專利名稱:基于可選透明加解密的文件保護方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域�����,涉及一種文件保護方法�����,尤其涉及一種基于可選透明加解密的文件保護方法�;同時,本法進一步涉及一種基于可選透明加解密的文件保護系統(tǒng)�。
背景技術(shù):
針對計算機應(yīng)用的普及和互聯(lián)網(wǎng)及移動存儲設(shè)備的發(fā)展,以前的紙質(zhì)文件逐漸轉(zhuǎn)變?yōu)殡娮游募?,電子文件具有體積小,查看方便等諸多的優(yōu)點�����,這也是電子文件得以長足發(fā)展的原因。同時電子文件的易更改���、易傳播的特性��,已經(jīng)嚴重的影響到了電子文件存儲和交流的安全性��,如何有效的對企事業(yè)單位內(nèi)部重要的文件進行統(tǒng)一安全存放���、集中管理和使用就成了文件圖紙的安全性面臨的嚴峻的挑戰(zhàn)。目前�,對文件的保護主要集中在對文件進行加密,并對不同客戶進行不同的級別的設(shè)置����,從而達到對文件的保護,這樣就產(chǎn)生了一個問題�����,因為不管是通過應(yīng)用程序進行加密或是對全盤進行加密�����,都會導(dǎo)致用戶通過某一應(yīng)用程序做出來的文件全部都加密或是對用戶的整個硬盤進行加密��,由于軟件本身無法判斷到底此文件是公司內(nèi)部重要的文件還是用戶自己做的私有文件��,如果把這些文件都加密了��,不僅冗余了很多根本不重要的文件�����,而且給員工也帶來了很多的麻煩��,浪費了很多資源�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種基于可選透明加解密的文件保護方法����, 可保證加密文件的安全性和權(quán)限的控制。此外�,本發(fā)明進一步提供一種基于可選透明加解密的文件保護系統(tǒng),可保證加密文件的安全性和權(quán)限的控制�。為解決上述技術(shù)問題,本發(fā)明采用如下技術(shù)方案—種基于可選透明加解密的文件保護方法��,所述方法包括如下步驟管理員把需要加密的文件加密、并上傳到指定位置��;在用戶授權(quán)使用加密過的文件時���,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控���;用戶操作上述加密過的文件時,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中��,禁止用戶對相應(yīng)文件作截屏操作���;并且對該加密文件進行保存�、另存或是導(dǎo)出時�����,對保存��、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級���。 作為本發(fā)明的一種優(yōu)選方案��,所有管理員的操作都有詳細的日志記錄����,包括管理員登錄的時間,上傳的文件所使用的對稱加密算法���,和對哪些文件夾或文件賦予了什么樣的密級。 作為本發(fā)明的一種優(yōu)選方案�����,授權(quán)用戶可正常使用對應(yīng)的加密算法并賦予用戶相應(yīng)密級的文件����,上傳加密文件的管理員加密文件時使用不同的對稱加密算法,用戶在使用加密文件時也需要對應(yīng)的對稱加密算法才能打開該文件���。作為本發(fā)明的一種優(yōu)選方案���,由服務(wù)器端根據(jù)每個管理者的不同權(quán)限來分別經(jīng)過不同的密鑰組合來授權(quán)不同的管理者,并且給管理者提供電子鑰匙的密碼����,并規(guī)定管理者每個一段時間需重新到管理中心來重新授權(quán)和重新設(shè)置密碼。一種基于可選透明加解密的文件保護方法,所述方法包括如下步驟步驟1����、上傳加密管理員通過上傳加密網(wǎng)關(guān)軟件把需要加密的文件上傳到指定位置,上傳的同時所述上傳加密網(wǎng)關(guān)軟件選擇不同的對稱加密算法或是組合的算法對文件進行加密操作���;步驟2���、密級管理員對步驟1中加密過的文件進行分類,通過密級生成器賦予不同的文件夾或文件不同的密級����;加密的不同密級的文件被放到服務(wù)器上提供給用戶使用;步驟3����、在用戶授權(quán)使用加密過、賦予用戶對應(yīng)密級的文件時�����,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控�����;用戶操作上述加密過的文件時,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中�,禁止用戶對相應(yīng)文件作截屏操作,并且對該加密文件進行保存��、另存或是導(dǎo)出時�,對保存、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級���。