基于对称加密算法的数字文件保密柜的设计与实现

于子惟 刘文宇

【 摘 要 】 在互联网高速发展的今天，为了方便网络参与者和计算机使用者更好地对自己的文件数据进行保护，本文提出一种基于对称加密算法的数字文件保密机制，并以对称加密算法为依托设计了加密算法的数字文件保密柜，用以保护本地文件内容不遭到未经授权者的非法获取。其特点是用户无需进行密钥管理即可对文件实施加密，位于数字文件保密柜中的文件仅可在本地计算机进行操作。数字文件保密柜简化了用户对文件的安全管理操作，提高了本地数据的安全性，同时也为云存储技术大力发展的今天提供了一种依赖于本地计算机安全的新的数据保护思路。

【 关键词 】 文件保密柜；对称加密算法；数据保护

【 中图分类号 】 TP311.1 【 文献标识码 】 A

【 Abstract 】 With the rapid development of Internet，.in order to convenient the network participants and computer users to protect their file data better， this passage presents a kind of digital file confidential mechanism based on symmetric encryption algorithm， and design the digital file confidential cabinet based on DES encryption algorithms to protect the contents of local file not to be illegal obtained by the persons who are not authorized.One of its characteristic is that users could provide protection of document encryption without the key， and the file located in the digital file confidential cabinet can only be used on the local computer.The digital file confidential cabinet simplifies the safety management operation in documents by user，improves the security of local data.At the same time， it also provides a new idea for data protectionwith the development of cloud storage technology today， which depends on the local computer security.

【 Keywords 】 file confidential cabinet；symmetric encryption algorithm；data protection

1 引言

互联网早已不再是一个新鲜的话题，几十年来，它为人们带来了咖啡牛奶，却也让人们为此承担了相应奢华的账单。数字文件的备份与恢复、云存储技术安全机制、入侵防护系统等等都在为维护计算机用户信息安全而埋单。在各种信息保护手段中，不乏一些昂贵的商业级网络安全防护服务可以较好地保证公司和企业数据的安全性。然而，作为普通的网络参与者，我们无法在本地数据安全上花费巨大精力和财力却依然需要维护我们自己的信息安全。

因而结合这样的现实需求，本文以对称加密算法为依托，设计和构建了数字文件保密柜，用以保护本地文件内容不遭到未经授权者的非法获取，从而以很低的成本和较为便捷的方式保护了用户的数据和信息，同时通过测试验证了本设计在实际中的可用性和可行性。

2 设计原理

2.1 密钥的选取和管理

本数字文件保密柜选择采用本地计算机的唯一标识信息的特定字节流作为加解密密钥，如磁盘序列号、网卡信息等。因此，我们在使用保密文件柜时就实现了本地正常使用异地使用异常的功能。

同时为提高效率，本设计中并没有引入传统对称加密算法中产生轮转子密钥的过程，原因有二：第一，在算法层面考虑到计算效率问题，此处没有采用置换和移位的方法生成密钥，而是采用了倒序输出磁盘序列号和网卡信息从而直接生成密钥的方法，降低计算周期，依靠磁盘序列号和网卡信息的唯一性来保证密钥的安全性；第二，在实现层面，对于用户来说数字文件保密柜的密钥是透明设计的，从而在密钥管理上屏蔽了很多细节，用户需要使用密钥时会从计算机自动提取，密钥也不能脱离本地计算机，这也正是数字文件保密柜的核心所在。

2.2 系统运转机制

数字文件保密柜对本地文件进行的保护运转机制。

（1）将目标文件设置为保密文件时，保密柜会将对该文件进行加密处理，具体处理方式为首先将目标文件设置为保密文件，之后为保密文件创建一个副本，对目标文件使用对称加密算法进行分组加密，将加密后的每一分组依次写入文件副本，分组加密完成后，将副本文件内容全部拷贝至原目标文件，之后将目标文件移入相应的保密文件柜中，实现保密文件的集中统一管理。

