CN101925913A - 加密文件访问的方法和系统 - Google Patents
加密文件访问的方法和系统 Download PDFInfo
- Publication number
- CN101925913A CN101925913A CN2009801031339A CN200980103133A CN101925913A CN 101925913 A CN101925913 A CN 101925913A CN 2009801031339 A CN2009801031339 A CN 2009801031339A CN 200980103133 A CN200980103133 A CN 200980103133A CN 101925913 A CN101925913 A CN 101925913A
- Authority
- CN
- China
- Prior art keywords
- access
- file
- application
- authorized
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
提供一种用于加密文件访问的方法和系统。所述方法包括以下步骤:接收(502,552)应用(110)的对于加密文件(401403)的访问请求;确定(503,553)发出所述访问请求的应用(110);检查(505,555)所述应用(110)是否被授权访问;以及如果被授权,则允许所述访问请求。所述访问请求可以是目的或源应用(110)的读取或写入访问。如果所述应用(110)被授权访问,则所述方法检查(508,558)所述应用(110)是否被授权非加密访问;以及如果是,则允许非加密文件访问。
Description
技术领域
本发明涉及加密文件访问的领域。具体地,本发明涉及基于访问应用通过加密系统的文件访问。
背景技术
随着企业和个人用户产生的数据量的增加,数据的备份变得非常重要。必须保持备份数据的安全性,以防止对于备份数据的非授权访问。
如今,许多家庭用户将他们的计算机备份到因特网,并且若干反病毒包提供因特网存储设备。这种设备的问题在于,由于服务器在因特网上是公共可见的,所以用户信息的安全性大大依赖于应用。假定典型地用不安全的对称密钥进行了批文件加密,则上述情形是非常脆弱的。如果应用的安全性受到破坏,则用户的个人信息(例如金融文档)承受到欺诈和身份盗窃的相应风险。
备份的另一形式是允许应用访问明文文件的内容,同时在加密的盘上存储实际数据的加密文件系统。如果存储媒体被窃取,则对方需要相当大的工作量来解密数据。从而,现有的应用如以前一样继续工作,加密文件系统通过标准的文件系统应用编程接口(API)将数据解密成明文。
然而,如果病毒(例如特洛伊木马或蠕虫)侵入计算机并按照应用访问的途径访问了存储的数据,则会出现问题。恶意软件可扫描硬盘,并将文档复制到因特网。
发明内容
本发明的目的在于提供一种改进的加密文件系统,其中加密文件系统依据目的应用有条件地解密数据。加密文件系统还依据数据的源应用有条件地加密数据。
根据本发明的第一方面,提供一种用于文件加密系统中的文件访问的方法,包括:接收应用的对于加密文件的访问请求;确定发出所述访问请求的应用;检查所述应用是否被授权访问;以及如果被授权,则允许所述访问请求。
如果所述应用被授权访问,则所述方法可包括:检查所述应用是否被授权非加密访问;以及如果是,则允许非加密文件访问。
确定发出所述访问请求的应用的步骤可包括:计算所述应用的内容的散列值。计算所述应用的内容的散列值的步骤对于所述应用的可执行文件应用散列函数。
检查所述应用是否被授权访问的步骤可包括:检查应用被授权访问的文件类型的记录。检查应用被授权访问的文件类型的记录的步骤可包括:检查所述应用的散列值的记录。
应用被授权访问的文件类型的记录可通过安全策略来管理。所述安全策略具有用于管理员更新的安全用户接口。所述安全策略可以是对于多个文件加密系统的组策略。
所述访问请求是目的应用的读取请求。仅允许被授权读取访问但没有被授权非加密读取访问的应用来访问加密文件。
所述访问请求是源应用的写入请求。仅允许被授权写入访问但没有被授权非加密写入访问的应用通过写入加密文件来访问加密文件。
根据本发明的第二方面,提供一种用于加密文件访问的计算机软件产品,所述产品包括计算机可读存储介质,存储其中存储有包括计算机可执行指令的程序的计算机,所述指令在由计算机执行读取时执行以下步骤:接收应用的对于加密文件的访问请求;确定发出所述访问请求的应用;检查所述应用是否被授权访问;以及如果被授权,则允许所述访问请求。
根据本发明的第三方面,提供一种在网络上向客户提供服务的方法,所述服务包括:接收应用的对于加密文件的访问请求;确定发出所述访问请求的应用;检查所述应用是否被授权访问;以及如果被授权,则允许所述访问请求。
根据本发明的第四方面,提供一种文件加密系统,包括:应用标识符,用于标识发出对于加密文件的访问请求的应用;应用许可的数据存储器,用于访问文件类型;用于检查应用是否被授权文件的访问的装置;以及用于提供文件的访问的装置。
所述系统可包括:用于检查应用是否被授权非加密访问的装置;以及还可包括:用于提供非加密文件的访问的加密或解密装置。
所述应用标识符可包括:散列函数,用于计算所述应用的内容的散列值。用于计算所述应用的内容的散列值的散列函数可对于所述应用的可执行文件应用散列函数。用于访问文件类型的应用许可的数据存储器可通过散列值来标识应用。
所述系统还可包括:用以管理用于访问文件类型的应用许可的数据存储器的安全装置。所述安全装置可具有安全用户接口,用于由管理员更新安全策略。所述安全装置可管理对于多个文件加密系统的组策略。
附图说明
在说明书的结论性部分中特别地指出和明确地主张了作为本发明的主题。当结合附图阅读时,通过参照随后的具体实施方式,可最好地理解本发明(涉及操作的组织和方法两者)与其目标、特点和优点,在附图中:
图1是可在其中实现本发明的计算机系统的框图;
图2A是根据本发明使用的文件加密处理的示意图;
图2B是根据本发明使用的文件解密处理的示意图;
图3是根据本发明的数据访问的示意性表示;
图4是根据本发明的加密文件系统驱动器的框图;
图5A是根据本发明的加密文件系统写入访问的方法的流程图;以及
图5B是根据本发明的加密文件系统读取访问的方法的流程图。
具体实施方式
可理解,为了图示的简化和清楚,附图中所示的元素不必按比例绘制。例如,为了清楚,某些元素的尺度可相对于其他元素而扩大。此外,在适当考虑时,可在附图中重复标号,以指示相应或相似的特征。
在以下详细描述中,阐述了各种具体细节,以提供本发明的全面理解。然而,本领域普通技术人员将理解,如果没有这些具体细节,也可实践本发明。在其他实例中,详细描述了已知的方法、过程、和组件,以便不掩盖本发明。
参照图1,示出了可在其中实现本发明的计算机系统100。计算机系统100可以是服务器、工作站、或其组合,并且可连接至其他基于计算机的资源。计算机系统100适合于存储和/或执行程序代码,并且包括通过总线系统103直接或间接耦合至存储器元件的至少一个处理器101。存储器元件可包括在程序代码的实际执行期间采用的本地存储器、海量存储设备、以及提供至少某些程序代码的临时存储以减少在执行期间必须从海量存储设备提取代码的次数的高速缓冲存储器。
