一种基于加密分区进行电子数据文件保护的方法和装置

摘要

本发明公开了一种基于加密分区进行电子数据文件保护的方法和装置，属于电子数据文件保护领域，本发明采用“云服务端+客户端”的整体设计；云服务端包括：数据采集模块、密钥存储模块、云端身份认证模块；客户端包括：客户端身份认证模块、透明加密模块、分区管理模块、分区保护模块。本发明采用“云+端”的动态认证和透明加解密结合的方案，可以有效防止他人随意访问、复制、删除文件和文件夹，保证隐私数据的安全。

说明书

技术领域

本发明涉及电子数据文件保护，特别涉及一种基于加密分区进行电子数据 文件保护的方法和装置。

背景技术

云存储：是在云计算(cloudcomputing)概念上延伸和发展出来的一个新 的概念，是一种新兴的网络存储技术，是指通过集群应用、网络技术或分布式 文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起 来协同工作，共同对外提供数据存储和业务访问功能的一个系统。

高级加密标准(AdvancedEncryptionStandard，AES)：是美国国家标准 与技术研究所用于加密电子数据的规范，是一个新的可以用于保护电子数据的 加密算法。具体而言，AES是一个迭代的、对称密钥分组的密码，它可以使用 128、192和256位密钥，并且用128位(16字节)分组加密和解密数据。对 称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的 位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替 换输入数据。AES256就是使用256位密钥加密和解密数据。

透明加密(Transparentencryption)：是近年来针对企业文件保密需求 应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使 用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加 密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环 境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内 容的效果。

安全散列算法(TheSecureHashAlgorithm，SHA)：由美国国家标准和 技术协会(NationalInstituteofStandardsandtechnology，NIST)于1993 年提出，并被定义为安全散列标准(SecureHashStandard，SHS)。这种算法 接受的输入文档小于2的64次方位，产生160位的报文摘要。该算法实际的 目标使得找出一个能够匹配给定的散列值的文本是不可能的计算。

目前市面上有不少针对电子数据文件提供保护的软件和设备，这些软件和 设备均存在如下问题：

1、仅对存储文件的文件夹、分区加密，未对文件本身进行加密；

2、未使用透明加密，用户使用过程中需频繁进行加解密操作；

3、无法远程管理加密分区，泄密后无法进行核查；

4、加密分区本身安全防御薄弱，无法对分区进行操作保护；

5、分区加密密钥安全管理疏漏，严重依赖用户个人安全意识和记忆；

6、软件流程繁琐，使用很不方便。

发明内容

本发明针对现有技术的不足，提供一种基于加密分区进行电子数据文件保 护的方法和装置，能够有效解决仅对存储文件的文件夹、分区加密，未对文件 本身进行加密的问题。

为解决以上问题，本发明采用的技术方案如下：一种基于加密分区进行电 子数据文件保护的方法，包括以下步骤：

101进行身份确认，使用账号密码登录或者使用第三方账号授权登录；

102确认用户身份后，如果已创建加密分区，直接挂载；如果未创建，开 始创建：选择分区存储位置、设置分区容量、设置分区挂载盘符、设置安全删 除验证码、设置自动锁定时间和解锁密码，完成设置后，读取用户硬盘识别号 和电脑识别号，组合形成分区加密密码，采用该密码对分区加密初始化；初始 化完成后挂载加密分区；分区加密密码、解锁密码、安全删除验证码通过SHA 加密后存放在云端密钥存储模块；

103挂载加密分区后，进行卸载、删除、锁定、修改属性、备份和恢复管 理操作；

104加密分区创建后，受分区保护模块隐藏保护，未授权，禁止对分区及 分区里存储文件进行读写删除操作；用户登录后，自动为分区分配一个盘符， 挂载在我的电脑里，退出时，从我的电脑卸载加密分区，释放加密分区的盘符；

105将用户账户密码信息加密存储在云端，用户登录时，与客户端身份认 证模块进行比对确认身份；

106在用户创建加密分区时，将随机生成的具有唯一识别的分区加密密钥、 解锁密码、安全删除验证码通过SHA加密后存放在云端；云端身份认证模块确 认登录用户身份后，密钥存储模块从云端返回加密后的加密密钥，在客户端解 密后用于解密加密分区；锁定解锁和删除加密分区时，客户端上传加密解锁密 钥和安全删除验证码到云端，密钥存储模块进行比对判断，返回结果到客户端；