（2）当系统接受到用户调取一项文件的指令时，系统首先会根据该文件的存储位置进行一次判断，如果该文件位于保密柜中，则先进行一次解密操作，再将文件返还给用户使用。如果该文件是普通文件，则将文件直接返还给用户。

（3）为保证系统可以自动识别和处理目标文件以供用户调取使用，还要巧妙地利用注册表接口，既要保证在文件调取时首先找到解密入口使文件恢复明文状态，又在保证在解密完成后可以正确找到应用程序入口，保证各类型文件可以被对应程序正确操作。

3 数字文件保密柜的使用测试

3.1 数字文件保密柜的功能测试

利用以上数字文件保密柜的设计原理和思想，本文针对Microsoft Office Word的.doc类型文件进行了数字文件保密柜的编程实现。本次实验选择使用Visual studio 2012平台，以DES加密算法为依托，构建保密柜程序，并在最终生成了安装程序套件并安装成功，如图1所示。

测试流程及其他具体的测试数据记录。

（1）将存放在桌面上需要保护的目标文件“唐诗-春晓.doc”设置为保密文件。设置完成后，“唐诗-春晓.doc”文件自动被移入D盘目录下的保密柜中。如图2所示。

（2）直接打开位于保密柜中的“唐诗-春晓.doc”文件，文件可以被正常读取或使用。后将位于保密柜中的“唐诗-春晓.doc”文件拷贝另一台计算机上，该文件无法正常读取和使用。如图3所示。

实验表明，针对.doc文件设计的数字文件保密柜可以对需要保护的文档数据提供本地正常那个读写，异地读写出错的安全服务。

3.2 数字文件保密柜的性能测试

在测试了数字文件保密柜所能实现的基本功能后，又对数字文件保密柜处理不同大小.doc文件的性能进行了测试，在主机CPU型号为Intel（R）Celeron（R）CPU 847@110GHz 110GHz，虚拟机版本为windowsXP SP3，虚拟机内存分配为512MB的处理条件下，测试得到表1中的数据。

根据测试数据可知，即使是一篇6万余字的Word文档，利用数字文件保密柜时的处理时间应当为5秒左右，且本实验条件下的计算机配置和性能水平相对较低，故在用户实际使用过程中可以比实验中运行速度更快，基本不影响使用者的正常使用效率。

5 结束语

本数字文件保密柜实质上是一种加密软件和访问控制机制相结合的产物，但又与传统的文档加密软件有着显著区别。在个人日常计算机使用中，数字文件保密柜可以免费为用户提供一种较为安全的保护机制，隐藏于应用层与人机交互层面之间，特点是用户无需使用密钥即可对文件进行加密保护，且位于数字文件保密柜中的文件只可在本地计算机使用，异地使用则无法正确获取到数据信息。数字文件保密柜节省了用户对文件的安全管理，简化了一般加密软件的使用过程，又提供了良好的抗破解性能，实现了低数据安全保护要求与最小保护代价的匹配，可以部署在任意一台计算机上为每一个网络参与者的安全屏障添砖加瓦。

参考文献

[1] 王斌君.信息系统安全监察[M].北京：中国人民公安大学出版社，2013.

[2] 管莹，敬茂华. DES算法原理及实现[J].电脑编程技巧与维护，2009，04：5-7+13.

[3] 张永.基于VC++的注册表访问[J].淮北煤师院学报，2003，24（4），53-57.

[4] 国务院.中华人民共和国国家标准GB/T22239-2008信息系统安全等级保护基本要求[Z].2008.

[5] 王斌君.信息安全体系[M].北京：高等教育出版社，2008.

[6] 冯朝胜，秦志光，袁丁.云数据安全存储技术[J].计算机学报，2015，01：150-163.

作者简介：

于子惟（1992-），男，汉族，内蒙古包头人，毕业于中国人民公安大学，本科，在读硕士研究生；主要研究方向和关注领域：网络安全、信息安全。

刘文宇（1991-），男，汉族，北京人，毕业于中国人民公安大学，硕士研究生；主要研究方向和关注领域：软件工程、信息安全。