本发明专利技术涉及一种可不区分文件类型的透明文件加密方法,包括如下步骤:判断文件打开方式来决定是否涉密:如果文件被涉密进程打开时,是“读写”或者“写”打开的,则作为涉密文件,并在文件上附加是否已经加密的标记;而如果是读打开的,则不作为涉密文件;在访问控制层中,判定访问文件的进程并作出判定:当涉密进程读涉密文件时,将该涉密文件设定为需解密文件;当涉密进程写涉密文件时,设定为需加密文件;当非涉密进程读写涉密文件阿或非涉密文件时,将该涉密文件设定为不解密文件。本发明专利技术有益的效果是:无需再进行繁琐的扩展文件名的判定,只需绑定特定的进程,就可以保证该进程所有写入的敏感文件加密,而又不影响该进程的正常的运行。
【技术实现步骤摘要】
本专利技术主要涉及信息安全领域,主要是一种可不区分文件类型的透明文件加密方法,是一个为了防止信息未经授权被拷贝出安全的计算机系统环境的自动防护加密方法。
技术介绍
信息加密技术,经历了传统的加密技术和透明加密技术两个阶段。传统的加密技术,是人为的主动的加密。比如RAR带密码压缩、采用Windows操作系统的NTFS文件系统并做EFS加密、采用加密目录、加密硬盘、加密文件夹等方式,都是需要操作者自己去操作加密的。这类加密方法可以有效防止手提丢失、硬盘丢失等数据丢失和被偷窃的情况,但是传统意义上的加密技术有以下几个缺点:1)无法防止内部人员主动泄密。2)需要手工进行加密操作,会改变原有的操作流程,降低工作效率。透明文件加密技术,是为了防止信息未经授权被拷贝出安全的计算机系统环境,将文档自动进行加密的技术。透明文件加密系统不改变应用业务流程、不改变操作流程,计算机系统某些敏感程序生成的特定类型的即可文档保存为加密文档,系统使用者无权将文档解密或者拷贝出特定的环境使用的一种系统。传统的透明文件系统必须设定特定的加密程序和特定的加密类型,即:需要定义操作系统中,哪些进程编辑的哪些类型的文档是需要加密的,例如,我们可以定义PhotoShop.exe进程(Adobe公司的图像处理软件)所保存出来的.psd扩展名的文件是需要加密的,我们称PhotoShop.exe为涉密进程,“.psd”为涉密类型,除了涉密进程以外的在系统中运行的程序,都称为非涉密进程。传统的透明文件加密系统无法将所有文件类型作为涉密类型,因为一旦将所有类型作为涉密类型,涉密程序比如微软的文字编辑系统WinWord.exe等自身可执行文件使用的动态库和修饰图片等就会被加密,而这些被加密的动态库仅仅用于WinWord.exe的话,即使被加密也是可行的,问题是大部分.DLL都是与其它程序共享的,我们无法将所有.DLL加密而保证其它非涉密系统也可以运行。那么如果将.DLL等类型非涉密类型,而将-->其余所有类型都作为涉密类型,又很容易造成系统存在较为明显的漏洞。因此,传统的透明文件加密系统存在以下漏洞:1)需要判定文档的类型系统操作者,从系统外部,通过网络或者U盘拷贝一个空的非涉密类型的文档,在涉密系统中依旧可以编辑出明文,例如拷贝一个扩展名是.dll的Word文档到运行透明加密系统的机器中,那么他编辑保存后的文件依旧是不会被加密的,这样的文件,可以接着.dll扩展名被通过网络或者U盘被以明文的形式拷贝出去。2)保存为设定类型以外的类型就无法加密。在系统保存时候,将文件名使用“”括号括起来,就可以保存出任意的扩展名,这些涉密程序保存出来的没有预先定义类型的文件,因此在传统的透明文件加密系统中,是无法被加密的。上述的两个漏洞,可以通过限制改名等措施来制约,但是所有的措施都是透明文件加密是“基于针对特定类型的文档加密”这个薄弱环节造成的,本专利技术针对这个问题,提出了一个可不区分文件类型的透明文件加密系统解决方案。
技术实现思路
本专利技术的目的在于克服传统透明文件加密系统的本质弱点,即需要绑定特定的文件类型决定是否需要加密,进而造成该类系统的本质无法避免的漏洞问题,进而影响该类系统在安全保密要求较高的单位的推广,而提供一种可不区分文件类型的透明文件加密方法,应用本方法,可彻底解决文件改名等与扩展名限制有关的问题。通过应用程序识别等辅助手段,就可构筑一个更加严密的应用透明加密系统。本专利技术解决其技术问题采用的技术方案:这种可不区分文件类型的透明文件加密方法,该方法包括如下步骤:(1)、判断文件打开方式来决定是否涉密:如果一个文件被涉密进程打开的时候,是“读写”或者“写”打开的,则直接作为涉密文件,并在文件上附加是否已经加密的标记;而如果是读打开的,则不作为涉密文件;(2)、在访问控制层中,判定访问文件的进程,并作出如下判定:(1.1)当涉密进程读涉密文件时,将该涉密文件设定为需解密文件,对需解密文件进行解密,进而使涉密进程得到涉密文件的明文;1.2)当涉密进程写涉密文件时,将该涉密文件设定为需加密文件;1.3)当非涉密进程读写涉密文件时,将该涉密文件设定为不解密文件;1.4)当非涉密进程读写非涉密文件时,将该非涉密文件设定为-->不解密文件。本专利技术有益的效果是:1)无需再进行繁琐的扩展文件名的判定。2)只需绑定特定的进程,就可以保证该进程所有写入的敏感文件加密,而又不影响该进程的正常的运行。3)彻底解决了文件名判定中存在的系统漏洞问题。