107将用户电脑识别码、硬盘识别码、加密分区存储位置、状态、日志数 据采集到云端，用于创建多个加密分区后的远程管理，泄密时，进行泄密核查。

作为优选,101包括如下步骤：

201进入客户端后，首先与云服务端通信，判定用户是否登录，如果已经 登录，直接进入透明加密模块；如果未登录，进入下一步；

202对未登录用户判定其有无账户；

203-1对于有账户的，引导登录；

203-2对没有账户的，引导其注册新用户，注册数据进行SHA加密后，上 传到云端身份认证模块；

203-3对没有账户的，引导其使用第三方账户授权登录，授权登录后，采 用电脑和硬盘唯一识别码，自动生成一个用户账户信息，并关联第三方信息， 进行SHA加密后，上传到云端身份认证模块；

204账户密码登录的获得验证通过、第三方账户登录获得授权的，进入透 明加密模块；未通过验证和获得授权的，返回上一步。

作为优选,102包括如下步骤：

301身份认证通过后，首先判定在当前电脑上，有无用户创建的加密分区；

302如果有加密分区，直接挂载加密分区；如果没有，启动透明加密分区 模块，引导创建加密分区；

303-1创建加密分区，首先选择硬盘的物理分区；

303-2然后设置分区的容量大小、盘符、名字；

303-3根据用户电脑、硬盘唯一识别号，随机抽取生成一个分区加密密码， 并将此加密密码进行SHA加密后，上传到云服务端密钥存储模块；

304完成303的设置后，采用透明加密，开始初始化加密分区；

305创建加密分区完成，或已有加密分区，将其采用用户自定义或自动分 配一个盘符，挂载显示在我的电脑里。

作为优选,103包括如下步骤：

401-1挂载分区后，用户可卸载分区：从我的电脑里卸载加密分区，释放 所述加密分区的盘符，隐藏加密分区；

401-1-2卸载分区后，用户可挂载分区：为隐藏分区分配一个盘符，挂载 显示在我的电脑里；

401-2挂载分区后，用户可锁定分区：用密码锁定我的电脑里挂载的加密 分区，禁止打开加密分区；锁定方式可手动或自动；

401-2-2锁定分区后，用户可解锁分区：输入解锁密码，从云服务端密钥 存储模块验证授权后，打开加密分区；

401-3挂载分区后，用户可备份分区：将加密分区存储的数据，采用增量 备份的模式，选择手动或自动的方式，备份在本地硬盘、移动硬盘或云存储服 务器；

401-3-2进行备份后，当加密分区数据丢失后，用户可恢复分区：导入此 前备份在本地硬盘、移动硬盘或云存储服务器中的备份数据；

401-4挂载分区后，用户可修改属性：修改保险箱名字、解锁密码、安全 删除验证码、挂载盘符；修改后的数据上传到云服务端的密钥存储模块和数据 采集模块进行更新；客户端更新相关修改数据；

401-5挂载分区后，用户可删除分区：输入安全删除验证码，从云服务端 的密钥存储模块验证授权后，彻底销毁创建的加密分区及里边存储的数据；销 毁后，进入透明加密模块中的创建加密分区。

作为优选,104包括如下步骤：

501-1透明加密，根据用户电脑、硬盘唯一识别号，随机抽取生成一个分 区加密密码，对分区和分区内存储文件，在登录打开加密分区时，自动进行解 密，退出关闭加密分区时，自动进行加密；

501-2读写保护，未验证身份，隐藏加密分区，对分区及分区内文件不能 进行任何操作；验证身份，挂载打开分区，可对分区内文件进行读写删除操作； 验证身份，未挂载打开分区，可设置快捷操作方式下，存入文件的大小限制， 在限制范围内，可以存入文件到加密分区；

