一种基于HTML5技术的跨互联网文件安全分享方法与系统与流程

一种基于html5技术的跨互联网文件安全分享方法与系统
技术领域
1.本发明属于数据加密技术领域，尤其涉及一种基于html5技术的跨互联网文件安全分享方法与系统。


背景技术：

2.随着互联网通信技术的发展，互联网通讯的网络安全问题也逐渐凸显出来，在互联网传输文件的大小逐渐增加，但文件传输安全性却没有很好的控制，缺乏对文件加密情况的良好控制。
3.互联网环境下的电子文件，是在数字设备构建的网络中形成的，以数字形式存储于硬盘、光盘等介质，并依赖计算机等电子设备阅读、处理，可在互联网上传送利用的文件，电子文件依附于计算机系统实现，也不可避免的被网络安全侵入风险所波及，黑客入侵可通过通信服务层、操作系统层等层面，破坏电子文件信息与机密，而计算机病毒可以通过多种非法程序破坏信息，还可经过互联网蔓延，是互联网电子文件的“隐形杀手”。
4.在日常工作中，当用户通过互联网向其它用户分享文件的时候，为了防止文件在网络传输过程中被非授权人员获取原始数据，用户通过即时通信软件向接收者发送的一般都是经过加密的文件，常见的文件加密方法由包括rar在内的压缩工具或自定义的加密软件提供，文件加密的口令由用户输入；当接收方接收到加密文件后，需使用相同的压缩或加密软件进行解密，在互联网办公的众多用户之间要求具备相同的压缩软件或加密软件，显然有些困难，因而影响到跨互联网文件的安全处理能力，不能很好的满足处理分享需要。


技术实现要素：

5.本发明的目的在于：为了解决常见的文件加密方法由包括rar在内的压缩工具或自定义的加密软件提供，文件加密的口令由用户输入；当接收方接收到加密文件后，需使用相同的压缩或加密软件进行解密，在互联网办公的众多用户之间要求具备相同的压缩软件或加密软件，显然有些困难的问题，而提出的一种基于html5技术的跨互联网文件安全分享方法与系统。
6.为了实现上述目的，本发明采用了如下技术方案：
7.一种基于html5技术的跨互联网文件安全分享方法，具体包括以下步骤：
8.s1、对文件进行加密处理；
9.s2、对文件元进行加密处理；
10.s3、启用文件下载验证流程。
11.作为上述技术方案的进一步描述：
12.所述s1对文件进行加密处理具体方法包括以下步骤：
13.s101、将分享文件列表中的每个文件转换为二进制数据流(java script中的readablestream对象)；
14.s102、采用首尾相连流的方式将多个二进制数据流连接为一个二进制数据流；
15.s103、将合并后的二进制数据流按照固定大小进行分块切割，每个分块的大小为65519，即65519＝1024
×
64
‑
17；
16.s104、为每个数据分块尾部填充数据，完整分块的尾部填充(1，0，
…
，0)共计17个字节，最后一个分块的尾部填充(2)，仅有1个字节；
17.s105、产生随机salt值并将该salt值附加在加密文件下载url中；
18.s106、由下载口令和随机salt派生原始加密密钥rawsecretkey，依次从rawsecretkey中截取16字节作为文件池元数据加密密钥metakey、16字节作为下载认证密钥authkey以及16字节作为数据块的加密密钥blockkey；
19.s107、产生16字节随机数nonce；
20.s108、由blockkey、nonce通过hkdf函数生成长度为12字节的baseiv，取baseiv的后4个字节与每个分块的序列号n进行异或运算得到xorn；
21.s109、由blockkey、nonce通过hkdf函数生成数据加密密钥datakey，所述s109中加密密钥datakey的计算过程为：datakey＝hkdf(blockkey，nonce，“prime
‑
data
‑
key”)；
22.s110、分别使用每个分块的xorn追加到baseⅳ后得到16字节长度的ⅳ，使用该ⅳ、datakey、gcm工作模式对数据分块进行对称加密运算，分别得到每个分块的密文，然后将密文前后依次链接形成二进制密文流；
23.s111、将nonce作为大数与65536相加，将相加结果放至密文流首部，加密流程结束。
24.作为上述技术方案的进一步描述：
25.所述s108中异或运算得到xorn的具体计算过程为：baseiv＝hkdf(blockkey，nonce，“prime
‑
nonce”)，其中，hkdf函数为标准派生函数，本方法支持常见的国际密码算法以及国密算法。
26.作为上述技术方案的进一步描述：
