基于量子密码设备的文件系统流加解密方法及系统与流程

技术特征：

1.一种基于量子密码设备的文件系统流加解密方法，其特征在于，应用于用户主机，所述方法包括：

2.如权利要求1所述的基于量子密码设备的文件系统流加解密方法，其特征在于，在所述接收文件访问操作请求之前，所述方法还包括：

3.如权利要求2所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述在证书状态为无设备证书时绑定存储设备，包括：

4.如权利要求2所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述对用户输入目录所在的存储设备的硬盘序列号进行验证，包括：

5.如权利要求2或4所述的基于量子密码设备的文件系统流加解密方法，其特征在于，在对硬盘序列号进行验证通过后，所述方法还包括：

6.如权利要求2或4所述的基于量子密码设备的文件系统流加解密方法，其特征在于，在对硬盘序列号进行验证通过后，所述方法还包括：

7.如权利要求1所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述方法还包括：

8.如权利要求1所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述方法还包括：

9.一种基于量子密码设备的文件系统流加解密方法，其特征在于，应用于量子密码设备，所述方法包括：

10.如权利要求9所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述量子密码设备中设置有安全存储区，所述安全存储区包括索引表区和密钥存储区，所述索引表区包括根目录索引表、文件索引句柄和流密钥块表，每个挂载根目录对应一张根目录索引表，所述根目录索引表记录该挂载根目录中全部加密文件的inode值及索引值，所述文件索引句柄记录文件与流密钥块表或分组密钥键值的映射关系，所述流密钥块表记录一组密钥块的行列编号；

11.如权利要求10所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述安全存储区中还包括证书区，所述证书区用于存放保护密钥和设备证书，在所述接收由用户主机发送的目标文件的inode值之前，所述方法还包括：

12.如权利要求10所述的基于量子密码设备的文件系统流加解密方法，其特征在于，在所述量子密码设备进行自检初始化之后，所述方法还包括：

13.如权利要求12所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述在无设备证书时，触发所述用户主机绑定存储设备，包括：

14.如权利要求12所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述触发所述用户主机对用户输入目录所在的存储设备的硬盘序列号进行验证，包括：

15.如权利要求14所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述挂载目录鉴权的过程包括：

16.如权利要求14所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述挂载目录鉴权的过程包括：

17.如权利要求10所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述接收所述用户主机发送的目标文件的内容及索引号，并基于索引号查询流密钥块表获取密钥流或基于所述索引号查询密钥键值获取加密密钥，包括：

18.如权利要求17所述的基于量子密码设备的文件系统流加解密方法，其特征在于，在基于索引号查询流密钥块表号时，若流密钥块的块数不足，则触发密钥块填充流程，包括：

19.如权利要求17所述的基于量子密码设备的文件系统流加解密方法，其特征在于，在基于索引号查询密钥键值获取加密密钥时，若密钥键值为空，则触发密钥填充流程，包括：

20.如权利要求10所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述方法还包括：

21.如权利要求10所述的基于量子密码设备的文件系统流加解密方法，其特征在于，所述方法还包括：

22.一种用户主机，其特征在于，所述用户主机中运行用户文件系统，所述用户文件系统创建有守护进程、文件节点查询模块以及量子加解密接口，其中：

23.如权利要求22所述的用户主机，其特征在于，所述用户文件系统还创建有虚拟文件系统事件，其中：

24.如权利要求22所述的用户主机，其特征在于，所述用户文件系统还创建有量子密码设备认证模块，用于检测绑定的量子密码设备的合法性，并初始化量子密码设备的安全存储区。

25.如权利要求22所述的用户主机，其特征在于，所述用户文件系统还创建有挂载目录鉴权模块，用于触发目录查表流程或目录映射流程，使得所述量子密码设备置位挂载根目录索引表锁定状态字段。

26.一种量子密码设备，其特征在于，所述量子密码设备内设置主控制器和安全存储区，所述安全存储中设置有索引表区，所述主控制器包括：

27.如权利要求26所述的量子密码设备，其特征在于，所述安全存储区包括索引表区和密钥存储区，所述索引表区包括根目录索引表、文件索引句柄和流密钥块表，每个挂载根目录对应一张根目录索引表，所述根目录索引表记录该挂载根目录中全部加密文件的inode值及索引值，所述文件索引句柄记录文件与流密钥块表或分组密钥键值的映射关系，所述流密钥块表记录一组密钥块的行列编号；

28.如权利要求27所述的量子密码设备，其特征在于，所述量子密码设备中还设置有量子随机数熵源，所述流密钥和所述加密密钥均由量子随机数熵源生成。

29.如权利要求27所述的量子密码设备，其特征在于，所述量子密码设备中还设置有国密算法器，用于根据所述加密密钥对所述目标文件的内容进行加密或解密运算。

30.一种基于量子密码设备的文件系统流加解密系统，其特征在于，所述系统包括用户主机和量子密码设备，所述用户主机中运行用户文件系统，所述量子密码设备和存储设备接入所述用户主机，所述用户文件系统创建有守护进程、文件节点查询模块以及量子加解密接口，所述量子密码设备内设置主控制器和安全存储区，所述安全存储中设置有索引表区，所述主控制器包括索引号查询模块、密钥查询模块和加/解密运算模块；

技术总结
本发明公开一种基于量子密码设备的文件系统流加解密方法及系统，方法包括接收文件访问操作请求；根据目标文件的inode值从量子密码设备获取目标文件对应的索引号；将目标文件及对应的索引号传递至量子密码设备，以使量子密码设备基于索引号查询流密钥块表获取密钥流或基于索引号查询密钥键值获取加密密钥；接收量子密码设备返回的文件操作结果，文件操作结果为量子密码设备基于密钥流或加密密钥对目标文件进行加密运算或解密运算得到；本发明可实现更高强度的文件加密保护，且提升反破解能力。

技术研发人员：李曦灏,龙翔,胡川
受保护的技术使用者：中电信量子科技有限公司
技术研发日：
技术公布日：2024/2/8