CN103684780B - 基于域的文件加密防护方法 - Google Patents
基于域的文件加密防护方法 Download PDFInfo
- Publication number
- CN103684780B CN103684780B CN201310548143.1A CN201310548143A CN103684780B CN 103684780 B CN103684780 B CN 103684780B CN 201310548143 A CN201310548143 A CN 201310548143A CN 103684780 B CN103684780 B CN 103684780B
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- file
- client
- symmetric cryptographic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000008569 process Effects 0.000 claims abstract description 6
- 239000000284 extract Substances 0.000 claims description 5
- 239000012634 fragment Substances 0.000 claims description 4
- 239000000203 mixture Substances 0.000 claims description 2
- 230000007547 defect Effects 0.000 abstract 1
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000011017 operating method Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 235000015170 shellfish Nutrition 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于域的文件加密防护方法。主要解决域内电子文档共享、存储、传播过程中安全性问题。针对现有文档防护技术的不足,提出一种基于域的电子文档加密方法,对域内所有涉密电子文档进行加密,实现涉密文档加密存储、域内涉密文件透明流转,涉密文件拷贝到域外或上传到互联网无法解析。
Description
技术领域
本发明涉及信息安全技术领域的文件加密防护方法,主要用于解决区域内的文件共享存储安全问题。
背景技术
随着信息化水平的提高,网络无纸化办公日渐盛行,电子文档在线流转在给人们带来便利的同时也给电子文档带来了安全隐患,员工拷贝传播涉密的电子文档,通过网络上传涉密电子文档信息等,如何控制涉密文档在区域内自由流转,同时防范电子文档扩大范围传播已经成为公司亟待解决的问题。
在部分涉密单位或者大型企业中,建设了统一文档防护服务端和CA认证中心,对公司员工统一发放U盾或文件证书,对涉密文件加密传输、加密存储、权限控制。这种方式能够解决电子文档的安全性问题,但同时存在一些问题,部署统一文档防护服务器和CA认证中心,成本较高,文档交互涉及认证,对CA认证中心依赖程度较高。
发明内容
针对现有技术的不足,本发明提出的是一种基于域的电子文档加密方法,对域内所有涉密电子文档进行加密,实现涉密文档加密存储、域内涉密文件透明流转,涉密文件拷贝到域外或上传到互联网无法解析:
1)对称密钥库生成,生成256行256列的密钥碎片表,每单元存放4字节的密钥碎片。
2)对称密钥库加密,对密钥库用服务端私钥加密并生成密钥库校验信息。对称密钥库加密传输,用户需要更新对称密钥库时,对密钥库用用户密码对称加密后传输。
3)文档透明加解密,文档加密时自动生成加密密钥编码,解密时根据加密密钥编码提取加密密钥对文档解密。
本发明的技术方案是提供一种基于域的文件加密防护方法,其特征在于,其加密文件的过程包括以下步骤:
1)管理员设定域共有的一对公钥和私钥,该公钥存储于客户端;
2)服务端随机生成对称加密密钥,并利用私钥进行非对称加密后存储于服务端的对称加密密钥库;
3)用户在客户端登录服务端,并下载服务端的对称加密密钥,然后利用公钥对其进行解密;
4)客户端的文件驱动层自动调用加密模块随机生成文件加密密钥编码,然后利用该文件加密密钥编码对文件进行加密运算;
5)利用下载的对称加密密钥对该文件加密密钥编码进行加密运算后生成加密密钥信息,并生成包括该加密密钥信息的加密头文件信息;
6)将加密头文件信息添加到加密后的文件中,即生成加密文件;
其解密文件的过程包括:
7)客户端的文件驱动层自动调用解密模块,解密模块提取加密文件对应的加密头文件信息后,提取其中的加密密钥信息;
8)利用下载的对称加密密钥对加密密钥信息进行解密运算,获得加密密钥编码;
9)利用该加密密钥编码对文件进行解密运算,获得解密后的文件。
优选的,所述对称加密密钥由256行256列密钥碎片组成。
优选的,所述步骤3)中,用户以用户名加密码的方式登录客户端;所述对称加密密钥在从服务端下载到客户端前先通过用户登录客户端的密码进行加密,所述对称加密密钥在从服务端下载到客户端后先通过用户登录客户端的密码进行解密。
优选的,所述步骤3)中,用户下载所述对称加密密钥时,需进行短信码验证。
