CN107220550A - 基于eCryptfs的加密卡性能优化方法及系统 - Google Patents

基于eCryptfs的加密卡性能优化方法及系统 Download PDF

Info

Publication number
CN107220550A
CN107220550A CN201710259084.4A CN201710259084A CN107220550A CN 107220550 A CN107220550 A CN 107220550A CN 201710259084 A CN201710259084 A CN 201710259084A CN 107220550 A CN107220550 A CN 107220550A
Authority
CN
China
Prior art keywords
ecryptfs
packet
encrypted card
encryption
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710259084.4A
Other languages
English (en)
Inventor
郑朝晖
张勇进
黄海泳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Haijia Network Science & Technology Co Ltd Shanghai
Original Assignee
Haijia Network Science & Technology Co Ltd Shanghai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Haijia Network Science & Technology Co Ltd Shanghai filed Critical Haijia Network Science & Technology Co Ltd Shanghai
Priority to CN201710259084.4A priority Critical patent/CN107220550A/zh
Publication of CN107220550A publication Critical patent/CN107220550A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明揭示了一种基于eCryptfs的加密卡性能优化方法及系统,方法包括改进eCryptfs文件加密系统,使其适用于加密卡;改进后的eCryptfs文件加密系统对接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包,并将所有第二数据包进行合并获得至少一个第三数据包;改进后的eCryptfs文件加密系统调用加密卡对第一数据包和第三数据包进行加解密处理。本发明具有减少透明加密文件系统调用加密卡加解密接口的次数,提高加密卡加解密的速度的优点。

