本發(fā)明公開了一種linux操作系統(tǒng)環(huán)境下文件加密密鑰的存儲(chǔ)方法，包括如下步驟：1、文件加密與加密密鑰存儲(chǔ)，2、密文加密密鑰與文件解密。該方法并沒有多余的I/O操作，也不依賴于其他軟件，整個(gè)過程高效簡(jiǎn)潔，只要文件存在，就不會(huì)擔(dān)心文件密鑰的丟失。本專利的優(yōu)點(diǎn)在于：1、文件加密密鑰存儲(chǔ)時(shí)，不再對(duì)第三方數(shù)據(jù)庫的依賴；2、減少了系統(tǒng)資源的浪費(fèi)；3、降低了系統(tǒng)維護(hù)人員的維護(hù)成本；4、減少了系統(tǒng)I/O操作次數(shù)，提高了應(yīng)用程序的效率；5、文件與文件加密密鑰存儲(chǔ)在一起，只要文件存在的時(shí)候就一定存在文件加密密鑰，防止數(shù)據(jù)庫崩潰或無法連接時(shí)，應(yīng)用業(yè)務(wù)無法正常進(jìn)行的情況。

技術(shù)領(lǐng)域

本發(fā)明涉及一種加密密鑰存儲(chǔ)方法，具體是一種linux操作系統(tǒng)環(huán)境下文件加密密鑰的存儲(chǔ)方法。

背景技術(shù)

對(duì)于文件加密密鑰的存儲(chǔ)保護(hù)，通常情況下的做法是將加密后的文件密鑰與其對(duì)應(yīng)的文件分開進(jìn)行各自存儲(chǔ)。應(yīng)用程序通過密鑰加密密鑰(key)對(duì)文件密鑰(key)進(jìn)行加密保護(hù)，生成文件加密密鑰(ekey)。因數(shù)據(jù)庫表索引查找數(shù)據(jù)的方便性特點(diǎn)，在設(shè)計(jì)加密密鑰存儲(chǔ)方案時(shí)，一般會(huì)將文件加密密鑰寫入數(shù)據(jù)庫表，而將與其對(duì)應(yīng)的文件寫入指定的文件目錄，忽略了使用分開存儲(chǔ)方式與數(shù)據(jù)庫表存儲(chǔ)帶來的弊端；文件加密密鑰的保護(hù)存儲(chǔ)需要與數(shù)據(jù)庫配套使用，這就意味著系統(tǒng)管理員預(yù)先安裝好數(shù)據(jù)庫，并且創(chuàng)建好數(shù)據(jù)表。文件加密密鑰寫入整個(gè)過程大致如下：應(yīng)用程序連接數(shù)據(jù)庫，打開數(shù)據(jù)庫表，再將文件加密密鑰插入數(shù)據(jù)庫表中。在獲取文件加密密鑰時(shí)，大概的流程如下：應(yīng)用程序連接數(shù)據(jù)庫，打開數(shù)據(jù)庫表，查詢獲取相應(yīng)的文件加密密鑰，再通過密鑰加密密鑰對(duì)文件加密密鑰還原，生成文件密鑰。

如以上描述可知，通常情況的做法不但增加了系統(tǒng)管理員的管理難度，程序員的開發(fā)工作量，系統(tǒng)資源也會(huì)造成不必要的浪費(fèi)，在文件加密密鑰存儲(chǔ)與獲取過程中過度依賴第三方的數(shù)據(jù)庫，反復(fù)進(jìn)行連接，打開，關(guān)閉，讀，寫等I/O操作，降低了程序運(yùn)行的效率與性能。在數(shù)據(jù)庫崩潰或無法連接時(shí)，整個(gè)程序的運(yùn)行會(huì)陷入停滯狀態(tài)，用戶無法對(duì)密文文件進(jìn)行解密，降低了程序應(yīng)用的可靠性與安全性。如何解決在文件加密密鑰更高效的存儲(chǔ)與獲取，對(duì)第三方的依賴程度更低，應(yīng)用起來更獨(dú)立是件很有意義的事情。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種linux操作系統(tǒng)環(huán)境下文件加密密鑰的存儲(chǔ)方法，以解決上述背景技術(shù)中提出的問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種linux操作系統(tǒng)環(huán)境下文件加密密鑰的存儲(chǔ)方法，包括如下步驟：1、文件加密與加密密鑰存儲(chǔ)，其過程如下：

第一步：應(yīng)用程序使用工具(硬件或軟件)生成隨機(jī)的文件密鑰key；

第二步：應(yīng)用程序使用文件密鑰key對(duì)明文文件file進(jìn)行加密，生成密文文件efile；

第三步：應(yīng)用程序使用密鑰加密密鑰key對(duì)文件密鑰key進(jìn)行加密保護(hù)，生成文件加密密鑰ekey；

第四步：應(yīng)用程序在用戶態(tài)調(diào)用Linux操作系統(tǒng)提供的標(biāo)準(zhǔn)API接口setxattr()函數(shù)，對(duì)密文文件的擴(kuò)展屬性進(jìn)行設(shè)置；

其中，函數(shù)setxattr包含五個(gè)參數(shù)：第一個(gè)是指向目標(biāo)對(duì)象對(duì)應(yīng)的目錄項(xiàng)，即/path/efile；第二個(gè)參數(shù)表示用戶空間的擴(kuò)展屬性名稱，即user.key；第三個(gè)表示用戶空間的擴(kuò)展屬性的值，即ekey；第四個(gè)表示擴(kuò)展屬性值的長度；第五個(gè)表示傳遞給文件系統(tǒng)相關(guān)操作的標(biāo)志；

第五步：setxattr()函數(shù)對(duì)傳入的參數(shù)進(jìn)行合法性檢查，如合法則繼續(xù)，不合法則錯(cuò)誤返回；

第六步：執(zhí)行進(jìn)程調(diào)用strncpy_from_user()函數(shù)或copy_from_user()函數(shù)將參數(shù)從用戶空間拷貝到內(nèi)核空間；

第七步：調(diào)用vfs_setxattr()函數(shù)，將擴(kuò)展屬性信息寫入實(shí)際文件系統(tǒng)；