优选的,所述步骤3)中,用户下载的所述对称加密密钥存储于客户端。
优选的,所述对称加密密钥库定期更新,每次更新后其中的对称加密密钥都有相应的版本号。
优选的,所述步骤3)中,下载的对称加密密钥为最新版本的对称加密密钥。
优选的,所述加密头文件信息还包括对称加密密钥的版本信息。
优选的,所述步骤8)中的对称加密密钥为之前从服务端下载的并存储于客户端的对称加密密钥;如果客户端没有存储所述对称加密密钥或者该对称加密密钥的版本与加密文件的对称加密密钥的版本不一致,则用户需要在客户端登录服务端,并从服务端下载与加密文件的对称加密密钥的版本一致的对称加密密钥,然后利用公钥对其进行解密。
本发明的进一步方案可以是:客户端通过B/S的方式登录文件加密服务端。
本发明的进一步方案可以是:文件加密服务端生成M行N列对称密钥库。
本发明的进一步方案可以是:文件加密服务端增加密钥库校验信息。
本发明的进一步方案可以是:客户端文件创建、读、写、修改、删除全生命周期监控。
本发明的进一步方案可以是:客户端U盘拷贝,文件上传等泄密行为监控。
本发明的进一步方案可以是:文件外发审计,外发文件自定义加密。
本发明可以实现以下应用效果:
1)通过部署域文件防护系统,对域内客户端统一生成加密密钥库;
2)文件防护服务端通过U/P和短信认证码的方式对客户端认证;
3)客户端自动调用加密模块生成加密文件,文件加密存储;
4)域内客户端加密文件交互,客户端根据文件加密密钥库版本及密钥编码信息自动解密,实现文件流转透明加解密;
5)客户端U盘拷贝、外发、网络上传等操作传播的都为加密文件,文件无法打开;
6)客户端处于离线状态下能够实现文件加解密功能,文件加密服务端单点故障时,增加系统可靠性。
附图说明
下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1是本发明框架示意图;
图2是本发明的服务端密钥库生成流程图;
图3是客户端密钥库更新流程图;
图4是客户端文件加密流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合实施例及实施例附图对本发明作进一步详细的说明。
如附图1所示,在服务端,部署密钥库生成模块,生成对称密钥碎片库,配置管理模块配置域内用户信息、密码、手机号、当前版本信息等,日志审计模块审计文件操作日志信息,认证模块实现用户名密码手机短信双因素认证。
在客户端,部署文件加密模块,对文件透明加密,文件解密模块对文件透明解密,日志模块对文件全生命周期监控,认证模块提供和服务端认证接口,通信模块提供和服务端通信接口。
系统提供日志数据库作为文件全生命周期监控的数据支撑,对称密钥库存放文件对称密钥信息等。
附图2显示本方法包含的服务端密钥库生成操作步骤:
1)服务端生成256行256列密钥库及库编号;
2)服务端生成密钥库哈希校验信息;
3)服务端生成对称密钥对密钥库加密;
4)对称密钥对密钥库哈希校验信息加密;
5)服务端域的私钥对对称密钥加密。
附图3显示本方法包含的密钥库更新操作步骤:
1)服务端生成密钥库后通知客户端下载更新密钥库;
2)用户输入用户名密码信息手动更新密钥库;
3)服务端校验成功后向客户端发送手机校验码信息;
4)客户端提交手机校验码信息;
5)服务端校验手机校验码信息;
6)服务端校验成功后,客户端下载对称密钥库信息。
附图4显示客户端文件加密操作步骤:
1)客户端调用文件加密接口,传送要加密文件、权限等信息;
2)加密程序随机生成密钥编码;
3)加密程序查询对应的密钥;
4)针对要保护的文件头内容及文件内容,生成哈希校验码;
5)使用加密密钥对文件内容进行加密;
6)使用加密秘钥对哈希校验码加密;
7)生成文件文件头;
8)生成加密文件。
一个典型的交互示例:一个域共用一个公私钥密钥对,公钥以字符串形式静态存储与客户端程序中,服务端定期更新密钥库,每个密钥库由256行256列表构成,密钥库更新加密后通知客户端,服务端对客户端认证,客户端认证通过后下载密钥库。客户端文件创建保存时自动调用调用加密接口,加密接口自动生成加密密钥编码,根据加密密钥编码信息提取文件加密密钥,对文件加密。客户端U盘拷贝、外发、网络上传等操作传播的都为加密文件,文件无法打开。客户端处于离线状态下能够实现文件加解密功能,文件加密服务端单点故障时,增加系统可靠性。域间文件转发自定义文件加密密钥,采用电话短信等方式密钥交互。
以上所述,仅为本发明的具体实施方式。本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求所界定的保护范围为准。
Claims (9)
1.一种基于域的文件加密防护方法,其特征在于,其加密文件的过程包括以下步骤:
1)管理员设定域共有的一对公钥和私钥,该公钥存储于客户端;
2)服务端随机生成对称加密密钥,并利用私钥进行非对称加密后存储于服务端的对称加密密钥库;
3)用户在客户端登录服务端,并下载服务端的对称加密密钥,然后利用公钥对其进行解密;
4)客户端的文件驱动层自动调用加密模块随机生成文件加密密钥编码,然后利用该文件加密密钥编码对文件进行加密运算;
5)利用下载的对称加密密钥对该文件加密密钥编码进行加密运算后生成加密密钥信息,并生成包括该加密密钥信息的加密头文件信息;
6)将加密头文件信息添加到加密后的文件中,即生成加密文件;
其解密文件的过程包括:
7)客户端的文件驱动层自动调用解密模块,解密模块提取加密文件对应的加密头文件信息后,提取其中的加密密钥信息;
