本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體涉及一種文件加密、解密方法和裝置。

背景技術(shù)：

透明加密技術(shù)是近年來針對企業(yè)文件保密需求應運而生的一種文件加密技術(shù)。目前透明加密技術(shù)已成為業(yè)內(nèi)保護敏感文檔和數(shù)據(jù)一大重要手段。

在現(xiàn)有技術(shù)中，所謂透明，是指對使用者來說是未知的。該透明加密方案具體為：監(jiān)控終端所有指定文件的讀寫操作，當使用者在打開或編輯指定文件時，系統(tǒng)將自動對未加密的文件進行加密，對已加密的文件自動解密。應用該透明加密方案可以使得文件在硬盤上是密文，在內(nèi)存中是明文；一旦文件離開使用環(huán)境，由于應用程序無法得到自動解密的服務(wù)而無法打開，從而起到保護文件內(nèi)容的效果。

在對現(xiàn)有技術(shù)的研究和實踐過程中，本發(fā)明的發(fā)明人發(fā)現(xiàn)，現(xiàn)有透明加密方案需要監(jiān)控終端所有指定文件的讀寫操作，由于指定文件分散，透明加密的監(jiān)控范圍比較廣，終端系統(tǒng)消耗較大，同時，由于無法嚴格區(qū)分文件敏感度，其對存在無風險或低風險文檔等均進行加密保護，會造成終端系統(tǒng)資源浪費。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供一種文件加密、解密方法和裝置，可以降低終端系統(tǒng)的消耗以及節(jié)省終端系統(tǒng)資源。

本發(fā)明實施例提供一種文件加密方法，包括：

接收文件的存放請求，所述存放請求指示所述文件需要存放的目標文件目錄；

根據(jù)所述存放請求獲取所述目標文件目錄對應的密鑰；

采用所述密鑰對所述文件進行加密，以得到加密文件；

將所述加密文件存放至所述目標文件目錄。

相應的，本發(fā)明實施例還提供了一種文件解密方法，包括：

接收加密文件的讀取請求，所述讀取請求攜帶所述加密文件對應的加密屬性信息；

根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄；所述目標文件目錄為存放文件時需要對文件進行加密形成所述加密文件的文件目錄；

獲取所述目標文件目錄對應的密鑰；

采用所述密鑰對所述加密文件進行解密，以得到解密文件。

相應的，本發(fā)明實施例還提供一種文件加密裝置，包括：

接收模塊，用于接收文件的存放請求，所述存放請求指示所述文件需要存放的目標文件目錄；

密鑰獲取模塊，用于根據(jù)所述存放請求獲取所述目標文件目錄對應的密鑰；

加密模塊，用于采用所述密鑰對所述文件進行加密，以得到加密文件；

存放模塊，用于將所述加密文件存放至所述目標文件目錄。

相應的，本發(fā)明實施例還提供一種文件解密裝置，包括：

請求接收模塊，用于接收加密文件的讀取請求，所述讀取請求攜帶所述加密文件對應的加密屬性信息；

確定模塊，用于根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄；所述目標文件目錄為存放文件時需要對文件進行加密形成所述加密文件的文件目錄；

密鑰獲取模塊，用于獲取所述目標文件目錄對應的密鑰；

解密模塊，用于采用所述密鑰對所述加密文件進行解密，以得到解密文件。

本發(fā)明實施例采用接收文件的存放請求，該存放請求指示所述文件需要存放的目標文件目錄，然后，根據(jù)該存放請求獲取該目標文件目錄對應的密鑰，采用該密鑰對所述文件進行加密，以得到加密文件，將該加密文件存放至該目標文件目錄；由于該方案僅對目標文件目錄進行監(jiān)控，在將文件存放到目標文 件目錄時對該文件進行加密，無需監(jiān)控所有指定文件，縮小了透明加密的監(jiān)控范圍，所以，相對于現(xiàn)有技術(shù)而言，可以降低終端系統(tǒng)的消耗以及節(jié)省終端系統(tǒng)資源。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1是本發(fā)明實施例一提供的第一種文件加密方法的流程圖；

