CN101819618A - 文件保密方法 - Google Patents
文件保密方法 Download PDFInfo
- Publication number
- CN101819618A CN101819618A CN201010150037A CN201010150037A CN101819618A CN 101819618 A CN101819618 A CN 101819618A CN 201010150037 A CN201010150037 A CN 201010150037A CN 201010150037 A CN201010150037 A CN 201010150037A CN 101819618 A CN101819618 A CN 101819618A
- Authority
- CN
- China
- Prior art keywords
- file
- encryption apparatus
- protected location
- ciphertext
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种文件保密方法,涉及计算机软件和信息安全技术领域。基于文件***目录体系,定位目录(文件夹)设置保护区,关联绑定密码装置,划分工作区和保密区;响应于密码装置接入,驱动保护区从封闭状态转换到开放状态,目录和文件名均解密显现,工作室内文件密文内容解密为明文,***内文件密文内容仍保持加密常态;响应于密码装置移除,驱动保护区从开放状态转换到封闭状态,目录和文件名均加密隐藏,文件明文内容亦加密成密文;在开放状态下实时监控目录,存入工作室的文件密文自动解密,存入***的文件明文则自动加密;保护区可设置多个,关联绑定多个密码装置,采取不同控制策略可达共享保护或联锁保护之效,构建虚拟多用户透明保密环境。
Description
技术领域
本发明涉及计算机软件和信息安全技术领域。
背景技术
用计算机生成和存储的电子文件(简称文件),是信息载体的最重要和常见的形式。在存储介质(固定硬盘、移动硬盘、软盘、U盘等)中,文件习惯上是按目录树结构的文件体系存储管理的,可以存储在盘的根目录或子目录(即文件夹)上,而且通常是不加密的。由于环境开放、网上互联乃至设备丢失多方面原因,未经加密的文件很容易被盗失密。根本的技术解决办法,是对文件加密存储。最简单的方法,是让用户手动选择其重要文件加密保护。但即使这种不用时加密用时解密的方式,用户仍然觉得繁琐,尤其当文件量多加密频繁时更甚。于是出现一些一定程度上的自动加解密技术。“实现文件安全存储的方法、装置和文件读取装置”(中国发明专利申请号CN200710178654.3),提出从存储介质空闲扇区中选择部分扇区作为文件的实际存储位置,来达到安全存储。“文件保密方法”(中国发明专利申请号CN200510034810.X),提出在操作***与文件***间建立文件***过滤模块,在文件名前加入预设字符串,检查原文件名和产生新文件名,决定开启或过滤。“一种基于USB设备的文件隐藏的方法、***及装置”(中国发明专利申请号200810027871.7),通过加栽USB设备上的文件隐藏程序运行,隐藏在计算机上选择的对象。“NTFS文件***下轻量级文件隐藏方法”(中国发明专利申请号200910045412.6),通过删除、修改文件索引及对应文件***元数据来达到隐藏文件数据目的。这些方法试图通过隐藏文件名或文件内容,来达到安全保密的效果,其实是不够彻底的,况且,强制修改文件的索引和存储位置还冒损坏丢失的风险。“基于进程监控对计算机文件进行加解密的方法”(中国发明专利申请号200810101404.4),构建WINDOWS核心态驱动程序以钩住创建进程的服务程序,将进程传入***核心层列表,监控用户的文件I/O,在例程中加密和解密数据。这一方法需切入操作***核心层,加钩也属非常规手段,既复杂也存在兼容性问题。
发明内容
