一种面向共享文件的文件加密系统

摘要

本发明涉及一种面向共享文件的文件加密系统，所述系统包括加密文件、文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统。所述加密文件用于多个用户之间共享使用，涉及的共享用户包括个人共享用户和群体共享用户；所述群体共享用户由加密文件的群体共享策略规定；所述加密文件有一个称为文件加密密钥的随机对称密钥，用于加密文件的文件数据和群体共享策略的加密；文件加密密钥被每个个人共享用户的公钥以及一个共享加密公钥分别加密后连同加密的群体共享策略一起保存在加密文件中。通过文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统能实现对文件的加密和解密以及加密文件个人共享用户和群体共享策略的管理。

主权项

一种面向共享文件的文件加密系统，其特征是：所述系统包括加密文件、文件加密处理程序、文件加密过滤器、文件解密服务器及身份管理系统，其中：加密文件：一种加密的计算机系统的电子文件；所述加密文件与加密前的电子文件具有同样的文件后缀，即文件加密前后保持文件类型不变；所述加密文件保存在用户计算机本地或保存在网络文件存储系统中；所述加密文件包括三部分的数据：文件数据，群体共享策略和密钥数据；其中，文件数据是由加密文件所对应的加密前原文件的非加密文件数据经一个随机生成的对称密钥采用对称密钥密码算法加密后所形成的数据；所述随机生成的对称密钥称为文件加密密钥；群体共享策略是加密文件的共享规则，用于指示具有共享规则中给定特征的用户或满足共享规则中给定条件的用户被许可解密所述加密文件的文件数据；被所述群体共享策略许可解密加密文件的文件数据的用户称为加密文件的群体共享用户；所述群体共享策略经文件加密密钥采用对称密钥密码算法加密；一个加密文件包含一条或多条群体共享策略；所述加密文件的所述文件加密密钥在生成加密文件时产生；所述密钥数据是使用每个个人共享用户的公钥采用公开密钥密码算法分别对文件加密密钥进行加密后所形成的数据以及使用一个共享加密公钥对文件加密密钥进行加密后所形成的数据的集合；所述个人共享用户是指拥有对加密文件的密钥数据中的文件加密密钥进行加密的一个公钥所对应的私钥的个人用户；所述共享加密公钥是一个对加密文件的文件加密密钥进行加密的公共公钥；所述加密文件的群体共享策略由加密文件的个人共享用户创建；文件加密处理程序：一个为用户提供人机交互界面对文件进行加密和解密操作、对加密文件的个人共享用户和群体共享策略进行管理的程序；所述个人共享用户管理包括添加、查看和删除一个加密文件的个人共享用户；所述群体共享策略管理包括添加、查看和删除一个加密文件的群体共享策略；所述文件加密处理程序还向用户提供鼠标右键菜单用于对文件进行加密和解密操作、对个人共享用户以及对群体共享策略进行管理；所述文件加密处理程序包括针对单个用户使用的程序或网络文件存储系统的客户端程序；文件加密过滤器：一个在受信程序对所述加密文件进行读取操作时自动对读取的文件数据进行解密处理的插入到计算机文件系统的驱动栈中的过滤器类型的驱动；当一个非受信程序对所述加密文件进行读取操作时，所述文件加密过滤器不对非受信程序读取的文件数据进行解密处理；当一个非受信程序读取一个非加密文件时，所述文件加密过滤器先将非受信程序要读取的非加密文件加密成为加密文件，然后再供非受信程序读取；所述受信程序是被允许以明文形式读取加密文件的文件数据的程序；所述非受信程序是不被允许以明文方式读取加密文件的文件数据的程序；所述受信程序和非受信程序由所述文件加密系统开发者在系统开发时确定并通过在线更新方式进行动态更新，或者由使用所述文件加密系统的用户手工配置设定；文件解密服务器：一个根据用户的身份信息以及加密文件的群体共享策略确定用户是否是加密文件的群体共享用户的系统；身份管理系统：一个对用户的身份信息进行管理的系统；所述身份信息包括用户的身份标识、角色以及其他证明或描述用户的信息；当用户通过所述文件加密处理程序包括通过鼠标右键菜单对一个加密文件进行个人共享用户管理和共享策略管理操作时，包括添加、删除和清除个人共享用户以及添加、删除和清除群体共享策略时，所述文件加密处理程序先确定当前用户是否是加密文件的个人共享用户，若是，则继续操作处理，否则，报错并中止操作处理；所述文件加密处理程序或文件加密过滤器在对一个加密文件进行解密前，先确定当前用户是否是加密文件的个人共享用户，若是，则继续对加密文件的解密处理；否则，再确定当前用户是否是加密文件的群体共享用户，若是，则继续对加密文件的解密处理，否则，报错并中止对加密文件的解密处理；所述当前用户是指文件加密处理程序和/或文件加密过滤器运行所在计算机的拥有者或操作使用文件加密处理程序和/或文件加密过滤器运行所在计算机的用户。