(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210898083.5 (22)申请日 2022.07.28 (71)申请人 中国电子科技 集团公司第三十 研究 所 地址 610000 四川省成 都市高新区创业路6 号 (72)发明人 文刚　谢建武　刘栋　颜亮　 董贵山　 (74)专利代理 机构 成都九鼎天元知识产权代理 有限公司 51214 专利代理师 管高峰 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/60(2013.01) G06F 21/62(2013.01)H04L 67/06(2022.01) H04L 67/1097(2022.01) (54)发明名称 基于用户身份的高可靠文件加密和细粒度 访问控制方法 (57)摘要 本发明公开了一种基于用户身份的高可靠 文件加密和细粒度访问控制方法， 加密存储网关 根据客户端认证时提供的用户信息， 获取到预先 配置的策略， 构建虚拟存储资源发送给客户端， 同时建立客户端请求的虚拟存储资源与真实目 标存储服务的映射关系； 当加密存储网关接收到 客户端的访问请求时， 根据请求协议标识的类 型， 以重新封装发往真实目标存储服务或者是调 用加密存储网关客户API访问真实目标存储服务 的方式， 获取到客户端请求的响应信息并重新处 理后返回给客户端。 本发明可实现网络存储的文 件按用户角色细粒度管控和安全使用、 密钥管理 与密码算法运 算分离、 加密数据安全可校验。 权利要求书2页 说明书5页 附图1页 CN 115378659 A 2022.11.22 CN 115378659 A 1.一种基于用户身份的高可靠文件加密和细粒度访问控制方法， 其特 征在于， 包括： 映射建立： 加密存储网关根据客户端认证时提供的用户信 息， 获取到预先配置的策略， 构建虚拟存储资源发送给客户端， 同时建立客户端请求的虚拟存储资源与真实目标存储服 务的映射关系； 访问控制： 当加密存储网关接收到客户端的访问请求 时， 根据请求协议标识的类型， 以 重新封装发往真实目标存储服务或者是调用加密 存储网关客户API访问真实目标存储服务 的方式， 获取到客户端请求的响应信息并重新处 理后返回给客户端。 2.根据权利要求1所述的基于用户身份的高可靠文件加密和细粒度访问控制方法， 其 特征在于， 针对不同的客户端， 加密存储网关配置有相应的存储策略和 不同细粒度的访问 控制策略， 并在上传文件时自动加密， 下 载文件时自动解密。 3.根据权利要求2所述的基于用户身份的高可靠文件加密和细粒度访问控制方法， 其 特征在于， 加密存 储网关执 行文件加解密与访问控制策略的方法包括以下步骤： S1.封装设置： 设置加密文件格式为加密信息头+文件密文数据块的封装格式， 加密文 件整体封装到一个文件中； S2.用户登录： 验证用户信息并获取到用户的存 储策略、 访问控制策略； S3.映射建立： 获取用户的挂载、 连接信息， 从存储策略中匹配到真实的网络存储地址、 存储目录， 建立用户访问目录与真实目标目录的映射； S4.文件创建： 以加密存储网关的身份向密钥管理系统创建私有的文件加密密钥， 记录 密钥与用户的匹配关系， 生成加密文件的加密信息 头； S5.文件写入： 使用步骤S4产生的文件加密密钥 对明文数据加密， 封装写入请求发送真 实的存储服务器， 并向客户端发送写入成功的响应； S6.文件读取： 封装文件读取请求发送到真实的存储服务器以获取到密文数据， 再使用 步骤S4产生的文件加密 密钥对密文数据解密； S7.文件打开： 封装文件打开请求并发送到真实的存储服务， 然后读取加密文件的加密 信息头， 获取到文件加密密钥标识， 分别验证加密密标识和密钥校验 数据， 都通过后向客户 端发送文件打开成功的响应。 4.根据权利要求3所述的基于用户身份的高可靠文件加密和细粒度访问控制方法， 其 特征在于， 步骤S4中， 生成的加密信息头包括密钥标识、 加密算法、 文件明文长度和密钥校 验数据。 5.根据权利要求3所述的基于用户身份的高可靠文件加密和细粒度访问控制方法， 其 特征在于， 步骤S5包括以下子步骤： S501.解析文件写入协议的关键信息， 包括文件路径、 写入位置、 写入长度和明文数据； S502.根据写入位置和写入长度， 获取到当前数据所属的加密块， 将数据以0填充成切 片长度的整数倍； S503.使用步骤S4产生的文件加密密钥对明文数据加密， 获取到密文与Mac校验的长 度， 重新计算密文数据块在加密文件中的真实位置与长度； S504.封装写入请求发送真实的存 储服务器， 并向客户端发送写入成功的响应。 6.根据权利要求3所述的基于用户身份的高可靠文件加密和细粒度访问控制方法， 其 特征在于， 步骤S6包括以下子步骤：权　利　要　求　书 1/2 页 2 CN 115378659 A 2S601.解析文件读取协议的关键信息， 包括文件路径、 读取位置和读取长度； S602.计算待读取的数据在加密文件中的真实位置和长度， 其中长度是加密块的整数 倍大小； S603.封装文件读取请求发送到真实的存 储服务器以获取到密文数据； S604.使用步骤S4产生的文件加密密钥对密文数据解密， 并向客户端发送读取成功的 响应。 7.根据权利要求3所述的基于用户身份的高可靠文件加密和细粒度访问控制方法， 其 特征在于， 步骤S7包括以下子步骤： S701.解析文件打开协议的文件路径关键信息； S702.验证访问控制策略， 通过后封装文件打开请求并发送到真实的存 储服务器； S703.读取加密文件的加密信息头， 获取到文件加密密钥标识， 验证加密密标识与用户 是否匹配； S704.若匹配， 则以加密存 储网关的身份向密钥管理系统申请密钥 信息； S705.密钥申请成功后， 验证加密信息头中的密钥校验数据， 验证通过后向客户端发送 文件打开成功的响应。 8.根据权利要求3 ‑7任一项所述的基于用户身份的高可靠文件加密和细粒度访问控制 方法， 其特征在于， 客户端发送的请求包含文件长度和/或占用空间信息时， 仅 从文件的加 密标识中获取到明文的长度返回给客户端， 文件的密文长度不返回给客户端。权　利　要　求　书 2/2 页 3 CN 115378659 A 3