CN103916480A - 一种面向共享文件的文件加密系统 - Google Patents
一种面向共享文件的文件加密系统 Download PDFInfo
- Publication number
- CN103916480A CN103916480A CN201410151619.2A CN201410151619A CN103916480A CN 103916480 A CN103916480 A CN 103916480A CN 201410151619 A CN201410151619 A CN 201410151619A CN 103916480 A CN103916480 A CN 103916480A
- Authority
- CN
- China
- Prior art keywords
- file
- encryption
- encrypt
- encrypted
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明涉及一种面向共享文件的文件加密系统,所述系统包括加密文件、文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统。所述加密文件用于多个用户之间共享使用,涉及的共享用户包括个人共享用户和群体共享用户;所述群体共享用户由加密文件的群体共享策略规定;所述加密文件有一个称为文件加密密钥的随机对称密钥,用于加密文件的文件数据和群体共享策略的加密;文件加密密钥被每个个人共享用户的公钥以及一个共享加密公钥分别加密后连同加密的群体共享策略一起保存在加密文件中。通过文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统能实现对文件的加密和解密以及加密文件个人共享用户和群体共享策略的管理。
Description
技术领域
本发明属于信息安全技术领域,是一种面向共享文件的文件加密系统,特别是一种适合通过云存储或传输复制在多人之间共享使用文件的文件加密系统。
背景技术
文件云存储给用户带来了极大的方便,受到了广大用户的广泛欢迎。现在不但个人用户在使用文件云存储系统,而且越来越多的企业、机构特别是中小企业、机构也在使用文件云存储系统,包括公共云存储服务系统。
目前许多的文件云存储系统都提供有文件共享功能,即一个用户在将一个文件上传到文件云存储系统的云端系统的同时指定能使用文件的特定用户,包括指定特定的个人用户或用户群。目前的文件云存储系统大多是通过访问控制机制来实现文件的安全共享。这种技术方案的缺点是:若共享文件是涉及个人隐私或涉及企业秘密的文件,那么云存储系统的运行维护者(运维者)是能够看到共享文件的内容的,或者出现由于遭受黑客攻击而导致私密信息泄露的情况,这些却是用户不愿意看到的。解决这一安全问题的最好解决方案是在用户将文件上传到云存储系统的云端系统前先对文件加密,并保证只有被许可的用户才能解密被加密的文件(加密文件)。但这种方案也存在一个问题,如何在被许可使用加密文件的用户包括个人用户和群体用户之间分发、共享加密文件的加密密钥?显然,在被许可的用户之间直接共享文件的加密密钥的技术方案是不可取的,因为这不但麻烦,而且不安全,因此,需要采用一种更适合的方案,这种方案不但能够使得一个企业、机构内指定的个人和群体用户(包括指定的个人,或属于某个群组或拥有特定角色的群体用户)能够使用共享文件,且这种技术方案的实施能尽可能地不依赖于云存储系统的运维者及其系统。
除了通过云存储系统进行文件共享外,人们在日常工作中也常常通过网络传输(如电子邮件)或文件复制在用户之间包括个人和用户群之间共享使用文件。同样地,如果这些文件涉及私密或秘密信息,也需要采用安全保护措施来保证文件在共享使用过程中是安全的,只有被授权、被许可的用户才能使用,若采用文件加密的技术方案,这同样涉及文件的加密密钥在共享用户之间进行分发和共享的问题。
针对网络文件存储系统包括云存储系统中的共享文件的安全加密问题,本发明申请人在其专利申请“一种安全文件共享系统”(专利申请号:201310556143.6)和专利申请“一种基于用户模式文件系统的安全网络文件系统”(专利申请号:201410104937.3)中分别提出了解决方案。专利申请201310556143.6中的技术方案是:解密一个加密文件的访问控制策略由上传文件的用户在用户端自主设置的访问控制策略同文件共享服务器针对上传文件的访问控制策略共同组成;解密一个加密文件的所有访问控制策略(包括用户自主设置的和文件共享服务器设置的访问控制策略)同加密该文件的随机对称密钥一起被一个文件共享加密公钥(公共加密公钥)加密后形成加密文件的密钥数据,所形成的密钥数据同加密文件一起保存在文件共享服务器上。当一个用户需要解密从文件共享服务器下载的加密文件时,需要将包含文件访问控制策略和随机对称密钥的密钥数据提交到一个共享文件解密服务器,由共享文件解密服务器利用文件共享公钥所对应的私钥对文件的密钥数据进行解密,获得文件的访问控制策略和随机对称密钥,并根据文件访问控制策略以及从一个身份管理系统获取的用户身份信息确定当前用户是否被允许解密加密文件,若允许,则将解密获得用于对文件进行加密的随机对称密钥返回给用户用于解密加密文件。专利申请201310556143.6中的技术方案的局限性在于,所有的文件解密操作处理需经过共享文件解密服务器才能完成。
专利申请201410104937.3中的技术方案在专利申请201310556143.6的技术方案的基础上增加了针对文件的个人共享用户的解密策略(即个人解密策略,相应地,还有针对群体用户的群体解密策略);个人解密策略所针对的个人可自主解密被加密的文件,无需通过一个专门的解密服务器;专利申请201410104937.3中的技术方案还引入了用户模式文件系统技术,以方便用户对共享文件的操作使用。但专利申请201410104937.3中的技术方案存在的一个不足是加密文件所使用的用于对群体解密策略及文件的随机对称密钥进行加密的策略加密公钥(公共加密公钥)的更新操作必须通过一个解密服务器才能完成,不能在用户端完成,这许多情况下是不方便的、不好的,比如,不能离线更新、效率较低。
发明内容
本发明的目的是提出一种适合文件安全共享包括通过文件云存储系统或传输复制实现文件安全共享的文件加密系统,该文件加密系统不但能够实现在指定的个人和群体用户之间安全地共享使用加密文件,而且能使得用于群体用户加密解密处理的公共加密公钥的更新操作处理可以在授权用户的用户端完成,无需通过一个专门的服务器。
为了实现上述目的,本发明所采用的技术方案是:一种面向共享文件的文件加密系统,所述系统包括加密文件、文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统,其中:
加密文件:一种加密的计算机系统的电子文件;所述加密文件与加密前的电子文件具有同样的文件后缀(如docx、txt),即文件加密前后保持文件类型不变;所述加密文件保存在用户计算机(包括移动计算设备)本地或保存在网络文件存储系统包括云存储系统的服务端系统;所述加密文件包括三部分的数据:文件数据,群体共享策略和密钥数据;其中,文件数据是由加密文件所对应的(加密前的)原文件的(非加密)文件数据经一个随机生成的对称密钥采用对称密钥密码算法加密后所形成的数据;所述随机生成的对称密钥称为文件加密密钥;群体共享策略是加密文件的共享规则,用于指示具有共享规则中给定特征的用户或满足共享规则中给定条件的用户(如属于某个用户群或组的用户、具有某种角色的用户、属于某个部门的用户或具有某种身份特性的用户等)被许可解密所述加密文件的文件数据;被所述群体共享策略许可解密加密文件的文件数据的用户称为加密文件的群体共享用户;所述群体共享策略经文件加密密钥采用对称密钥密码算法加密;一个加密文件包含一条或多条群体共享策略(它们之间是逻辑“与”还是逻辑“或”,或者其他关系,由具体实施方案确定);所述加密文件的所述文件加密密钥在生成加密文件时产生;所述密钥数据是使用每个个人共享用户的公钥采用公开密钥密码算法分别对文件加密密钥进行加密后所形成的数据以及使用一个共享加密公钥对文件加密密钥进行加密后所形成的数据的集合(当有多个个人共享用户时,使用每个个人共享用户的公钥加密后的文件加密密钥都各自独立地保存在加密文件的密钥数据中);所述个人共享用户是指拥有对加密文件的密钥数据中的文件加密密钥进行加密的一个公钥所对应的私钥的个人用户;所述共享加密公钥是一个对加密文件的文件加密密钥进行加密的公共公钥(用于群体共享用户的加密解密处理);所述加密文件的群体共享策略由加密文件的个人共享用户创建;
文件加密处理程序:一个为用户提供人机交互界面对文件进行加密和解密操作、对加密文件的个人共享用户和群体共享策略进行管理的程序;所述个人共享用户管理包括添加、查看和删除一个加密文件的个人共享用户;所述群体共享策略管理包括添加、查看和删除一个加密文件的群体共享策略;所述文件加密处理程序还向用户提供鼠标右键菜单用于对文件进行加密和解密操作、对个人共享用户以及对群体共享策略进行管理;所述文件加密处理程序包括针对单个用户使用的程序(即没有服务器和客户端的桌面或终端程序)或网络文件存储系统的客户端程序;
文件加密过滤器:一个在受信程序对所述加密文件进行读取操作时自动对读取的文件数据进行解密处理的插入到计算机文件系统的驱动栈中的过滤器类型的驱动;当一个非受信程序对所述加密文件进行读取操作时,所述文件加密过滤器不对非受信程序读取的文件数据进行解密处理(即此时文件加密过滤器不对非受信程序的文件读取操作进行干预,加密文件的加密的密钥数据和群体共享策略被当作普通文件数据被非受信程序读取);当一个非受信程序读取一个非加密文件时(未加密的明文文件),所述文件加密过滤器先将非受信程序要读取的非加密文件加密成为加密文件,然后再供非受信程序读取;所述受信程序是被允许以明文形式读取加密文件的文件数据的程序;所述非受信程序是不被允许以明文方式读取加密文件的文件数据的程序;所述受信程序和非受信程序由所述文件加密系统开发者在系统开发时确定并通过在线更新方式进行动态更新,或者由使用所述文件加密系统的用户手工配置设定;
文件解密服务器:一个根据用户的身份信息以及加密文件的群体共享策略确定用户是否是加密文件的群体共享用户的系统;
身份管理系统:一个对用户的身份信息进行管理的系统;所述身份信息包括用户的身份标识(包括帐户名、身份ID等)、角色以及其他证明或描述用户的信息;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行个人共享用户管理和共享策略管理操作时,包括添加、删除和清除个人共享用户以及添加、删除和清除群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若是,则继续操作处理,否则,报错并中止操作处理;
所述文件加密处理程序或文件加密过滤器在对一个加密文件进行解密前,先确定当前用户是否是加密文件的个人共享用户,若是,则继续对加密文件的解密处理(先解密获得加密文件的文件加密密钥,然后用获得的文件加密密钥对加密文件的文件数据进行解密);否则,再确定当前用户是否是加密文件的群体共享用户,若是,则继续对加密文件的解密处理,否则,报错并中止对加密文件的解密处理;
所述当前用户是指文件加密处理程序和/或文件加密过滤器运行所在计算机(包括移动计算设备)的拥有者或操作使用文件加密处理程序和/或文件加密过滤器运行所在计算机的用户。
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行个人共享用户管理和群体共享策略管理操作时,包括添加、删除和清除操作,或者所述文件加密处理程序和文件加密过滤器在对一个加密文件进行解密处理前,所述文件加密处理程序和文件加密过滤器按如下方式先确定当前用户是否是加密文件的个人共享用户:
检查加密文件的密钥数据中对文件加密密钥进行加密的每个公钥,若其中的一个公钥在当前用户的计算机中或外接的密码模块(如USB Key)中有对应的私钥对象并能从私钥对象(Private Key Object)中获得私钥用于密码运算(有,但不能获得用于密码运算也不算),则当前用户是加密文件的个人共享用户;否则,不确定当前用户是加密文件的个人共享用户;所述是私钥对象是计算机系统或密码模块存放私钥的数据结构(程序通常是通过访问和使用密钥对象来访问和使用密钥,包括对称密钥和非对称密钥);
所述文件加密处理程序和文件加密过滤器在对一个加密文件进行解密处理前,若不能确定当前用户是加密文件的个人共享用户,则所述文件加密处理程序和文件加密过滤器按如下方式再确定当前用户是否是加密文件的群体共享用户:
步骤1:所述文件加密处理程序或文件加密过滤器连接所述文件解密服务器,提交加密文件的群体共享策略以及密钥数据中的被共享加密公钥加密的文件加密密钥,请求确定当前用户是否是被加密文件的群体共享策略许可的群体共享用户;
步骤2:所述文件解密服务器接收到文件加密处理程序或文件加密过滤器提交的确定当前用户是否是被加密文件的文件共享策略许可的群体共享用户的请求后,按如下方式进行操作处理:
步骤2.1:提示当前用户提交身份标识或身份凭证(如帐户名、数字证书),并在接收到用户提交的身份标识或身份凭证后转入步骤2.2;
步骤2.2:利用共享加密公钥所对应的私钥解密请求中提交的被共享加密公钥加密的文件加密密钥;
步骤2.3:利用步骤2.2解密获得的文件加密密钥解密请求中提交的群体共享策略;
步骤2.4:利用当前用户提交的身份标识或身份凭证,查询所述身份管理系统,获取用户的身份信息;
步骤2.5:利用步骤2.4查询获得的用户身份信息和步骤2.3解密获得的群体共享策略确定用户是否是被加密文件的群体共享策略许可的群体共享用户,若是,则转入步骤2.6;否则,返回结果,指示不确定当前用户是被加密文件的群体共享策略许可的群体共享用户;
步骤2.6:返回结果确认当前用户是被加密文件的群体共享策略许可的群体共享用户并同时通过安全传输方式返回用步骤2.2解密获得的文件加密密钥;所述安全传输方式包括使用当前用户的公钥对返回的文件加密密钥进行加密或采用安全传输通道(如SecureSocket Layer,SSL)或采用其他保证密钥传输安全的方式;
步骤3:所述文件加密处理程序或文件加密过滤器接收到文件解密服务器返回的结果后,根据返回的结果确定当前用户是否是被加密文件的群体共享策略许可的群体共享用户,若是,则从文件解密服务器返回的结果中进一步获取加密文件的文件加密密钥,用于对加密文件的解密处理;
若根据安全策略所述文件解密服务器在确定当前用户是否是被加密文件的群体共享策略许可的群体共享用户前需要对用户进行在线身份鉴别,则所述文件解密服务器在执行完步骤2.1后执行步骤2.2之前,先对当前用户进行在线身份鉴别(若采用安全传输方式,如SSL,不能确保只有真正的用户本人才能接收到返回文件加密密钥,则对用户进行在线身份鉴别是必须的)。