附图说明图1是本专利技术中可不区分文件类型的透明文件加密系统架构示意图;图2是本专利技术中可不区分文件类型的透明文件加密驱动示意图;图3是本专利技术中文件加密标记格式示意图;图4是本专利技术中判断是否涉密文件的工作流程示意图;图5是本专利技术中涉密程序运行控制管理流程示意图。具体实施方式下面结合附图和实施例对本专利技术作进一步说明:透明文件加密系统的架构如图1,加密系统由加密客户端程序、加密文件驱动程序、服务器程序、授权控制台等部分组成。在授权范围电脑内,都安装透明文件加密的驱动和客户端,有了这些驱动和客户端,经过授权的组内电脑,都可以无需任何的业务流程改变,就可以访问组内的文档,也可以在组内通过邮件、QQ传送的方式传送文档,这些文档其实都是经过加密的,但是组内访问者,都可以直接进行访问,因为在打开的同时,经过了解密,应用程序可以直接访问到明文。透明文件加密系统的驱动所处的位置,如图2所示,透明文件加密系统包括访问控制层和透明文件加密系统驱动,他们在具体实现的时候,可以做到一个文件驱动中。以下从核心实现、涉密进程的防伪和控制、网络发送控制、不同操作系统间数据流转等几个部分来进行详细的说明。核心实现:一种可不区分文件类型的透明文件加密系统实施关键点是:抛弃原有的使用扩展名判定文件是否涉密类型的方式,采用判断是“读”打开还是“读写”或者“写”打开的方式,判定一个文件是否涉密。基本判定原则是:在访问控制层中,获取文件控制句柄或者访问控制-->块中的相关信息,如果一个文件被涉密进程打开的时候,是“读写”或者“写”打开的,则直接作为涉密文件,并在文件上附加是否已经加密的标记;而如果是读打开的,则不作为涉密文件。但是如果是操作系统关键文件,比如操作系统一直打开的日志文件等,则还是作为非涉密文件,在Windows Xp操作系统中,这类文档包括“software.LOG”等。如图2所示,当一个上层的应用,调用文件读写等操作时都必须经过访问控制层,在访问控制层中,判定访问文件的进程,并作出如下判定:(1.1)当涉密进程读涉密文件时,将该涉密文件设定为需解密文件,对需解密文件进行解密,进而使涉密进程得到涉密文件的明文;1.2)当涉密进程写涉密文件时,将该涉密文件设定为需加密文件;1.3)当非涉密进程读写涉密文件时,将该涉密文件设定为不解密文件;1.4)当非涉密进程读写非涉密文件时,将该非涉密文件设定为不解密文件。涉密文件在写入文件或者关闭文件或者清除文件等过程时,如果判定未加上文件的涉密的标记,则在文件中的固定位置,或者文件的尾部,加上一个文件加密标记,文件加密标记中,主要有文件加密标记、加密信息、分级别授权信息等内容;具体一种可能的标记标注方式见图3。文件内容在写入以前就本文档来自技高网...
【技术保护点】
一种可不区分文件类型的透明文件加密方法,其特征在于:该方法包括如下步骤: (1)、判断文件打开方式来决定是否涉密:如果一个文件被涉密进程打开的时候,是“读写”或者“写”打开的,则直接作为涉密文件,并在文件上附加是否已经加密的标记;而如 果是读打开的,则不作为涉密文件; (2)、在访问控制层中,判定访问文件的进程,并作出如下判定:(1.1)当涉密进程读涉密文件时,将该涉密文件设定为需解密文件,对需解密文件进行解密,进而使涉密进程得到涉密文件的明文;1.2)当涉密进程写 涉密文件时,将该涉密文件设定为需加密文件;1.3)当非涉密进程读写涉密文件时,将该涉密文件设定为不解密文件;1.4)当非涉密进程读写非涉密文件时,将该非涉密文件设定为不解密文件。
【技术特征摘要】
1、一种可不区分文件类型的透明文件加密方法,其特征在于:该方法包括如下步骤:(1)、判断文件打开方式来决定是否涉密:如果一个文件被涉密进程打开的时候,是“读写”或者“写”打开的,则直接作为涉密文件,并在文件上附加是否已经加密的标记;而如果是读打开的,则不作为涉密文件;(2)、在访问控制层中,判定访问文件的进程,并作出如下判定:(1.1)当涉密进程读涉密文件时,将该涉密文件设定为需解密文件,对需解密文件进行解密,进而使涉密进程得到涉密文件的明文;1.2)当涉密进程写涉密文件时,将该涉密文件设定为需加密文件;1.3)当非涉密进程读写涉密文件时,将该涉密文件设定为不解密文件;1.4)当非涉密进程读写非涉密文件时,将该非涉密文件设定为不解密文件。2、根据权利要求1所述的可不区分文件类型的透明文件加密方法,其特征是:涉密文件在进行写入文件、关闭文件、清除文件、设置文件信息过程操作时,如果判定未加上文件的加密的标记,则在文件中的固定位置,或者文件的尾部,加上一个文件加密标记。3、根据权利要求2所述的可不区分文件类型的透明文件加密方法,其特征是:当加密标记做到尾部的时候,如果应用程序读取到文件信息,将文件长度信息,减掉尾部的信息,使应用程序得到虚假的长度信息;如果应用程序读取或...
【专利技术属性】
技术研发人员:戴坚锋,方燕川,洪鹏,王伟,
申请(专利权)人:杭州正隆数码科技有限公司,
类型:发明
国别省市:86[中国|杭州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。