27.所述106中派生方法为通用的pbkdf2函数，计算过程为：rawsecretkey＝pbkdf2(pwd，salt，n，48)，其中pwd为下载口令，n为认以自然数，本方案取数值3，且pbkdf2支持常见的国际密码算法以及国密算法。
28.作为上述技术方案的进一步描述：
29.所述s2中对文件元进行加密处理的步骤具体包括：
30.s201、随机生成整数并以该整数的16进制字符作为文件id；
31.s202、将明文文件的名称(name)、大小(size)和类型(type)形成加密文件链表，文件链表称为manifest；
32.s203、将加密文件名称(id)、加密后文件大小(size)、文件类型(type)以及manifest形成加密文件元数据，加密文件元数据称为metafile；
33.s204、使用metakey对metafile进行ecb模式加密；
34.s205、将下载次数限制、下载时间限制、下载认证码以及metafile形成密文文件描述信息；
35.s205、将密文文件描述信息以及密文文件上传至web服务器预定存储位置，并生成安全分享下载链接。
36.作为上述技术方案的进一步描述：
37.所述s202中加密文件链表具体格式包括：{(name:filename，size:filesize，type:filetype)，
………………………
，(name:filename，size:filesize，type:filetype)}。
38.作为上述技术方案的进一步描述：
39.所述s203中加密文件源数据格式具体包括：(name:id，size:length，type:default，data:manifest)。
40.作为上述技术方案的进一步描述：
41.所述s205中密文文件描述信息格式具体包括：(downtimes:m，limitedtime:n，auth:authcode，file:metafile)。
42.作为上述技术方案的进一步描述：
43.所述启用文件下载验证流程具体包括以下步骤：
44.s301、服务器端程序首先对文件的下载时间和下载次数进行检查，若已超时或允许下载次数为0，则禁止下载，删除该加密文件并在浏览器端提示文件已删除；
45.s302、若加密文件在下载有效期内，则浏览器提示下载者输入下载口令，系统根据下载口令按照预定格式计算authekey，并根据相关信息计算newauthcode，使用newauthcode与服务器端存储的authcode进行比对，若一致，则证明下载口令正确，服务器端将加密文件推送到下载浏览器，下载浏览器按照对称加密的逆流程进行解密，首先解密文件元数据，获取原始文件列表信息，然后将解密后数据依次放入不同的原始文件中；
46.s303、下载成功后，将下载次数减一，若下载次数已降低为0，则把服务器端相关文件删除。
47.一种基于html5技术的跨互联网文件安全分享系统，具体包括多个文件安全分享浏览器端和文件安全分享服务器端，且多个文件安全分享浏览器端通过http通讯连接到文件安全分享服务器端。
48.综上所述，由于采用了上述技术方案，本发明的有益效果是：
49.1、本发明中，通过云端存储设备与网页端密码验证的配合，利用任意一款支持html5网页浏览器即可实现文件加密和安全分享功能、增加文件限时和限次下载的文件处理方法，能够实现增加对跨互联网文件安全分享的即时使用能力，并且能够适配多重应用系统属性，降低与加密控制软件的适应性要求。
50.2、本发明中，处理方法能够在对应密钥进行记忆后，通过简化用户操作顺序，能够显著降低对用户操作的要求，进而能够实现对加密文件传输的普适性调节控制需要，通过降低加密文件的交互控制难度，实现对文件加密安全分析的实际控制。
51.3、本发明中，通过与处理方法配合的系统实现脱离对第三方软件的依赖，实现对文件安全的分享处理能力，有利于实现互联网文件通过网页的交互处理能力，避免第三方软件对网络安全带来的负面影响，并同时提高硬件端相应时效和文件交互分析效率。
52.4、本发明中，通过对数据独立加密链接的处理，通过对安全分析文件的二进制处理和文件链路层面的编码加密处理，有效实现双重密钥的对应控制，显著提高对文件的安全加密强度，通过文件元的加密设置，实现对文件池信息的保密存储，在有利于实现追溯处理能力的同时，最大限度地保持相应的文件内容保护能力，在链路文件存储后，加密元数据能够存贮在预定服务器位置，进而能够去除文件大小的限制能力，降低对加密系统硬件的
需求能力，有效满足对不同情况下的控制需要。
附图说明
53.图1为本发明提出的一种基于html5技术的跨互联网文件安全分享系统的架构；
54.图2为本发明提出的一种基于html5技术的跨互联网文件安全分享方法文件上传流程图；