圖2是本發(fā)明實施例一提供的第二種文件加密方法的流程圖；

圖3是本發(fā)明實施例一提供的第三種文件加密方法的流程圖；

圖4為本發(fā)明實施例二提供的第一種文件解密方法的流程圖；

圖5為本發(fā)明實施例二提供的第二種文件解密方法的流程圖；

圖6為本發(fā)明實施例二提供的第三種文件解密方法的流程圖；

圖7a為本發(fā)明實施例三提供的第一種文件加密裝置的結(jié)構(gòu)示意圖；

圖7b為本發(fā)明實施例三提供的第二種文件加密裝置的結(jié)構(gòu)示意圖；

圖7c為本發(fā)明實施例三提供的第三種文件加密裝置的結(jié)構(gòu)示意圖；

圖8a為本發(fā)明實施例四提供的第一種文件解密裝置的結(jié)構(gòu)示意圖；

圖8b為本發(fā)明實施例四提供的第二種文件解密裝置的結(jié)構(gòu)示意圖；

圖8c為本發(fā)明實施例四提供的第三種文件解密裝置的結(jié)構(gòu)示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明實施例提供一種文件加密、解密方法和裝置。以下將分別進行詳細說明。

實施例一、

本實施例將從加密裝置的角度進行描述，該加密裝置具體可以集成在終端或其他需要進行文件加密的設(shè)備中。

該加密裝置集成在終端上的方式有多種，比如，以客戶端或其他軟體形式安裝在終端中。

一種文件加密方法，其特征在于，包括：接收文件的存放請求，該存放請求指示所述文件需要存放的目標文件目錄，根據(jù)該存放請求獲取該目標文件目錄對應的密鑰，采用該密鑰對所述文件進行加密，以得到加密文件，將該加密文件存放至該目標文件目錄。

如圖1所示，該文件加密的具體流程可以如下：

101、接收文件的存放請求，該存放請求指示所述文件需要存放的目標文件目錄。

比如，終端檢測到文件被移動到目標文件目錄，或者復制到目標文件目錄時，終端會觸發(fā)生成該文件的存放請求，其中，該存放請求可以攜帶目標文件目錄的標識，該標識用于指示該文件需要存放的目標文件目錄，該文件的類型可以有多種，例如可以為word文件、代碼文件等等。。

其中，目標文件目錄為預先指定的需要對存放在其內(nèi)的文件進行加密的文件目錄。比如，可以預先創(chuàng)建需要對存放文件進行加密的文件目錄，也即，在在接收到存放請求之前，本實施例方法還可以包括：

接收文件目錄創(chuàng)建請求；

根據(jù)該文件目錄創(chuàng)建請求，創(chuàng)建需要對存放文件進行加密的文件目錄。

又比如，可以在將預本創(chuàng)建的文件目錄指定為需要對存放文件進行加密的文件目錄，也即，在接收到存放請求之前，本實施例方法還可以包括：

接收針對文件目錄的加密指定請求，并根據(jù)所述加密指定請求將該文件目錄設(shè)置為需要對存放文件加密的文件目錄。具體地，創(chuàng)建或者指定需要對存放文件進行加密的文件目錄的數(shù)量可以根據(jù)實際需求設(shè)定。

102、根據(jù)該存放請求獲取該目標文件目錄對應的密鑰。

本實施例獲取目標文件對應的密鑰的方式有多種，例如，預先獲取并保存目標文件目錄對應的密鑰情況下，可以從本地存儲中獲取該目標文件目錄對應的密鑰，具體地，在接收文件的存放請求之前，本實施例方法還可以包括：

向密鑰管理服務(wù)器發(fā)送該目標文件目錄的密鑰獲取請求；

接收該密鑰管理服務(wù)器根據(jù)該密鑰獲取請求返回的該目標文件目錄對應的密鑰，并保存該密鑰；

此時，步驟“根據(jù)該存放請求獲取目標文件目錄對應的密鑰”可以包括：根據(jù)存放請求在本地存儲中獲取該目標文件目錄對應的密鑰。比如，根據(jù)目標文件目錄的標識在本地存儲中查找對應的密鑰。

又例如，本實施例中可以在接收到存放請求之后，向密鑰管理服務(wù)器發(fā)送目標文件目錄的密鑰獲取請求，以獲取目標文件目錄對應的密鑰。具體獲取密鑰的方式可以根據(jù)實際需求進行選擇。

103、采用該密鑰對該文件進行加密，以得到加密文件。

比如，可以讀取文件的內(nèi)容，并根據(jù)該密鑰對文件的內(nèi)容進行加密等，具體的加密算法可以選擇目前透明加密技術(shù)所采用的加密算法。本實施例中在加密文件移出該目標文件目錄時，不對該加密文件進行解密，

