CN113486376A - 配合移动端认证的数字文件分享及内容安全保护方法 - Google Patents

Abstract

本发明提供了配合移动端认证的数字文件分享及内容安全保护方法，涉及计算机信息安全领域，该方法包括：第一主机解密软件获取加密文件的密文信息；若第一主机的用户身份ID与密文信息中的所有者ID、密文信息中的访问者ID均不一致，或第一主机的用户身份ID与密文信息中的访问者ID均为空时，向云端发起针对加密文件的解密申请并通过第一移动终端向云端进行身份认证；接收云端在第一主机通过身份认证之后返回的解密许可；基于解密许可在内存中打开所述加密文件并控制访问时长；若访问时长超出允许访问时长，则自动关闭分享的加密文件。本发明配合移动端认证以及访问时长控制，使得文件既可以方便在互联网上传播，又可以保护文件所有者的利益。

Description

配合移动端认证的数字文件分享及内容安全保护方法

技术领域

本发明涉及计算机信息安全领域，尤其是涉及配合移动端认证的数字文件分享及内容安全保护方法。

背景技术

人们在日常工作中也常常通过网络传输(如电子邮件)或文件复制在用户之间分享使用文件。如果这些文件涉及私密或秘密信息或具有所有权，也需要采用安全保护措施来保证文件在分享使用过程中是安全的，只有被授权、被许可的用户才能使用。

现在的文件共享技术主要存在如下两点问题：

第一、带有付费性质的文件共享平台无法做到对文件全周期的保护，一旦个人付费之后文件原文即失去保护，可以随意传播；文件所有者的权益得不到保障。

第二、现有文件加密的分享技术，访问者可以无时间限制的访问文件，这也一定程度上损害了文件所有者的权益。

发明内容

本发明的发明目的是提供数字文件在互联网中保护及分享的一种方式，使得文件既可以方便在互联网上传播，又可以保护文件所有者的权利和利益。

为此，本发明提供了以下技术方案：

本发明提供了一种配合移动端认证的数字文件分享及内容安全保护方法，应用于安装有解密软件的第一主机；所述方法包括：

解密软件获取加密文件的密文信息；

检查第一主机的用户身份ID和所述密文信息；

若第一主机的用户身份ID与密文信息中的所有者ID、密文信息中的访问者ID均不一致，或所述第一主机的用户身份ID与密文信息中的访问者ID均为空时，向云端发起针对加密文件的解密申请并通过第一移动终端向云端进行身份认证；所述解密申请中包括用户身份ID和密文信息；

接收云端在第一主机通过身份认证之后返回的解密许可；

基于解密许可获取密文信息中的正文密钥，基于所述正文密钥在内存中打开所述加密文件并控制访问时长；所述加密文件关闭之后自动保存成密文文件；若访问时长超出允许访问时长，则自动关闭分享的加密文件；

若所述第一主机的用户身份ID与密文信息中的访问者ID均为空，则向云端发起针对加密文件的解密申请并通过第一移动终端向云端进行身份认证之前，还包括：提示用户绑定第一主机与第一移动设备，以获得第一移动设备生成的用户身份ID。

进一步地，通过第一移动终端向云端进行身份认证，包括：

若密文信息中的访问者ID为空，则在向云端发起针对加密文件的解密申请之后，第一主机接收云端返回的支付二维码；所述支付二维码由云端在基于所述用户身份ID和所述密文信息进行校验并在数据库查询到所述加密文件的文件定价之后生成，第一移动端扫描所述支付二维码向云端进行付费并将支付结果以及文件解密请求发送至云端，以便云端校验支付结果以及文件解密请求无误后向第一移动终端回应解密确认请求，并推送密文被解密通知以及文件付费到账通知至文件所有者移动终端；

若密文信息中的访问者ID非空，且用户身份ID为空；则在向云端发起针对加密文件的解密申请之后，第一主机接收云端返回的认证二维码；所述认证二维码由云端在基于所述用户身份ID和所述密文信息进行校验之后生成，第一移动设备扫描所述认证二维码向云端进行身份认证并将带有用户身份ID的临时文件解密请求发送至云端，以便云端校验临时文件解密请求无误后向第一移动终端回应解密确认请求，并发送文件解密通知至文件所有者移动终端。

进一步地，若第一主机的用户身份ID与密文信息中的访问者ID非空且一致，则获取最新的文件允许访问时间信息后，如果尚在允许访问的时间范围内，通过密文信息中正文密钥在内存中打开所述加密文件。

