一種文件保護(hù)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種文件保護(hù)方法��,包括:客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后�,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí),對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制�。本發(fā)明還同時(shí)公開(kāi)了一種文件保護(hù)系統(tǒng)。采用本發(fā)明的技術(shù)方案��,解決了電子文件易被泄露的問(wèn)題,確保了電子文件的安全性和對(duì)電子文件使用權(quán)限的控制�。
【專利說(shuō)明】一種文件保護(hù)方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù),尤其涉及一種基于透明加解密技術(shù)的文件保護(hù)方法及系統(tǒng)����。
【背景技術(shù)】
[0002]隨著電子信息技術(shù)的不斷發(fā)展和普及,無(wú)論是企業(yè)�����、政府��,還是個(gè)人��,都有越來(lái)越多的信息以電子文件的形式存放����。電子文件給人們帶來(lái)便利的同時(shí)����,也因其易傳播和泄露而存有極大的隱患。
[0003]同時(shí)���,網(wǎng)絡(luò)的普及使信息的獲取���、共享和傳播更加方便����,但也增加了重要信息泄密的風(fēng)險(xiǎn)�����。比如���,黑客持續(xù)不斷地攻擊���、員工因不當(dāng)使用造成防火墻失效、存儲(chǔ)有機(jī)要信息的存儲(chǔ)介質(zhì)失竊和遺失�����、個(gè)別員工違規(guī)泄露和拷貝等等��,都會(huì)導(dǎo)致電子文件的泄露�,進(jìn)而給企業(yè)帶來(lái)重大損失。據(jù)統(tǒng)計(jì):超過(guò)85%的信息安全威脅來(lái)自組織內(nèi)部�,其中,有16%來(lái)自內(nèi)部未授權(quán)的存?��?����;在各種安全漏洞造成的損失中���,30%?40%是由電子文件的泄露造成的�,而防火墻���、防病毒��、入侵檢測(cè)�����、物理隔離這些常見(jiàn)的內(nèi)網(wǎng)安全措施也無(wú)法有效阻止企業(yè)機(jī)密信息的泄露�。因此��,除了部署實(shí)施常規(guī)的網(wǎng)絡(luò)監(jiān)控軟件外���,如何借助現(xiàn)有的透明加解密技術(shù)來(lái)保護(hù)電子文件的安全,是目前亟待解決的問(wèn)題��。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明的主要目的在于提供一種文件保護(hù)方法及系統(tǒng)����,能保證電子文件的安全性以及對(duì)電子文件使用權(quán)限的控制。
[0005]為達(dá)到上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0006]本發(fā)明提供了一種文件保護(hù)方法�,該方法包括:
[0007]客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后�����,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)�,對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制。
[0008]優(yōu)選地����,所述客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)之前,所述方法還包括:
[0009]認(rèn)證服務(wù)器為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)�,并向所述不同用戶群下的客戶終端發(fā)送相應(yīng)的文件操作證書(shū)。
[0010]優(yōu)選地�,所述文件操作證書(shū)包括:加解密算法及其密鑰、合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系��、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則�。
[0011]優(yōu)選地�,在相同用戶群下的各客戶終端的文件操作證書(shū)中具有:相同的加解密算法及其密鑰�����、以及相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系�,不同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
[0012]優(yōu)選地�,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則,包括:
[0013]允許對(duì)相應(yīng)文件進(jìn)行截屏�����、或打印�����、或內(nèi)容拷貝����、或保存、或另存�����、或?qū)С霾僮?��,以及禁止?duì)相應(yīng)文件進(jìn)行截屏����、或打印�����、或內(nèi)容拷貝�、或保存、或另存�����、或?qū)С霾僮?;?或,
[0014]允許對(duì)相應(yīng)文件進(jìn)行保存��、另存�����、或?qū)С鰰r(shí)�,利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密。
