專利名稱:文檔安全控制方法��、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全控制領(lǐng)域���,具體涉及一種文檔安全控制方法��、裝置及系統(tǒng)���。
背景技術(shù):
網(wǎng)絡(luò)的普及讓信息的獲取��、共享和傳播更加方便�,同時(shí)也增加了重要信息泄密的 風(fēng)險(xiǎn)?��,F(xiàn)有文檔安全保護(hù)技術(shù)主要有以下兩種加密保存與細(xì)粒度權(quán)限控制��。對(duì)于加密保 存��,文檔在加密后�����,非授權(quán)者即使拿到也無法使用��;對(duì)于細(xì)粒度權(quán)限控制���,因其可以事先設(shè) 定用戶對(duì)文檔的訪問權(quán)限,如只讀�����、修改、拷貝�����、打印����、拷屏�����、錄屏等�����,故在保證文檔正常使用 的基礎(chǔ)上����,可以防止文檔被非法泄密。上述兩種電子文檔安全保護(hù)技術(shù)主要由文檔安全客 戶端和文檔安全服務(wù)器組成����。其中��,文檔安全客戶端一般安裝在企業(yè)用戶的終端上�,實(shí)現(xiàn)對(duì) 用戶文檔的加解密和權(quán)限控制��;文檔安全服務(wù)器部署在企業(yè)內(nèi)部網(wǎng)絡(luò)中�����,提供對(duì)用戶的認(rèn) 證���、文檔密鑰和權(quán)限的統(tǒng)一管理?���,F(xiàn)有技術(shù)方案的架構(gòu)圖以及工作流程如圖1所示�。盡管現(xiàn)有文檔安全技術(shù)可以很好地解決用戶端上個(gè)人文檔的安全問題,但是針對(duì) 流程類應(yīng)用系統(tǒng)文檔�����,如辦公室自動(dòng)化(office automation���,簡(jiǎn)稱OA)系統(tǒng)公文的正文和 附件�����,的安全問題卻有很大的局限性���,并且實(shí)施起來非常復(fù)雜���。其主要原因在于現(xiàn)有技術(shù) 方案實(shí)施時(shí)有兩個(gè)關(guān)鍵點(diǎn),一是用戶要對(duì)文檔進(jìn)行加密�����;二是用戶要對(duì)文檔進(jìn)行授權(quán)����。故��, 如要對(duì)OA等流程類系統(tǒng)的文檔進(jìn)行安全保護(hù)����,則需要在這兩個(gè)方面對(duì)OA等流程類系統(tǒng)進(jìn) 行修改。首先�����,當(dāng)用戶起草流程(如公文)時(shí),需要修改OA等流程類系統(tǒng)����,來調(diào)用文檔安 全客戶端對(duì)公文的正文和附件進(jìn)行加密;其次�,當(dāng)用戶將流程(如公文)流轉(zhuǎn)到下一個(gè)用 戶時(shí),也需要修改OA等流程類系統(tǒng)���,來調(diào)用文檔安全客戶端為下一個(gè)用戶授予與其身份相 符����、合適的權(quán)限?����,F(xiàn)有對(duì)流程類應(yīng)用系統(tǒng)的文檔進(jìn)行安全保護(hù)的技術(shù)方案有如下不足(1)對(duì)文檔加密時(shí)需要對(duì)應(yīng)用系統(tǒng)的每個(gè)流程進(jìn)行改動(dòng)����,使得實(shí)施復(fù)雜、通用性 差����、效率低。(2)起草者事先不知道公文流經(jīng)的具體用戶�,難以提前對(duì)文檔可能流經(jīng)每個(gè)用戶 授予與其身份相符�����、不同的細(xì)粒度權(quán)限�,導(dǎo)致可操作性差���。
發(fā)明內(nèi)容
本發(fā)明的第一目的是提出一種效率高的文檔安全控制方法�。本發(fā)明的第二目的是提出一種效率高的文檔安全控制裝置�。本發(fā)明的第三目的是提出一種效率高的文檔安全控制系統(tǒng)。為實(shí)現(xiàn)上述第一目的����,本發(fā)明提供了一種文檔安全控制方法,包括應(yīng)用代理獲取 待加密文檔��,并根據(jù)待加密文檔����,生成加密文檔���;應(yīng)用代理將加密文檔的密鑰保存至文檔安 全服務(wù)器�,并將加密文檔傳送至應(yīng)用系統(tǒng)����。為實(shí)現(xiàn)上述第二目的�����,本發(fā)明提供了一種文檔安全控制裝置�����,包括應(yīng)用代理��,用 于獲取待加密文檔����;根據(jù)待加密文檔生成加密文檔��;將加密文檔的密鑰保存至文檔安全服務(wù)器����,以及將加密文檔傳送至應(yīng)用系統(tǒng)。