进一步地，若用户身份ID与密文信息中的所有者ID一致，则向云端发起针对加密文件的解密申请；

接收云端在数据库中针对接收到的密文信息进行查询和校验且校验一致时返回的解密许可；云端发送文件解密通知至文件所有者移动终端；

基于所述解密许可获取密文信息中的正文密钥，基于所述正文密钥直接将密文解密成原文。

进一步地，所述加密文件包括：

以明文存储的文件标识，用于标识本文件为加密软件加密的密文文件；密文信息：

采用加密软件内置密钥加密存储的密文信息；所述密文信息包括所有者ID、访问者ID、文件ID、允许访问时间和正文密钥；

采用所述密文信息中的正文密钥进行加密存储的文件正文。

进一步地，文件的加密由安装有加解密软件的第二主机执行，包括：

绑定第二主机用户的第二移动设备，获取第二移动设备生成的用户身份ID，并将所述用户身份ID作为所有者ID；

接收用户对第二主机中的文件执行加密功能的请求；

加密软件获取用户输入的文件加密参数，并采集待加密文件的特征数据形成文件ID；所述文件加密参数包括文件定价以及允许访问时长；

将包括文件所有者ID、所述文件加密参数和所述文件ID的文件加密请求发送至云端，以便所述云端在对用户身份校验之后根据所述文件加密参数和所述文件ID计算生成所述文件的正文密钥；加密软件利用云端返回的正文密钥对文件正文进行加密，并将文件所有者ID、文件ID、加密时长、正文密钥采用软件内置密钥加密后写入加密文件中；

完成文件加密后向云端报告文件加密结果并上报加密文件的摘要，以便云端存储所述密文摘要，确认文件加密流程结束，并向第二移动设备推送文件加密结果的通知。

进一步地，绑定第二主机用户的第二移动设备，包括：

第二主机联网时向云端上报用户身份信息，如果用户身份信息为空或用户身份信息无效，则说明第二主机的用户尚未登录；

第二主机接收云端返回的身份认证二维码，以便所述第二移动终端扫描所述身份认证二维码，并向云端发送身份认证请求；所述身份认证请求包括所述第二移动终端在账号注册时生成的用户身份ID和登录验证信息；

第二主机接收云端在验证接收到的登陆验证信息有效之后发送的包括用户身份ID的登录成功通知；

第二主机存储用户身份ID。

进一步地，绑定第一主机与第一移动设备，包括：

第一主机接收云端返回的身份认证二维码，以便所述第一移动终端扫描所述身份认证二维码，并向云端发送身份认证请求；所述身份认证请求包括所述第一移动终端在账号注册时生成的用户身份ID和登录验证信息；

第一主机接收云端在验证接收到的登陆验证信息有效之后发送的包括用户身份ID的登录成功通知；

第一主机存储用户身份ID。

本发明的优点和积极效果：

本发明主要用应用背景为企业的文件管理场景中，用户可以有效的防止重要文件外泄，本发明提供了数字文件在互联网中保护及分享的一种方式，配合移动端认证以及访问时长控制，使得文件既可以方便在互联网上传播，又可以保护文件所有者的权利和利益。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中文件格式设计图示意图；

图2为本发明实施例中初次使用登录流程图；

图3为本发明实施例中文件加密流程图；

图4为本发明实施例中文件在访问者主机中访问流程图；

图5为本发明实施例中访问者的其他主机中临时访问已购买文件流程图；

图6为本发明实施例中在文件所有者的主机中访问文件流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明实施例中的一种配合移动端认证的数字文件分享及内容安全保护方法的总体工作过程为：

(1)文件所有者首先通过移动设备(即第二移动设备)与文件所有者使用的主机(即第二主机)绑定，然后即可在文件所有者主机中进行文件加密操作；

(2)用户在分享文件时，设置本文件的允许访问时长(含永久访问)以及收取费用金额加密此文件后发布；

(3)文件访问方首先需要在主机(即第一主机)上安装好解密软件以及在移动设备(即第一移动设备)上安装好移动端App后才可以打开加密文件，文件打开同时首先会显示发布方设置的支付金额及有效访问时间信息，然后访问方通过移动设备扫码的方式支付此文件费用后方可访问此文件；