存储器元件可包括制度存储器(ROM)104和随机存取存储器(RAM)105形式的系统存储器102。可在ROM 104中存储基础输入/输出系统(BIOS)106。可在包括操作系统108的RAM 105中存储系统软件107。在RAM 105中也可存储关联于或存储于操作系统108中的文件系统109。在通过应用编程接口(API)与操作系统108和文件系统109对接的RAM105中也可存储软件应用110。
计算机系统100也可包括非易失性存储装置112,例如包括磁硬盘驱动器的主存储器和包括磁盘和光盘驱动器的二级存储器和USB存储设备。驱动器及其相关的计算机可读介质提供了用于系统100的计算机可执行指令、数据结构、程序模块和其他数据的非易失性存储器。软件应用可存储在非易失性存储装置112以及系统存储器102上。
计算机系统100可使用经由网络适配器116与一个或多个远程计算机的逻辑连接在网络化环境中运行。
输入/输出设备113可直接或通过中间I/O控制器耦合至系统。用户可通过输入设备,例如键盘、定点设备、或其他输入设备(例如麦克风、操纵杆、游戏杆、圆盘式卫星天线、扫描仪等)向系统100中输入命令和信息。输出设备可包括扬声器、打印机等。显示设备114也可经由接口(例如视频适配器115)连接至系统总线103。
文件系统109通过设备驱动器连接,以与非易失性存储设备112通信和管理其上的文件。文件系统109通常包括存储、引用、共享和保护文件、访问文件数据、和保持文件完整性的方法。在文件系统109和相关操作系统108之间不存在明显区别,并且由文件系统109执行的任意进程可由操作系统108来执行。
文件系统109操作可使用加密文件系统驱动器120,其可作为文件系统109的一部分、操作系统108、或单独来提供。加密文件系统驱动器120位于文件系统109的顶层,并提供支持,以与加密文件系统客户端服务通信以及将文件作为加密的数据流122、123存储在非易失性存储器112中。
文件系统级加密(通常称为文件或文件夹加密)是盘加密的形式,其中通过文件系统本身来加密单独的文件或目录。这与整盘加密相反,在所述整盘加密中加密文件系统所在的整个分区或盘。
文件系统级加密的优点包括:
·基于灵活文件的密钥管理,从而每个文件能够并且通常用单独的加密密钥来加密;
·加密文件的分别管理,例如,甚至以加密形式的分别改变的文件的增量备份,而并非整个加密的卷的备份;
·可通过公共密钥密码法的使用来实施访问控制;以及
·在存储器中仅保存密码密钥的事实,而由其解密的文件保持打开。
与密码文件系统或整盘加密不同,包括文件系统级加密的通用文件系统典型地不加密文件系统元数据,例如目录结构,文件名,大小或修改时间戳。
加密文件系统是具有某些操作系统中可用的文件系统级加密的文件系统驱动器。显然地,该技术使得文件在文件系统上加密,以保护机密数据防止通过对计算机的物理访问而攻击。
在操作系统正在运行时,用户认证和访问控制列表可防止文件的非授权访问,但是如果攻击者获得对于计算机的物理访问,则可被规避。一个方法是存储在计算机的盘上加密的文件。加密文件系统通常使用公共密钥加密法进行这个操作,并且旨在确保加密文件需要正确的密钥。
参照图2A,示出在加密文件时的加密文件系统的操作的示例性方法200。通过批对称密钥(还已知为文件加密密钥(FEK)202)来加密210文件201,以生成加密的文件203。同时,使用用户的公共密钥204来加密211FEK 202,以生成加密的FEK 205。将加密的文件203和加密的FEK205存储212,213在可替代的数据流中,或者其中将加密的FEK 205存储在加密的文件203的头中。
加密文件系统使用对称加密算法,因为如果与使用不对称密钥密码相比,前者采用相对少量的时间来加密和解密大量数据。所使用的对称加密算法依据操作系统的版本和配置而改变。通过与加密文件的用户相关的公共密钥来加密FEK。
参照图2B,示出在解密文件时的加密文件系统的操作的示例性方法220。分离221,222加密的文件203和加密的FEK 205。使用用户的专用密钥206来解密223加密的FEK 205,以获得FEK 202。使用225FEK 202来解密224加密的文件203,以生成原始文件201。
为了解密文件,加密文件系统驱动器使用匹配于加密文件系统数字证书(用于加密文件)的专用密钥,来解密存储在加密文件系统流中的对称密钥。加密文件系统驱动器使用对称密钥来解密文件。由于在文件系统以下的层执行加密和解密操作,所以对于用户和所有他的应用来说是清楚的。
用加密属性来标记文件系统要加密其内容的文件夹。加密文件系统组件驱动器通过与文件系统中的文件权限的继承相似的方式来对待这个加密属性。如果标记文件夹用于加密,然后缺省地,还加密在文件夹下创建的所有文件和子文件夹。当在文件系统卷中移动加密文件时,文件保持加密。
现在描述增强的加密文件系统,其中加密文件系统有条件地依据目的应用来解密数据。加密文件系统驱动器是可配置的,由此例如加密文件系统驱动器可能允许应用Microsoft Excel(Microsoft和Excel是微软公司的商标)清晰地读取电子数据表。在这种情况下,加密文件系统驱动器将解密目的处理为C:\Program Files\Microsoft Office\Office\excel.exe的任意电子数据表文件。然而,备份应用将被授权对于解密的电子数据表数据的相同访问,并由此其读取的任意数据将返回加密。对于加密文件系统的这种扩展还吸引恶意软件,如扫描硬盘和向因特网复制文档的病毒。
参照图3,提供增强加密文件系统驱动器120的示意图300,其中加密文件系统驱动器120有条件地依据目的应用来解密数据。增强加密文件系统驱动器120还可有条件地依据源应用来加密数据。如先前所述,与文件系统120相结合地提供加密文件系统驱动器120。文件系统109访问在非易失性存储器122中存储的数据文件和文件夹。
识别的应用(例如Microsoft Excel)被授权访问电子数据表文件的明文内容。当应用读取文件时,加密文件系统驱动器120允许解密文件内容,以及以其解密的形式201通过应用来访问。
不匹配于许可应用的列表的任意应用或处理经过加密文件内容203。这包括例如已知备份应用的应用。然而,这还包括可能尝试访问文件的Trojan木马和其他病毒。如果需要,加密文件系统驱动器120负责检查目的处理和加密文件内容。
加密文件系统驱动器120可提供应用的额外安全检查,并且对于应用验证不依赖应用可执行文件名。例如,可检查目的应用的散列,以确保对方没有将他们自己的名为“excel.exe”的Trojan木马应用复制到文件地址“C:\Progarm Files\Microsoft Office\Office”中。
参照图4,示出包括增强加密文件系统驱动器120的系统400的框图。加密文件系统驱动器120包括用于加密和解密文件的加密/解密装置407。加密文件系统驱动器120耦合至文件系统109,其用于管理在非易失性存储器112上存储的文件411-413。应用110尝试读取和写入文件411-413的访问。