為實(shí)現(xiàn)上述第三目的���,本發(fā)明提供了一種文檔安全控制系統(tǒng)�,包括用戶端����,用于 發(fā)送加密文檔的協(xié)議流�����;文檔安全服務(wù)器�,用于統(tǒng)一管理用戶的認(rèn)證以及加密文檔的密鑰�; 文檔安全控制裝置,用于根據(jù)待加密文檔的協(xié)議流獲取待加密文檔�、根據(jù)待加密文檔生成 加密文檔、將加密文檔的密鑰保存至文檔安全服務(wù)器�;應(yīng)用系統(tǒng),用于從文檔安全控制裝置 獲取并存儲(chǔ)加密文檔���。本發(fā)明各個(gè)實(shí)施例中�,通過應(yīng)用代理在獲取待加密文檔時(shí)�,自動(dòng)對(duì)文檔進(jìn)行加密, 實(shí)現(xiàn)了加密過程的自動(dòng)化�、透明化,同時(shí)無需用戶對(duì)應(yīng)用系統(tǒng)的每個(gè)流程進(jìn)行改動(dòng)���,簡(jiǎn)單易 行、通用性好����,提高工作效率�。
附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解����,并且構(gòu)成說明書的一部分,與本發(fā)明的實(shí) 施例一并用于解釋本發(fā)明��,并不構(gòu)成對(duì)本發(fā)明的限制�����。在附圖中圖1為現(xiàn)有文檔安全控制方法的示意圖�����;圖2為本發(fā)明的文檔安全控制方法的實(shí)施例一流程圖�;圖3為本發(fā)明的文檔安全控制方法的實(shí)施例二流程圖;圖4為本發(fā)明的文檔安全控制方法的實(shí)施例四流程圖�����;圖5為本發(fā)明的文檔安全控制方法的實(shí)施例五流程圖�����;圖6為本發(fā)明的文檔安全控制裝置的實(shí)施例結(jié)構(gòu)圖;圖7為本發(fā)明的文檔安全控制系統(tǒng)的實(shí)施例結(jié)構(gòu)圖�。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說明,應(yīng)當(dāng)理解�����,此處所描述的優(yōu)選實(shí) 施例僅用于說明和解釋本發(fā)明�����,并不用于限定本發(fā)明�����。方法實(shí)施例圖2為本發(fā)明的文檔安全控制方法的實(shí)施例一流程圖���。如圖2所示��,本實(shí)施例包 括步驟S202 應(yīng)用代理獲取待加密文檔�;具體操作參見圖4中的步驟1與步驟2的 解釋說明�����;步驟S204 應(yīng)用代理根據(jù)待加密文檔�����,生成加密文檔����;具體參見對(duì)圖4中的步驟3 的解釋說明;步驟S206 應(yīng)用代理將加密文檔的密鑰保存至文檔安全服務(wù)器�,并將加密文檔傳 送至應(yīng)用系統(tǒng);以下各實(shí)施例中也稱文檔安全服務(wù)器為內(nèi)容安全服務(wù)器���,二者為同一個(gè)概 念��;具體參見對(duì)圖4中的步驟3-步驟5的解釋說明��。本領(lǐng)域技術(shù)人員可以理解本實(shí)施例主要是利用應(yīng)用代理對(duì)文檔進(jìn)行加密����,并將 加密文檔的密鑰保存至內(nèi)容安全服務(wù)器�����,具體操作時(shí)�,其應(yīng)與文檔安全控制方法的其他部 分,如人工的授權(quán)過程�,聯(lián)合工作完成文檔的安全控制操作��。本實(shí)施例中���,通過應(yīng)用代理在獲取待加密文檔時(shí),自動(dòng)對(duì)文檔進(jìn)行加密�,實(shí)現(xiàn)了加 密過程的自動(dòng)化、透明化�����,同時(shí)無需用戶對(duì)應(yīng)用系統(tǒng)的每個(gè)流程進(jìn)行改動(dòng)��,簡(jiǎn)單易行�、通用性好,提高工作效率�。圖3為本發(fā)明的文檔安全控制方法的實(shí)施例二流程圖。