所述文件加密处理程序和文件加密过滤器按如下方式进行文件加密操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个非加密文件进行自动或手动的加密操作时,或所述文件加密过滤器在一个非受信程序读取一个非加密文件而自动对非加密文件进行加密处理时,所述文件加密处理程序或文件加密过滤器先随机生成一个对称密钥作为文件加密密钥,然后用文件加密密钥对非加密文件的文件数据进行加密形成加密的文件数据,之后用当前用户的公钥以及共享加密公钥分别对文件加密密钥进行加密形成密钥数据,最后将加密后的文件数据和密钥数据放入到当前处理的文件中形成加密文件(而当前用户成为了加密文件的第一个个人共享用户);
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个文件目录进行自动或手动的加密操作时,所述文件加密处理程序对要进行加密处理的文件目录中的每个非加密文件包括要进行加密处理的文件目录的下级文件目录中的非加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个非加密文件进行加密时文件加密处理程序对非加密文件所进行的操作处理的方式进行加密操作处理。
所述文件加密处理程序和文件加密过滤器按如下方式进行加密文件的解密操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行自动或手动解密操作时,或所述文件加密过滤器在一个受信程序读取一个加密文件而自动对加密文件进行解密处理时,所述文件加密处理程序或文件加密过滤器在对加密文件进行解密处理前,先确定当前用户是否是加密文件的个人共享用户,若是,则所述文件加密处理程序或文件加密过滤器从加密文件的密钥数据中取出被当前用户的公钥加密的文件加密密钥,然后使用当前用户的私钥解密被当前用户公钥加密的文件加密密钥,之后使用解密得到的文件加密密钥解密加密文件的文件数据(或者形成一个解密后的明文文件,或者将解密后的文件数据返回给读取加密文件的受信程序);否则,所述文件加密处理程序或文件加密过滤器连接所述文件解密服务器请求确定当前用户是否是加密文件的群体共享用户,若是,则使用文件解密服务器返回的文件加密密钥对加密文件的文件数据进行解密(或者形成一个解密后的明文文件,或者将解密后的文件数据返回给读取加密文件的受信程序);
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个文件目录中的所有加密文件进行自动或手动解密操作时,所述文件加密处理程序对要进行解密处理的文件目录中的每个加密文件包括要进行解密处理的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行解密时文件加密处理程序对加密文件所进行的操作处理的方式进行解密操作处理。
所述文件加密处理程序按如下方式进行加密文件的个人共享用户的添加操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单为选择的加密文件添加个人共享用户时,所述文件加密处理程序首先确定当前用户是否是加密文件的个人共享用户,若不是,则中止添加个人共享用户的操作处理;若是,则从加密文件的密钥数据中取出被当前用户的公钥加密的文件加密密钥,然后使用当前用户的私钥解密被当前用户公钥加密的文件加密密钥,之后使用要添加的个人共享用户的公钥对解密获得的文件加密密钥进行加密,之后将使用要添加的个人共享用户的公钥加密的文件加密密钥加入到加密文件的密钥数据中(当然,在进行添加操作的处理前可以先判断要添加的用户是否已是加密文件的个人共享用户,若是,则无需再进行添加操作的处理);
当用户通过所述文件加密处理程序包括通过鼠标右键菜单为选择的文件目录添加个人共享用户时,所述文件加密处理程序对用户选择的文件目录中的每个加密文件包括用户选择的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单对选择的加密文件添加个人共享用户时文件加密处理程序对加密文件所进行的操作处理的方式进行添加个人共享用户的操作处理。
所述文件加密处理程序按如下方式进行加密文件的群体共享策略的添加操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单为一个加密文件添加一条群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止添加群体共享策略的操作处理;若是,则从加密文件的密钥数据中取出被当前用户的公钥加密的文件加密密钥,然后使用当前用户的私钥解密被当前用户的公钥加密的文件加密密钥,之后用解密的文件加密密钥对当前用户(通过人机交互界面输入)添加的群体共享策略进行加密,最后将加密的群体共享策略加入到加密文件中;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单针对一个选择的文件目录添加一条群体共享策略时,所述文件加密处理程序对选择添加群体共享策略的文件目录中的每个加密文件包括选择添加群体共享策略的文件目录的下级文件目录中的加密文件按用户通过所述文件加密处理程序包括通过鼠标右键菜单为一个加密文件添加一条群体共享策略时文件加密处理程序对加密文件所进行的操作处理的方式进行添加群体共享策略的操作处理。
所述文件加密处理程序按如下方式进行加密文件的个人共享用户的删除或清除操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单删除被选择的一个加密文件的一个个人共享用户时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止删除个人共享用户的操作处理;若是,则进一步判断要删除的个人共享用户是否是当前用户本人,若是,则中止删除个人共享用户的操作处理(不能删除自己);若不是,则将使用要被删除的个人共享用户的公钥加密的文件加密密钥从加密文件的密钥数据中删除;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单清除被选择的一个加密文件的所有个人共享用户时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户后,若不是,则中止清除加密文件的个人共享用户的操作处理;若是,则将所有使用当前用户之外的个人共享用户公钥加密的文件加密密钥从加密文件的密钥数据中清除(删除);
当用户通过所述文件加密处理程序包括通过鼠标右键菜单清除一个文件目录中的所有加密文件的所有个人共享用户时,所述文件加密处理程序对要进行清除个人共享用户处理的文件目录中的每个加密文件包括要进行清除个人共享用户处理的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单清除一个加密文件的所有个人共享用户时所进行的操作处理的方式进行清除个人共享用户的操作处理。