104、將該加密文件存放至目標文件目錄。

可選地，為方便用戶自定義敏感數(shù)據(jù)，可以創(chuàng)建或者指定需要對存放文件進行加密的公共文件目錄和個人文件目錄，不同的文件采用不同的密鑰進行加密。其中，該公共目錄用于存放允許某個范圍內(nèi)(比如某個公司內(nèi))所有終端均可解密的文件，比如用于存放工作文件，此時，對存放至公共文件目錄的文件采用公共密鑰進行加密，這樣可以使得其他終端均可采用公共密鑰對公共文 件目錄中的文件進行解密，該公共密鑰為某個范圍內(nèi)所有終端均使用的統(tǒng)一密鑰。

其中，該個人目錄用于存放只有加密終端可以解密的文件，或者被加密終端授權(quán)的終端可以解密的文件，比如存放個人隱私文件；此時，對存放至個人文件目錄的文件采用個人密鑰進行加密，該個人密鑰為用戶個人設(shè)置的密鑰或者向密鑰管理服務(wù)器請求的個人密鑰，其他用戶不知曉，這樣可保證個人文件目錄中的文件只有加密終端或者在被加密終端授權(quán)的終端可以對個人文件目錄下的文件進行解密。

以公共文件目錄為例，本實施例的文件加密方法，參考圖2，具體流程可以如下：

201、終端接收密鑰管理服務(wù)器發(fā)送的公共密鑰，并保存該公共密鑰。

比如接收到密鑰管理服務(wù)器向所有終端群發(fā)的公共密鑰，或者向密鑰管理服務(wù)器發(fā)送公共密鑰獲取請求，接收密鑰管理服務(wù)器根據(jù)該請求返回的公共密鑰。

202、終端創(chuàng)建該公共密鑰對應的公共文件目錄。

比如，新建一個需要對存放文件采用公共密鑰進行加密的文件目錄，該文件目錄即為公共文件目錄。

203、終端接收文件的存放請求，該存放請求指示該文件需要存放到該公共文件目錄。

比如，該存放請求攜帶該公共文件目錄的目錄標識，該目錄標識指示該文件需要存放至該公共文件目錄。比如，該文件可以為工作文件等。

204、終端在本地存儲中查找該公共文件目錄對應的公共密鑰。

205、終端采用該公共密鑰對該文件進行加密，以得到加密文件，并將該加密文件存放至公共文件目錄。

由于公共密鑰為某個范圍內(nèi)的統(tǒng)一密鑰，在該范圍內(nèi)的終端均可得到，因此，在其他終端獲取該公共目錄中的加密文件后，其他終端可以采用公共密鑰 對該加密文件進行解密。

以個人文件目錄為例，本實施例的文件加密方法，參考圖3，具體流程可以如下：

301、終端創(chuàng)建需要對存放文件進行加密的個人文件目錄。

302、終端向密鑰管理服務(wù)器發(fā)送個人密鑰獲取請求，接收該密鑰管理服務(wù)器根據(jù)該個人密鑰獲取請求返回的個人密鑰，并將該個人密鑰作為該個人文件目錄對應的加密密鑰，保存該個人密鑰。

比如，密鑰管理服務(wù)器根據(jù)個人密鑰獲取請求隨機生成一個密鑰，并返回給終端，然后，設(shè)置在對存放至個人文件目錄的文件采用該密鑰進行加密，將該個人密鑰存放在本機配置文件中。

303、終端接收文件的存放請求，該存放請求指示該文件需要存放到該個人文件目錄。

比如，該文件可以為個人隱私文件等。

304、終端在本地存儲中查找該個人文件目錄對應的個人密鑰。

305、終端采用該個人密鑰對該文件進行加密，以得到加密文件，并將該加密文件存放至個人文件目錄。

由于該個人密鑰為用戶的私人密鑰，其他終端用戶無法知曉，因此，即使其他終端用戶獲取到該個人文件目錄中的加密文件，也無法解密，提升了文件的安全性。

可選地，為使得加密終端指定的終端可以解密個人文件目錄中的加密文件，以方便用戶分享文件，提升用戶體驗；本實施例方法還可以對其他終端進行解密授權(quán)，該其他終端獲得解密授權(quán)后，可以對該個人文件目錄中的加密文件進行解密。具體地，當目標文件目錄包括個人文件目錄，加密密鑰為個人密鑰時，本實施例方法還可以包括：

