专利名称:用于文件系统的加密方法及装置的制作方法
技术领域:
本发明涉及计算机技术领域,特别涉及一种用于文件系统的加密方法及装置。
背景技术:
随着互联网及计算机技术的快速发展,信息安全越来越受到人们的关注,特别是作为信息安全的基础,操作系统的安全显得更加重要,其中操作系统中的文件系统直接维护信息系统中的敏感数据和文件,其安全性尤为突出。现有文件数据保护技术可以分为两类在块层次对整个磁盘进行加密、在文件层次对文件的数据进行加密。块层次的加密方法需要对所有磁盘的数据加密,其缺点是加密数据量大,性能低。而当前的文件层次加密方法中,要么没有考虑密钥管理,要么需要非常 复杂的密钥管理,同时也对整个系统的性能产生很大的影响。
发明内容
本发明的目的旨在至少解决上述技术缺陷之一。为达到上述目的,本发明一方面的实施例提出一种用于文件系统的加密方法,包括以下步骤S1,初始化eKey加解密模块;S2,当所述文件系统被写入文件数据时根据加密接口将所述文件数据的信息传送至所述eKey加解密模块;S3,所述eKey加解密模块根据所述文件数据的信息生成密钥;以及S4,所述eKey加解密模块根据所述密钥对所述文件数据加密。根据本发明实施例的用于文件系统的加密方法,在文件系统写入文件时通过eKey加解密模块对文件数据进行加密,一方面实现从文件粒度对文件数据加密,另一方面通过eKey加解密模块对文件系统的文件数据进行加密,由于eKey加解密模块可以是外置的硬件设备,提高了文件系统的安全性和可靠性,对系统的性能影响小,并且密钥管理非常简单。在本发明的一个实施例中,所述文件数据的信息包括文件绝对路径、数据存放地址、当前硬盘标识和数据长度。在本发明的一个实施例中,所述步骤S3具体包括所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识生成密钥,并将所述密钥存储在所述eKey加解密模块中。在本发明的一个实施例中,还包括步骤S5,当所述文件系统接收到所述文件数据的读取信息时根据解密接口将所述文件数据的信息传送至所述eKey加解密模块;S6,所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识查找以获得所述文件数据对应的所述密钥;以及S7,所述eKey加解密模块根据所述密钥对所述文件数据解密。在本发明的一个实施例中,所述密钥以哈希表的形式存储。为达到上述目的,本发明另一方面的实施例提出一种用于文件系统的加密装置,包括初始化模块,用于初始化eKey加解密模块;第一传送模块,用于当所述文件系统被写入文件数据时根据加密接口将所述文件数据的信息传送至所述eKey加解密模块;密钥生成模块,用于所述eKey加解密模块根据所述文件数据的信息生成密钥;以及加密模块,用于所述eKey加解密模块根据所述密钥对所述文件数据加密。根据本发明实施例的文件系统的加密装置,一方面实现从文件粒度对文件数据加密,另一方面通过eKey加解密模块对文件系统的文件数据进行加密,由于eKey加解密模块可以是外置的硬件设备,提高了文件系统的安全性和可靠性,对系统的性能影响小,并且密
钥管理非常简单。在本发明的一个实施例中,所述文件数据的信息包括文件绝对路径、数据存放地址、当前硬盘标识和数据长度。在本发明的一个实施例中,所述密钥生成模块具体用于所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识生成密钥,并将所述密钥存储在所述eKey加解 密模块中。在本发明的一个实施例中,还包括第二传送模块,用于当所述文件系统接收到所述文件数据的读取信息时根据解密接口将所述文件数据的信息传送至所述eKey加解密模块;密钥查找模块,用于所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识查找以获得所述文件数据对应的所述密钥;以及解密模块,用于所述eKey加解密模块根据所述密钥对所述文件数据解密。在本发明的一个实施例中,所述密钥以哈希表的形式存储。本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中图I为本发明一个实施例的用于文件系统的加密方法的流程图;图2为本发明另一个实施例的用于文件系统的加密方法的流程图;以及图3为本发明一个实施例的用于文件系统的加密装置的结构示意图。