本发明提出一种文件保密方法,涉及对信息的加密和解密管理,旨在保护文件信息的秘密。本发明方法的基本思路,是尽量符合用户的操作习惯,在文件***的目录体系层面,引入密码装置(硬件),在预定范围内对文件和目录自动加解密。首先设定文件保护区,落实在文件目录树上,具体定位在存储盘驱动器的根目录或子目录(即文件夹)上。保护区是一个逻辑上统合的概念,实际划分为工作区(或称交换区)和保密区,分别选择定位在目录树上具体的目录,用对应的目录路径来定义。在一台计算机上,甚至在一个存储盘驱动器(包括固定的和移动的)上,可以设置一个或多个(即两个以上)保护区,每个保护区都与特定的密码装置对应关联绑定。保护区有两种状态,即开放状态和封闭状态。在密码装置已接入的情况下,保护区处于开放状态;在密码装置已移除的情况下,保护区处于封闭状态。在开放状态下,工作区内的目录名、文件名与文件内容都被解密为明文,而保密区内只是目录名和文件名被解密为明文,但文件内容仍保持为加密后的密文。在封闭状态下,保护区内的目录名、文件名和文件内容都被加密成密文,而且,目录名和文件名还可以都被隐藏起来。为了做到保密操作对用户透明和提高自动化程度,特别采取三项行为措施:其一,当密码装置接入时,要对此事件作出及时响应,使保护区自动从封闭状态转换到开放状态,意味着用户从此能够操作使用保护区内的文件;其二,当密码装置移除时,也要对此事件作出及时响应,使保护区自动从开放状态转换到封闭状态,意味着用户从此不能操作使用保护区内的文件;其三,在保护区处于开放状态下进行实时监控,使得用户或应用进程存入工作区的文件密文立即被自动解密为明文,而使得存入保密区的文件明文则立即被自动加密为密文。同时具备上述三项行为措施,正是本发明的主要特征。这三项行为措施是切实可行的,将在后面的具体实施方式一节中阐述。
区分工作区和保密区的目的,只是寻求安全保密与处理效率的平衡。当然,还可以叫做不同的名称。在保护区处于开放状态下,操作***、应用程序仍可照常在工作室创建和读写修改文件,而不会受到监控保护功能的干扰;但在保密区,则不宜直接创建和读写修改文件,事实上由于保护功能的作用,读写内容和格式相关的文件密文注定会失败,而这正是所要到达的保密效果。
为了使用上灵活方便,允许用户自选设置工作区和保密区各自所在的目录。又为了避免加解密操作的二义性,***必须检验用户自选设置目录的的位置,以避免相互目录路径交叉或重叠。用户自选设置工作区和保密区的目录,也可定位于移动存储介质。
在保护区从开放状态转换到封闭状态时,还有必要在保护区内的目录名和文件名的密文内设置加密标识、本保护区所关联绑定的密码装置标识和数据校验字这三项中的至少两项。设置加密标识,是为了方便辨别目录和文件是明文还是密文,从而避免加解密的重复操作和错误操作。设置保护区所关联绑定的密码装置标识,是为了识别和控制保护区的操作权限,而禁止非关联绑定密码装置越界操作。设置数据校验字,是为了保证数据的完整性和一致性。
在用户将文件存入保密区而被自动加密为密文时,同样有必要在文件名和文件内容的密文内设置加密标识、本保护区所关联绑定的密码装置标识和数据校验字这三项中的至少两项。以便此后便于独立辨别文件是明文还是密文,控制密码装置对应关联绑定操作,以及验证数据的完整性和一致性。
为了避免用户自选设置的目录路径覆盖一些关键目录路径,如Windows目录、***目录和程序目录等,可能造成***的运行失序或故障,***要检验用户自选设置的目录路径,以阻止其与***认定的关键目录路径交叉或重叠。
出于存取控制和保密需要,对密码装置的接入和移除事件所导致保护区状态的转换,严格地只限定作用于具体接入和移除的密码装置所关联绑定的保护区,以免影响其他密码装置所关联绑定而该密码装置未关联绑定的保护区。
可以允许设置多个保护区,而每个保护区与所对应关联绑定的密码装置之间,可以是一对多的关系,既一个保护区对应关联绑定多个密码装置;每个密码装置有唯一的标识(典型的如序列号),由于密码算法的不同,或密钥的不同,乃至密码算法和密钥都不同,加密同样目录或文件所生成的密文也不同。由于关联绑定关系的制约和密码装置的差异,使的多个保护区无论是设置还是运作,都互不干扰。这意味着,能够实现虚拟多用户的文件保密环境。相应地,为了达成不同的保护目的,有两种控制策略可选:一是为了实现多密码装置(或多用户)对单一保护区内文件的共享保护,只需由该保护区所关联绑定的多个密码装置中的一个所发生的接入和移除事件驱动,来导致完成保护区分别从封闭到开放和从开放到封闭的状态转换;二是为了实现多密码装置(或多用户)对单一保护区内文件的联锁保护,必需由该保护区所关联绑定的多个密码装置中的全部所发生的接入和移除事件逐个驱动,来共同导致完成保护区分别从封闭到开放和从开放到封闭的状态转换。