8)利用下载的对称加密密钥对加密密钥信息进行解密运算,获得文件加密密钥编码;
9)利用该文件加密密钥编码对文件进行解密运算,获得解密后的文件。
2.根据权利要求1所述的方法,其特征在于,所述对称加密密钥由256行256列密钥碎片组成。
3.根据权利要求2所述的方法,其特征在于,所述步骤3)中,用户以用户名加密码的方式登录客户端;所述对称加密密钥在从服务端下载到客户端前先通过用户登录客户端的密码进行加密,所述对称加密密钥在从服务端下载到客户端后先通过用户登录客户端的密码进行解密。
4.根据权利要求3所述的方法,其特征在于,所述步骤3)中,用户下载所述对称加密密钥时,需进行短信码验证。
5.根据权利要求4所述的方法,其特征在于,所述步骤3)中,用户下载的所述对称加密密钥存储于客户端。
6.根据权利要求5所述的方法,其特征在于,所述对称加密密钥库定期更新,每次更新后其中的对称加密密钥都有相应的版本号。
7.根据权利要求6所述的方法,其特征在于,所述步骤3)中,下载的对称加密密钥为最新版本的对称加密密钥。
8.根据权利要求7所述的方法,其特征在于,所述加密头文件信息还包括对称加密密钥的版本信息。
9.根据权利要求8所述的方法,其特征在于,所述步骤8)中的对称加密密钥为之前从服务端下载的并存储于客户端的对称加密密钥;如果客户端没有存储所述对称加密密钥或者该对称加密密钥的版本与加密文件的对称加密密钥的版本不一致,则用户需要在客户端登录服务端,并从服务端下载与加密文件的对称加密密钥的版本一致的对称加密密钥,然后利用公钥对其进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310548143.1A CN103684780B (zh) | 2013-11-08 | 2013-11-08 | 基于域的文件加密防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310548143.1A CN103684780B (zh) | 2013-11-08 | 2013-11-08 | 基于域的文件加密防护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103684780A CN103684780A (zh) | 2014-03-26 |
| CN103684780B true CN103684780B (zh) | 2017-02-15 |
Family
ID=50321174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310548143.1A Active CN103684780B (zh) | 2013-11-08 | 2013-11-08 | 基于域的文件加密防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103684780B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105260668B (zh) * | 2015-10-10 | 2018-07-24 | 北京搜狗科技发展有限公司 | 一种文件加密方法及电子设备 |
| CN108111546A (zh) * | 2018-03-02 | 2018-06-01 | 瓦戈科技(上海)有限公司 | 一种文件传输方法及系统 |
| CN110879713B (zh) * | 2018-09-06 | 2023-06-20 | 山东华软金盾软件股份有限公司 | 一种android端强加密插件热更新管理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN102664740A (zh) * | 2012-05-02 | 2012-09-12 | 四川建设网有限责任公司 | 一种基于远程授权的招投标文件加解密方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7272231B2 (en) * | 2003-01-27 | 2007-09-18 | International Business Machines Corporation | Encrypting data for access by multiple users |
-
2013
- 2013-11-08 CN CN201310548143.1A patent/CN103684780B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710380A (zh) * | 2009-12-22 | 2010-05-19 | 中国软件与技术服务股份有限公司 | 电子文件安全防护方法 |
| CN101989984A (zh) * | 2010-08-24 | 2011-03-23 | 北京易恒信认证科技有限公司 | 电子文件安全共享系统及方法 |
| CN102664740A (zh) * | 2012-05-02 | 2012-09-12 | 四川建设网有限责任公司 | 一种基于远程授权的招投标文件加解密方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于数字信封的电子公文安全交换系统设计与实现;杨光;《莆田学院学报》;20131031;第20卷(第5期);全文 * |