55.图3为本发明提出的一种基于html5技术的跨互联网文件安全分享方法的文件下载处理流程图；
56.图4为本发明提出的一种基于html5技术的跨互联网文件安全分享方法的文件加密处理流程图；
57.图5为本发明提出的一种基于html5技术的跨互联网文件安全分享方法的文件加密流程图；
58.图6为本发明提出的一种基于html5技术的跨互联网文件安全分享方法的文件元数据加密处理流程图。
具体实施方式
59.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
60.请参阅图1
‑
6，本发明提供一种技术方案：一种基于html5技术的跨互联网文件安全分享方法，具体包括以下步骤：
61.s1、对文件进行加密处理；
62.其中，所述s1中对文件进行加密处理具体方法包括以下步骤：s101、将分享文件列表中的每个文件转换为二进制数据流(java script中的readablestream对象)；
63.s102、采用首尾相连流的方式将多个二进制数据流连接为一个二进制数据流；
64.s103、将合并后的二进制数据流按照固定大小进行分块切割，每个分块的大小为65519，即65519＝1024
×
64
‑
17；
65.s104、为每个数据分块尾部填充数据，完整分块的尾部填充(1，0，
…
，0)共计17个字节，最后一个分块的尾部填充(2)，仅有1个字节；
66.s105、产生随机salt值并将该salt值附加在加密文件下载url中；
67.s106、由下载口令和随机salt派生原始加密密钥rawsecretkey，依次从rawsecretkey中截取16字节作为文件池元数据加密密钥metakey、16字节作为下载认证密钥authkey以及16字节作为数据块的加密密钥blockkey，所述106中派生方法为通用的pbkdf2函数，计算过程为：rawsecretkey＝pbkdf2(pwd，salt，n，48)，其中pwd为下载口令，n为认以自然数，本方案取数值3，且pbkdf2支持常见的国际密码算法以及国密算法；
68.具体的，是一个用来导出密钥的函数，常用于生成加密的密码，基本原理是通过一个伪随机函数hmac函数，把明文和一个盐值作为输入参数，然后重复进行运算，并最终产生密钥，如果重复的次数足够大，破解的成本就会变得很高。而盐值的添加也会增加表虚数攻
击的难度。
69.s107、产生16字节随机数nonce；
70.s108、由blockkey、nonce通过hkdf函数生成长度为12字节的baseiv，取baseiv的后4个字节与每个分块的序列号n进行异或运算得到xorn，所述s108中异或运算得到xorn的具体计算过程为：baseiv＝hkdf(blockkey，nonce，“prime
‑
nonce”)，其中，hkdf函数为标准派生函数，本方法支持常见的国际密码算法以及国密算法；
71.具体的，hkdf算法是关于密钥生成的重要的基础算法，跟密钥推导密切相关，基于一个共同密钥，在两个对端之间提供消息完整性确认的机制，将消息进行hash，得到的hash值附加到消息之后，随消息一起发送，对端接收后，同样进行hash，来验证消息是否被篡改——关键点在不同数据得到的hash值一定不同——其中得到的hash值就是mac(在别的语境里边也叫消息摘要)。另外，为了避免使用同样的hash函数对相同数据进行操作总是得出同样的摘要，额外加入一个密钥，这样使用不同密钥就可以得出不同的mac，当然，这个密钥是两个对端都知道的，进而通过对hkdf的派生函数计算，实现对序列号的生产处理。
72.s109、由blockkey、nonce通过hkdf函数生成数据加密密钥datakey，所述s109中加密密钥datakey的计算过程为：datakey＝hkdf(blockkey，nonce，“prime
‑
data
‑
key”)；
73.s110、分别使用每个分块的xorn追加到baseⅳ后得到16字节长度的ⅳ，使用该ⅳ、datakey、gcm工作模式对数据分块进行对称加密运算，分别得到每个分块的密文，然后将密文前后依次链接形成二进制密文流；
74.s111、将nonce作为大数与65536相加，将相加结果放至密文流首部，加密流程结束
75.s2、对文件元进行加密处理；
76.其中，所述s2中对文件元进行加密处理的步骤具体包括：
77.s201、随机生成整数并以该整数的16进制字符作为文件id；