作為本發(fā)明的一種優(yōu)選方案���,用戶只能打開管理員賦予自己的使用設(shè)定加密算法來加密����、密級符合的文件。一種基于可選透明加解密的文件保護系統(tǒng)��,所述系統(tǒng)包括管理員客戶端��,用以將需要加密的文件加密�、并上傳到一服務(wù)器中的指定位置;訪問客戶端���,用以在得到授權(quán)后訪問或/和編輯上述加密過的文件���;服務(wù)器�,包括-存儲單元����,用以存儲加密的文件;-文件監(jiān)控單元�����,用以在加密文件打開的同時����,對該文件進行全程監(jiān)控;用戶操作上述加密過的文件時�,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中,禁止用戶對相應(yīng)文件作截屏操作���;并且對該加密文件進行保存�����、另存或是導(dǎo)出時�����,對保存�、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級。作為本發(fā)明的一種優(yōu)選方案�,所有管理員的操作都有詳細的日志記錄,包括管理員登錄的時間��,上傳的文件所使用的對稱加密算法����,和對哪些文件夾或文件賦予了什么樣的密級。作為本發(fā)明的一種優(yōu)選方案��,授權(quán)用戶可正常使用對應(yīng)的加密算法并賦予用戶相應(yīng)密級的文件�����,上傳加密文件的管理員加密文件時使用不同的對稱加密算法����,用戶在使用加密文件時也需要對應(yīng)的對稱加密算法才能打開該文件����。作為本發(fā)明的一種優(yōu)選方案,由服務(wù)器端根據(jù)每個管理者的不同權(quán)限來分別經(jīng)過不同的密鑰組合來授權(quán)不同的管理者��,并且給管理者提供電子鑰匙的密碼,并規(guī)定管理者每個一段時間需重新到管理中心來重新授權(quán)和重新設(shè)置密碼��。本發(fā)明的有益效果在于本發(fā)明提出的基于可選透明加解密的文件保護方法及系統(tǒng)���,對需要加密的文件進行不同加密算法或是組合的對稱加密算法來加密��,并且賦予相應(yīng)的密級�����,保證了加密文件的安全性和權(quán)限的控制���,并且合法的加密算法和對應(yīng)密級的用戶能正常使用加密的文件,并在使用的過程中對此加密文件進行全程監(jiān)控����,用戶不能破壞加密的屬性,以此來保證企事業(yè)單位的重要文件的安全性�。
圖1為管理員設(shè)置流程圖。圖2為用戶打開加密文件流程圖�����。圖3為用戶使用加密文件流程圖��。
具體實施例方式下面結(jié)合附圖詳細說明本發(fā)明的優(yōu)選實施例。實施例一本發(fā)明提供了一種實用的�、有效的、靈活的方式對文件進行有效的保護���。通過對企事業(yè)單位重要文件或是成果文件進行統(tǒng)一收集�����、整理���,然后由上傳加密管理員把文件通過統(tǒng)一的工具上傳到服務(wù)器,并由密級管理員對文件進行統(tǒng)一的劃分密級���。然后再放到服務(wù)器上供用戶查看和使用�,但是在使用的過程中對這些文件進行全程的監(jiān)控�,從用戶打開這個文件開始,此文件就在全程保護中��,禁止把此文件里面的內(nèi)容拷貝或截屏到明文中��,并且對此文件進行另存����、導(dǎo)出等都不能使此文件脫密。其中�,上傳加密管理員通過電子鑰匙和密碼進入上傳加密網(wǎng)關(guān)管理界面,分別選擇幾種可選擇的對稱算法或者是組合的對稱算法來加密不同的文件夾或文件�����。密級管理員通過電子鑰匙和密碼進入密級生成器中����,可以對不同的文件夾或文件賦予1-6級的不同等級(當(dāng)然可以分為其他數(shù)量的級別)。請參閱圖1至圖3�,本發(fā)明揭示了一種基于可選透明加解密的文件保護方法,所述方法包括如下步驟步驟1上傳加密管理員通過上傳加密網(wǎng)關(guān)軟件把需要加密的文件上傳到指定位置�����,上傳的同時所述上傳加密網(wǎng)關(guān)軟件選擇不同的對稱加密算法或是組合的算法對文件進行加密操作��。步驟2密級管理員對步驟1中加密過的文件進行分類����,通過密級生成器賦予不同的文件夾或文件不同的密級;加密的不同密級的文件被放到服務(wù)器上提供給用戶使用�。 用戶只能打開管理員賦予自己的使用設(shè)定加密算法來加密、密級符合的文件�。步驟3在用戶授權(quán)使用加密過�、賦予用戶對應(yīng)密級的文件時����,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控;用戶操作上述加密過的文件時��,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中�����,禁止用戶對相應(yīng)文件作截屏操作�����,并且對該加密文件進行保存���、另存或是導(dǎo)出時��,對保存����、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級���。用戶使用加密文件的情況包括(1)用戶從服務(wù)器上把自己需要用的文件直接打開或是拷貝到本地電腦打開�,用戶只能打開管理員賦予自己的使用了某一加密算法來加密��、密級符合的文件�。(2)用戶在打開加密的文件進行操作的時候,從打開加密文件開始�,此加密文件全程受到管控,用戶將不能直接復(fù)制或截屏或是使用其他方法來把加密文件的內(nèi)容轉(zhuǎn)移到非受控的文件說程序中��,但可以直接編輯此文件�,編輯后保存或是另存為或是導(dǎo)出等,此文件一直保持加密狀態(tài)�。但是用戶使用的自己的私有文件,不牽涉到加密文件的將都不被保護�, 不被加密。以此來保護企事業(yè)單位的重要文件的同時也方便了客戶的使用���。綜上所述�����,本發(fā)明提出的基于可選透明加解密的文件保護方法及系統(tǒng)���,對需要加密的文件進行不同加密算法或是組合的對稱加密算法來加密,并且賦予相應(yīng)的密級,保證了加密文件的安全性和權(quán)限的控制�,并且合法的加密算法和對應(yīng)密級的用戶能正常使用加密的文件,并在使用的過程中對此加密文件進行全程監(jiān)控��,用戶不能破壞加密的屬性���,以此來保證企事業(yè)單位的重要文件的安全性��。實施例二本發(fā)明首先通過不同的管理員(上傳加密管理員���、密級管理員),這些管理員分別使用電子智能鑰匙和密碼進行認證后才能登錄對應(yīng)的管理界面進行文件的加密或是密級的賦予���,用戶在使用這些加密文件的時候����,加密文件一直在被全程管控����,使用者不能把文件內(nèi)容復(fù)制或是截屏到非控制的文件里面,而且不影響用戶編輯自己的私有文檔���。所有管理員的操作都有詳細的日志記錄��,包括管理員登錄的時間�����,上傳的文件所使用的對稱加密算法�����,和對那些文件夾或文件賦予了什么樣的密級��。本發(fā)明的具體實現(xiàn)步驟如下步驟A��、首先通過企事業(yè)單位定期把整理出來的重要文件交由上傳加密管理員��,上傳加密管理員通過上傳加密網(wǎng)關(guān)軟件把需要加密的文件上傳到指定位置��,上傳的同時加密網(wǎng)關(guān)軟件可以選擇不同的對稱加密算法或是組合的算法對文件進行加密操作����。步驟B�����、然后密級管理員對這些加密過的文件進行分類����,通過密級生成器賦予不同的文件夾或文件不同的密級�����,既不同的權(quán)限���。這些加密的不同密級的文件被放到服務(wù)器上提供給用戶使用。步驟C���、用戶需要安裝相應(yīng)的客戶端軟件���,在用戶使用加密過、賦予用戶對應(yīng)密級的文件的時候此文件在打開的同時就會被客戶端軟件進行全程監(jiān)控�,用戶操作這些加密過的文件時不允許把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中,不能做截屏操作����,并且對此加密文件進行保存、另存為或是導(dǎo)出等都不能改變此文件的加密狀態(tài)和密級�����。以此來保護企事業(yè)公司內(nèi)部重要文件��。而對平時用戶單獨使用的文件不做任何控制,這樣就在重要文件和方便用戶上找到了一個平衡點�。用戶可以正常使用對應(yīng)的加密算法并賦予用戶相應(yīng)密級的文件,上傳加密管理員加密文件時使用不同的對稱加密算法��,同樣的�����,用戶在使用加密文件的時候也要是對應(yīng)的對稱加密算法才能打開此文件���。進一步保證文件的安全性和權(quán)限的控制。本發(fā)明方法進一步包括管理員電子鑰匙ekey的分配步驟由服務(wù)器端根據(jù)每個管理者(上傳加密管理員和密級生成管理員)的不同權(quán)限來分別經(jīng)過不同的密鑰組合來授權(quán)不同的管理者����,并且給管理者提供電子鑰匙的密碼,并規(guī)定管理者每個一段時間需重新到管理中心來重新授權(quán)和重新設(shè)置密碼���。本發(fā)明方法對重要的文件進行不同加密算法或是組合的對稱加密算法來加密�,并且賦予相應(yīng)的密級����,保證了加密文件的安全性和權(quán)限的控制,并且合法的加密算法和對應(yīng)密級的用戶能正常使用加密的文件���,并在使用的過程中對此加密文件進行全程監(jiān)控�����,用戶不能破壞加密的屬性���,以此來保證企事業(yè)單位的重要文件的安全性�����。
實施例三本實施例與實施例一的區(qū)別在于�,本實施例中����,基于可選透明加解密的文件保護方法包括如下步驟管理員把需要加密的文件加密、并上傳到指定位置��;在用戶授權(quán)使用加密過的文件時�,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控;用戶操作上述加密過的文件時�,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中,禁止用戶對相應(yīng)文件作截屏操作����;并且對該加密文件進行保存��、另存或是導(dǎo)出時�����,對保存��、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級����。用戶只能打開管理員賦予自己的使用設(shè)定加密算法來加密�����、密級符合的文件����。本發(fā)明同時揭示一種基于可選透明加解密的文件保護系統(tǒng)���,所述系統(tǒng)包括管理員客戶端���,用以將需要加密的文件加密、并上傳到一服務(wù)器中的指定位置�����;訪問客戶端,用以在得到授權(quán)后訪問或/和編輯上述加密過的文件�;服務(wù)器,包括-存儲單元�����,用以存儲加密的文件�;-文件監(jiān)控單元,用以在加密文件打開的同時���,對該文件進行全程監(jiān)控����;用戶操作上述加密過的文件時����,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中,禁止用戶對相應(yīng)文件作截屏操作����;并且對該加密文件進行保存、另存或是導(dǎo)出時����,對保存��、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級�。這里本發(fā)明的描述和應(yīng)用是說明性的�����,并非想將本發(fā)明的范圍限制在上述實施例中��。這里所披露的實施例的變形和改變是可能的���,對于那些本領(lǐng)域的普通技術(shù)人員來說實施例的替換和等效的各種部件是公知的��。本領(lǐng)域技術(shù)人員應(yīng)該清楚的是,在不脫離本發(fā)明的精神或本質(zhì)特征的情況下���,本發(fā)明可以以其它形式��、結(jié)構(gòu)���、布置、比例�����,以及用其它組件、 材料和部件來實現(xiàn)����。在不脫離本發(fā)明范圍和精神的情況下,可以對這里所披露的實施例進行其它變形和改變�。
權(quán)利要求
1.一種基于可選透明加解密的文件保護方法,其特征在于���,所述方法包括如下步驟 管理員把需要加密的文件加密���、并上傳到指定位置;在用戶授權(quán)使用加密過的文件時�����,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控�����;用戶操作上述加密過的文件時�,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中,禁止用戶對相應(yīng)文件作截屏操作;并且對該加密文件進行保存�、另存或是導(dǎo)出時,對保存�、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級。
2.根據(jù)權(quán)利要求1所述的基于可選透明加解密的文件保護方法�����,其特征在于所有管理員的操作都有詳細的日志記錄�����,包括管理員登錄的時間��,上傳的文件所使用的對稱加密算法���,和對哪些文件夾或文件賦予了什么樣的密級���。
3.根據(jù)權(quán)利要求1所述的基于可選透明加解密的文件保護方法,其特征在于授權(quán)用戶可正常使用對應(yīng)的加密算法并賦予用戶相應(yīng)密級的文件�����,上傳加密文件的管理員加密文件時使用不同的對稱加密算法��,用戶在使用加密文件時也需要對應(yīng)的對稱加密算法才能打開該文件��。
4.根據(jù)權(quán)利要求1所述的基于可選透明加解密的文件保護方法���,其特征在于 由服務(wù)器端根據(jù)每個管理者的不同權(quán)限來分別經(jīng)過不同的密鑰組合來授權(quán)不同的管理者���,并且給管理者提供電子鑰匙的密碼,并規(guī)定管理者每個一段時間需重新到管理中心來重新授權(quán)和重新設(shè)置密碼��。
5.一種基于可選透明加解密的文件保護方法�,其特征在于,所述方法包括如下步驟 步驟1����、上傳加密管理員通過上傳加密網(wǎng)關(guān)軟件把需要加密的文件上傳到指定位置,上傳的同時所述上傳加密網(wǎng)關(guān)軟件選擇不同的對稱加密算法或是組合的算法對文件進行加密操作��;步驟2����、密級管理員對步驟1中加密過的文件進行分類,通過密級生成器賦予不同的文件夾或文件不同的密級�����;加密的不同密級的文件被放到服務(wù)器上提供給用戶使用;步驟3�����、在用戶授權(quán)使用加密過���、賦予用戶對應(yīng)密級的文件時��,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控���;用戶操作上述加密過的文件時,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中����,禁止用戶對相應(yīng)文件作截屏操作,并且對該加密文件進行保存�、另存或是導(dǎo)出時,對保存�、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級。
6.根據(jù)權(quán)利要求5所述的基于可選透明加解密的文件保護方法��,其特征在于 用戶只能打開管理員賦予自己的使用設(shè)定加密算法來加密��、密級符合的文件����。
7.一種基于可選透明加解密的文件保護系統(tǒng),其特征在于����,所述系統(tǒng)包括管理員客戶端,用以將需要加密的文件加密�����、并上傳到一服務(wù)器中的指定位置�����; 訪問客戶端�,用以在得到授權(quán)后訪問或/和編輯上述加密過的文件; 服務(wù)器����,包括-存儲單元,用以存儲加密的文件�;-文件監(jiān)控單元,用以在加密文件打開的同時�����,對該文件進行全程監(jiān)控;用戶操作上述加密過的文件時��,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中��,禁止用戶對相應(yīng)文件作截屏操作�;并且對該加密文件進行保存、另存或是導(dǎo)出時����,對保存、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級����。
8.根據(jù)權(quán)利要求7所述的基于可選透明加解密的文件保護系統(tǒng),其特征在于所有管理員的操作都有詳細的日志記錄����,包括管理員登錄的時間,上傳的文件所使用的對稱加密算法���,和對哪些文件夾或文件賦予了什么樣的密級�。
9.根據(jù)權(quán)利要求7所述的基于可選透明加解密的文件保護系統(tǒng)��,其特征在于授權(quán)用戶可正常使用對應(yīng)的加密算法并賦予用戶相應(yīng)密級的文件�,上傳加密文件的管理員加密文件時使用不同的對稱加密算法����,用戶在使用加密文件時也需要對應(yīng)的對稱加密算法才能打開該文件��。
10.根據(jù)權(quán)利要求7所述的基于可選透明加解密的文件保護系統(tǒng)�,其特征在于 由服務(wù)器端根據(jù)每個管理者的不同權(quán)限來分別經(jīng)過不同的密鑰組合來授權(quán)不同的管理者�����,并且給管理者提供電子鑰匙的密碼��,并規(guī)定管理者每個一段時間需重新到管理中心來重新授權(quán)和重新設(shè)置密碼�。
全文摘要
本發(fā)明揭示了一種基于可選透明加解密的文件保護方法及系統(tǒng),所述方法包括如下步驟管理員把需要加密的文件加密���、并上傳到指定位置�����;在用戶授權(quán)使用加密過的文件時�,文件在打開的同時就會被文件監(jiān)控單元進行全程監(jiān)控�;用戶操作上述加密過的文件時,所述文件監(jiān)控單元禁止用戶通過操作把文件里面的內(nèi)容復(fù)制到不可控的應(yīng)用程序中�����,禁止用戶對相應(yīng)文件作截屏操作;并且對該加密文件進行保存���、另存或是導(dǎo)出時�����,對保存�����、另存或是導(dǎo)出的文件設(shè)置與上述相應(yīng)文件相同的加密狀態(tài)及密級�����。本發(fā)明通過對需要加密的文件進行不同加密算法或是組合的對稱加密算法來加密�,保證了加密文件的安全性和權(quán)限的控制���,以此來保證重要文件的安全性��。
文檔編號G06F21/00GK102215214SQ20101024017
公開日2011年10月12日 申請日期2010年7月29日 優(yōu)先權(quán)日2010年7月29日
發(fā)明者楊磊, 耿振民 申請人:上海華御信息技術(shù)有限公司