專利名稱:用于文件系統(tǒng)的加密方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域���,特別涉及一種用于文件系統(tǒng)的加密方法及裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)及計(jì)算機(jī)技術(shù)的快速發(fā)展�,信息安全越來越受到人們的關(guān)注���,特別是作為信息安全的基礎(chǔ),操作系統(tǒng)的安全顯得更加重要���,其中操作系統(tǒng)中的文件系統(tǒng)直接維護(hù)信息系統(tǒng)中的敏感數(shù)據(jù)和文件����,其安全性尤為突出?��,F(xiàn)有文件數(shù)據(jù)保護(hù)技術(shù)可以分為兩類在塊層次對(duì)整個(gè)磁盤進(jìn)行加密���、在文件層次對(duì)文件的數(shù)據(jù)進(jìn)行加密��。塊層次的加密方法需要對(duì)所有磁盤的數(shù)據(jù)加密�����,其缺點(diǎn)是加密數(shù)據(jù)量大�,性能低。而當(dāng)前的文件層次加密方法中���,要么沒有考慮密鑰管理�,要么需要非常 復(fù)雜的密鑰管理,同時(shí)也對(duì)整個(gè)系統(tǒng)的性能產(chǎn)生很大的影響����。
發(fā)明內(nèi)容
本發(fā)明的目的旨在至少解決上述技術(shù)缺陷之一。為達(dá)到上述目的���,本發(fā)明一方面的實(shí)施例提出一種用于文件系統(tǒng)的加密方法�����,包括以下步驟S1����,初始化eKey加解密模塊��;S2�,當(dāng)所述文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊;S3�,所述eKey加解密模塊根據(jù)所述文件數(shù)據(jù)的信息生成密鑰;以及S4��,所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)加密����。根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密方法����,在文件系統(tǒng)寫入文件時(shí)通過eKey加解密模塊對(duì)文件數(shù)據(jù)進(jìn)行加密�����,一方面實(shí)現(xiàn)從文件粒度對(duì)文件數(shù)據(jù)加密�����,另一方面通過eKey加解密模塊對(duì)文件系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密��,由于eKey加解密模塊可以是外置的硬件設(shè)備���,提高了文件系統(tǒng)的安全性和可靠性����,對(duì)系統(tǒng)的性能影響小�,并且密鑰管理非常簡(jiǎn)單�。在本發(fā)明的一個(gè)實(shí)施例中,所述文件數(shù)據(jù)的信息包括文件絕對(duì)路徑���、數(shù)據(jù)存放地址���、當(dāng)前硬盤標(biāo)識(shí)和數(shù)據(jù)長(zhǎng)度�����。在本發(fā)明的一個(gè)實(shí)施例中�����,所述步驟S3具體包括所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)生成密鑰�,并將所述密鑰存儲(chǔ)在所述eKey加解密模塊中��。在本發(fā)明的一個(gè)實(shí)施例中����,還包括步驟S5,當(dāng)所述文件系統(tǒng)接收到所述文件數(shù)據(jù)的讀取信息時(shí)根據(jù)解密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊����;S6,所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)查找以獲得所述文件數(shù)據(jù)對(duì)應(yīng)的所述密鑰����;以及S7,所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)解密���。在本發(fā)明的一個(gè)實(shí)施例中����,所述密鑰以哈希表的形式存儲(chǔ)。為達(dá)到上述目的����,本發(fā)明另一方面的實(shí)施例提出一種用于文件系統(tǒng)的加密裝置,包括初始化模塊���,用于初始化eKey加解密模塊���;第一傳送模塊,用于當(dāng)所述文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊�����;密鑰生成模塊�����,用于所述eKey加解密模塊根據(jù)所述文件數(shù)據(jù)的信息生成密鑰�����;以及加密模塊�,用于所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)加密。根據(jù)本發(fā)明實(shí)施例的文件系統(tǒng)的加密裝置�����,一方面實(shí)現(xiàn)從文件粒度對(duì)文件數(shù)據(jù)加密�,另一方面通過eKey加解密模塊對(duì)文件系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密,由于eKey加解密模塊可以是外置的硬件設(shè)備���,提高了文件系統(tǒng)的安全性和可靠性���,對(duì)系統(tǒng)的性能影響小,并且密
