淺談數(shù)據(jù)的機(jī)密性保護(hù)

中文引用格式：韓菊如、楊毅、紀(jì)兆軒、等。本文基于微信程序的文件加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[j]。信息網(wǎng)絡(luò)安全，2019年，19（9）：81-85。英文引用格式:HANJuru,YANGZhi,JIZhaoxuan,etal.DesignandImplementationofFileEncryptionSystemBasedonWechatMiniProgram[J].NetinfoSecurity,2019,19(9):81-85.0為本地客戶端提供了數(shù)據(jù)加密保護(hù)在大數(shù)據(jù)信息化時(shí)代,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展增加了用戶數(shù)據(jù)的安全風(fēng)險(xiǎn),個(gè)人數(shù)據(jù)安全保護(hù)需求不斷增長,對(duì)數(shù)據(jù)進(jìn)行加密保存對(duì)于個(gè)人敏感數(shù)據(jù),不僅需要在本地客戶端加密保護(hù),在文件移動(dòng)過程中也要進(jìn)行數(shù)據(jù)加密處理。例如,將文件從辦公場所復(fù)制到其它辦公場所的過程中,如果將文件以明文形式存儲(chǔ)在U盤中,若U盤丟失,數(shù)據(jù)極可能被對(duì)手獲取,從而導(dǎo)致數(shù)據(jù)泄露的嚴(yán)重后果。因此,數(shù)據(jù)在移動(dòng)過程中的機(jī)密性保護(hù)尤為重要此外,個(gè)人數(shù)據(jù)保護(hù)中涉及到用戶身份驗(yàn)證針對(duì)上述需求,本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于微信小程序的文件加密系統(tǒng):使用虛擬磁盤1形式和數(shù)量上的發(fā)展近年來,隨著磁盤加密理論的研究進(jìn)步和芯片處理能力的提高,磁盤加密產(chǎn)品在安全性、產(chǎn)品形式和數(shù)量上都有了很大的發(fā)展?，F(xiàn)階段磁盤加密技術(shù)發(fā)展相對(duì)成熟,有Windows磁盤加密組件BitLocker考慮到目前主流的操作系統(tǒng)為Windows,本文基于Windows7操作系統(tǒng)并利用其BitLocker組件來進(jìn)行文件加密系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。2系統(tǒng)的全球設(shè)計(jì)基于微信小程序的文件加密系統(tǒng)結(jié)構(gòu)如圖1所示,根據(jù)功能模塊的不同,將其劃分為4部分:微信服務(wù)器、中心服務(wù)器、客戶端和微信小程序。2.1中心服務(wù)器設(shè)計(jì)微信服務(wù)器為騰訊公司提供的微信服務(wù)設(shè)備,本文系統(tǒng)只需要根據(jù)其所提供的服務(wù)接口,與其進(jìn)行交互并獲取相應(yīng)的微信數(shù)據(jù),其主要功能包括:1)微信小程序碼的動(dòng)態(tài)生成。當(dāng)接收到中心服務(wù)器的微信小程序碼請(qǐng)求時(shí),立即生成并傳送回相應(yīng)的微信小程序碼進(jìn)行響應(yīng)。2)微信用戶唯一身份標(biāo)識(shí)的獲取。通過對(duì)微信小程序提供的動(dòng)態(tài)變化的登錄憑證Code、中心服務(wù)器提供的URL、AppID、AppSecret等信息,轉(zhuǎn)換得到微信用戶的唯一身份標(biāo)識(shí)。2.2對(duì)稱密鑰存儲(chǔ)中心服務(wù)器能夠生成、存儲(chǔ)客戶端文件系統(tǒng)解鎖關(guān)鍵信息所需的對(duì)稱密鑰,同時(shí)能夠響應(yīng)PC客戶端請(qǐng)求的各種服務(wù),具體功能如下:1)生成客戶端文件系統(tǒng)解鎖關(guān)鍵信息所需的對(duì)稱密鑰。文件系統(tǒng)在解鎖時(shí)用到的關(guān)鍵信息加密保存在客戶端,利用國密對(duì)稱密碼算法SM4來實(shí)現(xiàn)關(guān)鍵信息的安全存儲(chǔ)。