如圖3所示�����,本實(shí)施例包 括步驟S301 應(yīng)用代理獲取待加密文檔���;步驟S302 應(yīng)用代理根據(jù)待加密文檔�����,生成加密文檔�����;步驟S303 應(yīng)用代理將加密文檔的密鑰保存至內(nèi)容安全服務(wù)器����,并將加密文檔傳 送至應(yīng)用系統(tǒng)�����;其中���,步驟S301-步驟S303與圖2中的基本一致����,其包括的具體操作步驟參見圖 4中的解釋說明���;步驟S304 觸發(fā)權(quán)限適配代理��;具體參見對(duì)圖5中步驟14的解釋說明��;步驟S305 權(quán)限適配代理根據(jù)預(yù)設(shè)的權(quán)限映射關(guān)系��,將預(yù)設(shè)的用戶原始權(quán)限信息 映射為相應(yīng)的細(xì)粒度權(quán)限信息���;具體參見對(duì)圖5中的步驟15與步驟16的解釋說明����;步驟S306 權(quán)限適配代理將細(xì)粒度權(quán)限信息保存至內(nèi)容安全服務(wù)器��。本實(shí)施例中�����,通過應(yīng)用代理在獲取待加密文檔時(shí)�,自動(dòng)對(duì)文檔進(jìn)行加密,實(shí)現(xiàn)了加 密過程的自動(dòng)化���、透明化��,同時(shí)無需用戶對(duì)應(yīng)用系統(tǒng)的每個(gè)流程進(jìn)行改動(dòng)����,簡(jiǎn)單易行�����、通用 性好,提高工作效率��;通過使用權(quán)限適配從應(yīng)用系統(tǒng)中獲取用戶原始權(quán)限信息(即用戶對(duì) 該文檔的原始權(quán)限信息)�,并根據(jù)預(yù)先設(shè)定權(quán)限映射關(guān)系為用戶映射出符合其身份的細(xì)粒 度權(quán)限信息,授權(quán)過程自動(dòng)��、透明����,可操作性好���,進(jìn)一步提高了工作效率���。圖4為本發(fā)明的文檔安全控制方法的實(shí)施例三流程圖。圖4主要是對(duì)利用應(yīng)用代 理對(duì)文檔加密的優(yōu)選實(shí)施例的解釋說明����,如圖4所示,本實(shí)施例包括步驟1.在用戶起草待加密文檔后����,用戶端通過文檔安全客戶端將待加密文檔�, 如公文��,通過協(xié)議流的形式傳送至應(yīng)用代理���,其中�,該協(xié)議流可以包括超文本傳輸協(xié)議流 (Hypertext Tranfer Protocal����,簡(jiǎn)稱 HTTP),文件傳輸協(xié)議流(File Transfer Protocal, 簡(jiǎn)稱FTP)�,簡(jiǎn)單郵件傳輸協(xié)議流(Simple Mail Transfer Protocal,簡(jiǎn)稱SMTP代理)以及 私有協(xié)議流���;步驟2.應(yīng)用代理接收并解析待加密的文檔的協(xié)議流����,提取其中的待加密文檔�����,如 正文和/或附件�����;步驟3.應(yīng)用代理加密正文和附件,同時(shí)將密鑰保存到內(nèi)容安全服務(wù)器����;步驟4.應(yīng)用代理將加密后的正文/附件填充回去,并重構(gòu)協(xié)議流���,如HTTP流����;步驟5.將加密后的正文/附件以重構(gòu)后的協(xié)議流的形式轉(zhuǎn)發(fā)到應(yīng)用系統(tǒng)��,如OA 系統(tǒng)���;步驟6. OA系統(tǒng)返回公文提交成功頁面到應(yīng)用代理;步驟7.應(yīng)用代理轉(zhuǎn)發(fā)公文提交成功頁面給用戶��,文檔加密過程完成��。本領(lǐng)域技術(shù)人員可以理解本實(shí)施例不但適用于OA系統(tǒng)等流程類應(yīng)用中文檔的 加密授權(quán)��,同樣也適用于共享中心等非流程類應(yīng)用中文檔以及個(gè)人終端文檔的加密授權(quán)���。本實(shí)施例通過應(yīng)用代理來實(shí)現(xiàn)對(duì)流程文檔的加密�����,當(dāng)用戶向流程類應(yīng)用系統(tǒng)提交 公文時(shí)����,使用應(yīng)用代理獲取用戶的請(qǐng)求,并解析出其中的正文和附件進(jìn)行加密��,整個(gè)加密過 程自動(dòng)�����、透明����,可操作性高。圖5為本發(fā)明的文檔安全控制方法的實(shí)施例四流程圖�。圖5主要是對(duì)利用權(quán)限適配對(duì)文檔訪問權(quán)限控制的優(yōu)選實(shí)施例的解釋說明,如圖5所示��,本實(shí)施例包括步驟11.用戶端通過文檔安全客戶端提交用戶訪問應(yīng)用系統(tǒng)中的加密公文的請(qǐng) 求信號(hào)����;步驟12.應(yīng)用代理將訪問請(qǐng)求信號(hào)轉(zhuǎn)發(fā)到應(yīng)用系統(tǒng),如OA系統(tǒng)�����;步驟13. OA系統(tǒng)返回加密公文給應(yīng)用代理;步驟14.