实际需要以及加密算法设计的不同,也可以是采用其他的顺序来获得用户指纹信息、设备标识以及密码信息等信息,也可以是同时获得这些信息,本发明实施例对此不做具体限定。
[0057]基于本发明实施例的方案,还可以用以实现加密后文件的分享,在具体实施时,可以基于选择项来选择是进行常规的加密还是需要进行文件分享的加密,例如菜单栏,或者为常规加密、需要进行文件分享的加密设置不同的加密触发控件来接收加密指令等等,可以基于各种不同的方式来实现这种选择。
[0058]在需要加密生成可以进行分享的加密后文件时,在对待加密对象进行加密时,同时需结合待分享目标用户持有的数据保护密钥硬件设备的公有密钥进行。例如,假设用户A需要对文件进行加密后分享给目标用户B,用户A持有数据保护密钥硬件设备A,目标用户B持有数据保护密钥硬件设备B,则用户A采用终端设备对待分享的待加密文件进行加密时,不仅需要结合数据保护密钥硬件设备A中存储的用户指纹信息、设备标识等信息,还需同时结合数据保护密钥硬件设备B的公有密钥进行。得到的加密后文件分享给目标用户B之后,基于数据保护密钥硬件设备B的私有密钥即可实现对加密后文件的解密,实现文件的加密分享。从而,在进行加密分享时,是基于待分享目标用户持有的数据保护密钥硬件设备的公有密钥进行,从而仅能结合待分享目标用户持有的数据保护密钥硬件设备的私有密钥才能实现加密后文件的解密,实现了文件的安全分享。
[0059]基于本发明实施例的思想,在加密后对象需要打开时,也可以对其进行保护,以防被他人窃取。图5中示出了一个实施例中打开加密后对象时进行运行中保护的原理示意图。在图5所示中,是以加密后对象为文件、且加密后文件是结合用户指纹信息、密码信息、设备标识进行加密为例进行说明。
[0060]如图5所示,加密后文件可以采用本发明方法对应的软件打开,也可以采用外部软件来打开。
[0061]在采用与本发明方法对应的软件打开时,一个具体的实现过程可以是如下所述:
[0062]在接收到加密文件打开指令时,执行对加密后文件的解密过程,并在解密过程中,从所述数据保护密钥硬件设备获取用户指纹信息、密码信息以及所述数据保护密钥硬件设备的设备标识,具体的获取过程可以与如上所述的示例中的相同;
[0063]随后,根据获取的用户指纹信息、密码信息、设备标识,采用与上述解密时的方式对应的解密方式对加密后文件进行解密;
[0064]调用应用系统内存沙箱,将解密后文件在所述应用系统内存沙箱中运行。
[0065]此外,解密后得到的解密后文件,还可以通过调用外部软件来打开,但本发明实施例方案会追踪每一个加密后文件的打开与关闭情况。此时,在监测到加密后文件被外部应用打开时,调用应用系统内存沙箱,将加密后文件被外部应用打开后生成的内存文件在应用系统内存沙箱中运行。
[0066]另一方面,目前的软件应用在打开文件时,都在终端应用系统生成临时文件,而在文件关闭后该临时文件并不会予以删除,因而会影响到文件的安全性。据此,本发明实施例方案还追踪加密后对象的关闭情况,图6中示出了一个示例中关闭打开的加密后对象后的保护原理示意图。如图6所示,在监测到加密后对象关闭时,可以删除终端应用系统生成的临时文件。为了进一步增强安全性,在监测到所述加密后对象关闭时,删除终端应用系统生成的临时文件的过程可以通过下述方式进行:在临时文件的存储位置写入随机数覆盖所述临时文件,然后再删除覆盖后的临时文件。从而即使临时文件被他人获知,由于该临时文件已经被随机数破坏,因而也无法还原出原始文件。
[0067]由此可见,基于本发明实施例的方法,加密后对象无论采用何种方式打开,在内存中的文件都是在沙箱保护下运行,在被外部软件打开时,在文件关闭后对临时文件及时进行了删除,避免了文件打开过程中的内存文件和文件关闭后的临时文件被盗取的安全隐串
