CN1819590A - 一种用于计算机电子文档的加密方法 - Google Patents
一种用于计算机电子文档的加密方法 Download PDFInfo
- Publication number
- CN1819590A CN1819590A CN 200610049866 CN200610049866A CN1819590A CN 1819590 A CN1819590 A CN 1819590A CN 200610049866 CN200610049866 CN 200610049866 CN 200610049866 A CN200610049866 A CN 200610049866A CN 1819590 A CN1819590 A CN 1819590A
- Authority
- CN
- China
- Prior art keywords
- document
- key
- encrypted
- encryption
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明主要是涉及一种用于计算机电子文档的加密方法,主要步骤如下:1)为每位合法身份的人员创建一个唯一的密钥对;2)使用AES对称加密算法加密机密文档,并使用该文档的合法读者提供的个人公钥加密,即采用RSA不对称加密算法文档加密所使用的密钥;3)文档读者在得到加密后的文档及加密后的文档密钥后,先使用个人的私钥解密文档密钥,然后使用文档密钥解密文档。本发明的优点主要有:加解密过程运行在操作系统的Ring0级进程中,安全高效。而且这些过程完全在后台进行,用户几乎感觉不到加解密过程的存在,对用户的计算机使用习惯和工作效率没有任何影响。整套系统被设计成一种中间件平台,对现有的应用软件没有任何影响,当然也不存在兼容性问题。
Description
技术领域
本发明涉及计算机领域的所有电子文档的加解密方法,主要是一种用于计算机电子文档的加密方法。
背景技术
二十一世纪是信息化世纪,网络技术的飞速发展,使得信息的共享程度进一步提高。网络已经成为大部分企业工作中不可缺少的基础环境。人们借助网络极大地提高了工作效率,同时悄然改变了了我们传统的工作和生活方式。正是网络的互联性和通用性,人们从中享受网络带来的便捷性的同时,数据安全问题变得越来越突出。各政府、企事业单位也开始十分重视网络的安全性问题。一些单位投入重资,引进了一些网络安全设备和系统,试图搭建一个安全的网络平台。
前些年,大家比较关注的是Internet的安全问题,比如在电子商务,电子政务,企业外网等领域均涉及到Internet的安全管理。在这些方面大部分企业已经采取了一些有效的安全措施,这些措施主要防止的是病毒感染、非法入侵、数据安全传输等安全问题,我们通常将此类系统或设备统称为企业防火墙。而对于企业内部局域网(Intranet)的安全管理来说,由于它和外部网络相对隔离或半隔离的特性,早期人们对其存在的安全隐患不够重视,误以为使用网络操作系统(Unix、Windows Server)自身的网络管理功能来进行安全管理就足够了。可是越来越多的企业发现,这种认识是极其危险的,特别对于高保密企业而言,内网的安全性和外网的安全性一样重要,甚至要求更高。因为内网中包含大量企业重要的机密数据,这些数据如果外泄,可能会造成极其严重的后果。局域网中的数据外泄有很多途径,因此,如何有效防止企业内网中的电子文档不被非法盗用,篡改是今后大部分企业密切关注的一个重大课题。
自上世纪末以来,国际一些发达国家开始了针对网络安全和数据安全的标准制订工作。1990年10月国际通用准则CC V2.0颁布同时成为ISO标准,标志着国际通用的信息安全评价标准已经建立。同时随着密码学的发展,一些高强度、高效率的加密算法逐步成熟起来,这些算法是网络安全和数据安全技术实现的基石。
发明内容
本发明的目的是要解决政府,企业,军队日常所使用的机密公文,技术图纸,机密情报等高保密的电子文档的安全保密问题,而提供一种用于计算机电子文档的加密方法。通过本发明的文档安全管理方法加密的电子文档,从有效的时间和空间上可以保证它们的安全,最大限度保证这些机密数据不被泄漏。
本发明解决其技术问题所采用的技术方案。这种用于计算机电子文档的加密方法,主要步骤如下:
1)、为每位合法身份的人员创建一个唯一的密钥对;
2)、使用AES对称加密算法加密机密文档,并使用该文档的合法读者提供的个人公钥加密,即采用RSA不对称加密算法文档加密所使用的密钥;
3)、文档读者在得到加密后的文档及加密后的文档密钥后,先使用个人的私钥解密文档密钥,然后使用文档密钥解密文档。
本发明解决其技术问题所采用的技术方案还可以进一步完善。具体步骤如下:
1)、文档的作者在保存加密文档时,通过LDAP+SSL协议从位于证书服务器上的个人证书库中查找出所有该文档的合法读者的个人证书,然后将这些证书添加到本地证书库中,并分别使用这些个人证书中包含的公钥加密文档密钥,最后将加密后的文档密钥作为文档的附加的“文件流”保存在加密文件中;
2)、文档的合法读者获得加密文档后,使用本地证书库中的个人私钥解密加密文档中的文档密钥,然后使用文档密钥解密加密文档本身,从而文档就可以正常使用了;
3)、加密文档在用户的编辑过程中,操作系统的剪贴板将被监控,如果加密文件中的内容被拷贝到非加密文档中,当该文档保存时系统自动为期加密。
本发明的优点主要有:
1、加解密过程运行在操作系统的Ring0级进程中,安全高效。而且这些过程完全在后台进行,用户几乎感觉不到加解密过程的存在,对用户的计算机使用习惯和工作效率没有任何影响。
2、系统的核心加密算法先进,采用128或更高的加密密钥。理论上在有效的时间和空间任何人也无法破解。
3、整套系统被设计成一种中间件平台,介于应用软件与操作系统之间。对现有的应用软件没有任何影响,当然也不存在兼容性问题。
4、系统的绝大部分模块是独立于操作系统平台的,本套系统可以支持Windows序列及大部分以Linux为内核的操作系统。
具体实施方式
下面结合实例对本发明作进一步介绍:这种用于计算机电子文档的加密方法,主要步骤如下:1)、为每位合法身份的人员创建一个唯一的密钥对;2)、使用AES对称加密算法加密机密文档,并使用该文档的合法读者提供的个人公钥加密,即采用RSA不对称加密算法文档加密所使用的密钥;3)、文档读者在得到加密后的文档及加密后的文档密钥后,先使用个人的私钥解密文档密钥,然后使用文档密钥解密文档。
1、联机文件加/解密
客户端的文件加密过程完全集成在操作系统中,在资源管理器中选择需要加密的文件或文件夹,从右键菜单上选择“加密文件”即可完成文件数据的加密过程。然后添加可以访问该文件的其他用户的证书,可以证书从证书目录服务器中查询该用户的公钥并添加。文件加密后如果需要修改访问权限,随时可以在资源管理器中添加或删除访问人的数字证书。文件加密和解密过程必须在联网状态,为了提高运行速度,在客户机上以密文的形式缓存着个人私钥和公钥及一些其它用户的公钥,但在解密前需要访问网络上的证书目录服务器进行身份验证后方完成加/解密操作,否则拒绝执行,这样可以保证在该计算机脱离公司网络环境又没有智能卡的情况下用户无法打开加密的数据文件。
客户端文件解密过程则完全“透明”,用户无需作任何额外的操作,整个解密过程与操作系统底层紧密集成。大致过程是这样的:当用户从资源管理器或应用程序(如Word)中选择打开文件文件时,完成打开文件的系统事件响应被客户端内核态的客户端控制软件接管,该软件判断该文件是否被加密,如果文件被加密了,则使用存储在本机证书库中的个人私钥解密文件,并打开它,整个过程均是后台完成。因为采用内核态的应用,直接和操作系统底层打交道,所以文件解密过程很快。
2、基于智能卡的脱机解密
对于需要在外出差的笔记本用户,系统支持智能卡的身份验证,这样可以在不能访问证书目录服务器的情况下进行文件的解密工作,但加密的过程需要的对方用户(即允许访问该加密文件的用户)的公钥获取方式与联机方式稍有不同。如果对方用户的公钥不在客户机的缓存中,对方用户需要通过邮件或其它方式把其公钥给该用户。
3、客户机证书恢复
如果客户端重装了操作系统或其它原因破坏了个人证书库中缓存的私钥,可以通过访问公司网络上的证书目录服务器来获得个人私钥,因为在证书目录服务器中有每个人的公钥和私钥的备份。有了个人私钥,以前加密的数据文件就可以正确打开。访问证书目录服务器获取私钥时采用安全的网络连接(Secure Socket Layer,SSL),可以避免非法的用户骗取他人的私钥。
4、客户端控制软件自动安装/反安装
客户端控制软件采用“推”模式自动安装,用户无需干预。安装过程在该客户机初次接入公司网络时会自动安装。如果客户机要卸载控制软件,只能通过安全管理服务器发送卸载命令才能完成操作。
5、防止对加密文件内容的拷贝或拷屏
加密文件的授权证书分成三个等级:完全控制;浏览及打印;浏览。具有后两种权限的用户可能使用编辑软件(如:Word)等软件浏览加密文件时,可能通过拷贝粘贴的方法将文件的内容拷贝到其它的文件中,也可能直接另存出去。本系统为了防止这种漏洞,还设计了访拷贝功能:对所有应用软件的保存和另存事件进行监听和过滤控制,另外一旦加密文件被打开,剪贴板将被锁定,加密文件中的内容被拷贝时不能粘贴到该文件之外的地方。
本系统还可防止用户通过拷屏的方式来“硬拷贝”加密文件中的内容,系统不但可以防止PrintScreen热键拷屏,还可以防止一些流行的拷屏软件拷屏如HyperSnap等。
6、防止非法计算机接入网络
如果外来的笔记本接入公司网络,将会被拒绝访问网络上的计算机,因为该机器的MAC地址可能不在技术中的VLAN的MAC地址表中(在网络拓扑结构一节中有关于VLAN的划分说明)。如果该用户通过某种工具修改网卡的MAC地址,骗过交换机的过滤。在接入技术中心网络时安全管理服务器会监听到,并马上试图和该计算机通讯,如果该计算机上没有安装本系统的客户端控制软件,安全管理服务器将会通过“推”模式自动安装,如果该用户通过防火墙等软件屏蔽网络端口,拒绝自动安装,这是安全管理服务器上马上会报警,并记录日志。该功能同样可以防止公司员工通过重装操作系统等手段卸载客户端控制软件。
Claims (2)
1、一种用于计算机电子文档的加密方法,其特征是:主要步骤如下:
1)、为每位合法身份的人员创建一个唯一的密钥对;
2)、使用AES对称加密算法加密机密文档,并使用该文档的合法读者提供的个人公钥加密,即采用RSA不对称加密算法文档加密所使用的密钥;
3)、文档读者在得到加密后的文档及加密后的文档密钥后,先使用个人的私钥解密文档密钥,然后使用文档密钥解密文档。
2、根据权利要求1所述的用于计算机电子文档的加密方法,其特征是:具体步骤如下:
1)、文档的作者在保存加密文档时,通过LDAP+SSL协议从位于证书服务器上的个人证书库中查找出所有该文档的合法读者的个人证书,然后将这些证书添加到本地证书库中,并分别使用这些个人证书中包含的公钥加密文档密钥,最后将加密后的文档密钥作为文档的附加的“文件流”保存在加密文件中;
2)、文档的合法读者获得加密文档后,使用本地证书库中的个人私钥解密加密文档中的文档密钥,然后使用文档密钥解密加密文档本身,从而文档就可以正常使用了;
3)、加密文档在用户的编辑过程中,操作系统的剪贴板将被监控,如果加密文件中的内容被拷贝到非加密文档中,当该文档保存时系统自动为期加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610049866 CN1819590A (zh) | 2006-03-15 | 2006-03-15 | 一种用于计算机电子文档的加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610049866 CN1819590A (zh) | 2006-03-15 | 2006-03-15 | 一种用于计算机电子文档的加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1819590A true CN1819590A (zh) | 2006-08-16 |
Family
ID=36919272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610049866 Pending CN1819590A (zh) | 2006-03-15 | 2006-03-15 | 一种用于计算机电子文档的加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1819590A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631112A (zh) * | 2008-07-18 | 2010-01-20 | 华为技术有限公司 | 一种软件卸载方法及终端 |
| CN102215214A (zh) * | 2010-07-29 | 2011-10-12 | 上海华御信息技术有限公司 | 基于可选透明加解密的文件保护方法及系统 |
| CN103457679A (zh) * | 2008-03-05 | 2013-12-18 | Lg电子株式会社 | 测量干扰的方法 |
| CN104219041A (zh) * | 2014-09-23 | 2014-12-17 | 中国南方电网有限责任公司 | 一种适用于移动互联网的数据传输加密方法 |
| CN107566324A (zh) * | 2016-06-30 | 2018-01-09 | 南京中兴新软件有限责任公司 | 加密方法、解密方法及装置 |
| CN108563927A (zh) * | 2018-04-26 | 2018-09-21 | 惠州市德赛西威汽车电子股份有限公司 | 一种主机升级软件的打包加密方法 |
| CN113347144A (zh) * | 2021-04-14 | 2021-09-03 | 西安慧博文定信息技术有限公司 | 一种互逆加密数据的方法、系统、设备及存储介质 |
-
2006
- 2006-03-15 CN CN 200610049866 patent/CN1819590A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103457679B (zh) * | 2008-03-05 | 2015-09-23 | Lg电子株式会社 | 测量干扰的方法 |
| CN103457679A (zh) * | 2008-03-05 | 2013-12-18 | Lg电子株式会社 | 测量干扰的方法 |
| US9699046B2 (en) | 2008-03-05 | 2017-07-04 | Lg Electronics Inc. | Method of measuring interference |
| US10320637B2 (en) | 2008-03-05 | 2019-06-11 | Lg Electronics Inc. | Method of measuring interference |
| US10887205B2 (en) | 2008-03-05 | 2021-01-05 | Lg Electronics Inc. | Method of measuring interference |
| CN101631112B (zh) * | 2008-07-18 | 2013-11-06 | 华为技术有限公司 | 一种软件卸载方法及终端 |
| CN101631112A (zh) * | 2008-07-18 | 2010-01-20 | 华为技术有限公司 | 一种软件卸载方法及终端 |
| CN102215214A (zh) * | 2010-07-29 | 2011-10-12 | 上海华御信息技术有限公司 | 基于可选透明加解密的文件保护方法及系统 |
| CN102215214B (zh) * | 2010-07-29 | 2014-01-15 | 上海华御信息技术有限公司 | 基于可选透明加解密的文件保护方法及系统 |
