作文件等。
204、终端在本地存储中查找该公共文件目录对应的公共密钥。
205、终端采用该公共密钥对该文件进行加密,以得到加密文件,并将该加密文件存放至公共文件目录。
由于公共密钥为某个范围内的统一密钥,在该范围内的终端均可得到,因此,在其他终端获取该公共目录中的加密文件后,其他终端可以采用公共密钥对该加密文件进行解密。
以个人文件目录为例,本实施例的文件加密方法,参考图3,具体流程可以如下:
301、终端创建需要对存放文件进行加密的个人文件目录。
302、终端向密钥管理服务器发送个人密钥获取请求,接收该密钥管理服务器根据该个人密钥获取请求返回的个人密钥,并将该个人密钥作为该个人文件目录对应的加密密钥,保存该个人密钥。
比如,密钥管理服务器根据个人密钥获取请求随机生成一个密钥,并返回给终端,然后,设置在对存放至个人文件目录的文件采用该密钥进行加密,将该个人密钥存放在本机配置文件中。
303、终端接收文件的存放请求,该存放请求指示该文件需要存放到该个人文件目录。
比如,该文件可以为个人隐私文件等。
304、终端在本地存储中查找该个人文件目录对应的个人密钥。
305、终端采用该个人密钥对该文件进行加密,以得到加密文件,并将该加密文件存放至个人文件目录。
由于该个人密钥为用户的私人密钥,其他终端用户无法知晓,因此,即使其他终端用户获取到该个人文件目录中的加密文件,也无法解密,提升了文件的安全性。
可选地,为使得加密终端指定的终端可以解密个人文件目录中的加密文件,以方便用户分享文件,提升用户体验;本实施例方法还可以对其他终端进行解密授权,该其他终端获得解密授权后,可以对该个人文件目录中的加密文件进行解密。具体地,当目标文件目录包括个人文件目录,加密密钥为个人密钥时,本实施例方法还可以包括:
向密钥管理服务器发送该加密文件的解密授权请求,该解密授权请求携带该个人密钥以及需要授权的用户标识,以使该用户标识对应的终端可以根据该个人密钥对该加密文件进行解密。
其中,该用户标识可以为公司内部的通讯标识,比如内部邮箱账号、内容聊天软件的账号等等。
比如,终端在采用个人密钥对存放至个人文件目录的文件进行加密之后,选择需要授权的内部邮箱账号,然后,向密钥管理服务器发送解密授权请求,该解密授权请求携带该个人密钥以及需要授权的内部邮箱账号;密钥管理服务器在接收到该解密授权请求后,根据该请求发送解密授权信息给该内部邮箱账号对应的终端,该解密授权信息包括:该个人密钥,这样授权的终端在获取到该个人目录中的加密文件后,可以根据该个人密钥对该加密文件进行解密。
可选地,为进一步提高文件安全,本实施例中加密终端可以对个人文件目录下的某个文件进行解密授权,以限制授权终端仅可以解密个人文件目录中的解密授权的加密文件,避免授权终端利用该个人密钥对个人文件目录下的非授权文件进行解密;也即,该解密授权请求还可以携带该加密文件的文件标识(即授权解密的文件标识),以使得密钥管理服务器发送解密授权信息中携带授权的文件标识,进而使得该授权终端仅可以利用该个人密钥对该文件标识对应的加密文件进行解密。
其中,该文件标识可以为文件的唯一标识,比如,GUID(全球唯一识别码)或者UUID(文件的唯一标识符)等。
