CN112948879B

CN112948879B - 基于加密文件的数据销毁方法及系统及装置及介质

Info

Publication number: CN112948879B
Application number: CN202110245676.7A
Authority: CN
Inventors: 洪薇; 洪健; 李京昆; 刘文思
Original assignee: Hubei Yangzhong Jushi Information Technology Co ltd
Current assignee: Hubei Yangzhong Jushi Information Technology Co ltd
Priority date: 2021-03-05
Filing date: 2021-03-05
Publication date: 2022-12-06
Anticipated expiration: 2041-03-05
Also published as: CN112948879A

Abstract

本发明公开了基于加密文件的数据销毁方法及系统及装置及介质，涉及一种数据安全领域，判断待销毁的加密文件的加密算法类型；根据加密算法类型，获取待销毁的加密文件的数据分组长度；根据数据分组长度将加密文件分为若干数据块；根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容。本发明通过分析加密文件的不同的类型和特征，预设了不同的数据销毁方法，实现数据完全销毁，避免发生数据泄露的问题，并且在此基础上，还能有效地节约成本提高销毁效率。

Description

基于加密文件的数据销毁方法及系统及装置及介质

技术领域

本发明涉及一种数据安全领域，具体涉及基于加密文件的数据销毁方法及系统及装置及介质。

背景技术

随着互联网技术的出现和迅猛发展，人类的生活方式得到了巨大的改变，个人、企业以各种方式将大量数据托管，但同时大量的企业数据、用户隐私信息的泄露问题也随之出现。在使用的过程中，需要对一些数据进行销毁，已达到保护数据安全、避免数据泄露的问题。

相比普通的明文数据文件，加密文件其内容本身就是保密的，只有使用解密密钥进行解密操作后才能查到明文信息，这一特性使得加密文件的销毁可以有别于普通的明文文件。

但在实践操作中，对于加密文件的销毁通常和普通文件一样，这样的操作使得密钥拥有者可以恢复数据块的内容，进而存在销毁不完全，可能发生数据泄露的问题。

发明内容

本发明的目的在于为了进一步确保加密文件的数据销毁彻底，避免数据泄露，本发明提供了基于加密文件的数据销毁方法及系统及装置及介质。

为实现上述发明目的，本发明提供了基于加密文件的数据销毁方法，所述方法包括：

判断待销毁的加密文件的加密算法类型；

根据加密算法类型，获取待销毁的加密文件的数据分组长度；

根据数据分组长度将加密文件分为若干数据块；

根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容。

其中，在使用的过程中常见的加密算法类型包括对称加密算法、非对称加密算法和单向加密算法。

对称加密算法的加密、解密使用同一个密钥方法。与对称加密方法相反，非对称加密方法的密钥成对出现，涉及多个密钥，其中公钥可公开给所有人，私钥用于保证其私密性。而单向加密算法只能加密，不能解密，整个过程不可逆。

常见的对称加密算法包括DES(数据加密标准，56位密钥)、AES(高级加密标准，128位密钥)、3DES、Blowfish、Twofish、CAST5、IDEA、RC6。

常见的非对称加密算法包括RSA(既能用于加密，又能用于数字签名)、DSA(只能用于数字签名，不能用于数据加密)、DH(一般用于密钥交换)。

常见的单向加密算法包括MD5：消息摘要算法，128位、SHA：安全哈希算法。

本发明通过分析加密文件的加密算法类型和数据分组长度，制定不同的数据销毁方法，能有效地避免数据销毁不彻底，发生泄露，提高数据安全性能，在此基础上，本发明的销毁方法与现有技术相比还能有效的节约成本和提高使用效率。

其中，若加密算法类型为对称加密算法，根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容，具体包括：

获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为8或16；

将待销毁的加密文件分为若干长度为N个字节的数据块；

若N＝8，则将每个数据块中第1位和第8位字节替换为0；

若N＝16，则将每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0。

进一步的，若待销毁的加密文件的加密算法类型为对称加密算法中的DES算法，即数据加密标准，它使用一个56位的密钥以及附加的8位奇偶校验位进行加密，并产生最大64位的数据分组。也即加密数据是按64位(8个字节)进行加密和解密的，因此销毁操作必须是这个长度的数据为单位进行，否则就不能确保所有的加密数据块都被销毁，也就是不能被解密和恢复。再结合待销毁加密文件的长度，得到该加密文件包括多少个DES加密数据块。在执行销毁操作时，将每一个加密数据块的前后各1个字节数据清空，即每个数据块中第1位和第8位字节替换为0，破坏其加解密数据结构，这样能保证数据块都被销毁，避免数据泄露。

