CN112199688A - 文件的加密防护方法及访问控制系统 - Google Patents
文件的加密防护方法及访问控制系统 Download PDFInfo
- Publication number
- CN112199688A CN112199688A CN201910609072.9A CN201910609072A CN112199688A CN 112199688 A CN112199688 A CN 112199688A CN 201910609072 A CN201910609072 A CN 201910609072A CN 112199688 A CN112199688 A CN 112199688A
- Authority
- CN
- China
- Prior art keywords
- file
- user
- key
- encrypted
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种文件的加密防护方法及访问控制系统,涉及电子文件加密领域,包括:获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件;接收访问用户的访问请求,所述访问请求包括用户证书文件;查找所述用户证书文件所对应的加密文件和加密密钥,并向访问用户发送该加密文件和加密密钥,用于防止电子文件泄密,控制和管理机密电子文件,防止未授权的用户访问机密文件的技术问题。
Description
技术领域
本发明涉及电子文件加密领域,特别是涉及一种文件的加密防护方法及访问控制系统。
背景技术
传统的针对纸质文件的保密管理通过给文件标明密级并进行封存的方式实现。保密文件的发送、传递、接收、借阅、移交、销毁、归档等各个环节,均有严格的登记和审批程序。保密文件的复制经保密工作部门审批许可后,由国家秘密载体定点复制单位印刷;阅读保密文件有特定的范围限制,如不得带至个人空间或公共场所;保密文件要定期清查,需存档的文件按照国家关于纸质文件材料密级和保管期限的有关规定执行,其他文件则定期销毁。
随着计算机应用的普及和互联网的发展,技术资料的数字化及人员的频繁流动,给电子文件的安全造成极大的威胁。电子文件易更改、易传播的特性,严重影响电子文件存储和交流的安全。如何防止电子文件泄密,如何控制和管理机密电子文件,如何防止未授权的用户访问文件,是信息安全所面临的严峻挑战。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种文件的加密防护方法及访问控制系统,用于解决上述技术问题。
本发明提供一种文件的加密防护方法,所述方法包括以下步骤:
获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;
获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;
基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件;
接收访问用户的访问请求,所述访问请求包括用户证书文件;
查找所述用户证书文件所对应的加密文件和加密密钥,并向访问用户发送该加密文件和加密密钥。
于本发明的一实施例中,获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥,包括:
在关系数据库中获取所述文件被授权的每个用户的用户特征标识,
从而获取与所述用户特征标识对应的公钥,
所述用户特征标识为用户注册身份标识。
于本发明的一实施例中,所述公钥对应的密钥是所述被授权用户的私钥。
于本发明的一实施例中,基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件,包括:
针对每一个用户特征标识随机生成一个认证编码,
所述用户证书文件包括文件标识符、文件标识信息、密钥标识符、密钥标识信息及所述认证编码。
于本发明的一实施例中,查找所述访问用户证书文件所对应的加密文件和加密密钥,并向用户发送该加密文件和文件密钥,包括:
确认认证编码与访问用户的用户特征标识是否匹配,
若匹配,根据文件标识符、文件标识信息、密钥标识符及密钥标识信息查找对应的加密文件和加密密钥。
于本发明的一实施例中,访问用户接收到加密文件和加密密钥后,利用私钥对加密密钥进行解密,得到文件密钥,再利用所述文件密钥对加密文件进行解密,得到文件。
一种访问控制系统,所述系统包括:
文件处理模块,用于获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;
密钥处理模块,用于获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;
认证文件生成模块,用于基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件;
接收模块,用于接收访问用户的访问请求,所述访问请求包括用户证书文件;
认证模块,用于查找所述用户证书文件所对应的加密文件,并向访问用户发送该加密文件和加密密钥。
如上所述,本发明具有以下有益效果:
本发明用于为用户保存文件及对文件进行实时加密,首先利用文件密钥对存储文件进行加密,进而利用被授权的用户公钥对文件密钥进行加密,文件以密文形式存储在本地存储介质或者网络共享位置,再为被授权用户生成一个用于认证身份的认证编码,在验证用户了身份的情况,再向用户发送加密文件和加密密钥,保证用户在本用户端以外的环境下安全的打开,避免了文件传输给未授权用户的情况发生。
附图说明
图1显示为本发明公开的方法流程示意图。
图2显示为本发明公开的模块结构示意图。
元件标号说明
01-文件处理模块;02-密钥处理模块;03-认证文件生成模块;04-接收模块;05-认证模块。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
