一種文件加密保護方法

2023-12-08 12:09:41

專利名稱：一種文件加密保護方法
技術領域：
本發明屬於計算機安全技術領域，涉及一種文件的加密保護方法。
背景技術：
現代社會，文件數據對每個人都十分重要，如何能有效的保護個人或公司的文 件數據，防止非法用戶獲得，已成為人們關注的話題。 當今文件的加密保護方法種類繁多，但是大多數的方法對加密數據本身的密碼 保護強度不夠， 一般是要求用戶輸入一定長度的密鑰。對加密後文件的隱藏保護功能一 般是通過底層文件過濾系統實現的，但是由於用戶輸入的密碼沒有很好的保護，解密只 需要指定長度的密碼，很容易通過黑客攻擊工具暴力破解，這樣極大地浪費了底層驅動 隱藏的功能。 英特爾CPU從Intel486 起支持檢測CPU序列號的功能，英特爾CPU序列號由
24位16進位數表示，由於序列號相同的概率為:^M. 26*10,逝似為0，使得解密操作
16
只能在同一臺PC上進行，所以使用CPU序列號生成加密密鑰，提高了加密密鑰的安全
性。同時加密的安全性和密碼的長度有直接關係，密碼長度越短越容易被破解，而密碼 長度越長，從使用的角度來講越不方便，即越容易導緻密碼遺忘。移動密鑰技術可以解
決這個問題。移動密鑰技術把最終加密算法使用的密鑰，分為兩部分本地生成的密鑰 和從外部導入的移動密鑰。對於本發明，加密的安全性不僅依賴於第一部分，更依賴於 第二部分，用戶需要記住的是第一部分。所以其加密的安全性高，而且便於記憶使用方
便。利用鍵盤記錄工具、IE緩存資源提取工具等可以容易的找到用戶從鍵盤上輸入的密
碼，對於只需要手動輸入密碼的軟體，其安全性便沒有保證。而對於本發明，採用軟鍵 盤進行密鑰輸入，可以有效的防止密鑰洩露，即便是手動輸入的密碼被破解，沒有移動 密鑰就不能進行解密操作，這樣大大提高了文件加密保護的安全性。

發明內容
本發明目的在於克服現有技術的上述不足，提供一種在使用英特爾CPU的 Windows作業系統平臺下實現文件加密保護，結合移動密鑰，CPU序列號和底層文件過 濾系統，使加密後的文件更加安全的方法，從而有效地保護加密文件不被非法用戶訪問 和獲取。
為了達到上述目的，本發明的技術方案是 —種文件加密保護方法，在使用英特爾CPU的Windows作業系統平臺下使用， 其特徵是加密文件的密鑰由兩部分密鑰組成， 一部分是從移動密鑰文件中獲得，另一
部分是由用戶使用軟鍵盤輸入的密鑰和PC機CPU序列號的部分位進行異或後生成的新密 鑰；接著使用加密算法對文件進行加密處理，加密後的文件通過存放在指定目錄，由底 層文件過濾系統保護，阻止非法訪問。
上述的加密保護方法，具體可以包括以下步驟 [OOO9] (1)用戶使用軟鍵盤輸入指定長度密鑰。
(2)在PC機上檢測本機CPU序列號。 (3)將(1)獲得的密鑰和(2)的部分位進行異或處理，生成新的密鑰。
(4)確定移動密鑰，並從移動密鑰文件中獲得指定長度密鑰。 (5)將(3)和(4)生成的密鑰，按照一定的選取原則，順序連接成最終加密算法所 需的密鑰。 (6)使用加密算法，其中(5)生成的密鑰作為加密密鑰，所需加密的文件作為輸 入，最終得到加密後的文件。 (7)把生成的加密文件通過指定程序存放在指定的文件目錄中； (8)使用底層文件過濾系統，通過判斷訪問進程是否是指定程序的進程，是則可
以訪問指定文件目錄對文件進行解密，否則無法訪問。 上述的步驟(4)所述的移動密鑰的長度應當大於所述的指定長度，通過將其分成
幾等份，從每份中選擇處於中間的一位密鑰，最終獲得指定長度密鑰。 上述方法中，所述的Windows作業系統指Windows 2000作業系統，Windows
XP作業系統和Windows VISTA作業系統；所述的英特爾CPU指Intel486 型號之後的
CPU。 本發明的實質性特點是通過使用CPU序列號，由於序列號相同的概率為 ^M=i. 26*10,，近似為0，使得解密操作只能在同一臺PC上進行;通過使用移動密鑰文
16
件，使得非法用戶僅獲得用戶密鑰無法解密文件；通過使用Windows底層過濾系統保護 指定目錄，使得只能通過指定程序才可以訪問加密後的文件。解密時，只有通過在加密 時的PC機上使用指定程序，並且保證用戶輸入密碼和移動密鑰都相同，才可以訪問加密 的文件，進而進行解密操作，獲取原來的文件。 與現有技術相比，本發明具有以下明顯的優點由於本發明在加密密鑰生成時
使用到了 PC機的英特爾CPU序列號，即使只取其前6位，相同的概率P ^、5.96*10—%
K，
接近於0，使得解密文件必須在加密文件的PC機上進行；採用軟鍵盤輸入用戶密鑰，有 效地防止相關黑客軟體對鍵盤輸入記錄的威脅；採用移動密鑰方法，大大提高了加密密 鑰的複雜性，使得非法用戶即使獲得用戶輸入的密鑰，沒有移動密鑰依然無法獲得原文 件；使用Windows底層文件過濾系統，加強了對加密後的文件的保護，有效地防止一般 黑客軟體或者非法用戶對加密後文件進行訪問，進而獲得後進行暴力破解的可能性。


圖1是本發明加密密鑰生成示意圖。 圖2是本發明移動密鑰和用戶密鑰與CPU序列號異或後的密鑰按順序連接生成 最終加密密鑰示意圖。 圖3是本發明底層文件過濾系統隱藏保護加密文件指定目錄示意圖。
具體實施例方式參見圖l，以AES算法為例，本發明加密過程包括如下步驟 首先獲得加密所需的密鑰，AES算法需要16位，即128bit長度的密鑰 (1)用戶使用軟鍵盤輸入6位密鑰。選用6位長度的原因是用戶輸入過長，不便
於用戶自身的記憶。如果用戶輸入長度不足6位，則通過指定程序添加指定密鑰形成6
位；如果用戶輸入超過6位，則會指定程序忽略多餘的密鑰，僅留下最前面的6位密鑰。 (2)在PC機上通過指定程序獲得本機的前6位CPU序列號，英特爾前六位序列
號相同的概率『4^5. 96*10— 由此可見概率近似為零，而II. AMD的CPU不支持序列
16
號，所以在不同的電腦上解密文件基本是不可能的。 (3)將(1)和(2)獲得的各6位密鑰按位進行異或操作處理，生成新的6位密鑰。 (4)從移動密鑰文件中獲得10位密鑰。移動密鑰是一篇文章，或者是大量的字
符，用戶可以自行設置，但是長度需要大於指定的長度。通過將密鑰分成10等份，從每
份中選擇處於中間的一位密鑰， 一共選出10位密鑰。移動密鑰應該存儲在移動介質中，
不可以存儲在加密文件所處的PC機上，移動密鑰必須由用戶妥善保管。 (5)將(3)生成的6位密鑰和(4)生成的10位密鑰，按照先取(3)中的1位密鑰，
接著取(4)中的2位密鑰，順序連接成16位最終加密算法所需的密鑰。 然後使用AES算法，將(5)生成的16位密鑰作為加密密鑰，將準備進行加密處
理的文件作為算法的輸入，最終得到加密後的文件。 接著把生成的加密文件通過指定程序存放在指定的文件目錄中。可以根據用戶 的需要，是否刪除加密前的文件。 最後，使用底層文件過濾系統，通過判斷訪問進程是否是指定程序的進程，是 則可以訪問指定文件目錄，否則無法訪問，則加密後的文件處於隱藏狀態，以達到保護 指定的目錄防止非法用戶或進程的訪問。 參照圖2，最終加密密鑰的結合過程為按照先取異或處理後的6位密鑰中的1 位密鑰，接著取移動密鑰中的10位密鑰中的2位密鑰，順序連接成16位最終加密算法所 需的密鑰。 參照圖3，底層文件過濾系統隱藏保護加密後文件的過程為當有程序訪問指 定的隱藏的目錄時，通過在IRP的分發例程IRP—MJ—CREATE中判斷訪問進程是否是指定 允許的進程來達到是否拒絕指定隱藏目錄訪問的功能。當有程序訪問指定的隱藏的目錄 的父目錄時，通過在IRP的分發例程IRP—M乙CREATE判斷訪問進程是否是指定允許的進 程來達到在IRP的分發例程IRP—MJ—DIRECTORY—CONTROL是否隱藏指定目錄的功能。 所有的功能主要是通過對IRP的攔截和修改實現的 以下通過實施例對本發明進行更加詳細的描述加密過程包括如下步驟，本發 明以AES算法為例 首先獲得加密所需的密鑰，AES算法需要16位，即128bit長度的密鑰(l)用 戶使用軟鍵盤輸入6位密鑰123456。 (2)在PC機上通過指定程序獲得本機的CPU序列號 0EBFBFF0000000000000678，前6位CPU序列號0FEBFB。
(3)將(1)和(2)獲得的各6位密鑰按位進行異或操作處理，生成新的6位密鑰 tsvvt 「。 (4)從移動密鑰文件中獲得10位密鑰behknqtwzg，其中移動密鑰文件為 abcdefghijklmnopqrstuvwxyzwcgd 。 (5)將(3)生成的6位密鑰和(4)生成的10位密鑰，按照先取(3)中的1位密鑰， 接著取(4)中的2位密鑰，順序連接成16位最終加密算法所需的密鑰tbeshkvnqvtwtzgr。 然後使用AES算法，將(5)生成的16位密鑰作為加密密鑰，將準備進行加密處 理的文件作為算法的輸入，最終得到加密後的文件。 接著把生成的加密文件通過指定程序存放在指定的文件目錄中。可以根據用戶 的需要，是否刪除加密前的文件。 最後，使用底層文件過濾系統，通過判斷訪問進程是否是指定程序的進程，是 則可以訪問指定文件目錄，否則無法訪問，則加密後的文件處理隱藏狀態，以達到保護 指定的目錄防止非法用戶或進程的訪問。 本發明僅以AES算法作為加密算法進行本發明方法的闡述，但是加密算法可以 不局限於AES算法，當選取其他加密算法時，可以根據算法所需密鑰的長度，調整從移 動密鑰中獲取的密鑰長度，或者調整用戶手動輸入的密鑰的長度和使用到的CPU序列號 的長度。 本發明中的移動密鑰管理，可以通過具體按照本發明實施開發產品的軟體公司 建立移動密鑰資料庫進行管理。對於正版用戶，公司需要建立一對一的移動密鑰數據 庫，如果正版用戶丟失移動密鑰，公司需要提供移動密鑰找回服務，這樣做可以有效地 防止其產品被盜版，因為盜版用戶的密鑰一般是一致的，很不安全，而且盜版用戶無法 享受密鑰找回服務。 以上所述僅為本發明的較佳實施例，並不用以限制本發明，凡在本發明的精神 和原則之內所作的任何修改、等同替換和改進等，均應包含在本發明的保護範圍之內。
權利要求
一種文件加密保護方法，在使用英特爾CPU的Windows作業系統平臺下使用，其特徵是加密文件的密鑰由兩部分密鑰組成，一部分是從移動密鑰文件中獲得，另一部分是由用戶使用軟鍵盤輸入的密鑰和PC機CPU序列號的部分位進行異或後生成的新密鑰；接著使用加密算法對文件進行加密處理，加密後的文件通過存放在指定目錄，由底層文件過濾系統保護，阻止非法訪問。
2. 根據權利要求1所述的加密保護方法，其特徵在於過程包括以下步驟(1) 用戶使用軟鍵盤輸入指定長度密鑰。(2) 在PC機上檢測本機CPU序列號。(3) 將(1)獲得的密鑰和(2)的部分位進行異或處理，生成新的密鑰。(4) 確定移動密鑰，並從移動密鑰文件中獲得指定長度密鑰。(5) 分別選取(3)和(4)生成的密鑰，順序連接成最終加密算法所需的密鑰。(6) 使用加密算法，其中(5)生成的密鑰作為加密密鑰，所需加密的文件作為輸入，最 終得到加密後的文件。(7) 把生成的加密文件通過指定程序存放在指定的文件目錄中；(8) 使用底層文件過濾系統，通過判斷訪問進程是否是指定程序的進程，是則可以訪 問指定文件目錄對文件進行解密，否則無法訪問。
3. 根據權利要求1或2所述的方法，其特徵在於，步驟(4)所述的移動密鑰的長度大 於所述的指定長度，通過將其分成幾等份，從每份中選擇處於中間的一位密鑰，最終獲 得指定長度密鑰。
4. 根據權利要求1至3所述的方法，其中所述的Windows作業系統指Windows 2000 作業系統，Windows XP作業系統和Windows VISTA作業系統。
5. 根據權利要求1至4所述的方法，其中所述的英特爾CPU指Intel486 型號之後的 CPU。
全文摘要
本發明公開了一種基於CPU序列號的文件加密保護方法，在使用英特爾CPU的Windows作業系統平臺下實現加密保護，加密密鑰生成包括用移動密鑰、用戶密鑰、CPU序列號三者形成最終的加密密鑰。對文件加密後，把加密後的文件儲存在指定的目錄下，通過Windows底層文件過濾系統阻止對指定目錄的非法訪問，使指定目錄對一般程序處於隱藏狀態。該方法通過上述加密方法，解決以往文件加密易被暴力破解的情況，具有保密程度高，安全可靠和操作簡單的特點，適合各種文件的加密使用。
文檔編號G06F21/22GK101692265SQ20091007059
公開日2010年4月7日 申請日期2009年9月25日 優先權日2009年9月25日
發明者吳晨剛, 羅詠梅, 趙西滿, 鄧瑋, 金志剛 申請人:天津大學