本发明涉及数据加密,具体涉及基于国密linux内核文件系统数据的加密方法及装置。
背景技术:
1、国产加密算法的应用生态匮乏主要是由于起步晚以及系统对国产算法不兼容等原因所致,尽管国产密码算法如sm4和sm3已经被纳入linux系统的内核源码中,但所有主流linux操作系统的供应商并未将其编译到发布版本中。
2、在新版linux系统内核中虽然增加了数据加密功能,但仅支持国际通用的加密算法,并不支持国产加密算法。由于国际通用加密算法的标准制定过程涉及多个国家和组织,因此国际通用加密算法存在潜在的后门,容易使得加密数据受到威胁,此外如果国内linux系统应用主要依赖于国际通用算法,也容易导致国内密码学技术的发展受限。
技术实现思路
1、有鉴于此,本发明提供了一种基于国密linux内核文件系统数据的加密方法,以解决加密过程中数据安全性不高,加密算法缺乏本土化应用的问题。
2、第一方面,本发明提供了一种基于国密linux内核文件系统数据的加密方法,方法包括:基于国产对称加密算法以及linux系统内核编译选项对linux系统内核源码进行升级;基于升级后linux系统内核原生文件系统的驱动接口,编写原生文件系统的加密工具;获取linux系统目录下的可用盘,根据加密文件系统创建指令将所述可用盘作为加密文件系统的存储设备,挂载至linux系统目录下,生成加密目录;根据秘钥注册指令利用加密工具将预创建秘钥文件中的秘钥注册至所述加密目录,并记录所述秘钥注册后自动返回的加密文件夹描述符;根据所述加密工具以及加密文件夹描述符设置加密策略,所述加密策略包括文件名和数据对应的加密算法和填充模式;基于所述加密策略对写入加密目录的文件数据进行加密。
3、本发明实施例通过将国产对称加密算法添加到linux系统内核中,并根据升级后的内核原生文件系统驱动接口编写原生文件系统的加密工具,同时设置加密策略,包括文件名和数据对应的加密算法和填充模式,可以进一步加强数据加密的安全性,通过加密工具配合linux原生文件系统完成国密加密功能,相较于目前主流加密文件系统性能更高,由于引入国产密码算法,从而填补了linux原生文件系统在国产算法方面的空白,进而增强了系统的本土化和安全性。
4、在一种可选的实施方式中,所述基于国产对称加密算法以及linux系统内核编译选项对linux系统内核源码进行升级,包括:基于国产对称加密算法对linux系统内核源码进行设置;基于编译选项对设置后的linux系统内核源码进行编译;在编译结束后,升级linux系统内核。
5、通过修改linux系统内核源码,整合国产对称加密算法到linux系统内核中,并通过编译选项对内核进行设置和编译,最后升级linux系统内核,从而可以提供更高的性能和稳定性。
6、在一种可选的实施方式中,所述基于国产对称加密算法对linux系统内核源码进行设置,包括:获取linux系统内核源码中加密模块的修改位置;获取linux系统内核源码中原生文件系统的秘钥模块修改位置以及加密策略模块修改位置;基于所述加密模块的修改位置、所述原生文件系统的秘钥模块修改位置以及加密策略模块修改位置设置国产对称加密算法以及国产对称加密算法对应的宏定义。
7、通过修改加密模块的位置,将国产对称加密算法集成到linux系统中,同时,通过对原生文件系统的秘钥模块和加密策略模块进行修改,从而可以实现对文件数据的加密保护。
8、在一种可选的实施方式中,所述基于编译选项对设置后的linux系统内核源码进行编译,包括:将编译选项中的文件加密选项设置为开启;判断linux系统内核是否支持国产对称加密算法,若支持,则编译设置后的linux系统内核源码。
9、通过编译选项的设置,确保加密模块和文件系统的秘钥模块以及加密策略模块得到正确的编译和配置。从而可以保证在升级后的linux系统内核中能够正常支持国产对称加密算法。
10、在一种可选的实施方式中,所述方法,还包括:若不支持,则单独编译国产对称加密算法的驱动程序;将所述驱动程序加载至linux系统内核。
11、通过判断linux系统内核是否支持国产对称加密算法,若不支持则单独编译国产对称加密算法的驱动程序,从而确保系统完全支持该算法,将其完全集成到内核中。
12、在一种可选的实施方式中,所述根据所述加密工具以及加密文件夹描述符设置加密策略,包括:根据所述加密工具判断是否存在指定加密算法;若不存在,则基于加密工具中默认的加密算法以及加密文件夹描述符设置加密策略;若存在,则将指定加密算法添加至加密策略。
13、通过判断加密工具是否存在指定的加密算法,可以及时发现是否已经指定某个加密算法作为文件的加密算法。当具有指定加密算法时,根据加密文件夹描述符设置加密策略可以补充该指定的算法,从而可以实现文件名和文件数据采用不同的加密算法。
14、在一种可选的实施方式中,所述基于所述加密策略对写入加密目录的文件数据进行加密之后,还包括:根据文件锁定指令利用加密工具将存储加密后的文件数据的文件夹进行锁定。
15、通过文件锁定指令,加密文件数据可以实现对文件的临时或长期锁定,防止被未经授权的用户或恶意软件盗取,进而可以提高数据的安全性。
16、第二方面,本发明提供了一种基于国密linux内核文件系统数据的加密装置,所述装置包括:
17、内核升级模块,用于基于国产对称加密算法以及linux系统内核编译选项对linux系统内核源码进行升级;
18、加密工具创建模块,用于基于升级后linux系统内核原生文件系统的驱动接口,编写原生文件系统的加密工具;
19、加密文件系统挂载模块,用于获取linux系统目录下的可用盘,根据加密文件系统创建指令将所述可用盘作为加密文件系统的存储设备,挂载至linux系统目录下,生成加密目录;
20、秘钥注册模块,用于根据秘钥注册指令利用加密工具将预创建秘钥文件中的秘钥注册至所述加密目录,并记录所述秘钥注册后自动返回的加密文件夹描述符;
21、加密策略设置模块,用于根据所述加密工具以及加密文件夹描述符设置加密策略,所述加密策略包括文件名和数据对应的加密算法和填充模式;
22、数据加密模块,用于基于所述加密策略对写入加密目录的文件数据进行加密。
23、第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的基于国密linux内核文件系统数据的加密方法。
24、第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的基于国密linux内核文件系统数据的加密方法。
1.一种基于国密linux内核文件系统数据的加密方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于国产对称加密算法以及linux系统内核编译选项对linux系统内核源码进行升级,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于国产对称加密算法对linux系统内核源码进行设置,包括:
4.根据权利要求2所述的方法,其特征在于,所述基于编译选项对设置后的linux系统内核源码进行编译,包括:
5.根据权利要求4所述的方法,其特征在于,所述方法,还包括:
6.根据权利要求1所述的方法,其特征在于,所述根据所述加密工具以及加密文件夹描述符设置加密策略,包括:
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述基于所述加密策略对写入加密目录的文件数据进行加密之后,还包括:
8.一种基于国密linux内核文件系统数据的加密装置,其特征在于,所述装置包括:
9.一种计算机设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的基于国密linux内核文件系统数据的加密方法。