所述文件加密处理程序按如下方式进行加密文件的群体共享策略的删除或清除操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择删除一个加密文件的一条群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止删除群体共享策略的操作处理;若是,则将要删除的群体共享策略从加密文件中删除;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择清除一个加密文件的所有群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止清除群体共享策略的操作处理;若是,则清除被选择的加密文件的所有群体共享策略;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择清除一个文件目录中的所有加密文件的所有群体共享策略时,则所述文件加密处理程序对要进行清除群体共享策略处理的文件目录中的每个加密文件包括要进行清除群体共享策略处理的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单选择清除一个加密文件的所有群体共享策略时所进行的操作处理的方式进行清除群体共享策略的操作处理。
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择查看一个加密文件的一条群体共享策略时,所述文件加密处理程序按如下方式进行操作:
先确定当前用户是否是加密文件的个人共享用户,若是,则用当前用户的私钥解密获得被当前用户公钥加密的文件加密密钥,然后再用解密获得的文件加密密钥解密被加密的群体共享策略,最后再把解密获得的群体共享策略展现给用户;否则,将用户要查看的群体共享策略以及被共享加密公钥加密的文件加密密钥提交到文件解密服务器请求解密群体共享策略,然后将文件解密服务器返回的解密后的群体共享策略展现给用户;
所述文件解密服务器接收到文件加密处理程序提交的请求解密群体共享策略的请求后,先用共享加密公钥对应的私钥解密被共享加密公钥加密的文件加密密钥,然后用解密获得的文件加密密钥解密被加密的群体共享策略,最后将解密获得的群体共享策略返回。
所述文件加密处理程序或文件加密过滤在对一个加密文件进行解密处理时,或所述文件加密处理程序通过定时扫描检查一个加密文件时,或所述文件加密处理程序根据用户针对一个加密文件发出的公钥更新操作指示进行公钥更新操作处理时,若检查发现当前用户是加密文件的一个个人共享用户且当前用户用于对加密文件的文件加密密钥进行加密的公钥有更新的公钥,或者检查发现当前用户是加密文件的一个个人共享用户且加密文件所使用的用于对加密文件的文件加密密钥进行加密的共享加密公钥有更新的公钥,则所述文件加密处理程序或文件加密过滤器按如下方式对加密文件进行公钥更新处理:
第一步:从加密文件的密钥数据中取出使用当前用户公钥加密的文件加密密钥,然后使用当前用户的私钥解密使用当前用户公钥加密的文件加密密钥;
第二步:使用当前用户或共享加密公钥的更新的公钥加密第一步解密获得的文件加密密钥;
第三步:用第二步使用更新的公钥加密的文件加密密钥替换加密文件的密钥数据中使用更新的公钥所对应的原有公钥加密的文件加密密钥;
所述当前用户的更新的公钥指与当前用户的用于对加密文件的文件加密密钥进行加密的公钥对应于同一个拥有者但公钥有效期的截止时刻在当前用户的用于对加密文件的文件加密密钥进行加密的公钥的有效期的截止时刻之后的公钥;
所述共享加密公钥的更新的公钥是一个共享加密公钥,其有效期的截止时刻在加密文件当前使用的用于对文件加密密钥进行加密的共享加密公钥的有效期的截止时刻之后。
需指出的是,程序在计算机中运行后的实例称为进程,因此,本发明中的文件加密处理程序、受信程序、非受信程序在进行操作处理时,严格地说来是它们对应的进程在进行操作处理,但在本发明中仍用程序进行描述(这不会引起误会或混淆,因为程序运行后的实例是进程,这对于相关领域的技术人员而言是众所周知的)。
从以上描述可以看到,本发明的共享文件加密系统不但能够在指定的个人和群体用户之间安全地共享使用加密文件,而且对文件的群体共享策略进行加密的公钥(公共加密公钥)的更新操作处理可以在授权用户(即文件的个人共享用户)的用户端完成,无需通过一个专门的服务器;进一步地,本发明的共享文件加密系统既适合于使用文件存储服务器(如云端系统)对文件进行集中存储从而实现文件共享的情形,又适合于通过文件传输、复制实现文件共享的情形。
附图说明
图1为本发明的系统的结构图。
具体实施方式
下面结合附图和实施例对本发明作进一步的描述。
对于加密文件所使用的公开密钥密码技术,可使用基于标识的加密技术(Identity Based Encryption,IBE)。这时,用户的一个身份标识(如电子邮箱、手机号码等)就是用户的公钥(确切地说用户的一个身份标识结合一组公开参数就构成了用户公钥);用户的一个身份标识对应的私钥从一个称为私钥生成器(Private KeyGenerator,PKG)的密钥服务系统获得。用一个个人共享用户的公钥对文件加密密钥进行加密,即简单地为使用该用户的身份标识对文件加密密钥进行加密。同样地,共享加密公钥及对应的私钥也可以采用IBE公钥和私钥,这时的共享加密公钥可以用文件解密服务器的一个标识作为公钥,如DNS域名,或者其他标识(如一个机构的标识),共享加密公钥对应的私钥也由私钥生成器生成。
在实际IBE应用中,作为公钥参与密码运算的身份标识(及生成对应私钥所用的标识)不是原始身份标识本身,而是在标识中附加如下时间段限定信息进行有效期限定后的扩展身份标识:
身份标识||时间段,
其中,时间段包括起始和截止时刻(限定有效使用时间),“||”表示字串合并。进行公钥更新时,扩展身份标识的时间段的截止时刻可用于判断个人共享用户公钥或共享加密公钥是否有更新的公钥,若当前时刻大于一个扩展身份标识的时间段的截止时刻,或者当前时刻与扩展身份标识的时间段的截止时刻的差值在规定的时间范围内(即允许公钥到期前提前进行更新),则对应的用户公钥或共享加密公钥有更新的公钥(即有更新时间段的扩展身份标识)。
在加密文件的具体实施中,可将加密文件的文件数据分成两部分,头部部分和文件数据部分,其中,头部包含被加密的密钥数据和群体共享策略,文件数据由原始文件的(非加密的)文件数据经加密后的得到。被公钥加密的文件加密密钥的数据中有信息用于标识公钥(或公钥拥有者,若采用IBE加密,采用标识或扩展标识即可)。
文件加密处理程序和文件加密过滤器的具体实施方案与它们所运行的操作系统有关。下面以Windows操作系统为例加以说明。
文件加密处理程序包括人机交互界面可用C/C++技术开发。鼠标右键菜单可基于Windows的鼠标右键菜单技术开发。
文件加密过滤器可采用Windows文件系统的过滤器驱动(FilterDriver)或微过滤器驱动(mini-Filter Driver)技术开发实现。由于文件加密过滤器运行在内核层,因此,文件加密过滤器通常不能或不便于通过网络连接直接与文件解密服务器交互,为此,文件加密过滤器可通过一个运行在用户层的后台程序与文件解密服务器交互(也可由文件加密处理程序本身承担后台程序的功能),而文件加密过滤器与后台程序之间的交互可采用Windows的内核层与用户层(应用层)之间的数据交互、通信机制;另外,当文件加密过滤器对文件进行加密、解密处理时,对于在内核层不便进行的操作处理也可转交后台程序进行。
文件加密处理程序和文件加密过滤器的实施还有如下问题需要解决:
(1)创建、生成加密文件时,如何知道当前用户是谁并获得当前用户的公钥?