| 基于数字信封的高强度文件加密的应用研究;赵延博 等;《计算机工程与设计》;20070930;第28卷(第18期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103684780A (zh) | 2014-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109858262B (zh) | 基于区块链系统的流程审批方法、装置、系统及存储介质 | |
| US9537864B2 (en) | Encryption system using web browsers and untrusted web servers | |
| US11936776B2 (en) | Secure key exchange electronic transactions | |
| US11683158B1 (en) | Database encryption key management | |
| US10972264B2 (en) | Method for realizing network electronic identity identification information protection based on key dispersion calculation | |
| CN100561916C (zh) | 一种更新认证密钥的方法和系统 | |
| CN101510888B (zh) | 一种SaaS应用下提高数据安全性的方法、装置及系统 | |
| CN103259651B (zh) | 一种对终端数据加解密的方法及系统 | |
| CN103647784B (zh) | 一种公私隔离的方法和装置 | |
| US11394543B2 (en) | System and method for secure sensitive data storage and recovery | |
| CN106254342A (zh) | Android平台下支持文件加密的安全云存储方法 | |
| CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
| CN102821098A (zh) | 云环境下即时通讯消息自溶解系统及方法 | |
| CN103312690A (zh) | 一种云计算平台的密钥管理系统及方法 | |
| CN107426223A (zh) | 云文档加密及解密方法、加密及解密装置、以及处理系统 | |
| US9350736B2 (en) | System and method for isolating mobile data | |
| CN103684780B (zh) | 基于域的文件加密防护方法 | |
| CN113626859A (zh) | 支持密钥托管个人文件加密保护方法、系统、设备、介质 | |
| CN101106451B (zh) | 一种数据的传送方法和设备 | |
| Raso et al. | ABEBox: A data driven access control for securing public cloud storage with efficient key revocation | |
| CN107689867B (zh) | 一种在开放环境下的密钥保护方法和系统 | |
| CN114329559A (zh) | 一种外挂式重要数据保护系统及其保护方法 | |
| Chuan et al. | Flexible yet secure de-duplication service for enterprise data on cloud storage | |
| CN115102694A (zh) | 一种基于中心化存储的敏感信息共享方法和系统 | |
| CN110691069B (zh) | 终端高权密码的维护管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100761 West Chang'an Avenue, Beijing, No. 86, No. Co-patentee after: NARI Group Corp. Patentee after: State Grid Corporation of China Co-patentee after: NARI INFORMATION AND COMMUNICATION TECHNOLOGY Co. Address before: 100761 West Chang'an Avenue, Beijing, No. 86, No. Co-patentee before: NARI Group CORPORATION STATE GRID ELECTRIC POWER INSTITUTE Patentee before: State Grid Corporation of China Co-patentee before: NARI INFORMATION AND COMMUNICATION TECHNOLOGY Co. |
|
| CP01 | Change in the name or title of a patent holder |