(4)此后访问方在此主机(即第一主机)中在允许时长范围内任意访问此文件，更换主机后需通过访问方移动设备(即第一移动设备)重新扫码验证身份后，可访问此文件。

如图1所示，本发明实施例中的密文的文件格式包括三个部分：

文件标识：文件标识以明文存储，用于标识本文件为本软件加密的密文文件；

密文信息：密文信息包括所有者ID、访问者、文件ID、允许时间、正文密钥等五项信息，本组信息采用软件内置密钥加密存储；

文件正文：文件正文部分采用密文信息中携带的正文密钥进行加密存储。

如图2所示，本发明实施例中初次使用登录流程如下：

用户(包括文件访问者和文件所有者)在使用文件加解密功能之前，需要首先在主机上安装加解密软件以及对应的移动端(包括智能手机、平板电脑等)App软件，并且在移动设备端根据提示完成账号注册流程，在主机端完成文件的加解密操作，注册完毕后即可在移动端进行密文的管理、授权以及接收通知等等。文件访问者和文件所有者初次使用登录流程是相同的，具体步骤包括：

S201、用户主机在联网时会上报本机的用户身份信息，如果身份信息为空，则说明本机尚未登录用户，如果上报的身份信息无效，同样也视为未登录用户；

S202、云端向主机端发送身份认证二维码，提示用户使用移动端App进行扫码登录；

S203、移动端扫描此二维码，如果移动端尚未在服务器端注册过，则首先提示移动端进行账号注册，同时生成用户身份ID，如果移动端已经登录了用户账号，则进行下一步；

S204、移动端继续将生成的用户身份ID以及登录验证信息发送给云端；

S205、云端验证完接收到的用户身份ID登录信息的有效性之后，将用户身份ID反馈给主机端；

S206、主机端本地存储此用户身份ID，作为后面加密操作的文件所有者ID信息，以及读取时的访问者ID信息使用。

如图3所示，其示出了本发明实施例中文件加密的流程。用户(文件所有方)主机与用户移动设备完成绑定后方可使用文件加密功能，具体的运行流程如下：

S301、文件所有者在本主机中选择文件执行加密功能后(如，右键单击文件，可显示加密文件选项，点击即可加密文件)，加密软件首先会提示用户输入文件加密参数(包括文件的允许访问时长以及文件定价等，以及是否允许文件永久访问)，然后采集待加密文件的特征数据形成文件ID，以及文件加密参数一起向云端发起申请文件加密的网络请求；

S302、云端收到加密申请后首先校验用户身份，通过之后根据待加密文件ID以及加密参数、时间戳等信息通过计算生成本文件的正文密钥；

S303、云端将待加密文件的正文密钥传输至所有者主机中，并在云端数据库中保存所有者ID、文件ID以及对应的加密参数等相关数据；

S304、所有者主机中的加密软件收到正文密钥之后，使用此密钥完成文件正文的加密操作，并且将文件所有者ID、文件ID、加密时长、文件密钥等文件附属信息采用软件内置密钥加密后，连同其他文件头信息一起写入到密文文件中；

S305、文件所有者主机中完成加密后，向云端报告密文加密结果，并且上报本密文的摘要数据；

加密文件后，即文件左下方出现“文件锁”图标，以提示用户此文件已加密；

S306、云端存储此密文摘要，并且确认文件加密流程执行结束；

S307、向文件所有者移动端中推送文件加密结果的通知。

对于已加密文件，文件所有者在打开文件的同时会进行移动端验证，验证通过后即可直接解密读取文件。

如图4所示，其示出了本发明实施例中文件在访问者主机中访问的流程。当文件发送给其他用户时，同时会提示其他用户安装PC端解密软件和移动端App软件，并且按提示完成绑定流程后方可访问加密文件，此时在用户主机中会生成该账号对应的访问者ID信息保存在本地主机和云端中。

加密文件被打开时，首先检查密文文件头中是否有访问者ID信息，如果访问者ID信息为空，则说明此文件是初次解密。

这里需要说明的是，文件头的密文信息中的正文密钥只有在收到解密许可之后解密软件才能获取到，而密文信息中的其他信息，如所有者ID、访问者ID，解密软件可以直接获取到。