加密文件系统驱动器120包括应用标识符401,其包括散列函数或其他形式的签名生成器402,以从访问应用110的内容创建散列或签名。通过散列函数,应用的可执行文件被用作输入数据,并且通过散列函数来馈送。这生成识别应用的并且非常不太可能与通过散列函数馈送的其他内容冲突的小指纹。使用散列函数的原因在于防止潜在的对方将具有与实际可执行文件相同的指纹的顶替可执行文件放在一起。
散列函数被设计为快速的,并且在期望的输入域中生成不多的散列冲 突。散列函数必须是确定的,即,如果由相同散列函数生成的两个散列不太,则两个输入在某些方面不同。
散列函数的期望属性是混合属性:输入的小改变(例如1比特)会引起输出的大改变(例如大约比特的一半)。这称为雪崩效应。
密码散列函数假设存在可故意尝试通过相同的散列值寻找输入的对 方。良好设计的密码散列函数是“单路”操作:不存在计算将形成期望的散列值的特定数据输入的实践性方式,所以很难伪造。对于密码散列所用的函数(例如MD5)通常用作现存散列。
加密文件系统驱动器120还包括数据存储器403,其具有可以是应用散列或从中导出的应用名记录404,以及允许应用访问的文件类型405。数据存储器403可通过安全策略来管理。数据存储器403可包括两级访问。第一级访问是针对被授权非加密文件访问的应用。第二级访问是针对仅被授权加密文件访问的应用。这个第二级可包括在其中已经加密了数据的写入访问的应用。这个第二级还可包括仅允许原始加密数据的读取访问的应用,例如备份应用。
用户接口406可用于管理数据存储器内容。应用被允许访问的应用名404和文件类型405的信息可作为企业安全策略的一部分来分配。
通过使用域或组策略,系统管理员可仅定义一次策略,并且其可应用于整个组的用户/计算机。在所述系统中,对于运行用户/计算机的网络的客户,加密文件系统驱动器的配置可通过域或组策略来配置。这允许系统管理员配置应用的数据存储器。例如,其可被配置,使得仅Excel被允许读取和写入电子数据表。
配置信息可存储在许多不同位置,例如本地机器硬盘上的文件。唯一需要的是,紧紧地控制对于信息的访问,使得潜在的对方不能够获得对其的访问。如果将信息存储在本地文件中,则这个安全性可通过仅授权加密文件系统驱动器和可能对于文件进行访问的系统管理员来实现。用户接口简单地向被授权用户(例如系统管理员)提供一种浏览当前配置和在需要时发生改变的方式。
参照图5A,流程图500示出应用110的写入访问的处理。该处理开始501,并且应用打开用于写入访问的文件502。加密文件系统驱动器确定503正在打开该文件的应用。这可通过确定应用可执行文件名来进行。
加密文件系统驱动器从可执行文件的内容计算504散列。散列被计算,从而驱动器可检查发出请求的应用。由于对方(病毒、Trojan木马、或蠕虫)可将应用替换为不同操作的其自身的版本,所以仅使用可执行文件名确定应用是否应被授权访问文件并不够。
然后,确定505应用是否被授权用于写入访问。这检查应用是否被允许用于非加密访问文件。除了任意其他操作系统检查之外,这个检查是例如当前用户是否具有访问文件的许可。应用是否被授权用于写入访问的确定505引用数据存储器506,其存储他们被授权许可访问的应用和文件类型的列表。
如果没有许可该应用对于文件类型的访问,则返回507错误代码,并且该处理结束520。
如果许可该应用对于文件类型的访问,则确定508该应用是否被授权用于非加密写入访问。
如果该应用被授权用于加密写入访问,则向下层文件系统写入509数据,而不对其加密。这是因为例如如果该应用是备份应用,则数据已经被加密。然后,该处理结束520。
如果该应用被授权用于非加密写入访问,则使用相关的加密密钥来加密510数据。在密钥选择中可能存在若干不同的实施例。特别简单的方案在计算机上使用单个密钥来加密和解密对于其本地文件系统的所有数据。更复杂的实施例可使用多个密钥,可能对于每个和每一个文件的不同密钥。
将加密的数据写入511下层文件系统,并且该处理结束520。
参照图5B,流程图550示出应用110的读取访问的相应处理。处理开始551,并且应用打开用于读取访问的文件552。加密文件系统驱动器确定553正在打开该文件的应用。这可通过确定应用可执行文件名来进行。
加密文件系统驱动器从可执行文件的内容计算554散列。散列被计算,从而驱动器可检查发出请求的应用。
然后,确定555应用是否被授权用于读取访问。这检查应用是否被允许用于非加密访问文件。应用是否被授权用于读取访问的确定555引用数据存储器556,其存储他们被授权许可访问的应用和文件类型的列表。
如果没有许可该应用对于文件类型的访问,则返回557错误代码,并且该处理结束570。
如果许可该应用对于文件类型的访问,则确定558该应用是否被授权用于非加密读取访问。
如果该应用没有被授权用于非加密读取访问,则从下层文件系统读取559数据,并以其原始状态返回,而不对其解密。然后,该处理结束570。
如果该应用被授权用于非加密写入访问,则从下层文件系统读取560加密数据。然后,使用相关的加密密钥来解密561数据。在通过写入加密时,在密钥选择中可能存在若干不同的实施例。特别简单的方案在计算机上使用单个密钥来加密和解密对于其本地文件系统的所有数据。更复杂的实施例可使用多个密钥,可能对于每个和每一个文件的不同密钥。
向应用返回现在解密的数据562,并且该处理结束520。
某些已知的加密文件系统提供对于下层原始加密数据的访问;然而,这通过单独的API集来进行。这没有提供基于目的应用或处理配置访问的能力。
可在网络上提供单独地或作为文件系统的一部分的加密文件系统驱动器,作为对于客户的服务。
本发明可采用完全硬件实施例、完全软件实施例或含有硬件和软件元素两者的实施例的形式。在实施例中,本发明在软件中实现,所述软件包括但不限于固件、驻留软件、微码等。
本发明可采用计算机可用或计算机可读介质可访问的计算机程序产品的形式,所述介质提供由计算机或任意指令执行系统使用的或与其结合所使用的程序代码。为了这里说明的目的,计算机可用或计算机可读介质可以是由指令执行系统、装置或设备使用的或与其结合所使用的可含有、存储、通信、传播、或传送程序的任意装置。
介质可以是电子、磁、光、电磁、红外或半导体系统(或装置或设备)或传播介质。计算机可读介质的实例包括:半导体或固态存储器、磁带、可卸计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬盘和光盘。光盘的当前实例包括压缩盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)和DVD。
在不脱离本发明的范围的情况下,可以对于上文进行改进和修改。
Claims (23)
1.一种用于文件加密系统中的文件访问的方法,包括:
接收应用的对于加密文件的访问请求;
确定发出所述访问请求的应用;
检查所述应用是否被授权访问;以及
如果被授权,则允许所述访问请求。
2.如权利要求1所述的方法,包括:
如果所述应用被授权访问,则检查所述应用是否被授权非加密访问;以及
如果是,则允许非加密文件访问。
3.如权利要求1所述的方法,其中确定发出所述访问请求的应用的步骤包括:
计算所述应用的内容的散列值。
4.如权利要求3所述的方法,其中计算所述应用的内容的散列值的步骤对于所述应用的可执行文件应用散列函数。
5.如权利要求1所述的方法,其中检查所述应用是否被授权访问的步骤包括:检查应用被授权访问的文件类型的记录。