具体实施例方式下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。图I为本发明一个实施例的用于文件系统的加密方法的流程图。如图I所示,根据本发明实施例的用于文件系统的加密方法,包括下述步骤步骤SlOl,初始化eKey加解密模块。具体地,eKey加解密模块可以为外置的硬件设备中,例如,eKey加解密模块可以具有加解密功能的U盘或移动硬盘,通过U盘或移动硬盘的USB等接口连接到计算机等运行文件系统的设备。步骤S102,当文件系统被写入文件数据时根据加密接口将文件数据的信息传送至eKey加解密模块。在本发明的一个实施例中,文件数据的信息包括文件绝对路径、数据存放地址、当前硬盘标识和数据长度。其中,加密接口可以插入在文件系统提供给上层应用程序的同一接口中,例如,在Linux操作系统中加密接口插入在虚拟文件系统的文件写入函数中,这样当文件系统被写入数据时可以根据所写入的文件数据的信息调用加密接口将文件数据的信息传送至eKey加解密模块。步骤S103,eKey加解密模块根据文件数据的信息生成密钥。 具体地,eKey加解密模块根据文件绝对路径和当前硬盘标识生成密钥,并将密钥存储在eKey加解密模块中,其中密钥以哈希表的形式存储。步骤S104,eKey加解密模块根据密钥对文件数据加密。其中,eKey加解密模块中预先存储有加密算法,可以通过调用加密算法对文件数据进行加密。根据本发明实施例的用于文件系统的加密方法,一方面实现从文件粒度对文件数据加密,另一方面通过eKey加解密模块对文件系统的文件数据进行加密,由于eKey加解密模块可以是外置的硬件设备,提高了文件系统的安全性和可靠性,对系统的性能影响小,并且密钥管理非常简单。图2为本发明另一个实施例的用于文件系统的加密方法的流程图。如图2所示,根据本发明实施例的用于文件系统的加密算法,包括下述步骤步骤S201,初始化eKey加解密模块。步骤S202,当文件系统被写入文件数据时根据加密接口将文件数据的信息传送至eKey加解密模块。步骤S203,eKey加解密模块根据文件数据的信息生成密钥。步骤S204,eKey加解密模块根据密钥对文件数据加密。步骤S205,当文件系统接收到文件数据的读取信息时根据解密接口将文件数据的信息传送至eKey加解密模块。其中,解密接口可以插入在文件系统提供给上层应用程序的同一接口中,例如,在Linux操作系统中解密接口插入在虚拟文件系统的文件写入函数中,这样当文件系统接收到文件数据的读取信息时可以根据文件数据的信息调用加密接口将文件数据的信息传送至eKey加解密模块。步骤S206,eKey加解密模块根据文件绝对路径和当前硬盘标识查找以获得文件数据对应的密钥。步骤S207,eKey加解密模块根据密钥对文件数据解密。其中,eKey加解密模块中预先存储有解密算法,可以通过调用解密算法对文件数据进行解密。根据本发明实施例的用于文件系统的加密方法,在文件系统读取文件时通过eKey加解密模块以及在该文件写入时生成的密钥对文件数据进行解密,进一步提高了文件系统的安全性和可靠性。为了实现上述实施例,本发明另一方面还提出一种用于文件系统的加密装置。图3为本发明一个实施例的用于文件系统的加密装置的结构示意图,如图3所示,根据本发明实施例的用于文件系统的加密装置包括初始化模块100、第一传送模块200、密钥生成模块300、加密模块400、第二传送模块500、密钥查找模块600和解密模块700。
具体地,初始化模块100用于初始化eKey加解密模块,其中eKey加解密模块可以为外置的硬件设备中,例如,eKey加解密模块可以具有加解密功能的U盘或移动硬盘,通过U盘或移动硬盘的USB等接口连接到计算机等运行文件系统的设备。第一传送模块200用于当文件系统被写入文件数据时根据加密接口将文件数据的信息传送至eKey加解密模块,其中,加密接口可以插入在文件系统提供给上层应用程序的同一接口中,例如,在Linux操作系统中加密接口插入在虚拟文件系统的文件写入函数中,这样当文件系统被写入数据时可以根据所写入的文件数据的信息调用加密接口将文件数据的信息传送至eKey加解密模块。在本发明的一个实施例中,文件数据的信息包括文件绝对路径、数据存放地址、当前硬盘标识和数据长度。密钥生成模块300用于eKey加解密模块根据文件数据的信息生成密钥。具体地,eKey加解密模块根据文件绝对路径和当前硬盘标识生成密钥,并将密钥存储在eKey加解密模块中,其中密钥以哈希表的形式存储。 加密模块400用于eKey加解密模块根据密钥对文件数据加密。其中,eKey加解密模块中预先存储有加密算法,可以通过调用加密算法对文件数据进行加密。