應(yīng)用代理在接收到用戶訪問加密文檔的請(qǐng)求信號(hào)時(shí)���,觸發(fā)進(jìn)行權(quán)限適 配��;在具體操作時(shí)��,步驟14僅為一種優(yōu)選的方案��,也就是說權(quán)限適配代理的觸發(fā)方式 除了應(yīng)用代理觸發(fā)外��,還可以包括定時(shí)觸發(fā)以及主動(dòng)觸發(fā)�,其中����,定時(shí)觸發(fā)為權(quán)限適配代 理根據(jù)其內(nèi)預(yù)設(shè)時(shí)間間隔自動(dòng)觸發(fā)以從OA系統(tǒng)中獲取用戶原始權(quán)限信息��;主動(dòng)觸發(fā)為在 用戶在打開加密公文時(shí)�����,若權(quán)限適配代理根據(jù)應(yīng)用代理觸發(fā)和定時(shí)觸發(fā)均沒有獲取到用戶 原始權(quán)限信息時(shí)����,則主動(dòng)觸發(fā)以到OA系統(tǒng)中獲取用戶原始權(quán)限信息�;步驟15.權(quán)限適配代理獲取用戶在OA系統(tǒng)中預(yù)設(shè)的原始權(quán)限信息���;其中����,用戶原 始權(quán)限信息包括用戶對(duì)文檔的操作���,如只讀或編輯���、公文所處的流程、環(huán)節(jié)信息����、用戶信息, 如�,級(jí)別、崗位����、部門等;步驟16.權(quán)限適配代理根據(jù)其內(nèi)預(yù)先設(shè)定的權(quán)限映射規(guī)則將用戶的原始權(quán)限信 息映射成為與用戶身份相符的細(xì)粒度權(quán)限信息;其中��,權(quán)限映射規(guī)則是可以配置的�,如,當(dāng) 用戶的原始權(quán)限中包括了編輯的權(quán)限����,映射后用戶具備編輯的權(quán)限;若用戶的職務(wù)為領(lǐng)導(dǎo)��, 則適配后用戶具備對(duì)文檔的復(fù)制�����、打印等權(quán)限�����;若文檔的密級(jí)為絕密��,則用戶不具備解密的 權(quán)限����;權(quán)限映射規(guī)則中的要素一般可以包括文檔密級(jí)��、文檔所屬流程���、文檔所屬環(huán)節(jié)�、用 戶角色、用戶級(jí)別等��;步驟17.將映射的細(xì)粒度權(quán)限信息保存到內(nèi)容安全服務(wù)器��,用戶授權(quán)過程完成����。步驟18.應(yīng)用代理將該加密文檔放回至用戶端。本領(lǐng)域技術(shù)人員可以理解步驟12����,步驟13以及步驟18為應(yīng)用代理的加密文檔 轉(zhuǎn)發(fā)功能,為一種優(yōu)選的方案��,而且這個(gè)轉(zhuǎn)發(fā)功能的可以在用戶訪問該加密文檔中任何時(shí) 間發(fā)生���,也就是說步驟12���,步驟13以及步驟18的操作不局限于上述順序。本實(shí)施例通過當(dāng)公文在OA系統(tǒng)流轉(zhuǎn)到下一個(gè)用戶時(shí)����,使用權(quán)限適配從應(yīng)用系統(tǒng) 中獲取用戶原始權(quán)限信息��,并根據(jù)預(yù)先設(shè)定的權(quán)限映射關(guān)系為流轉(zhuǎn)用戶映射出符合其身份 的細(xì)粒度權(quán)限信息���,實(shí)現(xiàn)利用權(quán)限適配對(duì)流程文檔的授權(quán),授權(quán)過程自動(dòng)����,透明,可操作性 高�����,效率高����。裝置實(shí)施例圖6本發(fā)明的文檔安全控制裝置的實(shí)施例結(jié)構(gòu)圖。上述圖2-圖5方法發(fā)明的各 個(gè)實(shí)施例均可以在圖6結(jié)構(gòu)圖所示結(jié)構(gòu)的裝置中實(shí)現(xiàn)����。如圖6所示,該裝置包括應(yīng)用代理 61���,用于獲取待加密文檔����、根據(jù)待加密文檔生成加密文檔��、將加密文檔的密鑰保存至內(nèi)容安 全服務(wù)器�����,即文檔安全服務(wù)器��,以及將加密文檔傳送至應(yīng)用系統(tǒng)���。該文檔安全控制裝置���,還 可以包括權(quán)限適配代理62,用于根據(jù)預(yù)設(shè)的權(quán)限映射關(guān)系��,將預(yù)設(shè)的用戶原始權(quán)限信息映 射為相應(yīng)的細(xì)粒度權(quán)限信息���;以及將細(xì)粒度權(quán)限信息保存至內(nèi)容安全服務(wù)器��。應(yīng)用代理61可以包括接收模塊611����,用于待加密文檔的協(xié)議流;