6.如权利要求5所述的方法,其中检查应用被授权访问的文件类型的记录的步骤包括:检查所述应用的散列值的记录。
7.如权利要求5所述的方法,其中应用被授权访问的文件类型的记录通过安全策略来管理。
8.如权利要求7所述的方法,其中所述安全策略具有用于管理员更新的安全用户接口。
9.如权利要求7所述的方法,其中所述安全策略是对于多个文件加密系统的组策略。
10.如权利要求1所述的方法,其中所述访问请求是目的应用的读取请求。
11.如权利要求10所述的方法,其中允许被授权读取访问但没有被授权非加密读取访问的应用来访问加密文件。
12.如权利要求1所述的方法,其中所述访问请求是源应用的写入请求。
13.如权利要求12所述的方法,其中允许被授权写入访问但没有被授权非加密写入访问的应用通过写入加密文件来访问加密文件。
14.一种用于加密文件访问的计算机软件产品,所述产品包括计算机可读存储介质,存储其中存储有包括计算机可执行指令的程序的计算机,所述指令在由计算机执行读取时执行以下步骤:
接收应用的对于加密文件的访问请求;
确定发出所述访问请求的应用;
检查所述应用是否被授权访问;以及
如果被授权,则允许所述访问请求。
15.一种在网络上向客户提供服务的方法,所述服务包括:
接收应用的对于加密文件的访问请求;
确定发出所述访问请求的应用;
检查所述应用是否被授权访问;以及
如果被授权,则允许所述访问请求。
16.一种文件加密系统,包括:
应用标识符,用于标识发出对于加密文件的访问请求的应用;
应用许可的数据存储器,用于访问文件类型;
用于检查应用是否被授权文件的访问的装置;以及
用于提供文件的访问的装置。
17.如权利要求16所述的系统,包括:
用于检查应用是否被授权非加密访问的装置;以及
用于提供非加密文件的访问的加密或解密装置。
18.如权利要求16所述的系统,其中所述应用标识符包括:散列函数,用于计算所述应用的内容的散列值。
19.如权利要求18所述的系统,其中用于计算所述应用的内容的散列值的散列函数对于所述应用的可执行文件应用散列函数。
20.如权利要求16所述的系统,其中用于访问文件类型的应用许可的数据存储器通过散列值来标识应用。
21.如权利要求20所述的系统,包括:用以管理用于访问文件类型的应用许可的数据存储器的安全装置。
22.如权利要求21所述的系统,其中所述安全装置具有安全用户接口,用于由管理员更新安全策略。
23.如权利要求20所述的系统,其中所述安全装置管理对于多个文件加密系统的组策略。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP08150873.1 | 2008-01-31 | ||
| EP08150873 | 2008-01-31 | ||
| PCT/EP2009/050953 WO2009095413A2 (en) | 2008-01-31 | 2009-01-28 | Method and system for encrypted file access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101925913A true CN101925913A (zh) | 2010-12-22 |
Family
ID=40801962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801031339A Pending CN101925913A (zh) | 2008-01-31 | 2009-01-28 | 加密文件访问的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8352735B2 (zh) |
| KR (1) | KR20100114066A (zh) |
| CN (1) | CN101925913A (zh) |
| WO (1) | WO2009095413A2 (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104331408A (zh) * | 2012-01-26 | 2015-02-04 | 阿普赛尔有限公司 | 分级内容可寻址存储系统中的块级客户端侧加密 |
| WO2015139571A1 (en) * | 2014-03-21 | 2015-09-24 | Hangzhou H3C Technologies Co., Ltd. | Data protection |
| CN105046162A (zh) * | 2014-03-12 | 2015-11-11 | 阿普赛尔有限公司 | 在内容可寻址存储系统中维护并使用子对父映射的缓存 |
| CN105122255A (zh) * | 2012-12-17 | 2015-12-02 | 微软技术许可有限责任公司 | 权限受管的代码 |
| CN102938039B (zh) * | 2011-09-09 | 2016-03-16 | 微软技术许可有限责任公司 | 针对应用的选择性文件访问 |
| US9679130B2 (en) | 2011-09-09 | 2017-06-13 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
| US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
| US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
| CN108293050A (zh) * | 2015-11-30 | 2018-07-17 | 微软技术许可有限责任公司 | 用于基于速度事件检测对于云应用的未授权访问的技术 |
| CN108521419A (zh) * | 2018-04-04 | 2018-09-11 | 广州赛姆科技资讯股份有限公司 | 监察系统文件的访问处理方法、装置和计算机设备 |
| US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
| CN110929302A (zh) * | 2019-10-31 | 2020-03-27 | 东南大学 | 一种数据安全加密存储方法及存储装置 |
| CN113228012A (zh) * | 2018-12-14 | 2021-08-06 | 西门子股份公司 | 用于鉴别fpga配置的方法和设备 |
| US20210294910A1 (en) * | 2020-03-18 | 2021-09-23 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11841970B1 (en) * | 2007-09-26 | 2023-12-12 | Trend Micro Incorporated | Systems and methods for preventing information leakage |
| CN101925913A (zh) * | 2008-01-31 | 2010-12-22 | 国际商业机器公司 | 加密文件访问的方法和系统 |