向密鑰管理服務(wù)器發(fā)送該加密文件的解密授權(quán)請求，該解密授權(quán)請求攜帶該個人密鑰以及需要授權(quán)的用戶標識，以使該用戶標識對應的終端可以根據(jù)該 個人密鑰對該加密文件進行解密。

其中，該用戶標識可以為公司內(nèi)部的通訊標識，比如內(nèi)部郵箱賬號、內(nèi)容聊天軟件的賬號等等。

比如，終端在采用個人密鑰對存放至個人文件目錄的文件進行加密之后，選擇需要授權(quán)的內(nèi)部郵箱賬號，然后，向密鑰管理服務(wù)器發(fā)送解密授權(quán)請求，該解密授權(quán)請求攜帶該個人密鑰以及需要授權(quán)的內(nèi)部郵箱賬號；密鑰管理服務(wù)器在接收到該解密授權(quán)請求后，根據(jù)該請求發(fā)送解密授權(quán)信息給該內(nèi)部郵箱賬號對應的終端，該解密授權(quán)信息包括：該個人密鑰，這樣授權(quán)的終端在獲取到該個人目錄中的加密文件后，可以根據(jù)該個人密鑰對該加密文件進行解密。

可選地，為進一步提高文件安全，本實施例中加密終端可以對個人文件目錄下的某個文件進行解密授權(quán)，以限制授權(quán)終端僅可以解密個人文件目錄中的解密授權(quán)的加密文件，避免授權(quán)終端利用該個人密鑰對個人文件目錄下的非授權(quán)文件進行解密；也即，該解密授權(quán)請求還可以攜帶該加密文件的文件標識(即授權(quán)解密的文件標識)，以使得密鑰管理服務(wù)器發(fā)送解密授權(quán)信息中攜帶授權(quán)的文件標識，進而使得該授權(quán)終端僅可以利用該個人密鑰對該文件標識對應的加密文件進行解密。

其中，該文件標識可以為文件的唯一標識，比如，guid(全球唯一識別碼)或者uuid(文件的唯一標識符)等。

由上可知，本發(fā)明實施例采用接收文件的存放請求，該存放請求指示所述文件需要存放的目標文件目錄，然后，根據(jù)該存放請求獲取該目標文件目錄對應的密鑰，采用該密鑰對所述文件進行加密，以得到加密文件，將該加密文件存放至該目標文件目錄；由于該方案僅對目標文件目錄進行監(jiān)控，在將文件存放到目標文件目錄時對該文件進行加密，無需監(jiān)控所有指定文件，縮小了透明加密的監(jiān)控范圍，所以，相對于現(xiàn)有技術(shù)而言，在提高文件安全性的同時還可以降低終端系統(tǒng)的消耗以及節(jié)省終端系統(tǒng)資源。

實施例二、

相應地，本實施例提供了一種文件解密方法，本實施例將從解密裝置的角度對該方法進行描述，該解密裝置具體可以集成在終端或其他需要進行文件解密的設(shè)備中。

該解密裝置集成在終端上的方式有多種，比如，以客戶端或其他軟體形式安裝在終端中。

如圖4所示，該文件加密方法的具體流程可以如下：

401、接收加密文件的讀取請求，該讀取請求攜帶所述加密文件對應的加密屬性信息。

該解密裝置可以集成在形成該加密文件的加密終端中，比如，采用實施例一所述方法對文件進行加密形成該加密文件的終端，或者也可以集成在其他非加密終端中，比如從加密終端獲取該加密文件的其他終端中。

具體地，接收加密文件的讀取請求可以由多種，比如接收加密文件的開啟指令，根據(jù)開啟指令獲取該加密文件的加密屬性信息，然后，觸發(fā)發(fā)送加密文件的讀取請求，該讀取請求攜帶該加密屬性信息。

其中，加密屬性信息為指示存放文件時對文件進行加密形成該加密文件的文件目錄，比如實施例一所述的目標文件目錄。

402、根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄；該目標文件目錄為存放文件時需要對文件進行加密形成該加密文件的文件目錄。

