专利名称:电子文件安全防护方法
技术领域:
本发明涉及电子文件加密,尤其涉及一种电子文件安全防护方法,通过电子文件
的加密防止信息泄密和篡改,属于信息安全和计算机软件技术领域。
背景技术:
传统的针对纸质文件的保密管理通过给文件标明密级并进行封存的方式实现。保 密文件的发送、传递、接收、借阅、移交、销毁、归档等各个环节,均有严格的登记和审批程 序。保密文件的复制经保密工作部门审批许可后,由国家秘密载体定点复制单位印刷;阅读 保密文件有特定的范围限制,如不得带至个人空间或公共场所;保密文件要定期清查,需存 档的文件按照国家关于纸质文件材料密级和保管期限的有关规定执行,其他文件则定期销 毁。 随着计算机应用的普及和互联网的发展,技术资料的数字化及人员的频繁流动, 给电子文件的安全造成极大的威胁。电子文件易更改、易传播的特性,严重影响电子文件存 储和交流的安全。如何防止电子文件泄密,如何控制和管理不同密级的电子文件,是信息安 全面临的严峻挑战。 目前,不同密级的电子文件,均由文件操作者掌握控制,这种控制和访问方式与文 件操作者的保密意识和责任意识相关,存在因个人行为疏忽造成泄密的潜在问题。不同密 级的电子文件,从产生到销毁整个生命周期内,仅依赖文件操作者的管理,无法保证文件的 真实性、完整性、有效性。所以,提供一种通用的、不改变用户使用习惯的电子文件安全防护 的方法具有重大而紧迫的现实意义。
发明内容
针对目前电子文件在存储和交流方面存在的上述缺点和问题,本发明的目的在于 提供一种电子文件安全防护方法。该方法对系统内的涉密电子文件从产生到销毁整个生命 周期进行加密保护,同时通过设定加密文件密级以及其他授权信息对加密文件进行访问控 制,防止文件密级和文件内容被有意无意地篡改。被加密过的文件无论是在本地环境内,还 是在网络传输中,或者是在密级管理中心,始终以加密形式存在。
根据本发明的目的,本发明主要基于以下构思完成本发明 利用文件系统过滤技术,通过过滤文件读写操作,对文件进行实时加解密,数据以 密文形式存储在本地存储介质或者网络共享位置。加密或解密操作对用户完全透明。客户 端产生的加密文件在初始状态下未设定密级,并且只有在本客户端才能被明文打开,在本 客户端以外的环境下都不能明文打开该文件。如果允许文件在系统内部流转,必须设定文 件密级和信任对象,设定文件密级和信任对象的文件称为密级文件。使用者在拥有对密级 文件访问权限的情况下,才能对文件进行明文读取,并且只能只读访问,如果没有权限则访 问被拒绝。本发明对密级文件采取只读控制,防止用户篡改或破坏文件,而另存的密级文件 属于在客户端新产生的未设定密级的加密文件,同样只有在本客户端有明文访问权限。
具体来说,本发明采用如下技术方案,下面的描述参考图1 :
—种电子文件安全防护方法,包括下列步骤 a)保密请求方加密明文(未加密文件D0中的内容content)得到加密文件(Dl),所述加密文件(Dl)包括两个部分,第一部分(Parti)包括用密钥一 (随机数生成器生成的随机数a)对所述明文作对称加密后的密文(a(content)),第二部分(Part2)包括用密钥二(密级管理方的公钥b)对所述密钥一作不对称加密后的密文(b(a));