鑰管理非常簡(jiǎn)單�����。在本發(fā)明的一個(gè)實(shí)施例中��,所述文件數(shù)據(jù)的信息包括文件絕對(duì)路徑�、數(shù)據(jù)存放地址、當(dāng)前硬盤標(biāo)識(shí)和數(shù)據(jù)長(zhǎng)度�。在本發(fā)明的一個(gè)實(shí)施例中,所述密鑰生成模塊具體用于所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)生成密鑰,并將所述密鑰存儲(chǔ)在所述eKey加解 密模塊中���。在本發(fā)明的一個(gè)實(shí)施例中��,還包括第二傳送模塊��,用于當(dāng)所述文件系統(tǒng)接收到所述文件數(shù)據(jù)的讀取信息時(shí)根據(jù)解密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊���;密鑰查找模塊,用于所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)查找以獲得所述文件數(shù)據(jù)對(duì)應(yīng)的所述密鑰�;以及解密模塊,用于所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)解密�。在本發(fā)明的一個(gè)實(shí)施例中,所述密鑰以哈希表的形式存儲(chǔ)���。本發(fā)明附加的方面和優(yōu)點(diǎn)將在下面的描述中部分給出����,部分將從下面的描述中變得明顯�����,或通過本發(fā)明的實(shí)踐了解到�����。
本發(fā)明上述的和/或附加的方面和優(yōu)點(diǎn)從下面結(jié)合附圖對(duì)實(shí)施例的描述中將變得明顯和容易理解����,其中圖I為本發(fā)明一個(gè)實(shí)施例的用于文件系統(tǒng)的加密方法的流程圖;圖2為本發(fā)明另一個(gè)實(shí)施例的用于文件系統(tǒng)的加密方法的流程圖���;以及圖3為本發(fā)明一個(gè)實(shí)施例的用于文件系統(tǒng)的加密裝置的結(jié)構(gòu)示意圖����。
具體實(shí)施例方式下面詳細(xì)描述本發(fā)明的實(shí)施例��,所述實(shí)施例的示例在附圖中示出��,其中自始至終相同或類似的標(biāo)號(hào)表示相同或類似的元件或具有相同或類似功能的元件�����。下面通過參考附圖描述的實(shí)施例是示例性的�,僅用于解釋本發(fā)明,而不能解釋為對(duì)本發(fā)明的限制��。圖I為本發(fā)明一個(gè)實(shí)施例的用于文件系統(tǒng)的加密方法的流程圖����。如圖I所示�,根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密方法�����,包括下述步驟步驟SlOl����,初始化eKey加解密模塊。具體地��,eKey加解密模塊可以為外置的硬件設(shè)備中��,例如�����,eKey加解密模塊可以具有加解密功能的U盤或移動(dòng)硬盤����,通過U盤或移動(dòng)硬盤的USB等接口連接到計(jì)算機(jī)等運(yùn)行文件系統(tǒng)的設(shè)備。步驟S102���,當(dāng)文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊����。在本發(fā)明的一個(gè)實(shí)施例中,文件數(shù)據(jù)的信息包括文件絕對(duì)路徑�、數(shù)據(jù)存放地址��、當(dāng)前硬盤標(biāo)識(shí)和數(shù)據(jù)長(zhǎng)度��。其中���,加密接口可以插入在文件系統(tǒng)提供給上層應(yīng)用程序的同一接口中��,例如�����,在Linux操作系統(tǒng)中加密接口插入在虛擬文件系統(tǒng)的文件寫入函數(shù)中���,這樣當(dāng)文件系統(tǒng)被寫入數(shù)據(jù)時(shí)可以根據(jù)所寫入的文件數(shù)據(jù)的信息調(diào)用加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊。步驟S103�,eKey加解密模塊根據(jù)文件數(shù)據(jù)的信息生成密鑰。 具體地�,eKey加解密模塊根據(jù)文件絕對(duì)路徑和當(dāng)前硬盤標(biāo)識(shí)生成密鑰,并將密鑰存儲(chǔ)在eKey加解密模塊中�����,其中密鑰以哈希表的形式存儲(chǔ)。步驟S104����,eKey加解密模塊根據(jù)密鑰對(duì)文件數(shù)據(jù)加密。其中����,eKey加解密模塊中預(yù)先存儲(chǔ)有加密算法,可以通過調(diào)用加密算法對(duì)文件數(shù)據(jù)進(jìn)行加密��。根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密方法���,一方面實(shí)現(xiàn)從文件粒度對(duì)文件數(shù)據(jù)加密��,另一方面通過eKey加解密模塊對(duì)文件系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密�����,由于eKey加解密模塊可以是外置的硬件設(shè)備��,提高了文件系統(tǒng)的安全性和可靠性����,對(duì)系統(tǒng)的性能影響小,并且密鑰管理非常簡(jiǎn)單�����。圖2為本發(fā)明另一個(gè)實(shí)施例的用于文件系統(tǒng)的加密方法的流程圖����。如圖2所示,根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密算法����,包括下述步驟步驟S201��,初始化eKey加解密模塊����。步驟S202,當(dāng)文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊����。步驟S203,eKey加解密模塊根據(jù)文件數(shù)據(jù)的信息生成密鑰����。步驟S204�,eKey加解密模塊根據(jù)密鑰對(duì)文件數(shù)據(jù)加密���。步驟S205����,當(dāng)文件系統(tǒng)接收到文件數(shù)據(jù)的讀取信息時(shí)根據(jù)解密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊�����。其中����,解密接口可以插入在文件系統(tǒng)提供給上層應(yīng)用程序的同一接口中,例如����,在Linux操作系統(tǒng)中解密接口插入在虛擬文件系統(tǒng)的文件寫入函數(shù)中,這樣當(dāng)文件系統(tǒng)接收到文件數(shù)據(jù)的讀取信息時(shí)可以根據(jù)文件數(shù)據(jù)的信息調(diào)用加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊�����。步驟S206�,eKey加解密模塊根據(jù)文件絕對(duì)路徑和當(dāng)前硬盤標(biāo)識(shí)查找以獲得文件數(shù)據(jù)對(duì)應(yīng)的密鑰。步驟S207,eKey加解密模塊根據(jù)密鑰對(duì)文件數(shù)據(jù)解密��。其中��,eKey加解密模塊中預(yù)先存儲(chǔ)有解密算法��,可以通過調(diào)用解密算法對(duì)文件數(shù)據(jù)進(jìn)行解密�。根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密方法,在文件系統(tǒng)讀取文件時(shí)通過eKey加解密模塊以及在該文件寫入時(shí)生成的密鑰對(duì)文件數(shù)據(jù)進(jìn)行解密����,進(jìn)一步提高了文件系統(tǒng)的安全性和可靠性。為了實(shí)現(xiàn)上述實(shí)施例����,本發(fā)明另一方面還提出一種用于文件系統(tǒng)的加密裝置���。圖3為本發(fā)明一個(gè)實(shí)施例的用于文件系統(tǒng)的加密裝置的結(jié)構(gòu)示意圖��,如圖3所示����,根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密裝置包括初始化模塊100����、第一傳送模塊200����、密鑰生成模塊300�����、加密模塊400�����、第二傳送模塊500���、密鑰查找模塊600和解密模塊700�。
