本发明专利技术公开了一种基于时间期限控制的文件加解密方法,通过对数据文件进行散列转换,对存储层密钥、数据文件到期时间、数据文件销毁策略进行散列转换,实现了双重散列转换,保证数据文件的防篡改性,加强数据文件的安全。在加密解密过程中,引入数据文件时间期限的控制机制,实现对加密数据文件的使用时间的控制,避免具有加密数据文件浏览权限的人员永远拥有此数据文件的权利。检测到数据文件使用时间已到期,自动调用销毁策略将数据文件销毁。销毁过程中无需用户介入,减少因人为原因造成的漏删、误删等风险,可靠性高,使用方便。
【技术实现步骤摘要】
一种基于时间期限控制的数据文件加解密方法
本专利技术提供一种基于时间期限控制的数据文件加解密方法,属于信息安全中的数据加密技术。
技术介绍
随着互联网时代的来临,企业全面信息化时代也随之到来,人们越来越多地借助以计算机、互联网等先进技术,将企业的经营及管理流程在线实现,所有业务数据经由系统处理,快速形成管理层所需商业智能,以KPI(关键绩效指标)、图表以及可追溯的报表形式呈现,以及各类技术方案的交流也是以文档的方式进行。这些图表、报表、文档等都是以数据文件的形式存储在计算机或各类相关存储设备中。因此这些数据文件就成为企业信息的主要存储方式及企业内、外部之间进行信息交换的重要载体。对于一个企业来说,一般都积累了很多重要的数据文件,比如说财务报表、技术档案、公司内部文件等,公司不希望这些数据文件离开企业的网络环境,甚至不允许在企业网络内部传递与交流。但是作为今天的企业,不能拒绝互联网的交互,不能将公司封闭在一个信息孤岛中。许多企业,例如:会计事务所、学校、政府、金融机构、高科技研究所等企事业单位,必需通过使用网络来协同工作,进行现代化办公。但使用者在这样的环境下,在随意上传下载和发行网络中的数据文件的同时,可能会无意中把企业的许多包含重要信息的数据文件扩散到网络外部,从而导致企业重要的知识产权受到严重侵害。知识产权的保护仅仅依靠法律和行政手段是不够的,使用必要的技术手段对文档进行加密,实现安全管理,从技术上杜绝机密信息的泄漏,才是解决问题的根本办法,才能防患于未然。因此如何保护数据文件的安全问题,作为信息安全领域的一个重要内容,越来越受到重视。对于企业中重要数据文件的保护,安全厂商提供了整套的安全解决方案,数据文件加密就是其中很重要的一个环节。对于数据文件加密,目前主要存在2种加密体制:对称加密、非对称加密。对称加密指加密和解密使用相同密钥的加密算法。在大多数的对称算法中,加密密钥和解密密钥是相同的。它要求发送方和接收方在安全通信前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的数据文件解密,所以密钥的保密性对通信性至关重要。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高,并且可以对不定长度的数据文件加密。其不足之处是,收发双方都使用同样密钥,安全性得不到保证。非对称加密算法需要两个密钥:公开密钥和私有密钥。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。非对称密码体制的特点:算法强度复杂,非对称密钥体制有两种密钥,安全性提高,由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快,加密大文件时效率低。对于互联网时代,云计算的应用范围越来越广泛,数据文件类型具有多样性的特点,而且数据文件也越来越大,在这种情况下,完全使用对称加密存在着安全性不高的隐患,而完全采用非对称加密又导致加密效率不高。针对这种情况,目前有研究提出用对称加密算法加密数据文件,然后用非对称加密算法加密对称密钥的混合加密方法。例如,在专利“一种基于文件属性的密钥加密方法”(申请号:201210090277.9)中,其提出的方法是:根据用户文件生成属性集合、访问结构树、主密钥和公钥,随机生成对称密钥,使用对称密钥和对称加密算法加密用户文件,以得到数据密文,使用公钥和访问结构树加密对称密钥,以生成密钥密文,使用主密钥和属性集合生成与属性集合相关联的私钥,将密钥密文和数据密文发送给服务器存储,用户从服务器获取密钥密文和数据密文,用户用私钥解密密钥密文,以判断与私钥相关联的属性集合是否满足访问结构树,若满足则解密对称密钥,用户使用对称密钥解密数据密文,以得到明文数据。本专利技术通过对称加密算法加密数据,并基于属性加密来保护对称密钥的安全,实现了加密数据的高效安全访问。在实际应用中,一旦将数据文件分发出去后,接受方往往永远拥有此文档的所有权,随时可以使用这些数据文件,发送方无法对数据文件使用时间加以控制,这种情况非常不利于加密数据文件的安全,因此,控制数据文件的使用时间是文档安全管理重要的一部分,很有必要实现数据文件时间到期后的失效,例如员工离职后,文件使用到期,即使拥有此文件也不能用,或者是与合作伙伴协同工作完成后,合作伙伴无法将原有的数据文件用于其他项目。上述专利提出的方法中没有解决加密数据文件的时间期限控制问题,以及加密数据文件到期后的销毁问题,这样过期的数据文件会在存储介质中永久保存,对用户数据的安全存在着较大的隐患。