[0015]優(yōu)選地����,所述根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程���,包括:
[0016]接收到打開(kāi)文件操作時(shí),獲取所述打開(kāi)文件操作進(jìn)程�;
[0017]確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為不合法進(jìn)程、且該文件為加密文件時(shí)���,使加密文件打開(kāi)后呈現(xiàn)亂碼狀態(tài)�;
[0018]確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)����、且該文件為加密文件時(shí),利用相應(yīng)密鑰對(duì)該文件內(nèi)容按照相應(yīng)加解密算法進(jìn)行解密�,并將解密后的明文傳遞給合法進(jìn)程,合法進(jìn)程打開(kāi)所述明文�;
[0019]確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程、且該文件為未加密文件時(shí)��,合法進(jìn)程正常打開(kāi)所述未加密文件�����。
[0020]優(yōu)選地,所述對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制�,包括:
[0021]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為不允許操作,則禁止對(duì)該文件進(jìn)行截屏��、或打印�����、或內(nèi)容拷貝���、或保存、或另存�����、或?qū)С霾僮鳎?br>
[0022]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為允許操作���,則允許對(duì)該文件進(jìn)行截屏����、或打印��、或內(nèi)容拷貝��、或保存����、或另存����、或?qū)С霾僮?��,?或�,
[0023]對(duì)該文件進(jìn)行保存���、另存�����、或?qū)С鰰r(shí)���,利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密。
[0024]本發(fā)明還提供了一種文件保護(hù)系統(tǒng)�����,該系統(tǒng)包括認(rèn)證服務(wù)器和客戶終端����;其中�����,
[0025]所述認(rèn)證服務(wù)器���,用于為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)�,并向所述不同用戶群下的客戶終端發(fā)送相應(yīng)的文件操作證書(shū);
[0026]所述客戶終端�����,用于接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后���,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)����,對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制��。
[0027]優(yōu)選地�,所述文件操作證書(shū)包括:加解密算法及其密鑰、合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系�����、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
[0028]優(yōu)選地���,在相同用戶群下的各客戶終端的文件操作證書(shū)中具有:相同的加解密算法及其密鑰�����、以及相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系相同����,不同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則���。
[0029]優(yōu)選地�,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則����,包括:
[0030]允許對(duì)相應(yīng)文件進(jìn)行截屏、或打印��、或內(nèi)容拷貝����、或保存���、或另存、或?qū)С霾僮?,以及禁止?duì)相應(yīng)文件進(jìn)行截屏、或打印�、或內(nèi)容拷貝、或保存����、或另存、或?qū)С霾僮?;?或�,
[0031]允許對(duì)相應(yīng)文件進(jìn)行保存、另存�����、或?qū)С鰰r(shí)����,利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密。
[0032]優(yōu)選地�,所述客戶終端包括加解密算法模塊以及文件驅(qū)動(dòng)模塊;其中�,
[0033]所述加解密算法模塊����,用于存儲(chǔ)認(rèn)證服務(wù)器發(fā)送的文件操作證書(shū)�;
[0034]所述文件驅(qū)動(dòng)模塊,用于接收到打開(kāi)文件操作時(shí)�,獲取所述打開(kāi)文件操作進(jìn)程;確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為不合法進(jìn)程�����、且該文件為加密文件時(shí)���,使加密文件打開(kāi)后呈現(xiàn)亂碼狀態(tài)���;確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)、且該文件為加密文件時(shí)�,利用相應(yīng)密鑰對(duì)該文件內(nèi)容按照相應(yīng)加解密算法進(jìn)行解密,并將解密后的明文傳遞給合法進(jìn)程����,合法進(jìn)程打開(kāi)所述明文;所述進(jìn)程控制模塊��,用于確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程����、且該文件為未加密文件時(shí)��,合法進(jìn)程正常打開(kāi)所述未加密文件�。
