一种基于第三方密钥管理的文件加密系统的制作方法

本发明属于信息安全技术领域，特别是涉及一种基于第三方密钥管理的文件加密系统。

背景技术：

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等)，直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

企业信息安全对企业至关重要，通常通过密钥对信息进行加密，但是密钥通常会被破解，并且会有可能被其他人盗用；现在提出一种基于第三方密钥管理的文件加密系统，通过独立的第三方密钥管理端对密钥进行管理，保证加密文件只能被用户打开，并通过密钥更新模块对密钥进行更新，降低了密钥被破解的风险。

技术实现要素：

本发明的目的在于提供一种基于第三方密钥管理的文件加密系统，通过独立的第三方密钥管理端对密钥进行管理，只有拿到密钥才能打开加密文件，能保证只有用户本人才能看到对文件进行解密打开；并通过客户端对文件进行加密/解密并同步到云端服务器；很好地解决了文件的安全加密问题；并通过密钥更新模块在密钥通过密钥验证模块验证后对密钥进行更新，降低了密钥被破解的风险。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种基于第三方密钥管理的文件加密系统，包括：用于管理密钥的密钥管理端；所述密钥管理端包括身份验证单元、密钥生成模块、密钥分发模块、密钥更新模块和密钥备份模块；所述密钥管理端在文件加密时生成一密钥并将密钥进行分发保管；用于文件加密/解密和同步的客户端；客户端包括文件加密模块、密钥验证模块、文件解码模块和文件同步模块；用于存储、备份加密文件的云端服务器；所述客户端与云端服务器通过以太网进行信息交互；所述客户端将文件进行加密/解密后传输至云端服务器进行存储备份。

进一步地，所述身份验证单元用于验证管理员身份，管理员通过指纹验证的方式验证管理员身份；所述密钥生成模块用于生成密钥和对应关系表；所述密钥分发模块用于将密钥和对应关系表分发给保管员；所述密钥更新模块通过一次一密的方式对密钥进行更新，所述密钥备份模块用于备份密钥；当密钥保管员丢失密钥时，通过管理员将备份密钥取出。

进一步地，所述文件加密模块用于对文件进行加密；所述密钥验证模块用于验证密钥；所述文件解码模块用于解密文件；所述文件同步模块用于将加密文件同步到云端服务器；当要解密文件时，所述密钥验证模块对密钥进行验证，验证通过后所述文件解密单元对文件进行解密打开，密钥不通过，所述文件解密模块拒绝对文件进行解密。

进一步地，所述文件加密模块将文件进行加密时将信号传输至密钥生产模块，所述密钥生成模块接收到信号后通过加密算法随机生成一密钥；所述密钥分发模块将所述密钥生成模块生成的密钥和分发给保管员，用户通过密钥打开加密文件。

进一步地，所述密钥验证模块在验证密钥后向密钥更新模块反馈信号，所述密钥更新模块接收到信号后通过单向函数将旧密钥更新为新密钥，当双方共享同一密钥时，通过同一个单向函数进行操作，会得到相同的结果，降低了密钥被破解的风险。

一种基于第三方密钥管理的文件加密系统的文件加密方法，包括以下步骤：

SS01、通过文件加密模块对文件进行加密，密钥生产模块生成公钥/私钥对；

SS02、系统生产由伪随机数组成的文件加密钥匙FEK；

SS03、利用FEK和数据扩展标准X算法创建加密后的文件进行存储，并删除未加密的原始文件；

SS04、系统利用公钥加密FEK，并将FEK放入加密文件中；

SS05、系统利用公钥加密FEK，加密完成；

SS06、通过密钥分发模块将私钥分发给保管人，并将私钥放至密钥备份模块进行备份。

一种基于第三方密钥管理的文件加密系统的文件解密方法，包括以下步骤：

SS01、通过客户端打开加密文件，用户通过包括员获取密钥，并输入密钥；

SS02、密钥验证模块验证私钥是否正确，密钥验证通过后文件解密模块对加密文件进行解密；解密时系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件；密钥验证不通过后进入SS04；