| US20090196417A1 (en) * | 2008-02-01 | 2009-08-06 | Seagate Technology Llc | Secure disposal of storage data |
| DE102009054128A1 (de) * | 2009-11-20 | 2011-05-26 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers |
| US9721090B2 (en) * | 2010-04-29 | 2017-08-01 | Safend Ltd. | System and method for efficient inspection of content |
| DE102010037651B4 (de) * | 2010-09-20 | 2018-02-01 | Kobil Systems Gmbh | Verfahren zur Prüfung von Aktionen mit Daten |
| US9165285B2 (en) | 2010-12-08 | 2015-10-20 | Microsoft Technology Licensing, Llc | Shared attachments |
| US9137185B2 (en) * | 2011-04-28 | 2015-09-15 | Microsoft Technology Licensing, Llc | Uploading attachment to shared location and replacing with a link |
| US8682989B2 (en) | 2011-04-28 | 2014-03-25 | Microsoft Corporation | Making document changes by replying to electronic messages |
| US11308449B2 (en) | 2011-04-28 | 2022-04-19 | Microsoft Technology Licensing, Llc | Storing metadata inside file to reference shared version of file |
| US10552799B2 (en) * | 2011-04-28 | 2020-02-04 | Microsoft Technology Licensing, Llc | Upload of attachment and insertion of link into electronic messages |
| US10185932B2 (en) | 2011-05-06 | 2019-01-22 | Microsoft Technology Licensing, Llc | Setting permissions for links forwarded in electronic messages |
| US8965983B2 (en) | 2011-05-06 | 2015-02-24 | Microsoft Technology Licensing, Llc | Changes to documents are automatically summarized in electronic messages |
| TWI449443B (zh) * | 2011-09-19 | 2014-08-11 | Wistron Neweb Corp | 用於行動裝置中對文檔加解密之方法及裝置 |
| US9256758B2 (en) * | 2011-11-29 | 2016-02-09 | Dell Products L.P. | Mode sensitive encryption |
| US9262420B1 (en) | 2012-04-23 | 2016-02-16 | Google Inc. | Third-party indexable text |
| US9195840B2 (en) * | 2012-04-23 | 2015-11-24 | Google Inc. | Application-specific file type generation and use |
| US8751493B2 (en) | 2012-04-23 | 2014-06-10 | Google Inc. | Associating a file type with an application in a network storage service |
| US9148429B2 (en) | 2012-04-23 | 2015-09-29 | Google Inc. | Controlling access by web applications to resources on servers |
| US9317709B2 (en) | 2012-06-26 | 2016-04-19 | Google Inc. | System and method for detecting and integrating with native applications enabled for web-based storage |
| GB2506604A (en) * | 2012-10-02 | 2014-04-09 | F Secure Corp | Method of selectively decrypting encrypted files |
| US9396349B1 (en) * | 2012-11-02 | 2016-07-19 | Emc Corporation | Method and apparatus for sharing data from a secured environment |
| US9529785B2 (en) | 2012-11-27 | 2016-12-27 | Google Inc. | Detecting relationships between edits and acting on a subset of edits |
| US9430578B2 (en) | 2013-03-15 | 2016-08-30 | Google Inc. | System and method for anchoring third party metadata in a document |
| US9727577B2 (en) | 2013-03-28 | 2017-08-08 | Google Inc. | System and method to store third-party metadata in a cloud storage system |
| US9461870B2 (en) | 2013-05-14 | 2016-10-04 | Google Inc. | Systems and methods for providing third-party application specific storage in a cloud-based storage system |
