CN111953676B - 一种基于硬件设备等级的文件加密方法 - Google Patents
一种基于硬件设备等级的文件加密方法 Download PDFInfo
- Publication number
- CN111953676B CN111953676B CN202010796657.9A CN202010796657A CN111953676B CN 111953676 B CN111953676 B CN 111953676B CN 202010796657 A CN202010796657 A CN 202010796657A CN 111953676 B CN111953676 B CN 111953676B
- Authority
- CN
- China
- Prior art keywords
- file
- key
- grade
- equal
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Abstract
本发明涉及数据安全技术领域,公开了一种基于硬件设备等级的文件加密方法,用以提升文件加密的安全性。本发明方案包括:在硬件设备初始化的过程中,服务器根据所有硬件设备中最大等级数g生成g个数的文件密钥,记为s1,s2…sg;根据各个硬件设备的等级数i将相应个数文件密钥写入硬件设备之中,其中,对于一个具有等级i的硬件设备di,1≤i≤g,在设备di中写入对应等级及以下的文件密钥s1,s2…si,完成设备di初始化过程;当需要使用一个具有等级n的硬件设备dn生成文件等级为f的文件时,1≤f≤n≤g,设备dn从设备中读取文件密钥sf,并以此密钥对文件进行加密,生成具有文件等级f的文件Ff。本发明适用于文件加密管理。
Description
技术领域
本发明涉及数据安全技术领域,特别涉及一种基于硬件设备等级的文件加密方法。
背景技术
目前物联网发展迅速,相应的,安全性也是需要注重的,其中通信安全是很重要的一部分。
在物联网设备加密通信时,设备中具有相同的密钥并使用相同的加密算法来保证通信内容可以被其他设备解析。
发明内容
本发明要解决的技术问题是:提供一种基于硬件设备等级的文件加密方法,用以提升文件加密的安全性。
为解决上述问题,本发明采用的技术方案是:一种基于硬件设备等级的文件加密方法,包括如下步骤:
S1、在硬件设备初始化的过程中,服务器根据所有硬件设备中最大等级数g生成g个数的文件密钥,记为s1,s2…sg,密钥对应的等级依次上升;
S2、根据各个硬件设备的等级数将相应个数文件密钥写入硬件设备之中,其中,对于一个具有等级i的硬件设备di,1≤i≤g,在设备di中写入对应等级及以下的文件密钥s1,s2…si,完成设备di初始化过程;
S3、当需要使用一个具有等级n的硬件设备dn生成文件等级为f的文件时,1≤f≤n≤g,设备dn从设备中读取文件密钥sf,并以此密钥对文件进行加密,生成具有文件等级f的文件Ff。
进一步,服务器生成的g个文件密钥s1,s2…sg分别为g个完整密钥的一部分密钥分量,步骤S1中的密钥分量s1,s2…sg所对应的另一部分密钥分量分别记为t1,t2…tg,且密钥分量t1,t2…tg分别存储在服务器上,密钥对应的等级依次上升;
步骤S3生成文件等级为f的文件Ff时还依赖于客户端和服务器,其生成文件等级为f的文件Ff的具体过程包括:
S31、客户端根据文件Ff的等级数f向服务器请求密钥分量tf,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将密钥分量tf作为响应发送给客户端;
S32、客户端获取到密钥分量tf后,向设备dn请求得到密钥分量sf,并将密钥分量tf和密钥分量sf合成完整的加密密钥,并以此完整密钥对文件进行加密,生成具有文件等级f的文件Ff。
进一步的,为了保证硬件装置的安全,硬件装置一般是以便携式结构的形式保存在用户的身上或者周围,其具体形式可以制成钥匙扣、U盘、手环等各种样式。客户端可通过近距离传输协议向设备dn请求得到密钥分量。
进一步的,所述近距离传输协议可以为蓝牙协议。
进一步的,针对文件解密,本发明还包括以下步骤:
S4、当硬件设备dm方接收到文件Ff时,1≤m≤g,则比较文件Ff的等级f与设备dm自身的等级m关系,如果m<f,则设备dm中不存在文件等级为f的文件密钥sf,无法打开该文件;如果m≥f,则设备dm中存在文件密钥sf,则使用文件密钥sf解密并读取文件内容。
进一步,步骤S4解密文件Ff的过程具体包括:
S41、客户端根据文件Ff的等级数f向服务器请求密钥分量tf,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将密钥分量tf作为响应发送给客户端;
S42、客户端获取到密钥分量tf后,向设备dm请求得到密钥分量sf,并将密钥分量tf和密钥分量sf合成完整的解密密钥,并以此完整密钥对文件Ff进行解密。