SS03、密钥验证模块在验证密钥通过后向密钥更新模块反馈信号，密钥更新模块接收到信号后随机生成一单向函数对密钥进行更新，并通过密钥分发模块重新分发给保管员；

SS04、密钥验证不通过后，文件解密模块拒绝对文件进行解密。

本发明具有以下有益效果：

本发明通过独立的第三方密钥管理端对密钥和对应关系表进行管理，只有拿到密钥才能打开加密文件，保证只有用户本人才能看到对文件进行解密打开；并通过客户端对文件进行加密/解密并同步到云端服务器；很好地解决了文件的安全加密问题；并通过密钥更新模块在密钥通过密钥验证模块验证后对密钥进行更新，降低了密钥被破解的风险。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提出的一种基于第三方密钥管理的文件加密系统的系统框图；

图2为系统对文件进行加密的流程框图；

图3为系统对文件进行解密的流程框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，本发明为一种基于第三方密钥管理的文件加密系统，包括用于管理密钥的密钥管理端；用于管理密钥的密钥管理端；密钥管理端包括身份验证单元、密钥生成模块、密钥分发模块、密钥更新模块和密钥备份模块；密钥管理端在文件加密时生成一密钥并将密钥和进行分发保管；用于文件加密/解密和同步的客户端；客户端包括文件加密模块、密钥验证模块、文件解码模块和文件同步模块；用于存储、备份加密文件的云端服务器；客户端与云端服务器通过以太网进行信息交互；客户端将文件进行加密/解密后传输至云端服务器进行存储备份。

其中，身份验证单元用于验证管理员身份，管理员通过指纹验证的方式验证管理员身份；密钥生成模块用于生成密钥；密钥分发模块用于将密钥和对应关系表分发给保管员；密钥更新模块通过一次一密的方式对密钥进行更新，密钥备份模块用于备份密钥；当密钥保管员丢失密钥时，通过管理员将备份密钥取出。

优选地，文件加密模块用于对文件进行加密；密钥验证模块用于验证密钥；文件解码模块用于解密文件；文件同步模块用于将加密文件同步到云端服务器；当要解密文件时，密钥验证模块对密钥进行验证，验证通过后文件解密单元对文件进行解密打开，密钥不通过，文件解密模块拒绝对文件进行解密。

优选地，文件加密模块将文件进行加密时将信号传输至密钥生产模块，密钥生成模块接收到信号后通过加密算法随机生成一密钥；密钥分发模块将密钥生成模块生成的密钥分发给保管员，用户通过密钥打开加密文件。

优选地，密钥验证模块在验证密钥后向密钥更新模块反馈信号，密钥更新模块接收到信号后通过单向函数将旧密钥更新为新密钥，当双方共享同一密钥时，通过同一个单向函数进行操作，会得到相同的结果，降低了密钥被破解的风险。

优选地，如图2所示，一种基于第三方密钥管理的文件加密系统的文件加密方法，包括以下步骤：

SS01、通过文件加密模块对文件进行加密，密钥生产模块生成公钥/私钥对；

SS02、系统生产由伪随机数组成的文件加密钥匙FEK；

SS03、利用FEK和数据扩展标准X算法创建加密后的文件进行存储，并删除未加密的原始文件；

SS04、系统利用公钥加密FEK，并将FEK放入加密文件中；

SS05、系统利用公钥加密FEK，加密完成；

SS06、通过密钥分发模块将私钥分发给保管人，并将私钥放至密钥备份模块进行备份。

优选地，如图3所示，一种基于第三方密钥管理的文件加密系统的文件解密方法，包括以下步骤：

SS01、通过客户端打开加密文件，用户通过包括员获取密钥，并输入密钥；

SS02、密钥验证模块验证私钥是否正确，密钥验证通过后文件解密模块对加密文件进行解密；解密时系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出文件；密钥验证不通过后进入SS04；

SS03、密钥验证模块在验证密钥通过后向密钥更新模块反馈信号，密钥更新模块接收到信号后随机生成一单向函数对密钥进行更新，并通过密钥分发模块重新分发给保管员；

SS04、密钥验证不通过后，文件解密模块拒绝对文件进行解密。

值得注意的是，上述系统实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

另外，本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，相应的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如ROM/RAM、磁盘或光盘等。以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。