基于权限级别的通信加密方法及设备

技术领域

本申请涉及通信技术领域，特别是涉及一种基于权限级别的通信加密方法及设备。

背景技术

随着科技水平的提高和企业对资料保密工作的重视，通信加密技术越来越受到重视。传统的端对端通信加密技术有对称加密和非对称加密两种，但是对称加密技术面对大密度的用户量，秘钥管理复杂，身份认证效率较低，虽然非对称加密能够解决对称加密的秘钥管理复杂的缺陷，同时由于非对称加密需要较为复杂的算法，所以效率较低。目前端对端通信加密为了提高效率，大多采用非对称加密和对称加密结合的技术手段。

然而，在企业内部的企业级服务器基于权限级别的通信加密技术并不多见，目前的基于权限级别的通信加密技术，还是通过设置秘钥的不同权限等级来进行区别地加密。这是由于，大多数企业还停留于采用非对称加密和对称加密结合的通信加密技术手段。随着企业内部的管理等级细化，这种单纯的通信加密技术手段，不能执行文件不同涉密等级加密的需求，因为这些基于不同权限等级秘钥管理难度较大。为了解决传统的通信加密无法适应基于权限级别的加密需求的缺陷，本申请提出一种基于权限级别的通信加密方法及设备。

发明内容

基于此，有必要针对传统的通信加密无法适应基于权限级别的加密需求的缺陷，本申请提出一种基于权限级别的通信加密方法及设备。

本申请提供一种基于权限级别的通信加密方法，包括：

建立文件管理库；文件管理库包括多个文件保存文件夹、工号保存文件夹和文件权限文件夹；

选取一个时间戳，基于第一预设编码规则将时间戳转化为公钥，将公钥存储入文件权限文件夹；

基于不同的用户工号和唯一的所述公钥，利用第二预设编码规则生成多个私钥，将每一个私钥与该私钥对应的用户工号形成映射，将多个私钥导入文件权限文件夹，且将每一个私钥通过内网发送至各个用户工号的移动终端并存储在移动终端本地；

将公钥通过第三预设编码规则加密，生成加密后的公钥，通过公共网络发送至各个用户工号的移动终端；各个用户工号账户利用私钥解析公钥密码本，解析后的公钥密码本用于用户工号账户访问请求的加密和用户工号账户接收到的工作文件的解密；

接收移动终端发送的访问文件请求；

利用公钥解析访问文件请求，同时基于发出访问请求的用户工号及公钥确定用户工号的权限等级；

判断访问请求中的访问内容是否与用户工号的权限等级匹配；

若访问请求中的访问内容与用户工号的权限等级匹配，则调取文件保存文件夹内的工作文件，并利用公钥对该工作文件加密，将加密后的该工作文件通过公共网络发送于至该用户工号的移动终端。

本申请还提供一种基于权限级别的通信加密设备，包括：

服务器，用于执行基于权限级别的通信加密方法；

多个移动终端，每一个移动终端均与所述处理器通信连接。

本申请涉及一种基于权限级别的通信加密方法及设备，通过建立多个文件保存文件夹将文件分级保存，并利用工号保存文件夹和文件权限文件夹，确定登录服务器的用户权限等级，基于用户的权限等级，服务器将用户的访问文件的请求解析，若访问请求中的访问内容与用户工号的权限等级匹配，则调取文件保存文件夹内的工作文件，并利用公钥对该工作文件加密，将加密后的该工作文件通过公共网络发送于至该用户工号的移动终端。值得一提的是，在数据传输的过程中，本申请仅使用唯一的公钥，并利用第三预设编码规则将公钥加密后通过公共网络传输个各个用户工号的移动终端，这大大简化秘钥的管理难度。同时，公钥的第三预设编码规则可以通过私钥加密，并发送于各个用户工号移动终端，各个用户工号移动终端基于私钥，解析处唯一的公钥，当用户对服务器进行访问时，访问指令会被私钥加密，也会被公钥加密，以实现通信加密。该通信加密方法适应了基于权限级别的加密需求。

附图说明

构成本申请的一部分的附图用来提供对本申请的进一步理解，使得本申请的其它特征、目的和优点变得更明显。本申请的示意性实施例附图及其说明用于解释本申请，并不构成对本申请的不当限定。

图1为本申请一实施例提供的一种基于权限级别的通信加密方法的方法流程图。

图2为本申请一实施例提供的一种基于权限级别的通信加密设备的模块连接图。

附图标记：

100-服务器；200-移动终端。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供一种基于权限级别的通信加密方法。