(2)添加个人共享用户时,如何知道要添加的个人共享用户是谁并获得其公钥?
对于第一个问题的解决,可以采用如下方案:
用户安装文件加密处理程序和文件加密过滤器时设置(缺省的)当前用户是谁,或者在创建、生成一个加密文件时弹出人机交互界面由用户输入当前用户的身份标识信息(如电子邮箱地址);由于采用基于标识的加密(IBE),因此,用户的身份标识信息(加上扩展限定信息)就是用户的公钥。(若不采用基于标识的加密,则可用用户的身份标识信息到一个密钥服务系统,如CA的LDAP系统去查询、获取用户公钥)。
对于第二个问题的解决,可以采用如下方案:
当一个作为个人共享用户的当前用户添加新的个人共享用户时,弹出人机交互界面由用户输入要添加的用户的身份标识信息(如电子邮箱地址);由于采用基于标识的加密(IBE),因此,用户的身份标识信息(加上扩展限定信息)就是用户的公钥。(同样地,若不采用标识加密,则可用用户的身份标识信息到一个密钥服务系统,如CA的LDAP去查询、获取用户公钥)。
关于基于Windows文件系统的过滤器驱动或微过滤器驱动开发文件加密过滤器、内核层与用户层之间的数据交互机制以及鼠标右键菜单技术,在微软的MSDN(msdn.microsoft.com)以及大量的公开资料中都有介绍。
文件解密服务器的实施可使用任何信系统开发技术并实施IBE密码算法加以实现。文件解密服务器从身份管理系统获取用户身份信息可以利用身份管理系统提供的API或者直接访问身份管理系统的数据库。文件解密服务器返回解密获得的文件加密密钥的安全传输方式可以用SSL(Secure Socket Layer),或者用当前用户的公钥对返回的文件加密密钥加密的方式;文件解密服务器与文件加密处理程序和文件加密过滤器(或文件加密过滤器的后台程序)的交互协议可以自定义。
另外,当采用网络文件存储系统存储加密文件时,对于共享加密公钥的更新除了采用本发明所描述由个人共享用户在用户端完成外,同时还可以由文件解密服务器按如下方式完成:
网络文件存储系统定时扫描存储的加密文件,若扫描发现其中一个加密文件所使用的共享加密公钥有更新的公钥,则网络文件存储系统从加密文件的密钥数据中取出被共享加密公钥加密的文件加密密钥,然后提交到文件解密服务器请求更新共享加密公钥;文件解密服务器接收到请求后,先用对应的私钥解密请求中提交的被加密的文件加密密钥,然后用更新的共享加密公钥重新加密解密获得的文件加密密钥,最后将重新加密的文件加密密钥返回;网络文件存储系统接收到文件解密服务器返回的重新加密的文件加密密钥后,用返回的重新加密的文件加密密钥替换加密文件的密钥数据中被原共享加密公钥加密的文件加密密钥。
对于技术实现的其他方面,对于相关领域的技术开发者而言是不言自明的。
Claims (10)
1.一种面向共享文件的文件加密系统,其特征是:所述系统包括加密文件、文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统,其中:
加密文件:一种加密的计算机系统的电子文件;所述加密文件与加密前的电子文件具有同样的文件后缀,即文件加密前后保持文件类型不变;所述加密文件保存在用户计算机本地或保存在网络文件存储系统中;所述加密文件包括三部分的数据:文件数据,群体共享策略和密钥数据;其中,文件数据是由加密文件所对应的加密前原文件的非加密文件数据经一个随机生成的对称密钥采用对称密钥密码算法加密后所形成的数据;所述随机生成的对称密钥称为文件加密密钥;群体共享策略是加密文件的共享规则,用于指示具有共享规则中给定特征的用户或满足共享规则中给定条件的用户被许可解密所述加密文件的文件数据;被所述群体共享策略许可解密加密文件的文件数据的用户称为加密文件的群体共享用户;所述群体共享策略经文件加密密钥采用对称密钥密码算法加密;一个加密文件包含一条或多条群体共享策略;所述加密文件的所述文件加密密钥在生成加密文件时产生;所述密钥数据是使用每个个人共享用户的公钥采用公开密钥密码算法分别对文件加密密钥进行加密后所形成的数据以及使用一个共享加密公钥对文件加密密钥进行加密后所形成的数据的集合;所述个人共享用户是指拥有对加密文件的密钥数据中的文件加密密钥进行加密的一个公钥所对应的私钥的个人用户;所述共享加密公钥是一个对加密文件的文件加密密钥进行加密的公共公钥;所述加密文件的群体共享策略由加密文件的个人共享用户创建;
文件加密处理程序:一个为用户提供人机交互界面对文件进行加密和解密操作、对加密文件的个人共享用户和群体共享策略进行管理的程序;所述个人共享用户管理包括添加、查看和删除一个加密文件的个人共享用户;所述群体共享策略管理包括添加、查看和删除一个加密文件的群体共享策略;所述文件加密处理程序还向用户提供鼠标右键菜单用于对文件进行加密和解密操作、对个人共享用户以及对群体共享策略进行管理;所述文件加密处理程序包括针对单个用户使用的程序或网络文件存储系统的客户端程序;
文件加密过滤器:一个在受信程序对所述加密文件进行读取操作时自动对读取的文件数据进行解密处理的插入到计算机文件系统的驱动栈中的过滤器类型的驱动;当一个非受信程序对所述加密文件进行读取操作时,所述文件加密过滤器不对非受信程序读取的文件数据进行解密处理;当一个非受信程序读取一个非加密文件时,所述文件加密过滤器先将非受信程序要读取的非加密文件加密成为加密文件,然后再供非受信程序读取;所述受信程序是被允许以明文形式读取加密文件的文件数据的程序;所述非受信程序是不被允许以明文方式读取加密文件的文件数据的程序;所述受信程序和非受信程序由所述文件加密系统开发者在系统开发时确定并通过在线更新方式进行动态更新,或者由使用所述文件加密系统的用户手工配置设定;
文件解密服务器:一个根据用户的身份信息以及加密文件的群体共享策略确定用户是否是加密文件的群体共享用户的系统;
身份管理系统:一个对用户的身份信息进行管理的系统;所述身份信息包括用户的身份标识、角色以及其他证明或描述用户的信息;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行个人共享用户管理和共享策略管理操作时,包括添加、删除和清除个人共享用户以及添加、删除和清除群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若是,则继续操作处理,否则,报错并中止操作处理;
所述文件加密处理程序或文件加密过滤器在对一个加密文件进行解密前,先确定当前用户是否是加密文件的个人共享用户,若是,则继续对加密文件的解密处理;否则,再确定当前用户是否是加密文件的群体共享用户,若是,则继续对加密文件的解密处理,否则,报错并中止对加密文件的解密处理;
所述当前用户是指文件加密处理程序和/或文件加密过滤器运行所在计算机的拥有者或操作使用文件加密处理程序和/或文件加密过滤器运行所在计算机的用户。
2.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行个人共享用户管理和群体共享策略管理的添加、删除和清除操作时,或者所述文件加密处理程序和文件加密过滤器在对一个加密文件进行解密处理前,所述文件加密处理程序和文件加密过滤器按如下方式先确定当前用户是否是加密文件的个人共享用户:
检查加密文件的密钥数据中对文件加密密钥进行加密的每个公钥,若其中的一个公钥在当前用户的计算机中或外接的密码模块中有对应的私钥对象并能从私钥对象中获得私钥用于密码运算,则当前用户是加密文件的个人共享用户;否则,不确定当前用户是加密文件的个人共享用户;所述是私钥对象是计算机系统或密码模块存放私钥的数据结构;
所述文件加密处理程序和文件加密过滤器在对一个加密文件进行解密处理前,若不能确定当前用户是加密文件的个人共享用户,则所述文件加密处理程序和文件加密过滤器按如下方式再确定当前用户是否是加密文件的群体共享用户:
步骤1:所述文件加密处理程序或文件加密过滤器连接所述文件解密服务器,提交加密文件的群体共享策略以及密钥数据中的被共享加密公钥加密的文件加密密钥,请求确定当前用户是否是被加密文件的群体共享策略许可的群体共享用户;
步骤2:所述文件解密服务器接收到文件加密处理程序或文件加密过滤器提交的请求后,按如下方式进行操作处理:
步骤2.1:提示当前用户提交身份标识或身份凭证,并在接收到用户提交的身份标识或身份凭证后转入步骤2.2;
步骤2.2:利用共享加密公钥所对应的私钥解密请求中提交的被共享加密公钥加密的文件加密密钥;
步骤2.3:利用步骤2.2解密获得的文件加密密钥解密请求中提交的群体共享策略;
步骤2.4:利用当前用户提交的身份标识或身份凭证,查询所述身份管理系统,获取用户的身份信息;