Description

基于eCryptfs的加密卡性能优化方法及系统
技术领域
本发明涉及一种数据安全技术领域,尤其是涉及一种基于eCryptfs的加密卡性能优化方法及系统。
背景技术
当前,数据安全是企业一直关注的问题。企业大量机密数据均以电子文档的形式存在,其传播方式也是多种多样。互联网时代的快速发展推进了企业信息化进程,同时也将企业机密数据置于巨大的风险之中,保护机密数据和敏感信息免遭恶意或意外泄露,是当今企业所面临的最大安全问题之一。
eCryptfs(Enterprise Cryptographic Filesystem,企业级文件加密系统)是Linux系统平台下的企业文件加密系统,具有高级秘钥管理和政策的特征。在应用程序发出读数据请求时,将读数据请求转化为一个内核调用传递给eCryptfs文件加密系统,eCryptfs文件加密系统传递给下层文件系统,并从存储介质中读取数。将读取数据返回eCryptfs文件加密系统,在eCryptfs文件加密系统中调用加密卡的加解密接口对数据解密处理,并将处理后的数据传递给应用程序。
在eCryptfs文件加密系统中每次处理的数据长度为一个内存页的大小,一般地加密卡处理时需要存放额外信息,因此加密卡每次能处理的有效数据长度小于一个内存页的大小,每次ecryptfs的数据请求需要调用两次加密卡的加解密接口,大大降低了数据处理性能。
如何减少调用加密卡加解密接口的次数,提高加密卡加解密速度是亟需解决的问题。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种基于eCryptfs的加密卡性能优化方法及系统,能够有效减少透明加密文件系统调用加密卡加解密接口的次数,并提高加密卡加解密的速度。
为实现上述目的,本发明提出如下技术方案:一种基于eCryptfs的加密卡性能优化方法,包括如下步骤:
步骤1,改进eCryptfs文件加密系统,使其适用于加密卡;
步骤2,改进后的eCryptfs文件加密系统对接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包,并将所有第二数据包进行合并获得至少一个第三数据包;
步骤3,改进后的eCryptfs文件加密系统调用加密卡对第一数据包和第三数据包进行加解密处理。
优选地,步骤1中,改进eCryptfs文件加密系统包括如下步骤:
步骤101,将加密卡接口添加至eCryptfs文件加密系统;
步骤102,在所述eCryptfs文件加密系统中添加用于驱动加密卡接口的加密卡驱动模块。
优选地,步骤101中,所述加密卡接口包括加密接口和解密接口,所述加密接口用于对数据进行加密,所述解密接口用于对数据进行解密。
优选地,步骤3中,改进后的eCryptfs文件加密系统根据加密卡的数量,并行调用加密卡。
优选地,步骤2中,所述第一数据包的有效数据长度为加密卡能够处理数据包的最大长度。
优选地,步骤2中,所述第二数据包的有效数据长度不大于第一数据包的有效数据长度。
优选地,步骤2中,第三数据包的有效长度为加密卡能够处理数据包的最大长度。
一种基于eCryptfs的加密卡性能优化系统,包括eCryptfs文件加密系统,以及系统改进单元,所述系统改进单元用于改进eCryptfs文件加密系统,使其适用于加密卡;
所述eCryptfs文件加密系统包括数据包分解单元和数据包合并单元,其中,数据包分解单元用于对eCryptfs文件加密系统接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包;数据包合并单元用于将所有第二数据包进行合并,获得至少一个第三数据包。
优选地,所述系统改进单元通过将加密卡接口和加密卡驱动模块添加至eCryptfs文件加密系统对eCryptfs文件加密系统进行改进;所述加密卡接口包括加密接口和解密接口,所述加密接口用于对数据进行加密,所述解密接口用于对数据进行解密。
优选地,改进后的eCryptfs文件加密系统根据加密卡的数量,并行调用加密卡。
本发明的有益效果是:
与现有技术相比,本发明通过对eCryptfs文件加密系统进行改进,使改进后的eCryptfs文件加密系统对接收到的数据进行分解或者合并,且并行调用加密卡接口对分解或者合并后的数据进行加解密,有效减少调用加解密卡的次数,提高了eCryptfs文件加密系统对数据的处理速度,最终实现高可靠和高性能的文件透明加密功能。
附图说明
图1是本发明的基于eCryptfs的加密卡性能优化方法流程图;
图2是本发明的eCryptfs文件加密系统结构框图示意图;
图3是本发明的改进eCryptfs文件加密系统方法流程图;
图4是本发明的数据分解和合并示意图;
图5是本发明的eCryptfs文件加密系统调用加密卡示意图;
图6是本发明的基于eCryptfs的加密卡性能优化系统结构框图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明所揭示的一种基于eCryptfs的加密卡性能优化方法,可实现安全可靠、高性能的文件透明加密功能,如图1所示,所述基于eCryptfs的加密卡性能优化方法包括如下步骤:
步骤1,改进eCryptfs文件加密系统,使其适用于加密卡。
具体的,如图2所示,eCryptfs(Enterprise Cryptographic Filesystem,企业级文件加密系统)是Linux系统中功能强大的企业级加密文件系统,堆叠于其他文件系统之上,如Ext3、JFS、NFS等,为应用程序提供透明、动态、高效和安全的文件加密功能。eCryptfs文件加密系统层是一个比较完备的内核文件系统模块,在eCryptfs文件加密系统的数据结构中,加入了指向下层文件系统数据结构的指针,通过这些指针能够读取或存储数据。