| US9460296B2 (en) * | 2013-07-19 | 2016-10-04 | Appsense Limited | Systems, methods and media for selective decryption of files containing sensitive data |
| US9971752B2 (en) | 2013-08-19 | 2018-05-15 | Google Llc | Systems and methods for resolving privileged edits within suggested edits |
| US9348803B2 (en) | 2013-10-22 | 2016-05-24 | Google Inc. | Systems and methods for providing just-in-time preview of suggestion resolutions |
| JP5750497B2 (ja) | 2013-12-11 | 2015-07-22 | 株式会社アイキュエス | アクセス制御装置、プログラム及びアクセス制御システム |
| US9373003B2 (en) | 2014-06-27 | 2016-06-21 | Appsense Limited | Systems and methods for automatically handling multiple levels of encryption and decryption |
| US10628597B2 (en) | 2016-04-14 | 2020-04-21 | Sophos Limited | Just-in-time encryption |
| AU2016392715B2 (en) * | 2016-02-12 | 2020-07-23 | Sophos Limited | Encryption techniques |
| US9984248B2 (en) | 2016-02-12 | 2018-05-29 | Sophos Limited | Behavioral-based control of access to encrypted content by a process |
| US10791097B2 (en) | 2016-04-14 | 2020-09-29 | Sophos Limited | Portable encryption format |
| US10650154B2 (en) | 2016-02-12 | 2020-05-12 | Sophos Limited | Process-level control of encrypted content |
| US10681078B2 (en) | 2016-06-10 | 2020-06-09 | Sophos Limited | Key throttling to mitigate unauthorized file access |
| US10686827B2 (en) | 2016-04-14 | 2020-06-16 | Sophos Limited | Intermediate encryption for exposed content |
| US10460119B2 (en) * | 2016-02-26 | 2019-10-29 | Intuit Inc. | IDPS access-controlled and encrypted file system design |
| US10341298B1 (en) * | 2016-03-29 | 2019-07-02 | Amazon Technologies, Inc. | Security rules for application firewalls |
| GB2551983B (en) | 2016-06-30 | 2020-03-04 | Sophos Ltd | Perimeter encryption |
| US10546142B2 (en) * | 2016-08-23 | 2020-01-28 | Intralinks, Inc. | Systems and methods for zero-knowledge enterprise collaboration |
| US11132451B2 (en) * | 2017-08-31 | 2021-09-28 | Parity Technologies Ltd. | Secret data access control systems and methods |
| CN114238232B (zh) * | 2021-12-15 | 2024-04-02 | 南方电网电力科技股份有限公司 | 一种智能电表文件读写系统、方法、设备和介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150750A1 (en) * | 2005-12-26 | 2007-06-28 | Kabushiki Kaisha Toshiba | Information processing apparatus and access control method |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB9126779D0 (en) | 1991-12-17 | 1992-02-12 | Int Computers Ltd | Security mechanism for a computer system |
| US5584023A (en) * | 1993-12-27 | 1996-12-10 | Hsu; Mike S. C. | Computer system including a transparent and secure file transform mechanism |
| EP0862124A3 (en) * | 1997-02-28 | 2003-03-26 | Fujitsu Limited | File access system for efficiently accessing a file having encrypted data within a storage device |
| US20010044901A1 (en) * | 1998-03-24 | 2001-11-22 | Symantec Corporation | Bubble-protected system for automatic decryption of file data on a per-use basis and automatic re-encryption |
| JP4089171B2 (ja) | 2001-04-24 | 2008-05-28 | 株式会社日立製作所 | 計算機システム |