解析加密模塊612��,用于解析待加密文檔的協(xié)議流�,獲取待加密文檔;以及將待加 密文檔生成為加密文檔�����;重構(gòu)轉(zhuǎn)發(fā)模塊613�����,用于根據(jù)加密文檔重構(gòu)加密文檔的協(xié)議流����,以及將加密文檔傳 送至應(yīng)用系統(tǒng);標(biāo)識(shí)模塊614����,用于通過增加表單域或字段來標(biāo)識(shí)加密文檔及其加密等級(jí),以便于 客戶端在獲取文檔后�,由該標(biāo)識(shí)判斷出該文檔為密文以及加密等級(jí),進(jìn)行文檔解密的相關(guān) 操作�;觸發(fā)接口 615,用于在收到用戶訪問加密文檔的請(qǐng)求信號(hào)時(shí)���,觸發(fā)權(quán)限適配代理��;配置模塊616�����,用于配置接收模塊���、解析加密模塊以及重構(gòu)轉(zhuǎn)發(fā)模塊的參數(shù)。權(quán)限適配代理62可以包括信息獲取模塊�,用于獲取預(yù)設(shè)在應(yīng)用系統(tǒng)中的用戶原 始權(quán)限信息;權(quán)限映射模塊��,用于根據(jù)其內(nèi)預(yù)設(shè)的權(quán)限映射關(guān)系��,將用戶原始權(quán)限信息映射 為相應(yīng)的細(xì)粒度權(quán)限信息�����,并將細(xì)粒度權(quán)限信息保存至內(nèi)容安全服務(wù)器���。信息獲取可以模塊包括權(quán)限適配子模塊621��,用于通過本地或遠(yuǎn)程方式��,預(yù)設(shè)在應(yīng)用系統(tǒng)中的用戶原始權(quán) 限信息�����;適配觸發(fā)子模塊622����,用于通過主動(dòng)觸發(fā)方式、定時(shí)觸發(fā)方式或者應(yīng)用代理觸發(fā)方 式觸發(fā)權(quán)限適配子模塊621 ��;權(quán)限同步接口 623����,用于通過本地訪問、開放數(shù)據(jù)庫(kù)互連(Open DataBase Connectivity,簡(jiǎn)稱ODBC)遠(yuǎn)程訪問����、Java開放數(shù)據(jù)庫(kù)互連(Java DataBase Connectivity,簡(jiǎn)稱JDBC)遠(yuǎn)程訪問、Web Service遠(yuǎn)程訪問�,從權(quán)限適配子模塊621中獲 取用戶原始權(quán)限信息;標(biāo)準(zhǔn)化子模塊624����,用于將從權(quán)限同步接口 623獲取的用戶原始權(quán)限信息統(tǒng)一為 標(biāo)準(zhǔn)的用戶原始權(quán)限信息;其中�����,標(biāo)準(zhǔn)化后的用戶原始權(quán)限信息可以以XML文件形式存在, 標(biāo)準(zhǔn)化方法可以是將獲取到的用戶原始權(quán)限信息按照XML關(guān)鍵字填充�����,最終形成標(biāo)準(zhǔn)化的 用戶原始權(quán)限信息�����。權(quán)限映射模塊可以包括映射規(guī)則子模塊625��,用于提供管理界面�����,方便管理員通 過該管理界面預(yù)先設(shè)置權(quán)限映射關(guān)系���;映射子模塊626,用于將標(biāo)準(zhǔn)化子模塊624中的用 戶原始權(quán)限信息映射為相應(yīng)的細(xì)粒度權(quán)限信息���,并將細(xì)粒度權(quán)限信息保存至內(nèi)容安全服務(wù)ο本領(lǐng)域技術(shù)人員可以理解該裝置包括應(yīng)用代理61即可完成加密文檔的安全控 制����,該裝置包括權(quán)限適配代理62及各子模塊為優(yōu)選的方案。本實(shí)施例中�����,通過應(yīng)用代理在獲取待加密文檔時(shí)��,自動(dòng)對(duì)文檔進(jìn)行加密�,實(shí)現(xiàn)了加 密過程的自動(dòng)化、透明化��,同時(shí)無需用戶對(duì)應(yīng)用系統(tǒng)的每個(gè)流程進(jìn)行改動(dòng)�����,簡(jiǎn)單易行�����、通用 性好�����,提高工作效率����;通過使用權(quán)限適配���,自動(dòng)實(shí)現(xiàn)為文檔對(duì)流轉(zhuǎn)的用戶進(jìn)行授權(quán),授權(quán)過 程自動(dòng)�、透明,可操作性好���,進(jìn)一步提高了工作效率�。