b)所述保密请求方将所述加密文件(Dl)上传至密级管理方,所述密级管理方用和密钥二 (密级管理方的公钥b)对应的私钥(密级管理方的私钥b')解密所述第二部分得到所述密钥一,并用所述密钥一解密所述第一部分得到所述明文; c)所述密级管理方加密所述明文得到密级文件(D2),所述密级文件(D2)包括两个部分,第一部分(Parti)包括用密钥三(随机数生成器生成的随机数c)对所述明文作对称加密后的密文(c (content)),第二部分(Part2)包括用密钥四(密级文件受众的公钥d)对所述密钥三作不对称加密后的密文(d(c)); 为了使密级文件可面向多个受众,所述密级文件的第二部分可包括多个(两个以上)用密钥(密级文件受众的公钥)对所述密钥三作不对称加密后的密文,则密级文件受众只要能够通过其拥有的私钥打开其中的任何一个密文,即可顺利得到密钥三而成功解密密级文件。举例来说,D2的Part2包括(c) , d2 (c)和d3 (c),其中的d2和d3分别是受众T1,T2和T3的公钥;则受众T2通过其拥有的私钥d2' (d2的私钥)即可解密d2(c),顺利地得到密钥c进一步解密得到明文;而受众T4由于无法通过其拥有的私钥d/解密djc),d2(c)和d3(c)中的任何一个而无法顺利地得到密钥c,因而也就无法顺利解密D2得到明文; d)所述密级管理方将所述密级文件下发至密级文件受众。通过上面的描述可知,仅设定范围内的受众可通过其拥有的私钥解密所述密级文件。 为了防止密级文件的第二部分被恶意篡改,所述密级文件还可在第二部分之后
包括用密钥五(密级管理方的特定私钥e)对所述密级文件(D2)的第二部分的哈希值
(H(part2)作不对称加密的密文(e [H(part2)]),所述密级文件的受众可以通过其拥有的
和所述密钥五对应的公钥解密该密文实现对密级文件的第二部分的验证。 上述技术方案实质上通过密级管理方在加密过程中对所述密钥四的选取来实现
密级文件在有限范围内的可读,即,只要在所述密级文件的第二部分使用某一受众的公钥
作为密钥四,则该受众即可使用其私钥解密该密级文件,所述的"有限范围"可以表示单个
用户,多用户公用的一台主机,包括多台主机的一个小组,甚至包括所有主机的一个安全域
等等所涉及的范围。 在此基础上,为了加强对密级文件生命周期的控制,以及加强对密级文件受众的选择,所述密级文件还包括第三部分(Part3),所述第三部分包括授权信息(authjnfo),当所述受众尝试解密所述密级文件成功后,仅当所述受众符合所述授权信息的授权要求时,所述受众才能最终获得所述明文。 所述授权信息可包括所述密级文件的信任对象。即,当密级文件受众解密所述密级文件成功后,仅当该受众是所述密级文件的信任对象之一时,才可真正读取密级文件的明文。
此外,所述授权信息还可包括所述密级文件的有效打开次数、有效时间期间和密级中的一项或几项。即,通过类似的参数控制密级文件的生命周期。 同样,为了防止密级文件的第三部分被恶意篡改,所述密级文件还可在其第三部分之后附加用所述密钥五(密级管理方的私钥e)对所述第三部分的哈希值(H(part3))作不对称加密的密文(e[H(part3)])。 此外,步骤d)之后,密级文件受众通过和所述密钥四对应的密钥解密所述密级文
件并最终得到所述明文后,对所述明文可读不可写,以保证明文不被篡改。 通过上述描述可见,本发明的技术方案可实现下述效果 没有使用权限的用户无法打开密级文件;有使用权限的用户可以成功打开,但没有修改权限,并且受到文件密级、使用范围,生命周期,使用次数的限制。
和现有技术相比,本发明的优势在于 本发明方法以PKI为基础,对电子文件的密级进行标识,并附加相关的多维安全属性。本发明方法的优势是自动化、强制性和透明性,既达到电子文件密级保护的目的又不影响用户使用习惯,有效地防止了故意泄密企图,最大限度地保护了涉密单位的敏感信息。在此基础上,对密级文件的创建、修改、销毁、交流,以及文件密级、使用范围、生命周期、使用次数等实行了细粒度的、严格的控制,并且均通过密级管理中心审批并记录日志,可在授权中心查询审计,为泄密事件的追查问责提供了可靠的依据。