由上可知,本发明实施例采用接收文件的存放请求,该存放请求指示所述文件需要存放的目标文件目录,然后,根据该存放请求获取该目标文件目录对应的密钥,采用该密钥对所述文件进行加密,以得到加密文件,将该加密文件存放至该目标文件目录;由于该方案仅对目标文件目录进行监控,在将文件存放到目标文件目录时对该文件进行加密,无需监控所有指定文件,缩小了透明加密的监控范围,所以,相对于现有技术而言,在提高文件安全性的同时还可以降低终端系统的消耗以及节省终端系统资源。
实施例二、
相应地,本实施例提供了一种文件解密方法,本实施例将从解密装置的角度对该方法进行描述,该解密装置具体可以集成在终端或其他需要进行文件解密的设备中。
该解密装置集成在终端上的方式有多种,比如,以客户端或其他软体形式安装在终端中。
如图4所示,该文件加密方法的具体流程可以如下:
401、接收加密文件的读取请求,该读取请求携带所述加密文件对应的加密属性信息。
该解密装置可以集成在形成该加密文件的加密终端中,比如,采用实施例一所述方法对文件进行加密形成该加密文件的终端,或者也可以集成在其他非加密终端中,比如从加密终端获取该加密文件的其他终端中。
具体地,接收加密文件的读取请求可以由多种,比如接收加密文件的开启指令,根据开启指令获取该加密文件的加密属性信息,然后,触发发送加密文件的读取请求,该读取请求携带该加密属性信息。
其中,加密属性信息为指示存放文件时对文件进行加密形成该加密文件的文件目录,比如实施例一所述的目标文件目录。
402、根据该加密属性信息确定该加密文件对应的目标文件目录;该目标文件目录为存放文件时需要对文件进行加密形成该加密文件的文件目录。
具体地,该文件目录与该加密文件可以位于同一终端中,比如,加密终端采用实施例一所述方法对文件进行加密得到加密文件后,该加密终端对该加密文件进行解密,或者可以位于不同终端,比如,终端a采用实施例一所述方法对文件进行加密得到加密文件后,终端b获取到该加密文件后,对该加密文件进行解密。
403、获取该目标文件目录对应的密钥。
例如,以该解密装置集成在该加密文件的加密终端为例,即以目标文件目录与加密文件位于同一终端中为例,可以从加密终端本地存储中查找与该目标文件目录对应的密钥,具体地,可以获取目标文件目录的标识,然后,在加密终端本地存储中查找与该标识对应的密钥。比如,加密终端创建实施例一所述的公共或者个人文件目录后,对公共或者个人文件目录中的加密文件进行解密时,可以在本地查找公共或者个人文件目录对应的公共密钥或者个人密钥。
又例如,以该解密装置集成在其他终端中为例,即以加密文件与目标文件目录位于不同终端为例,可以从终端本地存储中查找与该目标文件目录对应的密钥,比如,当该加密文件为加密终端中公共文件目录下的加密文件时,此时,由于系统内所有终端均保存有公共密钥,因此,可以从本地存储中获取公共密钥,该公共密钥即为目标文件目录对应的密钥;又比如,当该加密文件为加密终端中个人文件目录下的加密文件时,由于该加密文件采用个人密钥加密形成,因此,若需要解密,需要获取加密终端的解密授权,此时,在获取该目标文件文档的密钥之前,还需要从密钥管理服务器中获取解密授权信息,该解密授权信息包括个人文件目录对应的个人密钥,这样在文件读取时,本实施例方法即可获取个人文件目录对应的个人密钥。
404、采用该密钥对该加密文件进行解密,以得到解密文件,并读取该解密文件。
比如,对加密文件进行解密后,将给解密文件传递给对应的调用程序读取打开。
可选地,为了提高文件的安全性,本实施例方法可限制只有特定的读取方式或者打开方式才能对加密文件进行解密,具体地,可以通过对读取加密文件的读取逻辑来实现,也即在步骤401和402之间,本实施例方法还可以包括:
判断读取该加密文件的读取逻辑是否为文件解密支持的读取逻辑;
若是,执行根据该加密属性信息确定该加密文件对应的目标文件目录的步骤。
比如,该读取请求还可以携带加密文件的读取逻辑,此时,可以判断该请求携带的读取逻辑是否为文件解密所支持的读取逻辑。
其中,读取逻辑为读取程序读取或者打开文件过程的逻辑,(“如第一步读取temp目录下xx文件,第二步调用某api函数,第三步读取文件xx个字节”)。文件解密支持的读取逻辑可以通过服务器来配置,具体地,由终端上传支持读取程序对应的读取逻辑以及所支持的文件类型,然后,服务器根据终端上传的信息和预设规则配置逻辑文件,该逻辑文件包含文件解密支持的读取逻辑,并将逻辑文件发送给终端,以便终端可以判断加密文件的读取逻辑是否为文件解密所支持的读取逻辑。另外,逻辑文件还可以包括一些需要禁止的读取或打开方式(如用notepad打开doc文档等),以使得终端根据逻辑文件禁止一些错误打开方式,提升用户体验。
在实际应用中,可根据实际需求在服务器上配置文件解密支持的读取逻辑,以使得透明加密可以支持更多的文件类型,提升头透明加密方案的兼容性。
可选地,为了进一步提高文件安全性,本实施例方法可以限制授权用户只能打开授权的加密文件,以该解密装置集成在非加密终端为例,具体地,本实施例方法在步骤401之前还可以包括:接收密钥管理服务器发送该加密文件的解密授权信息,其中,该解密授权信息包括:该目标文件目录对应的个人密钥和授权解密的文件标识;
此时,在判断读取该加密文件的读取逻辑是否为文件解密支持的读取逻辑之后,根据该加密属性信息确定该加密文件对应的目标文件目录之前,本实施例方法还可以包括:
判断该加密文件的文件标识是否为授权解密的文件标识;
若是,则执行根据该加密属性信息确定该加密文件对应的目标文件目录的步骤。
其中,该文件标识可以为文件的唯一标识,比如,GUID(全球唯一识别码)或者UUID(文件的唯一标识符)等。
比如,加密终端采用个人密钥对存放至个人目录的文件进行加密,以得到加密文件,然后,加密终端发送该加密文件的解密授权请求给密钥管理服务器,该解密授权请求携带该个人密钥,需要授权的用户标识,以及解密授权的文件标识(即该加密文件的文件标识);密钥管理服务器根据解密授权请求发送解密授权信息给该用户标识对应的解密终端,其中,该解密授权信息可以包括个人密钥以及授权解密的文件标识;该解密终端获取该加密文件,比如通过网络获取该加密文件之后,解密终端接收该加密文件的读取请求,该读取请求可以携带该加密文件的文件标识和加密属性信息,然后,解密终端将该文件标识与授权解密的文件标识进行比较,若相同,则表明该加密文件以授权解密,此时,可以根据加密属性信息确定该加密文件对应的目标文件目录为个人文件目录,获取该个人文件目录对应的个人密钥,采用该个人密钥对该加密文件进行解密。
下面以该解密装置集成在加密终端,目标文件目录为实施例一所述的公共文件目录为例,来作进一步介绍,参考图5,该解密过程可以包括:
501、在加密终端采用密钥对存放至公共文件目录的文件进行加密之后,加密终端接收该加密文件的读取请求,该读取请求携带该加密文件对应的加密属性信息和读取该加密文件的读取逻辑。
502、判断该读取逻辑是否为文件解密支持的读取逻辑,若是,则执行步骤503,若否,则执行步骤506。