具體地����,初始化模塊100用于初始化eKey加解密模塊,其中eKey加解密模塊可以為外置的硬件設(shè)備中�����,例如�,eKey加解密模塊可以具有加解密功能的U盤或移動(dòng)硬盤,通過U盤或移動(dòng)硬盤的USB等接口連接到計(jì)算機(jī)等運(yùn)行文件系統(tǒng)的設(shè)備。第一傳送模塊200用于當(dāng)文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊�,其中,加密接口可以插入在文件系統(tǒng)提供給上層應(yīng)用程序的同一接口中�,例如,在Linux操作系統(tǒng)中加密接口插入在虛擬文件系統(tǒng)的文件寫入函數(shù)中�����,這樣當(dāng)文件系統(tǒng)被寫入數(shù)據(jù)時(shí)可以根據(jù)所寫入的文件數(shù)據(jù)的信息調(diào)用加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊����。在本發(fā)明的一個(gè)實(shí)施例中,文件數(shù)據(jù)的信息包括文件絕對(duì)路徑��、數(shù)據(jù)存放地址�、當(dāng)前硬盤標(biāo)識(shí)和數(shù)據(jù)長(zhǎng)度。密鑰生成模塊300用于eKey加解密模塊根據(jù)文件數(shù)據(jù)的信息生成密鑰����。具體地���,eKey加解密模塊根據(jù)文件絕對(duì)路徑和當(dāng)前硬盤標(biāo)識(shí)生成密鑰�,并將密鑰存儲(chǔ)在eKey加解密模塊中�����,其中密鑰以哈希表的形式存儲(chǔ)。 加密模塊400用于eKey加解密模塊根據(jù)密鑰對(duì)文件數(shù)據(jù)加密����。其中,eKey加解密模塊中預(yù)先存儲(chǔ)有加密算法����,可以通過調(diào)用加密算法對(duì)文件數(shù)據(jù)進(jìn)行加密。第二傳送模塊500用于當(dāng)文件系統(tǒng)接收到文件數(shù)據(jù)的讀取信息時(shí)根據(jù)解密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊��,其中����,解密接口可以插入在文件系統(tǒng)提供給上層應(yīng)用程序的同一接口中,例如�����,在Linux操作系統(tǒng)中解密接口插入在虛擬文件系統(tǒng)的文件寫入函數(shù)中����,這樣當(dāng)文件系統(tǒng)接收到文件數(shù)據(jù)的讀取信息時(shí)可以根據(jù)文件數(shù)據(jù)的信息調(diào)用加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊。密鑰查找模塊600用于eKey加解密模塊根據(jù)文件絕對(duì)路徑和當(dāng)前硬盤標(biāo)識(shí)查找以獲得文件數(shù)據(jù)對(duì)應(yīng)的密鑰�。解密模塊700用于eKey加解密模塊根據(jù)密鑰對(duì)文件數(shù)據(jù)解密���。其中,eKey加解密模塊中預(yù)先存儲(chǔ)有解密算法���,可以通過調(diào)用解密算法對(duì)文件數(shù)據(jù)進(jìn)行解密�。在本發(fā)明的一個(gè)實(shí)施例中�,第二傳送模塊500、密鑰查找模塊600和解密模塊700是可選的��。根據(jù)本發(fā)明實(shí)施例的用于文件系統(tǒng)的加密裝置����,一方面實(shí)現(xiàn)從文件粒度對(duì)文件數(shù)據(jù)加密,另一方面通過eKey加解密模塊對(duì)文件系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密���,由于eKey加解密模塊可以是外置的硬件設(shè)備�,提高了文件系統(tǒng)的安全性和可靠性����,對(duì)系統(tǒng)的性能影響小,并且密鑰管理非常簡(jiǎn)單�。盡管已經(jīng)示出和描述了本發(fā)明的實(shí)施例�����,對(duì)于本領(lǐng)域的普通技術(shù)人員而言,可以理解在不脫離本發(fā)明的原理和精神的情況下可以對(duì)這些實(shí)施例進(jìn)行多種變化�����、修改���、替換和變型����,本發(fā)明的范圍由所附權(quán)利要求及其等同限定����。
權(quán)利要求
1.一種用于文件系統(tǒng)的加密方法,其特征在于���,包括以下步驟 SI�,初始化eKey加解密模塊�����; S2����,當(dāng)所述文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊�����; S3�����,所述eKey加解密模塊根據(jù)所述文件數(shù)據(jù)的信息生成密鑰�����;以及 S4���,所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)加密。