| CN104219041A (zh) * | 2014-09-23 | 2014-12-17 | 中国南方电网有限责任公司 | 一种适用于移动互联网的数据传输加密方法 |
| CN107566324A (zh) * | 2016-06-30 | 2018-01-09 | 南京中兴新软件有限责任公司 | 加密方法、解密方法及装置 |
| CN108563927A (zh) * | 2018-04-26 | 2018-09-21 | 惠州市德赛西威汽车电子股份有限公司 | 一种主机升级软件的打包加密方法 |
| CN113347144A (zh) * | 2021-04-14 | 2021-09-03 | 西安慧博文定信息技术有限公司 | 一种互逆加密数据的方法、系统、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6941146B2 (ja) | データセキュリティサービス | |
| US8625802B2 (en) | Methods, devices, and media for secure key management in a non-secured, distributed, virtualized environment with applications to cloud-computing security and management | |
| US20020046350A1 (en) | Method and system for establishing an audit trail to protect objects distributed over a network | |
| US20100095118A1 (en) | Cryptographic key management system facilitating secure access of data portions to corresponding groups of users | |
| CN101098224B (zh) | 对数据文件动态加解密的方法 | |
| JP2016508699A (ja) | データセキュリティサービス | |
| CN105827574A (zh) | 一种文件访问系统、方法及装置 | |
| CN112395631B (zh) | 基于sgx技术的安全数据库系统、方法及介质 | |
| CN1819590A (zh) | 一种用于计算机电子文档的加密方法 | |
| CN104219077A (zh) | 一种中小企业信息管理系统 | |
| EP3991351A1 (en) | Enhanced secure encryption and decryption system | |
| EP3949252A1 (en) | Cryptographic systems | |
| Aloraini et al. | A survey on data confidentiality and privacy in cloud computing | |
| CN104376270A (zh) | 一种文件保护方法及系统 | |
| CN115935390A (zh) | 一种基于属性的安全沙盒内文件动态访问控制和加密方法 | |
| KR100750697B1 (ko) | 사용자 액세스 기능을 갖는 공유스토리지가 구비된 디지털문서보안 시스템, 및 그 시스템을 이용한 문서 처리방법 | |
| Sharma | Transcrypt: Design of a secure and transparent encrypting file system | |
| CN114154195A (zh) | 一种基于国密sm4算法的数据库数据加密系统 | |
| Sharma et al. | Transcrypt: A secure and transparent encrypting file system for enterprises | |
| Zeng | Application of Data Encryption Technology in Computer Network Security | |
| Sathya et al. | Secure data storage in cloud system using modern cryptography | |
| Johnson et al. | Securing stored data | |
| Liu et al. | Design and Implementation of a PKI-Based Electronic Documents Protection Management System | |
| Zhang et al. | Improved CP-ABE Algorithm Based on Identity and Access Control | |
| Patalbansi et al. | Cloud storage system for mobile cloud computing using blockchain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20060816 |