■/Q1、O
[0068]基于与上述电子数据保护方法相同的思想,本发明实施例还提供一种电子数据保护装置。图7中示出了一个实施例中的电子数据保护装置的结构示意图。
[0069]如图7所示,本实施例中的电子数据保护装置包括有:
[0070]加密指令接收模块701,用于接收加密指令;
[0071]信息获取模块702,用于在加密过程中,分别向数据保护密钥硬件设备发送信息获取指令,所述信息获取指令包括设备标识获取指令、指纹信息获取指令,并分别接收所述数据保护密钥硬件设备根据所述信息获取指令返回的信息,所述信息分别包括设备标识、用户指纹信息;
[0072]加密处理模块703,用于根据所述加密指令执行加密过程,并根据所述数据保护密钥硬件设备返回的信息完成对待加密对象的加密,得到加密后对象。
[0073]根据如上所述的本发明实施例的装置,其本质上是实现了是采用了软硬件结合的方式对待加密对象进行加密,且在对待加密对象进行加密过程中不断地与数据保护密钥硬件设备进行通信,获得用户指纹信息以及数据保护密钥硬件设备的设备标识,加密过程依赖于所获得的用户指纹信息以及数据保护密钥硬件设备的设备标识,基于数据保护密钥硬件设备所提供的信息进行加密,相对于纯软件加密的方式来说,极大地提高了加密后对象的安全性,只要数据保护密钥硬件设备被用户持有,任何黑客或者其他想要盗取信息的人都无法对加密后对象进行破解。另一方面,由于加密过程并不是在数据保护密钥硬件设备上进行,本质上是软件执行,因此,所得到的加密后对象的存储位置可以灵活设置,而无需局限在数据保护密钥硬件设备,有效扩展了电子数据的存储空间。
[0074]其中,在上述对待加密对象进行加密时,还可以结合用户设定的密码进行。因此,上述信息获取模块702向数据保护密钥硬件设备发送的信息获取指令,还可以包括密码信息获取指令。
[0075]此时,信息获取模块702接收的数据保护密钥硬件设备根据所述信息获取指令返回的信息还可以包括有密码信息。
[0076]相应地,加密处理模块703在对待加密对象进行加密时,根据所述用户指纹信息、所述设备标识、所述数据保护密钥硬件设备根据所述密码信息获取指令返回的密码信息对所述待加密对象进行加密。
[0077]其中,上述用户指纹信息可以是通过普通的指纹识别设备获得的指纹信息。为了进一步提高信息安全性,在本发明实施例中,该用户指纹信息为通过划擦式指纹获取装置获得的指纹信息。由于普通的指纹识别设备是对静态的指纹信息进行识别,指纹图片也会识别为是正确的指纹,极易被人冒用而产生欺骗效果,影响文件安全。而本发明实施例通过划擦式的方式获得指纹信息,是一种动态获取指纹信息的方式,静态的指纹信息将无法识别,避免了指纹信息被欺骗的可能,加强了安全性。
[0078]另一方面,该用户指纹信息可以不是指纹图片,而是二进制数字化的指纹信息,避免用户指纹信息被复制的可能性,进一步提高了安全性。
[0079]上述数据保护密钥硬件设备的设备标识,可以采用制造该数据保护密钥硬件设备时烧录量子计算机所产生的随机数来表示。在具有多个数字保护密钥硬件设备的情况下,这多个数字保护密钥硬件设备可以采用同一个随机数作为设备标识,该随机数可以在制造时由烧录量子计算机产生并写入,从而它们可以互为备份,在其中一个丢失的情况下,还可以由另外一个来解密加密过的文件,保证电子数据的安全。
[0080]为了进一步提高安全性,数据保护密钥硬件设备上存储的用户指纹信息、设备标识以及密码信息,可以是经过数据保护密钥硬件设备加密后得到的信息,以进一步提高安全性。具体的加密方式可以采用任何可能的方式进行,本发明实施例对此不做具体限定,例如可以采用与对待加密对象进行加密时不同的方式进行。
[0081]