步骤2.5:利用步骤2.4查询获得的用户身份信息和步骤2.3解密获得的群体共享策略确定用户是否是被加密文件的群体共享策略许可的群体共享用户,若是,则转入步骤2.6;否则,返回结果,指示不确定当前用户是被加密文件的群体共享策略许可的群体共享用户;
步骤2.6:返回结果确认当前用户是被加密文件的群体共享策略许可的群体共享用户并同时通过安全传输方式返回用步骤2.2解密获得的文件加密密钥;所述安全传输方式包括使用当前用户的公钥对返回的文件加密密钥进行加密或采用安全传输通道或采用其他保证密钥传输安全的方式;
步骤3:所述文件加密处理程序或文件加密过滤器接收到文件解密服务器返回的结果后,根据返回的结果确定当前用户是否是被加密文件的群体共享策略许可的群体共享用户,若是,则从文件解密服务器返回的结果中进一步获取加密文件的文件加密密钥,用于对加密文件的解密处理;
若根据安全策略所述文件解密服务器在确定当前用户是否是被加密文件的群体共享策略许可的群体共享用户前需要对用户进行在线身份鉴别,则所述文件解密服务器在执行完步骤2.1后执行步骤2.2之前,先对当前用户进行在线身份鉴别。
3.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序和文件加密过滤器按如下方式进行文件加密操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个非加密文件进行自动或手动的加密操作时,或所述文件加密过滤器在一个非受信程序读取一个非加密文件而自动对非加密文件进行加密处理时,所述文件加密处理程序或文件加密过滤器先随机生成一个对称密钥作为文件加密密钥,然后用文件加密密钥对非加密文件的文件数据进行加密形成加密的文件数据,之后用当前用户的公钥以及共享加密公钥分别对文件加密密钥进行加密形成密钥数据,最后将加密后的文件数据和密钥数据放入到当前处理的文件中形成加密文件;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个文件目录进行自动或手动的加密操作时,所述文件加密处理程序对要进行加密处理的文件目录中的每个非加密文件包括要进行加密处理的文件目录的下级文件目录中的非加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个非加密文件进行加密时文件加密处理程序对非加密文件所进行的操作处理的方式进行加密操作处理。
4.根据权利要求1或2所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序和文件加密过滤器按如下方式进行加密文件的解密操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行自动或手动解密操作时,或所述文件加密过滤器在一个受信程序读取一个加密文件而自动对加密文件进行解密处理时,所述文件加密处理程序或文件加密过滤器在对加密文件进行解密处理前,先确定当前用户是否是加密文件的个人共享用户,若是,则所述文件加密处理程序或文件加密过滤器从加密文件的密钥数据中取出被当前用户的公钥加密的文件加密密钥,然后使用当前用户的私钥解密被当前用户公钥加密的文件加密密钥,之后使用解密得到的文件加密密钥解密加密文件的文件数据;否则,所述文件加密处理程序或文件加密过滤器连接所述文件解密服务器请求确定当前用户是否是加密文件的群体共享用户,若是,则使用文件解密服务器返回的文件加密密钥对加密文件的文件数据进行解密;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个文件目录中的所有加密文件进行自动或手动解密操作时,所述文件加密处理程序对要进行解密处理的文件目录中的每个加密文件包括要进行解密处理的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行解密时文件加密处理程序对加密文件所进行的操作处理的方式进行解密操作处理。
5.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序按如下方式进行加密文件的个人共享用户的添加操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单为选择的加密文件添加个人共享用户时,所述文件加密处理程序首先确定当前用户是否是加密文件的个人共享用户,若不是,则中止添加个人共享用户的操作处理;若是,则从加密文件的密钥数据中取出被当前用户的公钥加密的文件加密密钥,然后使用当前用户的私钥解密被当前用户公钥加密的文件加密密钥,之后使用要添加的个人共享用户的公钥对解密获得的文件加密密钥进行加密,之后将使用要添加的个人共享用户的公钥加密的文件加密密钥加入到加密文件的密钥数据中;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单为选择的文件目录添加个人共享用户时,所述文件加密处理程序对用户选择的文件目录中的每个加密文件包括用户选择的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单对选择的加密文件添加个人共享用户时文件加密处理程序对加密文件所进行的操作处理的方式进行添加个人共享用户的操作处理。
6.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序按如下方式进行加密文件的群体共享策略的添加操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单为一个加密文件添加一条群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止添加群体共享策略的操作处理;若是,则从加密文件的密钥数据中取出被当前用户的公钥加密的文件加密密钥,然后使用当前用户的私钥解密被当前用户的公钥加密的文件加密密钥,之后用解密的文件加密密钥对当前用户添加的群体共享策略进行加密,最后将加密的群体共享策略加入到加密文件中;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单针对一个选择的文件目录添加一条群体共享策略时,所述文件加密处理程序对选择添加群体共享策略的文件目录中的每个加密文件包括选择添加群体共享策略的文件目录的下级文件目录中的加密文件按用户通过所述文件加密处理程序包括通过鼠标右键菜单为一个加密文件添加一条群体共享策略时文件加密处理程序对加密文件所进行的操作处理的方式进行添加群体共享策略的操作处理。
7.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序按如下方式进行加密文件的个人共享用户的删除或清除操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单删除被选择的一个加密文件的一个个人共享用户时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止删除个人共享用户的操作处理;若是,则进一步判断要删除的个人共享用户是否是当前用户本人,若是,则中止删除个人共享用户的操作处理;若不是,则将使用要被删除的个人共享用户的公钥加密的文件加密密钥从加密文件的密钥数据中删除;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单清除被选择的一个加密文件的所有个人共享用户时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户后,若不是,则中止清除加密文件的个人共享用户的操作处理;若是,则将所有使用当前用户之外的个人共享用户公钥加密的文件加密密钥从加密文件的密钥数据中清除;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单清除一个文件目录中的所有加密文件的所有个人共享用户时,所述文件加密处理程序对要进行清除个人共享用户处理的文件目录中的每个加密文件包括要进行清除个人共享用户处理的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单清除一个加密文件的所有个人共享用户时所进行的操作处理的方式进行清除个人共享用户的操作处理。
8.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序按如下方式进行加密文件的群体共享策略的删除或清除操作处理:
