技術(shù)領(lǐng)域

本發(fā)明涉及計算機文件加密解密領(lǐng)域，具體涉及一種動態(tài)擴展透明加密文件附加信息的方法。

背景技術(shù)

隨著企業(yè)信息化應(yīng)用的深入，企業(yè)員工大部分工作都在計算機上完成，各類報告、報表、設(shè)計圖紙等重要成果都以電子文件的形式存在，而電子文檔很容易通過郵件、移動存儲設(shè)備等途徑泄露，給企業(yè)帶來了很大的安全隱患。為了防止機密文檔的泄漏，常用的方法之一是對機密文檔進行加密，這樣即使文件外泄了，非授權(quán)的用戶也無法打開文檔。文檔的加密有兩種常用的方式：一種是識別文件格式（例如Office文檔），只對已知格式的文檔內(nèi)容部分進行加密，并針對應(yīng)用程序開發(fā)加解密插件，這種方式的缺點是對未知類型的文檔無法處理；另一種方式是透明加解密。所謂透明，是指對使用者來說是未知的。當(dāng)使用者在打開或編輯指定文件時，系統(tǒng)將自動對未加密的文件進行加密，對已加密的文件自動解密。文件在硬盤上是密文，在內(nèi)存中是明文。一旦離開使用環(huán)境，由于應(yīng)用程序無法得到自動解密的服務(wù)而無法打開，從而起來保護文件內(nèi)容的效果。透明加密技術(shù)就是不管文檔的格式，在文件驅(qū)動層對文件操作進行攔截處理，對指定類別的文檔在文件寫入文件系統(tǒng)時候進行加密，在讀出時候進行解密，透明加解密的優(yōu)點是不關(guān)心文件格式，因此對未知類型的文檔都可以處理。

透明加解密技術(shù)必須在文檔中增加一塊附加的區(qū)域，用于存放文件識別信息、權(quán)限信息和其他的需要在加解密驅(qū)動程序中使用的信息。如圖1所示，文件被分為兩個部分，一部分是文件的附加信息，其長度固定，存放有文件的文件識別信息、權(quán)限信息和其他的需要在加解密驅(qū)動程序中使用的信息；另一部分為文件的內(nèi)容部分，其中包含文檔的真實內(nèi)容。

在現(xiàn)有的透明加密技術(shù)中，加密文檔一般在文檔第一次創(chuàng)建或修改的時候由加解密驅(qū)動生成，生成的過程如圖2所示，先調(diào)用底層加解密驅(qū)動寫入固定長度的文件附加信息，然后對文檔內(nèi)容進行加密后寫入文件的內(nèi)容部分。

現(xiàn)有的透明加密技術(shù)中文件附加信息的修改流程如圖3所示，該流程一般是由加解密策略控制模塊發(fā)起的，例如要修改文檔的權(quán)限信息，是由加解密策略控制模塊通知加解密驅(qū)動進行修改，加解密驅(qū)動按照修改的內(nèi)容重新向長度固定的文件附加信息區(qū)域?qū)懭朐撔薷牡奈募郊有畔ⅰ?/p>

現(xiàn)有的透明加密技術(shù)中透明加密文檔文件的寫入流程如圖4所示，文件API向加解密驅(qū)動發(fā)出文件寫的指令，加解密驅(qū)動向底層文件驅(qū)動讀取附加信息；加解密驅(qū)動根據(jù)是否存在附加信息判斷是否加密文檔，如果不是加密文檔則直接進行寫文件操作，操作完成后向文件API返回寫是否成功；如果根據(jù)附加信息判斷是加密文檔，則進一步更具附加信息進行相應(yīng)的判斷和操作，例如進行鑒權(quán)等，然后加解密驅(qū)動再對要寫入的內(nèi)容進行加密，將加密后的內(nèi)容要求底層文件驅(qū)動寫入文件的內(nèi)容部分，操作完成后向文件API返回寫是否成功。

現(xiàn)有的透明加密技術(shù)中透明加密文檔文件的寫入流程如圖5所示，文件API向加解密驅(qū)動發(fā)出文件讀指令，文件加解密驅(qū)動向底層文件驅(qū)動要求讀取附加信息；文件加解密驅(qū)動根據(jù)是否存在附加信息判斷該文檔文件是否透明加密文檔文件，如果不是加密文檔，則向底層文件驅(qū)動直接進行讀取文件內(nèi)容的操作，操作成功后，直接將讀取的內(nèi)容返回文件API；如過根據(jù)附加信息判斷得到該文檔為加密文檔文件則向底層文件驅(qū)動要求讀取文件的內(nèi)容部分，讀取后根據(jù)附加信息來進行相應(yīng)的判斷和操作，例如鑒權(quán)操作，再對內(nèi)容進行解密，解密后，向文件API返回解密后的內(nèi)容。

現(xiàn)有透明加解密技術(shù)中存儲附加信息的文件區(qū)域的長度固定，驅(qū)動程序按照固定格式來讀取此區(qū)域的數(shù)據(jù)。采用固定長度附加區(qū)域的優(yōu)點是處理比較簡單，但缺點是擴展性不足，如果加解密需要用到的文件附加信息比較多，特別是文件的授權(quán)信息占用的長度可能是不固定的，如果一個文件要授權(quán)的人越多，則授權(quán)信息的存儲就需要占用越多的控件，超出附加信息的固定長度之后現(xiàn)有技術(shù)將無法處理，因此只能犧牲一些特性（例如限制授權(quán)信息的條目數(shù)），在透明加解密驅(qū)動中做盡量簡單的事情。

發(fā)明內(nèi)容

本發(fā)明提供一種動態(tài)擴展透明加密文件的附加信息的方法，所述透明加密文件包括用于存儲附加信息的長度固定的附加信息固定存儲部分和用于存儲文件本身內(nèi)容的文件內(nèi)容部分，該方法包括：

???????A、在創(chuàng)建透明加密文件時，根據(jù)加密策略計算文件所需要的附加信息的長度；

???????B、根據(jù)附加信息的長度以及附加信息固定存儲部分的長度判斷是否需要擴展附加信息的存儲部分，如果是，執(zhí)行步驟C，如果否，執(zhí)行步驟E；