圖7本發(fā)明的文檔安全控制系統(tǒng)的實(shí)施例結(jié)構(gòu)圖��。上述圖2-圖5方法發(fā)明的各 個(gè)實(shí)施例均可以在圖7結(jié)構(gòu)圖所示結(jié)構(gòu)的系統(tǒng)中實(shí)現(xiàn)��。如圖7所示�,該系統(tǒng)包括用戶端�,用于發(fā)送加密文檔的協(xié)議流;文檔安全服務(wù)器�,用于統(tǒng)一管理用戶的認(rèn)證以及加密文檔的密鑰;
文檔安全控制裝置��,用于根據(jù)待加密文檔的協(xié)議流獲取待加密文檔�、根據(jù)待加密 文檔生成加密文檔、將加密文檔的密鑰保存至文檔安全服務(wù)器���;應(yīng)用系統(tǒng)�����,用于從文檔安全控制裝置獲取并存儲(chǔ)加密文檔����。上述文檔安全控制裝置亦可以稱為文檔安全代理,具體操作時(shí)可以包括圖6中的 結(jié)構(gòu)��;本實(shí)施例的文檔安全控制系統(tǒng)在安全控制流程完成后���,當(dāng)用戶打開加密公文時(shí)���,用戶 端上安裝的文檔安全客戶端首先通知內(nèi)容安全服務(wù)器進(jìn)行用戶身份認(rèn)證,然后獲取密鑰和 用戶權(quán)限信息���,解密文檔以根據(jù)的權(quán)限進(jìn)行訪問控制��。本實(shí)施例通過在原有流程系統(tǒng)前面增加文檔安全控制裝置���,即文檔安全代理的方 式,隨著流程的流轉(zhuǎn)對(duì)文檔實(shí)現(xiàn)透明的加密和授權(quán)�,,實(shí)施起來簡(jiǎn)單、方便�����,提高了工作效率 和可操作性���,同時(shí)本實(shí)施例只需在原有的流程系統(tǒng)中增加表單域或字段來標(biāo)識(shí)文檔是否加 密以及加密等級(jí)�,而不需要修改原有系統(tǒng)的程序或邏輯���,進(jìn)一步提高了工作效率和可操作 性����。最后應(yīng)說明的是以上僅為本發(fā)明的優(yōu)選實(shí)施例而已�����,并不用于限制本發(fā)明��,盡管 參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明����,對(duì)于本領(lǐng)域的技術(shù)人員來說����,其依然可以對(duì) 前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改��,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換�。凡在 本發(fā)明的精神和原則之內(nèi)���,所作的任何修改��、等同替換����、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù) 范圍之內(nèi)���。
權(quán)利要求
1.一種文檔安全控制方法����,其特征在于�,包括以下步驟應(yīng)用代理獲取待加密文檔,并根據(jù)所述待加密文檔���,生成加密文檔�; 所述應(yīng)用代理將所述加密文檔的密鑰保存至文檔安全服務(wù)器,并將所述加密文檔傳送 至應(yīng)用系統(tǒng)�。
2.根據(jù)權(quán)利要求1所述的文檔安全控制方法,其特征在于���,在所述應(yīng)用代理將所述加 密文檔的密鑰保存至文檔安全服務(wù)器�,并將所述加密文檔傳送至應(yīng)用系統(tǒng)的步驟之后還包 括觸發(fā)權(quán)限適配代理�;根據(jù)預(yù)設(shè)的權(quán)限映射關(guān)系,所述權(quán)限適配代理將預(yù)設(shè)的用戶原始權(quán)限信息映射為相應(yīng) 的細(xì)粒度權(quán)限信息�����;所述權(quán)限適配代理將所述細(xì)粒度權(quán)限信息保存至所述文檔安全服務(wù)器�����。
3.根據(jù)權(quán)利要求1所述的文檔安全控制方法��,其特征在于�����,所述應(yīng)用代理獲取待加密 文檔���,并根據(jù)所述待加密文檔�����,生成加密文檔的步驟包括所述應(yīng)用代理接收所述待加密文檔的協(xié)議流����,并解析所述待加密文檔的協(xié)議流����,獲取 所述待加密文檔;所述應(yīng)用代理根據(jù)所述待加密文檔���,生成加密文檔��; 所述應(yīng)用代理根據(jù)所述加密文檔重構(gòu)所述加密文檔的協(xié)議流���。
