[发明专利]一种文件加密系统

说明书

技术领域

本发明属于信息安全技术领域，是一种同时采用了透明和非透明文件加密技术的文件加密系统。

背景技术

对保存在计算机上的文件进行安全保护是人们非常关心的问题，而对文件进行安全加密又是对文件安全保护最有效的技术手段。文件安全加密技术可分为两类，透明文件加密和非透明文件加密。所谓透明文件加密，即用户和应用程序在使用被加密的文件时感受不到文件是被加密的，用户像通常操作非加密文件进行一样的方式操作加密文件，比如，打开、保存文件；而应用程序（文件处理程序）按通常处理非加密文件的方式处理加密文件，包括创建、打开、读、写文件。所谓非透明文件加密，即用户感受得到正在使用的文件是被加密的，比如，需要通过右键点击光标操作进行文件加密，需要通过专门的操作将文件解密后才能使用应用程序（如Word程序）打开文件（如Word文档）；而应用程序无法按原有方式处理被加密的相应加密文件，比如，无法打开被加密的文件。

透明文件加密通常在计算机的文件系统层实现，最常用的技术方案包括：一是开发一个自动实现文件加密、解密的文件系统驱动（file system driver）（即加密文件驱动），然后通过新开发的加密文件系统驱动在现有文件系统上创建一个虚拟的新的文件盘（drive），新创建的虚拟文件盘上的文件将被加密文件驱动自动加密、解密；二是针对计算机的现有文件系统开发一个文件过滤器驱动（filter driver），插入到文件系统的驱动栈中（driver stack），当文件对应的应用程序（常称为受信进程）对文件进行读、写操作时，该文件过滤器将对文件自动进行加密、解密（该文件过滤器驱动称为文件加密过滤器）。前一种透明文件方案比较复杂，要熟悉计算机文件系统的人才能开发；后一种方案相对而言比较简单些（当然，开发这样的文件加密过滤器也不是一件简单的事情，毕竟在计算机的内核层进行开发）。

非透明文件加密通常是在计算机文件系统提供的文件技术基础上开发实现的，被加密的文件是计算机文件系统中的一个普通文件。对于非透明文件加密，人们常常通过一定的技术手段使得一个加密文件内部同样存在文件目录结构，以保存多个文件，甚至文件目录，这种加密文件称为加密文件夹。如果我们把常用的文件压缩程序WinZip或WinRAR中的文件压缩、解压功能换成对应的数据加密、解密功能，那么，我们就得到了一个典型的加密文件夹。基于这种加密文件夹，我们可以像WinZip或WinRAR一样通过右键点击光标创建一个加密文件夹，通过拖拽或文件夹菜单操作将新的文件或文件目录加入到加密文件夹中；或者，通过拖拽或文件夹菜单操作将文件夹中的一个被加密的文件或文件目录解密到计算机的一个文件目录中；或者，通过直接双击当前光标处的文件（如一个Word、Excel文件），由对应的应用程序（如Word、Excel程序）打开被选中的文件。

透明文件加密的优点是进行文件操作时，用户无需进行特别的操作，用户和应用程序感受不到加密、解密的存在，能像通常使用非加密文件一样使用和处理加密文件。但是，它的优点恰恰又是它的缺点，这是因为：1）对于普通的、不熟悉安全技术的用户而言，感受不到加密、解密的存在，也就感受不到安全的存在；2）如果透明文件加密是基于文件过滤器技术实现的（这是常用的透明文件加密技术），那么，一旦由于某种原因文件加密过滤器没被加载上（普通用户是不知道这点的），那么，新创建的文件将处于明文状态！

非透明文件加密的缺点通常认为有两点：

1）改变了用户使用文件的习惯，用户感受得到文件加密的存在；

2）有可能造成敏感信息泄露；这是因为，若加密文件是一个加密文件夹，且加密文件夹中的文件可以通过双击的方式打开（如前面的“加密”WinZip或WinRAR），那么，文件夹加密程序通常是在计算机存储介质（如硬盘）上生成一个被解密的临时文件（非加密文件），然后通过操作系统调用对应的应用程序打开这个解密后的临时文件，当用户之后关闭应用程序（从而关闭打开的临时文件），则加密程序再将临时文件删除；但是，由于被删除的临时文件在存储介质实际上是留有痕迹的、是可被恢复的，这样会造成敏感信息的泄露。

我们先分析一下非透明文件加密的第一个缺点。实际上，对于普通的用户也言，不透明反而是一个优点，因为，一是用户能感受到加密保护的存在；二是不会出现加密文件过滤器没装载成功而导致文件没被加密的情况出现。因此，仅从加密过程是否透明这点而言，透明文件加密和非透明文件加密各有优缺点，但对于普通用户而言，非透明文件反而可能更适合。