此处需要注意的是，其他用户是不允许将密文直接解密成原文文件的，只能在内存中打开密文进行阅读，文件关闭后本文件又自动保存成密文文件储存。

具体的解密执行流程如下：

S401、访问者主机中安装的解密软件会向云端发起文件解密申请网络请求，此请求中带有用户身份ID以及密文文件头中读取的相关信息；

S402、云端校验用户身份ID以及密文相关信息正确后，在数据库中查询本文件对应的金额设置信息；

S403、云端通过向访问者主机返回对应金额的支付二维码信息；

S404、访问者主机中通过云端返回的密文相关设置信息以及二维码信息展示给用户，用户使用移动端App扫描此二维码完成密文信息的确认以及费用的支付；

S405、访问者移动端App发送支付结果以及文件解密请求至云端服务中；

S406、云端校验支付结果以及文件解密请求无误后向移动端回应解密确认请求；

S407、云端向文件所有者的移动设备推送密文被解密通知以及文件付费到账通知；

S408、云端向访问者主机发送文件解密许可；

S409、访问者主机中的解密软件收到解密许可后，通过内置密钥解密出密文中储存的正文密钥完成密文的解密，并且在内存中打开文件供用户浏览。

S410、后续在访问者主机中访问密文时，解密软件首先同样检查密文文件头中的访问者ID信息，如果访问者ID与访问者主机中的用户身份ID相符，则认为本访问者已经购买了此密文的访问权，解密软件获取最新的文件允许访问时间信息后，如果尚在许可访问的时间范围内，则直接通过文件头中储存的文件密钥解密密文供阅读。

如图5所示，其示出了本发明实施例中访问者的其他主机中临时访问已购买文件的流程。

加密文件已经被访问者购买访问权后，在文件头中会记录访问者ID，更换至其他主机访问后，无需重复购买，根据主机的用户身份ID的情况分别处理：

如果该主机也与此访问者移动设备绑定，有用户身份ID，则可以直接打开此加密文件；

如果该主机未与此访问者移动设备绑定，无用户身份ID，属于临时访问的状态，则需要联网至云端按照如下步骤进行用户身份校验后，方可使用：

S501、访问者主机中安装的解密软件会向云端发起文件解密申请网络请求，此请求中带有文件所有者ID和密文ID，以及空的用户身份ID(因为此主机并未与本访问者身份绑定，属于临时访问)；

S502、云端校验用户身份ID以及文件密文ID相关信息正确后，在数据库中查询本文件对应的支付记录和解密记录信息；

S503、云端通过向访问者主机返回对应的身份认证二维码信息；

S504、用户使用移动端App扫描此二维码完成身份信息的确认；

S505、访问者移动端App向云端发送带有本访问者的用户身份ID的临时文件解密请求；

S506、云端校验支付结果以及文件解密请求无误后向移动端回应解密确认请求；

S507、云端向文件所有者的移动设备推送密文被解密通知以及文件付费到账通知；

S508、云端向访问者主机发送文件解密许可；

S509、访问者主机中的解密软件收到解密许可后，通过内置密钥解密出密文中储存的正文密钥完成密文的解密，并且在内存中打开文件供用户浏览。

如图6所示，其示出了本发明实施例中在文件所有者的主机中访问文件的流程。

加密后的文件在打开时，解密软件会自动检查文件头中的文件所有者ID，如果所有者ID与本机用户身份ID一致，则说明此文件是在所有者的主机中被打开，云端批准授权，并且，只有加密文件在文件所有者的主机中打开的情况下才允许将密文直接解密成原文存储。

具体的执行流程如下：

S601、访问者主机中安装的解密软件会向云端发起文件解密申请网络请求，此请求中带有文件所有者ID、当前主机用户身份ID、密文ID等相关信息；

S602、云端在数据库中针对所有者ID、用户身份ID以及密文ID信息等进行查询和校验；

S603、如果校验一致，则认为访问者即为密文所有者本文，直接返回解密许可；

S604、云端向文件所有者主机推送文件的解密通知；

S605、主机中的解密软件在收到解密许可之后，通过内置密钥解密出密文中储存的正文密钥，利用正文密钥将文件解密成原文。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (8)

1.一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，应用于安装有解密软件的第一主机；所述方法包括：

解密软件获取加密文件的密文信息；

检查第一主机的用户身份ID和所述密文信息；

若第一主机的用户身份ID与密文信息中的所有者ID、密文信息中的访问者ID均不一致，或所述第一主机的用户身份ID与密文信息中的访问者ID均为空时，向云端发起针对加密文件的解密申请并通过第一移动终端向云端进行身份认证；所述解密申请中包括用户身份ID和密文信息；

接收云端在第一主机通过身份认证之后返回的解密许可；

基于解密许可获取密文信息中的正文密钥，基于所述正文密钥在内存中打开所述加密文件并控制访问时长；所述加密文件关闭之后自动保存成密文文件；若访问时长超出允许访问时长，则自动关闭分享的加密文件；

若所述第一主机的用户身份ID与密文信息中的访问者ID均为空，则向云端发起针对加密文件的解密申请并通过第一移动终端向云端进行身份认证之前，还包括：提示用户绑定第一主机与第一移动设备，以获得第一移动设备生成的用户身份ID。