若待销毁的加密文件的加密算法类型为对称加密算法中的3DES，它与DES加密算法的最大区别在于，其使用的3组56位的密钥对数据进行3次加密，因此在数据销毁操作上与DES一致即可，即每个数据块中第1位和第8位字节替换为0。

若待销毁的加密文件的加密算法类型为对称加密算法中的AES，其采用分组密码体制，每个数据分组长度为128位16个字节，密钥长度可以是128位16个字节、192位或256位。也即加密数据是按128位(16个字节)进行加密和解密的，因此销毁操作必须是这个长度的数据为单位进行，否则就不能确保所有的加密块都被销毁，也就是不能被解密和恢复。再结合待销毁的加密文件的长度，得到该加密文件包括的加密数据块数量，在执行销毁操作时，将每一个数据块的由前向后，每间隔4个字节的数据清空，即将每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0。

若待销毁的加密文件的加密算法类型为对称加密算法中的BlowFish，其数据分组长度为64位，密钥长度可以从32位到448位。其数据分组长度和DES算法一样，因此在数据销毁操作上与DES一致，即每个数据块中第1位和第8位字节替换为0。

获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为正整数；

将待销毁的加密文件分为若干长度为N个字节的数据块；

将每个数据块中的第1位字节替换为0。

进一步的，若待销毁的加密文件的加密算法类型为非对称加密算法中的加密算法是RSA，获得其数据分组的长度。分组长度是与其所使用的公私钥的值相关。根据RSA加密算法的特点，加密数据的分组是由公钥与原始数据进行数学运算，主要是乘法和取模运算而得到的，因此只要破坏少量的数据位数即可以达到破坏其加密数据结构，从而达到数据销毁的目的。根据分组长度的不同，采用将每个加密数据块的第一个字节的数据清空，即将每个数据块中第1位字节替换为0。

若待销毁的加密文件的加密算法类型为其他非对称加密算法，比如Elgamal、ECC等，也是采用将每个加密数据块的第一个字节的数据清空，即将每个数据块中第1位字节替换为0。

其中，若加密算法类型为单向加密算法，根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容，具体包括：

获取待销毁的加密文件的哈希散列值；

根据哈希散列值得到该加密文件的数据分组长度，数据分组长度为N个字节，其中N为正整数；

将待销毁的加密文件分为若干长度为N个字节的数据块；

替换每个数据块中的所有字节。

优选的，将每个数据块中的所有字节均替换为0。

进一步的，若加密文件的加密算法类型为单向加密算法，并且单向加密算法的类型为MD5算法，它将输入的数据按512位的分组来进行处理，最后生成一个128位，也即16个字节长的哈希散列值。对于MD5哈希摘要文件，由于相比原始数据文件，其长度已经大大缩减，因此可以直接将每一个哈希散列值的全部数据进行随机字符替换或清空，即替换每个数据块中的所有字节或将每个数据块中的所有字节均替换为0，以确保其无法与原始内容建立哈希映射关系。

若单向加密算法的类型为SHA256算法，其最后生成的是256位，也即32个字节长的哈希散列值。对该种类型的文件，其销毁方法与MD5算法的销毁方法相同，即直接将每一个哈希散列值的全部数据进行随机字符替换或清空，即替换每个数据块中的所有字节或将每个数据块中的所有字节均替换为0。

与本发明中的方法对应，本发明还提供了基于加密文件的数据销毁系统，销毁系统包括：

加密算法类型判断模块：用于判断待销毁的加密文件的加密算法类型；

分析模块：用于根据加密算法类型获取待销毁加密文件的数据分组长度；

数据块模块：用于根据数据分组长度将待销毁的加密文件分为若干数据块；

替换模块：用于根据数据分组长度和加密算法类型替换每个数据块中预设的字节内容。

其中，加密算法类型判断模块中的加密算法类型包括对称加密算法、非对称加密算法和哈希值算法。

与本发明中的方法对应，本发明还提供了一种电子装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于加密文件的数据销毁方法的步骤。

与本发明中的方法对应，本发明还提供了一种存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述基于加密文件的数据销毁方法的步骤。

本发明提供的一个或多个技术方案，至少具有如下技术效果或优点：通过分析加密文件的不同的类型和特征，预设了不同的数据销毁方法，实现数据完全销毁，避免发生数据泄露的问题，并且在此基础上，还能有效地节约成本提高销毁效率。对于本发明而言，加密算法分为对称加密算法、非对称加密算法和单向加密算法，对于对称加密算法和非对称加密算法而言，本发明能使使密钥拥有者也无法恢复任何一个数据块的内容；对于单向加密算法而言，本发明以哈希算法输出长度为分组，进行随机字符替换，确保无法与原始内容建立哈希映射关系，进而达到彻底销毁加密文件的效果。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1为基于加密文件的数据销毁方法的流程示意图；

