背景技术
文件加密按加密途径可分为两类:一类是WINDOWS系统自带的文件加密功能,一类是采用加密算法实现的商业化加密软件.WINDOWS系统加密方法有五种,商业化的加密软件又分为驱动级加密和插件级加密;如果按加密算法又可分为三类:对称IDEA 算法、非对称RSA算法、不可逆AES算法。随着信息化的高速发展,人们对信息安全的需求接踵而至,人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险,内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。
基于信息终端的信息安全,其传统的加密都是采用静态密钥模式,很容易受到密钥破解造成信息失密的问题。虽然已有通过动态码实现对文件数据的加密技术,但由于其动态码加密技术应用存在的用户使用不方便性,布置和使用成本高的缺点,因而还没有在通用信息终端进行普及性应用推广。特别是现有技术存在的动态码的生成认证不规范,读取动态码的方式不能严格界定等问题,同样会发生动态码被盗取的风险,造成用户信息失密的后果。
对于公司,研究所,银行,政府机关等的诸如核心技术,财务数据,商务机密文件,核心机密文件,需要更高级的防止失密技术来保障其安全。现在除了一般意义的物理隔离外,如何对这些核心机密进行更安全性的技术性加密尤为重要。采取互为制约的多重加密,多账户加密的管理机制,不失为一个可行的技术选择,但现有的这些对应加密技术,还存在许多诸如加密方式陈旧容易破解,加密方式复杂不方便,加密使用成本高无法普遍性推广等问题,需要一个全新的技术思路和技术设计来解决这些问题。
对比文件专利,涉密电子文件的多重保密方法 申请号:200910057358.7 ,公开了一种涉密电子文件的多重保密方法,用户登录系统之后以挑战-应答的方式由用户在限定时间内回答,如果在限定时间内回答正确则通过第一次用户身份认证;生成本次通信密钥,用户在限定时间内输入本次通信密码正确,并经动态口令和静态口令验证通过后则第二次用户身份认证通过;用户身份认证通过后,根据用户级别提供相应的信息和服务;对用户使用电子文件的时间和状态进行监测,如果用户超过限定的使用时间则通信中断强行返回登录页面。该技术专利虽然提出了一种多重加密技术,但由于其存在静态加密容易破解,加密方式复杂不方便使用的问题,该技术还停留在多重加密而非真正构成互为制约的多账户加密,造假失密的可能性不可避免。
发明内容
本发明的一种对文件数据多账户加密的方法,针对上述加密技术存在的问题,提出了完整解决方案,实现了安全保密程度极高的动态码(即本发明的动态授权码)技术在核心加密技术领域的便捷性安全技术应用。本发明的一种对文件数据多账户加密的方法,是基于本人在先的三个发明专利,其一是,个人身份认证的根服务系统,专利号:2011102160995,其二是,基于身份认证建立动态授权码的方法,专利号:2014103040797,其三是,建立企业法人账户的统一动态授权码系统,专利号:2014103039893,在这三件发明专利技术基础之上的具体计算机信息领域应用。
本发明的一种对文件数据多账户加密的方法,提供一种在企业级核心加密数字技术的应用。通过多账户加密设计,在核心重要文件数据管理方面,构筑如管理者,分管者和具体执行者多方的便捷设定加密的互为制约模式,从而普及性地解决企业级核心数字加密技术难题,对保护信息技术安全,具有重大技术创新性。
本发明对动态码加密技术在企业级核心重要文件数据加密的应用,做了全新的技术设计,其实现的创新性技术价值包括:一、建立统一的动态授权码应用客户端,方便用户自主地,主动地对所述数据文件简便完成动态授权码加密解密应用;二、通过授权的各自第三方终端获取动态授权码,杜绝了动态授权码密钥被盗取的可能性;三、通过法定身份认证系统认证获取动态授权码,保证了动态授权码的法定性,提升了动态授权码技术参与更高加密安全性环境应用的能力;四、加入对存储终端特定参数的授权认证要求,保证了盗取信息的不可破解性;五、通过多重再加密技术的实现,提升了信息的多重保护力度,六、许可一个账户对多个存储终端实现统一加密管理,方便了用户的自助性应用,七、许可在一个存储终端通过授权实现多账户统一加密管理,方便用户对该技术的简便应用;八、建立了一套完整的动态授权码在信息存储终端的应用技术规范,方便用户普及到多领域的安全应用,为用户提供更高安全性,更便捷实用性的多领域适用安全加密授权技术。
本发明的一种对文件数据多账户加密的方法,是通过用户身份认证系统认证后获取的多账户动态授权码,来实现对文件数据的多重加密解密授权。
所述对数据文件的多账户加密包括如下步骤:
