一种安全文件管理方法和系统技术方案

本发明专利技术公开了一种安全文件管理方法和系统，涉及信息安全领域。为解决现有技术中采用TPM与TEE/SE等技术结合进行安全文件管理时，需要用户终端设置相应的硬件，兼容性较差问题而发明专利技术。本发明专利技术实施例提供的技术方案包括：静态防护单元，用于提供至少一种加解密方法进行加解密和身份认证；动态防护单元，用于提供至少一种安全监测和防护功能；安全应用协议单元，用于为所述安全文件管理系统提供统一的对外接口；安全文件子系统，用于安全文件的加密存储。

A Secure Document Management Method and System

The invention discloses a security document management method and system, which relates to the field of information security. In order to solve the problem of poor compatibility of user terminals when using TPM and TEE/SE to manage secure files in the existing technology, it is necessary to install corresponding hardware in user terminals. The technical solutions provided by the embodiments of the present invention include: a static protection unit for providing at least one encryption and decryption method for encryption and authentication; a dynamic protection unit for providing at least one security monitoring and protection function; a security application protocol unit for providing a unified external interface for the security document management system; and a security document subsystem for security. Encrypted storage of files.

【技术实现步骤摘要】
一种安全文件管理方法和系统
本专利技术涉及信息安全领域，尤其涉及一种安全文件管理方法和系统。
技术介绍
安全元件(SecureElement，SE)，是指内嵌有微芯片的硬件安全元件的通称，可以独立运算、存储。可信执行环境(TrustedExecutionEnvironment，TEE)是一种能保证不被常规操作系统干扰计算的环境。现有技术中，一般通过硬件安全芯片(TrustedPlatformModule，TPM)与TEE/SE等技术结合进行进行安全文件管理。然而，用户终端采用上述方式进行安全管理时，需要用户终端设置相应的硬件，兼容性较差。
技术实现思路
本专利技术的目的是提供一种安全文件管理方法和系统，能够提高兼容性。一方面，本专利技术实施例提供一种安全文件管理系统，包括：静态防护单元，用于提供至少一种加解密方法进行加解密和身份认证；动态防护单元，用于提供至少一种安全监测和防护功能；安全应用协议单元，用于为所述安全文件管理系统提供统一的对外接口；安全文件子系统，用于安全文件的加密存储。另一方面，本专利技术实施例提供一种采用上述安全文件管理系统进行安全文件管理的方法，所述安全文件加密存储于所述安全文件子系统，所述安全文件子系统整体进行二次加密。本专利技术实施例提供的技术方案，通过安全文件子系统实现安全文件的加密存储，从而实现安全文件管理。由于只需通过安全文件子系统结合静态防护单元、动态防护单元和安全应用协议单元即可实现安全文件管理，无需设置特定的硬件，对用户终端硬件的要求较低，解决了现有技术中用户终端采用上述方式进行安全管理时，需要用户终端设置相应的硬件，兼容性较差的问题。附图说明图1为本专利技术实施例一提供的安全文件管理系统的结构示意图；图2为本专利技术实施例二提供的安全文件管理方法的流程图。具体实施方式为使本专利技术的上述目的、特征和优点能够更加明显易懂，在下面的具体实施方式中，将对本专利技术作进一步详细的说明。实施例一如图1所示，本专利技术实施例提供一种安全文件管理系统，包括：静态防护单元101，用于提供至少一种加解密方法进行加解密和身份认证。在本实施例中，静态防护单元101用于提供静态防护，可以包括：随机数生成器、对称密钥模块、公私钥模块、白盒密钥模块、数字签名模块和密钥协商模块中的一种或多种。