进一步地,如图3所示,通过如下步骤对eCryptfs文件加密系统进行改进,使其成为适用于加密卡的eCryptfs文件加密系统,进而在eCryptfs文件加密系统层对数据进行保护。
步骤101,将加密卡接口添加至eCryptfs文件加密系统中,其中,所述加密卡接口包括加密接口和解密接口,所述加密接口用于对数据进行加密,所述解密接口用于对数据进行解密;
步骤102,在所述eCryptfs文件加密系统中添加加密卡驱动模块,其中,所述加密卡驱动模块用于驱动加密卡接口。
在读取数据时,应用程序发出读数据请求,系统将读数据请求转换为内核调用传递给eCryptfs文件加密系统层,eCryptfs文件加密系统层传递给下层文件系统,如Ext3、JFS、NFS等,下层文件系统从存储介质中读取数据。
步骤2,改进后的eCryptfs文件加密系统对接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包,并将所有第二数据包进行合并获得至少一个第三数据包。
其中,所述第一数据包的有效数据长度为加密卡能够处理的数据包最大长度,所述第二数据包的有效数据长度不大于第一数据包的有效数据长度,第三数据包的有效长度为加密卡能够处理的数据包最大长度。
具体的,结合图1和图4所示,eCryptfs文件加密系统对接收到的数据进行分解,分解为两部分,一部分是加密卡能够处理的数据包最大长度,即第一数据包,一部分是多余的数据包,即第二数据包,为了减少调用加密卡加解密的次数,提高加密卡数据处理性能,eCryptfs文件加密系统将多余的数据包进行合并,获得第三数据包。当合并的数据包有效长度等于加密卡处理的数据包最大长度时,调用加密卡接口对数据进行加解密处理。
步骤3,改进后的eCryptfs文件加密系统调用加密卡对第一数据包和第三数据包进行加解密处理。
具体的,当多个应用程序请求读取数据时,系统将多个读数据请求转换为内核调用传递给eCryptfs文件加密系统,eCryptfs文件加密系统传递给下层文件系统,下层文件系统从存储介质中读取数据。由于存储在存储介质中的数据都是加密的,因此下层文件系统读取的数据传递给eCryptfs文件加密系统后,eCryptfs文件加密系统将接收到的多个数据进行分解,第一数据包调用加密卡的解密接口对数据进行解密,多余的第二数据包合并成第三数据包后,调用加密卡的解密接口进行解密,并将处理后的数据分别传递给不同的应用程序。
写数据过程,与读数据过程相反,当eCryptfs文件加密系统接收到多个数据时,将数据进行分解,获得至少一个第一数据包和至少一个第二数据包,将所有第二数据包进行合并获得至少一个第三数据包,eCryptfs文件加密系统调用加密卡加密接口对第一数据包和第三数据包进行加密后再传递至下层文件系统中,对加密后的数据进行存储。
如图5所示,为了提高加密卡数据处理速度,本实施例中步骤3中改进后的eCryptfs文件加密系统根据加密卡的数量,并行调用加密卡的加解密接口,让加密卡协同加解密,并且并行进行结果校验。当然,也可以更换数据处理性能更好的加密卡对数据进行加解密处理。
如图6所示,一种基于eCryptfs的加密卡性能优化系统,包括eCryptfs文件加密系统,以及系统改进单元,所述系统改进单元用于改进eCryptfs文件加密系统,使其适用于加密卡,进而在eCryptfs文件加密系统层对数据进行保护。
所述eCryptfs文件加密系统包括数据包分解单元和数据包合并单元,其中,数据包分解单元用于对eCryptfs加密系统接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包;数据包合并单元用于将所有第二数据包进行合并,获得至少一个第三数据包。
进一步地,所述系统改进单元通过将加密卡接口和加密卡驱动模块添加至eCryptfs文件加密系统对eCryptfs文件加密系统进行改进。
具体的,结合图2、图4、图5和图6所示,当多个应用程序请求读取数据时,eCryptfs文件加密系统通过下层文件系统存储介质中读取数据。下层文件系统读取的数据传递给eCryptfs文件加密系统后,数据包分解单元将接收到的多个数据进行分解,获得至少一个第一数据包和至少一个第二数据包,所有第一数据包调用加密卡的解密接口对数据进行解密,多余的第二数据包通过数据包合并单元合并成第三数据包后,调用加密卡的解密接口进行解密,并将处理后的数据分别传递给不同的应用程序。
写数据过程中,当eCryptfs文件加密系统接收到多个数据时,数据包分解单元将数据进行分解,获得至少一个第一数据包和至少一个第二数据包。数据包合并单元将所有第二数据包进行合并获得至少一个第三数据包,eCryptfs文件加密系统调用加密卡的加密接口对第一数据包和第三数据包进行加密后再传递至下层文件系统中,对加密后的数据进行存储。
本发明所述的一种基于eCryptfs的加密卡性能优化方法及系统,通过对eCryptfs文件加密系统进行改进,使改进后的eCryptfs文件加密系统对接收到的数据进行分解或者合并,并行调用加密卡接口对分解或者合并后的数据进行加解密,有效减少了调用加解密卡的次数,提高了eCryptfs文件加密系统对数据的处理速度,最终实现高可靠和高性能的文件透明加密功能。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。