请参阅图1,本发明提供一种文件的加密防护方法,所述方法包括以下步骤:
获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;
获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;
基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件;
接收访问用户的访问请求,所述访问请求包括用户证书文件;
查找所述用户证书文件所对应的加密文件,并向访问用户发送该加密文件和加密密钥。
本实施例中,本地服务器接收需要保存和加密的文件和加密密钥,并采用文件密钥和用户的公钥双重加密体系对文件进行加密,有效的增强了加密强度,由于访问用户可能是被授权用户,也可能是未被授权的用户,本地服务器需要确认访问用户的身份信息后,再向其发送加密文件。
其中,对于文件密钥的生成可以按照某种预先设定的规则生成,也可以随机生成,即获取文件密钥,可以包括:随机生成文件密钥。由此,文件密钥的生成并无任何规律可循,进一步增强了数据安全性。
基于以上实施例,获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥,包括:
在关系数据库中获取所述文件被授权的每个用户的用户特征标识,
从而获取与所述用户特征标识对应的公钥,
所述用户特征标识为用户注册身份标识。
本实施例中,所述用户特征标识还包括终端设备身份标识,利用用户的公钥对文件密钥进行第二层加密,需要被授权用户对应的私钥才能对其进行解密。
基于以上实施例,所述公钥对应的密钥是所述被授权用户的私钥。
基于以上实施例,基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件,包括:
针对每一个用户特征标识随机生成一个认证编码,
所述用户证书文件包括文件标识符、文件标识信息、密钥标识符、密钥标识信息及所述认证编码。
基于以上实施例,查找所述访问用户证书文件所对应的加密文件和加密密钥,并向用户发送该加密文件和文件密钥,包括:
确认认证编码与访问用户的用户特征标识是否匹配,
若匹配,根据文件标识符、文件标识信息、密钥标识符及密钥标识信息查找对应的加密文件和加密密钥。
访问用户需要访问文件时,向本用户端发送访问请求,本地服务器端对其进行身份核实,确定为授权的用户后才能向其发送加密文件和加密密钥,这是第一层保护;当用户接受到文件后,需要使用相应的私钥才能对其解密,这是第二层保护,使非授权用户访问一个服务器即可获取上述信息增加了信息获取难度,进而增强了数据安全性。
当非授权用户向本地端发送访问请求时,本地端核实后向工作人员发送报警信息,并且拦截所述访问请求,将该用户拉入黑名单中。
基于以上实施例,访问用户接收到加密文件和加密密钥后,利用私钥对加密密钥进行解密,得到文件密钥,再利用所述文件密钥对加密文件进行解密,得到文件。
请参阅图2,一种访问控制系统,所述系统包括:
文件处理模块01,用于获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;
密钥处理模块02,用于获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;
认证文件生成模块03,用于基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件
接收模块04,用于接收访问用户的访问请求,所述访问请求包括用户证书文件;
认证模块05,用于查找所述用户证书文件所对应的加密文件和加密密钥,并向访问用户发送该加密文件和加密密钥。
综上所述,本发明通过在本地端对文件进行双重加密,严格把控访问文件的用户,有效防止机密文件泄露。所以,本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (7)
1.一种文件的加密防护方法,其特征在于,所述方法包括以下步骤:
获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;
获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;
基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件;
接收访问用户的访问请求,所述访问请求包括用户证书文件;
查找所述用户证书文件所对应的加密文件和加密密钥,并向访问用户发送该加密文件和加密密钥。
2.根据权利要求1所述的方法,其特征在于:获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥,包括:
在关系数据库中获取所述文件被授权的每个用户的用户特征标识,
从而获取与所述用户特征标识对应的公钥,
所述用户特征标识为用户注册身份标识。
3.根据权利要求2所述的方法,其特征在于:所述公钥对应的密钥是所述被授权用户的私钥。
4.根据权利要求1所述的方法,其特征在于:基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件,包括:
针对每一个用户特征标识随机生成一个认证编码,
所述用户证书文件包括文件标识符、文件标识信息、密钥标识符、密钥标识信息及所述认证编码。
5.根据权利要求1所述的方法,其特征在于:查找所述访问用户证书文件所对应的加密文件和加密密钥,并向用户发送该加密文件和文件密钥,包括:
确认认证编码与访问用户的用户特征标识是否匹配,
若匹配,根据文件标识符、文件标识信息、密钥标识符及密钥标识信息查找对应的加密文件和加密密钥。
