基于对称加密算法的数字文件保密柜的设计与实现

基于对称加密算法的数字文件保密柜的设计与实现1 引言互联网早已不再是一个新鲜的话题，几十年来，它为人们带来了咖啡牛奶，却也让人们为此承担了相应奢华的账单。数字文件的备份与恢复、云存储技术安全机制、入侵防护系统等等都在为维护计算机用户信息安全而埋单。在各种信息保护手段中，不乏一些昂贵的商业级网络安全防护服务可以较好地保证公司和企业数据的安全性。然而，作为普通的网络参与者，我们无法在本地数据安全上花费巨大精力和财力却依然需要维护我们自己的信息安全。因而结合这样的现实需求，本文以对称加密算法为依托，设计和构建了数字文件保密柜，用以保护本地文件内容不遭到未经授权者的非法获取，从而以很低的成本和较为便捷的方式保护了用户的数据和信息，同时通过测试验证了本设计在实际中的可用性和可行性。2 设计原理2.1 密钥的选取和管理本数字文件保密柜选择采用本地计算机的唯一标识信息的特定字节流作为加解密密钥，如磁盘序列号、网卡信息等。因此，我们在使用保密文件柜时就实现了本地正常使用异地使用异常的功能。同时为提高效率，本设计中并没有引入传统对称加密算法中产生轮转子密钥的过程，原因有二：第一，在算法层面考虑到计算效率问题，此处没有采用置换和移位的方法生成密钥，而是采用了倒序输出磁盘序列号和网卡信息从而直接生成密钥的方法，降低计算周期，依靠磁盘序列号和网卡信息的唯一性来保证密钥的安全性；第二，在实现层面，对于用户来说数字文件保密柜的密钥是透明设计的，从而在密钥管理上屏蔽了很多细节，用户需要使用密钥时会从计算机自动提取，密钥也不能脱离本地计算机，这也正是数字文件保密柜的核心所在。2.2 系统运转机制数字文件保密柜对本地文件进行的保护运转机制。（1）将目标文件设置为保密文件时，保密柜会将对该文件进行加密处理，具体处理方式为首先将目标文件设置为保密文件，之后为保密文件创建一个副本，对目标文件使用对称加密算法进行分组加密，将加密后的每一分组依次写入文件副本，分组加密完成后，将副本文件内容全部拷贝至原目标文件，之后将目标文件移入相应的保密文件柜中，实现保密文件的集中统一管理。（2）当系统接受到用户调取一项文件的指令时，系统首先会根据该文件的存储位置进行一次判断，如果该文件位于保密柜中，则先进行一次解密操作，再将文件返还给用户使用。如果该文件是普通文件，则将文件直接返还给用户。（3）为保证系统可以自动识别和处理目标文件以供用户调取使用，还要巧妙地利用注册表接口，既要保证在文件调取时首先找到解密入口使文件恢复明文状态，又在保证在解密完成后可以正确找到应用程序入口，保证各类型文件可以被对应程序正确操作。3 数字文件保密柜的使用测试3.1 数字文件保密柜的功能测试利用以上数字文件保密柜的设计原理和思想，本文针对Microsoft Office Word的.doc类型文件进行了数字文件保密柜的编程实现。本次实验选择使用Visual studio 2012平台，以DES加密算法为依托，构建保密柜程序，并在最终生成了安装程序套件并安装成功，如图1所示。测试流程及其他具体的测试数据记录。（1）将存放在桌面上需要保护的目标文件唐诗-春晓.doc;设置为保密文件。设置完成后，唐诗-春晓.doc;文件自动被移入D盘目录下的保密柜中。如图2所示。（2）直接打开位于保密柜中的唐诗-春晓.doc;文件，文件可以被正常读取或使用。后将位于保密柜中的唐诗-春晓.doc;文件拷贝另一台计算机上，该文件无法正常读取和使用。如图3所示。实验表明，针对.doc文件设计的数字文件保密柜可以对需要保护的文档数据提供本地正常那个读写，异地读写出错的安全服务。3.2 数字文件保密柜的性能测试在测试了数字文件保密柜所能实现的基本功能后，又对数字文件保密柜处理不同大小.doc文件的性能进行了测试，在主机CPU型号为Intel（R）Celeron（R）CPU 847110GHz 110GHz，虚拟机版本为windowsXP SP3，虚拟机内存分配为512MB的处理条件下，测试得到表1中的数据。根据测试数据可知，即使是一篇6万余字的Word文档，利用数字文件保密柜时的处理时间应当为5秒左右，且本实验条件下的计算机配置和性能水平相对较低，故在用户实际使用过程中可以比实验中运行速度更快，基本不影响使用者的正常使用效率。5 结束语本数字文件保密柜实质上是一种加密软件和访问控制机制相结合的产物，但又与传统的文档加密软件有着显著区别。在个人日常计算机使用中，数字文件保密柜可以免费为用户提供一种较为安全的保护机制，隐藏于应用层与人机交互层面之间，特点是用户无需使用密钥即可对文件进行加密保护，且位于数字文件保密柜中的文件只可在本地计算机使用，异地使用则无法正确获取到数据信息。数字文件保密柜节省了用户对文件的安全管理，简化了一般加密软件的使用过程，又提供了良好的抗破解性能，实现了低数据安全保护要求与最小保护代价的匹配，可以部署在任意一台计算机上为每一个网络参与者的安全屏障添砖加瓦。参考文献【1】 王斌君.信息系统安全监察.北京：中国人民公安大学出版社，2013.【2】 管莹，敬茂华. DES算法原理及实现.电脑编程技巧与维护，2009，04：5-7+13.【3】 张永.基于VC+的注册表访问.淮北煤师院学报，2003，24（4），53-57.【4】 国务院.中华人民共和国国家标准GB/T22239-2008信息系统安全等级保护基本要求.2008.【5】 王斌君.信息安全体系.北京：高等教育出版社，2008.【6】 冯朝胜，秦志光，袁丁.云数据安全存储技术.计算机学报，2015，01：150-163.