如图1所示，在本申请的一实施例中，一种基于权限级别的通信加密方法，包括：

S100，建立文件管理库。文件管理库包括多个文件保存文件夹、工号保存文件夹和文件权限文件夹。

S200，选取一个时间戳，基于第一预设编码规则将时间戳转化为公钥，将公钥存储入文件权限文件夹。

S300，基于不同的用户工号和唯一的所述公钥，利用第二预设编码规则生成多个私钥，将每一个私钥与该私钥对应的用户工号形成映射，将多个私钥导入文件权限文件夹，且将每一个私钥通过内网发送至各个用户工号的移动终端并存储在移动终端本地。

S400，将公钥通过第三预设编码规则加密，生成加密后的公钥，通过公共网络发送至各个用户工号的移动终端。

S500，接收移动终端发送的访问文件请求。

S600，利用公钥解析访问文件请求，同时基于发出访问请求的用户工号及公钥确定用户工号的权限等级。

S700，判断访问请求中的访问内容是否与用户工号的权限等级匹配。

S800，若访问请求中的访问内容与用户工号的权限等级匹配，则调取文件保存文件夹内的工作文件，并利用公钥对该工作文件加密，将加密后的该工作文件通过公共网络发送于至该用户工号的移动终端。

具体的，S100之前，所述方法还包括：

S000，接收多个用户工号，将每个用户工号导入工号保存文件夹，在工号保存文件夹内，解析用户工号，得到用户工号中包含的权限等级。

为了更清晰的理解本方法的加密过程，可以通过一个实例进行解释，本实例仅仅由于解释：

比如时间戳2023年1月23号，第一预设编码规则将时间戳转化为公钥为20230123。

而某个用户内部代号为001，其权限等级为R6，那么该用户的工号即为001R6。基于第二预设编码规则，将公钥20230123与该用户的工号001R6执行最简单的编码，所得的该用户私钥即为001R6-20230123。此私钥通过内网传输于该用户移动终端，同时，服务器也将保存该私钥于文件权限文件夹。当然也可以是具有该公司加密认证芯片的台式机等设备。移动终端由于便利性和高风险性，所以移动终端在通信层的加密尤为重要。

基于该用户已获得的私钥001R6-20230123，该用户已具备通信过程中的加密与解密能力。但是这种加密方法容易破解，这是对称加密的弊端。

为此，基于该用户已获得的私钥001R6-20230123，且服务器也将保存该私钥于文件权限文件夹还需要对公钥进行传递。服务器利用第三预设编码规则将公钥20230123，通过该用户已获得的私钥001R6-20230123进行加密，简单的结果就是，20230123-001R6-20230123，实际上，在此次加密过程中公钥20230123就相当于待传递的资料。该用户的移动终端，通过已获得的私钥001R6-20230123进行解密，获得公钥20230123。

用户的移动终端获得私钥和公钥后，将会利用私钥和公钥同时对文件或请求加密。值得一提的是，当服务器接收到用户的移动终端传输的文件或请求时，会基于私钥和公钥这双重秘钥进行用户的身份验证。而不是仅仅对接收到用户的移动终端传输的文件或请求进行解密。即各个用户工号账户利用私钥解析公钥，解析后的公钥和私钥不仅仅用于用户工号账户访问请求的加密和用户工号账户接收到的工作文件的解密。

同时，私钥包含了用户的权限等级。

本实施例涉及一种基于权限级别的通信加密方法及设备，通过建立多个文件保存文件夹将文件分级保存，并利用工号保存文件夹和文件权限文件夹，确定登录服务器的用户权限等级，基于用户的权限等级，服务器将用户的访问文件的请求解析，若访问请求中的访问内容与用户工号的权限等级匹配，则调取文件保存文件夹内的工作文件，并利用公钥对该工作文件加密，将加密后的该工作文件通过公共网络发送于至该用户工号的移动终端。值得一提的是，在数据传输的过程中，本申请仅使用唯一的公钥，并利用第三预设编码规则将公钥加密后通过公共网络传输个各个用户工号的移动终端，这大大简化秘钥的管理难度。同时，公钥的第三预设编码规则可以通过私钥加密，并发送于各个用户工号移动终端，各个用户工号移动终端基于私钥，解析处唯一的公钥，当用户对服务器进行访问时，访问指令会被私钥加密，也会被公钥加密，以实现通信加密。该通信加密方法适应了基于权限级别的加密需求。

在本申请的一实施例中，S100，包括：

S111，接收权限等级的评判规则。

S112，调取多个待加密工作文件。

S113，利用权限等级的评判规则，为每一个待加密工作文件赋予一个权限等级标签。

S114，创建与每一个与权限等级对应的文件保存文件夹，每一个文件保存文件夹带有一个权限等级标签。

S115，将每一个带有权限等级标签的工作文件导入与权限等级对应的文件保存文件夹。

具体的，比如服务器中存在三份文件，第一份文件为R6等级及以上可以阅读，第二份文件为R6等级及以上可以阅读，而第三份文件为R5等级及以上可以阅读。那么服务器将会以最低可阅读等级做为建立文件保存文件夹的标准。即建立一个R6等级的文件保存文件夹，并将第一份文件及第二份文件纳入此R6等级的文件保存文件夹。同时，还建立一个R5等级的文件保存文件夹，并将第三份文件纳入此R5等级的文件保存文件夹。