503、加密终端根据该加密属性信息确定该加密文件对应的目标文件目录为该公共文件目录。
504、加密终端在本地存储中查找与该公共文件目录对应的公共密钥。
505、加密终端采用该公共密钥对该加密文件进行解密,以得到解密文件。并根据该读取逻辑读取该解密文件。
506、不对该加密文件进行解密,直接读取该加密文件。
同理,在目标文件目录为实施例一所述的个人文件目录时,该加密终端对该个人文件目录下加密文件的解密过程与步骤501-506类似,这里就不再赘述。
下面以该解密装置集成在加密终端授权的解密终端,目标文件目录为加密终端中如实施例一所述的个人文件目录为例,参考图6,文件解密的过程可以包括:
601、解密终端接收服务器发送的加密文件的解密授权信息,该解密授权信息可以包括:个人文件目录对应的个人密钥以及授权解密的文件标识。
602、解密终端获取该加密终端中个人文件目录下的加密文件,并接收该加密文件的读取请求,该读取请求携带该加密文件的加密属性信息以及读取该加密文件的读取逻辑;
603、判断该读取逻辑是否为文件解密支持的读取逻辑,若是,执行步骤604,若否,执行步骤607。
604、判断该加密文件的文件标识是否为文件解密支持的文件标识,若是,则执行步骤605,若否,执行步骤607。
605、解密终端根据该加密属性信息确定该加密文件对应的目标文件目录为该个人文件目录。
606、解密终端获取该个人文件目录对应的个人密钥,并根据该个人密钥对该加密文件进行解密,以得到解密文件。
607、解密终端不对该加密文件进行解密,并直接读取该加密文件。
在该解密装置集成在与加密终端不同的解密终端中,且目标文件目录为公共文件目录时,此时解密终端对该加密文件进行解密的过程可以参考上述501-506,这里就不再赘述。
由上可知,本发明实施例采用接收加密文件的读取请求,该读取请求携带该加密文件对应的加密属性信息,然后,根据该加密属性信息确定该加密文件对应的目标文件目录;该目标文件目录为存放文件时需要对文件进行加密形成该加密文件的文件目录,获取该目标文件目录对应的密钥,采用该密钥对该加密文件进行解密,以得到解密文件;由于该方案仅对目标文件目录进行监控解密,在对加密文件读取时对该加密文件进行解密文,无需监控所有指定文件,缩小了透明解密的监控范围,所以,相对于现有技术而言,可以降低终端系统的消耗以及节省终端系统资源;另外,本实施例在解密时还需要对读取逻辑进行判断,使得只有在采用特定的读取逻辑读取加密文件时才进行解密,提升了文件安全性,并且由于解密支持的读取逻辑可言根据用户实际需求进行配置,使得透明加密方案可以支持更多的文件类型,提升了透明加密的应用范围等。
实施例三、
为了更好地实施以上方法,本发明实施例还提供一种文件加密装置,如图7a所示,该身份验证装置还可以包括接收模块701、密钥获取模块702、加密模块703和存放模块704,如下:
接收模块701,用于接收文件的存放请求,该存放请求指示该文件需要存放的目标文件目录;
密钥获取模块702,用于根据该存放请求获取该目标文件目录对应的密钥;
加密模块703,用于采用该密钥对该文件进行加密,以得到加密文件;
存放模块704,用于将该加密文件存放至该目标文件目录。
例如,参考图7b,本实施文件加密装置还可以包括创建模块705;该创建模块705,用于在接收模块接收文件的存放请求之前,接收文件目录创建请求;根据该文件目录创建请求,创建需要对存放文件进行加密的文件目录.