| US7167982B2 (en) * | 2001-09-14 | 2007-01-23 | Lenovo (Singapore) Pte Ltd. | Securing decrypted files in a shared environment |
| US7725490B2 (en) * | 2001-11-16 | 2010-05-25 | Crucian Global Services, Inc. | Collaborative file access management system |
| KR100463842B1 (ko) * | 2001-12-27 | 2004-12-29 | 한국전자통신연구원 | 파일 보안 시스템의 키 관리 장치와 암호키 관리방법 |
| JP4007873B2 (ja) * | 2002-07-09 | 2007-11-14 | 富士通株式会社 | データ保護プログラムおよびデータ保護方法 |
| US6931530B2 (en) * | 2002-07-22 | 2005-08-16 | Vormetric, Inc. | Secure network file access controller implementing access control and auditing |
| JP2005235071A (ja) | 2004-02-23 | 2005-09-02 | Nec Corp | 情報処理装置、情報処理方法、プログラム及び記録媒体 |
| US7599907B2 (en) * | 2004-11-30 | 2009-10-06 | Microsoft Corporation | Method and system applying policy on screened files |
| US8739291B2 (en) * | 2005-01-27 | 2014-05-27 | Nokia Corporation | System and method for providing access to OMA DRM protected files from java application |
| CN1885226A (zh) * | 2005-06-24 | 2006-12-27 | 网际威信控股公司 | 资料加解密方法及执行该方法的储存媒体及加解密模块 |
| US20100153671A1 (en) * | 2005-12-01 | 2010-06-17 | Drive Sentry Inc. | System and method to secure a computer system by selective control of write access to a data storage medium |
| US8060744B2 (en) * | 2006-03-23 | 2011-11-15 | Harris Corporation | Computer architecture for an electronic device providing single-level secure access to multi-level secure file system |
| JP2007328770A (ja) * | 2006-05-10 | 2007-12-20 | Ricoh Co Ltd | 情報処理装置、アクセス制御方法、アクセス制御プログラム、記録媒体、及び画像形成装置 |
| CN101925913A (zh) * | 2008-01-31 | 2010-12-22 | 国际商业机器公司 | 加密文件访问的方法和系统 |
-
2009
- 2009-01-28 CN CN2009801031339A patent/CN101925913A/zh active Pending
- 2009-01-28 WO PCT/EP2009/050953 patent/WO2009095413A2/en active Application Filing
- 2009-01-28 KR KR1020107017714A patent/KR20100114066A/ko not_active Application Discontinuation
- 2009-01-28 US US12/361,268 patent/US8352735B2/en not_active Expired - Fee Related
-
2013
- 2013-01-01 US US13/732,421 patent/US8799651B2/en not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070150750A1 (en) * | 2005-12-26 | 2007-06-28 | Kabushiki Kaisha Toshiba | Information processing apparatus and access control method |
Non-Patent Citations (1)
| Title |
|---|
| 陈尚义: "透明文件加解密技术及其应用", 《信息安全与通信保密》 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102938039B (zh) * | 2011-09-09 | 2016-03-16 | 微软技术许可有限责任公司 | 针对应用的选择性文件访问 |
| US9679130B2 (en) | 2011-09-09 | 2017-06-13 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
| US9773102B2 (en) | 2011-09-09 | 2017-09-26 | Microsoft Technology Licensing, Llc | Selective file access for applications |
| US10469622B2 (en) | 2011-09-12 | 2019-11-05 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
| US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
| CN104331408A (zh) * | 2012-01-26 | 2015-02-04 | 阿普赛尔有限公司 | 分级内容可寻址存储系统中的块级客户端侧加密 |
| US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
| CN105122255A (zh) * | 2012-12-17 | 2015-12-02 | 微软技术许可有限责任公司 | 权限受管的代码 |
| US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