图1表示本发明方法过程中各种文件的组成结构实例示意 图2表示本发明实施例系统的节点组织结构示意 图3表示加密文件结构示意 图4表示密级文件结构示意图。
具体实施例方式
以下结合附图,通过一个具体的实施例详细描述本发明。 本实施例以某单位使用的电子文件安全防护系统为例详细说明本发明。在该系统中,首先安装一台服务器,服务器上配有密级管理中心(软件),局域网内各主机安装客户端,组成一个工作安全域,该安全域的节点组织结构图如图2所示,图中的每个节点分别具有机器标识、用户标识、小组标识和全局标识。
下面说明上述系统中的各个组件。
a.服务器 服务器用于存储客户端的用户信息、日志信息和设定密级以后的文件信息,包括数据库和注册单元;所述数据库用于存储密级文件的编号、组织结构信息和每个注册客户端的机器标识信息;所述注册单元用于接收客户端的注册信息,并存入数据库。
b.密级管理中心 密级管理中心用于对涉密电子文件进行密级管理,将客户端上传的加密文件按照特定格式进行加密处理(先解密再加密)。所述的特定格式是指除了对文件内容进行加密外,还包括密级文件附加信息,有关附加信息的内容将在下面详细说明。密级管理中心还进一步包括随机数生成器、密钥生成器、用户交互单元、加密单元、信任对象获取单元、密级文件制作单元。其中,随机数生成器用于生成随机数;密钥生成器根据随机数生成用于加密涉密电子文件内容的加密密钥;用户交互单元接受用户对受信条件、信任对象的输入;加密单元用于根据设定的规则,分别选择对应的对称加密算法,哈希算法,签名算法;信任对象获取单元根据用户选择的受信范围,从服务器获取相应的信任对象信息;密级文件制作单元,用于将加密文件按照设计的格式进行加密转化。
c.客户端 客户端用于对涉密文件进行安全检查、记录文件操作日志、进行涉密文件的透明加解密,包括机器标识生成单元、注册单元、加密驱动单元。其中,机器标识生成单元,用于获取硬盘序列号、或CPU序列号、或MAC地址或GUID等机器标识;注册单元,用于将机器标识发送到服务器保存,并接收服务器完成用户标识、小组标识、全局标识信息的同步;加密驱动单元,用于对标定密级的电子文件进行各项安全检查,记录操作日志,将写入文件的数据加密,从文件中读出的数据解密。 下面说明基于上述系统的电子文件安全防护方法。
1.客户端加密普通文件得到加密文件 本实施例电子文件安全防护方法有完整的密钥管理体系,为所有用户配备一对公钥和私钥,这些数据由系统自动维护,对终端用户完全透明。 所有涉密普通文件的内容通过密钥生成器生成的密钥来加密得到加密文件内容,该密钥基于随机数生成,即随机密钥。 随机密钥用密级管理中心的公钥进行加密,存储于加密文件基本信息中。 除此之外,加密文件基本信息还包括加密文件标识(表明该文件是加密后的加密
文件)。 图3给出了加密文件的结构示意图。
2.密级管理中心经过解密得到明文 客户端用户向密级管理中心提出制定密级的请求,其上传的文件必然是已经被步骤1中描述的加密算法加密过的文件。 密级管理中心根据加密文件标识确认该文件是加密文件,然后用其私钥(和客户端加密过程中使用的公钥对应)解密得到随机密钥,然后根据该随机密钥解密加密文件内容。 3.密级管理中心加密明文得到密级文件 经过步骤2后,密级管理中心已顺利获得原始普通文件的内容。 此后,密级管理中心按照和步骤1相似的过程重新加密明文,得到加密文件内容
部分和加密文件基本信息部分,期间使用的随机密钥由密级管理中心的密钥生成器生成
(由于该密钥随机生成,因此和之前客户端使用的随机密钥相同的几率极小,一般情况下两