技术实现思路
针对上述的数据文件安全隐患,本专利技术提出了一种基于时间期限控制的文件加解密方法,用以解决加密数据文件的时间期限控制及过期销毁问题,进一步提高了加密数据文件的安全性。本专利技术技术方案如下:一种基于时间期限控制的数据文件加解密方法,包括:数据文件加密方法,其加密流程步骤为:(1)读取需要加密数据文件,采用Hash函数将其进行散列转换,得到数据文件哈希值。(2)此数据文件与其对应的哈希值合并成存储层数据。(3)通过伪随机数产生函数,随机产生一个字节数组,把该字节数组作为存储层密钥,使用对称加密算法加密存储层数据。(4)产生一个时间类型变量,用来保存用户设置的该数据文件使用的到期时间。(5)产生一个字符串类型变量,用来保存文件销毁标志,称为数据文件销毁策略。根据数据文件安全程度的高低,对于数据文件分为三种销毁方式:一次随机序列覆盖、三次覆盖和七次随机序列覆盖。(6)利用Hash函数对存储层密钥、数据文件到期时间、数据文件销毁策略进行散列转换,得到控制参数哈希值。(7)将存储层密钥、数据文件到期时间、数据文件销毁策略与控制参数哈希值合并,形成控制层数据。(8)根据用户提供的私钥,使用非对称加密算法加密控制层数据。(9)加密后的存储层数据和控制层数据合并后,形成持久层数据。(10)将持久层数据写入文件系统,数据文件加密完成。数据文件解密方法,其解密流程步骤为:(1)读取需解密的数据文件,即为持久层数据。(2)从持久层数据中获取加密控制层数据和加密存储层数据。(3)通过用户提供的公钥,使用非对称加密算法解密控制层数据。(4)对于控制层数据中的存储层密钥、数据文件到期时间、数据文件销毁策略,利用Hash函数对其进行散列转换,得到校验控制参数哈希值。(5)比较校验控制参数哈希值和控制层数据中的控制参数哈希值,若两者不同,表明控制层数据可能被篡改,终止整个的数据文件解密过程;若两者相同,表明控制层数据正常,没有被篡改,继续进行后面的处理。(6)判断控制层数据中的数据文件到期时间是否大于当前时间。若不大于,说明该数据文件使用时间已到期,根据数据文件销毁策略,调用相应的方式将该数据文件销毁;若大于,说明该数据文件还可以使用。其中,根据数据文件安全程度的高低,对于数据文件分为三种销毁方式:一次随机序列覆盖、三次覆盖和七次随机序列覆盖。(7)通过控本文档来自技高网...
【技术保护点】
一种基于时间期限控制的数据文件加密方法,其特征在于,通过对数据文件进行散列转换,而且对存储层密钥、数据文件到期时间、数据文件销毁策略进行散列转换,实现双重散列转换;使用对称加密算法加密存储层数据,使用非对称加密算法加密控制层数据。
【技术特征摘要】
1.一种基于时间期限控制的数据文件加密方法,通过对数据文件进行散列转换,而且对存储层密钥、数据文件到期时间、数据文件销毁策略进行散列转换,实现双重散列转换;使用对称加密算法加密存储层数据,使用非对称加密算法加密控制层数据;其特征在于,具体实现步骤为:步骤一、读取需要加密数据文件,采用Hash函数将其进行散列转换,得到数据文件哈希值;步骤二、此数据文件与其对应的哈希值合并成存储层数据;步骤三、通过伪随机数产生函数,随机产生一个字节数组,把该字节数组作为存储层密钥,使用对称加密算法加密存储层数据;步骤四、产生一个时间类型变量,用来保存用户设置的该数据文件使用的到期时间;步骤五、产生一个字符串类型变量,用来保存文件销毁标志,称为数据文件销毁策略;步骤六、利用Hash函数对存储层密钥、数据文件到期时间、数据文件销毁策略进行散列转换,得到控制参数哈希值;步骤七、将存储层密钥、数据文件到期时间、数据文件销毁策略与控制参数哈希值合并,形成控制层数据;步骤八、根据用户提供的私钥,使用非对称加密算法加密控制层数据;步骤九、加密后的存储层数据和控制层数据合并后,形成持久层数据;步骤十、将持久层数据写入文件系统,数据文件加密完成。2.根据权利要求1所述的数据文件加密方法,其特征在于:在步骤一中,使用消息摘要算法第五版(Message-DigestAlgorithm5)对数据文件进行散列转换。3.根据权利要求1所述的数据文件加密方法,其特征在于:在步骤三中,调用伪随机数产生函数,产生一个长度为32的随机数组,数组中每个元素为0到255之间的整数,在其值域上的概率分布为均匀分布;将该随机数组作为存储层密钥,使用Rijndael算法对存储层数据进行加密。4.根据权利要求1所述的数据文件加密方法,其特征在于:在步骤五中,根据数据文件安全程度的高低,对于数据文件分为三种销毁方式:一次随机序列覆盖、三次覆盖和七次随机序列覆盖。5.根据权利要求4所述的数据文件加密方法,其特征在于:由用户设置数据文件使用到期时间和销毁策略,其中数据文件到期时间为Datetime类型且不得小于当前时间;销毁策略标识为字符串...
【专利技术属性】
技术研发人员:谢志超,傅晓,庄剑锋,
申请(专利权)人:焦点科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。