具體地，該文件目錄與該加密文件可以位于同一終端中，比如，加密終端采用實施例一所述方法對文件進行加密得到加密文件后，該加密終端對該加密文件進行解密，或者可以位于不同終端，比如，終端a采用實施例一所述方法對文件進行加密得到加密文件后，終端b獲取到該加密文件后，對該加密文件進行解密。

403、獲取該目標文件目錄對應的密鑰。

例如，以該解密裝置集成在該加密文件的加密終端為例，即以目標文件目 錄與加密文件位于同一終端中為例，可以從加密終端本地存儲中查找與該目標文件目錄對應的密鑰，具體地，可以獲取目標文件目錄的標識，然后，在加密終端本地存儲中查找與該標識對應的密鑰。比如，加密終端創(chuàng)建實施例一所述的公共或者個人文件目錄后，對公共或者個人文件目錄中的加密文件進行解密時，可以在本地查找公共或者個人文件目錄對應的公共密鑰或者個人密鑰。

又例如，以該解密裝置集成在其他終端中為例，即以加密文件與目標文件目錄位于不同終端為例，可以從終端本地存儲中查找與該目標文件目錄對應的密鑰，比如，當該加密文件為加密終端中公共文件目錄下的加密文件時，此時，由于系統(tǒng)內(nèi)所有終端均保存有公共密鑰，因此，可以從本地存儲中獲取公共密鑰，該公共密鑰即為目標文件目錄對應的密鑰；又比如，當該加密文件為加密終端中個人文件目錄下的加密文件時，由于該加密文件采用個人密鑰加密形成，因此，若需要解密，需要獲取加密終端的解密授權(quán)，此時，在獲取該目標文件文檔的密鑰之前，還需要從密鑰管理服務(wù)器中獲取解密授權(quán)信息，該解密授權(quán)信息包括個人文件目錄對應的個人密鑰，這樣在文件讀取時，本實施例方法即可獲取個人文件目錄對應的個人密鑰。

404、采用該密鑰對該加密文件進行解密，以得到解密文件，并讀取該解密文件。

比如，對加密文件進行解密后，將給解密文件傳遞給對應的調(diào)用程序讀取打開。

可選地，為了提高文件的安全性，本實施例方法可限制只有特定的讀取方式或者打開方式才能對加密文件進行解密，具體地，可以通過對讀取加密文件的讀取邏輯來實現(xiàn)，也即在步驟401和402之間，本實施例方法還可以包括：

判斷讀取該加密文件的讀取邏輯是否為文件解密支持的讀取邏輯；

若是，執(zhí)行根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄的步驟。

比如，該讀取請求還可以攜帶加密文件的讀取邏輯，此時，可以判斷該請 求攜帶的讀取邏輯是否為文件解密所支持的讀取邏輯。

其中，讀取邏輯為讀取程序讀取或者打開文件過程的邏輯，(“如第一步讀取temp目錄下xx文件，第二步調(diào)用某api函數(shù)，第三步讀取文件xx個字節(jié)”)。文件解密支持的讀取邏輯可以通過服務(wù)器來配置，具體地，由終端上傳支持讀取程序?qū)淖x取邏輯以及所支持的文件類型，然后，服務(wù)器根據(jù)終端上傳的信息和預設(shè)規(guī)則配置邏輯文件，該邏輯文件包含文件解密支持的讀取邏輯，并將邏輯文件發(fā)送給終端，以便終端可以判斷加密文件的讀取邏輯是否為文件解密所支持的讀取邏輯。另外，邏輯文件還可以包括一些需要禁止的讀取或打開方式(如用notepad打開doc文檔等)，以使得終端根據(jù)邏輯文件禁止一些錯誤打開方式，提升用戶體驗。

在實際應用中，可根據(jù)實際需求在服務(wù)器上配置文件解密支持的讀取邏輯，以使得透明加密可以支持更多的文件類型，提升頭透明加密方案的兼容性。

可選地，為了進一步提高文件安全性，本實施例方法可以限制授權(quán)用戶只能打開授權(quán)的加密文件，以該解密裝置集成在非加密終端為例，具體地，本實施例方法在步驟401之前還可以包括：接收密鑰管理服務(wù)器發(fā)送該加密文件的解密授權(quán)信息，其中，該解密授權(quán)信息包括：該目標文件目錄對應的個人密鑰和授權(quán)解密的文件標識；