本发明方法的积极效果,是提供了一种简单实用且有效的办法,能够实现用户直观可控并透明使用的文件保密工具产品。
附图说明
图1是本发明方法的示意图。该图是一个状态转换图,描述了保护区与其关联绑定的密码装置的联动关系。保护区初始处于封闭状态,当密码装置接入时,则转换到开放状态。而当密码装置移除时,则保护区又从开放状态转换到封闭状态,即回归保护区的初态。
图2是本发明方法的一个实施实例的程序界面示意图。标题栏(1)上有程序名称“文件保险柜”,右上角按惯例安排最小化按钮(11)和关闭按钮(12)。程序列出了保密的方式(2),分别有共享(21)和联锁(22)可单选,前者是默认选项。通过选定成员(3)来限制保密权限覆盖的范围,成员列表(31)实际上是授权表,列出关联绑定的密码装置的序列号或拥有密码装置用户的名称,按钮(32)用于打开一个通讯录对话框,选编列表的成员。文本输入框(41)规定工作室(即工作区)所在的目录路径,按钮(42)用于打开一个标准的目录选择对话框,来浏览选定工作室的目录路径;文件输入框(51)规定***(即保密区)所在的目录路径,按钮(52)用于打开一个标准的目录选择对话框,来浏览选定***的目录路径;确认按钮(61)用于明确保存文件保险柜(包括工作室和***)的设置;帮助按钮(63)用于显示帮助信息;提示行(7)用于显示操作指引及报告操作结果。
具体实施方式
本发明方法的实施例。编制一个Windows对话框架构的实用程序,命名为“文件保险柜”。程序主操作界面结构,如图3所示。程序集成一种名为“密码金铠”的USB接口的密码装置产品,加载其配套的API动态链接库,调用其编程接口函数来实现加密和解密功能。程序响应于设备变化消息,自动检测密码装置的接入和移除,为加密和解密操作提供密码装置可用性判据。编制设备变化消息响应函数,实现这样的功能过程:先判断密码装置是接入还是移除,若是接入,则开放该密码装置关联绑定的文件保险柜;若是移除,则封闭该密码装置关联绑定的文件保险柜;除此之外,则是其他设备的变化消息而与本程序无关,故忽略不处理。开放文件保险柜的处理功能主要是,分别将工作室和***各自所在目录以下的所有子目录和文件的名称,对经过检验是密文的都解密还原为明文,再改变其文件属性而显现出来,对不是密文的则不做解密处理,而且,还将工作室内的所有文件密文内容解密还原为明文,但***内的所有文件密文内容依然保持为已加密的常态不变。封闭文件保险柜的处理功能主要是,分别将工作室和***各自所在目录以下的所有子目录和文件的名称,对经过检验不是密文的都加密成密文,再改变其文件属性而隐藏起来,对已是密文的则不再做加密处理,而且,还将工作室内和***内的所有文件明文内容,都加密成密文。对目录和文件名称的加密和解密,采用对称的AES密码算法,密钥由接入的密码装置固定派生。对文件内容的加密,先采用对称的AES密码算法加密数据,密钥为动态产生的随机数,再采用非对称的RSA密码算法,用密码装置的公钥加密保存AES的随机密钥。对文件内容的解密,先提取原随机密钥密文,采用非对称的RSA密码算法,用密码装置的私钥解密还原随机密钥明文,再用所得随机密钥和对称的AES密码算法,来解密还原文件内容。目录和文件名的密文结构,包含专用标识、密码装置序列号、校验字和原名加密数据,用BASE64算法作可视化编码。文件内容的密文结构,在文件头包含专用标识、密码装置序列号、校验字、原文件名和属性,以及随机密钥密文等,随文件头之后则存储内容加密数据。另外,编制一个监控线程,由主程序在启动时或密码装置接入时加载执行。该线程同时实时监控工作室和***所在的目录及其以下的子目录,在密码装置已接入(即保险柜已开放)的前提下,对所发现新增和被修改的文件,做这样的处理:若属于工作室范围内的,则检验该文件是否为密文,只将文件密文内容解密还原为明文,非文件密文则不处理;若属于***范围内的,则检验该文件是否为密文,只将文件明文内容加密成密文,是文件密文则不处理。如此处理的效果是,存入工作室的密文将被立即自动解密为明文,而存入***的明文则被立即自动加密成密文。直觉上,在工作室与***之间交换文件,即能够自动完成文件的加密和解密:从工作室拖放文件到***,文件即被自动加密;反之,从***拖放文件到工作室,文件即被自动解密。从而到达直观、透明的文件保密效果。
Claims (10)
1.一种文件保密方法,是为保护计算机存储文件的秘密,将存储盘根目录或子目录(文件夹)对象关联绑定密码装置来设置为保护区,划分为工作区和保密区,保护区在密码装置接入条件下处于开放状态,而在密码装置移除条件下则处于封闭状态;在开放状态下,工作区内的目录名、文件名与文件内容均解密为明文,而保密区内只是目录名和文件名解密为明文但文件内容仍保持为加密后的密文;在封闭状态下,保护区内的目录名、文件名均加密成密文并可被隐藏,且文件内容亦加密成密文;其特征在于,兼采取下列三项行为措施
(1)响应于密码装置的接入事件,导致保护区自动从封闭状态转换到开放状态;
(2)响应于密码装置的移除事件,导致保护区自动从开放状态转换到封闭状态;
(3)在开放状态下实时监控目录,使得存入工作区的文件密文被自动解密为明文,而存入保密区的文件明文则被自动加密为密文。
2.根据权利要求1所述的方法,其特征是,所述工作区和保密区可由用户自选设置,再经过***检验以避免相互目录路径交叉或重叠。
3.根据权利要求1所述的方法,其特征是,所述转换到封闭状态,还包括在保护区内的目录名和文件名的密文内设置加密标识、本保护区所关联绑定的密码装置标识和数据校验字这三项中的至少两项。
4.根据权利要求1所述的方法,其特征是,所述自动加密为密文,还包括在文件名和文件内容的密文内设置加密标识、本保护区所关联绑定的密码装置标识和数据校验字这三项中的至少两项。
5.根据权利要求2所述的方法,其特征是,所述用户自选设置可定位于移动存储介质。
6.根据权利要求2所述的方法,其特征是,所述***检验将阻止用户自选设置的目录路径与***认定的关键目录路径交叉或重叠。
7.根据权利要求2所述的方法,其特征是,所述***检验将阻止关联绑定于一个密码装置的目录路径与关联绑定于另一个密码装置的目录路径交叉或重叠。
8.根据权利要求1、2、3和4所述的方法,其特征是,所述密码装置的接入和移除事件导致状态转换,只作用于具体接入和移除的密码装置所关联绑定的保护区而不影响其他密码装置所关联绑定的保护区。
9.根据权利要求1、2、3和4所述的方法,其特征是,所述密码装置的接入和移除事件导致保护区的状态转换,只需由该保护区所关联绑定的多个密码装置中的一个驱动完成,达到共享保护目的。
10.根据权利要求1、2、3和4所述的方法,其特征是,所述密码装置的接入和移除事件导致保护区的状态转换,必需由该保护区所关联绑定的多个密码装置中的全部逐个驱动完成,达到联锁保护目的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010150037A CN101819618A (zh) | 2010-03-19 | 2010-03-19 | 文件保密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010150037A CN101819618A (zh) | 2010-03-19 | 2010-03-19 | 文件保密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101819618A true CN101819618A (zh) | 2010-09-01 |
Family
ID=42654715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010150037A Pending CN101819618A (zh) | 2010-03-19 | 2010-03-19 | 文件保密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101819618A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951443A (zh) * | 2010-09-25 | 2011-01-19 | 宇龙计算机通信科技(深圳)有限公司 | 一种文件保密方法、***及移动终端 |
| CN102223626A (zh) * | 2011-06-14 | 2011-10-19 | 李明 | 一种基于无线基站信息的信息伪装安全保护方法 |
| CN103107887A (zh) * | 2013-01-22 | 2013-05-15 | 东莞宇龙通信科技有限公司 | 一种基于位置信息对文件进行操作控制的方法和装置 |
| CN104156365A (zh) * | 2013-05-14 | 2014-11-19 | ***通信集团湖南有限公司 | 一种文件的监控方法、装置及*** |
| CN104732162A (zh) * | 2015-04-02 | 2015-06-24 | 努比亚技术有限公司 | 文件的加密处理方法及装置 |
| CN105740726A (zh) * | 2016-02-02 | 2016-07-06 | 上海宝朔科技有限公司 | 一种扩展信息加密方法及*** |
| CN105844160A (zh) * | 2016-06-21 | 2016-08-10 | 北京金山安全软件有限公司 | 驱动程序隐藏方法、装置和设备 |
| CN109271800A (zh) * | 2018-09-19 | 2019-01-25 | ***股份有限公司 | 一种文件处理方法及装置 |
| CN110061978A (zh) * | 2019-03-20 | 2019-07-26 | 深圳金澜汉源科技有限公司 | 二元协同安全客户端架构 |
| CN110532129A (zh) * | 2019-09-02 | 2019-12-03 | 腾讯科技(深圳)有限公司 | 一种文件加密存储的方法、装置、设备以及存储介质 |
| WO2020024021A1 (pt) | 2018-07-29 | 2020-02-06 | Nouvenn Corporation | Método de segurança para rede de comunicação de dados |
| CN111368272A (zh) * | 2020-03-16 | 2020-07-03 | 珠海格力电器股份有限公司 | 一种空间监控管理***、方法、存储介质以及计算机设备 |
| CN115168889A (zh) * | 2022-09-08 | 2022-10-11 | 北京中宏立达科技发展有限公司 | 一种电子保密柜使用密件和***授权密件的方法 |
-
2010
- 2010-03-19 CN CN201010150037A patent/CN101819618A/zh active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951443A (zh) * | 2010-09-25 | 2011-01-19 | 宇龙计算机通信科技(深圳)有限公司 | 一种文件保密方法、***及移动终端 |
| CN102223626A (zh) * | 2011-06-14 | 2011-10-19 | 李明 | 一种基于无线基站信息的信息伪装安全保护方法 |
| CN103107887B (zh) * | 2013-01-22 | 2016-09-21 | 东莞宇龙通信科技有限公司 | 一种基于位置信息对文件进行操作控制的方法和装置 |
| CN103107887A (zh) * | 2013-01-22 | 2013-05-15 | 东莞宇龙通信科技有限公司 | 一种基于位置信息对文件进行操作控制的方法和装置 |
| CN104156365A (zh) * | 2013-05-14 | 2014-11-19 | ***通信集团湖南有限公司 | 一种文件的监控方法、装置及*** |
| CN104732162A (zh) * | 2015-04-02 | 2015-06-24 | 努比亚技术有限公司 | 文件的加密处理方法及装置 |
| CN105740726B (zh) * | 2016-02-02 | 2019-01-15 | 上海宝朔科技有限公司 | 一种扩展信息加密方法及*** |
| CN105740726A (zh) * | 2016-02-02 | 2016-07-06 | 上海宝朔科技有限公司 | 一种扩展信息加密方法及*** |
| CN105844160A (zh) * | 2016-06-21 | 2016-08-10 | 北京金山安全软件有限公司 | 驱动程序隐藏方法、装置和设备 |
| CN105844160B (zh) * | 2016-06-21 | 2019-05-28 | 珠海豹趣科技有限公司 | 驱动程序隐藏方法、装置和设备 |
| WO2020024021A1 (pt) | 2018-07-29 | 2020-02-06 | Nouvenn Corporation | Método de segurança para rede de comunicação de dados |
| CN109271800A (zh) * | 2018-09-19 | 2019-01-25 | ***股份有限公司 | 一种文件处理方法及装置 |
| CN110061978A (zh) * | 2019-03-20 | 2019-07-26 | 深圳金澜汉源科技有限公司 | 二元协同安全客户端架构 |
| CN110532129A (zh) * | 2019-09-02 | 2019-12-03 | 腾讯科技(深圳)有限公司 | 一种文件加密存储的方法、装置、设备以及存储介质 |
| CN111368272A (zh) * | 2020-03-16 | 2020-07-03 | 珠海格力电器股份有限公司 | 一种空间监控管理***、方法、存储介质以及计算机设备 |
| CN115168889A (zh) * | 2022-09-08 | 2022-10-11 | 北京中宏立达科技发展有限公司 | 一种电子保密柜使用密件和***授权密件的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101819618A (zh) | 文件保密方法 | |
| CN101853363B (zh) | 一种文件保护方法及*** | |
| CN100592313C (zh) | 一种电子文档防泄密***及实现方法 | |
| CN102254117B (zh) | 一种基于虚拟化技术的数据防泄密*** | |
| CN103020493B (zh) | 一种防拷贝的软件保护与运行装置及方法 | |
| CN102043927B (zh) | 一种用于计算机***的数据泄密防护方法 | |
| CN101819612B (zh) | 具有分区的通用内容控制 | |
| CN100378689C (zh) | 一种计算机数据的加密保护及读写控制方法 | |
| CN101923678A (zh) | 一种企业管理软件的数据安全保护方法 | |
| TW200541289A (en) | Application-based data encryption system and method thereof | |
| CN103955654A (zh) | 基于虚拟文件***的u盘安全存储方法 | |
| CN102214283B (zh) | 一种基于虚拟磁盘的文件保护***和方法 | |
| CN101477676A (zh) | 保护回放内容 | |
| CN1952914A (zh) | 一种带日志强审计的加密u盘*** | |
| CN102918539A (zh) | 用于保护重放内容的方法和装置 | |
| CN101604369A (zh) | 信息隐藏方法以及信息隐藏装置 | |
| CN103218575A (zh) | 一种主机文件安全监控方法 | |
| CN103678959A (zh) | 一种基于移动存储设备的数据保护方法 | |
| CN102129540A (zh) | 文件动态透明加密解密方法 | |
| CN103488954A (zh) | 一种文件加密*** | |
| CN101763225A (zh) | 一种保护虚拟磁盘文件的***及方法 | |
| CN104778954B (zh) | 一种光盘分区加密方法及*** | |
| CN102930223A (zh) | 一种磁盘数据保护方法和*** | |
| CN106682521A (zh) | 基于驱动层的文件透明加解密***及方法 | |
| CN102460456A (zh) | 用于内容的适应性保护的存储器器件和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100901 |