新用戶掃碼登錄時(shí),中心服務(wù)器為其生成對(duì)稱密鑰,加密客戶端文件系統(tǒng)解鎖時(shí)用到的關(guān)鍵信息并將其以密文形式存儲(chǔ);老用戶掃碼登錄時(shí),傳送回用戶對(duì)應(yīng)的對(duì)稱密鑰,解密得到客戶端文件系統(tǒng)解鎖的關(guān)鍵信息。2)提供客戶端文件系統(tǒng)解鎖關(guān)鍵信息所需對(duì)稱密鑰的集中存儲(chǔ)。PC客戶端文件加密系統(tǒng)使用中心式的密鑰存儲(chǔ)方式,使用國密算法SM2來保證對(duì)稱密鑰在傳輸過程中的安全,將對(duì)稱密鑰信息加密保存在中心服務(wù)器中。3)與微信服務(wù)器交互,為客戶端提供微信小程序碼。實(shí)現(xiàn)客戶端與微信服務(wù)器請(qǐng)求/響應(yīng)機(jī)制的傳遞,將客戶端的微信小程序碼請(qǐng)求傳遞給微信服務(wù)器,將微信服務(wù)器生成的微信小程序碼傳送回客戶端。4)與微信服務(wù)器交互,獲取微信小程序用戶的唯一身份標(biāo)識(shí)及授權(quán)信息。2.3系統(tǒng)的實(shí)現(xiàn)功能PC客戶端能夠?qū)崿F(xiàn)虛擬磁盤的管理,BitLocker的使用、與中心服務(wù)器交互和用戶操作界面的呈現(xiàn)。1)虛擬磁盤的管理?？蛻舳四軌蚋鶕?jù)用戶的意愿進(jìn)行創(chuàng)建、掛載、分離、刪除虛擬磁盤等操作,通過判斷虛擬磁盤掛載及鎖定的不同實(shí)際狀態(tài),提供能夠?qū)崿F(xiàn)的相應(yīng)操作步驟。2)BitLocker的使用。利用系統(tǒng)中Win32＿EncryptableVolume實(shí)現(xiàn)虛擬磁盤的加解密、鎖定解鎖功能。其中,BitLocker利用密鑰對(duì)虛擬磁盤進(jìn)行全盤加密,密鑰根據(jù)BitLocker自身機(jī)制加密保存。密鑰的加密保存以及后續(xù)的解鎖過程中所用到的信息就是解鎖時(shí)所需的關(guān)鍵信息。3)與中心服務(wù)器的交互?？蛻舳四軌蛳蛑行姆?wù)器請(qǐng)求多種服務(wù),包括客戶端向中心服務(wù)器請(qǐng)求小程序碼、客戶端向中心服務(wù)器掃碼請(qǐng)求登錄、客戶端查詢用戶授權(quán)狀態(tài)以及客戶端退出程序。4)界面設(shè)計(jì)。通過流暢的界面設(shè)計(jì)更美觀地展示系統(tǒng)基礎(chǔ)功能。2.4微信用戶信息微信小程序部署在移動(dòng)終端上的微信應(yīng)用中,主要實(shí)現(xiàn)的功能包括:1)掃描PC客戶端呈現(xiàn)的微信小程序碼并獲取用戶的授權(quán);掃描客戶端的微信小程序碼,獲取小程序碼中的token;授權(quán)微信小程序獲取用戶信息。2)顯示用戶已授權(quán)解鎖的PC客戶端列表,手機(jī)終端的微信小程序可以顯示已掛載并處于解鎖狀態(tài)的虛擬磁盤的PC客戶端名稱。3)注銷用戶已授權(quán)的PC客戶端,利用微信小程序遠(yuǎn)程運(yùn)行關(guān)閉注銷程序。3獲取存儲(chǔ)解鎖信息本文加密系統(tǒng)的工作流程可以分為以下4個(gè)步驟,具體流程圖2所示。1)虛擬磁盤自檢。檢測固定路徑的虛擬磁盤是否存在,若存在,則進(jìn)行步驟3);否則,則首先創(chuàng)建新的虛擬磁盤,然后進(jìn)行步驟2)。2)用戶掃描微信小程序碼登錄,從中心服務(wù)器獲取磁盤解鎖關(guān)鍵信息所需的對(duì)稱密鑰。對(duì)于步驟1)中虛擬磁盤不存在的情況,利用該對(duì)稱密鑰信息加密保存磁盤解鎖信息;對(duì)于虛擬磁盤存在的情況,利用該對(duì)稱密鑰解密得到磁盤解鎖信息并解鎖虛擬磁盤。3)對(duì)解鎖后的虛擬磁盤進(jìn)行常規(guī)文件操作。4)關(guān)閉程序鎖定磁盤。通過客戶端或者移動(dòng)終端上的微信小程序注銷程序。3.1虛擬磁盤掛載當(dāng)系統(tǒng)啟動(dòng)運(yùn)行時(shí),首先檢測是否存在固定路徑的虛擬磁盤文件,若不存在,則創(chuàng)建并掛載虛擬磁盤,啟用BitLocker加密保護(hù)該虛擬磁盤;若存在,則將其掛載,此時(shí)磁盤處于鎖定保護(hù)狀態(tài)。