一种静态数据加密保护方法及系统技术方案

本发明专利技术涉及一种静态数据加密保护方法及系统，方法包括：将客户端所在的服务器主机信息注册到服务端；在服务端为服务器主机的目录或文件分配主密钥，生成加密控制策略并下发到对应的客户端；客户端根据加密控制策略从服务端获取对应的主密钥；当向加密的目录或文件写入数据时，随机生成一个数据密钥，利用数据密钥对目录或文件进行加密，得到加密文件；利用主密钥加密数据密钥，得到密钥密文，将密钥密文写入加密文件头部，完成数据写入。本发明专利技术客户端执行文件的加解密操作，服务端实现服务器主机管理、密钥管理和控制策略管理等，实现加密文件的透明访问，密钥和策略统一管理，且文件管理和使用权限分离，提高了文件保护的安全性。

A static data encryption protection method and system

【技术实现步骤摘要】
一种静态数据加密保护方法及系统
本专利技术涉及文件安全防护
，尤其涉及一种静态数据加密保护方法及系统。
技术介绍
随着信息技术的不断发展，人们的信息安全意识也越来也强，如何保证企业机密数据不被窃取，是人们越来越关心的问题。存储在企业服务器上的敏感数据包括各类文档、图片、音视频文件、数据库文件以及其他类型的数据，这些数据可能受到来自企业内部或者外部的泄露风险。在文件安全防护技术中，主要有终端文件加密、传输文件加密、全磁盘加密等。以上方式存在这各种各样的问题：终端文件加密产品以软件形态部署在用户终端系统上，用户访问加密的文件时需要手动解密文件，使用不方便；传输文件加密无法解决文件存储时的安全问题；全磁盘加密是在磁盘级别进行数据加密，但无法只针对特定文件加密。同时，以上产品进行文件加密时，加密密钥均保存在磁盘上，安全性较低。密钥一旦丢失或者泄露都会导致加密文件泄露或者损坏。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术存在的问题，提供一种静态数据加密保护方法及系统。为解决上述技术问题，本专利技术实施例提供一种静态数据加密保护方法，包括：将客户端所在的服务器主机信息注册到服务端；在服务端为需要加密的客户端所在的服务器主机的目录或文件分配主密钥，并根据分配的所述主密钥生成加密控制策略，将所述加密控制策略下发到对应的客户端；所述客户端根据接收的所述加密控制策略通过安全通道从所述服务端获取对应的主密钥并存储；当向加密的目录或文件写入数据时，随机生成一个数据密钥，利用所述数据密钥加密所述目录或文件，得到加密文件；利用主密钥加密所述数据密钥，得到密钥密文，将所述密钥密文写入所述加密文件头部，完成数据写入。为解决上述技术问题，本专利技术实施例还提供一种静态数据加密保护系统，包括：至少一个客户端和服务端；所述服务端包括密钥管理服务模块和文件加密管理服务模块；所述密钥管理服务模块，用于创建主密钥并存储；所述文件加密管理服务模块，用于注册客户端所在的服务器主机信息；为需要加密的客户端所在的服务器主机的目录或文件分配主密钥，并根据分配的所述主密钥生成加密控制策略，将所述加密控制策略下发到对应的客户端；所述客户端包括文件加密代理模块、文件加解密模块和密码安全模块；所述文件加密代理模块，用于接收所述加密控制策略；所述文件加解密模块，用于根据所述加密控制策略通过安全通道从所述密钥管理服务模块获取对应的主密钥，并将所述主密钥存储在密码安全模块中；所述文件加解密模块，用于当向加密的目录或文件写入数据时，随机生成一个数据密钥，利用所述数据密钥加密所述目录或文件，得到加密文件；从所述密码安全模块中获取对应的主密钥，利用所述主密钥加密所述数据密钥，得到密钥密文，将所述密钥密文写入所述加密文件头部，完成数据写入。本专利技术的有益效果是：本专利技术将客户端部署在文件所在的服务器主机上，执行文件的加解密操作，服务端实现服务器主机管理、密钥管理和控制策略管理等，本专利技术通过透明加密技术对静态数据进行加密保护，用户或者应用程序可透明访问加密文件(文件过滤驱动级或者系统内核级)，文件被加密后处于无法访问的状态，只用授权的用户或者应用程序才能访问，防止恶意用户和恶意程序访问敏感问文件，保护文件不被未授权用户或者应用程序窃取；同时对密钥和策略进行统一的安全管理，提高密钥安全性，且文件管理和使用权限分离，提高文件保护的安全性。附图说明图1为本专利技术实施例提供的静态数据加密保护方法的示意性流程图；图2为本专利技术实施例提供的静态数据加密保护系统示意性结构框图。具体实施方式以下结合附图对本专利技术的原理和特征进行描述，所举实例只用于解释本专利技术，并非用于限定本专利技术的范围。图1为本专利技术实施例提供的静态数据加密保护方法的示意性流程图。如图1所示，该方法包括：S1，将客户端所在的服务器主机信息注册到服务端；S2，在服务端为需要加密的客户端所在的服务器主机的目录或文件分配主密钥，并根据分配的所述主密钥生成加密控制策略，将所述加密控制策略下发到对应的客户端；S3，所述客户端根据接收的所述加密控制策略通过安全通道从所述服务端获取对应的主密钥并存储；S4，当向加密的目录或文件写入数据时，随机生成一个数据密钥，利用所述数据密钥加密所述目录或文件，得到加密文件；利用主密钥加密所述数据密钥，得到密钥密文，将所述密钥密文写入所述加密文件头部，完成数据写入。具体地，所述加密控制策略包括目录信息或文件信息，以及与所述目录信息或文件信息匹配的主密钥标识。上述实施例中，将客户端部署在文件所在的服务器主机上，执行文件的加解密操作，服务端实现服务器主机管理、密钥管理和控制策略管理等，本专利技术通过透明加密技术对静态数据进行加密保护，用户或者应用程序可透明访问加密文件，文件被加密后处于无法访问的状态，只用授权的用户或者应用程序才能访问，防止恶意用户和恶意程序访问敏感问文件，保护文件不被未授权用户或者应用程序窃取；同时对密钥和策略进行统一的安全管理，提高密钥安全性，且文件管理和使用权限分离，提高文件保护的安全性。可选地，静态数据加密保护方法还包括，当目录或文件完成加密后，在服务端显示为加密状态；服务端为加密的目录或文件分配访问权限，根据所述访问权限生成访问控制策略，并将所述访问控制策略下发到对应的客户端。具体地，所述访问控制策略包括加密的目录或文件的目录信息或文件信息、访问主体信息和相应的访问权限。上述实施例中，通过透明加密和访问控制技术实现对静态存储的文件进行加密保护和访问控制，用户或者应用程序可透明访问加密文件，文件被加密后处于无法访问的状态，只用授权的用户或者应用程序才能访问，防止恶意用户和恶意程序访问敏感问文件，集中式文件加密管理，可由专人负责文件加密控制策略和访问控制策略的管理，提高管理效率；且文件管理和使用权限分离，使用文件的人员无法通过解密文件或者修改访问权限等手段进行非法访问。可选地，静态数据加密保护方法还包括，当在服务器主机内访问加密文件时，根据访问控制策略判断访问主体是否具有访问权限，根据不同的访问权限执行不同的访问操作。具体地，当所述访问主体具有访问权限时，利用主密钥解密所述加密文件头部的密钥密文，得到所述数据密钥，利用所述数据密钥解密所述加密文件，完成数据读取。其中，访问主体可以是用户、用户组或者进程。上文结合图1，详细描述了根据本专利技术实施例提供的静态数据加密保护方法。下面结合图2，详细描述本专利技术实施例提供的静态数据加密保护系统。如图2所示，本专利技术实施例还提供一种静态数据加密保护系统，包括：至少一个客户端和服务端；所述服务端包括密钥管理服务模块和文件加密管理服务模块；所述客户端包括文件加密代理模块、文件加解密模块和密码安全模块。所述密钥管理服务模块，用于创建主密钥并存储；所述文件加密管理服务模块，用于注册客户端所在的服务器主机信息；本文档来自技高网...

【技术保护点】
1.一种静态数据加密保护方法，其特征在于，包括：/n将客户端所在的服务器主机信息注册到服务端；/n在服务端为需要加密的客户端所在的服务器主机的目录或文件分配主密钥，并根据分配的所述主密钥生成加密控制策略，将所述加密控制策略下发到对应的客户端；/n所述客户端根据接收的所述加密控制策略通过安全通道从所述服务端获取对应的主密钥并存储；/n当向加密的目录或文件写入数据时，随机生成一个数据密钥，利用所述数据密钥加密所述目录或文件，得到加密文件；利用主密钥加密所述数据密钥，得到密钥密文，将所述密钥密文写入所述加密文件头部，完成数据写入。/n

【技术特征摘要】
1.一种静态数据加密保护方法，其特征在于，包括：
将客户端所在的服务器主机信息注册到服务端；
在服务端为需要加密的客户端所在的服务器主机的目录或文件分配主密钥，并根据分配的所述主密钥生成加密控制策略，将所述加密控制策略下发到对应的客户端；
所述客户端根据接收的所述加密控制策略通过安全通道从所述服务端获取对应的主密钥并存储；
当向加密的目录或文件写入数据时，随机生成一个数据密钥，利用所述数据密钥加密所述目录或文件，得到加密文件；利用主密钥加密所述数据密钥，得到密钥密文，将所述密钥密文写入所述加密文件头部，完成数据写入。


2.根据权利要求1所述的方法，其特征在于，还包括当目录或文件完成加密后，在服务端显示为加密状态；服务端为加密的目录或文件分配访问权限，根据所述访问权限生成访问控制策略，并将所述访问控制策略下发到对应的客户端。


3.根据权利要求2所述的方法，其特征在于，还包括当在服务器主机内访问加密文件时，根据访问控制策略判断访问主体是否具有访问权限，根据不同的访问权限执行不同的访问操作。


4.根据权利要求3所述的方法，其特征在于，当所述访问主体具有访问权限时，利用主密钥解密所述加密文件头部的密钥密文，得到所述数据密钥，利用所述数据密钥解密所述加密文件，完成数据读取。


5.根据权利要求2至4任一项所述的方法，其特征在于，还包括：所述加密控制策略包括目录信息或文件信息，以及与所述目录信息或文件信息匹配的主密钥标识；所述访问控制策略包括加密的目录或文件的目录信息或文件信息、访问主体信息和相应的访问权限。


6.一种静态数据加密保护系统，其特征在于，包括：至少一个客户端和服务端；
所述服务端包括密钥管理服务模块和文件加密管理服务模块；
所述密钥管理服务模块，用于创建主密钥并存储；
所述文件加密管理服务模块，用于注册客户端所在的...

【专利技术属性】
技术研发人员：张森，张建树，董坤朋，鹿淑煜，王腾帅，
申请(专利权)人：山东三未信安信息科技有限公司，
类型：发明
国别省市：山东;37