S一、启动动态授权码管理客户端;或读取第三方移动终端的动态授权码,解密启动动态授权码管理客户端;
S二、在先查验文件数据,确认其他授权账户已经完成加密,启动动态授权码管理客户端;或在先查验文件数据,确认其他授权账户已经完成加密,在先读取第三方移动终端的动态授权码,解密启动动态授权码管理客户端;
S三、点击加密菜单选择提交需要加密的文件数据;
S四、完成对所属文件数据的加密设置,生成加密的文件数据;
S五、或将还需要其他授权账户进行加密和/或存储的文件数据提交给其他授权账户终端进行上述步骤的加密和/或存储。
其对数据文件的解密包括如下步骤:
S六、当需要对已加密文件数据进行解密时,点击所属文件数据,发起解密请求;
S七、后台系统获得请求,比对存储终端的对应身份参数认证,通过后弹出解密对话框;或其他加密的账户标志也在解密对话框上显示;
S八、读取第三方移动终端的动态授权码,提交给与账户对应的解密对话框;
S九、在先通过动态授权码账户身份认证系统认证后,后台系统再启动比对动态授权码,如没有通过比对则提醒错误原因或提示解密不成功;
S十、后台系统比对动态授权码,如比对成功后则该账户解密成功;
S十一、如需要其他账户再进行解密授权,则将文件提交给其对应解密授权的账户终端,按上述解密流程完成所属账户对文件数据的解密授权。
本发明的一种对文件数据多账户加密的方法,所述读取第三方移动终端的动态授权码,是指构建一个无法被该账户系统可以直接接触或能够受到直接攻击的第三方物理隔离终端,并由从这个第三方物理隔离终端获取的动态授权码,来完成账户的认证授权。
进一步地,所述动态授权码,是指经过用户身份认证系统进行授权认证后,在设定时间周期值内随机生成动态口令密码值,通过在第三方移动终端读取这个随机生成动态口令密码值,来实现对文件数据和/或文件数据存储盘的加密解密管理。
所述移动终端获取或生成动态口令密码值,是通过联网后由在远端动态口令密码生成服务器提供,在第三方移动终端读取的;或是通过无需联网的移动终端写入的种子码而生成的。
进一步地,所述多账户动态授权码,来实现对文件数据多重加密管控,是指企业机构,单位组织基于最重要核心的文件数据,采取多重授权管理或分账户授权管理的加密授权模式,来获得多重授权才能对文件数据进行读取,复印,编修,下载,拷贝操作;或者分账户获得对文件数据分别授予读取,复印,编修,下载操作授权。
本发明的一种对文件数据多账户加密的方法,所述用户身份认证系统,包括针对个人用户提供身份认证和/或企业用户提供身份认证的系统。
进一步地,所述身份认证,或者是通过法定系统实施的法定身份认证,或者是由一般自定义账户系统进行的会员身份认证。
所述提供个人用户的法定身份认证,是通过法定管理机关或其许可授权机构,在个人身份信息服务器数据库中,或个人身份信息备份服务器数据库中,建立一种绑定移动终端和/或用户手机号与用户身份信息对应关系的法定验证系统,利用该法定验证系统对外提供法定个人身份认证和数字身份鉴权相关业务;其身份认证业务系统,或是通过用户的身份信息采集系统,在账户身份信息管理服务器数据库中,建立一种绑定移动终端和/或用户手机号与账户身份信息对应关系的验证系统,利用该验证系统对外提供账户身份认证和数字身份鉴权相关业务。
所述提供企业用户的法定身份认证,是指企业法人身份信息法定管理机关或其许可授权机构,在企业法人身份信息服务器数据库中,或企业法人身份信息备份服务器数据库中,建立企业法人身份信息的法定验证系统,利用该法定验证系统对外提供法定的企业法人身份认证和企业法人数字身份鉴权业务;或其企业法人登记码管理系统,是通过严格身份认证流程完成的企业法人身份信息采集,在企业法人身份信息服务器数据库中,或企业法人身份信息备份服务器数据库中,建立企业法人身份信息的验证系统,利用该验证系统对外提供企业法人身份认证和企业法人数字身份鉴权业务。
本发明的一种对文件数据多账户加密的方法,所述对文件数据的加密,是通过动态授权码管理客户端来进行设置控制的。
申请安装动态授权码管理客户端包括如下流程:
S十二、申请动态授权码账户,在第三方移动终端安装动态授权码获取客户端;
S十三、开通文件数据加密功能模块,或对已有动态授权码账户开通文件数据加密功能模块;
S十四、获得授权,在文件数据存储终端上安装动态授权码管理客户端;
S十五、动态授权码后台系统读取该存储终端的唯一性识别串码参数和/或硬件配置参数;
S十六、在第三方移动终端读取动态授权码验证通过后,成功安装动态授权码管理客户端。
本发明的一种对文件数据多账户加密的方法,所述存储终端的对应身份参数认证,即就是只能通过了对硬件终端的唯一性验证后,才能提交动态授权码后实现对文件数据的解密。