图2为基于加密文件的数据销毁系统的组成示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在相互不冲突的情况下，本发明的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述范围内的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

本领域技术人员应理解的是，在本发明的揭露中，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系是基于附图所示的方位或位置关系，其仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此上述术语不能理解为对本发明的限制。

可以理解的是，术语“一”应理解为“至少一”或“一个或多个”，即在一个实施例中，一个元件的数量可以为一个，而在另外的实施例中，该元件的数量可以为多个，术语“一”不能理解为对数量的限制。

请参考图1，图1为基于加密文件的数据销毁方法的流程示意图，本发明提供了基于加密文件的数据销毁方法，所述方法包括：

判断待销毁的加密文件的加密算法类型；

根据数据分组长度将加密文件分为若干数据块；

其中，加密算法类型包括对称加密算法、非对称加密算法和单向加密算法。

若加密算法类型为对称加密算法，根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容，具体包括：

将待销毁的加密文件分为若干长度为N个字节的数据块；

若N＝8，则将每个数据块中第1位和第8位字节替换为0；

将待销毁的加密文件分为若干长度为N个字节的数据块；

将每个数据块中的第1位字节替换为0。

若加密算法类型为单向加密算法，根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容，具体包括：

获取待销毁的加密文件的哈希散列值；

将待销毁的加密文件分为若干长度为N个字节的数据块；

替换每个数据块中的所有字节。

优选的，将每个数据块中的所有字节均替换为0。

下面对本发明中的基于加密文件的数据销毁方法进行介绍：

本方法包括：

步骤1判断待销毁的加密文件的加密算法类型；

1.1获取待销毁的加密文件，根据加密文件的类型判断加密算法类型；

步骤2根据加密算法类型，获取待销毁的加密文件的数据分组长度；

2.1若加密算法类型为对称加密算法，获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为8或16；

2.11将待销毁的加密文件分为若干长度为N个字节的数据块；

2.12若N＝8，则将每个数据块中第1位和第8位字节替换为0；

以Linux的ext3文件系统为例，其采用对称加密算法中的DES算法，其数据分组长度为8个字节，该加密文件的大上为4096个字节，也即该加密文件最多包含512(4096/8)个DES加密数据块。在执行销毁操作时，将每一个数据块的前后各1个字节数据清空即可：

该加密文件：4096个字节，512个数据块；

数据块#1

#2

#3

……

#512

以数据块#1为例，其长度为8个字节：

字节1

字节2

字节3

字节4

字节5

字节6

字节7

字节8

对字节1和字节8进行清0，也即将这2个字节的内容使用二进制0代替，破坏其加解密数据结构，从而达到实现数据销毁的目的。

2.13若N＝16，则将每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0；

以Linux的ext3文件系统为例，其采用对称加密算法中的AES算法，其数据分组长度为16个字节，该加密文件的大上为4096个字节，也即该加密文件最多包含256(4096/16)个数据块。在执行销毁操作时，将每一个数据块的由前向后，每间隔4个字节的数据清空即可：

该加密文件：4096个字节，256个数据块；

数据块#1

#2

#3

……

#256

以数据块#1为例，其长度为16个字节：

字节1

字节2

字节3

字节4

字节5

字节6

字节7

字节8

字节9

字节10

字节11

字节12

字节13

字节14

字节15

字节16

对字节1、字节5、字节9、字节13进行清0，即每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0；也即将这4个字节的内容使用二进制0代替，破坏其加解密数据结构，从而达到实现数据销毁的目的。

在本实施例中，还可以直接将每个数据块中字节1和字节16替换为0，已达到销毁每个数据块的目的，本实施例中优选替换每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0，在有效控制操作成本的基础上能进一步的达到完全销毁数据的目的。

2.2若加密算法类型为非对称加密算法，获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为正整数；

2.21将待销毁的加密文件分为若干长度为N个字节的数据块；

2.22将每个数据块中的第1位字节替换为0；

以数据分组为128个字节(1024位)的加密文件为例，若非对称加密算法的类型为RSA；该加密文件每个数据块中有128个字节；

字节1

字节2

字节3

……

字节128

在销毁该加密文件时，将加密文件中的每个数据块中的字节1的数据清空，即将每个数据块中的第1位字节替换为0。

2.3若加密算法类型为单向加密算法，获取待销毁的加密文件的哈希散列值；

2.31根据哈希散列值得到该加密文件的数据分组长度，数据分组长度为N个字节，其中N为正整数；

2.32将待销毁的加密文件分为若干长度为N个字节的数据块；

2.33替换每个数据块中的所有字节；

以采用SHA256算法的加密文件为例，由于该算法最后生成一个128位，也即16个字节长的哈希散列值，因此其数据分组长度为16个字节，在销毁该加密文件时，将每一个哈希散列值的全部数据清空，即将16个字节的内容均替换为0。

