[发明专利]一种linux操作系统环境下文件加密密钥的存储方法

说明书

本发明公开了一种linux操作系统环境下文件加密密钥的存储方法，包括如下步骤：1、文件加密与加密密钥存储，2、密文加密密钥与文件解密。该方法并没有多余的I/O操作，也不依赖于其他软件，整个过程高效简洁，只要文件存在，就不会担心文件密钥的丢失。本专利的优点在于：1、文件加密密钥存储时，不再对第三方数据库的依赖；2、减少了系统资源的浪费；3、降低了系统维护人员的维护成本；4、减少了系统I/O操作次数，提高了应用程序的效率；5、文件与文件加密密钥存储在一起，只要文件存在的时候就一定存在文件加密密钥，防止数据库崩溃或无法连接时，应用业务无法正常进行的情况。

技术领域

本发明涉及一种加密密钥存储方法，具体是一种linux操作系统环境下文件加密密钥的存储方法。

背景技术

对于文件加密密钥的存储保护，通常情况下的做法是将加密后的文件密钥与其对应的文件分开进行各自存储。应用程序通过密钥加密密钥(key)对文件密钥(key)进行加密保护，生成文件加密密钥(ekey)。因数据库表索引查找数据的方便性特点，在设计加密密钥存储方案时，一般会将文件加密密钥写入数据库表，而将与其对应的文件写入指定的文件目录，忽略了使用分开存储方式与数据库表存储带来的弊端；文件加密密钥的保护存储需要与数据库配套使用，这就意味着系统管理员预先安装好数据库，并且创建好数据表。文件加密密钥写入整个过程大致如下：应用程序连接数据库，打开数据库表，再将文件加密密钥插入数据库表中。在获取文件加密密钥时，大概的流程如下：应用程序连接数据库，打开数据库表，查询获取相应的文件加密密钥，再通过密钥加密密钥对文件加密密钥还原，生成文件密钥。

如以上描述可知，通常情况的做法不但增加了系统管理员的管理难度，程序员的开发工作量，系统资源也会造成不必要的浪费，在文件加密密钥存储与获取过程中过度依赖第三方的数据库，反复进行连接，打开，关闭，读，写等I/O操作，降低了程序运行的效率与性能。在数据库崩溃或无法连接时，整个程序的运行会陷入停滞状态，用户无法对密文文件进行解密，降低了程序应用的可靠性与安全性。如何解决在文件加密密钥更高效的存储与获取，对第三方的依赖程度更低，应用起来更独立是件很有意义的事情。

发明内容

本发明的目的在于提供一种linux操作系统环境下文件加密密钥的存储方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种linux操作系统环境下文件加密密钥的存储方法，包括如下步骤：1、文件加密与加密密钥存储，其过程如下：

第一步：应用程序使用工具(硬件或软件)生成随机的文件密钥key；

第二步：应用程序使用文件密钥key对明文文件file进行加密，生成密文文件efile；

第三步：应用程序使用密钥加密密钥key对文件密钥key进行加密保护，生成文件加密密钥ekey；

第四步：应用程序在用户态调用Linux操作系统提供的标准API接口setxattr()函数，对密文文件的扩展属性进行设置；

其中，函数setxattr包含五个参数：第一个是指向目标对象对应的目录项，即/path/efile；第二个参数表示用户空间的扩展属性名称，即user.key；第三个表示用户空间的扩展属性的值，即ekey；第四个表示扩展属性值的长度；第五个表示传递给文件系统相关操作的标志；

第五步：setxattr()函数对传入的参数进行合法性检查，如合法则继续，不合法则错误返回；

第六步：执行进程调用strncpy_from_user()函数或copy_from_user()函数将参数从用户空间拷贝到内核空间；

第七步：调用vfs_setxattr()函数，将扩展属性信息写入实际文件系统；