[发明专利]面向类Linux系统的内核级虚拟聚合并行加密方法

说明书

技术领域

本发明涉及数据安全技术领域，特别是涉及面向类Linux系统的内核级虚拟聚合并行加密方法。

背景技术

随着计算机技术和互联网的飞速发展，数据泄密事件频频发生，数据安全保密问题日益受到人们的重视。加密技术是保障数据安全的一种非常有力的方式，通过将用户数据文件进行加密保护，能有效地防止非法入侵者窃取用户的机密数据文件。

加密技术按实现方式可分为基于软件的加密和基于硬件的加密：硬件加密通常是采用硬件加密卡等加密设备，如成都天融信研发的SJY17型PCI加密卡、四川卫士通的SJY115系列密码卡；软件加密是通过程序代码实现加解密运算，如OpenSSL函数库。硬件加密由于硬件芯片本身难于被攻击的特点，具有较高的安全性，而软件实现的加密方式存在加密流程容易被跟踪调试、加解密密钥无法安全存放等安全问题。按实现层次可分为应用层加密和操作系统内核层加密。由于内核较之应用程序具有难于调试跟踪特性，加之内核本身的可靠性及复杂性，使得内核层实现的加密方式比应用层实现的加密方式具有更高的安全性。

在目前主流的操作系统中，Windows操作系统占据了大部分市场。在Windows上的加密技术，如EFS（Encrypting File System）加密文件系统，它可方便的加密NTFS文件卷，但由于Windows系统的闭源性，其核心技术是不公开的，而且其内核架构与其它平台存在较大差异，Windows上的加密技术无法应用于其他平台。

类Linux系统作为开放源码的操作系统以其高稳定性和安全性在世界上得到越来越广泛的使用，国内采用类Linux系统的用户也越来越多，我国也基于类Linux操作系统研发了自主可控的国产操作系统，如麒麟，红旗，中标等。在类Linux操作系统内核层实现的数据加解密服务包括用于加密块设备的dm-crypt以及被广泛使用的用于加密文件的eCryptfs。eCryptfs是一个功能强大的企业级的加密文件系统，为应用程序提供透明、动态、高效和安全的文件加解密服务。由于eCryptfs将加密服务集成到文件系统，做到一文一密，较之使用单一密钥加密整个块设备的dm-crypt，eCryptfs加密粒度更细，具有更高的安全性。eCryptfs通过调用内核密码接口（Kernel Crypto API）进行数据加解密操作，由于软算法本身固有的安全隐患，使得eCryptfs加解密过程的安全性受到限制。同时，由于CPU大量的计算能力被用来进行数据加解密，系统的性能也会受到一定的影响。

图1为eCryptfs加密文件系统（简称eCryptfs）在Linux操作系统中的逻辑关系图，eCryptfs工作在操作系统内核的文件系统层次，用户空间的应用程序对加密文件的操作请求由eCryptfs处理。eCryptfs将与文件系统相关的操作交给文件服务层处理，包括响应应用程序的操作请求、判断操作请求的类型、根据操作请求的类型执行相应的处理（如打开文件、读文件、写文件）等，而将与文件数据加解密相关的操作提交给加解密服务层处理。eCryptfs的加解密服务层包含两大模块：数据加解密模块、密钥管理模块。其中，数据加解密模块调用内核密码接口进行文件数据加解密，所使用的密钥称为文件加密密钥FEK（File Encryption Key）。内核密码接口支持多种对称密钥加密算法，如DES3、AES-128。密钥管理模块负责管理FEK，包括FEK的产生、FEK的加解密。密钥管理模块使用内核伪随机数发生器产生FEK，调用内核密码接口对FEK进行加解密，所使用的密钥为用户持有的文件密钥加密密钥FEKEK（File Encryption Key Encryption Key），加密后的FEK称为EFEK（Encrypted File Encryption Key），使用密钥状态结构体存放。密钥状态结构体是一种与被操作文件相关联的数据结构，包含记录一些文件信息的数据结构，如文件版本号、文件头大小；与加密相关的数据结构，如FEK、EFEK以及所使用的密钥算法；指向FEKEK的指针等内容。

图2为eCryptfs的文件加解密流程图，步骤如下：

第一步，eCryptfs中文件服务层接收应用程序操作请求。

第二步，文件服务层判断操作请求的类型，如果是打开文件请求，转2.1，如果是读文件请求，转2.2，如果是写文件请求，转2.3。