| CN105046162B (zh) * | 2014-03-12 | 2018-07-27 | 西部数据技术公司 | 在内容可寻址存储系统中维护并使用子对父映射的缓存 |
| CN105046162A (zh) * | 2014-03-12 | 2015-11-11 | 阿普赛尔有限公司 | 在内容可寻址存储系统中维护并使用子对父映射的缓存 |
| WO2015139571A1 (en) * | 2014-03-21 | 2015-09-24 | Hangzhou H3C Technologies Co., Ltd. | Data protection |
| CN108293050A (zh) * | 2015-11-30 | 2018-07-17 | 微软技术许可有限责任公司 | 用于基于速度事件检测对于云应用的未授权访问的技术 |
| CN108293050B (zh) * | 2015-11-30 | 2021-04-27 | 微软技术许可有限责任公司 | 基于速度事件检测对于云应用的未授权访问的方法和系统 |
| CN108521419A (zh) * | 2018-04-04 | 2018-09-11 | 广州赛姆科技资讯股份有限公司 | 监察系统文件的访问处理方法、装置和计算机设备 |
| CN113228012A (zh) * | 2018-12-14 | 2021-08-06 | 西门子股份公司 | 用于鉴别fpga配置的方法和设备 |
| CN110929302A (zh) * | 2019-10-31 | 2020-03-27 | 东南大学 | 一种数据安全加密存储方法及存储装置 |
| CN110929302B (zh) * | 2019-10-31 | 2022-08-26 | 东南大学 | 一种数据安全加密存储方法及存储装置 |
| US20210294910A1 (en) * | 2020-03-18 | 2021-09-23 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
| US12056251B2 (en) * | 2020-03-18 | 2024-08-06 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
Also Published As
| Publication number | Publication date |
|---|---|
| US8799651B2 (en) | 2014-08-05 |
| US20130117811A1 (en) | 2013-05-09 |
| US8352735B2 (en) | 2013-01-08 |
| KR20100114066A (ko) | 2010-10-22 |
| WO2009095413A3 (en) | 2010-04-29 |
| WO2009095413A2 (en) | 2009-08-06 |
| US20090210721A1 (en) | 2009-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101925913A (zh) | 加密文件访问的方法和系统 | |
| JP6609010B2 (ja) | 複数許可データセキュリティ及びアクセス | |
| US8245042B2 (en) | Shielding a sensitive file | |
| US9070112B2 (en) | Method and system for securing documents on a remote shared storage resource | |
| US8204233B2 (en) | Administration of data encryption in enterprise computer systems | |
| US8863305B2 (en) | File-access control apparatus and program | |
| WO2020219178A1 (en) | Method, system and computer readable storage medium for accessibility controls in distributed data systems | |
| US20070074038A1 (en) | Method, apparatus and program storage device for providing a secure password manager | |
| CN105103119A (zh) | 数据安全服务系统 | |
| KR20100133953A (ko) | 데이터를 안전하게 하는 시스템 및 방법 | |
| US20080235521A1 (en) | Method and encryption tool for securing electronic data storage devices | |
| US9202074B1 (en) | Protection of shared data | |
| US9824231B2 (en) | Retention management in a facility with multiple trust zones and encryption based secure deletion | |
| US20130177156A1 (en) | Encrypted Data Processing | |
| US10726104B2 (en) | Secure document management | |
| US8499357B1 (en) | Signing a library file to verify a callback function | |
| US20230107805A1 (en) | Security System | |
| US8738531B1 (en) | Cryptographic distributed storage system and method | |
| Mandhare et al. | A Proposal on Protecting Data Leakages In Cloud Computing | |
| WO2022199796A1 (en) | Method and computer-based system for key management | |
| KR102631080B1 (ko) | 동형 암호화를 사용한 도커 이미지 인증 장치 및 방법 | |
| Beley et al. | A Management of Keys of Data Sheet in Data Warehouse | |
| Mani | Survey Paper For Enabling Dynamic Operations Of Outsourced Data On Cloud Storage System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101222 |