2.根據(jù)權(quán)利要求I所述的方法�,其特征在于,所述文件數(shù)據(jù)的信息包括文件絕對(duì)路徑�����、數(shù)據(jù)存放地址�、當(dāng)前硬盤標(biāo)識(shí)和數(shù)據(jù)長(zhǎng)度。
3.根據(jù)權(quán)利要求2所述的方法��,其特征在于,所述步驟S3具體包括 所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)生成密鑰����,并將所述密鑰存儲(chǔ)在所述eKey加解密模塊中����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,還包括步驟 S5���,當(dāng)所述文件系統(tǒng)接收到所述文件數(shù)據(jù)的讀取信息時(shí)根據(jù)解密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊����; S6���,所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)查找以獲得所述文件數(shù)據(jù)對(duì)應(yīng)的所述密鑰�;以及 S7��,所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)解密����。
5.根據(jù)權(quán)利要求3或4所述的方法��,其特征在于�,所述密鑰以哈希表的形式存儲(chǔ)��。
6.一種用于文件系統(tǒng)的加密裝置��,其特征在于����,包括 初始化模塊,用于初始化eKey加解密模塊�����; 第一傳送模塊����,用于當(dāng)所述文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊; 密鑰生成模塊��,用于所述eKey加解密模塊根據(jù)所述文件數(shù)據(jù)的信息生成密鑰��;以及 加密模塊,用于所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)加密�����。
7.根據(jù)權(quán)利要求6所述的裝置���,其特征在于,所述文件數(shù)據(jù)的信息包括文件絕對(duì)路徑�、數(shù)據(jù)存放地址、當(dāng)前硬盤標(biāo)識(shí)和數(shù)據(jù)長(zhǎng)度�����。
8.根據(jù)權(quán)利要求7所述的裝置����,其特征在于,所述密鑰生成模塊具體用于所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)生成密鑰����,并將所述密鑰存儲(chǔ)在所述eKey加解密模塊中。
9.根據(jù)權(quán)利要求8所述的裝置���,其特征在于���,還包括 第二傳送模塊�����,用于當(dāng)所述文件系統(tǒng)接收到所述文件數(shù)據(jù)的讀取信息時(shí)根據(jù)解密接口將所述文件數(shù)據(jù)的信息傳送至所述eKey加解密模塊�; 密鑰查找模塊�,用于所述eKey加解密模塊根據(jù)所述文件絕對(duì)路徑和所述當(dāng)前硬盤標(biāo)識(shí)查找以獲得所述文件數(shù)據(jù)對(duì)應(yīng)的所述密鑰;以及 解密模塊��,用于所述eKey加解密模塊根據(jù)所述密鑰對(duì)所述文件數(shù)據(jù)解密���。
10.根據(jù)權(quán)利要求8或9所述的裝置�����,其特征在于��,所述密鑰以哈希表的形式存儲(chǔ)����。
全文摘要
本發(fā)明提出一種用于文件系統(tǒng)的加密方法和裝置�。所述方法包括以下步驟初始化eKey加解密模塊;當(dāng)文件系統(tǒng)被寫入文件數(shù)據(jù)時(shí)根據(jù)加密接口將文件數(shù)據(jù)的信息傳送至eKey加解密模塊����;eKey加解密模塊根據(jù)文件數(shù)據(jù)的信息生成密鑰��;以及eKey加解密模塊根據(jù)密鑰對(duì)文件數(shù)據(jù)加密�。根據(jù)本發(fā)明實(shí)施例的方法����,一方面實(shí)現(xiàn)從文件粒度對(duì)文件數(shù)據(jù)加密,另一方面通過eKey加解密模塊對(duì)文件系統(tǒng)的文件數(shù)據(jù)進(jìn)行加密�����,由于eKey加解密模塊可以是外置的硬件設(shè)備��,提高了文件系統(tǒng)的安全性和可靠性�,對(duì)系統(tǒng)的性能影響小�,并且密鑰管理非常簡(jiǎn)單。
文檔編號(hào)G06F17/30GK102801526SQ201210224459
公開日2012年11月28日 申請(qǐng)日期2012年6月28日 優(yōu)先權(quán)日2012年6月28日
發(fā)明者胡事民, 廖學(xué)良 申請(qǐng)人:清華大學(xué)