者都是不同的)。 加密文件基本信息部分包括用一个或多个拥有密级文件阅读权限的受众的公钥对该随机密钥作不对称加密后的密文。 和步骤1不同的地方主要在于,为保证加密文件基本信息的真实性,密钥管理中心对加密文件基本信息部分做哈希,并将哈希值用密钥管理中心的私钥签名,附加在加密文件基本信息后面。 此外,在密级文件中增加了第三部分-密级文件附加信息,其位于加密文件内容和加密文件基本信息之间。 密级文件附加信息部分包括授权信息。具体来说,密级管理中心的用户交互单元根据用户选择或自定义的文件密级、信任对象、使用范围、生命周期、使用次数等生成授权信息。例如,授权信息可以包括如下限制条件如果密级文件使用次数大于IO,则密级文件设定为不可访问;在使用l年后,自动销毁该密级文件。用户可以根据实际的安全防护需要指定不同的授权条件。 关于信任对象的确定,可由信任对象获取单元根据用户指定的密级文件的使用范围,获取有权限使用该密级文件的信任对象信息,所述的信任对象信息可以是安全域节点组织结构中的任一节点的身份标识,即信任对象可以是用户标识、小组标识、全局标识中的一种或几种;信任对象也可以是机器标识,机器标识可以用该主机的硬盘序列号表示,也可以用CPU序列号、MAC地址或GUID号表示;信任对象还可以是节点身份标识和机器标识的组合。 所述授权信息包括在密级文件附加信息内,此外,为确保密级文件附加信息的真
实性,密级管理中心同样用其私钥为密级文件附加信息的哈希值签名。 附加信息中还可以包括整个密级文件附加信息的长度。 就上述电子文件安全防护系统,总的来说,在一台客户端上,既可能存在用户自己
新生成的尚未指定密级的加密文件,也可能存在由密级管理中心认定的密级文件。未设定
密级的加密文件包括加密文件内容和加密文件基本信息,密级文件则除了上述两部分外,
还包括第三部分_密级文件附加信息。完整的密级文件格式如图4所示。 上面介绍了密级文件附加信息的构成。本实施例通过这些附加信息来对文件的使
用进行限制,同时加入对密级文件的自我保护,防止对密级文件有意或无意的篡改。密级管
理中心可以根据终端用户的请求将文件的存续期间、使用次数等达到限制条件后的自我保
护方式写入加密文件。 4.用户使用密级文件 有权限使用密级文件的主机上安装有客户端,在安装过程中,客户端的机器标识生成单元根据机器的情况生成机器标识,保存在本地文件中;注册单元将机器标识发送给服务器,同时从服务器获取组织结构信息,保存在注册表中。 终端用户在使用密级文件时,会先自动获取使用该文件必须的信息例如用来解密密级文件信息的密钥,机器ID或用户ID等,获取过程对终端操作用户来说都是透明的。文件过滤驱动会根据从密级文件中读取的加密文件基本信息和密级文件附加信息,并通过校验判断该文件是否被破坏。若文件未被破坏,则检查终端用户是否有权限使用该文件。权限检查通过后,文件过滤驱动会用从文件中正确读出的密钥来进行解密操作,明文打开该文件;如果检查未通过则文件打开失败。由于密级文件以只读的方式访问,所以终端用户对密级文件不能进行写操作。如果发生写操作,那么修改后或新产生的加密文件的随机密钥要用终端用户的指定密钥重新加密并存储于加密文件基本信息中,也就是生成了一个未设定密级的加密文件,只有拥有指定密钥的用户才能将其解密。因此,理论上只有密级文件才能在单位内部流转。