Claims (10)

1.一种基于eCryptfs的加密卡性能优化方法,其特征在于,包括如下步骤:
步骤1,改进eCryptfs文件加密系统,使其适用于加密卡;
步骤2,改进后的eCryptfs文件加密系统对接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包,并将所有第二数据包进行合并,获得至少一个第三数据包;
步骤3,改进后的eCryptfs文件加密系统调用加密卡对第一数据包和第三数据包进行加解密处理。
2.根据权利要求1所述的一种基于eCryptfs的加密卡性能优化方法,其特征在于,步骤1中,改进eCryptfs文件加密系统包括如下步骤:
步骤101,将加密卡接口添加至eCryptfs文件加密系统;
步骤102,在所述eCryptfs文件加密系统中添加用于驱动所述加密卡接口的加密卡驱动模块。
3.根据权利要求2所述的一种基于eCryptfs的加密卡性能优化方法,其特征在于,步骤101中,所述加密卡接口包括加密接口和解密接口,所述加密接口用于对数据进行加密,所述解密接口用于对数据进行解密。
4.根据权利要求2所述的一种基于eCryptfs的加密卡性能优化方法,其特征在于,步骤3中,改进后的eCryptfs文件加密系统根据加密卡的数量,并行调用加密卡。
5.根据权利要求1所述的一种基于eCryptfs的加密卡性能优化方法,其特征在于,步骤2中,所述第一数据包的有效数据长度为加密卡能够处理数据包的最大长度。
6.根据权利要求1所述的一种基于eCryptfs的加密卡性能优化方法,其特征在于,步骤2中,所述第二数据包的有效数据长度不大于第一数据包的有效数据长度。
7.根据权利要求1所述的一种基于eCryptfs的加密卡性能优化方法,其特征在于,步骤2中,第三数据包的有效长度为加密卡能够处理数据包的最大长度。
8.一种基于eCryptfs的加密卡性能优化系统,其特征在于,包括eCryptfs文件加密系统,以及系统改进单元,所述系统改进单元用于改进eCryptfs文件加密系统,使其适用于加密卡;
所述eCryptfs文件加密系统包括数据包分解单元和数据包合并单元,所述数据包分解单元用于对eCryptfs文件加密系统接收到的数据进行分解,获得至少一个第一数据包和至少一个第二数据包;数据包合并单元用于将所有第二数据包进行合并,获得至少一个第三数据包。
9.根据权利要求8所述的基于eCryptfs的加密卡性能优化系统,其特征在于,所述系统改进单元通过将加密卡接口和加密卡驱动模块添加至eCryptfs文件加密系统对eCryptfs文件加密系统进行改进;所述加密卡接口包括加密接口和解密接口,所述加密接口用于对数据进行加密,所述解密接口用于对数据进行解密。
10.根据权利要求8所述的基于eCryptfs的加密卡性能优化系统,其特征在于,改进后的eCryptfs文件加密系统根据加密卡的数量,并行调用加密卡。
CN201710259084.4A 2017-04-19 2017-04-19 基于eCryptfs的加密卡性能优化方法及系统 Pending CN107220550A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710259084.4A CN107220550A (zh) 2017-04-19 2017-04-19 基于eCryptfs的加密卡性能优化方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710259084.4A CN107220550A (zh) 2017-04-19 2017-04-19 基于eCryptfs的加密卡性能优化方法及系统

Publications (1)

Publication Number Publication Date
CN107220550A true CN107220550A (zh) 2017-09-29