501-3锁定保护，设置锁定解锁密码，选择锁定方式：自动或手动，在自 动锁定方式下，设置自动锁定的触发条件；锁定时，挂载加密分区，未通过解 锁验证，禁止打开；

501-4删除保护，设置安全删除验证码，可选择具体保护项目：加密分区、 分区内指定文件/文件夹；删除时，未通过安全删除验证，不能进行删除操作；

501-5隐藏保护，对加密分区进行隐藏，可设置隐藏文件伪装的类型：图 片、音频、视频；未获授权时，不能进行删除操作；

501-6日志记录，记录登录时间、登录IP、错误尝试、文件读写删除操作 运行数据，并将这些数据上传到云端数据采集模块。

作为优选,105包括如下步骤：

601接收客户端身份认证模块注册时填写的数据，和第三方账户授权登录 时，自动生成的账户信息、账户关联数据；

602用户从客户端请求登录时，云端接收客户端上传的通过SHA加密的登 录数据；

603云端校验客户端上传的用户名是否存在，用户名密码是否匹配；如果 是第三方账户授权登录，云端传送相关数据到第三方账户指定路径进行校验；

604-1如果通过校验，云端返回Ture给客户端；

604-2如果校验失败，云端返回False给客户端。

作为优选,106包括如下步骤：

701-1接收加密密钥数据，将各加密分区的密钥加密后通过客户端上传云 端存储；

701-2接收解锁密码数据，将各加密分区的解锁密钥加密后通过客户端上 传云端存储；

701-3接收安全删除验证码数据，将各加密分区的安全删除验证码加密后 通过客户端上传云端存储；

701-4备份密钥，云服务端，定期备份密钥存储模块中保存的数据在云服 务器和本地磁盘；

702-1传输加密密钥，当用户身份确认后，将对应加密分区密钥加密后传 输给客户端，客户端解密密钥后，解密加密打开分区及文件；

702-2校验解锁密码，用户从客户端请求解锁加密分区时，云端接收客户 端上传的通过SHA加密的解锁密码，进行校验；

702-3校验安全删除验证码，用户从客户端请求删除加密分区时，云端接 收客户端上传的通过SHA加密的安全删除验证码，进行校验；

703-1校验解锁密码返回，如果通过校验，云端返回Ture给客户端；

703-2校验解锁密码返回，如果校验失败，云端返回False给客户端；

703-3校验安全删除码返回，如果通过校验，云端返回Ture给客户端；

703-4校验安全删除码返回，如果校验失败，云端返回False给客户端。

作为优选,107包括如下步骤：

801采集基本信息数据，用户首次使用，采集用户电脑识别码、硬盘识别 码、硬盘序列号、硬盘容量和网络IP基础信息；

802采集操作数据，采集加密分区创建的物理分区位置、总容量、使用容 量、状态和操作日志数据；

803数据返回，用户远程管理时，返回同一账号下创建加密分区的位置、 容量、操作日志数据。

为解决以上问题，本发明采用的另一个技术方案如下：一种基于加密分区 进行电子数据文件保护的装置，包括云服务端和客户端，云服务端包括：数据 采集模块、密钥存储模块和云端身份认证模块；客户端包括：客户端身份认证 模块、透明加密模块、分区管理模块和分区保护模块；

数据采集模块：收集加密分区存储位置、状态、日志数据，进行泄密核查； 密钥存储模块：存储SHA加密后的分区密钥数据，身份确认后进行分区解密； 云端身份认证模块：存储用户身份认证数据，与客户端联动进行用户身份认证； 客户端身份认证模块：登录退出操作入口，与客户端联动进行用户身份认证； 透明加密模块：创建加密分区，使用AES对分区、文件本身进行透明加密；分 区管理模块：对分区进行卸载、删除、锁定、修改属性、备份、恢复等管理； 分区保护模块：对分区进行隐藏保护，未授权禁止读写删除操作；登录后，为 分区分配一个盘符，挂载在我的电脑里，退出时，从我的电脑里卸载加密分区， 释放所述加密分区的盘符。

本发明的有益效果如下：

本发明采用“云服务端+客户端”的整体设计；云服务端包括：数据采 集模块、密钥存储模块、云端身份认证模块；客户端包括：客户端身份认 证模块、透明加密模块、分区管理模块、分区保护模块。本发明采用“云+ 端”的动态认证和透明加解密结合的方案，可以有效防止他人随意访问、 复制、删除文件和文件夹，保证隐私数据的安全。

附图说明

图1为加密分区的电子数据文件保护主流程图；

图2为客户端身份认证模块详细流程图；

图3为透明加密模块详细流程图；

图4为分区管理模块详细流程图；

图5为分区保护模块详细流程图；

图6为云端身份认证模块详细流程图；

图7为密钥存储模块详细流程图；

图8为数据采集模块详细流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实 施例，对本发明做进一步详细说明。

一种基于加密分区的电子数据文件保护主流程，如图1所示：

101用户要打开加密分区，首先进行身份确认：可使用账号密码登录、使 用第三方账号授权登录；(客户端身份认证模块详细流程见图2)

102确认用户身份后，如果已创建加密分区，直接挂载；如果未创建，开 始创建：选择分区存储位置、设置分区容量、设置分区挂载盘符、设置安全删 除验证码、设置自动锁定时间和解锁密码，完成设置后，读取用户硬盘识别号 和电脑识别号，组合形成分区加密密码，采用该密码对分区加密初始化；初始 化完成后挂载加密分区；分区加密密码、解锁密码、安全删除验证码通过SHA 加密后存放在云端密钥存储模块；(透明加密模块详细流程见图3)