所述存储终端的唯一性验证,是指后台系统对该存储终端的唯一串码参数和/或配置硬件参数进行读取比对进行认证,保证所属存储终端是该动态授权码加密账户的对应授权存储终端。
本发明的一种对文件数据多账户加密的方法,所述存储终端的对应身份参数认证,用户根据文件加密安全等级设置要求和文件数据使用方便性的需要,可对文件数据的多账户加密不进行该存储终端的唯一串码参数和/或配置硬件参数的读取认证,只进行单一的动态授权码加密,由此方便在其他任何有动态授权码客户端的终端上,通过单一的动态生授权码解密就能够读取文件数据。
本发明的一种对文件数据多账户加密的方法,或授权一个动态授权码加密账户对多个存储终端实现加密授权管理。
所述授权一个动态授权码账户对多个存储终端实现加密授权管理,是指针对多个存储终端,通过分别申请加载同一账户的客户端,来实现同一账户下对多个存储终端的动态授权码加密管理。
本发明的一种对文件数据多账户加密的方法,针对同一个存储终端,或加载多个其他账户客户端,通过账户授权来实现多个动态授权码,对同一文件数据的加密管理。
所述通过账户授权来实现多个动态授权码,对同一文件数据的加密解密管理,是指通过其他账户授权,在同一个文件数据存储终端,自动实现对同一数据文件的多账户动态授权码的加密管理。
自动实现多账户动态授权码的加密包括如下步骤:
S十七、启动账户许可授权加密模块,在菜单框中录入授权账户信息;
S十八、读取文件数据存储终端的身份参数信息和/或输入授权账户信息,成功后弹出对话框,在对话框里提交从授权账户对应移动终端读取的动态授权码;
S十九、获得授权后在列表中显示许可授权账户,完成许可授权;
S二十、当需要对文件数据进行多账户加密时,根据授权约定在文件数据存储端,一次性完成多账户加密而无须再提交给所属账户终端。
本发明的一种对文件数据多账户加密的方法,当文件数据存储终端处于不在网状态时,根据用户的不同需要,可对不同文件数据设置为自动解密状态,或设置为静态加密状态。
所述设置为静态加密状态,是指当文件数据存储终端处于断网失联状态时,因无法应答动态授权码的比对请求而处于静态加密状态。
本发明的一种对文件数据多账户加密的方法,所述当存储终端的存储盘脱离原配置终端时,通过设置多重应答密钥挑战请求,来实现对文件数据的静态加密保护。
所述设置多重应答挑战包括:动态授权码挑战密钥,加密动态授权码账户信息挑战密钥,存储终端设备唯一串码挑战密钥,存储终端多个可识读配置硬件参数密钥挑战。
或可进一步地设置为非授权读取文件数据的自毁,所述非授权读取自毁,是指在非授权终端读取加密文件数据时,文件数据将根据在先设置,或提示启动自毁程序,或直接启动自毁程序将文件数据破坏而无法读取。
实施例1、动态授权码对数据文件的多账户分开加密解密授权的具体业务流程:
S一、在文件数据存储终端102A上启动动态授权码管理客户端101A;或读取第三方移动终端105A动态授权码客户端104A的动态授权码,解密启动动态授权码管理客户端101A。
S二、在先查验文件数据103A,确认其他授权账户(B/C~)分别通过各自的动态授权码客户端104(B/C~)已经完成加密,在文件数据存储终端102A上启动动态授权码管理客户端101A。
或在先查验文件数据103A,确认其他授权账户(B/C~)分别通过各自动态授权码客户端104(B/C~)已经完成加密,在先读取第三方移动终端105A动态授权码客户端104A的动态授权码,解密启动动态授权码管理客户端101A。
S三、点击加密菜单选择提交需要加密的文件数据103A。
S四、完成对所属文件数据103A的加密设置,生成加密的文件数据103A。
S五、或将还需要其他授权账户(B/C~)进行加密和/或存储的文件数据103A提交给其他授权账户终端102(B/C~)各自的动态授权码客户端101(B/C~)进行上述步骤的加密和/或存储。
S六、当需要对已加密文件数据103A进行解密时,点击所属文件数据103A,发起解密请求。
S七、后台系统106获得请求,比对存储终端102A的对应身份参数认证,通过后弹出解密对话框;或其他加密的账户(B/C~)标志也在解密对话框上显示。
S八、读取第三方移动终端104A上的动态授权码,提交给与账户(A)对应的解密对话框。
S九、在先通过动态授权码账户身份认证系统107认证后,后台系统106再启动比对动态授权码。
S十、后台系统106比对动态授权码,如比对成功后则该账户(A)解密成功。
S十一、如需要其他账户(B/C~)再进行解密授权,则将文件数据103A提交给其对应解密授权的账户终端102(B/C~),按上述解密流程完成所属账户对文件数据103A的解密授权。