又比如,参考图7c,当该目标文件目录包括个人文件目录,该密钥包括个人密钥时该文件加密装置还包括:授权模块706;
授权模块706,用于在该加密模块703将该加密文件存放至该目标文件目录之后,向密钥管理服务器发送该加密文件的解密授权请求,该解密授权请求携带该个人密钥、需要授权的用户标识以及该加密文件的文件标识,以使该用户标识对应的终端可以根据该个人密钥对该加密文件进行解密。
优选地,本实施例文件加密装置,还可以包括密钥请求模块,用于:
在接收模块接收存放请求之后,向密钥管理服务器发送该目标文件目录的密钥获取请求;
接收该密钥管理服务器根据该密钥获取请求返回的该目标文件目录对应的密钥,并保存该密钥。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施可参见前面的方法实施例,在此不再赘述。
该文件加密装置具体可以集成在终端或其他需要进行文件加密的设备中,例如,以客户端或者其他软件形式来集成在终端中。
由上可知,本发明实施例文件加密装置的接收模块701接收文件的存放请求,该存放请求指示该文件需要存放的目标文件目录,然后,由密钥获取模块702根据该存放请求获取该目标文件目录对应的密钥,由加密模块703采用该密钥对该文件进行加密,以得到加密文件,由存放模块704将该加密文件存放至该目标文件目录;由于该方案仅对目标文件目录进行监控,在将文件存放到目标文件目录时对该文件进行加密,无需监控所有指定文件,缩小了透明加密的监控范围,所以,相对于现有技术而言,可以降低终端系统的消耗以及节省终端系统资源。
实施例四、
相应的,本发明实施例还提供一种文件解密装置,如图8a所示,该文件解密装置包括请求接收模块801、确定模块802、密钥获取模块803和解密模块804,如下:
请求接收模块801,用于接收加密文件的读取请求,所述读取请求携带所述加密文件对应的加密属性信息;
确定模块802,用于根据所述加密属性信息确定所述加密文件对应的目标文件目录;所述目标文件目录为存放文件时需要对文件进行加密形成所述加密文件的文件目录;
密钥获取模块803,用于获取所述目标文件目录对应的密钥;
解密模块804,用于采用所述密钥对所述加密文件进行解密,以得到解密文件。
其中,该文件解密装置可以集成在形成加密文件的加密终端中,也可以集成在非加密终端中。
可选地,为了提高文件的安全性,参考图8b,还可以包括第一判断模块805;
该第一判断模块805,用于在请求接收模块801接收加密文件的读取请求之后,所述确定模块根据所述加密属性信息确定所述加密文件对应的目标文件目录之前,判断读取所述加密文件的读取逻辑是否为文件解密支持的读取逻辑;
其中,所述确定模块802,具体用于在第一判断模块805判断为是时,执行根据所述加密属性信息确定所述加密文件对应的目标文件目录的步骤。
可选地,为进一步提高文件的安全性,参考图8c,还可以包括授权信息接收模块806和第二判断模块807;
所述授权信息接收模块806,用于在请求接收模块801接收加密文件的读取请求之前,接收密钥管理服务器发送的所述加密文件的解密授权信息,该解密授权信息包括:所述目标文件目录对应的个人密钥和授权解密的文件标识;
所述第二判断模块807,用于在第一判断模块805接收密钥管理服务器发送的所述加密文件的解密授权信息,该解密授权信息包括:所述目标文件目录对应的个人密钥和授权解密的文件标识,所述确定模块根据所述加密属性信息确定所述加密文件对应的目标文件目录之前,判断所述加密文件的文件标识是否为授权解密的文件标识;
其中,所述确定模块802,用于在第二判断模块807判断为是时,执行根据所述加密属性信息确定所述加密文件对应的目标文件目录的步骤。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个模块的具体实施可参见前面的方法实施例,在此不再赘述。
该文件解密装置具体可以集成在终端或其他需要进行文件解密的设备中,例如,以客户端或者其他软件形式来集成在终端中。
由上可知,本发明实施例文件解密装置中请求接收模块801接收加密文件的读取请求,该读取请求携带该加密文件对应的加密属性信息,然后,由确定模块802根据该加密属性信息确定该加密文件对应的目标文件目录,该目标文件目录为存放文件时需要对文件进行加密形成该加密文件的文件目录,由密钥获取模块803获取该目标文件目录对应的密钥,由解密模块804采用该密钥对该加密文件进行解密,以得到解密文件;由于该方案仅对目标文件目录进行监控解密,在对加密文件读取时对该加密文件进行解密文,无需监控所有指定文件,缩小了透明解密的监控范围,所以,相对于现有技术而言,可以降低终端系统的消耗以及节省终端系统资源;另外,本实施例在解密时还需要对读取逻辑进行判断,使得只有在采用特定的读取逻辑读取加密文件时才进行解密,提升了文件安全性,并且由于解密支持的读取逻辑可言根据用户实际需求进行配置,使得透明加密方案可以支持更多的文件类型,提升了透明加密的应用范围等。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种文件加密、解密方法和装置进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种文件加密方法,其特征在于,包括:
接收文件的存放请求,所述存放请求指示所述文件需要存放的目标文件目录;
根据所述存放请求获取所述目标文件目录对应的密钥;
采用所述密钥对所述文件进行加密,以得到加密文件;
将所述加密文件存放至所述目标文件目录。
2.如权利要求1所述的文件加密方法,其特征在于,在接收文件的存放请求之前,所述文件加密方法还包括:
接收文件目录创建请求;
根据所述文件目录创建请求,创建需要对存放文件进行加密的文件目录。
3.如权利要求1所述的文件加密方法,其特征在于,在接收文件的存放请求之前,所述文件加密方法还包括:
向密钥管理服务器发送所述目标文件目录的密钥获取请求;
接收所述密钥管理服务器根据所述密钥获取请求返回的所述目标文件目录对应的密钥,并保存该密钥。
4.如权利要求1所述的文件加密方法,其特征在于,所述目标文件目录包括个人文件目录,所述密钥包括个人密钥;
在将所述加密文件存放至所述目标文件目录之后,所述文件加密方法还包括:
向密钥管理服务器发送所述加密文件的解密授权请求,所述解密授权请求携带所述个人密钥以及需要授权的用户标识,以使所述用户标识对应的终端可以根据所述个人密钥对所述加密文件进行解密。
5.如权利要求4所述的文件加密方法,其特征在于,所述解密授权请求还携带所述加密文件的文件标识。
6.一种文件解密方法,其特征在于,包括:
接收加密文件的读取请求,所述读取请求携带所述加密文件对应的加密属性信息;
根据所述加密属性信息确定所述加密文件对应的目标文件目录;所述目标文件目录为存放文件时需要对文件进行加密形成所述加密文件的文件目录;
获取所述目标文件目录对应的密钥;
采用所述密钥对所述加密文件进行解密,以得到解密文件。
7.如权利要求6所述的文件解密方法,其特征在于,在接收加密文件的读取请求之后,根据所述加密属性信息确定所述加密文件对应的目标文件目录之前,所述文件解密方法还包括:
判断读取所述加密文件的读取逻辑是否为文件解密支持的读取逻辑;
若是,执行根据所述加密属性信息确定所述加密文件对应的目标文件目录的步骤。
8.如权利要求7所述的文件解密方法,其特征在于,
在接收加密文件的读取请求之前,所述文件解密方法还包括:接收密钥管理服务器发送的所述加密文件的解密授权信息,该解密授权信息包括:所述目标文件目录对应的个人密钥和授权解密的文件标识;
在判断读取所述加密文件的读取逻辑为文件解密支持的读取逻辑之后,根据所述加密属性信息确定所述加密文件对应的目标文件目录之前,所述文件解密方法还包括:
判断所述加密文件的文件标识是否为授权解密的文件标识;
若是,则执行根据所述加密属性信息确定所述加密文件对应的目标文件目录的步骤。
9.一种文件加密装置,其特征在于,包括:
接收模块,用于接收文件的存放请求,所述存放请求指示所述文件需要存放的目标文件目录;
密钥获取模块,用于根据所述存放请求获取所述目标文件目录对应的密钥;
加密模块,用于采用所述密钥对所述文件进行加密,以得到加密文件;
存放模块,用于将所述加密文件存放至所述目标文件目录。
10.如权利要求9所述的文件加密装置,其特征在于,还包括:创建模块;
所述创建模块,用于在接收模块接收文件的存放请求之前,接收文件目录创建请求;根据所述文件目录创建请求,创建需要对存放文件进行加密的文件目录。
11.如权利要求9所述的文件加密装置,其特征在于,当所述目标文件目录包括个人文件目录,所述密钥包括个人密钥时所述文件加密装置还包括:授权模块;
授权模块,用于在所述加密模块将所述加密文件存放至所述目标文件目录之后,向密钥管理服务器发送所述加密文件的解密授权请求,所述解密授权请求携带所述个人密钥、需要授权的用户标识以及所述加密文件的文件标识,以使所述用户标识对应的终端可以根据所述个人密钥对所述加密文件进行解密。
12.一种文件解密装置,其特征在于,包括:
请求接收模块,用于接收加密文件的读取请求,所述读取请求携带所述加密文件对应的加密属性信息;
确定模块,用于根据所述加密属性信息确定所述加密文件对应的目标文件目录;所述目标文件目录为存放文件时需要对文件进行加密形成所述加密文件的文件目录;
密钥获取模块,用于获取所述目标文件目录对应的密钥;
解密模块,用于采用所述密钥对所述加密文件进行解密,以得到解密文件。
13.如权利要求12所述的文件解密装置,其特征在于,还包括:第一判断模块;
所述第一判断模块,用于在请求接收模块接收加密文件的读取请求之后,所述确定模块根据所述加密属性信息确定所述加密文件对应的目标文件目录之前,判断读取所述加密文件的读取逻辑是否为文件解密支持的读取逻辑;
其中,所述确定模块,具体用于在第一判断模块判断为是时,执行根据所述加密属性信息确定所述加密文件对应的目标文件目录的步骤。
14.如权利要求13所述的文件解密方法,其特征在于,还包括:授权信息接收模块和第二判断模块;
