基于對稱加密算法的數字文件保密柜的設計與實現

于子惟 劉文宇

【 摘 要 】 在互聯網高速發展的今天，為了方便網絡參與者和計算機使用者更好地對自己的文件數據進行保護，本文提出一種基于對稱加密算法的數字文件保密機制，并以對稱加密算法為依托設計了加密算法的數字文件保密柜，用以保護本地文件內容不遭到未經授權者的非法獲取。其特點是用戶無需進行密鑰管理即可對文件實施加密，位于數字文件保密柜中的文件僅可在本地計算機進行操作。數字文件保密柜簡化了用戶對文件的安全管理操作，提高了本地數據的安全性，同時也為云存儲技術大力發展的今天提供了一種依賴于本地計算機安全的新的數據保護思路。

【 關鍵詞 】 文件保密柜；對稱加密算法；數據保護

【 中圖分類號 】 TP311.1 【 文獻標識碼 】 A

【 Abstract 】 With the rapid development of Internet，.in order to convenient the network participants and computer users to protect their file data better， this passage presents a kind of digital file confidential mechanism based on symmetric encryption algorithm， and design the digital file confidential cabinet based on DES encryption algorithms to protect the contents of local file not to be illegal obtained by the persons who are not authorized.One of its characteristic is that users could provide protection of document encryption without the key， and the file located in the digital file confidential cabinet can only be used on the local computer.The digital file confidential cabinet simplifies the safety management operation in documents by user，improves the security of local data.At the same time， it also provides a new idea for data protectionwith the development of cloud storage technology today， which depends on the local computer security.

【 Keywords 】 file confidential cabinet；symmetric encryption algorithm；data protection

1 引言

互聯網早已不再是一個新鮮的話題，幾十年來，它為人們帶來了咖啡牛奶，卻也讓人們為此承擔了相應奢華的賬單。數字文件的備份與恢復、云存儲技術安全機制、入侵防護系統等等都在為維護計算機用戶信息安全而埋單。在各種信息保護手段中，不乏一些昂貴的商業級網絡安全防護服務可以較好地保證公司和企業數據的安全性。然而，作為普通的網絡參與者，我們無法在本地數據安全上花費巨大精力和財力卻依然需要維護我們自己的信息安全。

因而結合這樣的現實需求，本文以對稱加密算法為依托，設計和構建了數字文件保密柜，用以保護本地文件內容不遭到未經授權者的非法獲取，從而以很低的成本和較為便捷的方式保護了用戶的數據和信息，同時通過測試驗證了本設計在實際中的可用性和可行性。

2 設計原理

2.1 密鑰的選取和管理

本數字文件保密柜選擇采用本地計算機的唯一標識信息的特定字節流作為加解密密鑰，如磁盤序列號、網卡信息等。因此，我們在使用保密文件柜時就實現了本地正常使用異地使用異常的功能。

同時為提高效率，本設計中并沒有引入傳統對稱加密算法中產生輪轉子密鑰的過程，原因有二：第一，在算法層面考慮到計算效率問題，此處沒有采用置換和移位的方法生成密鑰，而是采用了倒序輸出磁盤序列號和網卡信息從而直接生成密鑰的方法，降低計算周期，依靠磁盤序列號和網卡信息的唯一性來保證密鑰的安全性；第二，在實現層面，對于用戶來說數字文件保密柜的密鑰是透明設計的，從而在密鑰管理上屏蔽了很多細節，用戶需要使用密鑰時會從計算機自動提取，密鑰也不能脫離本地計算機，這也正是數字文件保密柜的核心所在。

2.2 系統運轉機制

數字文件保密柜對本地文件進行的保護運轉機制。

（1）將目標文件設置為保密文件時，保密柜會將對該文件進行加密處理，具體處理方式為首先將目標文件設置為保密文件，之后為保密文件創建一個副本，對目標文件使用對稱加密算法進行分組加密，將加密后的每一分組依次寫入文件副本，分組加密完成后，將副本文件內容全部拷貝至原目標文件，之后將目標文件移入相應的保密文件柜中，實現保密文件的集中統一管理。