本发明的有益效果是:本发明在生产时就划分硬件设备等级,通过存放不同等级的通信密钥,保证即使某个低等级硬件设备被破解,也无法解密更高等级硬件设备产生的内容,对通信的内容使用不同的加密密钥,不会直接导致信息被一次性破解。
且由于本发明在生产时即分配好设备的等级,且根据需要,服务器通过不同的密钥组来对设备进行组别的划分换而言之,这是一种对于数据基于等级、密级的安全分享机制,不同密级的密钥通过硬件装置实现物理隔离,因此即使逆向出加密方的软件客户端,本发明也能从物理上也能避免设备被破解导致更高等级的信息泄漏。
附图说明
图1是本发明实施例1中硬件设备等级划分和管理示意图。
具体实施方式
现有技术通常在软件层对设备进行等级划分和管理,通信时由软件判断是否具有权限,这样在可能的情况下,软件被破解利用来提升自身权限,针对这种可能,本发明在生产时就划分设备等级,通过存放不同等级的通信密钥,保证即使软件被破解,也无法解密更高等级设备产生的内容。
实施例1
实施例1提供了一种基于硬件设备等级的文件加密方法,具体包括如下步骤:
S1、如图1所示,在硬件设备初始化的过程中,服务器根据所有硬件设备中最大等级数g生成g个数的文件密钥,记为s1,s2…sg,密钥对应的等级依次上升。实施例1中一个密级,对应着一个共享密钥因子,例如,密级为1的硬件装置中保存有1个密钥因子,密级为2的硬件装置中保存有两个密钥因子,密级为3的硬件装置保存有三个密钥因子。
S2、根据各个硬件设备的等级数将相应个数文件密钥写入硬件设备之中,其中,对于一个具有等级i的硬件设备di,1≤i≤g,在设备di中写入对应等级及以下的文件密钥s1,s2…si,完成设备di初始化过程。不同硬件设备之间,高密级硬件装置保存有低密级硬件装置中的密钥因子,但是低密级硬件装置中不包含高密级硬件装置中的密钥因子。以上述例子而言,即,1级密级的硬件装置中保存有密钥因子A,2级密级的硬件装置保存有密钥因子A和B,3级密级的硬件装置保存有密钥因子A、B、C。依次类推。
S3、当需要使用一个具有等级n的硬件设备dn生成文件等级为f的文件时,1≤f≤n≤g,设备dn从设备中读取文件密钥sf,并以此密钥对文件进行加密,生成具有文件等级f的文件Ff。可见实施例在进行加密时,1级密级的硬件装置使用A完成加密,对于2级密级的硬件装置使用B完成加密。以此类推。
S4、当硬件设备dm方接收到文件Ff时,1≤m≤g,则比较文件Ff的等级f与设备dm自身的等级m关系,如果m<f,则设备dm中不存在文件等级为f的文件密钥sf,无法打开该文件;如果m≥f,则设备dm中存在文件密钥sf,则使用文件密钥sf解密并读取文件内容。
实施例2
实施例2在实施例1的基础上,提供一种更加安全的密钥管理方法,包括如下步骤:
S1、在硬件设备初始化的过程中,服务器根据所有硬件设备中最大等级数g生成g个数的文件密钥,记为s1,s2…sg,密钥对应的等级依次上升。其中,服务器生成的g个文件密钥s1,s2…sg分别为g个完整密钥的一部分密钥分量,步骤S2中的密钥分量s1,s2…sg所对应的另一部分密钥分量分别记为t1,t2…tg,且密钥分量t1,t2…tg分别存储在服务器上,密钥对应的等级依次上升。
S2、根据各个硬件设备的等级数将相应个数文件密钥写入硬件设备之中。其中,对于一个具有等级i的硬件设备di,1≤i≤g,在设备di中写入对应等级及以下的文件密钥s1,s2…si,完成设备di初始化过程。不同硬件设备之间,高密级硬件装置保存有低密级硬件装置中的密钥分量,但是低密级硬件装置中不包含高密级硬件装置中的密钥分量。以上述例子而言,即,1级密级的硬件装置中保存有密钥因子A,2级密级的硬件装置保存有密钥因子A和B,3级密级的硬件装置保存有密钥因子A、B、C。依次类推。
S3、当需要使用一个具有等级n的硬件设备dn生成文件等级为f的文件时,1≤f≤n≤g,设备dn从设备中读取文件密钥sf,并以此密钥对文件进行加密,生成具有文件等级f的文件Ff。实施例2生成文件等级为f的文件Ff的具体过程包括:
S31、客户端根据文件Ff的等级数f向服务器请求密钥分量tf,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将密钥分量tf作为响应发送给客户端;
S32、客户端获取到密钥分量tf后,通过蓝牙向设备dn请求得到密钥分量sf,并将密钥分量tf和密钥分量sf合成完整的加密密钥,并以此完整密钥对文件进行加密,生成具有文件等级f的文件Ff。
S4、当硬件设备dm方的客户端接收到文件Ff时,1≤m≤g,则比较文件Ff的等级f与设备dm自身的等级m关系,如果m<f,则设备dm中不存在文件等级为f的文件密钥sf,无法打开该文件;如果m≥f,则设备dm中存在文件密钥sf,则使用文件密钥sf解密并读取文件内容,这里解密文件Ff的过程具体包括:
S41、客户端根据文件Ff的等级数f向服务器请求密钥分量tf,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将密钥分量tf作为响应发送给客户端;
S42、客户端获取到密钥分量tf后,通过蓝牙向设备dm请求得到密钥分量sf,并将密钥分量tf和密钥分量sf合成完整的解密密钥,并以此完整密钥对文件Ff进行解密。
相比于实施例1,实施例2中将完整的密钥拆分成两部分,分别保存于远端的服务器和本地的硬件设备上,从而即使第三方获破解了硬件装置,由于硬件装置缺失了一部分密钥分量,因此也无法直接对加密文件进行破解,进一步增强了安全性。
Claims (5)
1.一种基于硬件设备等级的文件加密方法,其特征在于,包括如下步骤:
S1、在硬件设备初始化的过程中,服务器根据所有硬件设备中最大等级数g生成g个数的文件密钥,记为s1,s2…sg密钥对应的等级依次上升;
S2、根据各个硬件设备的等级数将相应个数文件密钥写入硬件设备之中,其中,对于一个具有等级i的硬件设备di,1≤i≤g在设备di中写入对应等级及以下的文件密钥s1,s2…si,完成设备di初始化过程;
S3、当需要使用一个具有等级n的硬件设备dn生成文件等级为f的文件时,1≤f≤n≤g,设备dn从设备中读取文件密钥sf,并以此密钥对文件进行加密,生成具有文件,等级f的文件Ff;
其中,服务器生成的g个文件密钥s1,s2…sg分别为g个完整密钥的一部分密钥分量,步骤S1中的密钥分量s1,s2…sg所对应的另一部分密钥分量分别记为t1,t2…tg,且密钥分量t1,t2…tg,分别存储在服务器上,密钥对应的等级依次上升;
步骤S3生成文件等级为f的文件Ff时还依赖于客户端和服务器,其生成文件等级为f的文件Ff的具体过程包括:
S31、客户端根据文件Ff的等级数f向服务器请求密钥分量tf,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将密钥分量tf作为响应发送给客户端;
S32、客户端获取到密钥分量tf后,向设备dn请求得到密钥分量sf,并将密钥分量tf和密钥分量sf合成完整的加密密钥,并以此完整密钥对文件进行加密,生成具有文件等级f的文件Ff。
2.如权利要求1所述的一种基于硬件设备等级的文件加密方法,其特征在于,客户端通过近距离传输协议向设备dn请求得到密钥分量。
3.如权利要求2所述的一种基于硬件设备等级的文件加密方法,其特征在于,所述近距离传输协议为蓝牙协议。
4.如权利要求1所述的一种基于硬件设备等级的文件加密方法,其特征在于,还包括以下步骤:
S4、当硬件设备dm方接收到文件Ff时,1≤m≤g,则比较文件Ff的等级f与设备dm自身的等级m关系,如果m<f,则设备dm中不存在文件等级为f的文件密钥sf,无法打开该文件;如果m≥f,则设备dm中存在文件密钥sf,则使用文件密钥sf解密并读取文件内容。
5.如权利要求4所述的一种基于硬件设备等级的文件加密方法,其特征在于,步骤S4解密文件Ff的过程具体包括:
S41、客户端根据文件Ff的等级数f向服务器请求密钥分量tf,服务器对客户端登录账号的身份及其安全使用环境进行校验后,将密钥分量tf作为响应发送给客户端;
S42、客户端获取到密钥分量tf后,向设备dm请求得到密钥分量sf,并将密钥分量tf和密钥分量sf合成完整的解密密钥,并以此完整密钥对文件Ff进行解密。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010796657.9A CN111953676B (zh) | 2020-08-10 | 2020-08-10 | 一种基于硬件设备等级的文件加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010796657.9A CN111953676B (zh) | 2020-08-10 | 2020-08-10 | 一种基于硬件设备等级的文件加密方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111953676A CN111953676A (zh) | 2020-11-17 |
CN111953676B true CN111953676B (zh) | 2022-07-15 |
Family
ID=73332039
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010796657.9A Active CN111953676B (zh) | 2020-08-10 | 2020-08-10 | 一种基于硬件设备等级的文件加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111953676B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015101533A1 (en) * | 2014-01-03 | 2015-07-09 | Thomson Licensing | Multi-hop proxy re-encryption methods and devices |