6.根据权利要求5所述的方法,其特征在于:访问用户接收到加密文件和加密密钥后,利用私钥对加密密钥进行解密,得到文件密钥,再利用所述文件密钥对加密文件进行解密,得到文件。
7.一种访问控制系统,其特征在于,所述系统包括:
文件处理模块,用于获取待加密的文件,利用文件密钥对文件作对称加密得到加密文件;
密钥处理模块,用于获取文件被授权用户的公钥,利用所述公钥对文件密钥作不对称加密得到对应的加密密钥;
认证文件生成模块,用于基于用户特征标识对所述文件生成用户证书文件,并向被授权用户发送所述用户证书文件;
接收模块,用于接收访问用户的访问请求,所述访问请求包括用户证书文件;
认证模块,用于查找所述用户证书文件所对应的加密文件,并向访问用户发送该加密文件和加密密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910609072.9A CN112199688A (zh) | 2019-07-08 | 2019-07-08 | 文件的加密防护方法及访问控制系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910609072.9A CN112199688A (zh) | 2019-07-08 | 2019-07-08 | 文件的加密防护方法及访问控制系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112199688A true CN112199688A (zh) | 2021-01-08 |
Family
ID=74004373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910609072.9A Pending CN112199688A (zh) | 2019-07-08 | 2019-07-08 | 文件的加密防护方法及访问控制系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112199688A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660098A (zh) * | 2021-08-25 | 2021-11-16 | 蒋妙法 | 一种基于大数据的信息认证存储方法及系统 |
-
2019
- 2019-07-08 CN CN201910609072.9A patent/CN112199688A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113660098A (zh) * | 2021-08-25 | 2021-11-16 | 蒋妙法 | 一种基于大数据的信息认证存储方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108768988B (zh) | 区块链访问控制方法、设备及计算机可读存储介质 | |
| JP4460763B2 (ja) | 生物測定データを用いた暗号キー発生法 | |
| CN101107611B (zh) | 私有的和受控的所有权共享的方法、设备和系统 | |
| CN108833114A (zh) | 一种基于区块链的去中心化身份认证系统及方法 | |
| CN104662870A (zh) | 数据安全管理系统 | |
| CN1714529A (zh) | 具有便利和安全设备注册的基于域的数字权利管理系统 | |
| CN102891843A (zh) | 本地服务单元认证安卓客户端应用程序的方法 | |
| KR100656402B1 (ko) | 디지털 콘텐츠를 안전하게 배포하는 방법 및 그 장치 | |
| CN113282944B (zh) | 智能锁开启方法、装置、电子设备及存储介质 | |
| CN111954211B (zh) | 一种移动终端新型认证密钥协商系统 | |
| US20130097427A1 (en) | Soft-Token Authentication System | |
| CN105740725A (zh) | 一种文件保护方法与系统 | |
| CN111540093A (zh) | 一种门禁控制系统及其控制方法 | |
| CN111583482A (zh) | 一种基于二维码的门禁控制系统及其控制方法 | |
| KR101062624B1 (ko) | Ic 태그 시스템 | |
| JP6533542B2 (ja) | 秘密鍵複製システム、端末および秘密鍵複製方法 | |
| CN108667800B (zh) | 一种访问权限的认证方法及装置 | |
| KR101042234B1 (ko) | 위치 인증을 통한 사용자 프로그램의 기밀문서 판독 방지방법 | |
| CN103310159A (zh) | 一种移动智能终端安全带出电子文件的方法及系统 | |
| KR101680536B1 (ko) | 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템 | |
| CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
| CN112199688A (zh) | 文件的加密防护方法及访问控制系统 | |
| KR20150073567A (ko) | 보안영역을 포함하는 단말을 이용한 보안문자 송수신 방법 | |
| CN108322311B (zh) | 数字证书的生成方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210108 |
|
| WD01 | Invention patent application deemed withdrawn after publication |