4.根據(jù)權(quán)利要求3所述的文檔安全控制方法,其特征在于����,所述協(xié)議流為HTTP協(xié)議流、 FTP協(xié)議流�����、SMTP協(xié)議流,或者私有協(xié)議流��。
5.根據(jù)上述權(quán)利要求1至4中任一項(xiàng)所述的文檔安全控制方法��,其特征在于�����,還包括 所述應(yīng)用代理將用戶端發(fā)送的訪問所述加密文檔的請(qǐng)求信號(hào)轉(zhuǎn)發(fā)至所述應(yīng)用系統(tǒng)���; 所述應(yīng)用代理從所述應(yīng)用系統(tǒng)獲取所述加密文檔�����,并將所述加密文檔發(fā)送至所述用戶端���。
6.根據(jù)上述權(quán)利要求2至4中任一項(xiàng)所述的文檔安全控制方法,其特征在于����,所述根據(jù) 預(yù)設(shè)的權(quán)限映射關(guān)系,所述權(quán)限適配代理將預(yù)設(shè)的用戶原始權(quán)限信息映射為相應(yīng)的細(xì)粒度 權(quán)限信息的步驟包括所述權(quán)限適配代理獲取所述應(yīng)用系統(tǒng)中預(yù)設(shè)的所述用戶原始權(quán)限信息�����; 所述權(quán)限適配代理根據(jù)其內(nèi)預(yù)設(shè)的權(quán)限映射關(guān)系�,將所述用戶原始權(quán)限信息映射為相 應(yīng)的細(xì)粒度權(quán)限信息。
7.根據(jù)上述權(quán)利要求2至4中任一項(xiàng)所述的文檔安全控制方法�����,其特征在于����,所述觸發(fā) 權(quán)限適配代理的步驟包括所述應(yīng)用代理在收到用戶端發(fā)送的訪問所述加密文檔的請(qǐng)求信號(hào)時(shí),觸發(fā)所述權(quán)限適 配代理���;或者所述權(quán)限適配代理根據(jù)其內(nèi)預(yù)設(shè)的時(shí)間間隔自動(dòng)觸發(fā)��。
8.一種文檔安全控制裝置�����,其特征在于����,該裝置包括應(yīng)用代理���,用于獲取待加密文檔����;根據(jù)所述待加密文檔生成加密文檔;將所述加密文 檔的密鑰保存至文檔安全服務(wù)器����,以及將所述加密文檔傳送至應(yīng)用系統(tǒng)。
9.根據(jù)權(quán)利要求8所述的文檔安全控制裝置���,其特征在于���,還包括權(quán)限適配代理,用于根據(jù)預(yù)設(shè)的權(quán)限映射關(guān)系�,將預(yù)設(shè)的用戶原始權(quán)限信息映射為相應(yīng)的細(xì)粒度權(quán)限信息;以及將所述細(xì)粒度權(quán)限信息保存至所述文檔安全服務(wù)器��。
10.根據(jù)權(quán)利要求8或9所述的文檔安全控制裝置�,其特征在于,所述應(yīng)用代理包括 接收模塊����,用于接收所述待加密文檔的協(xié)議流;解析加密模塊,用于解析所述待加密文檔的協(xié)議流�,獲取所述待加密文檔,以及根據(jù)所 述待加密文檔生成所述加密文檔���;重構(gòu)轉(zhuǎn)發(fā)模塊�,用于根據(jù)所述加密文檔重構(gòu)所述加密文檔的協(xié)議流�����,以及將所述加密 文檔傳送至所述應(yīng)用系統(tǒng)���。
11.根據(jù)權(quán)利要求10所述的文檔安全控制裝置,其特征在于�����,所述應(yīng)用代理還包括 配置模塊�,用于配置所述接收模塊、解析加密模塊以及重構(gòu)轉(zhuǎn)發(fā)模塊的參數(shù)����;標(biāo)識(shí)模塊,用于通過增加表單域或字段來標(biāo)識(shí)所述加密文檔以及所述加密文檔的加密 等級(jí)����;觸發(fā)接口�����,用于在收到訪問所述加密文檔的請(qǐng)求信號(hào)時(shí)�����,觸發(fā)所述權(quán)限適配代理���。