CN107483482A (zh) * | 2017-09-12 | 2017-12-15 | 四川阵风科技有限公司 | 信息加密、解密方法及装置 |
CN107579813A (zh) * | 2017-09-12 | 2018-01-12 | 四川阵风科技有限公司 | 信息加密、解密方法及装置 |
CN108989033A (zh) * | 2018-07-31 | 2018-12-11 | 如般量子科技有限公司 | 一种基于公共密钥池的云存储安全控制方法和系统 |
CN109614792A (zh) * | 2018-11-29 | 2019-04-12 | 中国电子科技集团公司第三十研究所 | 一种分级文件密钥管理方法 |
CN110245465A (zh) * | 2019-06-17 | 2019-09-17 | 珠海格力智能装备有限公司 | 一种软件加密、解密方法 |
CN110502918A (zh) * | 2019-07-09 | 2019-11-26 | 杭州电子科技大学 | 一种基于分级安全加密的电子文件访问控制方法和系统 |
CN111130778A (zh) * | 2019-12-31 | 2020-05-08 | 郑州信大捷安信息技术股份有限公司 | 一种基于硬件的安全恢复加密数据的方法及系统 |
CN111343202A (zh) * | 2020-05-18 | 2020-06-26 | 湖南天琛信息科技有限公司 | 一种基于私有云的物联网数据安全存储系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1921858A1 (en) * | 2006-11-09 | 2008-05-14 | Thomson Licensing | Method and device for managing a transmission of keys |
DE102016002549A1 (de) * | 2016-01-18 | 2017-07-20 | Roland Harras | Verfahren zur mehrschichtig geschützten Sicherung von (Anmelde-) Daten insbesondere Passwörtern |
-
2020
- 2020-08-10 CN CN202010796657.9A patent/CN111953676B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015101533A1 (en) * | 2014-01-03 | 2015-07-09 | Thomson Licensing | Multi-hop proxy re-encryption methods and devices |
CN107483482A (zh) * | 2017-09-12 | 2017-12-15 | 四川阵风科技有限公司 | 信息加密、解密方法及装置 |
CN107579813A (zh) * | 2017-09-12 | 2018-01-12 | 四川阵风科技有限公司 | 信息加密、解密方法及装置 |
CN108989033A (zh) * | 2018-07-31 | 2018-12-11 | 如般量子科技有限公司 | 一种基于公共密钥池的云存储安全控制方法和系统 |
CN109614792A (zh) * | 2018-11-29 | 2019-04-12 | 中国电子科技集团公司第三十研究所 | 一种分级文件密钥管理方法 |
CN110245465A (zh) * | 2019-06-17 | 2019-09-17 | 珠海格力智能装备有限公司 | 一种软件加密、解密方法 |
CN110502918A (zh) * | 2019-07-09 | 2019-11-26 | 杭州电子科技大学 | 一种基于分级安全加密的电子文件访问控制方法和系统 |
CN111130778A (zh) * | 2019-12-31 | 2020-05-08 | 郑州信大捷安信息技术股份有限公司 | 一种基于硬件的安全恢复加密数据的方法及系统 |
CN111343202A (zh) * | 2020-05-18 | 2020-06-26 | 湖南天琛信息科技有限公司 | 一种基于私有云的物联网数据安全存储系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111953676A (zh) | 2020-11-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108259169B (zh) | 一种基于区块链云存储的文件安全分享方法及系统 | |