103挂载加密分区后，可进行卸载、删除、锁定、修改属性、备份、恢复 等管理操作；(分区管理模块详细流程见图4)

104加密分区创建后，受分区保护模块隐藏保护，未授权，禁止对分区及 分区里存储文件进行读写删除操作；用户登录后，自动为分区分配一个盘符， 挂载在我的电脑里，退出时，从我的电脑里卸载加密分区，释放加密分区的盘 符；(分区保护模块详细流程见图5)

105将用户账户密码等信息加密存储在云端，用户登录时，与客户端身份 认证模块进行比对确认身份；(云端身份认证模块详细流程见图6)

106在用户创建加密分区时，将随机生成的具有唯一识别的分区加密密钥、 解锁密码、安全删除验证码通过SHA加密后存放在云端；云端身份认证模块确 认登录用户身份后，密钥存储模块从云端返回加密后的加密密钥，在客户端解 密后用于解密加密分区；锁定解锁和删除加密分区时，客户端上传加密解锁密 钥和安全删除验证码到云端，密钥存储模块进行比对判断，返回结果到客户端； (密钥存储模块详细流程见图7)

107将用户电脑识别码、硬盘识别码、加密分区存储位置、状态、日志等 数据采集到云端，用于创建多个加密分区后的远程管理，泄密时，可进行泄密 核查；(数据采集模块详细流程见图8)

101具体如下：

201进入客户端后，首先与云服务端通信，判定用户是否登录，如果已经 登录，直接进入透明加密模块；如果未登录，进入下一步；

202对未登录用户判定其有无账户

203-1对于有账户的，引导登录；

203-2对没有账户的，引导其注册新用户，注册数据进行SHA加密后，上 传到云端身份认证模块；

203-3对没有账户的，引导其使用第三方账户授权登录，授权登录后，采 用电脑和硬盘唯一识别码，自动生成一个用户账户信息，并关联第三方信息， 进行SHA加密后，上传到云端身份认证模块；

204账户密码登录的获得验证通过、第三方账户登录获得授权的，进入透 明加密模块；未通过验证和获得授权的，返回上一步；

102具体如下：

301身份认证通过后，首先判定在当前电脑上，有无用户创建的加密分区；

302如果有加密分区，直接挂载加密分区；如果没有，启动透明加密分区 模块，引导创建加密分区；

303-1创建加密分区，首先选择硬盘的物理分区；

303-2然后设置分区的容量大小、盘符、名字；

303-3根据用户电脑、硬盘唯一识别号，随机抽取生成一个分区加密密码， 并将此加密密码进行SHA加密后，上传到云服务端密钥存储模块；

304完成303的设置后，采用透明加密，开始初始化加密分区；

305创建加密分区完成，或已有加密分区，将其采用用户自定义或自动分 配一个盘符，挂载显示在我的电脑里；

103具体如下：

401-1挂载分区后，用户可卸载分区：从我的电脑里卸载加密分区，释放 所述加密分区的盘符，隐藏加密分区；

401-1-2卸载分区后，用户可挂载分区：为隐藏分区分配一个盘符，挂载 显示在我的电脑里；

401-2挂载分区后，用户可锁定分区：用密码锁定我的电脑里挂载的加密 分区，禁止打开加密分区；锁定方式可手动或自动；

401-2-2锁定分区后，用户可解锁分区：输入解锁密码，从云服务端密钥 存储模块验证授权后，打开加密分区；

401-3挂载分区后，用户可备份分区：将加密分区存储的数据，采用增量 备份的模式，选择手动或自动的方式，备份在本地硬盘、移动硬盘或云存储服 务器；

401-3-2进行备份后，当加密分区数据丢失后，用户可恢复分区：导入此 前备份在本地硬盘、移动硬盘或云存储服务器中的备份数据；

401-4挂载分区后，用户可修改属性：修改保险箱名字、解锁密码、安全 删除验证码、挂载盘符；修改后的数据上传到云服务端的密钥存储模块和数据 采集模块进行更新；客户端更新相关修改数据；

401-5挂载分区后，用户可删除分区：输入安全删除验证码，从云服务端 的密钥存储模块验证授权后，彻底销毁创建的加密分区及里边存储的数据；销 毁后，进入透明加密模块中的创建加密分区；