此時，在判斷讀取該加密文件的讀取邏輯是否為文件解密支持的讀取邏輯之后，根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄之前，本實施例方法還可以包括：

判斷該加密文件的文件標識是否為授權(quán)解密的文件標識；

若是，則執(zhí)行根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄的步驟。

其中，該文件標識可以為文件的唯一標識，比如，guid(全球唯一識別碼)或者uuid(文件的唯一標識符)等。

比如，加密終端采用個人密鑰對存放至個人目錄的文件進行加密，以得到 加密文件，然后，加密終端發(fā)送該加密文件的解密授權(quán)請求給密鑰管理服務(wù)器，該解密授權(quán)請求攜帶該個人密鑰，需要授權(quán)的用戶標識，以及解密授權(quán)的文件標識(即該加密文件的文件標識)；密鑰管理服務(wù)器根據(jù)解密授權(quán)請求發(fā)送解密授權(quán)信息給該用戶標識對應的解密終端，其中，該解密授權(quán)信息可以包括個人密鑰以及授權(quán)解密的文件標識；該解密終端獲取該加密文件，比如通過網(wǎng)絡(luò)獲取該加密文件之后，解密終端接收該加密文件的讀取請求，該讀取請求可以攜帶該加密文件的文件標識和加密屬性信息，然后，解密終端將該文件標識與授權(quán)解密的文件標識進行比較，若相同，則表明該加密文件以授權(quán)解密，此時，可以根據(jù)加密屬性信息確定該加密文件對應的目標文件目錄為個人文件目錄，獲取該個人文件目錄對應的個人密鑰，采用該個人密鑰對該加密文件進行解密。

下面以該解密裝置集成在加密終端，目標文件目錄為實施例一所述的公共文件目錄為例，來作進一步介紹，參考圖5，該解密過程可以包括：

501、在加密終端采用密鑰對存放至公共文件目錄的文件進行加密之后，加密終端接收該加密文件的讀取請求，該讀取請求攜帶該加密文件對應的加密屬性信息和讀取該加密文件的讀取邏輯。

502、判斷該讀取邏輯是否為文件解密支持的讀取邏輯，若是，則執(zhí)行步驟503，若否，則執(zhí)行步驟506。

503、加密終端根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄為該公共文件目錄。

504、加密終端在本地存儲中查找與該公共文件目錄對應的公共密鑰。

505、加密終端采用該公共密鑰對該加密文件進行解密，以得到解密文件。并根據(jù)該讀取邏輯讀取該解密文件。

506、不對該加密文件進行解密，直接讀取該加密文件。

同理，在目標文件目錄為實施例一所述的個人文件目錄時，該加密終端對該個人文件目錄下加密文件的解密過程與步驟501-506類似，這里就不再贅述。

下面以該解密裝置集成在加密終端授權(quán)的解密終端，目標文件目錄為加密 終端中如實施例一所述的個人文件目錄為例，參考圖6，文件解密的過程可以包括：

601、解密終端接收服務(wù)器發(fā)送的加密文件的解密授權(quán)信息，該解密授權(quán)信息可以包括：個人文件目錄對應的個人密鑰以及授權(quán)解密的文件標識。