Family

ID=59927890

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710259084.4A Pending CN107220550A (zh) 2017-04-19 2017-04-19 基于eCryptfs的加密卡性能优化方法及系统

Country Status (1)

Country Link
CN (1) CN107220550A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050246778A1 (en) * 2004-04-23 2005-11-03 Viacheslav Usov Transparent encryption and access control for mass-storage devices
US20100266120A1 (en) * 2009-04-20 2010-10-21 Cleversafe, Inc. Dispersed data storage system data encryption and encoding
CN103294958A (zh) * 2013-05-21 2013-09-11 中国人民解放军国防科学技术大学 面向类Linux系统的内核级虚拟聚合并行加密方法
CN103475451A (zh) * 2013-09-10 2013-12-25 江苏中科梦兰电子科技有限公司 一种适合前向纠错和加密应用的数据报网络传输方法
CN103780375A (zh) * 2012-10-19 2014-05-07 中国电信股份有限公司 数据发送方法和装置、数据接收方法和装置
CN104182697A (zh) * 2014-08-15 2014-12-03 小米科技有限责任公司 文件加密方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050246778A1 (en) * 2004-04-23 2005-11-03 Viacheslav Usov Transparent encryption and access control for mass-storage devices
US20100266120A1 (en) * 2009-04-20 2010-10-21 Cleversafe, Inc. Dispersed data storage system data encryption and encoding
CN103780375A (zh) * 2012-10-19 2014-05-07 中国电信股份有限公司 数据发送方法和装置、数据接收方法和装置
CN103294958A (zh) * 2013-05-21 2013-09-11 中国人民解放军国防科学技术大学 面向类Linux系统的内核级虚拟聚合并行加密方法
CN103475451A (zh) * 2013-09-10 2013-12-25 江苏中科梦兰电子科技有限公司 一种适合前向纠错和加密应用的数据报网络传输方法
CN104182697A (zh) * 2014-08-15 2014-12-03 小米科技有限责任公司 文件加密方法和装置

Similar Documents

Publication Publication Date Title
CN101853363B (zh) 一种文件保护方法及系统
CN104392188B (zh) 一种安全数据存储方法和系统
US8745416B2 (en) Systems and methods for secure third-party data storage
US8689015B2 (en) Portable secure data files
US10666647B2 (en) Access to data stored in a cloud
US8261320B1 (en) Systems and methods for securely managing access to data
CN106022155A (zh) 用于数据库安全管理的方法及服务器
US20130185569A1 (en) Data protection system and method based on cloud storage
CN110807205B (zh) 一种文件安全防护方法及装置
CN106682521B (zh) 基于驱动层的文件透明加解密系统及方法
CN107370604A (zh) 一种大数据环境下的多粒度访问控制方法
CN107784207B (zh) 金融app界面的显示方法、装置、设备及存储介质
CN109547215B (zh) 一种基于移动终端指纹的文档信息保护方法
CN104156672B (zh) 基于linux的数据加密保护方法及系统
US8972747B2 (en) Managing information in a document serialization
CN104834835A (zh) 一种Windows平台下的通用数字版权保护方法
CN113127915A (zh) 数据加密脱敏方法、装置、电子设备及存储介质
KR102417814B1 (ko) 회원 식별 정보에 기반하여 전자 문서에 삽입된 일부 콘텐츠에 대한 보안 설정을 지원하는 전자 문서 관리 서버 및 그 동작 방법
CN106446697A (zh) 隐私数据的保存方法及装置
CN112307515A (zh) 基于数据库的数据处理方法、装置、电子设备和介质
CN113779592A (zh) 一种智能设备剪切板数据加密系统及方法
CN106790243A (zh) 一种安全u盘的密码重置方法
CN109299611A (zh) 文件加密方法、装置、设备/终端/服务器及计算机可读存储介质
CN110032834B (zh) 系统授权控制方法、终端设备及存储介质
CN104504310A (zh) 基于壳技术的软件保护方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170929