第二传送模块500用于当文件系统接收到文件数据的读取信息时根据解密接口将文件数据的信息传送至eKey加解密模块,其中,解密接口可以插入在文件系统提供给上层应用程序的同一接口中,例如,在Linux操作系统中解密接口插入在虚拟文件系统的文件写入函数中,这样当文件系统接收到文件数据的读取信息时可以根据文件数据的信息调用加密接口将文件数据的信息传送至eKey加解密模块。密钥查找模块600用于eKey加解密模块根据文件绝对路径和当前硬盘标识查找以获得文件数据对应的密钥。解密模块700用于eKey加解密模块根据密钥对文件数据解密。其中,eKey加解密模块中预先存储有解密算法,可以通过调用解密算法对文件数据进行解密。在本发明的一个实施例中,第二传送模块500、密钥查找模块600和解密模块700是可选的。根据本发明实施例的用于文件系统的加密装置,一方面实现从文件粒度对文件数据加密,另一方面通过eKey加解密模块对文件系统的文件数据进行加密,由于eKey加解密模块可以是外置的硬件设备,提高了文件系统的安全性和可靠性,对系统的性能影响小,并且密钥管理非常简单。尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。
权利要求
1.一种用于文件系统的加密方法,其特征在于,包括以下步骤 SI,初始化eKey加解密模块; S2,当所述文件系统被写入文件数据时根据加密接口将所述文件数据的信息传送至所述eKey加解密模块; S3,所述eKey加解密模块根据所述文件数据的信息生成密钥;以及 S4,所述eKey加解密模块根据所述密钥对所述文件数据加密。
2.根据权利要求I所述的方法,其特征在于,所述文件数据的信息包括文件绝对路径、数据存放地址、当前硬盘标识和数据长度。
3.根据权利要求2所述的方法,其特征在于,所述步骤S3具体包括 所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识生成密钥,并将所述密钥存储在所述eKey加解密模块中。
4.根据权利要求3所述的方法,其特征在于,还包括步骤 S5,当所述文件系统接收到所述文件数据的读取信息时根据解密接口将所述文件数据的信息传送至所述eKey加解密模块; S6,所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识查找以获得所述文件数据对应的所述密钥;以及 S7,所述eKey加解密模块根据所述密钥对所述文件数据解密。
5.根据权利要求3或4所述的方法,其特征在于,所述密钥以哈希表的形式存储。
6.一种用于文件系统的加密装置,其特征在于,包括 初始化模块,用于初始化eKey加解密模块; 第一传送模块,用于当所述文件系统被写入文件数据时根据加密接口将所述文件数据的信息传送至所述eKey加解密模块; 密钥生成模块,用于所述eKey加解密模块根据所述文件数据的信息生成密钥;以及 加密模块,用于所述eKey加解密模块根据所述密钥对所述文件数据加密。
7.根据权利要求6所述的装置,其特征在于,所述文件数据的信息包括文件绝对路径、数据存放地址、当前硬盘标识和数据长度。
8.根据权利要求7所述的装置,其特征在于,所述密钥生成模块具体用于所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识生成密钥,并将所述密钥存储在所述eKey加解密模块中。
9.根据权利要求8所述的装置,其特征在于,还包括 第二传送模块,用于当所述文件系统接收到所述文件数据的读取信息时根据解密接口将所述文件数据的信息传送至所述eKey加解密模块; 密钥查找模块,用于所述eKey加解密模块根据所述文件绝对路径和所述当前硬盘标识查找以获得所述文件数据对应的所述密钥;以及 解密模块,用于所述eKey加解密模块根据所述密钥对所述文件数据解密。
10.根据权利要求8或9所述的装置,其特征在于,所述密钥以哈希表的形式存储。
全文摘要
本发明提出一种用于文件系统的加密方法和装置。所述方法包括以下步骤初始化eKey加解密模块;当文件系统被写入文件数据时根据加密接口将文件数据的信息传送至eKey加解密模块;eKey加解密模块根据文件数据的信息生成密钥;以及eKey加解密模块根据密钥对文件数据加密。根据本发明实施例的方法,一方面实现从文件粒度对文件数据加密,另一方面通过eKey加解密模块对文件系统的文件数据进行加密,由于eKey加解密模块可以是外置的硬件设备,提高了文件系统的安全性和可靠性,对系统的性能影响小,并且密钥管理非常简单。
文档编号G06F17/30GK102801526SQ201210224459
公开日2012年11月28日 申请日期2012年6月28日 优先权日2012年6月28日
发明者胡事民, 廖学良 申请人:清华大学