602、解密終端獲取該加密終端中個人文件目錄下的加密文件，并接收該加密文件的讀取請求，該讀取請求攜帶該加密文件的加密屬性信息以及讀取該加密文件的讀取邏輯；

603、判斷該讀取邏輯是否為文件解密支持的讀取邏輯，若是，執(zhí)行步驟604，若否，執(zhí)行步驟607。

604、判斷該加密文件的文件標識是否為文件解密支持的文件標識，若是，則執(zhí)行步驟605，若否，執(zhí)行步驟607。

605、解密終端根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄為該個人文件目錄。

606、解密終端獲取該個人文件目錄對應的個人密鑰，并根據(jù)該個人密鑰對該加密文件進行解密，以得到解密文件。

607、解密終端不對該加密文件進行解密，并直接讀取該加密文件。

在該解密裝置集成在與加密終端不同的解密終端中，且目標文件目錄為公共文件目錄時，此時解密終端對該加密文件進行解密的過程可以參考上述501-506，這里就不再贅述。

由上可知，本發(fā)明實施例采用接收加密文件的讀取請求，該讀取請求攜帶該加密文件對應的加密屬性信息，然后，根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄；該目標文件目錄為存放文件時需要對文件進行加密形成該加密文件的文件目錄，獲取該目標文件目錄對應的密鑰，采用該密鑰對該加密文件進行解密，以得到解密文件；由于該方案僅對目標文件目錄進行監(jiān)控解密，在對加密文件讀取時對該加密文件進行解密文，無需監(jiān)控所有指定文件， 縮小了透明解密的監(jiān)控范圍，所以，相對于現(xiàn)有技術(shù)而言，可以降低終端系統(tǒng)的消耗以及節(jié)省終端系統(tǒng)資源；另外，本實施例在解密時還需要對讀取邏輯進行判斷，使得只有在采用特定的讀取邏輯讀取加密文件時才進行解密，提升了文件安全性，并且由于解密支持的讀取邏輯可言根據(jù)用戶實際需求進行配置，使得透明加密方案可以支持更多的文件類型，提升了透明加密的應用范圍等。

實施例三、

為了更好地實施以上方法，本發(fā)明實施例還提供一種文件加密裝置，如圖7a所示，該身份驗證裝置還可以包括接收模塊701、密鑰獲取模塊702、加密模塊703和存放模塊704，如下：

接收模塊701，用于接收文件的存放請求，該存放請求指示該文件需要存放的目標文件目錄；

密鑰獲取模塊702，用于根據(jù)該存放請求獲取該目標文件目錄對應的密鑰；

加密模塊703，用于采用該密鑰對該文件進行加密，以得到加密文件；

存放模塊704，用于將該加密文件存放至該目標文件目錄。

例如，參考圖7b，本實施文件加密裝置還可以包括創(chuàng)建模塊705；該創(chuàng)建模塊705，用于在接收模塊接收文件的存放請求之前，接收文件目錄創(chuàng)建請求；根據(jù)該文件目錄創(chuàng)建請求，創(chuàng)建需要對存放文件進行加密的文件目錄.

又比如，參考圖7c，當該目標文件目錄包括個人文件目錄，該密鑰包括個人密鑰時該文件加密裝置還包括：授權(quán)模塊706；

授權(quán)模塊706，用于在該加密模塊703將該加密文件存放至該目標文件目錄之后，向密鑰管理服務(wù)器發(fā)送該加密文件的解密授權(quán)請求，該解密授權(quán)請求攜帶該個人密鑰、需要授權(quán)的用戶標識以及該加密文件的文件標識，以使該用戶標識對應的終端可以根據(jù)該個人密鑰對該加密文件進行解密。

優(yōu)選地，本實施例文件加密裝置，還可以包括密鑰請求模塊，用于：

在接收模塊接收存放請求之后，向密鑰管理服務(wù)器發(fā)送該目標文件目錄的 密鑰獲取請求；

接收該密鑰管理服務(wù)器根據(jù)該密鑰獲取請求返回的該目標文件目錄對應的密鑰，并保存該密鑰。

具體實施時，以上各個模塊可以作為獨立的實體來實現(xiàn)，也可以進行任意組合，作為同一或若干個實體來實現(xiàn)，以上各個模塊的具體實施可參見前面的方法實施例，在此不再贅述。

該文件加密裝置具體可以集成在終端或其他需要進行文件加密的設(shè)備中，例如，以客戶端或者其他軟件形式來集成在終端中。

由上可知，本發(fā)明實施例文件加密裝置的接收模塊701接收文件的存放請求，該存放請求指示該文件需要存放的目標文件目錄，然后，由密鑰獲取模塊702根據(jù)該存放請求獲取該目標文件目錄對應的密鑰，由加密模塊703采用該密鑰對該文件進行加密，以得到加密文件，由存放模塊704將該加密文件存放至該目標文件目錄；由于該方案僅對目標文件目錄進行監(jiān)控，在將文件存放到目標文件目錄時對該文件進行加密，無需監(jiān)控所有指定文件，縮小了透明加密的監(jiān)控范圍，所以，相對于現(xiàn)有技術(shù)而言，可以降低終端系統(tǒng)的消耗以及節(jié)省終端系統(tǒng)資源。

實施例四、

相應的，本發(fā)明實施例還提供一種文件解密裝置，如圖8a所示，該文件解密裝置包括請求接收模塊801、確定模塊802、密鑰獲取模塊803和解密模塊804，如下：