2.根据权利要求1所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，通过第一移动终端向云端进行身份认证，包括：

若密文信息中的访问者ID为空，则在向云端发起针对加密文件的解密申请之后，第一主机接收云端返回的支付二维码；所述支付二维码由云端在基于所述用户身份ID和所述密文信息进行校验并在数据库查询到所述加密文件的文件定价之后生成，第一移动端扫描所述支付二维码向云端进行付费并将支付结果以及文件解密请求发送至云端，以便云端校验支付结果以及文件解密请求无误后向第一移动终端回应解密确认请求，并推送密文被解密通知以及文件付费到账通知至文件所有者移动终端；

若密文信息中的访问者ID非空，且用户身份ID为空；则在向云端发起针对加密文件的解密申请之后，第一主机接收云端返回的认证二维码；所述认证二维码由云端在基于所述用户身份ID和所述密文信息进行校验之后生成，第一移动设备扫描所述认证二维码向云端进行身份认证并将带有用户身份ID的临时文件解密请求发送至云端，以便云端校验临时文件解密请求无误后向第一移动终端回应解密确认请求，并发送文件解密通知至文件所有者移动终端。

3.根据权利要求1所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，若第一主机的用户身份ID与密文信息中的访问者ID非空且一致，则获取最新的文件允许访问时间信息后，如果尚在允许访问的时间范围内，通过密文信息中正文密钥在内存中打开所述加密文件。

4.根据权利要求1所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，若用户身份ID与密文信息中的所有者ID一致，则向云端发起针对加密文件的解密申请；

接收云端在数据库中针对接收到的密文信息进行查询和校验且校验一致时返回的解密许可；云端发送文件解密通知至文件所有者移动终端；

基于所述解密许可获取密文信息中的正文密钥，基于所述正文密钥直接将密文解密成原文。

5.根据权利要求1所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，所述加密文件包括：

以明文存储的文件标识，用于标识本文件为加密软件加密的密文文件；密文信息：

采用加密软件内置密钥加密存储的密文信息；所述密文信息包括所有者ID、访问者ID、文件ID、允许访问时间和正文密钥；

采用所述密文信息中的正文密钥进行加密存储的文件正文。

6.根据权利要求1所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，文件的加密由安装有加解密软件的第二主机执行，包括：

绑定第二主机用户的第二移动设备，获取第二移动设备生成的用户身份ID，并将所述用户身份ID作为所有者ID；

接收用户对第二主机中的文件执行加密功能的请求；

加密软件获取用户输入的文件加密参数，并采集待加密文件的特征数据形成文件ID；所述文件加密参数包括文件定价以及允许访问时长；

将包括文件所有者ID、所述文件加密参数和所述文件ID的文件加密请求发送至云端，以便所述云端在对用户身份校验之后根据所述文件加密参数和所述文件ID计算生成所述文件的正文密钥；加密软件利用云端返回的正文密钥对文件正文进行加密，并将文件所有者ID、文件ID、加密时长、正文密钥采用软件内置密钥加密后写入加密文件中；

完成文件加密后向云端报告文件加密结果并上报加密文件的摘要，以便云端存储所述密文摘要，确认文件加密流程结束，并向第二移动设备推送文件加密结果的通知。

7.根据权利要求6所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，绑定第二主机用户的第二移动设备，包括：

第二主机联网时向云端上报用户身份信息，如果用户身份信息为空或用户身份信息无效，则说明第二主机的用户尚未登录；

第二主机接收云端返回的身份认证二维码，以便所述第二移动终端扫描所述身份认证二维码，并向云端发送身份认证请求；所述身份认证请求包括所述第二移动终端在账号注册时生成的用户身份ID和登录验证信息；

第二主机接收云端在验证接收到的登陆验证信息有效之后发送的包括用户身份ID的登录成功通知；

第二主机存储用户身份ID。

8.根据权利要求1所述的一种配合移动端认证的数字文件分享及内容安全保护方法，其特征在于，绑定第一主机与第一移动设备，包括：

第一主机接收云端返回的身份认证二维码，以便所述第一移动终端扫描所述身份认证二维码，并向云端发送身份认证请求；所述身份认证请求包括所述第一移动终端在账号注册时生成的用户身份ID和登录验证信息；

第一主机接收云端在验证接收到的登陆验证信息有效之后发送的包括用户身份ID的登录成功通知；

第一主机存储用户身份ID。

Images