處理完成后,系統(tǒng)跳轉(zhuǎn)到微信小程序碼掃碼登錄界面。3.2解鎖虛擬磁盤解鎖虛擬磁盤分為3個(gè)步驟:掃碼登錄、獲取磁盤解鎖信息所需對(duì)稱密鑰、解鎖虛擬磁盤。1中心服務(wù)器當(dāng)客戶端需要獲取微信小程序碼時(shí),與中心服務(wù)器建立連接,向中心服務(wù)器發(fā)送獲取微信小程序碼請(qǐng)求。中心服務(wù)器再將此請(qǐng)求傳送給微信服務(wù)器,微信服務(wù)器做出響應(yīng),將微信小程序碼經(jīng)過中心服務(wù)器傳送回PC客戶端顯示。2用戶授權(quán)登錄當(dāng)客戶端展示小程序碼后,并定時(shí)向中心服務(wù)器查詢用戶的授權(quán)登錄狀態(tài)。當(dāng)用戶未使用微信掃碼來授權(quán)登錄時(shí),中心服務(wù)器返回用戶未授權(quán)響應(yīng);若用戶使用微信掃碼并授權(quán)用戶登錄后,微信小程序向中心服務(wù)器發(fā)送用戶授權(quán)登錄信息。中心服務(wù)器對(duì)微信用戶身份進(jìn)行驗(yàn)證,若是新用戶首次掃描登錄,則為該用戶生成磁盤解鎖信息所需的對(duì)稱密鑰;若是已掃描注冊(cè)用戶,則匹配其已保存的磁盤解鎖信息對(duì)稱密鑰進(jìn)行響應(yīng)。客戶端接收到用戶已授權(quán)登錄的響應(yīng)信息,其中對(duì)稱密鑰的加解密傳輸使用國密算法SM2實(shí)現(xiàn)。3解鎖成功時(shí)客戶端收到磁盤解鎖信息所需的對(duì)稱密鑰后,若是新用戶剛創(chuàng)建的虛擬磁盤,使用解鎖關(guān)鍵信息進(jìn)行解鎖,并將解鎖關(guān)鍵信息加密保存在PC客戶端中;若是老用戶已存在虛擬磁盤,則利用該對(duì)稱密鑰使用SM4算法解密得到磁盤解鎖信息,并利用該信息對(duì)BitLocker鎖定的虛擬磁盤進(jìn)行解鎖操作。如果解鎖成功,表明該用戶為虛擬磁盤的創(chuàng)建者,可以對(duì)虛擬磁盤進(jìn)行正常的文件讀寫操作;如果解鎖失敗,則無法打開虛擬磁盤進(jìn)行文件操作。完成解密操作后,PC客戶端立即銷毀該對(duì)稱密鑰。在解鎖虛擬磁盤后,可以對(duì)文件進(jìn)行讀寫、創(chuàng)建、刪除等操作,所有文件操作都由BitLocker來保護(hù),對(duì)用戶透明。用戶可以通過兩種方式重新鎖定虛擬磁盤:1)在客戶端直接關(guān)閉程序,將重新鎖定磁盤,同時(shí)通知中心服務(wù)器用戶已注銷;2)利用微信小程序查看已授權(quán)登錄的客戶端列表,選擇某個(gè)客戶端后執(zhí)行注銷操作。4加密系統(tǒng)設(shè)計(jì)本文在Windows7專業(yè)版本平臺(tái)構(gòu)建了基于微信小程序的文件加密系統(tǒng)。該系統(tǒng)可以實(shí)現(xiàn)在靜態(tài)客戶端存儲(chǔ)和動(dòng)態(tài)移動(dòng)過程中對(duì)文件進(jìn)行加密保護(hù),使用微信小程序進(jìn)行身份授權(quán)登錄后即可解鎖磁盤進(jìn)行文件操作,同時(shí)可遠(yuǎn)程注銷或直接關(guān)閉客戶端實(shí)現(xiàn)磁盤鎖定。1數(shù)據(jù)安全的選取系統(tǒng)根據(jù)用戶輸入的虛擬磁盤大小、盤符生成相應(yīng)的虛擬磁盤,其中盤符選擇需要排除系統(tǒng)中已占有盤符,磁盤容量以GB為單位。創(chuàng)建盤符為O的虛擬磁盤并掛載后選擇鎖定,鎖定后的虛擬磁盤顯示為金鎖保護(hù)狀態(tài)。打開客戶端,磁盤自檢后跳轉(zhuǎn)至微信掃碼登錄界面,微信用戶掃碼后進(jìn)行身份驗(yàn)證。2解鎖虛擬磁盤用戶掃碼后,微信小程序獲取用戶授權(quán)進(jìn)行身份信息獲取、登錄以及上傳用戶授權(quán)信息。當(dāng)用戶完成上述授權(quán)登錄后,PC客戶端獲取到對(duì)稱密鑰并解密得到磁盤解鎖信息,利用該信息解鎖虛擬磁盤后,虛擬磁盤即可進(jìn)行正常的文件操作。磁盤解鎖后依然處于加密保護(hù)狀態(tài),此時(shí)虛擬磁盤O顯示銀鎖加密保護(hù)。3微信用戶遠(yuǎn)程切換用戶可以選擇客戶端使用微信小程序遠(yuǎn)程注銷,