[0035]優(yōu)選地���,所述客戶終端還包括進(jìn)程控制模塊���,用于:
[0036]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為不允許操作,禁止對(duì)該文件進(jìn)行截屏���、或打印�����、或內(nèi)容拷貝、或保存�����、或另存��、或?qū)С霾僮鳎?br>
[0037]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為允許操作�,允許對(duì)該文件進(jìn)行截屏�、或打印��、或內(nèi)容拷貝�、或保存、或另存��、或?qū)С霾僮?,?或,
[0038]對(duì)該文件進(jìn)行保存�����、另存�、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密��。
[0039]本發(fā)明所提供的文件保護(hù)方法及系統(tǒng)��,客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后���,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程是否為合法進(jìn)程時(shí)�,對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制�����。如此,本發(fā)明基于現(xiàn)有技術(shù)中的透明加解密技術(shù)�,通過(guò)對(duì)明文文檔進(jìn)行加密、并在合適的時(shí)機(jī)進(jìn)行解密��,保護(hù)了電子文件的安全�����,有效解決了電子文件易被傳播�、泄露的問(wèn)題,確保了電子文件的保密性�����、完整性�����、可用性以及可控性�����。并且��,本發(fā)明所提供的文件保護(hù)方法及系統(tǒng)����,是基于透明加解密技術(shù),與傳統(tǒng)的基于應(yīng)用層的加解密技術(shù)相比�,效率更高、使用更方便�、對(duì)用戶的使用習(xí)慣影響更小、出錯(cuò)概率更低��,整個(gè)系統(tǒng)更加穩(wěn)定���。
【專利附圖】
【附圖說(shuō)明】
[0040]圖1為本發(fā)明實(shí)施例文件保護(hù)方法的實(shí)現(xiàn)流程示意圖�;
[0041]圖2為本發(fā)明實(shí)施例文件保護(hù)系統(tǒng)的組成結(jié)構(gòu)示意圖��;
[0042]圖3為本發(fā)明實(shí)施例文件保護(hù)系統(tǒng)的具體組成結(jié)構(gòu)示意圖�����。
【具體實(shí)施方式】
[0043]下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作優(yōu)選詳細(xì)的說(shuō)明�����。
[0044]本發(fā)明中�����,為方便描述,下面描述的文件均指電子文件�����、加解密算法均為基于透明加解密技術(shù)的加解密算法����。
[0045]圖1為本發(fā)明實(shí)施例文件保護(hù)方法的實(shí)現(xiàn)流程示意圖,如圖1所示��,該方法包括以下步驟:
[0046]步驟101:客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū);
[0047]這里����,所述客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)時(shí),對(duì)所述文件操作證書(shū)進(jìn)行存儲(chǔ)�����。
[0048]優(yōu)選地���,所述客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)之前����,所述方法還包括:
[0049]認(rèn)證服務(wù)器為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)��,并向所述不同用戶群下的客戶終端發(fā)送相應(yīng)的文件操作證書(shū)�。
[0050]具體地,所述文件操作證書(shū)包括:加解密算法及其密鑰�����、合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系���、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則��。
[0051]這里,在相同用戶群下的各客戶終端的文件操作證書(shū)中具有:相同的加解密算法及其密鑰��、以及相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系����,不同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
[0052]這里�,所述加解密算法必須是對(duì)稱算法。比如:所述加解密算法可以為高級(jí)加密標(biāo)準(zhǔn)(AES, Advanced Encrypt1n Standard)算法。
[0053]具體的���,密鑰長(zhǎng)度大于設(shè)定的門限值����。這里,將密鑰長(zhǎng)度設(shè)置的足夠長(zhǎng)��,以防止被非法破解�����。所述門限值可根據(jù)實(shí)際情況進(jìn)行設(shè)定���。