各模块所采用的函数可以是国密算法体系，也可以是国际算法体系。动态防护单元102，用于提供至少一种安全监测和防护功能。在本实施例中，动态防护单元102用于提供动态防护，可以包括：防调试模块、防hook与防注入模块、防内存dump模块、恶意进程检测模块和RT环境检测模块中的一种或多种。其中，防调试模块，用于根据预设黑名单对比当前父进程和当前运行环境的进程，判断是否被调试；防hook与防注入模块，用于执行的操作属于预设关键操作时，对当前进程进行调试，防止被第三方hook和/或进程注入；防内存dump模块，用于对内存函数进行hook，防止内存的注入和/或导出；恶意进程检测模块，用于检测是否存在恶意进程；RT环境检测模块，用于检测是否存在网络代理或虚拟专用网络；和/或检测是否存在恶意框架；和/或检测是否在模拟器中运行；和/或检测当前所处的环境状态。特别的，防hook与防注入模块也可以是两个独立的模块，分别实现防hook与防注入功能。安全应用协议单元103，用于为安全文件管理系统提供统一的对外接口。安全文件子系统104，用于安全文件的加密存储。在本实施例中，安全文件子系统是安全文件管理系统的基础，用于为静态防护单元、动态防护单元和安全应用协议单元提供底层支持；安全应用协议单元同时可以实现安全文件管理系统与业务间的函数调用，可快速支持及组装安全协议。本专利技术实施例提供的安全文件管理系统可以集成各种安全应用，如安全键盘、安全浏览器等；也可以设置适配层，以提供跨平台支持，在此不再一一赘述。本专利技术实施例提供的技术方案，通过安全文件管理系统实现安全文件的加密存储、管理、以及外部调用；安全文件管理系统以组件方式集成为一个整体，能较好地支持轻量级的嵌入式设备。安全文件管理系统可校验APP开发者证书及包名，确保只有授权许可的APP才可使用该安全文件管理系统；安全文件管理系统内置在操作系统内，与当前操作系统的设备进行绑定，离开当前终端，则无法调用安全文件管理系统。由于只需通过安全文件子系统结合静态防护单元、动态防护单元和安全应用协议单元即可实现安全文件管理，无需设置特定的硬件，可被定制和兼容任意操作系统/浏览器/APP，对用户终端硬件的要求较低，解决了现有技术中用户终端采用上述方式进行安全管理时，需要用户终端设置相应的硬件，兼容性较差的问题。实施例二如图2所示，本专利技术实施例提供一种采用图1所示的安全文件管理系统进行安全文件管理的方法，安全文件加密存储于安全文件子系统，安全文件子系统整体进行二次加密。其中，各安全文件可采用不同的密钥进行加密存储。以安全文件管理系统对公私钥的管理为例进行说明，该公私钥的管理方法包括：步骤201，静态防护单元获取白盒密钥和对应的白盒库。在本实施例中，通过步骤201获取白盒密钥和白盒库的过程可以包括：静态防护单元随机生成对称密钥；静态防护单元通过预设白盒算法对对称密钥进行白盒化处理，得到白盒密钥和对应的白盒库。该白盒密钥和对应的白盒库作为一个整体，存储在一个安全文件内。此安全文件的格式：安全文件编号|白盒密钥|加密的文件编号1|...|加密的文件编号10|白盒库|扩展结尾。其中，白盒化处理使用的白盒算法，可以为任意可用的白盒算法，在此不做限制。步骤202，静态防护单元通过白盒密钥和对应的白盒库对公私钥中的私钥进行加密，得到第一密文。在本实施例中，通过步骤202可以采用白盒密钥和对应的白盒库直接对公私钥中的私钥进行加密；为了提高数据的安全性，通过步骤202进行加密的过程还可以包括：首先静态防护单元采用预设混淆算法将私钥进行混淆，得到混淆私钥；其次静态防护单元通过白盒密钥和对应的白盒库对混淆私钥进行加密，得到第一密文。其中，混淆过程可以为：静态防护单元将私钥拆分为n份，得到私钥1、私钥2···私钥n；静态防护单元采用预设混淆算法通过随机数分别对私钥1、私钥2···私钥n进行补位混淆，得到混淆私钥。其中，n＝1,2,3,或4；所述补位混淆为将私钥1、私钥2···私钥n采用随机数补位至目标位数，该目标位数为1024或2048位。具体的，静态防护单元将私钥拆分为n份，得到私钥1、私钥2···私钥n；静态防护单元采用预设混淆算法通过随机数分别对私钥1、私钥2···私钥n进行补位混淆，每隔两位或两位以上随机数顺序插入一位私钥的数据，从而获得混淆私钥1、混淆私钥2···混淆私钥n；采用白盒密钥和对应的白盒库对混淆私钥1、混淆私钥2···混淆私钥n进行加密，得到第一密文1、第一密文2···第一密文n。在本实施例中，还可以通过其他方式进行混淆，在此不做限制。优选地，在本实施例中，步骤202中私钥被拆分成n份时，采用n个不同的白盒密钥和对应的白盒库对n份私钥或n份混淆私钥进行加密。此时，步骤201中静态防护单元随机生成n个不同的对称密钥，经预设白盒算法处理，获得n个不同的白盒密钥和对应的白盒库。在此不再一一赘述。在本实施例中，静态防护单元将私钥拆分为n份可以等分本文档来自技高网...