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择删除一个加密文件的一条群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止删除群体共享策略的操作处理;若是,则将要删除的群体共享策略从加密文件中删除;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择清除一个加密文件的所有群体共享策略时,所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户,若不是,则中止清除群体共享策略的操作处理;若是,则清除被选择的加密文件的所有群体共享策略;
当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择清除一个文件目录中的所有加密文件的所有群体共享策略时,则所述文件加密处理程序对要进行清除群体共享策略处理的文件目录中的每个加密文件包括要进行清除群体共享策略处理的文件目录的下级文件目录中的加密文件,按用户通过所述文件加密处理程序包括通过鼠标右键菜单选择清除一个加密文件的所有群体共享策略时所进行的操作处理的方式进行清除群体共享策略的操作处理。
9.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:当用户通过所述文件加密处理程序包括通过鼠标右键菜单选择查看一个加密文件的一条群体共享策略时,所述文件加密处理程序按如下方式进行操作:
先确定当前用户是否是加密文件的个人共享用户,若是,则用当前用户的私钥解密获得被当前用户公钥加密的文件加密密钥,然后再用解密获得的文件加密密钥解密被加密的群体共享策略,最后再把解密获得的群体共享策略展现给用户;否则,将用户要查看的群体共享策略以及被共享加密公钥加密的文件加密密钥提交到文件解密服务器请求解密群体共享策略,然后将文件解密服务器返回的解密后的群体共享策略展现给用户;
所述文件解密服务器接收到文件加密处理程序提交的请求解密群体共享策略的请求后,先用共享加密公钥对应的私钥解密被共享加密公钥加密的文件加密密钥,然后用解密获得的文件加密密钥解密被加密的群体共享策略,最后将解密获得的群体共享策略返回。
10.根据权利要求1所述的面向共享文件的文件加密系统,其特征是:所述文件加密处理程序或文件加密过滤在对一个加密文件进行解密处理时,或所述文件加密处理程序通过定时扫描检查一个加密文件时,或所述文件加密处理程序根据用户针对一个加密文件发出的公钥更新操作指示进行公钥更新操作处理时,若检查发现当前用户是加密文件的一个个人共享用户且当前用户用于对加密文件的文件加密密钥进行加密的公钥有更新的公钥,或者检查发现当前用户是加密文件的一个个人共享用户且加密文件所使用的用于对加密文件的文件加密密钥进行加密的共享加密公钥有更新的公钥,则所述文件加密处理程序或文件加密过滤器按如下方式对加密文件进行公钥更新处理:
第一步:从加密文件的密钥数据中取出使用当前用户公钥加密的文件加密密钥,然后使用当前用户的私钥解密使用当前用户公钥加密的文件加密密钥;
第二步:使用当前用户或共享加密公钥的更新的公钥加密第一步解密获得的文件加密密钥;
第三步:用第二步使用更新的公钥加密的文件加密密钥替换加密文件的密钥数据中使用更新的公钥所对应的原有公钥加密的文件加密密钥;
所述当前用户的更新的公钥指与当前用户的用于对加密文件的文件加密密钥进行加密的公钥对应于同一个拥有者但公钥有效期的截止时刻在当前用户的用于对加密文件的文件加密密钥进行加密的公钥的有效期的截止时刻之后的公钥;
所述共享加密公钥的更新的公钥是一个共享加密公钥,其有效期的截止时刻在加密文件当前使用的用于对文件加密密钥进行加密的共享加密公钥的有效期的截止时刻之后。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410151619.2A CN103916480B (zh) | 2014-04-15 | 2014-04-15 | 一种面向共享文件的文件加密系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410151619.2A CN103916480B (zh) | 2014-04-15 | 2014-04-15 | 一种面向共享文件的文件加密系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103916480A true CN103916480A (zh) | 2014-07-09 |
| CN103916480B CN103916480B (zh) | 2017-03-08 |
Family
ID=51041878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410151619.2A Expired - Fee Related CN103916480B (zh) | 2014-04-15 | 2014-04-15 | 一种面向共享文件的文件加密系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916480B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106254324A (zh) * | 2016-07-26 | 2016-12-21 | 杭州文签网络技术有限公司 | 一种存储文件的加密方法及装置 |
| CN106506676A (zh) * | 2016-11-24 | 2017-03-15 | 武汉理工大学 | 文件传输处理方法及辅助系统 |
| CN106789963A (zh) * | 2016-12-02 | 2017-05-31 | 北京洋浦伟业科技发展有限公司 | 非对称白盒密码加密方法和装置及设备 |
| CN107404469A (zh) * | 2016-05-20 | 2017-11-28 | 广州市动景计算机科技有限公司 | 一种会话安全处理系统、设备、装置及方法 |
| CN107404538A (zh) * | 2017-08-18 | 2017-11-28 | 金蝶软件(中国)有限公司 | 一种云数据传输方法及其服务器 |
| CN107425970A (zh) * | 2017-09-27 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种p2p网络的文件传输方法、发送端、接收端及介质 |
| CN109076087A (zh) * | 2016-05-03 | 2018-12-21 | 微软技术许可有限责任公司 | 对电子数据的基于群组的外部共享 |
| JP2019510261A (ja) * | 2016-03-22 | 2019-04-11 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | プライバシーが強化された中央データ・ストレージのためのコンピュータ実装方法、サーバ、ユーザ・デバイス、およびコンピュータ・プログラム製品 |
| CN110019463A (zh) * | 2017-11-22 | 2019-07-16 | 南京理工大学 | 一种多方共享的数据存储查询方法和系统 |
| CN115550058A (zh) * | 2022-11-21 | 2022-12-30 | 卓望数码技术(深圳)有限公司 | 一种共享式文件透明加密方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100257372A1 (en) * | 2009-03-26 | 2010-10-07 | Ryan Seifert | Integrated file level cryptographical access control |
| CN103546547A (zh) * | 2013-10-08 | 2014-01-29 | 武汉理工大学 | 一种云存储文件加密系统 |
| CN103561034A (zh) * | 2013-11-11 | 2014-02-05 | 武汉理工大学 | 一种安全文件共享系统 |
-
2014