12.根據(jù)權(quán)利要求11中所述的文檔安全控制裝置,其特征在于�,所述權(quán)限適配代理包括信息獲取模塊,用于獲取預(yù)設(shè)在所述應(yīng)用系統(tǒng)中的所述用戶原始權(quán)限信息�����; 權(quán)限映射模塊���,用于根據(jù)其內(nèi)預(yù)設(shè)的權(quán)限映射關(guān)系����,將所述用戶原始權(quán)限信息映射為 相應(yīng)的細(xì)粒度權(quán)限信息��,并將所述細(xì)粒度權(quán)限信息保存至所述文檔安全服務(wù)器。
13.根據(jù)權(quán)利要求12中所述的文檔安全控制裝置��,其特征在于����,所述信息獲取模塊包括權(quán)限適配子模塊,用于通過本地或遠(yuǎn)程方式��,獲取預(yù)設(shè)在所述應(yīng)用系統(tǒng)中的所述用戶 原始權(quán)限信息�����;適配觸發(fā)子模塊�,用于根據(jù)其內(nèi)預(yù)設(shè)的時(shí)間間隔或者在被所述觸發(fā)接口觸發(fā)時(shí)觸發(fā)所 述權(quán)限適配子模塊���;權(quán)限同步接口��,用于通過本地訪問���、ODBC遠(yuǎn)程訪問、JDBC遠(yuǎn)程訪問�����、或Wfeb Service遠(yuǎn) 程訪問,獲取所述權(quán)限適配子模塊中的所述用戶原始權(quán)限信息�;標(biāo)準(zhǔn)化子模塊,用于將所述權(quán)限同步接口中的所述用戶原始權(quán)限信息標(biāo)準(zhǔn)化��。
14.根據(jù)權(quán)利要求13中所述的文檔安全控制裝置����,其特征在于,所述權(quán)限映射模塊包括映射規(guī)則子模塊���,用于預(yù)先設(shè)置所述權(quán)限映射關(guān)系��;映射子模塊���,用于將所述標(biāo)準(zhǔn)化子模塊中的所述用戶原始權(quán)限信息映射為相應(yīng)的細(xì)粒 度權(quán)限信息,并將所述細(xì)粒度權(quán)限信息保存至所述文檔安全服務(wù)器����。
15.一種文檔安全控制系統(tǒng),其特征在于��,該系統(tǒng)包括 用戶端����,用于發(fā)送待加密文檔的協(xié)議流�;文檔安全服務(wù)器�����,用于統(tǒng)一管理用戶的認(rèn)證以及加密文檔的密鑰���; 文檔安全控制裝置�,用于根據(jù)所述待加密文檔的協(xié)議流獲取待加密文檔���;根據(jù)所述待 加密文檔生成所述加密文檔�����;將所述加密文檔的密鑰保存至所述文檔安全服務(wù)器���; 應(yīng)用系統(tǒng)����,用于從所述文檔安全控制裝置獲取并存儲(chǔ)所述加密文檔。
16.根據(jù)權(quán)利要求15中所述的文檔安全控制系統(tǒng)���,其特征在于�,所述文檔安全控制裝 置包括應(yīng)用代理,用于根據(jù)所述待加密文檔的協(xié)議流獲取待加密文檔���;根據(jù)所述待加密文檔 生成加密文檔��;將所述加密文檔的密鑰保存至文檔安全服務(wù)器����,以及將所述加密文檔傳送 至所述應(yīng)用系統(tǒng)���;權(quán)限適配代理�,用于根據(jù)預(yù)設(shè)的權(quán)限映射關(guān)系��,將預(yù)設(shè)的用戶原始權(quán)限信息映射為相 應(yīng)的細(xì)粒度權(quán)限信息�;以及將所述細(xì)粒度權(quán)限信息保存至所述文檔安全服務(wù)器。
全文摘要
本發(fā)明提供了一種文檔安全控制方法�、裝置和系統(tǒng),其中�����,該方法包括應(yīng)用代理獲取待加密文檔����,并根據(jù)待加密文檔��,生成加密文檔��;應(yīng)用代理將加密文檔的密鑰保存至文檔安全服務(wù)器�����,并將加密文檔傳送至應(yīng)用系統(tǒng)�。本發(fā)明通過應(yīng)用代理在獲取待加密文檔時(shí)�����,自動(dòng)對(duì)文檔進(jìn)行加密��,實(shí)現(xiàn)了加密過程的自動(dòng)化����、透明化,同時(shí)無需用戶對(duì)應(yīng)用系統(tǒng)的每個(gè)流程進(jìn)行改動(dòng)���,簡(jiǎn)單易行、通用性好���,提高工作效率����。
文檔編號(hào)G06F21/00GK102045326SQ20091023569
公開日2011年5月4日 申請(qǐng)日期2009年10月21日 優(yōu)先權(quán)日2009年10月21日
發(fā)明者侯春森, 葉劍飛, 宋璞璇, 康小強(qiáng), 張春, 王春平, 高翔 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)公司