无论是加密文件还是密级文件在流转过程中都不会改变原来的任何加密状态和 属性,无论是在本地存储介质还是网络共享位置,无论是何种存储介质,例如硬盘、网络共 享盘、闪存、移动硬盘、软盘、可擦写光盘、读卡器可以读写的存储卡等等,加密文件内容部 分都以密文方式存储。密级文件达到使用限制条件后,例如达到密级文件使用次数或超过 使用期限等,根据设定策略来处理,如拒绝打开或销毁,这时用户可到密级管理中心去重新 授权。密级文件如果不再使用,必须到密级管理中心进行销毁。在密级管理中心的所有操 作,包括制作密级文件、销毁、修改密级文件等级等都有日志记录,以便事后审计。密级文件 在客户端的使用情况,也有日志记录,方便事后审计。
权利要求
电子文件安全防护方法,其特征在于,包括下列步骤a)保密请求方加密明文得到加密文件,所述加密文件包括两个部分,第一部分包括用密钥一对所述明文作对称加密后的密文,第二部分包括用密钥二对所述密钥一作不对称加密后的密文;b)所述保密请求方将所述加密文件上传至密级管理方,所述密级管理方用和所述密钥二对应的密钥解密所述第二部分得到所述密钥一,并用所述密钥一解密所述第一部分得到所述明文;c)所述密级管理方加密所述明文得到密级文件,所述密级文件包括两个部分,第一部分包括用密钥三对所述明文作对称加密后的密文,第二部分包括用密钥四对所述密钥三作不对称加密后的密文;d)所述密钥管理方将所述密级文件下发至密级文件受众。
2. 如权利要求1所述的电子文件安全防护方法,其特征在于,所述密级文件的第二部分包括多个用密钥对所述密钥三作不对称加密后的密文。
3. 如权利要求1所述的电子文件安全防护方法,其特征在于,所述密钥二是所述密级管理方的公钥,所述和密钥二对应的密钥是所述密级管理方的私钥;所述密钥四是所述密级文件受众的公钥,所述和密钥四对应的密钥是所述密级文件受众的私钥。
4. 如权利要求1所述的电子文件安全防护方法,其特征在于,所述密级文件还包括用密钥五对所述密级文件的第二部分的哈希值作不对称加密的密文。
5. 如权利要求1所述的电子文件安全防护方法,其特征在于,所述密级文件还包括第三部分,所述第三部分包括授权信息,当所述受众尝试解密所述密级文件成功后,仅当所述受众符合所述授权信息的授权要求时,所述受众获得所述明文。
6. 如权利要求5所述的电子文件安全防护方法,其特征在于,所述授权信息包括所述密级文件的信任对象。
7. 如权利要求5所述的电子文件安全防护方法,其特征在于,所述授权信息包括所述密级文件的有效打开次数、有效时间期间、和密级中的一项或几项。
8. 如权利要求5所述的电子文件安全防护方法,其特征在于,所述密级文件还包括用密钥五对所述密级文件的第三部分的哈希值作不对称加密的密文。
9. 如权利要求4或8所述的电子文件安全防护方法,其特征在于,所述密钥五是密级管理方的特定私钥。
10. 如权利要求1所述的电子文件安全防护方法,其特征在于,所述密级文件受众通过和所述密钥四对应的密钥解密所述密级文件并最终得到所述明文后,对所述明文可读不可
全文摘要
本发明公开了一种电子文件安全防护方法,属于信息安全和计算机软件技术领域。该方法包括a)保密请求方加密明文得到加密文件,加密文件包括用密钥一对明文作对称加密后的密文,和用密钥二对密钥一作不对称加密后的密文;b)保密请求方将加密文件上传至密级管理方,密级管理方用和密钥二对应的密钥解密得到明文;c)密级管理方加密明文得到密级文件,密级文件包括用密钥三对明文作对称加密后的密文,和用密钥四对密钥三作不对称加密后的密文;d)密钥管理方将密级文件下发至密级文件受众。本发明可用于电子文件的安全防护。
文档编号G06F21/24GK101710380SQ20091024295
公开日2010年5月19日 申请日期2009年12月22日 优先权日2009年12月22日
发明者周显敬, 孟令强, 王文宇, 王陈, 苑海彬, 费巩君 申请人:中国软件与技术服务股份有限公司