技術領域

本發明涉及信息安全技術領域，特別是指一種用戶級文件自動加解密方法及裝置。

背景技術

隨著信息時代的快速發展，互聯網不斷深入大眾生活和工作的方方面面，成為不可或缺的一部分。然而，信息的快速流轉不僅帶來跨時空、高效快捷的便利，也帶來了對個人信息安全的種種挑戰。由于處理和傳遞信息的便捷性，盜用、篡改和倒賣個人信息的現象日益增多，嚴重影響了民眾的正常生活和工作，甚至危及到財產與人身安全。

目前市場上針對文件加密的方法很多，常見的都是基于應用層的，需要加密的文件在應用層加密，然后存放在磁盤上。解密時也需要從磁盤讀出，再在應用層軟件中解密。這種加解密模式的缺點在于：速度比較慢；文件名稱及相關屬性暴露，容易被人惡意刪除、修改、復制、轉移；再加上加密機制簡單，遭暴力破解的幾率大。基于這些方法的軟件常常需要安裝在操作系統上，對于普通用戶來說，無疑增加了難度。

發明內容

有鑒于此，本發明的目的在于提出一種文件的實時加解密全部在內存完成的加密強度高的用戶級文件自動加解密方法及裝置，解決現有技術中加解密都基于應用層導致加密強度不高、容易破解的問題。

基于上述目的本發明提供的一種用戶級文件自動加解密方法，包括以下步驟：

（1）為需要加密的文件創建加密分區：

接收用戶輸入的原始加密參數，包括選擇的加密分區位置、加載密碼和/或密鑰文件、加密算法和哈希算法和格式化類型；

對整個加密分區進行格式化；

在分區頭設置一個驗證值；

利用用戶選擇的哈希算法對加載密碼和/或密鑰文件進行哈希運算，生成分區頭加密密鑰，所述分區頭加密密鑰對包含所述驗證值的分區頭進行加密，加密算法為用戶選擇的所述加密算法；

隨機生成所述加密分區的文件加密密鑰，并對文件和空閑空間進行加密，該加密密鑰被所述分區頭的加密密鑰加密后貯存在所述加密分區頭的尾部，加密算法為用戶選擇的所述加密算法；

（2）加載加密分區：

提示用戶輸入認證參數，包括加載密碼和/或密鑰文件；

接收到用戶輸入的上述信息后，使用所述加載密碼和/或密鑰文件對分區頭進行解密，解密后在內存中創建虛擬磁盤，將加密分區內的文件加載到所述虛擬磁盤；

若需要進行文件讀取，將加密分區收到的讀取命令轉變為IRP請求，在虛擬磁盤上利用所述文件加密密鑰對文件進行解密，完成相應的讀取操作；若需要執行寫入操作，將寫入命令轉變為IRP請求，利用所述文件加密密鑰對該寫入文件進行加密，再保存到所述加密分區。

可選的，所述哈希算法為MD4、MD5、SHA、RIPEMD、Whirlpool、HMAC－之一，和/或所述加密算法為DES、3DES、RC2、RC4、RC5、AES、Blowfish、Twofish、Rijndael之一或其組合。

進一步的，所述對分區頭進行解密的方法包括：利用用戶在創建加密分區時選擇的哈希算法將所述用戶輸入的加載密碼和/或密鑰文件轉化為一個解密密鑰，將得到的解密密鑰利用所述用戶選擇的加密算法對分區頭進行解密運算，若能夠得到預先設置的驗證值，則認證信息正確，分區頭被解密，解密后加載加密分區；若不能得到驗證值，則分區頭不能被解密，顯示輸入錯誤，提示用戶重新輸入認證參數。

可選的，所述加密分區是文件型虛擬分區，或操作系統創建好的真實分區，或未分區存貯設備。

可選的，所述加載密碼或密鑰文件可修改。

基于上述目的，本發明還提供了一種用戶級文件自動加解密裝置，包括：

創建加密分區單元，包括用于接收用戶輸入的原始加密參數的接收單元；用于對加密分區進行格式化的格式化單元；用于依據用戶選擇的加密算法對加密分區的文件和空閑空間加密并將將文件加密密鑰存貯在加密分區頭的尾部的文件加密單元；用于根據用戶選擇的哈希算法生成分區頭加密密鑰，對包含驗證值的分區頭加密的分區加密單元。

加載加密分區單元，包括對分區頭進行解密，將加密分區加載到虛擬磁盤的分區解密單元；用于對文件的讀取命令轉變為IRP請求后，利用所述文件加密密鑰對該讀取文件進行解密，讀入所述虛擬磁盤，并將寫入命令轉變為IRP請求，利用所述加載密碼和/或密鑰文件對該寫入文件進行加密保存到所述加密分區的文件加解密單元。