- 2014-04-15 CN CN201410151619.2A patent/CN103916480B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100257372A1 (en) * | 2009-03-26 | 2010-10-07 | Ryan Seifert | Integrated file level cryptographical access control |
| CN103546547A (zh) * | 2013-10-08 | 2014-01-29 | 武汉理工大学 | 一种云存储文件加密系统 |
| CN103561034A (zh) * | 2013-11-11 | 2014-02-05 | 武汉理工大学 | 一种安全文件共享系统 |
Non-Patent Citations (2)
| Title |
|---|
| 王博等: ""一种网络文件安全存储系统的设计与实现"", 《微型电脑应用》 * |
| 金新娟等: ""实现资源共享的网络化数控服务系统"", 《控制与检测》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019510261A (ja) * | 2016-03-22 | 2019-04-11 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | プライバシーが強化された中央データ・ストレージのためのコンピュータ実装方法、サーバ、ユーザ・デバイス、およびコンピュータ・プログラム製品 |
| CN109076087A (zh) * | 2016-05-03 | 2018-12-21 | 微软技术许可有限责任公司 | 对电子数据的基于群组的外部共享 |
| CN107404469A (zh) * | 2016-05-20 | 2017-11-28 | 广州市动景计算机科技有限公司 | 一种会话安全处理系统、设备、装置及方法 |
| CN107404469B (zh) * | 2016-05-20 | 2021-02-19 | 阿里巴巴(中国)有限公司 | 一种会话安全处理系统、设备、装置及方法 |
| CN106254324A (zh) * | 2016-07-26 | 2016-12-21 | 杭州文签网络技术有限公司 | 一种存储文件的加密方法及装置 |
| CN106254324B (zh) * | 2016-07-26 | 2019-05-17 | 杭州文签网络技术有限公司 | 一种存储文件的加密方法及装置 |
| CN106506676A (zh) * | 2016-11-24 | 2017-03-15 | 武汉理工大学 | 文件传输处理方法及辅助系统 |
| CN106506676B (zh) * | 2016-11-24 | 2019-05-24 | 武汉理工大学 | 文件传输处理方法及辅助系统 |
| CN106789963B (zh) * | 2016-12-02 | 2020-12-22 | 北京梆梆安全科技有限公司 | 非对称白盒密码加密方法和装置及设备 |
| CN106789963A (zh) * | 2016-12-02 | 2017-05-31 | 北京洋浦伟业科技发展有限公司 | 非对称白盒密码加密方法和装置及设备 |
| CN107404538A (zh) * | 2017-08-18 | 2017-11-28 | 金蝶软件(中国)有限公司 | 一种云数据传输方法及其服务器 |
| CN107404538B (zh) * | 2017-08-18 | 2021-01-22 | 金蝶软件(中国)有限公司 | 一种云数据传输方法及其服务器 |
| CN107425970A (zh) * | 2017-09-27 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种p2p网络的文件传输方法、发送端、接收端及介质 |
| CN110019463A (zh) * | 2017-11-22 | 2019-07-16 | 南京理工大学 | 一种多方共享的数据存储查询方法和系统 |
| CN115550058A (zh) * | 2022-11-21 | 2022-12-30 | 卓望数码技术(深圳)有限公司 | 一种共享式文件透明加密方法及系统 |
| CN115550058B (zh) * | 2022-11-21 | 2023-03-10 | 卓望数码技术(深圳)有限公司 | 一种共享式文件透明加密方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103916480B (zh) | 2017-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103916480B (zh) | 一种面向共享文件的文件加密系统 | |
| US10313312B2 (en) | Key rotation techniques | |
| JP4976646B2 (ja) | ピアツーピアコラボレーションシステムにおいて連絡先認証を管理、表示するための方法及び装置 | |
| JP4964213B2 (ja) | 識別ベースの暗号化システム | |
| US7454021B2 (en) | Off-loading data re-encryption in encrypted data management systems | |
| US8856530B2 (en) | Data storage incorporating cryptographically enhanced data protection | |
| AU2013101722A4 (en) | Data security management system | |
| RU2351078C2 (ru) | Эффективное управление генерациями криптографических ключей | |
| US6092201A (en) | Method and apparatus for extending secure communication operations via a shared list | |
| RU2589861C2 (ru) | Система и способ шифрования данных пользователя | |
| US11943350B2 (en) | Systems and methods for re-using cold storage keys | |
| JP6678457B2 (ja) | データセキュリティサービス | |
| US20110078776A1 (en) | Secure digital credential sharing arrangement | |
| US20230025052A1 (en) | Method and system for securing data | |
| JP2006514478A (ja) | オンライン/オフライン復号システム | |
| US20160072772A1 (en) | Process for Secure Document Exchange | |
| JP2009514072A (ja) | コンピュータ資源への安全なアクセスを提供する方法 | |
| CN103841113A (zh) | 一种基于用户模式文件系统的安全网络文件系统 | |
| CN103888467A (zh) | 一种面向共享的安全文件夹加密系统 | |
| US20150143107A1 (en) | Data security tools for shared data | |
| CN104125069A (zh) | 一种面向共享的安全文件目录文件加密系统 | |
| Shen et al. | SecDM: Securing data migration between cloud storage systems | |
| CN117396869A (zh) | 用于使用分布式账本技术进行安全密钥管理的系统和方法 | |
| Wise et al. | Cloud docs: secure scalable document sharing on public clouds | |
| JP2015056090A (ja) | ファイルアクセス制御装置、ファイルアクセス制御プログラム及びファイルアクセス制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170308 |