104具体如下：

501-1透明加密。根据用户电脑、硬盘唯一识别号，随机抽取生成一个分 区加密密码，对分区和分区内存储文件，在登录打开加密分区时，自动进行解 密，退出关闭加密分区时，自动进行加密；

501-2读写保护。未验证身份，隐藏加密分区，对分区及分区内文件不能 进行任何操作；验证身份，挂载打开分区，可对分区内文件进行读写删除操作； 验证身份，未挂载打开分区，可设置快捷操作方式下，存入文件的大小限制， 在限制范围内，可以存入文件到加密分区；

501-3锁定保护。设置锁定解锁密码，选择锁定方式：自动或手动，在自 动锁定方式下，设置自动锁定的触发条件；锁定时，挂载加密分区，未通过解 锁验证，禁止打开；

501-4删除保护。设置安全删除验证码，可选择具体保护项目：加密分区、 分区内指定文件/文件夹；删除时，未通过安全删除验证，不能进行删除操作；

501-5隐藏保护。对加密分区进行隐藏，可设置隐藏文件伪装的类型：图 片、音频、视频……；未获授权时，不能进行删除操作；

501-6日志记录。记录登录时间、登录IP、错误尝试、文件读写删除操作 等运行数据，并将这些数据上传到云端数据采集模块。

105具体如下：

601接收客户端身份认证模块注册时填写的数据，和第三方账户授权登录 时，自动生成的账户信息、账户关联数据；

602用户从客户端请求登录时，云端接收客户端上传的通过SHA加密的登 录数据；

603云端校验客户端上传的用户名是否存在，用户名密码是否匹配；如果 是第三方账户授权登录，云端传送相关数据到第三方账户指定路径进行校验；

604-1如果通过校验，云端返回Ture给客户端；

604-2如果校验失败，云端返回False给客户端；

106具体如下：

701-1接收加密密钥数据。将各加密分区的密钥加密后通过客户端上传云 端存储；

701-2接收解锁密码数据。将各加密分区的解锁密钥加密后通过客户端上 传云端存储；

701-3接收安全删除验证码数据。将各加密分区的安全删除验证码加密后 通过客户端上传云端存储；

701-4备份密钥。云服务端，定期备份密钥存储模块中保存的数据在云服 务器和本地磁盘；

702-1传输加密密钥。当用户身份确认后，将对应加密分区密钥加密后传 输给客户端，客户端解密密钥后，解密加密打开分区及文件；

702-2校验解锁密码。用户从客户端请求解锁加密分区时，云端接收客户 端上传的通过SHA加密的解锁密码，进行校验；

702-3校验安全删除验证码。用户从客户端请求删除加密分区时，云端接 收客户端上传的通过SHA加密的安全删除验证码，进行校验；

703-1校验解锁密码返回。如果通过校验，云端返回Ture给客户端；

703-2校验解锁密码返回。如果校验失败，云端返回False给客户端；

703-3校验安全删除码返回。如果通过校验，云端返回Ture给客户端；

703-4校验安全删除码返回。如果校验失败，云端返回False给客户端；

107具体如下：

801采集基本信息数据。用户首次使用，采集用户电脑识别码、硬盘识别 码、硬盘序列号、硬盘容量、网络IP等基础信息；

802采集操作数据。采集加密分区创建的物理分区位置、总容量、使用容 量、状态、操作日志等数据；

803数据返回。用户远程管理时，返回同一账号下创建加密分区的位置、 容量、操作日志等数据。

一种基于加密分区的电子数据文件保护的装置，采用“云服务端+客户端” 的整体设计；云服务端包括：数据采集模块、密钥存储模块、云端身份认证模 块；客户端包括：客户端身份认证模块、透明加密模块、分区管理模块、分区 保护模块；

其中，数据采集模块：收集加密分区存储位置、状态、日志数据，进行泄 密核查；密钥存储模块：存储SHA加密后的分区密钥数据，身份确认后进行分 区解密；云端身份认证模块：存储用户身份认证数据，与客户端联动进行用户 身份认证；客户端身份认证模块：登录退出操作入口，与客户端联动进行用户 身份认证；透明加密模块：创建加密分区，使用AES对分区、文件本身进行透 明加密；分区管理模块：对分区进行卸载、删除、锁定、修改属性、备份、恢 复等管理；分区保护模块：对分区进行隐藏保护，未授权禁止读写删除操作； 登录后，为分区分配一个盘符，挂载在我的电脑里，退出时，从我的电脑里卸 载加密分区，释放所述加密分区的盘符。