本实施例涉及文件保存文件夹的建立方法。基于建立的文件保存文件夹的等级，有益于服务器解析用户指令后，根据用户等级，确定用户能够访问的文件，这满足了企业内部对用户权限级别及文件的管理需求。

在本申请的一实施例中，S100，还包括：

S121，确定包含权限等级的用户工号的内部信息的排列格式。

S122，在工号保存文件夹下建立多个工号等级文件夹。

S123，为每一个工号等级文件夹赋予权限等级标签。

S124，将工号等级文件夹与文件保存文件夹按照权限等级标签形成映射。

具体的，若用户工号等级为R7，此时用户请求访问R8等级的文件保存文件夹是不被许可的。而用户工号等级为R7的可以访问R7等级及以下的文件保存文件夹。

本实施例涉及文件保存文件夹的配属方法。当服务器根据公钥和/或私钥解析出用户的等级时，依据工号等级文件夹就能够确定用户所能访问的文件。

在本申请的一实施例中，S100，还包括：

S131，在文件权限文件夹内建立公钥管理文件夹、私钥管理文件夹。

具体的，由于私钥和公钥在本方法中主要用于验证用户的移动终端的连接合法性，所以公钥与私钥的传递时间并不同步，同时公钥会在一个既定修改周期后更新，也就是说，异常连接不会同步接收到公钥和私钥。这就大大提高了服务器的文件安全性。一般来说，在既定的修改周期后私钥和公钥都会修改，而鉴于用户移动终端的高风险性，私钥只有接入经过服务器认证的路由器或光线网络，才会传输于用户的移动终端。

为此，私钥管理文件夹内的私钥发送方法包括：

接收用户终端接收私钥的请求；

解析用户终端接收私钥的请求，根据用户终端接收私钥的请求，判断用户终端是否请求延期既定修改周期；

若用户终端请求延期既定修改周期，则在工号保存文件夹，标记该用户，在延期内，以首个既定修改周期内的私钥和公钥作为用户的身份验证依据；

若用户终端未请求延期既定修改周期，则向该用户终端发送私钥。

本实施例涉及文件权限文件夹的建立。值得一提的，公钥的传输是通过公共网络的。当接收异常连接时，异常链接的终端没有私钥，所以服务器能够较为简单的辨别异常连接。

在本申请的一实施例中，S500之后，S600之前，所述方法还包括：

S510，接收发出访问请求的用户工号。

S520，基于该用户工号及公钥，生成待检测私钥，判断是否能在私钥管理文件夹搜寻到与待检测私钥对应的私钥。

S530，若待验证私钥和私钥管理文件夹搜寻到的私钥一致，则执行所述判断访问请求中的访问内容是否与用户工号的等级匹配。

S540，若待验证私钥是否和私钥管理文件夹搜寻到的私钥不一致，则反馈异常连接消息至发出访问请求的移动终端，锁定该用户工号，发出预警信息。

具体的，所述基于该用户工号，实际上该用户工号在数据传递过程中是经过用户移动终端私钥和公钥加密过的。那么可以理解的是，服务器利用公钥就获得该用户工号及用户端传递的待检测私钥。而执行异常连接的人员是无法获得私钥的，那么，此时只需要验证该待检测私钥即可确定此时的通信连接是否正常。

更具体的一个实例：

用户以20230123+001R6*001R6-20230123为工号传递加密信息，此时暂时不对加密内容解密，服务器会利用工号20230123+001R6*001R6-20230123进行连接是否异常的验证。值得一体的是，+之前的为公钥20230123，+之后且*之前的为用户日常使用的工号。如果该链接是正常的，*之后的数据就会对应该用户的私钥。值得细说的，执行异常连接的人员无法合成*之后的数据。