[0054]所述設(shè)置合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系,包括:設(shè)置合法進(jìn)程與文件類型的對(duì)應(yīng)規(guī)則�,使該合法進(jìn)程在打開(kāi)該類型文件的加密文件時(shí)能解密該類型的加密文件�����。
[0055]比如:Word進(jìn)程打開(kāi)*.doc����、*.docx類型的文件,Eclipse進(jìn)程打開(kāi)*.java類型的文件等����。
[0056]所述設(shè)置合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系�����,還包括:對(duì)需要控制的所有文件類型均建立進(jìn)程對(duì)應(yīng)關(guān)系��,但不需要將文件類型對(duì)應(yīng)到所有能打開(kāi)該類型文件的進(jìn)程�。
[0057]比如:*.txt對(duì)應(yīng)到記事本(Notepad)進(jìn)程,使Notepad新建保存的*.txt文件會(huì)被加密�;但不一定要對(duì)應(yīng)到寫字板(Wordpad)進(jìn)程,否則Wordpad進(jìn)程新建保存的*.txt文件也會(huì)被加密。
[0058]具體地����,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則,包括:
[0059]允許對(duì)相應(yīng)文件進(jìn)行截屏�、或打印、或內(nèi)容拷貝����、或保存、或另存����、或?qū)С霾僮鳎约敖箤?duì)相應(yīng)文件進(jìn)行截屏���、或打印���、或內(nèi)容拷貝��、或保存�����、或另存��、或?qū)С霾僮鳎缓?或�����,
[0060]允許對(duì)相應(yīng)文件進(jìn)行保存���、另存���、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密�。
[0061]步驟102:客戶終端根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí),對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制����。
[0062]具體地����,所述根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程是否為合法進(jìn)程�����,包括:
[0063]接收到打開(kāi)文件操作時(shí)����,獲取所述打開(kāi)文件操作進(jìn)程;
[0064]確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為不合法進(jìn)程����、且該文件為加密文件時(shí),使加密文件打開(kāi)后呈現(xiàn)亂碼狀態(tài)�;
[0065]確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)、且該文件為加密文件時(shí)���,利用相應(yīng)密鑰對(duì)該文件內(nèi)容按照相應(yīng)加解密算法進(jìn)行解密���,并將解密后的明文傳遞給合法進(jìn)程,合法進(jìn)程打開(kāi)所述明文��;
[0066]確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程����、且該文件為未加密文件時(shí)����,合法進(jìn)程正常打開(kāi)所述未加密文件�����。
[0067]具體地��,所述對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制�����,包括:
[0068]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為不允許操作�,則禁止對(duì)該文件進(jìn)行截屏�、或打印、或內(nèi)容拷貝���、或保存��、或另存���、或?qū)С霾僮鳎?br>
[0069]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為允許操作����,則允許對(duì)該文件進(jìn)行截屏、或打印�����、或內(nèi)容拷貝���、或保存、或另存�����、或?qū)С霾僮?�;?或�,
[0070]對(duì)該文件進(jìn)行保存、另存����、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密���。
[0071]這里��,本發(fā)明是基于現(xiàn)有技術(shù)中的透明加解密技術(shù)���,對(duì)合法進(jìn)程文件進(jìn)行加密或解密的�,也就是說(shuō)�,在對(duì)合法進(jìn)程文件進(jìn)行加密或解密時(shí),無(wú)需用戶查找加密算法或解密算法��,也無(wú)需用戶輸入密鑰���,加解密操作均由客戶終端的操作系統(tǒng)文件驅(qū)動(dòng)層來(lái)實(shí)現(xiàn)����,而呈現(xiàn)給用戶的是明文或亂碼�。如此,對(duì)用戶的使用習(xí)慣影響更小��、出錯(cuò)概率更低�����。
[0072]圖2為本發(fā)明實(shí)施例文件保護(hù)系統(tǒng)的組成結(jié)構(gòu)示意圖��,如圖2所示�,該系統(tǒng)包括認(rèn)證服務(wù)器21和客戶終端22 ;其中,
