一种实现文件重定向加解密的系统及方法
阅读说明:本技术 一种实现文件重定向加解密的系统及方法 (System and method for realizing file redirection encryption and decryption ) 是由 苗功勋 崔新安 袁浩 王金国 李本学 于 2021-06-30 设计创作,主要内容包括:本发明提供了一种实现文件重定向加解密的系统及方法,通过操作系统内核层在文件打开的过程进行阻断,并对文件在内存中进行拷贝复制及实现加解密的操作,实现了编辑软件无感的打开、操作加密文件的功能。本发明能够实现用户加密文件时,不存在延迟、记忆加密密码等问题,同时该文件存储在硬盘上即使被窃取也无法打开,保证了数据的安全性,解决了当前电子文件存储、使用过程中难以被保护的难题。(The invention provides a system and a method for realizing file redirection encryption and decryption, which realize the functions of invisibly opening and operating an encrypted file by editing software by blocking a file opening process through an operating system kernel layer, copying and copying the file in a memory and realizing encryption and decryption. The invention can realize that the problems of delaying, memorizing the encryption password and the like do not exist when the user encrypts the file, and meanwhile, the file can not be opened even if being stored on the hard disk, thereby ensuring the safety of data and solving the problem that the current electronic file is difficult to be protected in the storage and use processes.)
技术领域
本发明属于电子文件安全保密技术领域,具体涉及一种实现文件重定向加解密的系统及方法。
背景技术
本部分的陈述仅仅是提供了与本发明相关的
背景技术
信息,不必然构成在先技术。随着信息的无纸化、电子化的推进,越来越多的数据信息以电子文件的形式进行存储保存,因此电子文件的安全保密越来越重要。目前,很多人采用压缩加密、单独存储等方式进行电子文件数据的保护,但是这些方式存在密码容易忘记、操作繁琐的弊端。
发明内容
本发明为了解决上述问题,提出一种实现文件重定向加解密的系统及方法,本发明能够实现用户加密文件时,不存在延迟、记忆加密密码等问题,同时该文件存储在硬盘上即使被窃取也无法打开,保证了数据的安全性,解决了当前电子文件存储、使用过程中难以被保护的难题。
根据一些实施例,本发明采用如下技术方案:
一种实现文件重定向加解密的系统,包括:
编辑软件,被配置为接收打开目标加密文件的指令,传入目标加密文件的路径;获取反馈的句柄,对文件进行读写操作;
操作系统,被配置为将路径传给控制管理中心;接收传回的明文路径,取得明文路径的句柄,返回给编辑软件;
控制管理中心,包括加解密服务模块和行为监视服务模块,所述加解密服务模块被配置为接收操作系统传输的路径,查找到加密文件,进行解密,将解密后的明文文件写入内存文件系统中,并将明文文件路径传回操作系统;所述行为监视服务模块被配置为检测文件读写动作完成后,将明文文件的内容回填到加密文件上。
作为可选择的实施方式,所述编辑软件还被配置为调用sys_open函数。
作为可选择的实施方式,所述操作系统还被配置为通过系统HOOK的方式拦截sys_open函数。
作为可选择的实施方式,所述操作系统在接收传回的明文路径后,使用明文路径调用原始sys_open函数,取得明文路径的句柄。
作为可选择的实施方式,所述编辑软件使用句柄对文件进行读写操作时,所有的读写操作都发生在内存文件系统中的明文文件上。
作为可选择的实施方式,所述加密文件存储在硬盘上。
作为可选择的实施方式,所述行为监视服务模块被配置为在检测到文件写完后,读取内存中的明文文件,并且通过加密算法进行加密,并将加密后的数据,写到加密文件中,以此完成内容回填。
作为可选择的实施方式,所述行为监视服务模块被配置为以关闭文件的动作,作为读写动作完成的标志,以此检测读写动作完成。
作为可选择的实施方式,所述控制管理中心在对文件进行加解密之前,会首先判断当前编辑软件及系统用户是否对当前文件有读写权限,如果有相关权限,会继续进行加解密,如果没有权限,会直接返回错误,阻断本次操作。
一种实现文件重定向加解密的方法,包括以下步骤:
编辑软件打开文件时,调用sys_open函数,并传入待操作文件的路径;
操作系统通过HOOK的方式拦截sys_open,调用加解密服务模块,并将文件路径传给加解密服务模块;
加解密服务模块解密文件,将明文写入内存文件系统中,并将明文路径传回内核操作系统;
操作系统使用明文路径调用原始sys_open函数,取得明文路径的句柄,返回给编辑软件;
编辑软件使用该句柄,对文件进行读写操作;
行为监视服务检测到文件读写动作完成后,将明文文件的内容回填到加密文件上,至此完成加密文件的读写操作。
与现有技术相比,本发明的有益效果为:
本发明支持全部电子文件编辑软件,无需针对软件定制开发。因为本技术采用在操作系统底层进行修改,操作系统屏蔽了文件编辑软件的特殊性,因此具有广泛的应用场景。
本发明的文件虽然进行了两次打开操作,但是第二次打开是在内存中进行,内存的读写速度远远大于硬盘的读写速度,因此延迟时间相对于硬盘时间小很多。
本发明具有权限控制措施,仅对有操作权限的用户才能打开加密文件,即使硬盘丢失加密文件也无法被打开,保证了数据的安全性。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为本实施例的流程示意图。
具体实施方式
:
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
如图1所示,提供一种通过操作系统内核层在文件打开的过程进行阻断,并对文件在内存中进行拷贝复制及实现加解密的操作方法,实现了编辑软件无感的打开、操作加密文件的功能。
本发明通过HOOK文件操作相关API,完成了加密文件的重定向、明文文件的回填等功能,实现了文件的快速加解密。使用者操作加密文件如同操作其他文件一样,不存在延迟、记忆加密密码等问题,同时该文件存储在硬盘上即使被窃取也无法打开,保证了数据的安全性,解决了当前电子文件存储、使用过程中难以被保护的难题。
1、编辑软件打开文件时,调用sys_open系统调用,并传入待操作文件的路径(如/home/user/test.txt);
2、在“控制点”处,通过系统HOOK的方式拦截sys_open,调用“控制管理中心”的加解密服务模块,并将文件路径传给加解密服务;
3、加解密服务模块解密文件,将明文写入内存文件系统中,并将明文路径传回内核(如/home/ramfs/test.txt);
4、在“控制点”处,HOOK模块使用明文路径调用原始sys_open,取得明文路径的句柄,返回给编辑软件;
在“控制点”处,通过系统HOOK的方式拦截sys_open,调用“控制管理中心”的加解密服务模块,“控制管理中心”在对文件进行加解密之前,会首先判断当前编辑软件及系统用户是否对当前文件有读写权限,如果有相关权限,会继续进行加解密,如果没有权限,会直接返回错误,阻断本次操作。
5、编辑软件后续使用该句柄,对文件进行读写操作。由于句柄对应的是内存文件系统中的明文文件,所以所有的读写操作都发生在内存文件系统中的明文文件上;
6、“控制管理中心”的行为监视服务检测到文件读写动作完成后,将明文文件的内容回填到加密文件上,至此完成加密文件的读写操作。
在检测到文件写完后,回写服务程序读取内存中的明文文件,并且通过加密算法进行加密,并将加密后的数据,写到加密文件中,以此完成内容回填。
文件的读、写动作的标准流程是:打开文件、读/写内容、关闭文件。行为监视服务模块以“关闭文件”这个动作,作为读写动作完成的标志,以此检测读写动作完成。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:数字孪生现场安全管控平台