进一步的，所述锁定该用户工号，实际上就是将该用户工号的拉入管控名单，并向后台管理人员发出存在异常连接的提示。

本实施例涉及一种数据验证方法。通过公钥与私钥的组合验证，能够高效识别异常连接。

在本申请的一实施例中，S200之前，所述方法还包括：

S210，接收修改公钥的预定时间。

S220，以接收修改公钥指令的系统时间为基准时间，随机查找该基准时间下的世界时间。

S230，选择一个世界时间，并标记该世界时间下的经度。

S240，基于该世界时间及对应该世界时间的经度，生成一个时间戳。

S250，将时间戳导入待选时间戳集。

S260，返回选择一个世界时间，并标记该世界时间下的经度，直至待选时间戳集内的时间戳总数量为N。N为正整数。

具体的说，接收修改公钥的指令是在系统时间东八区12:00am，随机查找的世界时间是东九区11:00am。那么时间戳就是某年某月某日的11:00am。

本实施例涉及时间戳集的生成方法，时间戳集的多样性能够提高公钥及私钥的安全性。

在本申请的一实施例中，S200之前，所述方法还包括：

S271，调取原始的被选定时间戳。

S272，解析该时间戳，获得原始的世界时间及对应该世界时间的经度，利用原始的世界时间及对应该世界时间的经度，计算原始的基准时间。

S273，利用修改公钥密码本的预定时间和原始的基准时间，获得新的基准时间。

S274，随机查找新的基准时间下的世界时间。

S275，选择一个世界时间，并标记该世界时间下的经度。

S276，基于该世界时间及对应该世界时间的经度，生成一个时间戳。

S277，将时间戳导入待选时间戳集。

S278，返回选择一个世界时间，并标记该世界时间下的经度，直至待选时间戳集内的时间戳总数量为N。N为正整数。

具体的说，原始的被选定时间戳为某年某月某日的11:00am，通过解析该时间戳，利用该时间戳对应的经度能够还原该时间戳所处的时区为东九区，进而可以推算该时间对应的系统时间。

原始的被选定时间戳的系统时间加上修改公钥密码本的预定时间，就能获得新公钥所需的系统时间，再执行S274至S278就可以完成公钥更新所需的时间戳集的生成。

本实施例涉及公钥更新所需的时间戳集的生成方法。公钥更新的过程不需要人为操作，减少了执行异常连接者利用调节参数的而查找公钥、私钥、规则保存地址的几率。进而提高公钥的安全性。

在本申请的一实施例中，所述方法还包括：

S910，接收移动终端发送的上传请求和工作文件。

S920，读取移动终端发送的上传请求中的用户工号。

S930，确定上传请求中的用户工号的权限等级。

S940，基于上传请求中的用户工号的权限等级，将该工作文件导入与上传请求中的用户工号对应的权限等级的文件保存文件夹。

本实施例涉及用户上传工作文件的方法。事实上，通信加密保护的是传输过程中的文件，更重要的是服务器已经存储的文件。所以服务器在接收文件时，需要根据工号验证连接是否正常。而在用户工号的权限等级实际上是与私钥关联的，因此在对文件解密的过程中，就可以获取用户工号的权限等级。这大大简化了基于权限等级的通信加密方法的便利性。

在本申请的一实施例中，S910之前，包括：

S911，接收上传请求中的用户工号，调用公钥管理文件夹内的公钥和私钥管理文件夹内的私钥，利用公钥和接收到的发出访问请求的用户工号，获得待测私钥，判断待测私钥是否存在于私钥管理文件夹内。

S912，若待测私钥存在于私钥管理文件夹内，则再次判断工作文件的能否被公钥解析。

S913，若工作文件能被公钥解析，则判断解析后的工作文件是否存在数据病毒。

S914，若解析后的工作文件不存在数据病毒，则进行接收工作文件步骤。

S915，若解析后的工作文件存在数据病毒，则将该工作文件删除，并锁定该用户工号，发出预警信息。

S916，若工作文件不能被公钥解析，则判定该工作文件为异常信息，并锁定该用户工号，发出预警信息。

S917，若待测私钥不存在于私钥管理文件夹内，则反馈异常连接消息至移动终端，并锁定该用户工号，发出预警信息。

具体的，实际上S911至S913是验证连接是否正常方法。

值得一体的是，程序病毒入侵服务器等电子设备之前，需要建立一个自身数据保存文件夹，这文件将就是本服务器检测程序病毒的依据。

本实施例涉及程序病毒的检测，大大提高了服务器的通信安全。

本申请提供一种基于权限级别的通信加密设备。

如图2所示，在本申请的一实施例中，所述基于权限级别的通信加密设备包括服务器100和多个移动终端200。

所述服务器100用于执行前述的任意一条实施例中所述基于权限级别的通信加密方法。

每一个移动终端200均与所述服务器100通信连接。

本实施例涉及一种基于权限级别的通信加密设备。服务器100将用户的访问文件的请求解析，若访问请求中的访问内容与用户工号的权限等级匹配，则调取文件保存文件夹内的工作文件，并利用公钥对该工作文件加密，将加密后的该工作文件通过公共网络发送于至该用户工号的移动终端200。

以上所述实施例的各技术特征可以进行任意的组合，各方法步骤也并不做执行顺序的限制，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。