【技术保护点】
1.一种安全文件管理系统，其特征在于，包括：静态防护单元，用于提供至少一种加解密方法进行加解密和身份认证；动态防护单元，用于提供至少一种安全监测和防护功能；安全应用协议单元，用于为所述安全文件管理系统提供统一的对外接口；安全文件子系统，用于安全文件的加密存储。

【技术特征摘要】
1.一种安全文件管理系统，其特征在于，包括：静态防护单元，用于提供至少一种加解密方法进行加解密和身份认证；动态防护单元，用于提供至少一种安全监测和防护功能；安全应用协议单元，用于为所述安全文件管理系统提供统一的对外接口；安全文件子系统，用于安全文件的加密存储。2.根据权利要求1所述的安全文件管理系统，其特征在于，所述静态防护单元包括：随机数生成器、对称密钥模块、公私钥模块、白盒密钥模块、数字签名模块和密钥协商模块中的一种或多种。3.根据权利要求1或2所述的安全文件管理系统，其特征在于，所述动态防护单元包括：防调试模块、防hook与防注入模块、防内存dump模块、恶意进程检测模块和RT环境检测模块中的一种或多种；所述防调试模块，用于根据预设黑名单对比当前父进程和当前运行环境的进程，判断是否被调试；所述防hook与防注入模块，用于执行的操作属于预设关键操作时，对当前进程进行调试，防止被第三方hook和/或进程注入；所述防内存dump模块，用于对内存函数进行hook，防止内存的注入和/或导出；所述恶意进程检测模块，用于检测是否存在恶意进程；所述RT环境检测模块，用于检测是否存在网络代理或虚拟专用网络；和/或检测是否存在恶意框架；和/或检测是否在模拟器中运行；和/或检测当前所处的环境状态。4.一种采用权利要求1-3中任意一项所述的安全文件管理系统进行安全文件管理的方法，其特征在于，所述安全文件加密存储于所述安全文件子系统，所述安全文件子系统整体进行二次加密。5.根据权利要求4所述的安全文件管理方法，其特征在于，包括所述安全文件管理系统对公私钥的管理方法，所述公私钥的管理方法包括：所述静态防护单元获取白盒密钥和对应的白盒库；所述静态防护单元通过所述白盒密钥和对应的白盒库对所述公私钥中的私钥进行加密，得到第一密文；所述静态防护单元将所述白盒密钥和对应的白盒库、所述公私钥中的公钥、以及第一密文发送至所述安全文件子系统后删除。6.根据权利要求5所述的安全文件管理方法，其特征在于，所述静态防护单元通过所述白盒密钥和对应的白盒库对所述公私钥中的私钥进行加密，得到第一密文，包括：所述静态防护单元采用预设混淆算法将所述...

【专利技术属性】
技术研发人员：程威，王志永，郭拉，
申请(专利权)人：北京思源互联科技有限公司，
类型：发明
国别省市：北京,11