所述授权信息接收模块,用于在请求接收模块接收加密文件的读取请求之前,接收密钥管理服务器发送的所述加密文件的解密授权信息,该解密授权信息包括:所述目标文件目录对应的个人密钥和授权解密的文件标识;
所述第二判断模块,用于在第一判断模块接收密钥管理服务器发送的所述加密文件的解密授权信息,该解密授权信息包括:所述目标文件目录对应的个人密钥和授权解密的文件标识,所述确定模块根据所述加密属性信息确定所述加密文件对应的目标文件目录之前,判断所述加密文件的文件标识是否为授权解密的文件标识;
其中,所述确定模块,用于在第二判断模块判断为是时,执行根据所述加密属性信息确定所述加密文件对应的目标文件目录的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510992581.6A CN106919850B (zh) | 2015-12-25 | 2015-12-25 | 一种文件加密、解密方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510992581.6A CN106919850B (zh) | 2015-12-25 | 2015-12-25 | 一种文件加密、解密方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106919850A true CN106919850A (zh) | 2017-07-04 |
| CN106919850B CN106919850B (zh) | 2020-09-04 |
Family
ID=59459752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510992581.6A Active CN106919850B (zh) | 2015-12-25 | 2015-12-25 | 一种文件加密、解密方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106919850B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108229203A (zh) * | 2017-12-29 | 2018-06-29 | 北京安云世纪科技有限公司 | 一种终端中的文件保护方法及装置 |
| CN109214198A (zh) * | 2018-08-13 | 2019-01-15 | 苏州泥娃软件科技有限公司 | 一种可加密搜索的安全云文档系统 |
| CN109495258A (zh) * | 2018-12-19 | 2019-03-19 | 世纪龙信息网络有限责任公司 | 监控数据解密的方法、装置、计算机设备及存储介质 |
| WO2020233049A1 (zh) * | 2019-05-23 | 2020-11-26 | 深圳壹账通智能科技有限公司 | 区块链系统的数据授权方法、装置、存储介质及电子设备 |
| CN113382029A (zh) * | 2020-03-10 | 2021-09-10 | 阿里巴巴集团控股有限公司 | 文件数据处理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102819702A (zh) * | 2012-07-19 | 2012-12-12 | 腾讯科技(深圳)有限公司 | 文件加密运行方法和文件加密运行系统 |
| CN103888467A (zh) * | 2014-03-31 | 2014-06-25 | 武汉理工大学 | 一种面向共享的安全文件夹加密系统 |
| CN104333544A (zh) * | 2014-10-26 | 2015-02-04 | 重庆智韬信息技术中心 | 基于移动终端数据文件的加密方法 |
| CN104915601A (zh) * | 2014-03-12 | 2015-09-16 | 三星电子株式会社 | 对装置中的文件夹进行加密的系统和方法 |
-
2015
- 2015-12-25 CN CN201510992581.6A patent/CN106919850B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102819702A (zh) * | 2012-07-19 | 2012-12-12 | 腾讯科技(深圳)有限公司 | 文件加密运行方法和文件加密运行系统 |
| CN104915601A (zh) * | 2014-03-12 | 2015-09-16 | 三星电子株式会社 | 对装置中的文件夹进行加密的系统和方法 |
| CN103888467A (zh) * | 2014-03-31 | 2014-06-25 | 武汉理工大学 | 一种面向共享的安全文件夹加密系统 |
