一种适用于专用网络的加密文件破解方法及系统

技术领域

本发明涉及信息安全技术领域，特别是一种适用于专用网络的加密文件破解方法及系统。

背景技术

专用网络的保密监督检查、溯源取证过程中经常遇到加密压缩包、加密文档等加密文件，而目前密码破解手段无法在有限的计算资源和时间内实现解密，导致无法直接审查和判断信息重要性：一些刻意夹带输出的重要信息可以通过加密手段逃避检测输出专用网络，导致扩散；一些精心构造或利用人的脆弱性生成的安全威胁可以逃避检测进入专用网络内，为内网环境带来极大的安全隐患。同时也给保密审查和溯源取证造成了极大的技术障碍。

目前针对压缩类、文档类文件的密码破解通常采用暴力破解方法，国内针对暴力破解的加速方法通常有基于GPU的并行计算和基于社会工程学的先验知识加速两种，第一种方法硬件平台构建成本极高，第二种方法虽然破解快速，但获取社工先验信息费时费力且成功率低，因此均未有很好的应用。

发明内容

针对现有专用网络内部加密文件破解难的问题，本发明提供一种适用于专用网络的加密文件破解方法及系统，在可控的专用网络内，通过构建文档密码破解先验知识库，帮助加密文件解密，实现对加密文件中隐藏敏感信息和重要信息的有效检测和过滤，提升保密审查和溯源取证时的定密准确性。

本发明公开了一种适用于专用网络的加密文件破解系统，其包括：采集客户端，用于根据用户对文件的加密操作，并依据控制中心发送的先验知识采集策略，采集符合先验知识采集策略的信息，并将得到的加密文件分别发送至控制中心和应用客户端；其中，所述加密操作为使用压缩工具对文件进行压缩加密并设置密码；所述符合先验知识采集策略的信息包括主机信息、时间、键盘信息、进程信息、活动窗口名称；

控制中心，用于生成先验知识采集策略和身份认证信息，通过可信渠道分发给与其建立通信连接的采集客户端和应用客户端，并根据当前的先验知识采集策略，对采集客户端发送的加密文件进行解密；

应用客户端，用于在接收采集客户端发送的加密文件后，无需额外安装软件，直接从控制中心获取该加密文件相关的解密信息。

进一步地，所述采集客户端包括采集单元和第一认证单元；所述控制中心包括第二认证单元和集中处理单元；所述应用客户端包括第三认证单元；

所述采集单元，用于通过通信单元与控制中心建立可信信道，发送认证信息给控制中心，在控制中心认证通过后更新先验知识采集策略；

所述第一认证单元，用于接收控制中心生成的身份认证信息，并根据该身份认证信息与控制中心建立可信渠道；

所述第二认证单元，用于生成身份认证信息；

所述集中处理单元，用于对采集客户端发送的所有加密文件进行集中解析处理；

所述第三认证单元，用于接收控制中心生成的身份认证信息，并根据该身份认证信息与控制中心建立可信渠道。

进一步地，所述采集单元，还用于启动采集工作线程，持续采集主机键盘输入信息，记录并保存符合先验知识采集策略的信息，定时发送采集的信息给控制中心，并接收最新的配置信息；若接收到新的配置信息，立即加载并通知所有工作线程和采集线程，使用最新的配置。

进一步地，所述集中处理单元具体用于：

加载最新配置信息，打开指定端口进行监听，持续等待采集客户端和应用客户端的连接；启动信息处理线程，循环解析采集信息和处理数据访问请求，分别处理来自于采集客户端和应用客户端的请求；接收采集客户端采集的信息并存储到指定的位置，判断是否需要推送最新配置信息给该客户端，如果需要则立即推送；信息处理线程按照主机信息、时间、键盘信息、进程信息、活动窗口名称逐条解析接收的采集信息，存储到指定数据库中，等待应用客户端使用。

本发明还公开了一种适用于专用网络的加密文件破解方法，其包括：

采集客户端根据用户对文件的加密操作，并依据控制中心发送的先验知识采集策略，采集符合要求的信息，并将得到的加密文件分别发送至控制中心和应用客户端；其中，所述加密操作为使用压缩工具对文件进行压缩加密并设置密码；所述符合先验知识采集策略的信息包括主机信息、时间、键盘信息、进程信息、活动窗口名称；

控制中心生成先验知识采集策略和身份认证信息，通过可信渠道分发给与其建立通信连接的采集客户端和应用客户端，并根据当前的先验知识采集策略，对采集客户端发送的加密文件进行解密；