78.s202、将明文文件的名称(name)、大小(size)和类型(type)形成加密文件链表，文件链表称为manifest，所述s202中加密文件链表具体格式包括：{(name:filename，size:filesize，type:filetype)，
………………………
，(name:filename，size:filesize，type:filetype)}；
79.s203、将加密文件名称(id)、加密后文件大小(size)、文件类型(type)以及manifest形成加密文件元数据，加密文件元数据称为metafile，所述s203中加密文件源数据格式具体包括：(name:id，size:length，type:default，data:manifest)；
80.s204、使用metakey对metafile进行ecb模式加密；
81.s205、将下载次数限制、下载时间限制、下载认证码以及metafile形成密文文件描述信息，所述s205中密文文件描述信息格式具体包括：(downtimes:m，limitedtime:n，auth:authcode，file:metafile)；
82.s205、将密文文件描述信息以及密文文件上传至web服务器预定存储位置，并生成安全分享下载链接；
83.s3、启用文件下载验证流程。
84.其中，所述启用文件下载验证流程具体包括以下步骤：
85.s301、服务器端程序首先对文件的下载时间和下载次数进行检查，若已超时或允许下载次数为0，则禁止下载，删除该加密文件并在浏览器端提示文件已删除；
86.s302、若加密文件在下载有效期内，则浏览器提示下载者输入下载口令，系统根据下载口令按照预定格式计算authekey，并根据相关信息计算newauthcode，使用newauthcode与服务器端存储的authcode进行比对，若一致，则证明下载口令正确，服务器端将加密文件推送到下载浏览器，下载浏览器按照对称加密的逆流程进行解密，首先解密文件元数据，获取原始文件列表信息，然后将解密后数据依次放入不同的原始文件中；
87.s303、下载成功后，将下载次数减一，若下载次数已降低为0，则把服务器端相关文件删除。
88.一种基于html5技术的跨互联网文件安全分享系统，具体包括多个文件安全分享浏览器端和文件安全分享服务器端，且多个文件安全分享浏览器端通过http通讯连接到文件安全分享服务器端。
89.工作原理，在进行网络加密之前，对待加密文件进行预上传，文件发送方通过在终端服务器和个人电脑浏览器窗口通过输入web服务器网址后，网页浏览向web服务器请求首页资源文件，显示文件安全分析页面后，文件发送方选择终端内待分享文件后，获取对应文件属性后，分类追加到文件池内，用户通过网页浏览器选择过期时间后，选择对应文件相应能够下载的次数，并且输入文件加密口令后，网页浏览器对文件进行循环判断，当文件流长度大于设置值后，即能够读取到加密文件流后，网页浏览器提交密文数据以及文件池信息发送至web服务器中，服务器进行存储赋能加密后，通过返回文件url链接至文件上传网页端，网页端此时弹出安全文件url链接拷贝提示框，此时通过用户选择相应操作后，结束对待加密文件的上传。
90.文件数据的加密处理，将所选文件读取为二进制数据流后，将多个二进制数据流合并为一个二进制数据流后，将二进制数据流进行固定大小的分块后，对分块数据进行尾部填充，根据下载口令与随机salt派生文件加密密钥，并生成对应位置的分块后，持续gcm模式加密后，将密文分块连为二进制数据流，写入文件完成对单个文件的加密处理，并同时通过对安全文件的名称、大小和类型形成加密文件链表后，通过将加密文件主体，以及加密后文件大小、文件类型以及文件链表行程加密文件的元数据，实现对元数据的加密行程对应的认证码，完成对加密信息的在加密处理。
91.文件下载处理流程，服务器端程序首先对文件的下载时间和下载次数进行检查，若已超时或允许下载次数为0，则禁止下载，删除该加密文件并在浏览器端提示文件已删除，若加密文件在下载有效期内，则浏览器提示下载者输入下载口令，系统根据下载口令按照预定格式计算authekey，并根据相关信息计算newauthcode，使用newauthcode与服务器端存储的authcode进行比对，若一致，则证明下载口令正确，服务器端将加密文件推送到下载浏览器，下载浏览器按照对称加密的逆流程进行解密，首先解密文件元数据，获取原始文件列表信息，然后将解密后数据依次放入不同的原始文件中。下载成功后，将下载次数减一，若下载次数已降低为0，则把服务器端相关文件删除。
92.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。