（2）當系統接受到用戶調取一項文件的指令時，系統首先會根據該文件的存儲位置進行一次判斷，如果該文件位于保密柜中，則先進行一次解密操作，再將文件返還給用戶使用。如果該文件是普通文件，則將文件直接返還給用戶。

（3）為保證系統可以自動識別和處理目標文件以供用戶調取使用，還要巧妙地利用注冊表接口，既要保證在文件調取時首先找到解密入口使文件恢復明文狀態，又在保證在解密完成后可以正確找到應用程序入口，保證各類型文件可以被對應程序正確操作。

3 數字文件保密柜的使用測試

3.1 數字文件保密柜的功能測試

利用以上數字文件保密柜的設計原理和思想，本文針對Microsoft Office Word的.doc類型文件進行了數字文件保密柜的編程實現。本次實驗選擇使用Visual studio 2012平臺，以DES加密算法為依托，構建保密柜程序，并在最終生成了安裝程序套件并安裝成功，如圖1所示。

測試流程及其他具體的測試數據記錄。

（1）將存放在桌面上需要保護的目標文件“唐詩-春曉.doc”設置為保密文件。設置完成后，“唐詩-春曉.doc”文件自動被移入D盤目錄下的保密柜中。如圖2所示。

（2）直接打開位于保密柜中的“唐詩-春曉.doc”文件，文件可以被正常讀取或使用。后將位于保密柜中的“唐詩-春曉.doc”文件拷貝另一臺計算機上，該文件無法正常讀取和使用。如圖3所示。

實驗表明，針對.doc文件設計的數字文件保密柜可以對需要保護的文檔數據提供本地正常那個讀寫，異地讀寫出錯的安全服務。

3.2 數字文件保密柜的性能測試

在測試了數字文件保密柜所能實現的基本功能后，又對數字文件保密柜處理不同大小.doc文件的性能進行了測試，在主機CPU型號為Intel（R）Celeron（R）CPU 847@110GHz 110GHz，虛擬機版本為windowsXP SP3，虛擬機內存分配為512MB的處理條件下，測試得到表1中的數據。

根據測試數據可知，即使是一篇6萬余字的Word文檔，利用數字文件保密柜時的處理時間應當為5秒左右，且本實驗條件下的計算機配置和性能水平相對較低，故在用戶實際使用過程中可以比實驗中運行速度更快，基本不影響使用者的正常使用效率。

5 結束語

本數字文件保密柜實質上是一種加密軟件和訪問控制機制相結合的產物，但又與傳統的文檔加密軟件有著顯著區別。在個人日常計算機使用中，數字文件保密柜可以免費為用戶提供一種較為安全的保護機制，隱藏于應用層與人機交互層面之間，特點是用戶無需使用密鑰即可對文件進行加密保護，且位于數字文件保密柜中的文件只可在本地計算機使用，異地使用則無法正確獲取到數據信息。數字文件保密柜節省了用戶對文件的安全管理，簡化了一般加密軟件的使用過程，又提供了良好的抗破解性能，實現了低數據安全保護要求與最小保護代價的匹配，可以部署在任意一臺計算機上為每一個網絡參與者的安全屏障添磚加瓦。

參考文獻

[1] 王斌君.信息系統安全監察[M].北京：中國人民公安大學出版社，2013.

[2] 管瑩，敬茂華. DES算法原理及實現[J].電腦編程技巧與維護，2009，04：5-7+13.

[3] 張永.基于VC++的注冊表訪問[J].淮北煤師院學報，2003，24（4），53-57.

[4] 國務院.中華人民共和國國家標準GB/T22239-2008信息系統安全等級保護基本要求[Z].2008.

[5] 王斌君.信息安全體系[M].北京：高等教育出版社，2008.

[6] 馮朝勝，秦志光，袁丁.云數據安全存儲技術[J].計算機學報，2015，01：150-163.

作者簡介：

于子惟（1992-），男，漢族，內蒙古包頭人，畢業于中國人民公安大學，本科，在讀碩士研究生；主要研究方向和關注領域：網絡安全、信息安全。

劉文宇（1991-），男，漢族，北京人，畢業于中國人民公安大學，碩士研究生；主要研究方向和關注領域：軟件工程、信息安全。