US11108753B2 (en) | Securing files using per-file key encryption | |
US10025912B2 (en) | Information processing system, reading apparatus, information processing apparatus, and information processing method | |
US11128471B2 (en) | Accessibility controls in distributed data systems | |
US20210319132A1 (en) | Methods and Devices For Managing User Identity Authentication Data | |
JP2021520714A5 (zh) | ||
US7975312B2 (en) | Token passing technique for media playback devices | |
US7792300B1 (en) | Method and apparatus for re-encrypting data in a transaction-based secure storage system | |
CN103731432A (zh) | 一种支持多用户的可搜索加密系统及方法 | |
US20160112413A1 (en) | Method for controlling security of cloud storage | |
US20080098214A1 (en) | Encryption/decryption method, method for safe data transfer across a network, computer program products and computer readable media | |
US8392723B2 (en) | Information processing apparatus and computer readable medium for preventing unauthorized operation of a program | |
WO2018165835A1 (zh) | 云密文访问控制方法及系统 | |
US11468177B2 (en) | Apparatus and method for encrypting data in a data storage system | |
US20230269078A1 (en) | Key sharing method, key sharing system, authenticating device, authentication target device, recording medium, and authentication method | |
TW201502850A (zh) | 文件授權管理系統、終端裝置、文件授權管理辦法以及計算機可讀記錄媒體 | |
JP2022542095A (ja) | 強化された安全な暗号化及び復号化システム | |
WO2012053886A1 (en) | A method and system for file encryption and decryption in a server | |
TWI476629B (zh) | Data security and security systems and methods | |
CN114679340B (zh) | 一种文件共享方法、系统、设备及可读存储介质 | |
CN111953676B (zh) | 一种基于硬件设备等级的文件加密方法 | |
US10341110B2 (en) | Securing user credentials | |
CN112528309A (zh) | 一种数据存储加密和解密的方法及其装置 | |
CN111541652B (zh) | 一种用于提高秘密信息保管及传递安全性的系统 | |
US11824638B2 (en) | Re-encryption device, method and computer readable medium to change the access range for ciphertext |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |