[发明专利]一种加密文件系统数据的恢复方法和装置

说明书

技术领域

 本发明涉及文件加密的领域，特别地，涉及一种加密文件系统数据的恢复方法和装置。

背景技术

在使用加密文件系统 (Encrypting File System，EFS)加密一个文件或文件夹时，操作系统首先会生成一个由伪随机数组成的FEK(File Encryption Key，文件加密密钥)，然后将利用FEK和数据扩展标准X算法创建加密后的文件，并把它存储到硬盘上，同时删除未加密的原始文件。而在访问被加密文件时，操作系统首先利用当前用户的私钥解密FEK，然后利用FEK解密出加密文件。

经过EFS加密过的加密文件是以密文的形式存在的，当存储加密文件的硬盘丢失，在没有登录操作系统对应账户的情况下是无法访问加密文件的，所以，经过EFS加密过的文件的保密性强。因此，越来越多的企业和个人利用EFS来保护商业秘密或个人隐私等的数据文件。在实际应用中，EFS在操作系统底层自动完成对数据文件的加密和解密，对于操作系统上层的用户来说加密文件是完全透明的，所以加密用户可以直接打开、编辑、复制或黏贴经过EFS加密过的加密文件。然而，由于EFS加密强度大、加密过程复杂并且微软公司从未透露过EFS的加密细节，用户在使用EFS加密数据文件之后需要及时备份密钥，如果用户没有及时备份密钥，当发生经EFS加密的文件被误删除或操作系统有故障等情况时，用户将无法通过登录对应账户来借助加密文件系统组件来恢复EFS加密文件，也无法通过将硬盘连接到其它操作系统来恢复EFS加密文件，导致EFS加密文件永久丢失，对用户造成无法弥补的损失。

发明内容

为解决上述问题，本发明提供一种加密文件系统数据的恢复方法和装置，用于解决现有技术中，在操作系统出现故障或加密文件被误删除时，EFS加密文件无法恢复，导致EFS加密文件永久损失的问题。

为此，本发明提供了一种加密文件系统数据恢复方法，其中，包括：

获取加密文件的完整文件和/或碎片文件；

解析出所述加密文件的私钥GUID、公钥指纹和FEK；

根据所述私钥GUID和公钥指纹检索并解密对应私钥文件以提取私钥，利用私钥解密所述FEK，以得到FEK明文；

从所述FEK明文中提取对称加密算法标识符和对称加密算法密钥，再根据所述加密文件数据的相对偏移量解密出所述加密文件数据的明文；

将所述加密文件数据的明文输出给用户。

其中，所述解析出所述加密文件的私钥GUID、公钥指纹和FEK具体包括：

获取所述EFS加密文件和/或碎片文件，提取出所述加密文件的加密属性数据流；

解析所述加密文件的加密属性数据流以得到所述加密文件的私钥GUID、公钥指纹和加密FEK。

其中，所述根据所述私钥GUID和公钥指纹检索并解密对应私钥文件以提取私钥，利用私钥解密所述FEK具体包括：

根据所述私钥GUID和公钥指纹检索所述加密文件的私钥文件和包含私钥文件的个人信息交换标准PFX证书文件；

解密加密文件的私钥文件或PFX证书文件提取对应的私钥。

其中，所述根据所述私钥GUID和公钥指纹检索对应的私钥文件或包含私钥文件的PFX证书文件具体包括：

如果检索到的加密文件的私钥文件，则提取私钥文件中标准的DPAPI加密块，从标准的DPAPI加密块提取主密钥GUID；

以所述主密钥GUID为关键字在所述数据源的用户主密钥存储区下检索主密钥文件及其历史凭据文件；

根据用户登录密码和加密用户SID从所述主密钥文件及其历史凭据文件中解析出64字节主密钥；

根据所述DPAPI加密块信息从所述主密钥派生出会话密钥，使用所述会话密钥解析出所述加密文件的私钥块明文；

从所述私钥块明文的指定位置中提取RSA参数并构造出OPENSSL编码结构的私钥。

其中，所述根据所述私钥GUID和公钥指纹检索对应的私钥文件或包含私钥文件的PFX证书文件具体包括：

如果检索到的私钥为PFX证书文件，将所述PFX证书文件读入内存，并在内存中将所述PFX证书文件从DER编码转化成OPENSSL编码结构；

输入所述PFX证书文件中私钥的加密密码，使用PFX证书中的散列算法，计算对应的消息认证代码以验证加密密码是否正确，验证通过后从所述PFX证书文件中提取OPENSSL编码结构的私钥。

其中，所述从所述FEK明文中提取对称加密算法标识符和对称加密算法密钥具体包括：