实施例二

请参考图2，图2为基于加密文件的数据销毁系统的组成示意图，本发明实施例二提供了基于加密文件的数据销毁系统，所述系统包括：

其中，加密算法类型判断模块中的加密算法类型包括对称加密算法、非对称加密算法和单向加密算法。

其中，在本发明实施例二中，本系统中所述加密算法类型判断模块的具体方式为：通过文件名可获取数据的加密算法类型；优选的，本实施例还可通过先验法进行判断，即在销毁文件之前，操作员是知道这些文件所用的加密方法，也即文件类型的，此时直接进行手工配置即可；

其中，在本发明实施例二中，本系统中所述分析模块的具体方式为：根据加密算法类型判断模块获取加密算法的类型，然后根据加密算法的类型和加密文件最后生成的数据大小得到该加密文件的数据分组长度；

其中，在本发明实施例二中，本系统中所述替换模块的具体方式为：若加密算法类型为对称加密算法，获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为8或16；将待销毁的加密文件分为若干长度为N个字节的数据块；若N＝8，则将每个数据块中第1位和第8位字节替换为0；若N＝16，则将每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0；

若加密算法类型为对称加密算法，获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为正整数；将待销毁的加密文件分为若干长度为N个字节的数据块；将每个数据块中的第1位字节替换为0。

若加密算法类型为单向加密算法，获取待销毁的加密文件的哈希散列值；根据哈希散列值得到该加密文件的数据分组长度，数据分组长度为N个字节，其中N为正整数；将待销毁的加密文件分为若干长度为N个字节的数据块；替换每个数据块中的所有字节。

实施例三

本发明实施例三提供了一种电子装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述基于加密文件的数据销毁方法的步骤。

其中，所述处理器可以是中央处理器，还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器可用于存储所述计算机程序和/或模块，所述处理器通过运行或执行存储在所述存储器内的数据，实现发明中基于加密文件的数据销毁装置的各种功能。所述存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等。此外，存储器可以包括高速随机存取存储器、还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡，安全数字卡，闪存卡、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

实施例四

本发明实施例四提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述基于加密文件的数据销毁方法的步骤。

本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ReadOnlyMemory，ROM)、可擦式可编程只读存储器((ErasableProgrammableReadOnlyMemory，EPROM)或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.基于加密文件的数据销毁方法，其特征在于，包括：

判断待销毁的加密文件的加密算法类型；

根据数据分组长度将加密文件分为若干数据块；

根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容;

加密算法类型包括对称加密算法、非对称加密算法和单向加密算法；

若加密算法类型为对称加密算法：

将待销毁的加密文件分为若干长度为N个字节的数据块；

若N=8，则将每个数据块中第1位和第8位字节替换为0；

若N=16，则将每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0；

获取待销毁的加密文件的哈希散列值；

根据哈希散列值得到该加密文件的数据分组长度，数据分组长度为N个字节，其中N为128；

将待销毁的加密文件分为若干长度为N个字节的数据块；

替换每个数据块中的所有字节；

若加密算法类型为非对称加密算法，根据数据分组长度以及加密算法类型，替换每个数据块中预设的字节内容，具体包括：

获取待销毁的加密文件的数据分组长度，数据分组长度为N个字节，其中N为16；

将待销毁的加密文件分为若干长度为N个字节的数据块；

将每个数据块中的第1位字节替换为0。

2.根据权利要求1所述的基于加密文件的数据销毁方法，其特征在于，将每个数据块中的所有字节均替换为0。

3.基于加密文件的数据销毁系统，其特征在于，包括：

加密算法类型判断模块：用于判断待销毁的加密文件的加密算法类型，加密算法类型包括对称加密算法、非对称加密算法和单向加密算法；

分析模块：用于根据加密算法类型获取待销毁加密文件的数据分组长度，数据分组长度为N个字节，对称加密算法的N为8或16，单向加密算法的N为128，非对称加密算法的N为16；

替换模块：用于根据数据分组长度和加密算法类型替换每个数据块中预设的字节内容，对称加密算法的N为8时，则将每个数据块中第1位和第8位字节替换为0，N为16时，则将每个数据块中第1位字节、第5位字节、第9位字节和第13位字节替换为0；单向加密算法为替换每个数据块中的所有字节；非对称加密算法为将每个数据块中的第1位字节替换为0。

4.一种电子装置，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-2中任意一个所述基于加密文件的数据销毁方法的步骤。

5.一种存储介质，所述存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-2中任意一个所述基于加密文件的数据销毁方法的步骤。