[发明专利]一种基于安全目录的多设备文件保护方法和装置

摘要

本发明公布了一种高效的基于安全目录的多设备文件保护方法与装置，包括设备管理模块、文件夹监视器和文件保护模块；使用自定义的用户ticket对用户进行验证，能够在保证用户密码的安全性情况下正确验证用户的身份；自定义一种新文件格式，将原始敏感文件封装在统一格式文件内，使得任意格式的文件都能在该装置下被加密保护；通过将设备信息作为设备密钥一部分的方式，为用户提供高效便携的跨设备文件保护支持；通过文件监视器持续和实时检测用户行为而进行文件保护；本发明能够为用户提供安全透明的敏感文件保护，自动探测用户行为实时自动保护文件，还能够为用户提供高效便携的跨设备文件保护支持。

主权项

1.一种基于安全目录的多设备文件保护方法，通过创建设备管理模块、文件夹监视器和文件保护模块，定义统一的安全文件结构和创建安全目录，使得任意格式的文件都能够按照所述安全文件结构被封装，再基于安全目录，实现多设备共享文件保护；包括如下步骤：A)通过设备管理模块管理多设备信息，包括管理设备信息表、生成设备密钥、生成设备验证码和返回设备密钥；B)通过文件保护模块，定义统一的安全文件结构，将原文件按照所述安全文件结构重新封装，生成新文件为安全结构文件；具体包括B1)～B2)：B1)生成文件加密密钥：文件保护模块使用每一个设备密钥遍历加密文件内容密钥CEK，生成与相应授权设备绑定的文件密钥密文项，使用系统密钥产生密钥认证码，进而生成受保护文件的文件密钥密文项，内容包括设备密钥数量、与各设备绑定的文件密钥密文和对应的设备验证码；B2)生成安全结构文件：文件保护模块在接收到文件密钥之后，对敏感文件的内容信息进行加密，并将文件密钥和原始文件名信息作为文件头，封装为安全文件结构；所述安全文件结构包括文件头和文件内容；文件内容为原文件加密后的密文；文件头包括文件总长度、文件名长度、用于防止文本猜测攻击的随机盐R、文件密钥密文、初始文件的消息认证码、初始文件长度和文件头的消息摘要；所述文件密钥密文包括密文总长度、密文信息总项数、文件密钥密文信息和密钥认证码；所述密文总长度记录文件密钥密文的总长度；所述密文信息总项数记录与各授权设备绑定的密文信息总数一致；所述密钥认证码由公式产生，用于验证文件解密过程中设备恢复的文件密钥的正确性；C)通过安全目录存储敏感文件，授权用户可进入安全目录进行文件操作；D)当用户进入安全目录进行文件操作时，通过调用文件夹监视器的内部函数，实时监控安全目录中的用户行为；再基于安全目录，进行多设备共享文件保护；包括D1)～D5)：D1)当用户进行文件编辑操作时，文件夹监视器检测到用户操作，对文件保护模块发出对文件实施解密以供用户使用的请求；D2)文件保护模块接收到文件夹监视器发送的文件操作请求后，首先验证请求打开文件的完整性；再生成设备解密密钥，发送给设备管理模块；D3)设备管理模块获取设备的硬件信息Dev_info，使用系统密钥K_s和随机盐R产生该设备的设备密钥K_D＝G^a({Dev_info,R,K_s})，G^a为加密函数；同时生成设备的硬件信息Dev_info的单向Hash值，一并发送给文件保护模块；D4)文件保护模块生成文件解密密钥并检验完整性：首先识别文件密钥密文项中的信息与当前设备是否匹配；对于匹配的文件密钥密文信息项，获取文件内容密钥CEK进行检验；D5)文件保护模块恢复被保护文件：文件保护模块使用文件内容密钥CEK对被保护的文件进行解密，并恢复为原始文件，供用户使用。