[0073]所述認(rèn)證服務(wù)器21��,用于為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)�,并向所述不同用戶群下的客戶終端發(fā)送相應(yīng)的文件操作證書(shū);
[0074]所述客戶終端22�,用于接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)����,對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制。
[0075]具體地��,所述文件操作證書(shū)包括:加解密算法及其密鑰����、合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則�。
[0076]這里,在相同用戶群下的各客戶終端的文件操作證書(shū)中�,具有:相同的加解密算法及其密鑰、相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系�����,不同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
[0077]具體地��,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則���,包括:
[0078]允許對(duì)相應(yīng)文件進(jìn)行截屏����、或打印����、或內(nèi)容拷貝、或保存�、或另存、或?qū)С霾僮?,以及禁止?duì)相應(yīng)文件進(jìn)行截屏、或打印����、或內(nèi)容拷貝、或保存����、或另存����、或?qū)С霾僮?����;?或���,
[0079]允許對(duì)相應(yīng)文件進(jìn)行保存、另存�、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密�����。
[0080]舉例來(lái)說(shuō)����,假設(shè)用戶群為某企業(yè)時(shí),根據(jù)該企業(yè)的組織架構(gòu)為該企業(yè)的各部門組織分別建立相應(yīng)的用戶組�����,每個(gè)用戶組下設(shè)有一定數(shù)量的用戶�,也即每個(gè)部門包含一定的部門人員;并為該企業(yè)的各部門設(shè)置相同的加解密算法及其密鑰���、以及相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系�;同一部門的人員使用相同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則,也即不同部門的人員使用的法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則可以不同��。比如:A部門為測(cè)試組���、B部門為研發(fā)組��,為A部門的人員設(shè)置禁止對(duì)相應(yīng)文件進(jìn)行截屏�����、或打印���、或內(nèi)容拷貝、或保存�、或另存、或?qū)С霾僮?�,為B部門的人員設(shè)置允許對(duì)相應(yīng)文件進(jìn)行截屏���、或打印����、或內(nèi)容拷貝、或保存�����、或另存���、或?qū)С霾僮鳌?br>
[0081]優(yōu)選地,所述客戶終端包括加解密算法模塊221以及文件驅(qū)動(dòng)模塊222 ;其中�,
[0082]所述加解密算法模塊221,用于存儲(chǔ)認(rèn)證服務(wù)器發(fā)送的文件操作證書(shū)���;
[0083]所述文件驅(qū)動(dòng)模塊222�����,用于接收到打開(kāi)文件操作時(shí)�����,獲取所述打開(kāi)文件操作���;確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為不合法進(jìn)程、且該文件為加密文件時(shí)�����,使加密文件打開(kāi)后呈現(xiàn)亂碼狀態(tài);確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)���、且該文件為加密文件時(shí)�����,利用相應(yīng)密鑰對(duì)該文件內(nèi)容按照相應(yīng)加解密算法進(jìn)行解密�����,并將解密后的明文傳遞給合法進(jìn)程����,合法進(jìn)程打開(kāi)所述明文�����;所述進(jìn)程控制模塊���,用于確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程��、且該文件為未加密文件時(shí)���,合法進(jìn)程正常打開(kāi)所述未加密文件�。
[0084]優(yōu)選地�����,所述客戶終端還包括進(jìn)程控制模塊223��,該進(jìn)程控制模塊223用于:
[0085]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為不允許操作����,禁止對(duì)該文件進(jìn)行截屏�、或打印、或內(nèi)容拷貝�����、或保存����、或另存、或?qū)С霾僮鳎?br>
[0086]若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為允許操作���,允許對(duì)該文件進(jìn)行截屏��、或打印�、或內(nèi)容拷貝、或保存�����、或另存�、或?qū)С霾僮鳎?或�,
[0087]對(duì)該文件進(jìn)行保存、另存�、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密�。
[0088]本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,圖2所示的文件保護(hù)系統(tǒng)中的各處理模塊的實(shí)現(xiàn)功能可參照前文文件保護(hù)的方法的相關(guān)描述而理解�。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,圖2所示的文件保護(hù)系統(tǒng)中各處理模塊的功能可通過(guò)運(yùn)行于處理器上的程序而實(shí)現(xiàn)�����,也可通過(guò)具體的邏輯電路而實(shí)現(xiàn)�。
[0089]圖3為本發(fā)明實(shí)施例文件保護(hù)系統(tǒng)的具體組成結(jié)構(gòu)示意圖,如圖3所示�,該系統(tǒng)包括認(rèn)證服務(wù)器模塊31和客戶端控制模塊32 ;其中,
[0090]所述認(rèn)證服務(wù)器模塊31,用于為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)�����,并向所述不同用戶群下的客戶端控制模塊32發(fā)送相應(yīng)的文件操作證書(shū)����;
[0091]所述客戶端控制模塊32,用于接收并存儲(chǔ)認(rèn)證服務(wù)器模塊31發(fā)送的與客戶端控制模塊32相對(duì)應(yīng)的文件操作證書(shū)����;根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程是否為合法進(jìn)程����、以及對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制。
[0092]這里��,所述認(rèn)證服務(wù)器模塊31設(shè)置于認(rèn)證服務(wù)器中�����,所述客戶端控制模塊32設(shè)置于客戶終端中��。
[0093]優(yōu)選地�����,所述認(rèn)證服務(wù)器模塊31還包括用戶組管理子模塊311和策略管理子模塊312 ;其中,
[0094]所述用戶組管理子模塊311���,用于為不同用戶群設(shè)置相應(yīng)的加解密算法及其密鑰���;
[0095]所述策略管理子模塊312,用于設(shè)置合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系���、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則��。
[0096]具體地�,所述用戶組管理子模塊311還用于�,根據(jù)用戶群的實(shí)際情況建立各用戶組;
[0097]相應(yīng)地��,所述策略管理子模塊312還用于�,為各用戶組分別設(shè)置與所述用戶組對(duì)應(yīng)的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
[0098]這里����,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則包括:是否允許文件打印、內(nèi)容拷貝���、截屏��、另存等操作��。
[0099]優(yōu)選地�����,所述客戶端控制模塊32包括加解密子模塊321���、文件驅(qū)動(dòng)子模塊322和進(jìn)程控制子模塊323;其中��,
[0100]所述加解密子模塊321�,用于利用密鑰對(duì)未加密文件內(nèi)容按照相應(yīng)的加密算法進(jìn)行加密運(yùn)算���,或者對(duì)已加密文件內(nèi)容按照相應(yīng)的解密算法進(jìn)行解密運(yùn)算。
[0101]所述文件驅(qū)動(dòng)子模塊322���,運(yùn)行于客戶終端的操作系統(tǒng)文件驅(qū)動(dòng)層���,用于獲取對(duì)文件操作的進(jìn)程,判斷該進(jìn)程是否為合法進(jìn)程�、文件的類型是否是該進(jìn)程對(duì)應(yīng)的文件類型���;
[0102]這里,所述對(duì)文件操作的進(jìn)程包括:打開(kāi)��、拷貝���、截屏��、打印����、保存等操作��。
[0103]所述進(jìn)程控制子模塊323�,用于控制合法進(jìn)程打開(kāi)文件,以及合法進(jìn)程打開(kāi)文件后����,控制對(duì)文件內(nèi)容的拷貝、截屏�����、打印����、保存等操作�。
[0104]這里�,合法進(jìn)程打開(kāi)后的文件是否可以拷貝、截屏�����、打印�、保存等,是通過(guò)上述策略管理子模塊312設(shè)置的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則來(lái)控制����。
[0105]舉例來(lái)說(shuō),當(dāng)進(jìn)程打開(kāi)文件時(shí)���,文件驅(qū)動(dòng)子模塊322獲取該操作��,并判斷該進(jìn)程是否為合法進(jìn)程、打開(kāi)的文件類型是否為該進(jìn)程關(guān)聯(lián)的文件類型:
[0106]I)如果該進(jìn)程不是合法進(jìn)程�����,所述系統(tǒng)不作處理�����;
[0107]2)如果該進(jìn)程是合法進(jìn)程,而打開(kāi)的文件類型不是該合法進(jìn)程關(guān)聯(lián)的文件類型����,則所述系統(tǒng)不作處理;
[0108]3)如果該進(jìn)程是合法進(jìn)程���,而預(yù)打開(kāi)的文件類型是該合法進(jìn)程關(guān)聯(lián)的文件類型�,則:
[0109]a)如果預(yù)打開(kāi)的文件是未加密文件����,則合法進(jìn)程直接打開(kāi)明文;
[0110]b)如果預(yù)打開(kāi)的文件是加密文件��,則文件驅(qū)動(dòng)子模塊322調(diào)用加解密算法子模塊321對(duì)文件進(jìn)行解密�����,將解密后的明文傳遞給合法進(jìn)程��,合法進(jìn)程打開(kāi)所述明文����;
[0111]c)文件打開(kāi)后��,進(jìn)程控制子模塊323根據(jù)設(shè)置的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則控制合法進(jìn)程對(duì)文件內(nèi)容的拷貝���、打印、截屏等操作�����;
[0112]d)當(dāng)進(jìn)行保存時(shí)��,文件驅(qū)動(dòng)子模塊322調(diào)用加解密算法子模塊321的加密算法對(duì)文件內(nèi)容進(jìn)行加密�����。
[0113]這里�����,所述保存的加密文件可保存在客戶終端中的磁盤中����。
[0114]這樣,保存在磁盤中的文件被保護(hù)文件永遠(yuǎn)是以加密文件的形式存放�,不論拷貝到哪里����,如果客戶終端未安裝客戶端控制模塊20���,打開(kāi)后永遠(yuǎn)是亂碼,從而保護(hù)了文件內(nèi)容的安全���,防止機(jī)密信息的泄露����。
[0115]以上所述�����,僅為本發(fā)明的較佳實(shí)施例而已�,并非用于限定本發(fā)明的保護(hù)范圍。
【權(quán)利要求】
1.一種文件保護(hù)方法��,其特征在于���,該方法包括: 客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后�����,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)�����,對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述客戶終端接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)之前,所述方法還包括: 認(rèn)證服務(wù)器為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)����,并向所述不同用戶群下的客戶終端發(fā)送相應(yīng)的文件操作證書(shū)。
3.根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述文件操作證書(shū)包括:加解密算法及其密鑰��、合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系�、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于���,在相同用戶群下的各客戶終端的文件操作證書(shū)中具有:相同的加解密算法及其密鑰、以及相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系,不同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則��。
5.根據(jù)權(quán)利要求3所述的方法���,其特征在于,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則���,包括: 允許對(duì)相應(yīng)文件進(jìn)行截屏�、或打印����、或內(nèi)容拷貝、或保存����、或另存、或?qū)С霾僮?�,以及禁止?duì)相應(yīng)文件進(jìn)行截屏��、或打印��、或內(nèi)容拷貝��、或保存、或另存����、或?qū)С霾僮鳎缓?或�, 允許對(duì)相應(yīng)文件進(jìn)行保存、另存���、或?qū)С鰰r(shí)�����,利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密�。
6.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程��,包括: 接收到打開(kāi)文件操作時(shí)�����,獲取所述打開(kāi)文件操作進(jìn)程��; 確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為不合法進(jìn)程、且該文件為加密文件時(shí)��,使加密文件打開(kāi)后呈現(xiàn)亂碼狀態(tài)���; 確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)��、且該文件為加密文件時(shí),利用相應(yīng)密鑰對(duì)該文件內(nèi)容按照相應(yīng)加解密算法進(jìn)行解密�,并將解密后的明文傳遞給合法進(jìn)程,合法進(jìn)程打開(kāi)所述明文�����; 確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程�����、且該文件為未加密文件時(shí)��,合法進(jìn)程正常打開(kāi)所述未加密文件�。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制��,包括: 若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為不允許操作���,則禁止對(duì)該文件進(jìn)行截屏、或打印��、或內(nèi)容拷貝���、或保存�、或另存����、或?qū)С霾僮鳎? 若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為允許操作,則允許對(duì)該文件進(jìn)行截屏��、或打印����、或內(nèi)容拷貝、或保存�、或另存、或?qū)С霾僮?����,?或, 對(duì)該文件進(jìn)行保存���、另存���、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密��。
8.一種文件保護(hù)系統(tǒng)�,其特征在于,該系統(tǒng)包括認(rèn)證服務(wù)器和客戶終端�;其中���, 所述認(rèn)證服務(wù)器����,用于為不同用戶群分別設(shè)置與所述不同用戶群相對(duì)應(yīng)的文件操作證書(shū)�,并向所述不同用戶群下的客戶終端發(fā)送相應(yīng)的文件操作證書(shū); 所述客戶終端����,用于接收到認(rèn)證服務(wù)器發(fā)送的與該客戶終端相對(duì)應(yīng)的文件操作證書(shū)后,根據(jù)所述文件操作證書(shū)確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)��,對(duì)所述合法進(jìn)程打開(kāi)后的文件的編輯操作進(jìn)行控制。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于����,所述文件操作證書(shū)包括:加解密算法及其密鑰、合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系���、以及合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則��。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其特征在于���,在相同用戶群下的各客戶終端的文件操作證書(shū)中具有:相同的加解密算法及其密鑰、以及相同的合法進(jìn)程與文件類型的關(guān)聯(lián)關(guān)系相同����,不同的合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則。
11.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于����,所述合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則�,包括: 允許對(duì)相應(yīng)文件進(jìn)行截屏��、或打印��、或內(nèi)容拷貝�、或保存、或另存���、或?qū)С霾僮?����,以及禁止?duì)相應(yīng)文件進(jìn)行截屏���、或打印����、或內(nèi)容拷貝、或保存���、或另存����、或?qū)С霾僮鳎缓?或���, 允許對(duì)相應(yīng)文件進(jìn)行保存�、另存����、或?qū)С鰰r(shí),利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密���。
12.根據(jù)權(quán)利要求8所述的系統(tǒng)����,其特征在于���,所述客戶終端包括加解密算法模塊以及文件驅(qū)動(dòng)模塊�;其中����, 所述加解密算法模塊,用于存儲(chǔ)認(rèn)證服務(wù)器發(fā)送的文件操作證書(shū); 所述文件驅(qū)動(dòng)模塊���,用于接收到打開(kāi)文件操作時(shí)�,獲取所述打開(kāi)文件操作進(jìn)程�;確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為不合法進(jìn)程、且該文件為加密文件時(shí)�,使加密文件打開(kāi)后呈現(xiàn)亂碼狀態(tài);確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程時(shí)����、且該文件為加密文件時(shí),利用相應(yīng)密鑰對(duì)該文件內(nèi)容按照相應(yīng)加解密算法進(jìn)行解密�����,并將解密后的明文傳遞給合法進(jìn)程���,合法進(jìn)程打開(kāi)所述明文�;所述進(jìn)程控制模塊��,用于確定當(dāng)前預(yù)打開(kāi)文件的操作進(jìn)程為合法進(jìn)程�、且該文件為未加密文件時(shí)��,合法進(jìn)程正常打開(kāi)所述未加密文件。
13.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于����,所述客戶終端還包括進(jìn)程控制模塊,用于: 若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為不允許操作����,禁止對(duì)該文件進(jìn)行截屏、或打印�����、或內(nèi)容拷貝�����、或保存���、或另存��、或?qū)С霾僮鳎? 若合法進(jìn)程打開(kāi)所關(guān)聯(lián)文件類型的文件后的控制規(guī)則為允許操作���,允許對(duì)該文件進(jìn)行截屏、或打印、或內(nèi)容拷貝��、或保存��、或另存����、或?qū)С霾僮鳎?或�, 對(duì)該文件進(jìn)行保存、另存���、或?qū)С鰰r(shí)����,利用與該文件對(duì)應(yīng)密鑰以及加解密算法對(duì)該文件內(nèi)容進(jìn)行加密���。
【文檔編號(hào)】G06F21/64GK104376270SQ201310350448
【公開(kāi)日】2015年2月25日 申請(qǐng)日期:2013年8月12日 優(yōu)先權(quán)日:2013年8月12日
【發(fā)明者】李付群 申請(qǐng)人:深圳中興網(wǎng)信科技有限公司