[发明专利]一种基于分区的文件加密系统的访问控制方法和装置

说明书

技术领域

本发明涉信息安全领域，特别是指一种基于分区的文件加密系统的访问控制方法和装置。

背景技术

传统的文件加密系统的“账号+密码”身份验证方式是由用户自己设定的一串静态数据，除非用户更改，否则将保持不变。这也就导致了静态密码的安全性缺点，比如容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。用户长期频繁的更改密码，也带来密码管理上的问题，如密码太多，常常忘记正确的密码。同时，传统的身份验证对原始账号和密码缺乏后处理，这就导致容易遭到暴力破解。即使采用现在比较流行的动态密码或生物识别技术，但实施成本比较高，安装设置比较复杂。

发明内容

有鉴于此，本发明的目的在于提出一种基于分区的文件加密系统的访问控制方法和装置，能够提高文件加密系统的身份验证级别。

基于上述目的本发明提供的一种基于分区的文件加密系统的访问控制方法，包括以下步骤：

读取用户输入的密码或/和密钥文件，判断是否存在加密分区；若存在加密分区，则直接进行下一步；若不存在加密分区，则用户设置密码或/和密钥文件，读取该密码或/和密钥文件创建一个受用户密码或/和密钥文件保护的加密分区，再返回到读取用户输入的密码或/和密钥文件，判断是否存在加密分区的步骤；

根据用户输入的密码或/和密钥文件使用可能的算法进行解密生成解密密钥，然后使用可能的算法通过解密密钥解密得到验证值、校验值；

判断解密后的验证值、校验值是否分别与设置的验证值、校验值一致。若相同，则身份验证通过，获得文件加密密钥，最后得到文件区的数据；若不相同，则显示输入的密码或/和密钥文件不正确。

可选地，在读取该密码或/和密钥文件创建一个受用户密码或/和密钥文件保护的加密分区时，采用如下方法：

选择用于存储待加密文件的分区；

生成随机数，存放于分区头的首部并且作为生成分区头加密密钥的盐值；

在分区头上定义并写入验证值；在分区头512字节后写入前512字节信息的校验值；同时随机生成用于加密文件的文件加密密钥，并写入分区头的尾部；

读取用户设置的密码或/和密钥文件，使用指定的密钥生成算法生成加密密钥，作为分区头的加密密钥；

根据生成的加密密钥，使用指定的加密算法加密分区头除盐值以外的信息；

将创建好的加密分区进行加载。

进一步地，所述的指定密钥生成算法是自动随机选择密钥生成算法，或者将密钥生成算法全部提供给用户，让用户自己选择。

进一步地，在使用指定的密钥生成算法生成加密密钥时，并不记忆所使用的该密钥生成算法。

进一步地，所述的指定加密算法是自动随机选择加密算法，或者将加密算法全部提供给用户，让用户自己选择。

进一步地，用指定的加密算法加密分区头除盐值以外的信息时，并不记忆所使用的该加密算法。

进一步地，通过随机数生成器生成随机数。

基于上述目的，本发明还提供了基于分区的文件加密系统的访问控制装置，包括：

读取判断单元，用于读取用户输入的密码或/和密钥文件，判断是否存在加密分区；若存在加密分区则与解密密钥生成单元相连，若不存在加密分区则与设置建立单元相连；

设置建立单元，用于读取用户设置的密码或/和密钥文件创建一个受用户密码或/和密钥文件保护的加密分区；

解密密钥生成单元，用于根据用户输入的密码或/和密钥文件使用可能的算法进行解密生成解密密钥；

解密单元，与解密密钥生成单元相连，用于根据生成的解密密钥使用可能的算法得到验证值、校验值；

对比单元，与解密单元相连，用于根据解密后的验证值、校验值是否分别与设置的验证值、校验值一致；若相同，则身份验证通过，获得正确的文件加密密钥，最后获得文件区的数据；若不相同，则显示输入的密码或密钥文件不正确。

可选地，所述的设置建立单元在读取该密码或/和密钥文件创建一个受用户密码或/和密钥文件保护的加密分区时，首先选择用于存储待加密文件的分区；然后，生成随机数，存放于分区头的首部并且作为生成分区头加密密钥的盐值；在分区头上定义并写入验证值；在分区头512字节后写入前512字节信息的校验值；同时随机生成用于加密文件的文件加密密钥，并写入分区头的尾部；读取用户设置的密码或/和密钥文件，使用指定的密钥生成算法生成加密密钥，作为分区头的加密密钥；使用指定的加密算法加密分区头除盐值以外的信息；将创建好的加密分区进行加载。