应用客户端在接收采集客户端发送的加密文件后，无需额外安装软件，直接从控制中心获取该加密文件相关的解密信息。

进一步地，采集客户端部署采集单元，接入控制中心完成身份认证，同步更新当前先验知识采集策略，启动采集工作线程，并持续与控制中心保持同步，按照策略要求定时上传采集信息；

应用客户端随时向控制中心发起先验知识使用服务请求，根据需求构造请求数据包并发送给控制中心，等待控制中心响应；

控制中心持续监听并接收来自采集客户端和应用客户端的请求。

进一步地，所述控制中心持续监听并接收来自采集客户端和应用客户端的请求，包括：

对于采集客户端：在其与控制中心的身份验证通过后，控制中心接收采集客户端采集的数据，解析并按使用需求集中存储成文件或数据库；

对于需要使用先验知识的应用客户端：在其与控制中心的身份验证通过后，控制中心接收应用客户端的请求数据，解析请求并构造响应数据返回给客户端。

进一步地，所述采集客户端的采集单元通过通信单元与控制中心建立可信信道，发送认证信息给控制中心；在等待控制中心认证通过后更新先验知识采集策略；

采集单元启动采集工作线程，持续采集主机键盘输入信息，记录并保存符合采集策略的信息，包括主机信息、时间、键盘信息、进程信息、活动窗口名称；

采集单元定时发送采集的信息给控制中心，并接收最新的配置信息；

采集单元若接收到新的配置信息，则立即加载并通知所有工作线程和采集线程，使用最新的配置。

进一步地，所述采集单元采集基础信息；其中，所述基础信息包括计算机进程名称、当前打开的所有窗口名称。

进一步地，所述控制中心的集中处理单元加载最新配置信息，打开指定端口进行监听，持续等待采集客户端和应用客户端的连接；并启动信息处理线程，循环解析采集信息和处理数据访问请求，分别处理采集客户端和应用客户端的请求；接收采集客户端采集的信息并存储到指定的位置，判断是否需要推送最新配置信息给该采集客户端，若需要则立即推送；信息处理线程按照主机信息、时间、键盘信息、进程信息、活动窗口名称逐条解析接收的采集信息，存储到指定数据库中，等待应用客户端使用。

由于采用了上述技术方案，本发明具有如下的优点：

在可控的专用网络内，通过构建文档密码破解先验知识库，帮助加密文件解密，实现对加密文件中隐藏敏感信息和重要信息的有效检测和过滤，提升保密审查和溯源取证时的定密准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例的一种适用于专用网络的加密文件破解系统示意图。

具体实施方式

结合附图和实施例对本发明作进一步说明，显然，所描述的实施例仅是本发明实施例一部分实施例，而不是全部的实施例。本领域普通技术人员所获得的所有其他实施例，都应当属于本发明实施例保护的范围。

本发明提供了一种适用于专用网络的加密文件破解系统的实施例，其包括：采集客户端，用于根据用户对文件的加密操作，并依据控制中心发送的先验知识采集策略，采集符合先验知识采集策略的信息，并将得到的加密文件分别发送至控制中心和应用客户端；其中，加密操作为使用压缩工具对文件进行压缩加密并设置密码；符合先验知识采集策略的信息包括主机信息、时间、键盘信息、进程信息、活动窗口名称；

控制中心，用于生成先验知识采集策略和身份认证信息，通过可信渠道分发给与其建立通信连接的采集客户端和应用客户端，并根据当前的先验知识采集策略，对采集客户端发送的加密文件进行解密；

应用客户端，用于在接收采集客户端发送的加密文件后，无需额外安装软件，直接从控制中心获取该加密文件相关的解密信息。

本实施例中，采集客户端包括采集单元和第一认证单元；控制中心包括第二认证单元和集中处理单元；应用客户端包括第三认证单元；

采集单元，用于通过通信单元与控制中心建立可信信道，发送认证信息给控制中心，在控制中心认证通过后更新先验知识采集策略；

第一认证单元，用于接收控制中心生成的身份认证信息，并根据该身份认证信息与控制中心建立可信渠道；

第二认证单元，用于生成身份认证信息；

集中处理单元，用于对采集客户端发送的所有加密文件进行集中解析处理；

第三认证单元，用于接收控制中心生成的身份认证信息，并根据该身份认证信息与控制中心建立可信渠道。

本实施例中，采集单元，还用于启动采集工作线程，持续采集主机键盘输入信息，记录并保存符合先验知识采集策略的信息，定时发送采集的信息给控制中心，并接收最新的配置信息；若接收到新的配置信息，立即加载并通知所有工作线程和采集线程，使用最新的配置。