| CN104333544A (zh) * | 2014-10-26 | 2015-02-04 | 重庆智韬信息技术中心 | 基于移动终端数据文件的加密方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108229203A (zh) * | 2017-12-29 | 2018-06-29 | 北京安云世纪科技有限公司 | 一种终端中的文件保护方法及装置 |
| CN109214198A (zh) * | 2018-08-13 | 2019-01-15 | 苏州泥娃软件科技有限公司 | 一种可加密搜索的安全云文档系统 |
| CN109495258A (zh) * | 2018-12-19 | 2019-03-19 | 世纪龙信息网络有限责任公司 | 监控数据解密的方法、装置、计算机设备及存储介质 |
| WO2020233049A1 (zh) * | 2019-05-23 | 2020-11-26 | 深圳壹账通智能科技有限公司 | 区块链系统的数据授权方法、装置、存储介质及电子设备 |
| CN113382029A (zh) * | 2020-03-10 | 2021-09-10 | 阿里巴巴集团控股有限公司 | 文件数据处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106919850B (zh) | 2020-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111914269B (zh) | 一种区块链和云存储环境下的数据安全共享方法和系统 | |
| CN104903905B (zh) | 通过修改计算机应用的目标代码的用于计算机应用的安全服务管理 | |
| JP5361894B2 (ja) | マルチファクタコンテンツの保護 | |
| CN104145444B (zh) | 操作计算设备的方法、计算设备及计算机程序 | |
| CN104205891B (zh) | 虚拟sim卡云平台 | |
| US7849514B2 (en) | Transparent encryption and access control for mass-storage devices | |
| CN106919850A (zh) | 一种文件加密、解密方法和装置 | |
| CN104917759B (zh) | 基于第三方的安全文件存储和共享系统及方法 | |
| CN104137466B (zh) | 操作计算设备的方法及计算设备 | |
| RU2573212C2 (ru) | Способ доступа к службам, системам и устройствам на основе аутентификации доступа wlan | |
| US20060232826A1 (en) | Method, device, and system of selectively accessing data | |
| CN103731475B (zh) | 一种数据保护系统 | |
| CN103268456B (zh) | 一种文件安全控制方法及装置 | |
| US9319219B2 (en) | Method of operating a computing device, computing device and computer program | |
| US20120278611A1 (en) | Vpn-based method and system for mobile communication terminal to access data securely | |
| KR101387600B1 (ko) | 전자 파일 전달 방법 | |
| US20160308845A1 (en) | Method of operating a computing device, computing device and computer program | |
| CN103812651B (zh) | 密码验证方法、装置及系统 | |
| CN109643356A (zh) | 阻止网络钓鱼或勒索软件攻击的方法和系统 | |
| CN101296086A (zh) | 接入认证的方法、系统和设备 | |
| CN107295018A (zh) | 一种云盘文件的安全存储及分享方法 | |
| CN104966023A (zh) | 数据保护系统、方法和装置 | |
| EP2041686A1 (fr) | Serveur de gestion de donnees confidentielles anonymes | |
| CN108494724A (zh) | 基于多授权机构属性加密算法的云存储加密系统及方法 | |
| WO2015034407A1 (en) | Performing an operation on a data storage |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |