[发明专利]基于域的文件加密防护方法

说明书

技术领域

本发明涉及信息安全技术领域的文件加密防护方法，主要用于解决区域内的文件共享存储安全问题。

背景技术

随着信息化水平的提高，网络无纸化办公日渐盛行，电子文档在线流转在给人们带来便利的同时也给电子文档带来了安全隐患，员工拷贝传播涉密的电子文档，通过网络上传涉密电子文档信息等，如何控制涉密文档在区域内自由流转，同时防范电子文档扩大范围传播已经成为公司亟待解决的问题。

在部分涉密单位或者大型企业中，建设了统一文档防护服务器和CA认证中心，对公司员工统一发放U盾或文件证书，对涉密文件加密传输、加密存储、权限控制。这种方式能够解决电子文档的安全性问题，但同时存在一些问题，部署统一文档防护服务器和CA认证中心，成本较高，文档交互涉及认证，对CA认证中心依赖程度较高。

发明内容

针对现有技术的不足，本发明提出的是一种基于域的电子文档加密方法，对域内所有涉密电子文档进行加密，实现涉密文档加密存储、域内涉密文件透明流转，涉密文件拷贝到域外或上传到互联网无法解析：

1)对称密钥库生成，生成256行256列的密钥碎片表，每单元存放4字节的密钥碎片。

2)对称密钥库加密，对密钥库用服务端私钥加密并生成密钥库校验信息。对称密钥库加密传输，用户需要更新对称密钥库时，对密钥库用用户密码对称加密后传输。

3)文档透明加解密，文档加密时自动生成加密密钥编码，解密时根据加密密钥编码提取加密密钥对文档解密。

本发明的技术方案是提供一种基于域的文件加密防护方法，其特征在于，其加密文件的过程包括以下步骤：

1）管理员设定域共有的一对公钥和私钥，该公钥存储于客户端；

2）服务端随机生成对称加密密钥，并利用私钥进行对称加密后存储于服务端的对称加密密钥库；

3）用户在客户端登录服务器，并下载服务端的对称加密密钥，然后利用公钥对其进行解密；

4）客户端的文件驱动层自动调用加密模块随机生成文件加密密钥编码，然后利用该文件加密密钥编码对文件进行加密运算；

5）利用下载的对称加密密钥对该文件加密密钥编码进行加密运算后生成加密密钥信息，并生成包括该加密密钥信息的加密头文件信息；

6）将加密头文件信息添加到加密后的文件中，即生成加密文件；

其解密文件的过程包括： 

7）客户端的文件驱动层自动调用解密模块，解密模块提取加密文件对应的加密头文件信息后，提取其中的加密密钥信息；

8）利用下载的对称加密密钥对加密密钥信息进行解密运算，获得加密密钥编码；

9）利用该加密密钥编码对文件进行解密运算，获得解密后的文件。

优选的，所述对称加密密钥由256行256列密钥碎片组成。

优选的，所述步骤3）中，用户以用户名加密码的方式登录客户端；所述对称加密密钥在从服务端下载到客户端前先通过用户登录客户端的密码进行加密，所述对称加密密钥在从服务端下载到客户端后先通过用户登录客户端的密码进行解密。

优选的，所述步骤3）中，用户下载所述对称加密密钥时，需进行短信码验证。

优选的，所述步骤3）中，用户下载的所述对称加密密钥存储于客户端。

优选的，所述对称加密密钥库定期更新，每次更新后其中的对称加密密钥都有相应的版本号。

优选的，所述步骤3）中，下载的对称加密密钥为最新版本的对称加密密钥。

优选的，所述加密头文件信息还包括对称加密密钥的版本信息。

优选的，所述步骤8）中的对称加密密钥为之前从服务器下载的并存储于客户端的对称加密密钥；如果客户端没有存储所述对称加密密钥或者该对称加密密钥的版本与加密文件的对称加密密钥的版本不一致，则用户需要在客户端登录服务器，并从服务端下载与加密文件的对称加密密钥的版本一致的对称加密密钥，然后利用公钥对其进行解密。

本发明的进一步方案可以是：客户端通过B/S的方式登录文件加密服务器。

本发明的进一步方案可以是：文件加密服务器生成M行N列对称密钥库。

本发明的进一步方案可以是：文件加密服务器增加密钥库校验信息。

本发明的进一步方案可以是：客户端文件创建、读、写、修改、删除全生命周期监控。

本发明的进一步方案可以是：客户端U盘拷贝，文件上传等泄密行为监控。

本发明的进一步方案可以是：文件外发审计，外发文件自定义加密。

本发明可以实现以下应用效果：