本实施例中，集中处理单元具体用于：

加载最新配置信息，打开指定端口进行监听，持续等待采集客户端和应用客户端的连接；启动信息处理线程，循环解析采集信息和处理数据访问请求，分别处理来自于采集客户端和应用客户端的请求；接收采集客户端采集的信息并存储到指定的位置，判断是否需要推送最新配置信息给该客户端，如果需要则立即推送；信息处理线程按照主机信息、时间、键盘信息、进程信息、活动窗口名称逐条解析接收的采集信息，存储到指定数据库中，等待应用客户端使用。

本发明提供了一种适用于专用网络的加密文件破解方法的实施例，其包括：

采集客户端根据用户对文件的加密操作，并依据控制中心发送的先验知识采集策略，采集符合要求的信息，并将得到的加密文件分别发送至控制中心和应用客户端；其中，加密操作为使用压缩工具对文件进行压缩加密并设置密码；符合先验知识采集策略的信息包括主机信息、时间、键盘信息、进程信息、活动窗口名称；

控制中心生成先验知识采集策略和身份认证信息，通过可信渠道分发给与其建立通信连接的采集客户端和应用客户端，并根据当前的先验知识采集策略，对采集客户端发送的加密文件进行解密；

应用客户端在接收采集客户端发送的加密文件后，无需额外安装软件，直接从控制中心获取该加密文件相关的解密信息。

本实施例中，采集客户端部署采集单元，接入控制中心完成身份认证，同步更新当前先验知识采集策略，启动采集工作线程，并持续与控制中心保持同步，按照策略要求定时上传采集信息；

应用客户端随时向控制中心发起先验知识使用服务请求，根据需求构造请求数据包并发送给控制中心，等待控制中心响应；

控制中心持续监听并接收来自采集客户端和应用客户端的请求。

本实施例中，控制中心持续监听并接收来自采集客户端和应用客户端的请求，包括：

对于采集客户端：在其与控制中心的身份验证通过后，控制中心接收采集客户端采集的数据，解析并按使用需求集中存储成文件或数据库；

对于需要使用先验知识的应用客户端：在其与控制中心的身份验证通过后，控制中心接收应用客户端的请求数据，解析请求并构造响应数据返回给客户端。

本实施例中，采集客户端的采集单元通过通信单元与控制中心建立可信信道，发送认证信息给控制中心；在等待控制中心认证通过后更新先验知识采集策略；

采集单元启动采集工作线程，持续采集主机键盘输入信息，记录并保存符合采集策略的信息，包括主机信息、时间、键盘信息、进程信息、活动窗口名称；

采集单元定时发送采集的信息给控制中心，并接收最新的配置信息；

采集单元若接收到新的配置信息，则立即加载并通知所有工作线程和采集线程，使用最新的配置。

本实施例中，采集单元采集基础信息；其中，基础信息包括计算机进程名称、当前打开的所有窗口名称。

本实施例中，控制中心的集中处理单元加载最新配置信息，打开指定端口进行监听，持续等待采集客户端和应用客户端的连接；并启动信息处理线程，循环解析采集信息和处理数据访问请求，分别处理采集客户端和应用客户端的请求；接收采集客户端采集的信息并存储到指定的位置，判断是否需要推送最新配置信息给该采集客户端，若需要则立即推送；信息处理线程按照主机信息、时间、键盘信息、进程信息、活动窗口名称逐条解析接收的采集信息，存储到指定数据库中，等待应用客户端使用。

为了便于理解，本发明给出了一个更为具体的实施例：

参见图1，采集客户端表示专用网络中需要作为先验知识采集点的计算机，应用客户端表示使用先验知识进行密码破解的计算机，控制中心表示先验知识处理和先验知识库存储服务器，用于集中处理和响应来自客户端的请求。本实施实例为一个包含2台主机(1台模拟用户使用的采集客户端、1台模拟审计人员尝试快速解密文件的应用客户端)、1台控制中心服务器的小型私有局域网络中，利用本方法进行先验知识构建并快速破解加密文档提取明文信息的具体步骤包括：

首先，在控制中心服务器上部署认证单元、集中处理单元，采集客户端上部署认证单元和采集单元，应用客户端上部署认证单元。

其次，控制中心服务器生成可信证书，人工安装于控制中心服务器和可信客户端上。控制中心和客户端依次启动认证服务、集中处理服务和采集服务，并进行正常通信。在采集客户端上，模拟用户加密操作，使用winrar压缩工具对文件进行压缩加密并设置密码。

最后，审计人员获取到该加密文件，无法解密，然后登录控制中心，根据采集客户端的主机信息查询到该从该主机采集到的信息，再根据进程名称winrar和窗口名称含有“密码”等关键信息精确获取到该加密文件的密码，成功解密该文档。如果存在多个加密文档和多条采集信息与之匹配，可以将其全部导出，作为批量破解的先验知识库，将大大提升破解成功率和速度。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。