請求接收模塊801，用于接收加密文件的讀取請求，所述讀取請求攜帶所述加密文件對應的加密屬性信息；

確定模塊802，用于根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄；所述目標文件目錄為存放文件時需要對文件進行加密形成所述加密文件的文件目錄；

密鑰獲取模塊803，用于獲取所述目標文件目錄對應的密鑰；

解密模塊804，用于采用所述密鑰對所述加密文件進行解密，以得到解密文件。

其中，該文件解密裝置可以集成在形成加密文件的加密終端中，也可以集成在非加密終端中。

可選地，為了提高文件的安全性，參考圖8b，還可以包括第一判斷模塊805；

該第一判斷模塊805，用于在請求接收模塊801接收加密文件的讀取請求之后，所述確定模塊根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄之前，判斷讀取所述加密文件的讀取邏輯是否為文件解密支持的讀取邏輯；

其中，所述確定模塊802，具體用于在第一判斷模塊805判斷為是時，執(zhí)行根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄的步驟。

可選地，為進一步提高文件的安全性，參考圖8c，還可以包括授權(quán)信息接收模塊806和第二判斷模塊807；

所述授權(quán)信息接收模塊806，用于在請求接收模塊801接收加密文件的讀取請求之前，接收密鑰管理服務(wù)器發(fā)送的所述加密文件的解密授權(quán)信息，該解密授權(quán)信息包括：所述目標文件目錄對應的個人密鑰和授權(quán)解密的文件標識；

所述第二判斷模塊807，用于在第一判斷模塊805接收密鑰管理服務(wù)器發(fā)送的所述加密文件的解密授權(quán)信息，該解密授權(quán)信息包括：所述目標文件目錄對應的個人密鑰和授權(quán)解密的文件標識，所述確定模塊根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄之前，判斷所述加密文件的文件標識是否為授權(quán)解密的文件標識；

其中，所述確定模塊802，用于在第二判斷模塊807判斷為是時，執(zhí)行根據(jù)所述加密屬性信息確定所述加密文件對應的目標文件目錄的步驟。

具體實施時，以上各個模塊可以作為獨立的實體來實現(xiàn)，也可以進行任意組合，作為同一或若干個實體來實現(xiàn)，以上各個模塊的具體實施可參見前面的方法實施例，在此不再贅述。

該文件解密裝置具體可以集成在終端或其他需要進行文件解密的設(shè)備中，例如，以客戶端或者其他軟件形式來集成在終端中。

由上可知，本發(fā)明實施例文件解密裝置中請求接收模塊801接收加密文件的讀取請求，該讀取請求攜帶該加密文件對應的加密屬性信息，然后，由確定模塊802根據(jù)該加密屬性信息確定該加密文件對應的目標文件目錄，該目標文件目錄為存放文件時需要對文件進行加密形成該加密文件的文件目錄，由密鑰獲取模塊803獲取該目標文件目錄對應的密鑰，由解密模塊804采用該密鑰對該加密文件進行解密，以得到解密文件；由于該方案僅對目標文件目錄進行監(jiān)控解密，在對加密文件讀取時對該加密文件進行解密文，無需監(jiān)控所有指定文件，縮小了透明解密的監(jiān)控范圍，所以，相對于現(xiàn)有技術(shù)而言，可以降低終端系統(tǒng)的消耗以及節(jié)省終端系統(tǒng)資源；另外，本實施例在解密時還需要對讀取邏輯進行判斷，使得只有在采用特定的讀取邏輯讀取加密文件時才進行解密，提升了文件安全性，并且由于解密支持的讀取邏輯可言根據(jù)用戶實際需求進行配置，使得透明加密方案可以支持更多的文件類型，提升了透明加密的應用范圍等。

本領(lǐng)域普通技術(shù)人員可以理解上述實施例的各種方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成，該程序可以存儲于一計算機可讀存儲介質(zhì)中，存儲介質(zhì)可以包括：只讀存儲器(rom，readonlymemory)、隨機存取記憶體(ram，randomaccessmemory)、磁盤或光盤等。

以上對本發(fā)明實施例所提供的一種文件加密、解密方法和裝置進行了詳細介紹，本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領(lǐng)域的技術(shù)人員，依據(jù)本發(fā)明的思想，在具體實施方式及應用范圍上均會有改變之 處，綜上所述，本說明書內(nèi)容不應理解為對本發(fā)明的限制。