專利名稱:局域網(wǎng)共享文件加密系統(tǒng)及其加解密方法
技術(shù)領(lǐng)域:
本發(fā)明屬于加密技術(shù)領(lǐng)域,具體涉及一種局域網(wǎng)共享文件加密系統(tǒng)及其加解密方 法��。
背景技術(shù):
現(xiàn)有技術(shù)中通常通過局域網(wǎng)中文件共享的方式來實現(xiàn)資源的共享����,這種方式在方 便了用戶的使用的同時,也增加的資源的信息安全問題�,例如一些公司特定的文件只需要 特定的用戶共享,而現(xiàn)有的在局域網(wǎng)中共享的文件時所有在局域網(wǎng)中的用戶都可見可訪問 的���,這就增加的資源的不安全問題?�,F(xiàn)有局域網(wǎng)中PC文件加密系統(tǒng)大多數(shù)是在應(yīng)用層加密�。透明文件加密技術(shù)基于 文件系統(tǒng)過濾驅(qū)動技術(shù)�。用戶安裝計算機硬件時,經(jīng)常要安裝其驅(qū)動��,如打印機���、U盤驅(qū)動 等�。文件系統(tǒng)過濾驅(qū)動技術(shù)中硬件驅(qū)動將文件作為一種設(shè)備來處理的一種虛擬驅(qū)動��。當(dāng)應(yīng) 用程序?qū)δ撤N后綴名的文件進行操作時,文件驅(qū)動會監(jiān)控到程序的操作���,并改變其操作方 式,從而達到透明加密的效果�。驅(qū)動加密技術(shù)與應(yīng)用程序無關(guān),它工作于應(yīng)用層底層的系統(tǒng) 內(nèi)核層�。當(dāng)應(yīng)用層API函數(shù)對指定類型文件進行讀操作時,系統(tǒng)自動將文件解密�;當(dāng)進入寫 操作時,自動將明文進行加密�。由于工作在受保護的系統(tǒng)內(nèi)核層,運行速度更快���,加解密操 作更穩(wěn)定�����,安全性更高����。數(shù)字證書是在因特網(wǎng)上�,用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。數(shù) 字證書采用公鑰密碼體制�����,即利用一對互相匹配的密鑰進行加密、解密����。每個用戶自己設(shè)定 一把特定的僅為本人所知的私鑰,用它進行解密和簽名��;同時設(shè)定一把公鑰并由本人公開�����, 為一組用戶所共享�����,用于加密和驗證簽名����。當(dāng)發(fā)送一份保密文件時,發(fā)送方使用接收方的公 鑰對數(shù)據(jù)加密�,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地 了����。通過數(shù)字的手段保證加密過程是一個不可逆過程���,即只有用私有密鑰才能解密。對稱密碼體制的加密和解密使用相同的密鑰���,具有加解密速度快����、密鑰較短且破 譯困難的優(yōu)點���;它的缺點是密鑰的分發(fā)和管理困難。由于對稱算法的安全性依賴于密鑰的 秘密保存����,密鑰一旦泄漏,信息就很容易被攻破����。公鑰密碼體制一般是基于數(shù)學(xué)上難解的問 題,其安全性高�,同時,密鑰的管理比較容易�����,且公開密鑰密碼算法還可以用于數(shù)簽名和認(rèn) 證。其缺點是它的密鑰太長�、運算速度比對稱算法的慢很多;公鑰密碼體制生成一對公私鑰 的速度比較慢�����,通常需要幾分鐘以上���,從而對有需要加密大量數(shù)據(jù)的用戶而言���,計算機的工 作效率不高。
發(fā)明內(nèi)容
本發(fā)明目的在于提供一種局域網(wǎng)共享文件加密系統(tǒng)�,解決了現(xiàn)有技術(shù)中局域網(wǎng)文 件共享導(dǎo)致非完全公開資源為非許可的用戶使用等安全問題。為了解決現(xiàn)有技術(shù)中的這些問題�,本發(fā)明提供的技術(shù)方案是1. 一種局域網(wǎng)共享文件加密系統(tǒng),包括讀取��、產(chǎn)生以及管理加解密文件要使用的密鑰的密鑰管理模塊���、根據(jù)用戶指令進行加解密操作的加解密模塊���,其特征在于所述系統(tǒng) 還包括身份認(rèn)證模塊,身份認(rèn)證模塊對用戶的身份進行驗證,確定用戶的權(quán)限��;用戶身份認(rèn) 證模塊身份認(rèn)證合法后經(jīng)加解密模塊進行加解密操作后進行局域網(wǎng)共享文件的訪問�����。優(yōu)選的����,所述身份認(rèn)證模塊內(nèi)設(shè)置用戶數(shù)據(jù)庫和資源數(shù)據(jù)庫,所述用戶數(shù)據(jù)庫內(nèi) 存儲有使用文件加密系統(tǒng)的所有用戶名和用戶的唯一標(biāo)識�,所述資源數(shù)據(jù)庫內(nèi)存儲所有加 密文件的文件名、許可訪問的用戶標(biāo)識����、用戶的權(quán)限和文件共享訪問的狀態(tài)��。優(yōu)選的���,所述身份認(rèn)證模塊負(fù)責(zé)對用戶的證書進行認(rèn)證�,驗證用戶身份�,并在用戶 數(shù)據(jù)庫中查找該用戶的用戶標(biāo)識,根據(jù)用戶標(biāo)識在資源數(shù)據(jù)庫中查找該用戶的權(quán)限和加密 文件的使用狀態(tài)�。優(yōu)選的,所述局域網(wǎng)內(nèi)設(shè)置服務(wù)器負(fù)責(zé)完成整個局域網(wǎng)中所有用戶的注冊獲得由 服務(wù)器生成的數(shù)字證書,生成與服務(wù)器進行保密通信所用的服務(wù)器私鑰和服務(wù)器公鑰文 件�。優(yōu)選的,所述系統(tǒng)還包括應(yīng)用層控制模塊���,所述應(yīng)用層控制模塊負(fù)責(zé)同用戶進行 信息交互���,判斷用戶是否選擇對文件進行加密、取消加密以及授權(quán)給其他用戶��,并負(fù)責(zé)對用 戶數(shù)據(jù)庫和資源數(shù)據(jù)庫進行操作�。優(yōu)選的,所述加解密模塊包括用戶加解密控制子模塊��、透明文件加密子模塊���;所 述用戶加解密控制子模塊負(fù)責(zé)對用戶的加解密操作進行監(jiān)控管理���,當(dāng)用戶需要對文件進行 加密時,負(fù)責(zé)命令密鑰管理模塊根據(jù)用戶的信息生成相應(yīng)密鑰并使其對密鑰進行存儲和管 理��,并由透明文件加密子模塊對數(shù)據(jù)進行加密后以密文的形式存儲�����;當(dāng)用戶需要對文件進 行解密時,負(fù)責(zé)根據(jù)用戶信息從密鑰管理模塊獲取密鑰��,并向透明文件加密子模塊發(fā)送解 密的消息并提供相應(yīng)的密鑰�����,由透明文件加密子模塊對數(shù)據(jù)進行解密后再將文件內(nèi)容以明 文形式呈現(xiàn)給用戶�;透明文件加密子模塊負(fù)責(zé)文件內(nèi)容進行加密與解密,使文件以密文形 式存儲���,以明文形式呈現(xiàn)給用戶��。優(yōu)選的�,所述加密文件的結(jié)構(gòu)中設(shè)置數(shù)據(jù)解密域和包含文件內(nèi)容的密文數(shù)據(jù)����,所 述數(shù)據(jù)解密域內(nèi)存儲相應(yīng)用戶的公鑰加密過的對稱密鑰���。優(yōu)選的�����,所述加解密模塊采用SMS4對稱密碼算法和ECC橢圓曲線密碼算法進行加 解密操作��,加密操作時通過SMS4對稱密碼算法加密文件內(nèi)容��,通過ECC橢圓曲線密碼算法 加密相應(yīng)文件的對稱密鑰����;解密操作通過認(rèn)證用戶的私鑰通過ECC橢圓曲線密碼算法解密 出文件的對稱密鑰,然后通過SMS4對稱密碼算法獲取文件的內(nèi)容���。本發(fā)明的另一目的在于提供一種局域網(wǎng)共享文件加密方法����,其特征在于所述方法 包括以下步驟(Al)加密文件系統(tǒng)首先提取出當(dāng)前用戶的信息得到用戶加密數(shù)據(jù)的對稱密鑰����;(A2)通過用戶加密數(shù)據(jù)的對稱密鑰使用對稱密鑰密碼算法加密文件內(nèi)容,得到傳 遞給系統(tǒng)進行存儲加密后的文件內(nèi)容���;(A3)根據(jù)用戶的公鑰通過公鑰密碼算法對用戶生成的對稱密鑰進行加密�����;(A4)將加密后的對稱密鑰以密文的方式存儲并刪除用戶生成的對稱密鑰����。本發(fā)明的又一目的在于提供一種局域網(wǎng)共享文件解密方法,其特征在于所述方法 包括以下步驟(Bi)當(dāng)前用戶讀取共享加密文件時���,先根據(jù)當(dāng)前用戶信息找到其私鑰和加密密鑰密文��;(B2)通過用戶的私鑰使用公鑰密碼算法解密加密密鑰密文獲取用戶的對稱密 鑰�;(B3)根據(jù)用戶的對稱密鑰通過對稱密鑰密碼算法對共享加密文件進行解密���;(B4)將解密后的文件數(shù)據(jù)內(nèi)容呈現(xiàn)給用戶�����。具體的��,文件加密系統(tǒng)主要由身份認(rèn)證模塊��、應(yīng)用層控制模塊��、加解密模塊��、密鑰 管理模塊組成。文件加密系統(tǒng)以數(shù)據(jù)庫的方式保存兩張表���,表1為user表����,表2為file表。 其中user表是用戶表����,包含兩項,一是所有用文件加密系統(tǒng)的用戶的用戶名����,二是該用戶 的用戶標(biāo)識符。file表是文件表��,存儲了所有已加密文件的文件名���,該表有四個表項一是 文件名�,二是擁有讀取權(quán)限用戶的用戶標(biāo)識�,第三項用來標(biāo)識該用戶是第幾個授權(quán)用戶還 是文件的擁有者,第四項記錄該文件同時被幾個用戶所共享��。身份認(rèn)證模塊負(fù)責(zé)對用戶的證書進行認(rèn)證�����,驗證用戶身份��,并在數(shù)據(jù)庫中的user 表中查找該用戶的用戶標(biāo)識,根據(jù)用戶標(biāo)識在file表中查找該用戶是否是文件的擁有者 或者是否擁有對該文件的讀取權(quán)限�。應(yīng)用層控制模塊負(fù)責(zé)同用戶進行信息交互,判斷用戶 是否選擇對文件進行加密����、取消加密以及授權(quán)給其他用戶,并負(fù)責(zé)對數(shù)據(jù)庫中user表和 file表的操作�����。用戶加解密控制子模塊負(fù)責(zé)對用戶的加解密操作進行監(jiān)控管理���,當(dāng)用戶需要對文 件進行加密時�����,負(fù)責(zé)命令密鑰管理模塊根據(jù)用戶的信息生成相應(yīng)密鑰并使其對密鑰進行存 儲和管理�,并由透明文件加密子模塊對數(shù)據(jù)進行加密后以密文的形式存儲���;當(dāng)用戶需要對 文件進行解密時����,負(fù)責(zé)根據(jù)用戶信息從密鑰管理模塊獲取密鑰,并向透明文件加密子模塊 發(fā)送解密的消息并提供相應(yīng)的密鑰��,由透明文件加密子模塊對數(shù)據(jù)進行解密后再將文件內(nèi) 容以明文形式呈現(xiàn)給用戶����。密鑰管理模塊根據(jù)用戶的身份信息讀取���、產(chǎn)生以及管理加解密文件要使用的各種 密鑰以及對相應(yīng)的密鑰進行分發(fā)�、存儲和管理����。透明文件加密子模塊則是文件內(nèi)容進行加 密與解密,使文件以密文形式存儲�����,以明文形式呈現(xiàn)給用戶���。鑒于對稱密鑰密碼算法和公鑰密碼算法的特點�,以及由近年來密碼分析技術(shù)的發(fā) 展給現(xiàn)有加密算法帶來的威脅�����,本發(fā)明綜合使用SMS4對稱密鑰加密算法和ECC公開密鑰加 密算法來保障文件信息安全。為了融合對稱密碼與公鑰密碼的優(yōu)點���,采用了多級密鑰管理 體制�����,即文件的加密密鑰為對稱密鑰���,為了對文件加密密鑰進行保護與方便用戶之間密鑰 的交換,又借助于公鑰密碼對文件加密密鑰進行加密��。 本發(fā)明采用用戶隨機生成自己的ECC (橢圓曲線密碼)密鑰�����,使整個系統(tǒng)的效率大 為提高��。對于計算機中大量數(shù)據(jù)使用1 位密鑰長度的SMS4對稱密碼算法進行加密���,而 SMS4對稱密碼算法所使用的加密密鑰則使用160位密鑰長度(普遍認(rèn)為�,160位長的橢圓 曲線密碼的安全性相當(dāng)于IOM位的RSA密碼����,而且運算速度也較快)的ECC公鑰加密算法 進行加密�,此種方法既保證了數(shù)據(jù)信息的安全又提高了數(shù)據(jù)加密和解密的速度�,實現(xiàn)了對 數(shù)據(jù)信息安全、快速傳輸?shù)囊?���。為了保證信息的真實性���、完整性和可靠性��,本發(fā)明全面綜 合各類數(shù)字簽名算法的優(yōu)點��,把對稱密鑰算法�����、公開密鑰算法結(jié)合在一起���,避免了單獨使用 一種數(shù)字簽名算法的不足。同時采用數(shù)據(jù)庫技術(shù)對用戶權(quán)限進行分級管理�,使不同用戶具 有不同的閱讀權(quán)限。
相對于現(xiàn)有技術(shù)中的方案�,本發(fā)明的優(yōu)點是本發(fā)明提供一種在用戶數(shù)字身份認(rèn)證技術(shù)與文件加密技術(shù)的基礎(chǔ)上來保障局域 網(wǎng)中共享資源信息安全的文件加密方法,涉及密碼學(xué)領(lǐng)域�,旨在于解決在局域網(wǎng)中共享資 源的不安全性,防止未授權(quán)用戶的非法訪問和重要信息泄露。本發(fā)明中的文件加密方法用 來加密需要限制訪問的文件數(shù)據(jù)�����,用對稱加密算法與公鑰加密算法混合來加密需要保護的 文件��,以達到在加密速度和加密強度上的雙重優(yōu)勢��;身份認(rèn)證模塊用來對局域網(wǎng)中的用戶 進行訪問授權(quán)以及身份驗證����,以限制對共享資源中的不同文件指定不同用戶讀寫的權(quán)利, 從而有效的保障局域網(wǎng)中資源的信息安全�。
下面結(jié)合附圖及實施例對本發(fā)明作進一步描述圖1為本發(fā)明局域網(wǎng)共享文件加密系統(tǒng)的系統(tǒng)架構(gòu)圖;圖2為本發(fā)明實施例局域網(wǎng)共享文件加密系統(tǒng)進行加密的流程圖���;圖3為本發(fā)明實施例局域網(wǎng)共享文件加密系統(tǒng)進行解密的流程圖����;圖4為本發(fā)明實施例局域網(wǎng)共享文件加密系統(tǒng)進行加密的具體實現(xiàn)流程圖���;圖5為本發(fā)明實施例局域網(wǎng)共享文件加密系統(tǒng)進行加密后的共享加密文件結(jié)構(gòu) 圖��。
具體實施例方式以下結(jié)合具體實施例對上述方案做進一步說明��。應(yīng)理解���,這些實施例是用于說明 本發(fā)明而不限于限制本發(fā)明的范圍����。實施例中采用的實施條件可以根據(jù)具體廠家的條件做 進一步調(diào)整�����,未注明的實施條件通常為常規(guī)實驗中的條件��。實施例如圖1和圖2所示�����,該局域網(wǎng)共享文件加密系統(tǒng)�,包括讀取���、產(chǎn)生以及管理加解密 文件要使用的密鑰的密鑰管理模塊�、根據(jù)用戶指令進行加解密操作的加解密模塊�,所述系 統(tǒng)還包括身份認(rèn)證模塊,身份認(rèn)證模塊對用戶的身份進行驗證���,確定用戶的權(quán)限�����;用戶身份 認(rèn)證模塊身份認(rèn)證合法后經(jīng)加解密模塊進行加解密操作后進行局域網(wǎng)共享文件的訪問�����。身份認(rèn)證模塊內(nèi)設(shè)置一個數(shù)據(jù)庫�,包括用戶表(user表)和文件表(file表),所 述user表內(nèi)存儲有使用文件加密系統(tǒng)的所有用戶名和用戶的唯一標(biāo)識����,所述file表內(nèi)存 儲所有加密文件的文件名、許可訪問的用戶標(biāo)識�、用戶的權(quán)限和文件共享訪問的狀態(tài)。身份認(rèn)證模塊負(fù)責(zé)對用戶的證書進行認(rèn)證�,驗證用戶身份,并在用戶數(shù)據(jù)庫中查 找該用戶的用戶標(biāo)識��,根據(jù)用戶標(biāo)識在file表中查找該用戶的權(quán)限和加密文件的使用狀 態(tài)����。所述局域網(wǎng)內(nèi)設(shè)置服務(wù)器負(fù)責(zé)完成整個局域網(wǎng)中所有用戶的注冊獲得由服務(wù)器生成的 數(shù)字證書,生成與服務(wù)器進行保密通信所用的服務(wù)器私鑰和服務(wù)器公鑰文件�����。所述系統(tǒng)還包括應(yīng)用層控制模塊,所述應(yīng)用層控制模塊負(fù)責(zé)同用戶進行信息交 互�,判斷用戶是否選擇對文件進行加密、取消加密以及授權(quán)給其他用戶�,并負(fù)責(zé)對用戶表 (user表)和文件表(file表)進行操作。所述加解密模塊包括用戶加解密控制子模塊�、 透明文件加密子模塊;所述用戶加解密控制子模塊負(fù)責(zé)對用戶的加解密操作進行監(jiān)控管 理���,當(dāng)用戶需要對文件進行加密時�����,負(fù)責(zé)命令密鑰管理模塊根據(jù)用戶的信息生成相應(yīng)密鑰并使其對密鑰進行存儲和管理,并由透明文件加密子模塊對數(shù)據(jù)進行加密后以密文的形式 存儲���;當(dāng)用戶需要對文件進行解密時�����,負(fù)責(zé)根據(jù)用戶信息從密鑰管理模塊獲取密鑰�����,并向透 明文件加密子模塊發(fā)送解密的消息并提供相應(yīng)的密鑰�����,由透明文件加密子模塊對數(shù)據(jù)進行 解密后再將文件內(nèi)容以明文形式呈現(xiàn)給用戶�����;透明文件加密子模塊負(fù)責(zé)文件內(nèi)容進行加密 與解密���,使文件以密文形式存儲�,以明文形式呈現(xiàn)給用戶�。加密文件的結(jié)構(gòu)中設(shè)置數(shù)據(jù)解密域和包含文件內(nèi)容的密文數(shù)據(jù),所述數(shù)據(jù)解密域 內(nèi)存儲相應(yīng)用戶的公鑰加密過的對稱密鑰����。所述加解密模塊采用SMS4對稱密碼算法和ECC 橢圓曲線密碼算法進行加解密操作,加密操作時通過SMS4對稱密碼算法加密文件內(nèi)容�����,通 過ECC橢圓曲線密碼算法加密相應(yīng)文件的對稱密鑰����;解密操作通過認(rèn)證用戶的私鑰通過 ECC橢圓曲線密碼算法解密出文件的對稱密鑰��,然后通過SMS4對稱密碼算法獲取文件的內(nèi) 容���。服務(wù)器是整個局域網(wǎng)的管理中心,它除了具有普通用戶機的全部功能之外�,還具 有它特殊的功能和任務(wù)。主要負(fù)責(zé)完成整個局域網(wǎng)中所有用戶的注冊���,并負(fù)責(zé)對用戶進行 管理���。用戶的注冊就是獲得由服務(wù)器生成的數(shù)字證書。數(shù)字證書是整個系統(tǒng)的身份認(rèn)證唯 一標(biāo)識�����。服務(wù)器負(fù)責(zé)生成進行保密通信所用服務(wù)器私鑰和服務(wù)器公鑰文件��,公鑰文件對所 有用戶公開��;私鑰文件為服務(wù)器的數(shù)字簽名���,公鑰和私鑰可以定期更新。在所有用戶機正 常運行之前�����,都必須得到由服務(wù)器發(fā)放的數(shù)字證書。用戶PC機是普通注冊用戶使用的計算 機���,可以在整個應(yīng)用環(huán)境中和服務(wù)器通信�����、身份認(rèn)證���、解密文件。經(jīng)過注冊的配以文件加密 系統(tǒng)客戶端的普通計算機就構(gòu)成了局域網(wǎng)中的一臺用戶機����。由于對稱加密算法和公鑰加密算法的使用目的及時機不同,因此它們的密鑰不是 同時產(chǎn)生的��,生成方法也有一定的差異�����。對于對稱加密算法的密鑰FEK(File Encryption Key)的選擇���,采取一次一密的思想���,即對每個已加密的文件都對應(yīng)其唯一的加密密鑰��,這樣 減少了攻擊者通過隨機猜測得到對稱密鑰的成功率�����,同時即使部分密文被截獲�,也降低了 通過比較密文而破譯密碼的可能性�。在每次對文件進行加密時,都采用隨機數(shù)生成算法即 時生成所需的密鑰�,這樣對于不同的文件進行加密將得到不同的密鑰。由于加密系統(tǒng)通過對不同用戶進行認(rèn)證來判斷其對文件的讀取權(quán)限��,因此加密系 統(tǒng)將公鑰加密算法密鑰的產(chǎn)生與各個用戶關(guān)聯(lián)起來����,使每個用戶擁有其對應(yīng)的私鑰和公 鑰。在用戶第一次使用加密系統(tǒng)時����,系統(tǒng)將給用戶分配一個唯一的用戶標(biāo)識符��,并將該標(biāo)識 符作為隨機數(shù)生成算法的種子來隨機產(chǎn)生公鑰密碼算法所需的參數(shù)。對稱算法的密鑰和公鑰算法的密鑰分開存放�,既提高了安全性,也使密鑰的使用 更方面���、快捷�。對稱加密算法所采用的密鑰FEK在使用時產(chǎn)生���,生成后用公鑰加密算法的公 鑰對其加密�,將加密后的數(shù)據(jù)同加密文件的內(nèi)容一起寫入加密后的文件�����,將FEK以加密后 的密文形式存放在已加密文件的頭部�����,F(xiàn)EK不再另外以明文形式單獨存放��。這樣攻擊者將 不能直接得到對稱加密算法的密鑰��,即使得到加密后的FEK����,也不能正確對其解密從而讀取 文件內(nèi)容�����。并且不同文件的密鑰存放在各自的文件里���,避免了密鑰的集中存放導(dǎo)致的不安 全。公鑰存在服務(wù)器用戶的數(shù)字證書中��,對所有用戶公開��。公鑰和私鑰是同時生成的 (密鑰對)����,且在計算難度上從公鑰不能求解出私鑰。在密碼學(xué)概念上���,私鑰只用具體用戶 知道���,其他人不知道,也不可能從公鑰中計算得出私鑰�����。因此���,系統(tǒng)將保存一張表��,用以記錄每個用戶及其對應(yīng)的用戶標(biāo)識符(即產(chǎn)生公鑰所需的種子)����,即使攻擊者得到用戶的標(biāo)識 符���,也不能準(zhǔn)確得到用戶的私鑰���。同時,對使用文件系統(tǒng)的用戶頒發(fā)證書�,將證書與用戶的 公鑰綁定,通過對用戶的證書進行驗證來驗證用戶身份的合法性���,確定其對文件的讀取權(quán) 限��,并可以取得其公鑰對FEK進行加密����。當(dāng)用戶應(yīng)用程序?qū)ξ募M行加密存儲時�,文件加密系統(tǒng)首先提取出當(dāng)前用戶的信 息;hash轉(zhuǎn)換模塊對提取出的用戶信息進行hash轉(zhuǎn)換��;得出用戶加密數(shù)據(jù)的對稱密鑰A ; 對稱加密模塊根據(jù)密鑰A對用戶文件數(shù)據(jù)進行加密后傳遞給下層文件系統(tǒng)進行存儲�����。公鑰 加解密模塊根據(jù)用戶的公鑰B對用戶生成的對稱密鑰A進行加密�;將加密后的A以密文的 方式存儲為C ;最后刪除用戶最初生成的對稱加密密鑰A���。當(dāng)用戶程序?qū)?shù)據(jù)進行讀取時�,根據(jù)當(dāng)前用戶信息找到其私鑰和加密密鑰C �;在 公鑰加解密模塊中用用戶私鑰解密C得出對稱加解密密鑰A ;用A作為解密密鑰在對稱加 解密模塊中對密文數(shù)據(jù)進行解密�����;將解密后的數(shù)據(jù)傳遞給上層處理���。當(dāng)用戶選擇對文件加密時���,加密系統(tǒng)讀取當(dāng)前用戶用戶名(設(shè)為A),到user表中 查找用戶A是否存在��。若不存在�,即該用戶第一次使用本加密系統(tǒng)���,則為其分配用戶標(biāo)識符 ida,將其加入user表,并從用戶A的證書中取得A的公鑰keya��。若用戶A已存在�����,則直接 從A的證書中讀取A的公鑰信息keya�。得到A的公鑰信息后���,利用隨機數(shù)生成算法生成對稱加密的密鑰FEK���。用FEK對文件內(nèi)容(設(shè)為C)用對稱加密算法進行加密,得到密文C’�����。用A的公鑰keya對FEK進行加密���,并刪除FEK��。將加密后的內(nèi)容寫入文件���,先寫入經(jīng)過公鑰加密算法加密的后的FEK’�����,然后寫入 加密后的文件內(nèi)容C’��,保存并關(guān)閉該文件����。在file表中添加該文件��,用戶一項即為A����,身份標(biāo)識為文件擁有者,加密操作完 成���。取消對文件的加密與加密過程相反���,首先在file表中找到該文件,驗證A用戶是否是 該文件的擁有者���,若是���,則繼續(xù)��,否則提示沒有操作權(quán)限�,拒絕操作����。之后,在user表中讀取 該用戶的標(biāo)識符���,以該標(biāo)識符為種子隨機生成公鑰加密算法的參數(shù),在A的證書中讀取公 鑰keya����,私鑰存放在用戶本地磁盤。當(dāng)用戶需要解密時�,則從本地磁盤或者可移動設(shè)備中獲 取,這是密鑰管理負(fù)責(zé)的內(nèi)容�;用key,對文件中的FEK�����,進行解密,得到FEK���。再用FEK對 之后的密文C’進行解密�����,得到C���。將C寫入解密后的文件,保存并關(guān)閉�����。最后�����,在file表中 刪除該文件的對應(yīng)項�,此時該文件已恢復(fù)為未加密狀態(tài)。當(dāng)用戶A要將文件filel對用戶B進行授權(quán)時����,系統(tǒng)將首先查詢file表,驗證用 戶A是否為filel的擁有者����。若是�,則繼續(xù)����;否則將拒絕操作,并提示該用戶沒有授權(quán)操作 的權(quán)限��。系統(tǒng)先到user表中查找A的標(biāo)識符ida�,得到A對應(yīng)的算法參數(shù)及公鑰keya,讀 取文件中的FEK���,部分��。接下來再到user表中查找用戶B是否存在���。若不存在����,則為其分配用戶標(biāo)識符 idb,將其加入user表��,并從B的證書中取得其公鑰keyb�����。若已存在,則從其證書中讀取B 的公鑰信息keyb����。用B的公鑰keyb對解密得到的FEK進行加密,得到FEKb�����。之后再對文 件進行重寫�����,依次寫入FEK��,����、FEKb及C,����,使文件內(nèi)容之前保存分別用A、B的公鑰加密過的 FEK��。最后在file表中添加一條記錄,文件名為filel����,用戶為B,身份標(biāo)識為第一個被授權(quán)用戶��,并將filel的共享用戶數(shù)加一�����。同理再對另一用戶C進行授權(quán)時���,則在FEKb與 C�,之間加入用C的公鑰keyc加密之后的FEK�����,即FEKc����。在file表中增加新紀(jì)錄�����,標(biāo)識C為 第η個對文件filel的被授權(quán)者,共享用戶數(shù)加一���。在本加密系統(tǒng)中�����,對稱加密所用到的密鑰以密文形式和加密后的文件內(nèi)容一起存 放在加密后的文件中����。文件最開始存放的是經(jīng)文件擁有者的公鑰加密之后的FEK��。當(dāng)用戶 生成加密文件時�����,隨機密碼產(chǎn)生器生成一個對稱密鑰FEK�����,加密系統(tǒng)使用FEK加密文件中的 數(shù)據(jù)�����,然后使用該用戶證書中的公開密鑰加密FEK并����,將其存放在文件開頭的位置����。之后再使用被授權(quán)用戶證書中的公鑰加密FEK�,由于被授權(quán)用戶可以有多個,所以 可能存在多個不同授權(quán)用戶證書中公鑰加密的FEK��。所有這些被授權(quán)用戶證書中公鑰加 密的FEK和文件擁有者用戶證書中公鑰加密的FEK組合在一起得到數(shù)據(jù)解密域DDF(Data Decryption Field)�。最后加密系統(tǒng)將DDF作為加密文件頭和經(jīng)FEK加密的數(shù)據(jù)組合在一 起得到加密文件。上述實例只為說明本發(fā)明的技術(shù)構(gòu)思及特點�,其目的在于讓熟悉此項技術(shù)的人是 能夠了解本發(fā)明的內(nèi)容并據(jù)以實施,并不能以此限制本發(fā)明的保護范圍���。凡根據(jù)本發(fā)明精 神實質(zhì)所做的等效變換或修飾����,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)���。
權(quán)利要求
1.一種局域網(wǎng)共享文件加密系統(tǒng)����,包括讀取����、產(chǎn)生以及管理加解密文件要使用的密鑰 的密鑰管理模塊、根據(jù)用戶指令進行加解密操作的加解密模塊���,其特征在于所述系統(tǒng)還包 括身份認(rèn)證模塊�����,身份認(rèn)證模塊對用戶的身份進行驗證����,確定用戶的權(quán)限�;用戶身份認(rèn)證模 塊身份認(rèn)證合法后經(jīng)加解密模塊進行加解密操作后進行局域網(wǎng)共享文件的訪問。
2.根據(jù)權(quán)利要求1所述的局域網(wǎng)共享文件加密系統(tǒng)���,其特征在于所述身份認(rèn)證模塊內(nèi) 設(shè)置用戶數(shù)據(jù)庫和資源數(shù)據(jù)庫���,所述用戶數(shù)據(jù)庫內(nèi)存儲有使用文件加密系統(tǒng)的所有用戶名 和用戶的唯一標(biāo)識,所述資源數(shù)據(jù)庫內(nèi)存儲所有加密文件的文件名����、許可訪問的用戶標(biāo)識、 用戶的權(quán)限和文件共享訪問的狀態(tài)��。
3.根據(jù)權(quán)利要求2所述的局域網(wǎng)共享文件加密系統(tǒng),其特征在于所述身份認(rèn)證模塊負(fù) 責(zé)對用戶的證書進行認(rèn)證�����,驗證用戶身份�,并在用戶數(shù)據(jù)庫中查找該用戶的用戶標(biāo)識,根據(jù) 用戶標(biāo)識在資源數(shù)據(jù)庫中查找該用戶的權(quán)限和加密文件的使用狀態(tài)��。
4.根據(jù)權(quán)利要求3所述的局域網(wǎng)共享文件加密系統(tǒng)��,其特征在于所述局域網(wǎng)內(nèi)設(shè)置服 務(wù)器負(fù)責(zé)完成整個局域網(wǎng)中所有用戶的注冊獲得由服務(wù)器生成的數(shù)字證書��,生成與服務(wù)器 進行保密通信所用的服務(wù)器私鑰和服務(wù)器公鑰文件�����。
5.根據(jù)權(quán)利要求2所述的局域網(wǎng)共享文件加密系統(tǒng)��,其特征在于所述系統(tǒng)還包括應(yīng)用 層控制模塊�����,所述應(yīng)用層控制模塊負(fù)責(zé)同用戶進行信息交互����,判斷用戶是否選擇對文件進 行加密�、取消加密以及授權(quán)給其他用戶����,并負(fù)責(zé)對用戶數(shù)據(jù)庫和資源數(shù)據(jù)庫進行操作�。
6.根據(jù)權(quán)利要求2所述的局域網(wǎng)共享文件加密系統(tǒng),其特征在于所述加解密模塊包括 用戶加解密控制子模塊��、透明文件加密子模塊���;所述用戶加解密控制子模塊負(fù)責(zé)對用戶的 加解密操作進行監(jiān)控管理��,當(dāng)用戶需要對文件進行加密時���,負(fù)責(zé)命令密鑰管理模塊根據(jù)用 戶的信息生成相應(yīng)密鑰并使其對密鑰進行存儲和管理,并由透明文件加密子模塊對數(shù)據(jù)進 行加密后以密文的形式存儲�����;當(dāng)用戶需要對文件進行解密時���,負(fù)責(zé)根據(jù)用戶信息從密鑰管 理模塊獲取密鑰���,并向透明文件加密子模塊發(fā)送解密的消息并提供相應(yīng)的密鑰��,由透明文 件加密子模塊對數(shù)據(jù)進行解密后再將文件內(nèi)容以明文形式呈現(xiàn)給用戶��;透明文件加密子模 塊負(fù)責(zé)文件內(nèi)容進行加密與解密��,使文件以密文形式存儲�,以明文形式呈現(xiàn)給用戶�����。
7.根據(jù)權(quán)利要求2所述的局域網(wǎng)共享文件加密系統(tǒng)����,其特征在于所述加密文件的結(jié)構(gòu) 中設(shè)置數(shù)據(jù)解密域和包含文件內(nèi)容的密文數(shù)據(jù),所述數(shù)據(jù)解密域內(nèi)存儲相應(yīng)用戶的公鑰加 密過的對稱密鑰��。
8.根據(jù)權(quán)利要求7所述的局域網(wǎng)共享文件加密系統(tǒng)���,其特征在于所述加解密模塊采用 SMS4對稱密碼算法和ECC橢圓曲線密碼算法進行加解密操作��,加密操作時通過SMS4對稱密 碼算法加密文件內(nèi)容��,通過ECC橢圓曲線密碼算法加密相應(yīng)文件的對稱密鑰����;解密操作通 過認(rèn)證用戶的私鑰通過ECC橢圓曲線密碼算法解密出文件的對稱密鑰,然后通過SMS4對稱 密碼算法獲取文件的內(nèi)容��。
9.一種局域網(wǎng)共享文件加密方法�����,其特征在于所述方法包括以下步驟(Al)加密文件系統(tǒng)首先提取出當(dāng)前用戶的信息得到用戶加密數(shù)據(jù)的對稱密鑰�����;(A2)通過用戶加密數(shù)據(jù)的對稱密鑰使用對稱密鑰密碼算法加密文件內(nèi)容��,得到傳遞給 系統(tǒng)進行存儲加密后的文件內(nèi)容����;(A3)根據(jù)用戶的公鑰通過公鑰密碼算法對用戶生成的對稱密鑰進行加密�;(A4)將加密后的對稱密鑰以密文的方式存儲并刪除用戶生成的對稱密鑰。
10. 一種局域網(wǎng)共享文件解密方法��,其特征在于所述方法包括以下步驟(Bi)當(dāng)前用戶讀取共享加密文件時����,先根據(jù)當(dāng)前用戶信息找到其私鑰和加密密鑰密(B2)通過用戶的私鑰使用公鑰密碼算法解密加密密鑰密文獲取用戶的對稱密鑰; (B3)根據(jù)用戶的對稱密鑰通過對稱密鑰密碼算法對共享加密文件進行解密; (B4 )將解密后的文件數(shù)據(jù)內(nèi)容呈現(xiàn)給用戶��。
全文摘要
本發(fā)明公開了一種局域網(wǎng)共享文件加密系統(tǒng)�����,包括讀取���、產(chǎn)生以及管理加解密文件要使用的密鑰的密鑰管理模塊���、根據(jù)用戶指令進行加解密操作的加解密模塊,其特征在于所述系統(tǒng)還包括身份認(rèn)證模塊�,身份認(rèn)證模塊對用戶的身份進行驗證,確定用戶的權(quán)限��;用戶身份認(rèn)證模塊身份認(rèn)證合法后經(jīng)加解密模塊進行加解密操作后進行局域網(wǎng)共享文件的訪問���。該系統(tǒng)限制對共享資源中的不同文件指定不同用戶讀寫的權(quán)利����,從而有效的保障局域網(wǎng)中資源的信息安全���。
文檔編號H04L9/08GK102075544SQ20111004031
公開日2011年5月25日 申請日期2011年2月18日 優(yōu)先權(quán)日2011年2月18日
發(fā)明者毛從武, 王江科, 章登義 申請人:博視聯(lián)(蘇州)信息科技有限公司